Over communicatie en moderne technologieën. Informatiebeveiligingsproblemen bij VoIP. Bestaande oplossingen voor het probleem

IP-telefonie wordt steeds vaker gebruikt in bedrijven. Het verhoogt de efficiëntie van het zakendoen en stelt u in staat veel voorheen onmogelijke handelingen uit te voeren (bijvoorbeeld integratie met CRM en andere zakelijke toepassingen, het verlagen van de kosten voor het bouwen en exploiteren van telecommunicatie-infrastructuur, het creëren van effectieve callcenters, het verlagen van de totale kosten van systeembeheer). eigendom, enz.). De actieve ontwikkeling van IP-telefonie wordt echter belemmerd door het feit dat er veel geruchten rond deze technologie circuleren over de lage beveiliging ervan. Cisco Systems heeft bewezen dat dit niet het geval is en deze publicatie is bedoeld om bestaande mythen over de onveiligheid van IP-telefonie te ontkrachten.

Er moet meteen worden opgemerkt dat Cisco de enige fabrikant is die bescherming biedt voor de IP-telefonie-infrastructuur op alle niveaus, van de transportomgeving tot spraaktoepassingen. Dit wordt bereikt door oplossingen te implementeren als onderdeel van het Cisco Self-Defending Network-initiatief. Hoog niveau De veiligheid van Cisco Systems-oplossingen wordt bevestigd door onafhankelijke testlaboratoria. Met name het tijdschrift NetworkWorld (http://www.nwfusion.com/reviews/2004/0524voipsecurity.html) heeft verschillende IP-telefonieoplossingen getest en alleen Cisco gaf de hoogst mogelijke beoordeling "SECURE" ("veilig").

1. IP-telefonie biedt geen bescherming tegen afluisteren

Cisco IP-telefonieoplossingen maken gebruik van verschillende technologieën en mechanismen om de vertrouwelijkheid van transacties te garanderen. Ten eerste is dit een selectie stemverkeer in een speciaal netwerksegment en het beperken van de toegang tot de spraakstroom door toegangscontroleregels op routers en firewalls te gebruiken. Ten tweede kan al het spraakverkeer worden beschermd tegen ongeoorloofd afluisteren met behulp van Virtual Private Network (VPN)-technologie. Met het IPSec-protocol kunt u beschermen telefoongesprek zelfs via netwerken uitgevoerd open toegang bijvoorbeeld internet. En ten slotte heeft Cisco in zijn IP-telefoons het SecureRTP (SRTP)-protocol geïmplementeerd, speciaal ontworpen om de vertrouwelijkheid van de spraakstroom te garanderen, waardoor buitenstaanders niet in de geheimen van telefoongesprekken kunnen doordringen.

2. IP-telefonie is vatbaar voor infecties door wormen, virussen en Trojaanse paarden

Om de IP-telefonie-infrastructuur te beschermen tegen infectie door verschillende malware Cisco biedt een reeks beschermende maatregelen waarmee u een gelaagde verdediging kunt opbouwen die niet alleen de introductie, maar ook de verspreiding van wormen, virussen, Trojaanse paarden en andere soorten kwaadaardige activiteiten. De eerste verdedigingslinie is het gebruik van firewalls en aanvalsdetectie- en preventiesystemen, samen met antivirussoftware van Cisco-partnerbedrijven, om de toegang tot de IP-telefonie-infrastructuur te beperken.

De tweede verdedigingslinie is gebaseerd op het gebruik van antivirussen en aanvalspreventiesystemen op eindknooppunten die deelnemen aan de IP-telefonie-infrastructuur - Cisco IP SoftPhone, Cisco CallManager, Cisco Unity, Cisco IP Contact Center (IPCC) Express, Cisco Personal Assistant, Cisco IP Interactieve Voice Response enz.

De laatste, maar niet de minst belangrijke verdedigingslinie is het Network Admission Control-initiatief, voorgesteld door Cisco Systems. Als onderdeel van dit initiatief zullen alle werkstations en servers die niet voldoen aan het beveiligingsbeleid (inclusief die met verwijderde antivirussoftware) geen toegang hebben tot bedrijfsnetwerk en zijn hulpbronnen beschadigen.

3. IP-telefonie biedt geen bescherming tegen spoofing van telefoons en controleservers

Om te beschermen tegen apparaten die zichzelf proberen te vermommen als geautoriseerde IP-telefoons of die ongeautoriseerd zijn verbonden met de netwerkinfrastructuur, stelt Cisco voor om niet alleen de hierboven genoemde toegangscontroleregels op routers en firewalls te gebruiken, maar ook middelen te ontwikkelen voor strikte authenticatie van alle abonnees van het IP-adres. telefonie-infrastructuur (inclusief de Call Manager-beheerserver), die verschillende gestandaardiseerde protocollen gebruikt voor authenticatie, waaronder RADIUS, X.509 PKI-certificaten, enz.

4. Aanvaller met administratieve rechten kunnen de werking van de 1P-telefonie-infrastructuur verstoren

CallManager biedt geavanceerde mogelijkheden om verschillende systeembeheerders alleen de rechten te geven die ze nodig hebben om hun verantwoordelijkheden uit te voeren. Dergelijke rechten kunnen het volgende omvatten: alleen-lezen toegang tot specifieke instellingen, volledige afwezigheid toegang daartoe, toegang tot wijzigingen, enz.). Bovendien worden alle door de beheerder uitgevoerde acties vastgelegd in een speciaal logboek en kunnen ze op elk moment worden geanalyseerd op zoek naar sporen van ongeoorloofde activiteit.

De configuratie van IP-telefoons en hun interactie met CallManager wordt beheerd via een kanaal dat beschermd is tegen ongeoorloofde toegang, waardoor pogingen om besturingsopdrachten te lezen of te wijzigen worden voorkomen. Om het besturingskanaal te beschermen, worden verschillende gestandaardiseerde protocollen en algoritmen gebruikt: IPSec, TLS, SHA-1, enz.

5. CallManager is niet veilig omdat het op het Windows-platform is geïnstalleerd

Ondanks het feit dat de CallManager IP-telefonie-infrastructuurbeheerserver op het Windows-platform is geïnstalleerd, beschikt deze niet over enige functionaliteit die inherent is aan dit platform zwakke punten. Dit komt door het feit dat CallManager op een veilige en geoptimaliseerde versie van Windows draait waarin:

  • allemaal uitgeschakeld onnodige diensten en rekeningen,
  • alle noodzakelijke en regelmatig bijgewerkte patches zijn geïnstalleerd,
  • beveiligingsbeleid is geconfigureerd.
Bovendien wordt CallManager bovendien beschermd door speciale scripts die in de distributie zijn opgenomen en die het proces automatiseren van het verhogen van het beveiligingsniveau van de beheerserver voor de IP-telefonie-infrastructuur. Extra niveau De bescherming van CallManager tegen virussen, wormen, Trojaanse paarden en andere kwaadaardige programma's en aanvallen wordt bereikt door het gebruik van een antivirusprogramma (bijvoorbeeld McAfee) en het Cisco Secure Agent-aanvalspreventiesysteem, dat alle pogingen van aanvallers blokkeert om het hoofdonderdeel van de computer uit te schakelen. het segment IP-telefonie.

6. IP-telefonie is gemakkelijk te mislukken

Zelfs diverse componenten IP-telefonie is potentieel vatbaar voor denial-of-service-aanvallen. Cisco Systems-oplossingen bieden een reeks beschermende maatregelen die zowel DoS-aanvallen zelf als de gevolgen ervan voorkomen. Om dit te doen, kunt u de voorzieningenmechanismen gebruiken die in netwerkapparatuur zijn ingebouwd informatiebeveiliging, evenals aanvullende oplossingen aangeboden door Cisco Systems:

  • Verdeling van het bedrijfsnetwerk in niet-overlappende segmenten van spraak- en datatransmissie, waardoor het optreden van algemene aanvallen in het “spraak”-gedeelte wordt voorkomen, incl. en DoS.
  • Toepassing van speciale toegangscontroleregels op routers en firewalls die de perimeter van het bedrijfsnetwerk en de afzonderlijke segmenten ervan beschermen.
  • Toepassing van een aanvalspreventiesysteem op Cisco Secure Agent-nodes.
  • Toepassing van een gespecialiseerd beveiligingssysteem tegen DoS- en DDoS-aanvallen Cisco Guard en Cisco Traffic Anomaly Detector.
  • Toepassing van speciale instellingen op Cisco-netwerkapparatuur die adresspoofing voorkomen, wat vaak wordt gebruikt bij DoS-aanvallen, en de bandbreedte beperken, waardoor wordt voorkomen dat de aangevallen bronnen worden beschadigd door een grote stroom nutteloos verkeer.
7. IP-telefoons kunnen onderhevig zijn aan ongeautoriseerde toegang.

IP-telefoons bevatten zelf een aantal speciale instellingen die ongeautoriseerde toegang tot deze telefoons voorkomen. Dergelijke instellingen omvatten bijvoorbeeld toegang tot telefoonfuncties alleen na het presenteren van een identificatie en wachtwoord of het verbieden ervan lokale verandering instellingen, enz.

Om te voorkomen dat ongeautoriseerde gewijzigde software en configuratiebestanden op de IP-telefoon worden geladen, wordt hun integriteit gecontroleerd door een elektronische digitale handtekening en X.509-certificaten.

8. CallManager kan overbelast raken bij een groot aantal oproepen

Het maximale aantal oproepen per uur per CallManager-server bedraagt ​​maximaal 100.000 (afhankelijk van de configuratie) en dit aantal kan worden verhoogd tot 250.000 bij gebruik van een CallManager-cluster. Tegelijkertijd zijn er speciale instellingen in CallManager die het aantal inkomende oproepen beperken tot de vereiste waarde. Als de communicatie met een van de CallManagers verloren gaat, kan de IP-telefoon bovendien automatisch opnieuw worden geregistreerd op de back-up CallManager en kan de gespreksroute automatisch worden gewijzigd.

9. Fraude plegen bij IP-telefonie is gemakkelijk

De IP-telefonie-infrastructuurbeheerserver CallManager bevat een aantal functies die de kans op telefoonfraude helpen verkleinen, afhankelijk van het type ervan (diefstal van diensten, vervalsing van oproepen, weigering van betaling, enz.). In het bijzonder kunt u voor elke abonnee:

  • blokkeer oproepen van en naar bepaalde groepen nummers,
  • blokkeer de mogelijkheid om oproepen door te schakelen naar verschillende soorten nummers - vaste lijn, mobiel, intercity, internationaal, enz.,
  • filter oproepen op basis van verschillende parameters,
  • enz.
Bovendien worden al deze acties uitgevoerd ongeacht vanaf welk telefoonapparaat de abonnee belt. Dit wordt bereikt door elke abonnee die toegang heeft tot de IP-telefoon te authenticeren. Als een gebruiker het authenticatieproces niet doorloopt, kan hij of zij alleen een vooraf gedefinieerde lijst met telefoonnummers bellen, b.v. ambulance, politie of interne ondersteuningsdienst.

10.Traditionele telefonie is veiliger dan IP-telefonie

Dit is de meest voorkomende mythe die bestaat op het gebied van telefonie. Traditionele telefonie, decennia geleden ontwikkeld, is veel minder veilig met de nieuwe en geavanceerdere IP-telefonietechnologie. Bij traditionele telefonie is het veel gemakkelijker om verbinding te maken met het gesprek van iemand anders, een nummer te vervalsen, ‘flood’-oproepen en vele andere bedreigingen, waarvan sommige geen analogen hebben in IP-telefonie (bijvoorbeeld oorlogskiezen). De veiligheid van traditionele telefonie wordt verzorgd door veel duurdere tools en mechanismen dan bij IP-telefonie, waarbij deze tools in de componenten van deze technologie zelf zijn ingebouwd. Ter bescherming tegen afluisteren wordt bijvoorbeeld de traditionele methode gebruikt speciale apparaten- scramblers waarvan de gecentraliseerde controle onmogelijk is; Om nog maar te zwijgen van de kosten voor de aanschaf en installatie ervan voor elk telefoontoestel.

IP-telefonie:
  1. Luisteren. Wanneer vertrouwelijke informatie over gebruikers (identifiers, wachtwoorden) of vertrouwelijke gegevens via onbeveiligde kanalen worden verzonden, bestaat de mogelijkheid van afluisteren en misbruik door een aanvaller voor persoonlijk gewin.
  2. Gegevensmanipulatie. Gegevens die via communicatiekanalen worden verzonden, kunnen in principe worden gewijzigd.
  3. Vervanging van gegevens gebruikersinformatie vindt plaats wanneer wordt geprobeerd de ene netwerkgebruiker voor te doen als een andere. Hierdoor ontstaat de mogelijkheid van ongeautoriseerde toegang tot belangrijke functies systemen.
  4. Denial-of-service (DoS) is een van de soorten aanvallen door overtreders, waardoor sommige knooppunten of het hele netwerk worden uitgeschakeld. Het wordt uitgevoerd door het systeem te overspoelen met onnodig verkeer, waarvan de verwerking alle systeembronnen verbruikt. Om deze dreiging te voorkomen, moet u een tool gebruiken om dergelijke aanvallen te herkennen en de impact ervan op het netwerk te beperken.

De basiselementen op het gebied van veiligheid zijn:

  • authenticatie;
  • integriteit;
  • actieve controle.

Geavanceerde hulpmiddelen gebruiken authenticatie helpt uw ​​identiteit en gegevens veilig te houden. Dergelijke middelen kunnen gebaseerd zijn op informatie die de gebruiker kent (het wachtwoord).

Informatie-integriteit- is het vermogen van middelen computertechnologie of een geautomatiseerd systeem om de onveranderlijkheid van informatie te garanderen in omstandigheden van accidentele en (of) opzettelijke vervorming (vernietiging). Onder dreiging van integriteitsschending verwijst naar elke opzettelijke wijziging van informatie die is opgeslagen in computersysteem of overgedragen van het ene systeem naar het andere. Wanneer aanvallers opzettelijk informatie wijzigen, zou de integriteit van de informatie in gevaar komen. De integriteit zal ook in gevaar komen als een willekeurige software- of hardwarefout de ongeautoriseerde wijziging veroorzaakt.

En tot slot actieve controle betekent het controleren van de juiste implementatie van beveiligingstechnologie-elementen en helpt bij het detecteren van ongeoorloofde netwerkpenetratie en DoS-aanvallen. Actieve controle gegevens fungeren als een systeem voor vroegtijdige waarschuwing verschillende soorten problemen en stelt u daarom in staat proactief maatregelen te nemen voordat er ernstige schade ontstaat.

8.2. Methoden voor cryptografische informatiebescherming

De basis van elke veilige communicatie is cryptografie. Cryptografie is een reeks methoden voor het beschermen van informatie-interacties, dat wil zeggen afwijkingen van hun normale, standaardverloop, veroorzaakt door kwaadaardige acties van verschillende onderwerpen, methoden gebaseerd op geheime algoritmen voor het converteren van informatie. Bovendien is cryptografie een belangrijk onderdeel van authenticatie-, integriteits- en vertrouwelijkheidsmechanismen. Authenticatie is een middel om de identiteit van de afzender of ontvanger van informatie te bevestigen. Integriteit betekent dat de gegevens niet zijn gewijzigd en vertrouwelijkheid creëert een situatie waarin de gegevens door niemand anders dan de afzender en ontvanger kunnen worden begrepen. Typisch bestaan ​​er cryptografische mechanismen in de vorm algoritme (wiskundige functie) en geheime waarde ( sleutel). Bovendien geldt: hoe meer bits er in zo’n sleutel zitten, hoe minder kwetsbaar deze is.

Er zijn nog geen geschikte methoden ontwikkeld om de effectiviteit van cryptografische systemen te beoordelen.

Het eenvoudigste criterium voor een dergelijke effectiviteit is waarschijnlijkheid van sleutelontdekking, of kracht van meerdere toetsen (M). In essentie is dit hetzelfde als cryptografische kracht. Om het numeriek te schatten, kun je ook de complexiteit van het oplossen van het cijfer gebruiken door alle sleutels te proberen.

Dit criterium houdt echter geen rekening met andere belangrijke zaken vereisten voor cryptosystemen:

  • de onmogelijkheid om informatie openbaar te maken of op betekenisvolle wijze te wijzigen op basis van een analyse van de structuur ervan;
  • perfectie van de gebruikte beveiligingsprotocollen;
  • de minimale hoeveelheid gebruikte sleutelinformatie;
  • minimale complexiteit van de implementatie (in het aantal machinebewerkingen), de kosten ervan;
  • hoge efficiëntie.

Het is uiteraard wenselijk om enkele integrale indicatoren te gebruiken die met deze factoren rekening houden.

Drie hoofdgerechten cryptografische methode gebruikt in beveiligingssystemen:

Alle bestaande technologieën authenticatie, integriteit en vertrouwelijkheid worden gecreëerd op basis van deze drie methoden.

Encryptietechnologie voor geheime sleutels ( symmetrisch algoritme) vereist dat beide deelnemers aan een gecodeerd gesprek toegang hebben tot dezelfde sleutel. Dit is nodig omdat de afzender de sleutel gebruikt om het bericht te versleutelen, en de ontvanger dezelfde sleutel gebruikt om het bericht te ontsleutelen. Als gevolg hiervan ontstaat het probleem van het veilig verzenden van deze sleutel. Symmetrische coderingsalgoritmen Ze gebruiken sleutels die niet erg lang zijn en die snel grote hoeveelheden gegevens kunnen versleutelen. De procedure voor het gebruik van symmetrische sleutelsystemen is als volgt:

  1. Een symmetrische geheime sleutel wordt veilig gegenereerd, gedistribueerd en opgeslagen.
  2. De afzender gebruikt symmetrisch algoritme encryptie samen met geheim symmetrische sleutel om de cijfertekst te ontvangen.
  3. De afzender verzendt de gecodeerde tekst. Een symmetrische geheime sleutel wordt nooit via onbeveiligde communicatiekanalen verzonden.
  4. Om de originele tekst te herstellen, past de ontvanger hetzelfde toe symmetrisch algoritme encryptie samen met hetzelfde symmetrische sleutel, die de ontvanger al heeft.

Meest gebruikte cijfer symmetrische encryptie is DES (Data Encryption Standard), ontwikkeld door IBM in 1976 en aanbevolen door het Amerikaanse National Bureau of Standards voor gebruik in open sectoren van de economie.

Het DES-algoritme werkt als volgt. De gegevens worden digitaal gepresenteerd en worden opgedeeld in blokken van 64 bits, die vervolgens blok voor blok worden gecodeerd. Het blok is verdeeld in een linker- en rechtergedeelte. In de eerste fase van de codering wordt in plaats van het linkergedeelte van het blok het rechtergedeelte geschreven, en in plaats van het rechtergedeelte de som modulo 2 (XOR-bewerking) van de linker- en juiste onderdelen. In de tweede fase worden bitsgewijze vervangingen en permutaties uitgevoerd volgens een bepaald schema. Een DES-sleutel is 64 bits lang, waarvan 56 willekeurige bits en 8 servicebits die worden gebruikt om de sleutel te besturen.


Rijst. 8.1.

DES heeft twee werkingsmodi: ECB (Electronic Code Book) en CBC (Cipher Block Chaining). De SBC-modus verschilt van de gebruikelijke doordat vóór het coderen van het volgende blok de bewerking plaatsvindt "exclusief OF" met het vorige blok. In situaties waar betrouwbaarheid DES-algoritme lijkt onvoldoende, de wijziging wordt gebruikt - Triple DES (triple DES). Strikt genomen zijn er verschillende varianten van Triple DES. De eenvoudigste is hercodering: leesbare tekst wordt gecodeerd met de eerste sleutel, de resulterende cijfertekst met de tweede en tenslotte de gegevens verkregen na de tweede stap met de derde. Alle drie de toetsen worden onafhankelijk van elkaar geselecteerd.

IDEA (International Data Encryption Algorithm) is een ander blokcijfer met een sleutellengte van 128 bits. Dit Europese standaard(van ETH, Zürich) voorgesteld in 1990. Het IDEA-algoritme doet niet onder voor het DES-algoritme in termen van snelheid en weerstand tegen analyse.

CAST is een blokcode die in de VS een 128-bits sleutel gebruikt en in de exportversie een 40-bits sleutel. CAST wordt gebruikt door Northern Telecom (Nortel).

Het Skipjack-cijfer, ontwikkeld door de Amerikaanse National Security Agency (NSA), maakt gebruik van 80-bits sleutels. Het maakt deel uit van het Capstone Project, dat tot doel heeft een openbaar beschikbare cryptografische standaard te ontwikkelen die voldoet aan de eisen van de Amerikaanse overheid. Capstone heeft vier hoofdcomponenten: het Skipjack-cijfer; algoritme digitale handtekening gebaseerd op de DSS-standaard (Digital Signature Standard); hash-functie gebaseerd op het SHA-algoritme (Secure Hash Algorithm); een chip die al het bovenstaande implementeert (bijvoorbeeld Fortezza - PCMCIA-bord gebaseerd op deze chip).

De RC2- en RC4-cijfers zijn ontwikkeld door Ron Reivest, een van de oprichters van RSA Data Security, en gepatenteerd door dit bedrijf. Ze gebruiken sleutels van verschillende lengtes en vervangen DES in geëxporteerde producten. RC2-cijfer is een blokcijfer, met een bloklengte van 64 bits; RC4-cijfer is stroomcijfer. Volgens de ontwikkelaars is prestatie RC2 en RC4 mogen niet kleiner zijn dan die van het DES-algoritme.

Alle open encryptiesystemen hebben de volgende belangrijkste nadelen. Ten eerste is de betrouwbaarheid van het kanaal voor het doorgeven van de sleutel aan de tweede deelnemer aan geheime onderhandelingen van fundamenteel belang. Met andere woorden: de sleutel moet via een geheim kanaal worden verzonden. Ten tweede aan de service sleutel generatie Er worden hogere eisen gesteld vanwege het feit dat voor n abonnees in het "iedereen met iedereen"-interactieschema n x (n-1)/2 sleutels vereist zijn, dat wil zeggen dat de afhankelijkheid van het aantal sleutels van het aantal abonnees is kwadratisch.

Om de bovenstaande problemen op te lossen symmetrische encryptie systemen met asymmetrische encryptie, of public key encryptie, zijn ontworpen die gebruik maken van de eigenschappen van de geheime functies ontwikkeld door Diffie en Hellman.

Deze systemen worden gekenmerkt door de aanwezigheid van twee sleutels voor elke abonnee: openbaar en privé (geheim). In dit geval wordt de publieke sleutel verzonden naar alle deelnemers aan geheime onderhandelingen. Zo worden twee problemen opgelost: er is geen behoefte aan een geheime levering van de sleutel (aangezien het gebruik van een publieke sleutel onmogelijk is om berichten te decoderen die met dezelfde publieke sleutel zijn gecodeerd, en het daarom geen zin heeft om de publieke sleutel te onderscheppen) ; Er is ook geen kwadratische afhankelijkheid van het aantal sleutels van het aantal gebruikers - voor n gebruikers zijn 2n sleutels vereist.

Het eerste cijfer ontwikkelde zich op basis van de principes asymmetrische encryptie, is een RSA-cijfer.

Het RSA-cijfer is vernoemd naar de eerste letters van de achternamen van de uitvinders: Ron Rivest (Rivest), Adi Shamir en Leonard Eldeman (Aldeman) - de oprichters van het RSA Data Security-bedrijf. RSA is niet alleen het populairst asymmetrische cijfers, maar misschien wel het beroemdste cijfer in het algemeen. De wiskundige redenering voor RSA is als volgt: het vinden van delers van een zeer groot natuurlijk getal dat het product is van twee priemgetallen is een uiterst arbeidsintensieve procedure. Met behulp van een publieke sleutel is het erg moeilijk om de private sleutel te berekenen die eraan gekoppeld is. Het RSA-cijfer is uitgebreid bestudeerd en blijkt sterk te zijn als de sleutellengte voldoende is. 512 bits is bijvoorbeeld niet genoeg om duurzaamheid te garanderen, maar 1024 bits wordt als een acceptabele optie beschouwd. Sommigen beweren dat naarmate de processorkracht toeneemt, RSA minder resistent zal worden tegen brute-force-aanvallen. Een toename van de processorkracht zal het echter mogelijk maken om langere sleutels te gebruiken, waardoor de sterkte van het cijfer toeneemt.


Rijst. 8.2.

Het cijfer werkt volgens het volgende algoritme:

  • Eerste stap: twee heel eenvoudige worden willekeurig geselecteerd grote aantallen p en q.
  • Tweede stap: er worden twee producten berekend: n = p.q, m = (p-1)(q-1) .
  • Derde stap: er wordt een willekeurig geheel getal E geselecteerd dat geen gemeenschappelijke deler heeft met m.
  • Vierde stap: zoek D zo dat DE = 1 modulo m.
  • Vijfde stap: bron is verdeeld in blokken met lengte X niet meer dan n.
  • Zesde stap: om een ​​bericht te versleutelen, moet je C = XE modulo n berekenen.
  • Zevende stap: bereken voor decodering X = CD modulo n.

Voor codering moet u een paar cijfers E, n kennen, voor decodering - D, n. Het eerste paar is de publieke sleutel, het tweede is de private sleutel. Als u de publieke sleutel kent, kunt u de waarde van de privésleutel berekenen. Een noodzakelijke tussenliggende actie van deze transformatie is het vinden van de factoren p en q, waarvoor het noodzakelijk is om n in factoren te ontbinden; deze procedure duurt erg lang. De cryptografische kracht van het RSA-cijfer hangt samen met de enorme rekencomplexiteit.

Nog een cijfer dat gebruikt asymmetrische encryptie, is

Het probleem van het waarborgen van de veiligheid van het moderne informatietechnologie(en dit geldt ook voor IP-telefonie) staan ​​nu in het middelpunt van de belangstelling van velen – en dit geldt vooral voor alle commerciële structuren. Niemand wil met nieuwe bedreigingen en risico’s te maken krijgen na de implementatie van een nieuwerwetse IT-oplossing die is ontworpen om de bedrijfsprocessen van het bedrijf te optimaliseren. Daarom wordt informatiebeveiliging nu een topprioriteit bij de keuze van nieuwe IT-systemen – vooral tijdens de transitie naar IP-telefonie.

Het veiligheidsprobleem oplossen - een geïntegreerde aanpak

Er bestaat geen universele beveiligingsoplossing voor IP-telefonie, maar het oplossen van dit probleem moet een integraal onderdeel zijn van uw algehele beveiligingsstrategie. VoIP-technologie is een applicatie die draait op een IP-netwerk en waarbij de juiste beveiligingstechnieken moeten worden geïmplementeerd, d.w.z. U moet duidelijk begrijpen: hoe hoger de beveiliging van uw netwerk als geheel, hoe moeilijker het voor een aanvaller zal zijn om afluisteren, een Denial of Service (DoS)-aanval te organiseren of het besturingssysteem of de VoIP-systeemtoepassing te ‘hacken’. En de specialisten van Intercomputer Systems staan ​​voor u klaar!

Spectrum van bedreigingen voor IP-telefonie

De meest voorkomende bedreigingen waaraan IP-netwerken worden blootgesteld, zijn onder meer:

  • het registreren van de terminal van iemand anders, zodat u op kosten van iemand anders kunt bellen;
  • vervanging van abonnees;
  • wijzigingen aanbrengen in het spraak- of signaalverkeer;
  • vermindering van de kwaliteit van het spraakverkeer;
  • omleiding van spraak- of signaalverkeer;
  • onderschepping van stem- of signaalverkeer;
  • spoofing van gesproken berichten;
  • een communicatiesessie beëindigen;
  • dienstweigering;
  • ongeautoriseerde toegang op afstand tot componenten van de IP-telefonie-infrastructuur;
  • het ongeoorloofd updaten van software op een IP-telefoon (bijvoorbeeld met het doel een Trojaans paard of spyware te introduceren);
  • het hacken van het facturatiesysteem (voor operatortelefonie).

En dit is niet de hele lijst met mogelijke problemen die verband houden met het gebruik van IP-telefonie. Dit betekent dat u - met alle voordelen van IP-telefonie - onmiddellijk moet nadenken over het organiseren van een systeem voor de bescherming van uw netwerken, waarmee u volledig kunt profiteren van de voordelen van de overgang naar VoIP-technologieën.

De architectuur van IP-telefonie omvat verschillende hoofdlijnen structurele elementen, die allemaal vatbaar kunnen zijn voor aanvallen door indringers. Daarom is een geïntegreerde aanpak vereist bij de uitvoering van de taak om het maximale veiligheidsniveau te garanderen zakelijke telefonie. Bedrijfsspecialisten Intercomputersystemen helpt u informatielekken te voorkomen en ervoor te zorgen uitgebreide bescherming IP-telefonie-infrastructuur. En niet alleen door de dreiging van besmetting door malware (de introductie en verspreiding van wormen, virussen, Trojaanse paarden en andere vormen van malware), maar ook door het afluisteren en onderscheppen van informatie.

Als “eerste verdedigingslinie” bieden wij: systemen voor het detecteren en voorkomen van aanvallen, met als principe het beperken van de toegang tot de IP-telefonie-infrastructuur en het regelmatig monitoren van het systeem. Wij raden ook aan om te gebruiken standaard antivirusprogramma's en firewalls.

Het gebruik van deze technologieën biedt mogelijkheden om:

  • het filteren van verkeer voor het beheren van de installatie van IP-telefoonverbindingen;
  • transmissie van controleverkeer via NAT en netwerktunnels;
  • TCP-onderschepping, die ervoor zorgt dat TCP-sessies worden gesloten, waardoor bescherming wordt geboden tegen een reeks Denial of Service (DoS)-aanvallen.

DoS-aanvallen voorkomen

Veel voorkomende DoS-aanvallen worden met succes geblokkeerd op het niveau van de IP-telefoniearchitectuur door:

  • het verdelen van het bedrijfsnetwerk in niet-overlappende segmenten van spraak- en datatransmissie, waardoor wordt voorkomen dat veelvoorkomende aanvallen, waaronder DoS, plaatsvinden in het ‘spraak’-gedeelte;
  • het installeren van speciale toegangscontroleregels op routers en firewalls die de perimeter van het bedrijfsnetwerk en de afzonderlijke segmenten ervan beschermen;
  • implementatie van een aanvalspreventiesysteem op knooppunten;
  • implementatie van gespecialiseerde beveiligingssystemen tegen DoS- en DDoS-aanvallen;
  • het gebruik van speciale instellingen op netwerkapparatuur die adresspoofing voorkomen, wat vaak wordt gebruikt bij DoS-aanvallen, en de bandbreedte beperken, waardoor wordt voorkomen dat de aangevallen bronnen worden beschadigd door een grote stroom nutteloos verkeer.

"Tweede verdedigingslinie"— bescherming door het gebruik van encryptieprotocollen en de organisatie van beveiligingsmaatregelen voor het gebruik van IP-netwerksysteemapparaten (van de server tot de IP-telefoons zelf).

Het is de gespecialiseerde configuratie van het beveiligingsbeleid voor IP-systemen, autorisatierechten en toegang van interne abonnees, en het instellen van beperkingen op de operationele functionaliteit van het systeem die zullen dienen als een van de meest effectieve initiatieven om het beveiligingsniveau en de werking van een bedrijfs-IP-systeem. Ook de risico's die gepaard gaan met de dreiging van ongeoorloofde inbraak door een aanvaller in het IP-telefoniebeheersysteem kunnen vrijwel tot nul worden teruggebracht. Omdat de IP-telefonie-infrastructuur zelf een vrij uitgebreid systeem is, moeten de configuratie van IP-telefoons en hun interactie met de controleserver worden beheerd via een kanaal dat beschermd is tegen ongeoorloofde toegang, waardoor pogingen om controlecommando's te lezen of te wijzigen worden voorkomen. Er kunnen verschillende protocollen worden gebruikt om het besturingskanaal te beschermen: IPSec, SSL, TLS, enz.

Verkeersencryptie

Dit is een van de belangrijkste componenten van de beveiliging van IP-telefonie. De meeste bestaande VoIP-oplossingen ondersteunen nog geen cryptografische encryptie. Een beveiligde telefoonverbinding is echter veel eenvoudiger te implementeren met VoIP-technologie dan met traditioneel telefoonlijnen. Bij gebrek aan codering is het relatief eenvoudig om VoIP-oproepen te monitoren (dit kan worden gedaan met behulp van een verkeersanalysator) en met enkele trucjes zelfs de inhoud ervan te wijzigen. De oplossing voor dit probleem is verkeersversleuteling en het gebruik van speciale protocollen. Dankzij encryptie zullen alle gegevens die via een IP-netwerk worden getransporteerd, unieke encryptiecodes hebben die alleen de uiteindelijke ontvanger kan “lezen” – en zelfs als de informatie door aanvallers wordt onderschept, zullen ze deze niet kunnen gebruiken zonder een decoderingssleutel.

IP-telefonie en het gebruik van het VoIP-systeem zijn volkomen veilig - voldoen aan de behoeften en eisen van het moderne bedrijfsleven, met een competente aanpak voor het opzetten van het systeem en de configuratie ervan vanuit het oogpunt netwerk bescherming VoIP verhoogt het concurrentievermogen van het bedrijf aanzienlijk, draagt ​​bij aan het rationeel gebruik van hulpbronnen en verhoogt de mobiliteit en productiviteit van werknemers. Tegelijkertijd moet je onthouden: zoveel mogelijk effectieve maatregelen er kan veiligheid zijn als ze alle niveaus bestrijken netwerk infrastructuur.

De specialisten van ons bedrijf helpen u de veiligheid van uw IP-telefonie-infrastructuur te garanderen!

Ter referentie:

Het is belangrijk om te onthouden dat aanvallen van indringers (afluisteren, vervalsing van abonnees, ongeoorloofde toegang tot het systeem, onderschepping van informatie, overbelasting van lijnen) van toepassing zijn op zowel traditionele als IP-telefonie. Het probleem is dat het detecteren, beheersen en voorkomen van bedreigingen in een IP-telefoniesysteem een ​​veel eenvoudiger en goedkopere taak is. Tegelijkertijd zijn de kosten van IP-telefonie aanzienlijk lager dan die van analoge telefonie. De uitdaging is om het IP-systeem correct te implementeren, te configureren en te borgen ononderbroken werking met minimale blootstelling aan risico's.

De veiligheid van IP-telefonieoplossingen is, vanwege hun groeiende populariteit en vraag, een doorslaggevende factor bij het bouwen van een IP-telecommunicatie-infrastructuur en vereist speciale aandacht, evenals standaardfactoren als de prijs van de apparatuur zelf, de prestaties, functionaliteit, enz. .

Heeft u vragen? Neem contact met ons op voor advies en verkrijg gedetailleerde informatie over de mogelijkheden om IP-telefoniebescherming te organiseren!

Op de website linkmeup.ru is een zeer interessant artikel over beveiliging bij IP-telefonie gepubliceerd. We plaatsen het zonder wijzigingen, om zo te zeggen, van de auteur.

=======================

Hallo collega's en vrienden, ik, Vadim Semenov, presenteer samen met het network-class.net-projectteam een ​​overzichtsartikel dat ingaat op de belangrijkste trends en bedreigingen in IP-telefonie, en vooral op de beschermingsinstrumenten die op dit moment wordt door de fabrikant aangeboden als bescherming (laten we in de taal van beveiligingsspecialisten eens kijken welke tools de fabrikant aanbiedt om kwetsbaarheden te verminderen die kunnen worden uitgebuit door onwettige individuen). Dus minder woorden: laten we aan de slag gaan.
Voor veel lezers is de term IP-telefonie al lang bekend, en ook het feit dat deze telefonie“beter”, goedkoper in vergelijking met openbare telefonie (PSTN), rijk aan verschillende extra functies enz. En dit is echter waar... gedeeltelijk. Toen we overstapten van analoge (digitale) telefonie, bevonden de abonneelijnen (van de abonneetelefoon naar het station of stationextensie) en de verbindingslijnen (communicatielijn tussen stations) zich niet minder dan alleen in de toegangs- en controlezone van de telefonie aanbieder. Met andere woorden: gewone mensen hadden daar geen toegang (of praktisch niet, als je de kabelgoot niet meeneemt). Ik herinner me een vraag op het goede oude hackerforum: “Vertel me hoe ik toegang krijg tot de PBX? - antwoord: "Nou, je neemt een bulldozer, ramt de muur van het telefooncentralegebouw en voila." En deze grap heeft een kern van waarheid) Met de overstap van telefonie naar een goedkope IP-omgeving kregen we echter ook de bedreigingen die een open IP-omgeving met zich meebrengt. Een voorbeeld van verworven bedreigingen is de volgende:

  • Het snuiven van signaalpoorten om tolgesprekken te voeren op kosten van iemand anders
  • Afluisteren door IP-spraakpakketten te onderscheppen
  • Oproeponderschepping, onwettige gebruiker die zich voordoet als legitieme gebruiker, man-in-the-middle-aanval
  • DDOS-aanvallen op stationssignaleringsservers om alle telefonie uit te schakelen
  • Spamaanvallen, waarbij een groot aantal fantoomoproepen naar een station wordt gestuurd om al zijn vrije bronnen te bezetten

Ondanks de duidelijke noodzaak om alle mogelijke kwetsbaarheden te elimineren om de kans op een bepaalde aanval te verkleinen, moet de implementatie van bepaalde beschermingsmaatregelen in feite beginnen met het opstellen van een schema dat rekening houdt met de kosten van het implementeren van beschermende maatregelen tegen een specifieke dreiging. en de verliezen die de onderneming lijdt als gevolg van de implementatie van deze dreiging door aanvallers. Het is tenslotte dom om meer geld uit te geven aan de veiligheid van een bezit dan aan de waarde van het bezit zelf dat we beschermen.
Nadat we het beveiligingsbudget hebben bepaald, zullen we beginnen met het elimineren van precies die bedreigingen die het meest waarschijnlijk zijn voor het bedrijf; voor een kleine organisatie zal het pijnlijkste zijn om een ​​​​grote rekening te ontvangen voor onvolmaakte interlokale en internationale gesprekken; terwijl het voor overheidsbedrijven van het grootste belang is om de vertrouwelijkheid van gesprekken te handhaven. Laten we onze geleidelijke overweging in het huidige artikel beginnen met basiszaken: dit is de bepaling op een veilige manier levering van servicegegevens van station naar telefoon. Vervolgens gaan we in op de authenticatie van telefoons voordat ze met het station worden verbonden, de authenticatie van het station vanaf de telefoons, en de encryptie van signaalverkeer (om informatie te verbergen over wie er belt en waar) en de encryptie van gespreksverkeer.
Veel fabrikanten van spraakapparatuur (waaronder Cisco Systems) beschikken al over geïntegreerde beveiligingstools, van de gebruikelijke beperking van het bereik aan IP-adressen van waaruit gebeld kan worden tot de authenticatie van eindapparaten met behulp van een certificaat. Zo is fabrikant Cisco Systems met zijn spraakproductlijn CUCM (Cisco Unified CallManager) vanaf productversie 8.0 (releasedatum mei 2010; versie 10.5 uit mei 2014 is momenteel beschikbaar) de functie “Security by Default” gaan integreren. Wat het omvat:

  • Authenticatie van alle bestanden gedownload via TFTP (configuratiebestanden, firmwarebestanden voor telefoons, enz.)
  • Versleuteling van configuratiebestanden
  • Het certificaat controleren terwijl de telefoon de HTTPS-verbinding initialiseert

Laten we eens kijken naar een voorbeeld van een “man in the middle”-aanval, waarbij een onwettig persoon configuratiebestanden voor telefoons onderschept, waaruit de telefoon leert bij welk station hij zich moet registreren, met welk protocol hij moet werken, welke firmware hij moet downloaden, enz. Nadat de aanvaller het bestand heeft onderschept, kan hij er zelf wijzigingen in aanbrengen of het configuratiebestand volledig wissen, waardoor wordt voorkomen dat de telefoons van het hele kantoor (zie afbeelding) zich op het station registreren en, als gevolg daarvan, het kantoor wordt beroofd van de mogelijkheid om te bellen.

Afb.1 Man-in-the-middle-aanval

Om ons hiertegen te beschermen hebben we kennis nodig van asymmetrische encryptie, infrastructuur openbare sleutels en ideeën over de componenten van Security by Default, waarmee we nu kennis zullen maken: Identity Trust List (ITL) en Trust Verification Service (TVS). TVS is een service die is ontworpen om verzoeken te verwerken van IP-telefoons die geen ITL- of CTL-bestand in het interne geheugen hebben. De IP-telefoon neemt contact op met TVS als hij zeker wil weten of hij een bepaalde dienst kan vertrouwen voordat hij er toegang toe krijgt. Het station fungeert ook als opslagplaats voor certificaten van vertrouwde servers. ITL is op zijn beurt een lijst met publieke sleutels van de stationelementen waaruit het cluster bestaat, maar voor ons is het belangrijk dat de publieke sleutel van de TFTP-server en de publieke sleutel van de TVS-dienst daar worden opgeslagen. Wanneer de telefoon voor het eerst opstart en de telefoon zijn IP-adres en TFTP-serveradres heeft ontvangen, vraagt ​​hij om de aanwezigheid van een ITL-bestand (Fig. 2). Als het zich op de TFTP-server bevindt, uploadt het het blindelings vertrouwend naar zijn intern geheugen en slaat op tot de volgende herstart. Na het downloaden van het ITL-bestand vraagt ​​de telefoon om een ​​ondertekend configuratiebestand.

Laten we nu eens kijken hoe we cryptografietools kunnen gebruiken: een bestand ondertekenen met de MD5- of SHA-hashfuncties en coderen met de privésleutel van de TFTP-server (Fig. 3). Het bijzondere aan hashfuncties is dat het eenrichtingsfuncties zijn. Op basis van de hash die van een bestand wordt ontvangen, is het onmogelijk om de omgekeerde bewerking uit te voeren en exact het originele bestand te verkrijgen. Wanneer een bestand wordt gewijzigd, verandert ook de hash die uit dit bestand wordt verkregen. Het is vermeldenswaard dat de hash niet naar het bestand zelf wordt geschreven, maar er eenvoudigweg aan wordt toegevoegd en ermee wordt verzonden.

Fig.3 Het telefoonconfiguratiebestand ondertekenen

Bij het genereren van een handtekening wordt het configuratiebestand zelf genomen, de hash eruit gehaald en gecodeerd privé sleutel TFTP-server (die alleen een TFTP-server heeft).
Bij ontvangst van dit instellingenbestand controleert de telefoon het in eerste instantie op integriteit. We herinneren ons dat een hash een eenrichtingsfunctie is, dus de telefoon hoeft niets anders te doen dan de door de TFTP-server gecodeerde hash te scheiden van het configuratiebestand, deze te decoderen met behulp van de openbare TFTP-sleutel (en hoe weet de IP-telefoon deze? ? - en alleen vanuit het ITL-bestand), vanuit een schoon configuratiebestand, bereken de hash en vergelijk deze met wat we tijdens de decodering hebben ontvangen. Als de hash overeenkomt, betekent dit dat er tijdens de verzending geen wijzigingen in het bestand zijn aangebracht en dat het bestand veilig op de telefoon kan worden gebruikt (Fig. 4).

Fig.4 Het configuratiebestand controleren met een IP-telefoon

Het ondertekende configuratiebestand voor de telefoon wordt hieronder weergegeven:

Rijst. 5 Ondertekend IP-telefoonbestand in Wireshark

Door het configuratiebestand te ondertekenen, konden we de integriteit van het overgedragen instellingenbestand garanderen, maar we beschermden het niet tegen weergave. U kunt behoorlijk wat halen uit het vastgelegde configuratiebestand nuttige informatie, bijvoorbeeld IP-adres telefooncentrale(in ons voorbeeld is dit 192.168.1.66) en open poorten op station (2427), enz. Is het niet heel belangrijke informatie die je niet zomaar op internet zou willen laten ‘schijnen’? Om deze informatie te verbergen, bieden fabrikanten het gebruik van symmetrische codering (dezelfde sleutel wordt gebruikt voor codering en decodering). In het ene geval kan de sleutel handmatig in de telefoon worden ingevoerd; in een ander geval wordt het configuratiebestand van de telefoon op het station gecodeerd met behulp van de openbare sleutel van de telefoon. Voordat het bestand naar de telefoon wordt verzonden, codeert de tftp-server waarop dit bestand is opgeslagen het met de openbare sleutel van de telefoon en ondertekent het met de privésleutel (zo garanderen we niet alleen geheimhouding, maar ook integriteit overgedragen bestanden). Het belangrijkste hier is om niet in de war te raken over wie welke sleutel gebruikt, maar laten we het op een rij zetten: de tftp-server zorgde er, door het bestand te coderen met de openbare sleutel van de IP-telefoon, voor dat alleen de eigenaar van de gekoppelde openbare sleutel kan dit bestand openen. Door het bestand met zijn privésleutel te ondertekenen, bevestigt de tftp-server dat hij het heeft gemaakt. Het gecodeerde bestand wordt weergegeven in Figuur 6:

Fig.6 Gecodeerd IP-telefoonbestand

Dus op dit punt hebben we gekeken naar het beschermen van onze telefoonconfiguratiebestanden tegen weergave en het waarborgen van hun integriteit. Dit is waar de functionaliteit van Security by Default eindigt. Om de versleuteling van spraakverkeer te garanderen en signaleringsinformatie te verbergen (over wie er belt en waar ze bellen), zijn aanvullende tools nodig op basis van de lijst met vertrouwde certificaten - CTL, die we verder zullen overwegen.

Authenticatie van telefooncentrale

Wanneer een telefoon moet communiceren met een telefooncentrale (bijvoorbeeld om te onderhandelen over een TLS-verbinding voor signaaluitwisseling), moet de IP-telefoon de centrale authenticeren. Zoals u wellicht kunt raden, worden certificaten ook veel gebruikt om dit probleem op te lossen. Op dit moment bestaan ​​moderne IP-stations uit een groot aantal elementen: verschillende signaleringsservers voor het verwerken van oproepen, een speciale beheerserver (hierdoor worden nieuwe telefoons, gebruikers, gateways, routeringsregels, enz. toegevoegd), een speciale TFTP-server voor het opslaan van configuratiebestanden en software voor telefoons, een server voor het uitzenden van wachtmuziek, enz.. Daarnaast kan de spraakinfrastructuur mogelijk voicemail, server voor het bepalen van de huidige status van de abonnee (online, offline, "tijdens de lunch") - de lijst is indrukwekkend en, belangrijker nog, elke server heeft zijn eigen zelfondertekende certificaat en elke server werkt als een rootcertificeringsinstantie (Fig. 7). Om deze reden zal geen enkele server in de spraakinfrastructuur het certificaat van een andere server vertrouwen. Een spraakserver vertrouwt bijvoorbeeld een TFTP-server niet, voicemail vertrouwt een signaleringsserver niet, en bovendien moeten telefoons de certificaten opslaan van alle elementen die deelnemen aan de uitwisseling van signaleringsverkeer. Certificaten van telefooncentrales worden weergegeven in Figuur 7.

Fig.7 Zelfondertekende Cisco IP-stationcertificaten

Voor de taken van het tot stand brengen van vertrouwensrelaties tussen de hierboven beschreven elementen in spraakinfrastructuren, evenals het coderen van spraak- en signaleringsverkeer, komt de zogenaamde Certificate Trust List (CTL) in beeld. De CTL bevat alle zelfondertekende certificaten van alle servers in het spraakstationcluster, evenals de servers die deelnemen aan de uitwisseling van telefoniesignaleringsberichten (bijvoorbeeld een firewall) en dit bestand is ondertekend met de privésleutel van een vertrouwde certificeringsinstantie (Afb. 8). Het CTL-bestand is gelijk aan de geïnstalleerde certificaten die in webbrowsers worden gebruikt bij het werken met het https-protocol.

Fig.8 Lijst met vertrouwde certificaten

Om een ​​CTL-bestand op Cisco-apparatuur te maken, hebt u een pc met een USB-connector nodig, het CTL-clientprogramma erop geïnstalleerd en de Site Administrator Security Token (SAST) zelf (Fig. 9), met daarin een privésleutel en een X.509v3-certificaat ondertekend door een fabrikant van een authenticatiecentrum (Cisco).

Afb.9 eToken Cisco

CTL-client is een programma dat op een Windows-pc wordt geïnstalleerd en waarmee u de GEHELE telefooncentrale naar de zogenaamde gemengde modus kunt overbrengen, dat wil zeggen een gemengde modus die de registratie van eindapparaten in veilige en onveilige modus ondersteunt. We starten de client, specificeren het IP-adres van de telefooncentrale, voeren de login/wachtwoord van de beheerder in en de CTL-client brengt een TCP-verbinding op poort 2444 met het station tot stand (Fig. 10). Hierna worden er nog maar twee acties aangeboden:

Afb.10 Cisco CTL-client

Na het maken van het CTL-bestand hoeft u alleen nog maar de TFTP-servers opnieuw op te starten, zodat ze het nieuw gemaakte CTL-bestand downloaden, en vervolgens de spraakservers opnieuw op te starten, zodat de IP-telefoons ook opnieuw opstarten en het nieuwe CTL-bestand (32 kilobytes) downloaden. Het gedownloade CTL-bestand kan worden bekeken via de IP-telefooninstellingen (Fig. 11)

Afb. 11 CTL-bestand op een IP-telefoon

Eindpuntverificatie

Om ervoor te zorgen dat alleen vertrouwde eindpunten zijn verbonden en geregistreerd, moet apparaatauthenticatie worden geïmplementeerd. In dit geval gebruiken veel fabrikanten een reeds beproefde methode: apparaatauthenticatie met behulp van certificaten (Fig. 12). In de Cisco-spraakarchitectuur is dit bijvoorbeeld als volgt geïmplementeerd: er zijn twee soorten certificaten voor authenticatie met bijbehorende publieke en private sleutels die op de telefoon zijn opgeslagen:
Door de fabrikant geïnstalleerd certificaat – (MIC). Het door de fabrikant geïnstalleerde certificaat bevat een 2048-bits sleutel, die is ondertekend door de certificeringsinstantie van de fabrikant (Cisco). Dit certificaat is niet op alle telefoonmodellen geïnstalleerd en als het wel is geïnstalleerd, is er geen noodzaak voor een ander certificaat (LSC).
Lokaal Significant Certificaat – (LSC) Een lokaal significant certificaat bevat de publieke sleutel van de IP-telefoon, die wordt ondertekend door de privésleutel van het lokale authenticatiecentrum, dat op de telefooncentrale zelf draait, de Certificate Authority Proxy Function (CAPF).
Dus als we telefoons hebben met een vooraf geïnstalleerd MIC-certificaat, zal elke keer dat de telefoon zich bij een station registreert, het station om een ​​vooraf door de fabrikant geïnstalleerd certificaat vragen voor authenticatie. Als de MIC echter beschadigd is, moet voor het vervangen ervan contact worden opgenomen met het certificeringscentrum van de fabrikant, wat veel tijd kan vergen. Om niet afhankelijk te zijn van de responstijd van de certificeringsinstantie van de fabrikant om een ​​gecompromitteerd telefooncertificaat opnieuw uit te geven, verdient het de voorkeur een lokaal certificaat te gebruiken.

Afb. 12 Certificaten voor authenticatie van eindapparaten

Standaard wordt er geen LSC-certificaat geïnstalleerd op een IP-telefoon en kan de installatie worden uitgevoerd met behulp van een MIB-certificaat (indien beschikbaar), of via een TLS-verbinding (Transport Layer Security) met behulp van een gedeelde openbare sleutel die handmatig is gegenereerd door de beheerder op de station en ingevoerd op de telefoon.
Het proces van het installeren van een lokaal significant certificaat (LSC) op de telefoon dat de openbare sleutel van de telefoon bevat, ondertekend door een lokale certificeringsinstantie, wordt weergegeven in Figuur 13:

Fig.13 Installatieproces van een lokaal geldig LSC-certificaat

1. Nadat de IP-telefoon is geladen, vraagt ​​deze om een ​​vertrouwde lijst met certificaten (CTL-bestand) en een configuratiebestand
2. Het station verzendt de gevraagde bestanden
3. Op basis van de ontvangen configuratie bepaalt de telefoon of er een lokaal significant certificaat (LSC) van het station moet worden gedownload
4. Als we op het station hebben ingesteld dat de telefoon een LSC-certificaat installeert (zie hieronder), dat het station zal gebruiken om deze IP-telefoon te authenticeren, dan moeten we ervoor zorgen dat bij een verzoek om een ​​LSC-certificaat af te geven, het station geeft het door aan de persoon voor wie het bestemd is. Voor deze doeleinden kunnen we een MIC-certificaat gebruiken (indien beschikbaar), een eenmalig wachtwoord voor elke telefoon genereren en dit handmatig op de telefoon invoeren, of helemaal geen autorisatie gebruiken.
Het voorbeeld demonstreert het proces van het installeren van LSC met behulp van het gegenereerde

Mogelijk gemaakt door SEO CMS versie: 23.1 TOP 2 (opencartadmin.com)

Cursuscode BT19, 2 dagen

Status

Annotatie

De cursus is gewijd aan complexe kwesties van het analyseren van de beveiliging en het waarborgen van de veiligheid van IP-telefonie (Voice over IP (VoIP) - een communicatiesysteem dat zorgt voor de overdracht van een spraaksignaal via internet of andere IP-netwerken. Bespreekt dit in detail). moderne benaderingen aan de constructie van de IP-telefonie-infrastructuur en de bescherming ervan, kwetsbaarheden en aanvallen op de componenten ervan. Speciale aandacht richt zich op monitoringsystemen en methodologie voor het analyseren van VoIP-netwerkbeveiliging.

Meer dan 50% van de trainingstijd wordt besteed aan praktisch werk op het gebied van beveiligingsanalyse en configuratie van VoIP-componenten in overeenstemming met de beveiligingsvereisten van zowel kleine organisaties als ondernemingen met een ontwikkeld vestigingsnetwerk en geografisch verspreide gebruikers.

De cursus maakt gebruik van materialen en aanbevelingen van internationale organisaties die bevoegd zijn op het gebied van informatiebeveiliging, zoals het European Telecommunications Standards Institute (ETSI), International Telecommunication Union (ITU), Voice over IP Security Alliance (VOIPSA) en verschillende anderen.

De server- en werdie in het trainingsproces wordt gebruikt, stelt elke specialist in staat individueel praktijkwerk uit te voeren op een individueel VoIP-netwerk. Teamwerk specialisten worden uitgevoerd met behulp van software en software-hardwaretelefoons.

Publiek:

  • Systeem- en netwerkbeheerders die verantwoordelijk zijn voor het bedienen van VoIP-applicaties
  • Beheerders van informatiebeveiliging
  • Experts en analisten over kwesties computerbeveiliging, verantwoordelijk voor het analyseren van de staat van informatiebeveiliging, het bepalen van vereisten voor de beveiliging van netwerkbronnen en bescherming tegen het lekken van vertrouwelijke informatie via technische kanalen.

Voorlopige voorbereiding

  • Basiskennis van IP-netwerken, basisprotocollen en TCP/IP-stackservices
  • Vaardigheden in het werken met Windows 2003/2008 en Linux

U kunt uw kennis van de TCP/IP-stackprotocollen testen door een zelftest aan te vragen bij het Leercentrum.

  • BT05 " "
  • BT03 " "

Na voltooiing van de opleiding

Je doet kennis op:

  • over moderne mechanismen en middelen om VoIP-netwerken te beschermen
  • over de kwetsbaarheden van VoIP-protocollen en -diensten: SIP, H.323, RTP
  • over het gebruik van beveiligde protocollen TLS, SRTP

U kunt:

  • gebruik netwerkanalysatoren om het verkeer te monitoren
  • Analyseer de veiligheid van VoIP-netwerken
  • zorgen voor een veilige werking van IP-telefonie en conferenties

Luisterpakket

  • Merktrainingshandleiding
  • Versies van de belangrijkste beveiligingsmaatregelen die in de cursus worden besproken, aanvullende en achtergrondinformatie over het onderwerp van de cursus in elektronische vorm

Aanvullend

Nadat ze de test met succes hebben afgelegd, ontvangen afgestudeerden opleidingscertificaten van het Informzashita Training Center.

Afgestudeerden van het Opleidingscentrum kunnen deze ontvangen gratis consultaties centrumspecialisten in het kader van de afgeronde opleiding.

Cursus programma

  • Basisconcepten en definities van VoIP. Terminologie. VoIP-architecturen en hun componenten. Kwaliteit van de overdracht van spraakinformatie. Codecs.
  • Basis VoIP-protocollen. Architectuur. Analyse van VoIP-protocollen. Wireshark-netwerkanalysator.
  • Kwetsbaarheden en aanvallen op VoIP. Classificatie van kwetsbaarheden in IP-telefonie.
  • VoIP-netwerkinventaris. Inventarisatie van VoIP-applicaties. Gebruikersinventaris.
  • Onderschepping van VoIP-verkeer. Routeringsovertreding. Man-in-the-middle-aanval.
  • Manipulatie in VoIP-systemen. Abonneeregistraties verwijderen. Ongeautoriseerde registratie. Registratie onderschepping.
  • Aanvallen op het realtime verkeersprotocol RTP (Real-Time Protocol). Mengen van spraaksignalen.
  • Spam in VoIP-netwerken. Spam organiseren met Asterisk.
  • Beveiligingsmechanismen voor IP-telefonie. Niveaus van informatie-infrastructuur van een bedrijfsnetwerk. Verdediging in de diepte concept. Overzicht van mechanismen en middelen om netwerken te beschermen.
  • Het plannen van een veilige IP-telefonienetwerkinfrastructuur. De locatie van de VoIP-server op het netwerk selecteren. Beveiliging netwerkbeveiliging VoIP-servers. Firewall-configuratie. Het gebruik van aanvalsdetectiesystemen. Netwerkapparatuur opzetten.
  • VoIP-beveiligingsanalyse. Methodologie. Beveiligingsanalysesystemen. Classificatie opties. Architectuur en werkingsprincipes van scanners. SiVuS-programma (SIP Vulnerability Scanner).
  • Cryptografische bescherming in VoIP-netwerken. Cryptografische methoden voor informatiebescherming. Virtueel particulier netwerk. Algemene principes een VPN bouwen. Sleutelbeheer. Infrastructuurmodel met publieke sleutel. X.509-certificaatindeling met openbare sleutel. Met behulp van TLS (Transport Layer Security), SRTP (Secure Real-time Transport Protocol). Asterisk instellen.
  • Hardware- en software-encryptiecomplex "Continent". Een VPN maken op basis van APKSH "Continent". Toepassing van APKSH "Continent" voor VoIP-bescherming.
  • Kantoorcommunicatieserver. Architectuur. Gebruiksgevallen. Office Communication Server installeren en configureren.

Eindklassement



GERELATEERDE ARTIKELEN