2005 г.
Безопасность IP–телефонии — полевые зарисовки
Александр Веселов, СЕТИ и Телекоммуникации
Вопрос сетевой безопасности сегодня достаточно актуален. Каковы же основные аспекты и проблемы безопасности, возникающие в IP+телефонных сетях таких ведущих производителей, как Avaya и Cisco?
Можно ли защитить IP-телефонную сеть от атак хакеров? Да, можно. По крайней мере, это показало тестирование систем IP-телефонии. Однако позитивный результат зависит и от того, IP-УАТС какого производителя используется, и от того, готовы ли вы вкладывать дополнительные средства в планирование, и, разумеется, обеспечение сетевой безопасности. Целью этого тестирования было установить, насколько оборудование IP-телефонии ведущих производителей защищено от преднамеренных атак хакеров. Принять участие в тестировании предложили пяти ведущим поставщикам IP-телефонных решений, однако на это согласились только компании Cisco и Avaya.
Максимально защищенная VoIP-конфигурация от Cisco включала в себя сервер управления вызовами и голосовой почты CallManager, коммутаторы третьего уровня Catalyst 4500 и 6500, a также дополнительно систему обнаружения вторжений (IDS) и межсетевой экран (PIX firewall). Эта конфигурация получила наивысшую оценку по надежности (критерии оценки приведены в таблице справа). Специальной команде "хакеров" не удалось приостановить или даже дестабилизировать работу IP-телефонной сети Cisco в течение трех дней непрерывных атак.
Компания Avaya представила две конфигурации – с минимальным набором средств защиты и соответственной стоимостью, а также максимально защищенное альтернативное решение, которое включало в себя межсетевой экран и коммутаторы третьего уровня производства компании Extreme Network. Уровень безопасности базового решения от Avaya можно оценить как "уязвимый" (см. таблицу справа), в то время как система, оснащенная дополнительными средствами защиты, получила более высокую оценку – "устойчивая". Правила тестирования при этом несколько ограничивали возможности команды "хакеров", состоящей из четырех человек. Так, например, они могли использовать только хакерский инструментарий, доступный в интернете, атаки должны были осуществляться с сетевого интерфейса пользователя или IP-телефона, как если бы хакер имел возможный доступ к рабочему месту пользователя. При этом основной задачей "хакеров" было приостановить нормальную работу IP-телефонной сети. Команда "хакеров" использовала для этого различные средства сканирования и ряд других методов для определения топологии и конфигурации сети, поскольку не было никакой информации о конфигурации представленных производителями сетей. После проведения разведки на местности и определения целей удара, "хакеры" производили одновременно около десятка различных типов атак в различных комбинациях и последовательности.
Следует учитывать, что согласно нашим правилам тестирования и ограниченной длительности тестов, атаки, проведенные на оборудовании вышеуказанных производителей, не были такими жесткими, какие могли бы произвести настоящие хакеры. Специалисты по безопасности, участвовавшие в тестировании, также отметили, что данные атаки имели среднюю интенсивность и степень опасности.
Крепкий орешек
Компания Cisco в очередной раз доказала, что она способна построить VoIP-сеть, которая может серьезно противостоять изощренным хакерским атакам: они не смогли остановить и даже серьезно помешать ее работе.
Выбранная IP-телефонная сеть (рис.) с использованием сетевой инфраструктуры третьего уровня и дополнительных средств безопасности – наиболее совершенное решение на сегодняшний день, использующее все доступные средства защиты. Необходимо подчеркнуть, что представленная топология состоит из гораздо большего количества средств безопасности, чем используется большинством пользователей. Дополнительно оборудование включает в себя два отдельных межсетевых экрана PIX firewalls ($8,000 каждый), модуль межсетевого экрана для магистрального коммутатора Catalyst 6500 ($35,000), модуль системы IDS для шасси 6500 ($30,000), а также отдельную сеть управления и различные средства управления.
Схема IP-телефонной сети компании Cisco
При этом стоимость межсетевых экранов и системы IDS несколько превышает $80,000. По этому поводу представители компании Cisco говорят, что использовалось оборудование, которое оказалось под рукой, а вообще можно применять гораздо менее дорогостоящие межсетевые экраны и системы IDS от Cisco.
Использование межсетевых экранов значительно повышает безопасность VoIP-сети, поскольку они позволяют определить доверяемые и недоверяемые интерфейсы. При этом недоверяемые интерфейсы всегда были направлены в сторону хакеров. Использование фильтрации трафика с учетом состояния соединения (stateful) позволяет пропускать только необходимый VoIP-трафик и соединения, установленные в необходимом направлении (от сервера к клиенту или наоборот).
Среди других возможностей межсетевых экранов, которые использовались во время тестирования, можно назвать следующие:
- фильтрация трафика управления установкой VoIP-соединений и возможность передачи трафика управления через NAT и сетевые туннели;
- TCP-перехват, который обеспечивает проверку закрытия TCP-сессий, что позволяет защищаться от ряда атак типа отказа в обслуживании (DoS) на CallManager;
- поддержка протокола Secure SCCP (Secure Skinny Call-Control Protocol). Этот протокол гораздо лучше защищен, чем протокол управления SCCP, ранее использовавшийся в оборудовании компании Cisco для построения VoIP-сетей. Протокол Secure SCCP использует TCP-транспорт вместо UDP и шифрует всю информацию управления.
Четвертая версия ПО 4.0 CallManager, которое управляет процедурой установки вызовов и является "сердцем" VoIP-решений компании Cisco, включает в себя ряд новых функций безопасности. Ключевой среди них можно назвать впервые реализованную в данном релизе CallManager возможность шифрования VoIP-трафика. В настоящее время возможность шифрования данных реального времени протокола RTP (Real-time Transfer Protocol) поддерживается только новыми IPтелефонами серии 7970.
В последних версиях CallManager и в поставляемой с ним специальной версии Windows 2000 также были усилены меры безопасности, что в нашем случае означает, что были отключены неиспользуемые порты и сервисы. Впечатляющий набор средств самозащиты был включен и в последние версии ПО коммутаторов Catalyst. Так, мы использовали IOS 12.2(17b)sxa на магистральном устройстве Catalyst 6500 и IOS 12.1(20)ew на входных Catalyst 4500. Из всего набора оборудования данные коммутаторы являлись основными средствами защиты от поступающих атак, поскольку они расположены на границе сети в первом эшелоне обороны.
В перечень функций защиты входят:
- ограничение и представление гарантируемой полосы пропускания, что позволяет эффективно подавлять DoS-атаки;
- Layer 2 port security (ограничивает число устройств с различными MAC-адресами, подключенными к одному порту);
- Layer 2 Dynamic Host Configuration Protocol snooping, предотвращающий атаки на исчерпание пула адресов DHCP-сервиса;
- Dynamic Address Resolution Protocol inspection (предотвращает засорение таблиц ARP и "воровство" адресов). Эта функция сорвала очень много запланированных атак;
- IP Source Guard, который предотвращает атаки с анонимных адресов;
- Virtual LAN ACL (access control lists), ограничивающий адреса узлов, которые могут передавать данные IP-телефонам.
Агент безопасности Cisco (CSA) – это ПО для обнаружения вторжений, устанавливаемое на отдельном узле, и сегодня оно является неотъемлемой частью CallManager IP-телефонных серверов. Также данное ПО устанавливается для сервера голосовой почты Ciscо Unity и ряда других серверов Win 2000. Агенты CSA после установки запускаются автоматически и постоянно отслеживают сетевые атаки.
Также они обеспечивают ряд мощных дополнительных возможностей:
- защиту от переполнения буферов сервера;
- определение приложений типа "троянский конь", "червь";
- недопущение запуска незарегистрированных приложений;
- защиту от атак типа syn flood на стек протокола TCP-сервера;
- определение сканирования портов, которое обычно производится хакерами для обнаружения запущенных сервисов и их возможных уязвимостей перед началом атаки.
После трех дней непрерывных атак команда "хакеров" не смогла существенно нарушить работу IP-телефонной сети. При этом можно отметить лишь два слабых места в решении от Cisco.
Первое – это то, что "хакерам" удалось подключить пассивный зонд к соединению IP-телефона с сетью. С этого плацдарма они смогли собирать и анализировать поступающий трафик – типы протокола, адреса, а также захватывать RTP-трафик, с помощью которого в сети передаются речевые сообщения. Однако голосовой трафик для IP-телефонов Cisco 7970 может быть зашифрован с использованием 128-битного ключа, который атакующая сторона так и не смогла расшифровать.
Второй негативный момент заключается в том, что с помощью собранной информации "хакеры" смогли подключить свои собственные ПК к сети, получить доступ к голосовой ВЛВС и передавать трафик другим устройствам, находящимся в этой ВЛВС. При этом, однако, они не смогли перевести ни одного соединения или эмулировать IP-телефон. Также команде "хакеров" удалось выявить ошибки в конфигурации двух сетевых устройств, но это уже остается на совести персонала компании.
Avaya – первая и вторая попытки
Первая конфигурация, которую представила компания Avaya для проведения тестирования безопасности VoIP-сети, имела минимальный набор дополнительных сетевых элементов (см. рис.). Фактически в данной конфигурации полностью отсутствовала какая-либо сетевая инфраструктура третьего уровня.
Схема IP-телефонной сети компании Avaya
Все IP-подсети проходили через "плоскую" инфраструктуру коммутируемой Ethernet-сети второго уровня, при этом они, однако, были разделены на несколько изолированных виртуальных ЛВС (VLAN): одна – для голоса, другая – для данных.
Также в сети не были использованы межсетевые экраны. Несмотря на такую "аскетичную" сетевую инфраструктуру, VoIP-решение от Avaya имеет ряд встроенных механизмов безопасности, как-то:
- система управления вызовами (состоит из двух резервируемых медиасерверов S8700), которая подключается к специальной выделенной ЛВС, которая, в свою очередь, отделена и изолирована от "рабочей" ЛВС предприятия. Серверы подключаются только к специализированному системному IP-интерфейсу, находящемуся в шасси медиашлюза G650;
- система голосовой почты, которая подключается с помощью аналогового интерфейса. По утверждению компании Avaya, это является преимуществом – даже в случае полного выхода из строя IP-телефонной подсети, например, в результате хакерской атаки, вызовы из телефонной подсети общего пользования могут перенаправляться на систему голосовой почты вне зависимости от состояния IP-подсистемы;
- для удаленной диагностики и управления системой применяется безопасное выделенное модемное соединение, а не интернет-канал связи. Хоть это и значительно снижает число возможных IP-атак, последним достижением техники его сложно назвать;
- инсталляция системного программного обеспечения, состоящая из двух этапов. Первый этап заключается в том, что администратор загружает ПО на переносной ПК, а затем только – на систему управления вызовами.
Однако в решении от Avaya управляющая информация не шифруется, а систему паролей, используемую для аутентификации IP-телефонов, вряд ли можно назвать криптографически сильной. Коммутатор Avaya Cajun P333 также предлагает некоторые средства обеспечения безопасности. Например, в данном случае использовались следующие:
- для обеспечения безопасности сетевых портов администратор может ограничить число MAC-адресов, подключаемых к нему одним, двумя или тремя. В нашем тестировании для каждого порта определялся только один MAC-адрес. При этом, если пользователя необходимо переключить с одного порта на другой, администратору приходится вручную переконфигурировать устройство. Однако хакерский компьютер может использовать поддельный MAC-адрес реального пользователя или IP-телефона, и коммутатор не почувствует никакой разницы;
- ограничение доступом к управлению – на коммутаторе можно запретить доступ к системной консоли через IP-сеть (вэб- и Telnet), разрешив управление только через последовательный порт консоли;
- SNMP-ловушки могут быть сконфигурированы для сигнализации нарушений VLAN или других изменений конфигурации коммутатора.
Команда "хакеров" не смогла получить информацию из SNMP-базы IP-телефонов Avaya, используя доступ с помощью стандартного имени public, к тому же телефоны не могут быть реконфигурированы, выключены или еще каким-то образом выведены из нормального режима работы посредством SNMP.
Два основных "трюка", проделанных командой "хакеров" с оборудованием Cisco, удались и на этот раз – атакующая сторона смогла установить пассивный зонд в соединение IP-телефона с сетью и производить сбор и анализ трафика. При этом VoIP-потоки от/к Avaya 4620 IP-телефонам были зашифрованы.
"Хакеры" также подключили свои ноутбуки к голосовой VLAN и далее производили "опрос" устройств в этой VLAN, однако они не смогли "подделать" IP-телефон или перевести в свою сторону IP-телефонное соединение. Атакующей стороне удалось также выявить две серьезные уязвимости, которые могут быть использованы для того, чтобы прервать нормальное функционирование телефонной сети. Первой эффективной атаке подверглись только IP-телефоны, она была достаточно сложной и включала в себя два этапа.
На первом этапе на IP-телефоны передавался специальный поток пакетов с высокой интенсивностью, что приводило к тому, что устройство перезагружалось, а затем следовала вторая фаза атаки. На последнем этапе телефон получал небольшую порцию IP-пакетов, после которой выходил из строя на 20 минут.
Таким способом можно выключать большое количество IP-телефонов один за одним, а повторно передавая специальный поток пакетов в течение 20-минутного промежутка, IP-телефоны могут быть выведены из строя на продолжительный период времени.
Другая обнаруженная уязвимость состояла в том, что дополнительный порт Ethernet на IPтелефонах Avaya пропускает пользовательские Ethernet-кадры с любыми установленными тегами VLAN. Это значительно упрощает задачу хакеров, так как в данном случае нет необходимости отключать IP-телефон от сети – нужно просто подключить к нему ноутбук и установить необходимый тег VLAN на сетевом адаптере. Кроме того, было выявлено, что определенный тип трафика, пересылаемый на оборудование установки вызовов, может значительно увеличить время установки соединения. Таким образом, хакер может просто "положить" IP-телефонную сеть.
Avaya: второй раунд
Компания Avaya предложила второй вариант своего решения с большим количеством средств обеспечения безопасности (рис. крайний справа). Специалисты компании заменили в IP-телефонной сети коммутаторы второго уровня Cajun P333 на более совершенные устройства третьего уровня от компании Extreme, партнера Avaya.
Новыми ключевыми элементами, вошедшими в состав сети, стали шлюз безопасности Avaya SG208 ($15,000), коммутаторы Extreme Summit 300-48 ($8,000) и Extreme Alpine 3804 ($10,000). При этом набор VoIP-оборудования и версии его ПО не изменились (включая шлюзы, модули и IPтелефоны). Модуль CLAN имел версию ПО под номером 9; модуль медиаобработки – 75, IP-телефоны – 2.0.
Коммутатор Avaya Cajun P333, который использовался в предыдущем тесте, был заменен на Summit 300-48. Таким образом, стоимость оборудования, призванного повысить уровень безопасности IP-телефонной сети от Avaya, составила около $30,000.
Поддержка в сети IP-маршрутизации позволила снизить число возможных хакерских атак. Основными средствами, обеспечивающими безопасность сети, стали:
- ограничение трафика: коммутатор Summit позволяет ограничить величину широковещательного TCP- или UDP-трафика значением 1 Мбит/с;
- индивидуальные VLAN: для каждого порта, к которому подключен IP-телефон, была создана своя собственная виртуальная ЛВС.
При этом один IP-телефон не может напрямую связываться с другим IP-телефоном, поскольку они находятся в различных ВЛВС. Естественно, трафик между ними должен маршрутизироваться. При этом он может дополнительно проверяться и блокироваться в зависимости от типа протокола и т.д.
Надо отметить, что настройка отдельной VLAN для каждого IP-телефона является сложной работой для системного администратора, особенно когда число IP-телефонов достигает нескольких сотен. Поэтому масштабируемость такого решения затруднительна.
Также в IP-телефонах была отключена возможность обмениваться напрямую RTP-трафиком, минуя модуль медиаобработки, что делает сеть централизированной и повышает безопасность ее работы. Однако в этом случае модуль медиаобработки может стать "бутылочным горлышком" для производительности сети. По данным компании Avaya, модуль медиаобработки может обрабатывать до 64-х одновременных вызовов, что опять же снижает масштабируемость решения.
Коммутатор Extreme Alpine мог ограничивать трафик по MAC-адресу источника, и чтобы начать атаку, команде "хакеров" необходимо было "украсть" существующий MAC-адрес IP-телефона. Это было достигнуто опять-таки с использованием пассивного зонда.
Межсетевой экран SG208 был сконфигурирован таким образом, чтобы пропускать трафик только с определенных портов на контроллер вызовов. Только трафик с узкого диапазона UDPпортов мог поступать на модуль медиаобработки и только порты и протоколы, ответственные за передачу H.323-информации управления и сигнализации, могли поступать на CLAN-модуль. Однако команде "хакеров" не понадобилось много времени для того, чтобы определить номера открытых портов с помощью известной техники. Используя "украденные" идентификаторы IPтелефона, "хакеры" смогли установить контакт с контроллером вызовов и получить от него ответ. При этом не нужно эмулировать все аспекты работы реального IP-телефона или даже знать его пароль, для того чтобы получить доступ к контроллеру вызовов. Полная эмуляция работы IP-телефона и знание его пароля необходимы лишь для того, чтобы произвести неавторизированный вызов. Однако большинство хакеров преследует более простые цели.
Как и при первом тестировании сети Avaya, а также сети Cisco, атакующая сторона смогла применить пассивный зонд и подключить его к сетевой инфраструктуре для подключения IP-телефонов, чтобы таким образом производить сбор необходимых данных и мониторинг трафика, однако "разобрать" зашифрованный голосовой трафик не удалось.
Аналогично при помощи собранной информации "хакеры" смогли подключить собственный ноутбук вместо IP-телефона, установив необходимый MAC- и IP-адрес, а также номер VLAN реального IP-телефона, и так получить доступ к VoIP-инфраструктуре.
Многие атаки, которые были успешны в предыдущем случае, уже не работали в усовершенствованной сети, однако команда "хакеров" снова смогла выявить уязвимости. Передавая не большую по объему "пачку" пакетов к контроллеру вызовов и используя определенный тип протокола и номер tcp-порта, "хакеры" могли сорвать процедуры регистрации IP-телефонов. Однако реально это может повлиять на работу только очень небольшого числа IP-телефонов, поскольку процедура регистрации телефона происходит только при его первом подключении к сети. Поэтому если телефон не переключен в другой порт или выключен, ему не нужно проходить процедуру регистрации.
Компания Avaya заявила, что для ликвидации этой уязвимости необходимо установить программную заплату на ПО управления, которую она намерена выпустить в ближайшем будущем. Итоговая оценка безопасности для последнего решения компании от Avaya, учитывая сравнительно не большую опасность выявленных уязвимостей, – "Устойчивое".
VoIP безопасен?
Итак, данное исследование выявило основные условия обеспечения сетевой безопасности: эффективными меры безопасности могут быть только тогда, когда они покрывают все уровни сетевой инфраструктуры.
Так, компания Cisco применяет такие средства защиты: на втором и третьем уровнях – модели ЭМВОС (коммутаторы Catalyst), четвертом и пятом – межсетевые экраны и системы обнаружения вторжений, шестом – шифрование RTPголосовых потоков (пока, правда, только для определенных моделей телефонов), и на седьмом уровне – с помощью серверных приложений Cisco Security Agent.
В то же время решения компании Avaya имеют ограниченный набор средств безопасности на втором-третьем уровнях и выше, за исключением шестого уровня. К своей чести, компания Avaya предлагает надежную схему шифрования RTPтрафика (уровень 6) и поддерживает его для всех своих IP-телефонов. Решения компании с максимально задействованными средствами безопасности имеют более эффективные средства защиты на третьем, четвертом и шестом уровнях, хотя при этом не лишены ряда уязвимостей. Следует отметить, что безопасность IP-телефонных решений в связи с их растущей популярностью станет решающим фактором при выборе оборудования того или иного производителя помимо таких стандартных факторов, как цена, производительность, функциональность и т.д.
Подготовлено по материалам "ComputerWorld Украина"