JAK BEZPIECZNE JEST VoIP? - cisco.com · wadzone ataki nale˝y uwa˝aç za Êrednio intensywne,...
7
Integracja us∏ug transmisji g∏osu i danych w firmowych sieciach IP staje si´ powszechnà praktykà. Na ostatecznà decyzj´, zwiàzanà z wdro˝eniem us∏ugi VoIP (Voice over IP), mogà mieç jednak wp∏yw obawy o zapewnienie odpowiedniego poziomu bezpieczeƒstwa. Rozwiàzania telefonii IP wymagajà bowiem takiej samej poufnoÊci jak dane. TreÊç telefonicznych rozmów na tematy strategiczne i finansowe nie mo˝e staç si´ ∏upem konkurencji. Ataki DoS mogà spowodowaç brak ∏àcznoÊci w firmie, a u operatorów VoIP – przerw´ w Êwiadczeniu us∏ugi. JAK BEZPIECZNE JEST VoIP? Przedruk z NetWorld nr 10/2004 z 07 paêdziernika 2004 Cisco Systems Poland Sp z o.o. Al. Jerozolimskie 146C Office: +48 (22) 572 27 00 Fax: + 48 (22) 572 27 01
Transcript of JAK BEZPIECZNE JEST VoIP? - cisco.com · wadzone ataki nale˝y uwa˝aç za Êrednio intensywne,...
Integracja us∏ug transmisji g∏osu i danych w firmowych
sieciach IP staje si´ powszechnàpraktykà.
Na ostatecznà decyzj´, zwiàzanà z wdro˝eniem us∏ugi
VoIP (Voice over IP), mogà mieçjednak wp∏yw obawy
o zapewnienie odpowiedniegopoziomu bezpieczeƒstwa.
Rozwiàzania telefonii IP wymagajà bowiem takiej
samej poufnoÊci jak dane. TreÊç telefonicznych rozmów
na tematy strategiczne i finansowe nie mo˝e staç si´
∏upem konkurencji. Ataki DoS mogà spowodowaç
brak ∏àcznoÊci w firmie, a u operatorów VoIP – przerw´
w Êwiadczeniu us∏ugi.
JAK BEZPIECZNE JEST VoIP?
Przedruk z NetWorld nr 10/2004 z 07 paêdziernika 2004
Cisco Systems Poland Sp z o.o.Al. Jerozolimskie 146COffice: +48 (22) 572 27 00Fax: + 48 (22) 572 27 01
BEZPIECZE¡STWO US¸UG G¸OSOWYCH jest dlaadministratorów zagadnieniem stosunkowo nowym.Rozwiàzania te nie sà ju˝ tylko domenà du˝ych operato-rów, lecz zaczynajà byç stosowane w wielu firmach.Cz´sto administrator takiej sieci nie zdaje sobie sprawylub lekcewa˝y zagro˝enia dla ruchu VoIP. Warto wi´cprzyjrzeç si´ rozwiàzaniom proponowanym przez pro-ducentów. Test skutecznoÊci zabezpieczeƒ produktówVoIP zosta∏ przeprowadzony przez zespó∏ specjalistówds. bezpieczeƒstwa w amerykaƒskim oddziale IDG.
Zapora ogniowaWyzwaniem dla administratora jest przepuszczanie ru-chu VoIP przez firmowy system zabezpieczeƒ (firewall,IDS, IPS itp.) bez zmniejszania poziomu bezpieczeƒ-stwa. Zgodnie z przyj´tà praktykà nale˝y zamknàçwszystkie porty, z wyjàtkiem niezb´dnych do funkcjo-nowania danej us∏ugi. W przypadku VoIP powoduje topewne komplikacje. Przyk∏adowo, zestawienie po∏àcze-nia VoIP wymaga otwarcia do 6 portów dla ka˝dego po-∏àczenia: dla sygnalizacji H.323 lub SIP (Session Initia-tion Protocol – RFC 2543) nale˝y otworzyç dwa portyTCP bàdê UDP (po jednym w ka˝dà stron´), dwa portyUDP dla samej transmisji g∏osu oraz opcjonalnie dwa por-ty UDP dla protoko∏u RTCP (Real-Time Control Protocol)w celu kontroli parametrów transmisji QoS i sterowaniasesjami protoko∏u RTP (Real-time Transfer Protocol). Niektórzy producenci zalecajà otwarcie nawet 10 portów.Taka liczba tworzy potencjalnà dziur´ w systemie zabez-pieczeƒ, która mo˝e pos∏u˝yç do ataku. Rozwiàzaniemjest otwieranie konkretnych portów tylko na czas trwaniapo∏àczenia. Wymaga to od zapory ogniowej wspó∏pracyz mechanizmem kontroli po∏àczeƒ VoIP. Problemem jestjednak fakt, ˝e wiele zapór nie by∏o tworzonych z myÊlào dynamicznym zarzàdzaniu portami dla po∏àczeƒ typuVoIP. Proces negocjacji otwieranych portów mo˝e powo-dowaç opóênienia. Przed zaporà stawia si´ zadanie aktu-alizacji regu∏ filtrowania w czasie kilku milisekund.
Ruch VoIP mo˝na podzieliç na trzy elementy: sygnaliza-cj´, kontrol´ po∏àczeƒ oraz transmisj´ g∏osu. Tworzàc regu-∏y bezpieczeƒstwa, nale˝y zapoznaç si´ z funkcjonowaniemoraz wymaganiami odpowiednich protoko∏ów:
• sygnalizacyjnych: H.323, SIP, MGCP (Media GatewayControl Protocol), SCCP (Skinny Client Control Protocol);
• transportujàcych g∏os: TCP, UDP, RTP, RTCP;
• pomocniczych dla SIP: SDP (Session DescriptionProtocol), SAP (Session Announcement Protocol);
• zapewniajàcych QoS: RTSP (Real-time StreamingProtocol), RSVP (Resource Reservation Protocol).Konieczne jest zagwarantowanie odpowiedniej ja-
koÊç transmisji, gdy˝ w przypadku strat powy˝ej 5%przesy∏any g∏os staje si´ niezrozumia∏y.
Czy mo˝na stworzyç odpornà na ataki sieç telefonii IP?Wyniki przeprowadzonego testu pozwalajà odpowiedzieçtwierdzàco. Jednak w du˝ej mierze zale˝y to od tego, jakie-go producenta wybierzemy, a tak˝e, czy jesteÊmy sk∏onnizainwestowaç wystarczajàcà iloÊç czasu i pieni´dzy na za-projektowanie systemu zabezpieczeƒ sieci, sprz´t, personeloraz dodatkowe mechanizmy bezpieczeƒstwa.
Za∏o˝eniem testu by∏o sprawdzenie rzeczywistej podat-noÊci kompletnych rozwiàzaƒ na przemyÊlane i z∏oÊliweataki. Z pi´ciu zaproszonych do testów g∏ównych produ-centów, wyzwanie podj´∏y jedynie Cisco i Avaya.
Celem czteroosobowego zespo∏u testujàcego by∏oprzerwanie, uniemo˝liwienie bàdê zak∏ócenie komuni-kacji. Przed rozpocz´ciem testów napastnicy nie znalibudowy sieci. Za pomocà narz´dzi do skanowania usi-∏owano poznaç topologi´ sieci. Po rozeznaniu i identyfi-kacji „celów” systematycznie przeprowadzano seri´ataków, czasami w ró˝nych kombinacjach. Ze wzgl´duna przyj´te ograniczenia i czas trwania testów przepro-wadzone ataki nale˝y uwa˝aç za Êrednio intensywne,w porównaniu z tymi, jakie mogà wystàpiç w realnychÊrodowiskach. Ze wzgl´du na ochron´ klientów korzy-stajàcych z danych rozwiàzaƒ, wykryte w teÊcie s∏abepunkty zostanà omówione jedynie ogólnie.
Cisco – jak ska∏aKonfiguracja sieci VoIP zbudowanej przez Cisco obejmo-wa∏a wszystkie dost´pne obecnie w sprzeda˝y mechani-zmy bezpieczeƒstwa przy jednoczesnym najbardziej re-strykcyjnym ustawieniu ich parametrów. W wi´kszoÊciistniejàcych sieci zwykle nie stosuje si´ a˝ takiego arse-na∏u. Nic jednak nie stoi na przeszkodzie w stworzeniupodobnej sieci (oczywiÊcie z wyjàtkiem koniecznoÊci po-siadania odpowiednich funduszy). Architektur´ siecitworzy∏o: Call Manager 4.0 z kontrolà po∏àczeƒ, pocztà
TESTY I PORÓWNANIAJAK BEZPIECZNE JEST VoIP?
www.networld.pl | paêdziernik 2004 2
Stos protoko∏ów VoIP
Telefon IP Cisco 7970 obs∏uguje szyfrowanie strumieni g∏osu(RTP) w standardzie AES-128.
g∏osowà i bramà; dwie oddzielne zapory PIX (8000 USDka˝da). Infrastruktur´ warstw 2 i 3 oparto na prze∏àczni-kach Catalyst 4500 i Catalyst 6500, wyposa˝onych dodat-
kowo w IDS w konstrukcji blade. Na potrzeby zarzàdza-nia stworzono oddzielnà podsieç oraz zainstalowanoaplikacje do zarzàdzania bezpieczeƒstwem. ¸àczny kosztsystemu zabezpieczeƒ zamknà∏ si´ kwotà 80 tys. USD.Dodatkowo nad ca∏oÊcià czuwa∏o 6 ekspertów Cisco ds.bezpieczeƒstwa.
Tak stworzony system uzyska∏ najwy˝szà ocen´:„bezpieczny”. Zespo∏owi pe∏niàcemu rol´ intruza nieuda∏o si´ prze∏amaç zabezpieczeƒ ani nawet zak∏óciçpo∏àczeƒ telefonicznych podczas trzydniowej próby.
Zespó∏ Cisco udowodni∏, ˝e mo˝liwe jest zbudo-wanie sieci, która oprze si´ doÊwiadczonemu zespo-∏owi atakujàcych. Mechanizmy ochronne by∏y usytu-owane od warstwy drugiej wzwy˝. Test potwierdzi∏znaczàcà rol´ zapór w zabezpieczeniu sieci VoIP:
• dokonujà one podzia∏u na zaufane i nieznane adresy,zmniejszajàc liczb´ potencjalnych êróde∏ ataku;
• filtrujà pakiety (statefull inspection), wskutek czegoprzepuszczane sà wy∏àcznie protoko∏y niezb´dne
w komunikacji oraz kontroli VoIP, przenoszàce ̋ àda-nie lub odpowiedê tylko w okreÊlonym kierunku; ob-s∏ugujà tak˝e ruch z translacjà adresów NAT oraztunelowaniem danych sterujàcych po∏àczeniem;
• kontrolujà zaprzestanie transmisji TCP po zakoƒ-czeniu rozmowy, co pozwala uniknàç jednego z ro-dzajów ataków DoS na CallManagera;
• wspierajà bezpieczny protokó∏ kontroli po∏àczeƒ Se-cure SCCP (Skinny Client Control Protocol), któryjest nowszà wersjà autorskiego protoko∏u Cisco, s∏u-˝àcego do komunikacji terminali VoIP z CallMana-gerem. W odró˝nieniu od dotychczasowego SCCPwykorzystuje on po∏àczenia TCP zamiast UDP orazszyfruje i podpisuje informacje sterujàce.
CallManagerNajnowsza wersja CallManagera – 4.0, prowadzàcegokontrol´ po∏àczeƒ i b´dàcego sercem systemu VoIPCisco, zosta∏a wyposa˝ona w dodatkowe funkcje bez-pieczeƒstwa. Do najwa˝niejszych nale˝y wprowadzonejako pierwsze przez tego producenta szyfrowanie trans-misji VoIP. Obecnie szyfrowanie strumieni g∏osu (RTP)obs∏ugiwane jest jedynie przez telefon serii Cisco 7970 – AES-128. Popraw´ bezpieczeƒstwa ju˝ dla wczeÊniej-szych wersji CallManagera przynios∏o dostosowanieWindows 2000 do zaleceƒ Cisco, tzn. zamkni´te zosta∏yporty i wy∏àczone niepotrzebne us∏ugi.
Nowe wersje Catalyst IOS (testowano IOS 12.1 i 12.2)oferujà imponujàcy asortyment s∏u˝àcy samoobronie
JAK BEZPIECZNE JEST VoIP?
www.networld.pl | paêdziernik 2004 3
TESTY I PORÓWNANIA
Topologia maksymalnie zabezpieczonejsieci Cisco
Topologia sieci z punktu widzenia intruza
POZIOMY BEZPIECZENSTWA SYSTEMU VoIP
Ocena Maksymalny skutek osiàgni´ty przez zespó∏ atakujàcy
Bezpieczny Brak jakichkolwiek zak∏óceƒ us∏ug g∏osowych
Wytrzyma∏y Jedynie nieznaczne lub chwilowe zak∏ócenia
Podatny Przerwanie wielu po∏àczeƒ na d∏u˝szy okres za pomocà wyrafinowanego lub skoordynowanego ataku
Nieszczelny Wi´kszoÊç us∏ug g∏osowych przestaje trwale funkcjonowaç pod wp∏ywem prostego ataku
Niezabezpieczony System telefoniczny oraz us∏ugi mo˝na ∏atwo i trwale wstrzymaç
,
sieci (Self-defense Network). Dla zespo∏u atakujàcegostanowi∏ on najwi´kszy problem spoÊród wszystkich za-bezpieczeƒ i sta∏ na pierwszej linii oporu. Oferuje on:
• konfigurowanie strategii ruchu (Traffic Policing) – po-legajàce m.in. na okreÊleniu maksymalnej przepusto-woÊci dla danej us∏ugi na porcie. Innym przydatnymmechanizmem jest CAR (Committed Access Rate), po-zwalajàcy ograniczyç ruch pochodzàcy od konkretnychnadawców informacji poprzez odrzucenie pakietów lubnadanie im mniejszego priorytetu. Transmitowane stru-mienie wyodr´bniane sà na podstawie MAC adresustacji nadajàcej. Obydwa wymienione mechanizmyokaza∏y si´ wysoce skuteczne w odpieraniu atakówDoS. Zastosowanie Traffic Policing i CAR na brzegu sie-ci umo˝liwia efektywnà obron´ przed nadmiernym ru-chem przychodzàcym lub wychodzàcym;
• zabezpieczenie portów na warstwie drugiej, ograniczajà-ce liczb´ adresów MAC obs∏ugiwanych przez dany port;
• monitorowanie (snooping) protoko∏u DHCP (Dyna-mic Host Configuration Protocol) w warstwie drugiej,zapobiegajàce atakom powodujàcym np. wyczerpanieadresów DHCP lub zak∏ócanie pracy w∏aÊciwego ser-wera DHCP. Przychodzàce wiadomoÊci DHCP sà kla-syfikowane jako niepewne (untrusted) – otrzymanespoza sieci lub zapory, lub jako zaufane (trusted), czy-li takie, które sà otrzymywane wy∏àcznie z sieci we-wn´trznej. Nas∏uchiwane sà wszystkie pakiety DHCP,a w przypadku próby zestawienia po∏àczenia z inter-fejsu typu untrusted po∏àczenie to jest blokowane.Mo˝liwe jest równie˝ ograniczenie cz´stotliwoÊci od-wo∏aƒ do serwera DHCP. Tworzone sà tablice zawie-rajàce dane niezaufanego interfejsu: MAC adres, IP,czas dzier˝awy, numery VLAN. DHCP snooping pe∏-ni funkcj´ zapory ogniowej pomi´dzy podejrzanymihostami a serwerami DHCP;
• dynamiczna kontrola protoko∏u ARP, przeciwdzia∏ajà-ca atakom: ARP Poisoning (zatruwanie ARP) i ARPSpoofing (podszywanie si´ pod innà maszyn´). Unie-mo˝liwia to przedstawianie si´ intruza jako bramawyjÊciowa z sieci i pods∏uchiwanie innych hostów.Mo˝na równie˝ ograniczyç liczb´ zapytaƒ ARP na se-kund´, przychodzàcych z okreÊlonego interfejsu. Przyprzekroczeniu wartoÊci krytycznej nast´puje zabloko-wanie portu i uniemo˝liwienie skanowania sieci lubzatruwanie protoko∏u ARP. Mechanizm ten okaza∏ si´sporym utrudnieniem podczas ataków;
• IP Source Guard zapobiega podszywaniu si´ pod adresIP innego hosta. Wykorzystuje DHCP Snooping dla uzy-skania adresu IP i MAC, do∏àczonego do danego portu.Przeprowadza kontrol´ wszystkich pakietów IP z niezau-fanych êróde∏. W sieciach bez DHCP mo˝na statycznieprzypisaç IP i MAC adres konkretnemu portowi;
• listy kontroli dost´pu VLAN (VLAN Access ControlLists), ograniczajàce liczb´ urzàdzeƒ mogàcych ko-munikowaç si´ z telefonami IP.
Integralnà cz´Êcià wyposa˝enia serwera CallMana-ger jest Cisco Security Agent (CSA), pe∏niàcy funkcj´IPS (Intrusion Prevention System) opartego na hoÊcie.W topologii zbudowanej przez Cisco CSA by∏ zainstalo-wany w siedmiu miejscach, m.in. na serwerze pocztyg∏osowej oraz serwerach Windows 2000. Agent CSAdzia∏a∏ automatycznie i bezobs∏ugowo, zapewniajàc sku-tecznà ochron´ serwerów przed:
• przepe∏nieniem bufora (buffer overflow), chroniàcstos protoko∏u na serwerze przed niebezpiecznymi(odpowiednio spreparowanymi) pakietami danych;
• robakami i trojanami;• uruchamianiem niepo˝àdanych aplikacji;• atakami SYN flood, b´dàcymi odmianà ataków DoS
przepe∏niajàcymi stos TC;• skanowaniem portów.
TESTY I PORÓWNANIAJAK BEZPIECZNE JEST VoIP?
www.networld.pl | paêdziernik 2004 4
ZASADY PRZYJ¢TE PODCZAS TESTU BEZPIECZENSTWA VoIP
1. Dostawca posiada pe∏nà kontrol´ nad Êrodowiskiem telefonii IP orazpodleg∏à jej infrastrukturà sieci – jakie rozwiàzania zastosowaç i jakje skonfigurowaç.
2. Stworzona do testów sieç VoIP b´dzie Êrednich rozmiarów (sieçkampusowa), a ruch nie b´dzie przenoszony przez po∏àczenia WANpomi´dzy odleg∏ymi lokalizacjami.
3. Po zainstalowaniu funkcjonalnoÊç sieci nie mo˝e byç ogranicza-na ze wzgl´dów bezpieczeƒstwa, istnieje mo˝liwoÊç po∏àczeƒdo sieci PSTN.
4. Po zestawieniu dostawca nie mo˝e manipulowaç ani rekonfiguro-waç sieci, a jedynie pasywnie monitorowaç alarmy bezpieczeƒstwai logi systemowe.
5. Ataki typu „od wewnàtrz” mogà byç przeprowadzane z nast´pujà-cych miejsc:
– poprzez gniazdko u˝ytkownika koƒcowego („z biurka”) s∏u˝àce dotransmisji danych w sieci LAN, do którego napastnik mo˝e mieç dost´p(np. poprzez wykorzystanie wa˝nego w sieci adresu MAC),
– poprzez telefon IP oraz umieszczony w nim port dla danych, prze-znaczony do pod∏àczenia komputera.
6. Ataki b´dà przeprowadzane z wykorzystaniem narz´dzi powszech-nie dost´pnych w Internecie – nie mogà byç pisane nowe, unikal-ne programy.
7. Napastnik nie mo˝e rozmontowywaç i analizowaç budowy tele-fonu IP.
Stworzony do testów system Cisco uzyska∏ najwy˝szà ocen´:„bezpieczny”. Zespo∏owi pe∏niàcemu rol´ intruza nie uda∏o si´prze∏amaç zabezpieczeƒ ani nawet zak∏óciç po∏àczeƒ telefonicznychpodczas trzydniowej próby.
,
Zastosowane mechanizmy okaza∏y si´ wysoce sku-teczne podczas ataków. Wykryto jedynie dwie s∏aboÊci.
Po pierwsze, przez podpi´cie si´ do z∏àcza telefonumo˝liwe by∏o obserwowanie i gromadzenie szczegó∏ówruchu – protoko∏y, adresy, a nawet dane protoko∏u RTP,dzia∏ajàcego powy˝ej warstwy UDP i przenoszàcegowszystkie próbki g∏osu w systemie VoIP. Na szcz´Êciestrumienie VoIP z/do telefonu Cisco 7970 sà kodowanekluczem 128-bitowym, co zapewnia ich poufnoÊç.
Po drugie, na podstawie uzyskanych w ten sposób in-formacji oraz dzi´ki podpi´ciu w∏asnego komputera, uzy-skano dost´p do sieci VLAN przeznaczonej dla telefoniiIP. Pomimo ˝e mo˝liwe sta∏o si´ wysy∏anie ruchu do in-nych urzàdzeƒ, zastosowane mechanizmy kontrolne niepozwoli∏y na podszycie si´ pod inny telefon IP.
Przeprowadzenie poprawnej instalacji wszystkichzabezpieczeƒ i ustalenie wzajemnych powiàzaƒ mo˝edzia∏aç zniech´cajàco. Pomimo zaanga˝owania kilkuekspertów Cisco zajmujàcych si´ konfiguracjà, tunin-giem i monitorowaniem systemu VoIP, pojawi∏y si´ pro-blemy z konfiguracjà. Przyk∏adowo, jedna z zapór poskonfigurowaniu nie przepuszcza∏a ruchu w ˝adnà stro-n´ – co gwarantuje bezpieczeƒstwo, ale nie jest zbytpraktyczne. Potwierdza to, ˝e nawet najlepiej zaprojek-towany plan bezpieczeƒstwa mo˝e zostaç zniweczonyprzez niepoprawnà konfiguracj´.
Avaya – runda pierwszaProducent przedstawi∏ dwie sieci: wersj´ minimalnà,„prosto z pude∏ka” bez dodatkowych, p∏atnych mecha-nizmów bezpieczeƒstwa oraz sieç maksymalnie zabez-pieczonà, doposa˝onà w zapory i prze∏àczniki warstwy2/3 firmy Extreme Networks.
Pierwsza konfiguracja nie zawiera∏a urzàdzeƒ sie-ciowych warstwy 3 ani zapory. Ca∏a komunikacja by∏aprzesy∏ana przez pojedynczà, p∏askà i prze∏àczalnà sieçwarstwy drugiej. Wyodr´bniono dwie sieci VLAN – jed-nà dla g∏osu, a drugà dla danych. Mimo ̋ e sieç VoIP by-∏a zbudowana tylko z niezb´dnej infrastruktury siecio-wej, zawiera∏a kilka przydatnych mechanizmówzabezpieczeƒ, takich jak:
• kontrola po∏àczeƒ zlokalizowana w redundantnychserwerach S8700 Media Server, wykorzystujàcychprywatnà sieç LAN, zapewniajàcà separacj´ od sieciprodukcyjnej. Serwery ∏àczà si´ jedynie z dedykowa-nym modu∏em IPSI (karta IP System Interface) prze-znaczonym do transmisji sygnalizacji, umieszczonymw szafie G650 Media Gateway;
• poczta g∏osowa jest pod∏àczona przez ∏àcza analo-gowe, co – jak zapewnia Avaya – jest zaletà podczasproblemów z siecià IP lub przy wtargni´ciu do niejintruza. Nawet je˝eli stosowane sà wy∏àcznie telefo-ny IP, po∏àczenia z sieci publicznej PSTN mogà byçprzyjmowane i przekierowywane na poczt´ g∏osowàniezale˝nie od stanu sieci IP;
• do zdalnej diagnostyki i administracji producent za-leca stosowanie bezpiecznych po∏àczeƒ modemo-wych zamiast via Internet, mimo ˝e nie jest to zbytwyszukana ochrona przed intruzami;
• dwustopniowe uaktualnianie oprogramowania po-winno si´ odbywaç przez pobieranie go na komputer
administratora, a nast´pnie przes∏anie do systemukontroli po∏àczeƒ.Niewàtpliwe wady rozwiàzaƒ Avaya VoIP to brak szy-
frowania informacji sterujàcych oraz oparte na s∏abychmechanizmach uwierzytelnianie telefonów IP.
Prze∏àcznik Avaya Cajun P333 równie˝ oferuje kilkaprzydatnych opcji bezpieczeƒstwa:
• ograniczenie liczby obs∏ugiwanych adresów MAC nadanym porcie – po nauczeniu si´ przez prze∏àcznikza∏o˝onej liczby adresów MAC dalsze ich dopisywa-nie jest blokowane. W przypadku prze∏àczenia telefo-nu lub komputera do innego portu administrator mu-si r´cznie zaktualizowaç (odblokowaç i powtórniezablokowaç) tablic´ MAC. Poniewa˝ mo˝liwy by∏podglàd transmisji w sieci zespó∏ atakujàcy bez prze-szkód pod∏àczy∏ w∏asny komputer z zalegalizowanymadresem MAC. Dla prze∏àcznika nie stanowi∏o to ̋ ad-nej ró˝nicy;
• ograniczenie dost´pu do zarzàdzania. Zezwolonona dost´p przez port szeregowy, a zablokowanoprzez HTTP i Telnet;
• pu∏apki SNMP (SNMP traps) mogà reagowaçw przypadku zak∏ócania pracy sieci VLAN lubzmian konfiguracji. Pu∏apki SNMP (Simple Net-work Management Protocol) to komunikaty wysy∏a-ne przez demony SNMP do zarzàdcy po wystàpie-niu nietypowej sytuacji, np. przekroczenie za∏o˝onejwielkoÊci ruchu na porcie, odebranie nieprawid∏o-wych komunikatów SNMP itp.
TESTY I PORÓWNANIAJAK BEZPIECZNE JEST VoIP?
www.networld.pl | paêdziernik 2004 5
Podstawowa topologia VoIP Avaya
Serwer mediów Avaya S8700
Test ujawni∏, ˝e mo˝liwe jest odpytywanie telefonówIP Avaya za pomocà SNMP, z wykorzystaniem domyÊl-nej dla us∏ugi SNMP nazwy u˝ytkownika „public”. Po-mimo uzyskania wielu informacji, nie uda∏o si´ jednakprzekonfigurowaç lub unieruchomiç ˝adnego telefonupoprzez SNMP.
Sposoby penetracji i inwigilacji zastosowane z suk-cesem w sieci Cisco okaza∏y si´ skuteczne równie˝w Êrodowisku Avaya. Dzi´ki podpi´ciu pasywnegopróbnika do ∏àcza telefonu IP mo˝liwa by∏a obserwacjai analiza szczegó∏ów transmisji. Strumienie VoIPdo/z telefonów Avaya 4620 by∏y, podobnie jak w Cisco,szyfrowane. Atakujàcy mogli równie˝ pod∏àczyç w∏asnyPC, uzyskaç dost´p do odpowiedniego VLAN-u i komu-nikowaç si´ z innymi urzàdzeniami, jednak bez zak∏ó-cania lub podszywania si´ pod inny telefon.
Wykryto dwa s∏abe punkty, które mogà zostaç wy-korzystane do zak∏ócenia komunikacji g∏osowej.Pierwszy dotyczy∏ telefonów IP. Wysy∏anie du˝ej iloÊciokreÊlonego rodzaju ruchu przez kilka minut powodo-wa∏o najcz´Êciej restart telefonu. Prze∏adowywanieczyni∏o telefon podatny na drugà faz´ ataku. Wysy∏a-nie odpowiednio spreparowanych pakietów wywo∏y-wa∏o niezdolnoÊç telefonu do pracy przez ok. 20 mi-nut. Powtarzanie fazy drugiej co 20 minut umo˝liwiasta∏à dysfunkcj´ telefonu.
Test ujawni∏ jeszcze inne potencjalne zagro˝enia.Przyk∏adowo, prze∏àcznik portu danych umieszczonyz ty∏u telefonu akceptowa∏ dowolny ruch i przekazy-wa∏ go dalej, dodajàc do pakietów odpowiedni znacz-nik VLAN. Po pod∏àczeniu komputera do telefonu in-truz mo˝e wysy∏aç generowany przez siebie ruchtelefoniczny do sieci VLAN, dedykowanej dla g∏osu.Zaobserwowano równie˝, ˝e wysy∏anie specyficznegotypu ruchu na wybrane porty wykorzystywane przezmechanizmy kontroli po∏àczeƒ mo˝e zwi´kszaç czaszestawiania rozmów.
Avaya – runda drugaWyciàgajàc wnioski z pierwszego testu, Avaya doposa-˝y∏a swojà infrastruktur´ w dodatkowe mechanizmybezpieczeƒstwa. Prze∏àcznik Avaya Cajun P333 zastà-piono urzàdzeniami warstwy 2/3 od firmy Extreme Net-works – partnera producenta. Do architektury testowa-nej za pierwszym razem dodano: bram´ Avaya SG208Security Gateway (15 000 USD), prze∏àcznik warstwy2/3 Extreme Summit 300-48 (8000 USD) oraz Extreme
Alpine 3804 (10 000 USD). Wyposa˝enie VoIP wrazz oprogramowaniem pozosta∏o niezmienione.
Dodanie mechanizmów warstwy trzeciej zapewnia-jàcych odpowiedni routing IP i zmiana konfiguracji za-pobieg∏y atakom, skutecznym w cz´Êci pierwszej, w któ-rej komputer intruza mia∏ bezpoÊredni dost´p dotelefonów IP.
Zmiany poprawiajàce bezpieczeƒstwo to:• ograniczenie maksymalnej pr´dkoÊci transmisji na
prze∏àczniku Summit, zapobiegajàce du˝ym strumie-niom TCP, UDP lub ruchowi broadcast powy˝ej 1 Mb/s;
• utworzenie dla ka˝dego telefonu oddzielnego VLAN-u. Nie mo˝na wówczas z jednego portu atakowaç in-nych telefonów IP. Ca∏y ruch pomi´dzy telefonamimusi by trasowany, co umo˝liwia jego analiz´, filtro-wanie protoko∏ów i portów, ograniczenie pr´dkoÊci.PodejÊcie to nie zapewnia ∏atwej skalowalnoÊci. Przysporej liczbie telefonów zarzàdzanie wszystkimiVLAN-ami staje si´ k∏opotliwe;
• uniemo˝liwienie bezpoÊredniej wymiany strumie-ni g∏osu RTP pomi´dzy telefonami (shuffling).Wszystkie strumienie VoIP muszà wówczas prze-chodziç przez modu∏ przetwarzania mediów (me-dia processing).Poprawia to bezpieczeƒstwo, lecz jednoczeÊnie mo-
du∏ ten staje si´ wàskim gard∏em systemu VoIP. Wed∏ugAvaya modu∏ ten jest w stanie obs∏ugiwaç do 64 jedno-czesnych po∏àczeƒ. Zmniejsza to mo˝liwoÊç potencjal-nych rozmów poza sieç firmowà o liczb´ po∏àczeƒ we-wn´trznych.
Ograniczenie obs∏ugi MAC adresów na prze∏àczni-ku Extreme Alpine tylko do zalegalizowanych zmusza
TESTY I PORÓWNANIAJAK BEZPIECZNE JEST VoIP?
www.networld.pl | paêdziernik 2004 6
Telefon Avaya 4620
Topologia maksymalnie zabezpieczonejsieci VoIP Avaya
intruza do podszywania si´ pod oficjalny MAC adres.Tak te˝ zrobiono. Pod∏àczenie w∏asnego przewodu po-zwoli∏o pasywnie monitorowaç ruch i uzyskaç adresyurzàdzeƒ.
Zapor´ Extreme SG208 skonfigurowano tak, abyprzepuszcza∏a jedynie ruch na okreÊlonych portachdo/od nadzorcy kontroli po∏àczeƒ. Dost´p do modu∏uprzetwarzania mediów by∏ mo˝liwy tylko przez okre-Êlone porty. Do modu∏u CLAN (Control LAN) prze-puszczane by∏y wy∏àcznie porty i protoko∏y niezb´dnew sygnalizacji kontroli po∏àczeƒ opartej na H.323.Atakujàcym szybko jednak uda∏o si´ ustaliç numeryotwartych portów oraz zaimplementowane protoko∏y.Wykorzystujàc to˝samoÊç zapo˝yczonà od funkcjonu-jàcego telefonu IP, nawiàzano kontakt z infrastrukturàkontroli po∏àczeƒ i uzyskano odpowiedê.
Aby spenetrowaç mechanizm kontroli po∏àczeƒ,nie jest konieczne pe∏ne naÊladowanie komunikacjiuprawnionego telefonu: protoko∏ów, strumieni pakie-tów oraz jego hase∏. Jest to wymagane jedynie przywykonywaniu po∏àczeƒ telefonicznych.
WnioskiW ostatnim teÊcie, podobnie jak w dwóch poprzednich,mo˝liwe by∏o pod∏àczenie pasywnego próbnika dogniazdka telefonicznego IP i obserwowanie szczegó∏ówruchu, poza odczytaniem zaszyfrowanych strumienig∏osu. Na podstawie zebranych informacji o sieci pod∏à-czono w∏asny komputer i u˝ywajàc adresu MAC, IPoraz znaczników VLAN funkcjonujàcego telefonu, uzy-skano dost´p do infrastruktury i innych u˝ytkownikówsieci VoIP.
Atak na inne telefony IP skuteczny w poprzednimteÊcie tym razem okaza∏ si´ bezskuteczny. Wykrytojednak innà s∏aboÊç. Wysy∏ajàc niewielkà liczb´ pakie-tów przenoszàcych odpowiedni protokó∏ na okreÊlo-nym porcie do modu∏u kontroli po∏àczeƒ, mo˝na sku-tecznie przeszkadzaç w zarejestrowaniu si´ telefonu.Sytuacja taka ma miejsce tylko w momencie prze∏à-czenia w inne miejsce, powtórnego w∏àczenia lub popierwszym pod∏àczeniu telefonu do sieci. W odpowie-dzi producent zapowiedzia∏ wydanie poprawki dooprogramowania sterujàcego kontrolà po∏àczeƒ.
Uwzgl´dniajàc niewielkà szkodliwoÊç wykrytej lukiw zabezpieczeniu, system VoIP Avaya, wzbogaconyw dodatkowe mechanizmy bezpieczeƒstwa, zas∏u˝y∏ – wed∏ug przyj´tej skali ocen – na miano „wytrzyma∏y”.
Przeprowadzone testy potwierdzajà regu∏´, ˝eskuteczna ochrona jest mo˝liwa tylko przy stosowa-niu mechanizmów obronnych na wszystkich war-stwach. Ponadto nale˝y zagwarantowaç uwierzytel-nianie telefonów IP, szyfrowanie sygnalizacji orazstrumieni g∏osu.
Cisco zastosowa∏o efektywnà ochron´ w warstwach2. i 3. (prze∏àczniki Catalyst), 4. oraz 5. (zapory PIXi IPS), 6. (szyfrowanie strumieni g∏osu RTP, niestetydost´pne tylko dla wybranych modeli telefonów IP),a tak˝e warstwie 7. (oprogramowanie serwera CiscoSecurity Agent).
Pierwsza konfiguracja Avaya posiada∏a ograniczonàochron´ w warstwie 2., a w warstwach wy˝szych tak˝eniewielkà (z wyjàtkiem 6.). Wszystkie telefony Avayaobs∏ugujà szyfrowanie pakietów RTP – co gwarantujebezpieczeƒstwo warstwy 6. Przy konfiguracji rozszerzo-nej o ochron´ warstw 3. i 4., majàcej zapewniç maksy-malne bezpieczeƒstwo, nadal wykryto pewne luki.
TESTY I PORÓWNANIAJAK BEZPIECZNE JEST VoIP?
www.networld.pl | paêdziernik 2004 7
NW/Krystian Ry∏ko
WDRO˚ENIA VoIP
Wed∏ug danych og∏aszanych przez producentów sprzeda˝ roz-
wiàzaƒ VoIP nabiera rozp´du. Odzwierciedleniem tego jest
wzrost sprzeda˝y telefonów IP, która np. w przypadku Cisco Sys-
tems roÊnie o ok. 15% kwartalnie. Jako czo∏owy dostawca VoIP
Cisco sprzeda∏o dotychczas 4 mln telefonów IP (41% rynku),
z czego ponad milion w Europie. Firma ta zajmuje równie˝ do-
minujàcà pozycj´ w Polsce, ze sprzeda˝à ponad 15 tys. apara-
tów telefonicznych IP.
Dotychczas najwi´kszym wdro˝eniem w kraju i jednym ze zna-
czàcych w Europie jest sieç VoIP uruchomiona na potrzeby Stra-
˝y Granicznej przez TP i NextiraOne. Pod∏àczonych jest do niej
ponad 6500 telefonów serii IP Cisco 7900. Infrastruktur´ zarzà-
dzajàcà i obs∏ugujàcà sieç stanowià Call Manager, systemy Cisco
IP IVR (Interactive Voice Response), a tak˝e zapory PIX i koncen-
tratory VPN 3015. Za routing odpowiadajà platformy wielous∏u-
gowe serii Cisco 3600 i 3700. Transmisj´ pomi´dzy w´z∏ami re-
alizujà ∏àcza Frame Relay sieci POLPAK-T. Bezawaryjnà prac´
systemu zapewniç ma uruchomiona us∏uga Survivable Remote
Site Telephony (SRS Telephony) z automatycznà detekcjà awarii
i autokonfiguracjà.
Niedawnym du˝ym wdro˝eniem VoIP jest sieç zbudowana przez
NextiraOne w krakowskim Sheratonie, do której podpi´tych jest
600 stacjonarnych telefonów IP (7970, 7940, 7902, 7936). Po-
nadto pracownicy mobilni korzystajà z bezprzewodowych telefo-
nów IP 7920 wspó∏pracujàcych z siecià Wi-Fi (IEEE 802.11b).
Zainstalowane oprogramowanie V/IP firmy Nevotek integruje te-
lefoni´ IP z systemem obs∏ugi hotelu. Jak zapewnia Cisco, to jed-
no z pierwszych tego typu wdro˝eƒ na Êwiecie i pierwsze wyko-
rzystujàce telefony z kolorowym ekranem dotykowym.
Popyt na telefony VoIP wzrasta, pomimo pojawienia si´ konku-
rencji ze strony oprogramowania P2P, jak np. Skype, który oferu-
je ju˝ po∏àczenia z tradycyjnymi sieciami telefonicznymi. Niemal
wy∏àcznym odbiorcà telefonów IP sà firmy i instytucje, natomiast
z us∏ug sieci P2P korzystajà g∏ównie u˝ytkownicy domowi.
Avaya G650 Media Gateway
