Информационная безопасность в сетях телефонной связи

11.06.2014
Проблемы уязвимости и обеспечение информационной безопасности в цифровых АТС

Поскольку АТС – это программируемая информационная система с множеством внешних связей, появляется необходимость классифицировать тип связей и опасность вмешательства [1]. На Рисунке 1 показаны угрозы для цифровых АТС.

1.1.jpg

Рисунок 1 – Потенциально опасные точки угроз для цифровых АТС 

Потенциально опасные точки угроз для цифровых АТС:

  1. Угроза атаки через АРМ администратора.

  2. Угроза несанкционированного входа в АРМ администратора.

  3. Угроза модификации системного или программного обеспечения администрирования узла связи.

  4. Угроза заражения файлов компьютерными вирусами.

  5. Угроза прослушивания и модификации трафика.

  6. Угроза модификации аппаратной части АРМ, АТС и линейной аппаратуры (вставка постороннего устройства).

  7. Угроза отказа в обслуживании.

  8. Угроза атаки через систему удаленного программирования и диагностики.

  9. Угроза атаки через систему сигнализации и управления.

  10. Угроза атаки наведенным сигналом.

  11. Угроза атаки по абонентским линиям.

  12. Угроза атаки через сеть электропитания.

  13. Угроза атаки через системы тарификации и записи переговоров.

Входы в программное обеспечение АТС могут быть легальными и нелегальными. К легальным входам относятся связи с системой удаленного программирования и диагностики и с локальной системой программирования и тарификации. Остальные входы - нелегальные. При этом в современных АТС вход удаленного программирования может быть заблокирован парольной защитой или физическим отключением. В интеллектуальных сетях указанный вход функционален и отключен быть не может.

Наибольшую опасность представляет вход удаленного программирования и диагностики АТС, функционально предназначенный для непосредственного вмешательства в ПО АТС.

Вход локального программирования и тарификации также очень опасен для ПО, однако, доступ к нему ограничен персоналом станции и безопасность может быть обеспечена организационными мерами.

Нападение по абонентским и соединительным линиям, а также со стороны системы сигнализации может быть произведено через включение в ПО "закладок", открывающих по кодовому сигналу доступ к ПО АТС с указанных направлений.

Нападение наведенным сигналом (например, с космического объекта) может быть осуществлено через аппаратурные закладки совместно с программными закладками.

Особой разновидностью может быть "внутреннее" направление, обеспеченное закладкой в ПО, срабатывающее от счетчика, даты или других внутренних факторов.

Для эффективной защиты цифровых АТС от угроз необходимо применять все возможные методы, начиная от организационно - технических мероприятий по охране объектов связи и кончая агентурно-оперативными по выявлению закладок непосредственно у разработчика и изготовителя систем коммутации. Основное же внимание следует сосредоточить на наиболее вероятном предмете нападения - программном обеспечении АТС.

Возможны три метода защиты ПО АТС: радикальный; консервативный; прагматический.

Радикальный метод защиты предполагает полную замену импортного фирменного ПО обеспечением собственной разработки на основе защищенной операционной системы. Радикальный метод наиболее трудоемок, но в достаточной степени гарантирует устойчивость ПО при нападении.

Консервативный метод заключается в исследовании фирменного ПО на предмет недокументированных возможностей (закладок) и устранение их. Консервативный метод требует получения исходных текстов от разработчика ПО, что практически невозможно. Кроме того, всякая смена версии ПО потребует дополнительного исследования. Не исключено, что исследованию должен подвергаться каждый экземпляр поставляемой АТС. Опыт таких работ есть, но лишь применительно к офисным АТС.

Прагматический метод является комбинацией указанных выше методов и состоит в разработке защищающей оболочки (shell) для фирменного ПО. Данный метод создания защитной оболочки наиболее реально осуществим, но при этом довольно трудоемок. Для его реализации требуется разработка специальных аппаратно-программных средств защиты: конвертеров и фильтров сигнализации, фильтров программирования АТС, кодировщиков (шифраторов) Е1, использования технологии виртуальных частных сетей для туннелирования трафика управления и сигнализации. На Рисунке 2 показаны аппаратные  и программные средства обеспечения безопасности цифровых АТС [1].

1.2.jpg

Рисунок 2  Методы защиты цифровых АТС и аппаратура защитной оболочки

С появлением новых телекоммуникационных технологий возрастает необходимость обеспечения безопасности глобальной сети телефонной связи. На сегодняшнем этапе, когда множество систем используют ОКС-7 для взаимодействия с телефонными сетями, особенно важно обеспечить адекватные меры по соблюдению безопасности сетей ОКС-7.

Безопасность сети общеканальной сигнализации ОКС-7, которая соединяет большинство существующих, построенных с использованием разных технологий, будь то традиционная телефония, интеллектуальные сети, сети сотовой связи, сети VoIP, ATM или ISDN, является приоритетной задачей для операторов связи. Международными стандартами определено использование системы ОКС-7 и в сетях связи следующего поколения NGN, а также в сетях мобильной связи третьего поколения UMTS [2].

В отличие от сетей IP, такие меры как аутентификация и шифрование не встроены в протоколы ОКС-7. Вместо реализации функций обеспечения безопасности в самом протоколе, при построении сетей ОКС-7 акцент смещен в сторону создания замкнутой инфраструктуры при соединении сетевых элементов на всех уровнях вплоть кабельных соединений.

За все время было зафиксировано несколько случаев выхода из строя телефонных сетей общего пользования, вызванных сбоями в работе сетей ОКС-7 вследствие перегрузок и распространения отказов по сети сигнализации.

Причина возможности возникновения перегрузок состоит в том, что структура протокола ОКС-7 в реальном оборудовании реализована в виде системы очередей, шин, внутренних матриц и процессоров. Любая из подсистем протокола может подвергнуться перегрузке при чрезмерном трафике. Анализ показывает, что основными причинами перегрузок являются запросы ремаршрутизации сигнального трафика, когда трафик с отказавшего звена направляется на резервное звено, а также в случае проведения телеголосований и во время социально значимых событий.

Перегрузки на уровне подсистемы передачи сообщений (MTP) возникают в тех случаях, когда трафик от нескольких источников направляется к одному пункту назначения (например, к базе данных узла управления услугами - SCP) или имеет место разбалансировка в прямом и обратном направлениях маршрута к пункту назначения (пример - обмен между SSP и SCP, когда небольшое увеличение трафика в одном направлении может привести к значительному росту в обратном). Перегрузки на уровне MTP может быть также связана с образованием петли в сети транзитных пунктов STP/SCCP Relay (SPR).

Перегрузки в подсистеме управления соединениями сигнализации (SCCP) возникают по причине того, что трансляция глобальных заголовков выполняется ограниченным числом пунктов сигнализации. В этих случаях сами SPR и звенья в их направлении становятся узким местом, подверженным перегрузкам. Так как алгоритмы контроля перегрузки внутри подсистем не стандартизированы МСЭ, то различия в их реализациях могут вызвать дисбаланс трафика различных подсистем.

Перегрузки на уровне подсистемы пользователей ISDN (ISUP) контролируются отдельным механизмом. Однако, при использовании одного звена для переноса трафика ISUP и SCCP, может возникнуть дисбаланс ограничения двух видов трафика из-за недостаточной координации разных механизмов ограничения перегрузки.

В Таблицах 1 и 2 приведены классификации угроз, связанных с преднамеренным и непреднамеренным нарушением безопасности сети ОКС-7 [2].

Таблица 1 – Классификация угроз, связанных с преднамеренным нарушением безопасности сети ОКС-7

Возможные

последствия

Виды угроз

Маскировка

Нарушение

целостности данных о ресурсах

Мониторинг и

раскрытие важной

информации

Получение

несанкционированного

доступа к данным о

ресурсах сигнализации

Изменение

маршрутизации

 

Потеря

конфиденциальности

передаваемых данных

Получение

несанкционированного

доступа к сетевому

оборудованию

 

Направление трафика к недоступному пункту

сигнализации

 

Потеря

конфиденциальности

информации, хранимой в сетевых базах данных

Изменение статуса

удаленной подсистемы

 

Изоляция подсистемы

пользователя

 

Изменение прав

пользователя или запрет доступа пользователя к услуге

 

Изоляция пункта

сигнализации

 

 

Таблица 2 – Классификация угроз, связанных с непреднамеренным нарушением

безопасности сети ОКС-7

Возможные

причины

 

Вид угрозы

 

Перегрузка

Распространение отказов

 

Реконфигурация сети вследствие

отказов

Неадекватное использование

сообщений управления сетью

сигнализации

Из-за большого числа сообщений

управления сетью сигнализации

Неправильные/поврежденные

сообщения

 

Из-за перевода трафика с

отказавших звеньев или узлов

 

Конфликты при применении процедур

контроля перегрузки и управления

потоками трафика на разных уровнях

системы

Специальные события

 

Применение процедур восстановления

ТВ-игры (увеличение трафика в направлении одного узла)

 

Процедурные ошибки при замене

версий ПО

Катастрофы (наводнения,

землетрясения)

Скрытые ошибки в рабочем ПО

Ошибки планирования

 

Недостаточное количество ресурсов

 

Неоптимальная структура сети

 

Отсутствие резервирования

маршрутов на физическом уровне

 

Неоптимальный выбор маршрутов

 

Осцилляция при переключении

звеньев из-за снижения качества

тракта передачи данных

 

С либерализацией рынка связи и конвергенцией услуг передачи речи и данных ситуация изменилась. Не только увеличилось число игроков, по сравнению с ранее имеющимися, но и количество программных приложений, использующих услуги сети сигнализации. Сеть ОКС-7 перестала быть замкнутой. Увеличение же числа и повышение сложности интерфейсов между сетями ОКС-7 и другими сетями, естественно, увеличило и степень подверженности первых внешним атакам. Каждый интерфейс, являясь точкой доступа в сеть ОКС-7, представляет потенциальный источник угроз нарушения ее безопасности. Растущая взаимозависимость между сетями ОКС-7 и сетями IP постоянно увеличивает степень подверженности внешним атакам.

Любой, кто способен сформировать сообщение ОКС-7, может в той или иной степени нарушить работу сети общего пользования. Например, хакер, имеющий со своего компьютера доступ к местной АТС по цифровой линии ISDN (или даже по обычной аналоговой линии через модем) может подставить ложный адрес источника и ввести в сеть пакеты, содержащие сфабрикованные сообщения ISUP, что может при некоторых условиях нарушить работу межстанционных связей.

Каждый элемент сети ОКС-7 рассчитан на обслуживание определенной нагрузки. Хакер может вызвать перегрузку звена сигнализации или всего пункта сигнализации, направив в его адрес чрезмерное количество сообщений непосредственно со своего терминала, или опосредованно, изменив сначала данные в маршрутных таблицах соседних пунктов таким образом, чтобы весь трафик от них «пошел» в его направлении. Снизив возможности атак через разговорный канал, сети ОКС-7 создали другие уязвимые точки.

В условиях же конвергенции сетей и услуг традиционные операторы и операторы сотовых сетей вынуждены предоставлять доступ к своим сетям Интернет-провайдерам (ISP), выделенным коммерческим сетям и учрежденческим АТС. Присоединенные операторы (будь то обычной или IP-телефонии) зачастую не имеют никаких средств контроля доступа к сети со стороны своих абонентов, что создает угрозы возможности проведения атак со стороны пользователей этих сетей. Имея доступ к сети ОКС-7, атакующий может анализировать, модифицировать, удалять и/или фабриковать отдельные сигнальные сообщения и последовательности сообщений. Каждая из перечисленных видов угроз может иметь очевидные последствия: изменение типа или перенаправление вызовов, нарушение маршрутных таблиц, изменение абонентских данных или информации о начисляемой плате и т.п. Специфические атаки могут быть проведены в отношении оконечных пунктов сигнализации (АТС, АМТС, MSC), транзитных пунктов сигнализации (STP), сетевых баз данных (SCP, HLR).

Представители административного персонала местных, междугородных и международных сетей, которые, зачастую, первыми идут на компромисс при согласовании условий подключения, менее других знают о том, что их собственные клиенты и абоненты подвержены риску, связанному с неадекватными мерами по обеспечению безопасности в сети присоединенного оператора.

Технические недостатки узлов сети ОКС-7, связанные с отсутствием в протоколе средств контроля доступа, превентивным обнаружением перегрузок, проверки прав доступа могут быть в некоторой степени сглажены административными процедурами в присоединенной сети. Однако, применение одних лишь административных мер зачастую влечет дорогостоящие процедурные ошибки, так как приходится надеяться на то, что каждый человек, привлеченный к разработке таких мер, все время принимает правильные решения.

К настоящему времени выработано несколько подходов для защиты сетей ОКС-7 в новых условиях конвергентных сетей, таких как проверка (просеивание) сигнальных сообщений в STP посредством «сетевых экранов», ограничение точек взаимодействия с сетями VoIP за счет централизации (например, в STP) звеньев доступа с их стороны, физическое разделение сигнального и голосового трафика на участке доступа, защита доступных через интерфейсы эксплуатационного управления АТС внутристанционных данных посредством многоуровневой системы паролей и некоторых других способов.

Один из способов защиты сети связи предполагает создание уникального центра, при помощи которого можно в реальном времени осуществлять наблюдение за всей сетью ОКС-7, собирая полезную информацию о состоянии ее элементов и происходящих в ней событиях. Для создания таких центров наблюдения предназначены системы распределенного мониторинга и анализа. Эти программно-аппаратные комплексы способны декодировать и анализировать проходящие по сети ОКС-7 сообщения, автоматически определять аномальные ситуации и, используя встроенные экспертные системы, рекомендовать процедуры для корректировки ситуации.

Наблюдение за состоянием звеньев позволяет оператору запрограммировать систему таким образом, чтобы она выдавала предупреждения при внезапном увеличении или уменьшении сигнального трафика, предупреждая о возможной атаке. Для этого пользователь системы обозначает значение нагрузки, являющееся нормальной для его сети или каждого из звеньев и устанавливает порог, превышение которого вызовет выдачу предупреждения. При превышении порога система генерирует тревожное сообщение, появляющееся в реальном времени на экране монитора оператора системы в журнале текущих событий. Сообщение сопровождается информацией об источнике, времени возникновения и типе потенциально опасного события. Аналогичным образом функции наблюдения за состоянием разговорных пучков позволяют установить пороги отклонения значения разговорной нагрузки от нормального уровня. В этом случае сообщение тревоги сопровождается информацией о коммутационном узле или отдельном направлении, подвергшемся перегрузке, а также объекте, ставшем причиной увеличения уровня трафика. Данные возможности основаны на функциях генерации CDR-записей.

Функции анализа данных и трассировки вызова позволяют проведение мониторинга трафика в пределах всей сети сигнализации. Система  собирает данные со всех узлов сети одновременно, формируя статистические отчеты о поведении отдельных групп абонентов или об вызывной активности на определенных интерфейсах к присоединенным сетям. Процесс наблюдения за сетью и анализ качества ее работы сводится к перехвату, фильтрации, декодированию передаваемых между сетевыми элементами данных и отслеживанию состояний сетевых ресурсов и компонентов.

 Функции наблюдения за сетью и анализ качества ее работы выполняются специализированными программно-аппаратными системами. Являясь привлекательной целью для проведения атак, в то же время сети связи предоставляют средства для отслеживания вызовов, что делает их сильнейшим оружием против самих террористов [2].

            Одной из наиболее известных систем распределенного мониторинга ОКС-7 на российском рынке является система «Спайдер» разработки Seventest (СПб).

VoIP сетях

Существует несколько основных типов угроз, представляющих наибольшую опасность в сетях IP-телефонии:

  • Подмена данных о пользователе. Подмена данных о пользователе означает, что один пользователь выдаёт себя за другого. При этом возникает вероятность несанкционированного доступа к важным функциям системы. Использование механизмов аутентификации и авторизации в сети повышает уверенность в том, что пользователь, с которым устанавливается связь, не является подставным лицом и что ему можно предоставить санкционированный доступ.
  • Подслушивание. Во время передачи данных о пользователях (пользовательских идентификаторов и паролей) или частных конфиденциальных данных по незащищённым каналам, эти данные можно "прослушать" с помощью специальных программ и средств, и впоследствии злоупотреблять ими. Применение сеансового шифрования данных намного снижает вероятность этой угрозы.
  • Манипулирование данными. Данные, передаваемые по каналам связи, могут изменяться как вследствие программно-аппаратных сбоев, так и намеренно. Для устранения приёма искажённой информации, во многих видах шифрования используются технологии защиты целостности данных.  
  • Отказ от обслуживания (Denial of Service - DoS). Отказ от обслуживания является одним из видов "хакерской" атаки, или попросту говоря  флудом (Flood (Англ.) - изобилие, потоп). В результате таких действий происходит перегрузка системы из-за обработки массы бесполезной информации, что приводит к значительному замедлению работы. Система связи должна иметь средства для распознавания таких атак и ограничения их действия.

Базовыми элементами обеспечения безопасности в IP-сетях являются: аутентификация, целостность и активная проверка.

Аутентификация предотвращает угрозу свободного доступа к ресурсам и данным. Она не всегда включается в состав авторизации, но, как правило, одно подразумевает другое.

Целостность обеспечивает защиту от подслушивания и манипулирования данными, поддерживая конфиденциальность и достоверность передаваемой информации.

Активная проверка проверяет правильность реализации элементов технологии безопасности и помогает предотвратить атаки типа DoS.

В системах обеспечения безопасности используются три основных криптографических метода. Все существующие технологии аутентификации, целостности и конфиденциальности созданы на основе именно этих трёх методов:

  • Симметричное шифрование, которое часто называют шифрованием с помощью секретных ключей, в основном используется для обеспечения конфиденциальности данных. При этом оба пользователя должны выбрать один и тот же  математический алгоритм, который будет использоваться для шифрования и расшифровки данных. Кроме того им нужно выбрать общий секретный ключ, который будет использоваться с выбранным ими алгоритмом. В настоящее время широко используются  алгоритмы секретных ключей типа Data Encryption Standard (DES), 3DES ("тройной DES") и International Data Encrypting Algorithm (IDEA). Эти алгоритмы шифруют сообщения блоками по 64 бита. Когда объём сообщения превышает 64 бита, необходимо его разбить на блоки по 64 бита в каждом, а затем, на принимающей стороне, объединить их снова.
  • Асимметричное шифрование часто называют шифрованием с помощью общего ключа, при котором используются разные, но взаимно дополняющие друг друга алгоритмы и ключи. Этот механизм полагается на два взаимосвязанных ключа: общего ключа и частного ключа. Важным аспектом асимметричного шифрования является тайна частного ключа. Механизмы генерирования пар общих/частных ключей являются достаточно сложными, но в результате получаются пары очень больших случайных чисел, одно из которых становится общим ключом, а другое - частным. Генерирование таких чисел требует больших процессорных мощностей, поскольку эти числа, а также их произведения должны отвечать строгим математическим критериям. Однако этот процесс генерирования абсолютно необходим для обеспечения уникальности каждой пары общих/частных ключей. Алгоритмы шифрования с помощью общих ключей редко используются для поддержки конфиденциальности данных из-за ограничений производительности. Вместо этого их часто используют в приложениях, где аутентификация проводится с помощью цифровой подписи и управления ключами. Среди наиболее известных алгоритмов общих ключей можно назвать RSA и ElGamal.
  • Безопасной хэш-функцией называется функция, которую легко рассчитать, но обратное восстановление которой требует непропорционально больших усилий. Входящее сообщение пропускается через математическую функцию (хэш-функцию), и в результате на выходе получают некую последовательность битов. Эта последовательность называется «хэш» (или «результат обработки сообщения»). Этот процесс невозможно восстановить. Хэш-функция принимает сообщение любой длины и выдает на выходе хэш фиксированной длины. Обычные хэш-функции включают: алгоритм Message Digest 4 (MD4); алгоритм Message Digest 5 (MD5); алгоритм безопасного хэша (Secure Hash Algorithm - SHA).

Широко применяются при аутентификации в IP-сетях такие элементы информационной безопасности как цифровая подпись и цифровой сертификат.

Цифровая подпись представляет собой зашифрованный хэш, который добавляется к документу. Она может использоваться для аутентификации отправителя и целостности документа. Цифровые подписи можно создавать с помощью сочетания хэш-функций и криптографии общих ключей.

Цифровым сертификатом называется сообщение с цифровой подписью, которое в настоящее время обычно используется для подтверждения действительности общего ключа. Цифровой сертификат в стандартном формате Х.509 включает следующие элементы: номер версии; серийный номер сертификата; эмитент информации об алгоритме; эмитент сертификата; даты начала и окончания действия сертификата; информация об алгоритме общего ключа субъекта сертификата; подпись эмитирующей организации.

На практике часто используют совместно шифрование и цифровые сертификаты. Например, маршрутизатор и межсетевой экран имеют по одной паре общих/частных ключей (см. Рисунок 3). Предположим, что эмитирующей организации (СА) удалось получить сертификаты Х.509 для маршрутизатора и межсетевого экрана по защищенным каналам. Далее предположим, что маршрутизатор и межсетевой экран тоже получили копии общего ключа СА по защищенным каналам. Теперь, если на маршрутизаторе имеется трафик, предназначенный для межсетевого экрана, и если маршрутизатор хочет обеспечить аутентификацию и конфиденциальность данных, необходимо предпринять следующие шаги:

  1. Маршрутизатор отправляет в эмитирующую организацию СА запрос на получение общего ключа межсетевого экрана.
  2. СА отправляет ему сертификат межсетевого экрана, зашифрованный частным ключом СА.
  3. Маршрутизатор расшифровывает сертификат общим ключом СА и получает общий ключ межсетевого экрана.
  4. Межсетевой экран направляет СА запрос на получение общего ключа маршрутизатора.
  5. СА отправляет ему сертификат маршрутизатора, зашифрованный частным ключом СА.
  6. Межсетевой экран расшифровывает сертификат общим ключом СА и получает общий ключ маршрутизатора.
  7. Маршрутизатор и межсетевой экран используют алгоритм Диффи-Хеллмана и шифрование с помощью общих ключей для аутентификации.
  8. С помощью секретного ключа, полученного в результате использования алгоритма Диффи-Хеллмана (используется для поддержки конфиденциальности данных, но не используется для аутентификации), маршрутизатор и межсетевой экран проводят обмен конфиденциальными данными.

1.3.jpg

Рисунок 3 –Безопасная связь с использованием шифрования 

Наиболее простым способом аутентификации является использование паролей, но для поддержания высокого уровня безопасности пароли приходится часто менять. Методы использования одноразовых паролей применяются по-прежнему широко. Среди них можно отметить методы аутентификации по протоколу S/Key или при помощи специальных аппаратных средств (token password authentication). Механизм аутентификации по протоколу Point-to-Point Protocol (PPP) часто применяется в среде модемного доступа и включает использование протоколов Password Authentication Protocol (PAP), Challenge Handshake Protocol (CHAP) и Extensible Authentication Protocol (EAP). TACACS+ и Remote Access Dial-In User Service (RADIUS) - это протоколы, которые поддерживают масштабируемые решения в области аутентификации. Протокол Kerberos (Цербер) используется в ограниченных областях для поддержки единой точки входа в сеть.

В системе IP-телефонии должны обеспечиваться два уровня безопасности: системный и вызывной.

Для обеспечения системной безопасности используются следующие функции:

  • Предотвращение неавторизованного доступа к сети путем применения разделяемого кодового слова. Кодовое слово одновременно вычисляется по стандартным алгоритмам на инициирующей и оконечной системах, и полученные результаты сравниваются. При установлении соединения каждая система IP-телефонии первоначально идентифицирует другую систему, в случае отрицательного результата связь прерывается и вносится соответствующая запись в журнал.
  • Списки доступа, в которые вносятся все известные шлюзы IP-телефонии.
  • Запись отказов в доступе.
  • Функции безопасности интерфейса доступа, включая: проверку идентификатора и пароля пользователя с ограничением доступа по чтению/записи; проверку прав доступа к специальному WEB-серверу для администрирования.
  • Функции обеспечения безопасности вызова включают: проверку идентификатора и пароля пользователя (необязательно); статус пользователя; профиль абонента.

При установлении связи шлюза с другим шлюзом своей зоны производится необязательная проверка идентификатора и пароля пользователя. Пользователь в любое время может быть лишен права доступа.

Также, одним из механизмов обеспечения безопасности IP-телефонии может быть использование виртуальных частных сетей VPN.

Для систем IP-телефонии, построенных на базе Рекомендации ITU-T H.323, вопросы безопасности рассматриваются в Рекомендации Н.235 (Рисунок 4). Эта рекомендация описывает ряд технических требований, включая вопросы безопасности: аутентификация пользователей и шифрование данных. Предложенная схема обеспечения безопасности применима и к простым двухточечным и к многоточечным конференциям для любых терминалов, которые используют протокол управления Н.245. Если для IP-телефонии стандарта Н.323 используются сети с пакетной коммутацией, не обеспечивающие гарантированного качества обслуживания QoS, то по тем же самым техническим причинам не обеспечивается и безопасное обслуживание. Для обеспечения гарантированной связи в реальном масштабе времени по опасным сетям необходимо рассматривать две главных области обеспечения безопасности - аутентификация и секретность.

1.4.jpg

Рисунок 4 – Область действия Рекомендации Н.235 в серии Рекомендаций Н.323

В соответствии с Рекомендацией Н.235 в системе должны быть реализованы четыре основные функции безопасности: аутентификация; целостность данных; секретность; проверка отсутствия долгов.

Аутентификация пользователя обеспечивается управлением доступа в конечной точке сети и выполняется gatekeeper, являющимся администратором зоны Н.323. Аутентификация основывается на использовании общих ключей с цифровым сертификатом. Для авторизации сертификатов они включают, например, идентификаторы провайдера услуг. Рекомендация Н.235 не определяет содержание цифровых сертификатов, используемых соответствующим протоколом аутентификации, а также их генерацию, администрирование и распределение.

Целостность данных и секретность обеспечивается криптозащитой. Проверка отсутствия долгов гарантируется тем, что конечная точка может отказать в обслуживании вызова. Для обеспечения безопасности согласно рекомендации Н.235 могут использоваться существующие стандарты: IP-безопасность (IP Security - IPSec) и безопасность транспортного уровня (Transport Layer Security - TLS).  

Для обеспечения безопасной связи в системе на базе Рекомендации Н.323 используются механизмы защиты информации канала управления вызовами Q.931, информации канала управления для мультимедиа коммуникаций Н.245, информации каналов передачи мультимедиа. Канал управления вызовом (Н.225.0) и канал сигнализации (Н.245) должны оба работать в защищенном или незащищенном режимах, начинающимся с первой станции. Для канала управления вызовом защита сделана априорно (для систем в соответствии с Рекомендацией Н.323 безопасность транспортного уровня обеспечивается соответствующим протоколом TSAP [порт 1300], который должен использоваться для Q.931 сообщений). Для канала сигнализации режим «защита» определяется информацией, переданной с помощью протокола начальной установки и подключения терминалов стандарта Н.323.

Другой популярный VoIP протокол – SIP, который по умолчанию не обеспечивает шифрование [4]. Обычно, если протокол SIP используется для предоставления услуг междугородней и международной связи, или для NGN – то наличие шифрования операторами рассматривается лишь как дополнительная нагрузка на их оборудование. Применение зашифрованной SIP-телефонии можно встретить пока лишь в организациях, уделяющих особое внимание вопросам информационной безопасности. До выхода SIP 2.0, который поддерживается любым современным оборудованием и ПО, разрешалась передача паролей чуть ли не открытым текстом (HTTP Basic Authentication), что в настоящее время вообще немыслимо. Однако, применяемая в SIP 2.0 авторизация на основе дайджеста от случайной строки и пароля (HTTP Digest Authentication), также относительно уязвима. Ведь если злоумышленник перехватывает случайную строку и полученный дайджест (MD5 или SHA-1), он имеет возможность автономно подобрать пароль (по словарю или перебором), и ему не понадобится даже подключаться к SIP-серверу. Это главная причина, по которой настоятельно рекомендуется использовать сложные пароли длиной не менее 10 символов. Например, российский оператор SIPNET не позволяет пользователям вручную задавать пароль при его смене, для чего в панели управления предусмотрен генератор паролей.

Для передачи голосовой информации сам протокол SIP не используется. Для этого устанавливается сеанс связи по протоколу RTP (Real-Time Transport Protocol), по которому и передаются голосовые или видео данные. Соответственно, чтобы зашифровать голосовой трафик, нужно зашифровать сеанс RTP. А для того чтобы скрыть передаваемые сообщения, DTMF-посылки, номера и имена абонентов, необходимо зашифровать сеанс SIP.  

Наиболее универсальным механизмом является IPsec – он позволяет зашифровать как SIP так и RTP. Основной недостаток IPsec - неизбежное увеличение объема трафика на 30-50%.  

SRTP (Secure Real-Time Transport Protocol) – безопасная версия протокола RTP, которая обеспечивает шифрование с помощью алгоритма AES. Если не требуется проверка целостности данных, то по объему передаваемого трафика SRTP не уступит простому RTP.  

Другая безопасная версия протокола RTP - ZRTP (Z Real-Time Transport Protocol), относительно недавно была предложенна Филипом Циммерманом (Philip Zimmermann), создателем PGP. Протокол ZRTP впервые был реализован в сетевой утилите Zfone, специально созданной Циммерманом для обеспечения особой безопасности VoIP-звонков, и совместимой с любым SIP-софтфоном. Были также озвучены планы по созданию готового софтфона с поддержкой ZRTP. Стоит отметить, что использование протокола ZRTP требует соответствующих лицензионных отчислений, а потому едва ли станет популярным.  

Что же касается протокола SIP, то помимо IPsec, есть еще 2 способа зашифровать SIP - SIPS URI, который обеспечивает шифрование на транспортном уровне (TLS), и Secure MIME, который передает закодированные данные в полях, специально отведенных для таких случаев.  

В настоящий момент для большинства случаев наиболее удачной считается связка SIPS (TLS) + SRTP.

У ныне модного сейчас приложения для голосовых звонков через Интернет Skype есть небольшое преимущество перед SIP. Весь трафик, передаваемый между абонентами, шифруется, так как в P2P-сетях весь трафик передается через третьих лиц, и по определению не должен быть доступен для чтения и модификации. Однако при звонках на стационарные телефоны не может быть обеспечено шифрования на всем пути звонка, в этом Skype мало чем отличается от SIP-телефонии [3].  

В настоящий момент безопасность Skype не изучена полностью, и сведений об этом нет в открытом доступе. Известно, что в Skype применяется алгоритм RSA для обмена ключами и 256-битный AES для кодирования трафика. Это вполне стандартное решения для многих криптографических систем, и многое зависит от того, как реализованы алгоритмы авторизации, обеспечения конфиденциальности и целостности данных, поскольку для P2P-сетей это особенно важно. Например, неизвестно, сохраняются ли на диске те уникальные ключи, которые были использованы для шифрования разговоров. Если они сохраняются, то заполучив их, можно расшифровать перехваченные ранее разговоры.  

Основные претензии специалистов вызывает тот факт, что протокол Skype и принципы его работы закрыты, и соответственно, ошибки в алгоритмах могут стать бомбой замедленного действия. Однако, это еще не все. Другой причиной проблем может стать гибкость Skype и способность работать в ограниченных условиях, которая достигается в ущерб принципам безопасности. Например, если вдруг окажется, что Skype производит децентрализованную авторизацию, то это может таить в себе серьезную уязвимость.  

Есть у Skype и другие особенности, носящие уже более косвенный характер. 

Skype предоставляет возможность для передачи файлов между абонентами, и это может использоваться для распространения вирусов. Поскольку трафик Skype зашифрован, централизованная проверка Интернет-трафика не способна обезвреживать вирусы, распространяющиеся через Skype. Наличие механизма Skype API позволяет другим приложениям использовать Skype для передачи данных между компьютерами. Разумеется, разработчики позаботились о том, чтобы неподтвержденные пользователем приложения не смогли воспользоваться Skype API. Кроме того, при модификации подтвержденной ранее программы, пользователь должен повторно разрешить ей доступ, что вполне логично. Однако, полной гарантии безопасности здесь быть не может. Как только механизм локального хранения данных о доступе приложения будет раскрыт, это позволит создавать вирусы, полноценно использующие сеть Skype для своих нужд.

 Распространенность Skype привела к тому, что он стал привлекательным для фишеров – мелких мошенников, пытающихся завладеть денежными средствами покупателя, выдавая себя за продавца или поставщика услуг. Специалисты ежемесячно обнаруживают новые версии Skype-червей и их модификации, цель которых распространиться через сеть Skype и в ответственный момент подменить адрес сайта оплаты услуг Skype.

 Шифрование, применяемое Skype, а также закрытость его исходных кодов уже давно заставляет специалистов по безопасности беспокоиться о том, не покидает ли компьютер какая-либо информация, хранящаяся на жестком диске пользователя. И хотя существенных доказательств в пользу этой версии до сих пор не приводилось, закрытость программы не позволяет до конца исключить такую возможность.

Skype не гарантирует достижения высоких результатов по каждому отдельному критерию, будь то безопасность, надежность или качество связи. Однако Skype очень ценен своей сбалансированностью и удобством в повседневном использовании, и это очень важное преимущество [3].

Список использованной литературы:

  1. «Информационная безопасность корпоративных (ведомственных) сетей связи» А. Ярмухаметов. Журнал «Информост – радиоэлектроника и телекоммуникации», № 3, 2002

  2. «Обеспечение безопасности сетей ОКС-7», Б.С. Гольдштейн, И.М. Ехриель, Р.Д. Рерле

  3. «SIP vs Skype - Часть 8: Безопасность». По материалам с сайта www.siper.ru

  4. «Популярное сетевое оборудование и статистика уязвимостей». Д. Курбатов. Positive Research, 2012



Читайте также:




Возврат к списку