09.11.2007

Тестирование Контроля защиты в VoIP Network

image

Конвергенция - интеграция голоса и данных в единую сеть. Она позволяет снизить расходы, улучшить качество передачи и упростить управление. Но, так как голосовой сигнал должен существовать в сети, конвергенция создает новые проблемы для организаций, способствует возникновению новых потенциальных угроз безопасности.

Дженсон Остром, перевод Денис Васильев

Коммерческий риск

Конвергенция - интеграция голоса и данных в единую сеть. Она позволяет снизить расходы, улучшить качество передачи и упростить управление. Но, так как голосовой сигнал должен существовать в сети, конвергенция создает новые проблемы для организаций, способствует возникновению новых потенциальных угроз безопасности.

Компании плохо представляют существующие риски различных решений VoIP конвергенций. Во всех развернутых  конвергентных VoIP один кабель Ethernet обеспечивает одновременно телефонную и компьютерную связь. Большинство IP-телефонов имеют разъем для подключения компьютера на задней панели - это позволяет предприятию существенно сэкономить на втором кабеле и упростить его подключение и обслуживание. Однако эта же функциональность открывает новые дыры в безопасности сети. Освновная цель этой статьи ­– получить привилегированный доступ через общедоступный IP-телефон (например, в приемных, гостиничных номерах и залах заседания). Такая возможность  получения доступа для неавторизованных пользователей из ресурса, не входящего в сеть, действительно существует, что является важным для понимания рисков при развертывании технологии VoIP.

Пояснение рисков.

 "Voice VLAN" - это специальная настройка Ethernet порта коммутатора, которая позволяет автоматически конфигурировать и легко подсоединять IP-телефоны к выделенному VLAN. Данная настройка обеспечивает различные дополнительные функции, но особенно полезна возможность одновременного подключения IP-телефона и ПК. Эта функция позволяет компьютеру отлично соединяться с IP-телефоном, причем соединение ПК и телефона будет осуществляться через обычный Ethernet кабель.

 Наличие Voice VLANов усложняет поддержание безопасности на данном Ethernet порту. Активация Voice VLAN без надлежащего контроля безопасности может увеличить риск для организации. При внедрении VoIP не следует полагаться на  безопасность IP-телефонов и Voice VLAN, настроенных по умолчанию. Учитывая простой характер нападений, которые могут привести к критическим потерям, VoIP интеграторы должны:

  1.  Внедрить строгие меры безопасности для портов Ethernet с параметром Voice VLAN
  2. Протестировать Ethernet порты, подключенных к IP-телефонам, чтобы они соответствовали требуемому уровню безопасности.

http://www.securityfocus.com/images/infocus/voip1.gif

Рисунок 1: Типичная схема, когда голосовой и компьютерный трафик передаются по одному кабелю.

Исходные данные

В данной статье освещаются результаты легальных тестов на проникновение, проведенных в клиентской VoIP сети с помощью доступных инструментов с открытым исходным кодом. Была поставлена задача – злоумышленнику получить доступ к корпоративной сети данных с IP-телефонов. Нам следует подтвердить это через уязвимости в конфигурации, основанной на данном тесте на проникновение. Мы продемонстрировали, что получили удаленный доступ с правами администратора к серверам в центре обработки данных с удаленного, физически изолированного места, через обнаруженные IP-телефоны, считавшиеся безопасными.

Как будет показано далее, получить доступ к сети передачи данных удаленным подключением к данному VLAN было чрезвычайно просто. Мы называем данный тест проверки безопасности удаленного доступа для маршрутизации на Voice VLAN как "VoIP Hopping”. "VoIP Hopping” тестировалось на контроле защиты для сети второго уровня. Наблюдалось, что типичный ПК мог имитировать поведение IP-телефона и, таким образом, получать доступ к сети IP-телефонии. "VoIP Hopping” увеличивает риск для корпоративных сетей, так как преобладание конвергенции голосовых и приложений данных возрастает. В случае, если IP-телефон физически изолирован от корпоративной сети, этот риск увеличивается по экспоненте.

Потенциальные угрозы.

Когда IP-телефоны имеют внешнюю входящую линию в закрытой корпоративной сети, угроза нападения на основе "VoIP Hopping” значительно повышается. Это объясняется тем, что многие компании в конфигурации конвергентных VLAN для доступа внешних входящих линий отражают точную конфигурацию внутренней сети VoIP. Между тем, внешние входящие линии следует рассматривать как ненадежный сегменты сети и применять к ним соответствующие правила, потому что эти внешние входящие линии, находящиеся вне физического доступа корпоративной сети, позволяют получить злоумышленнику доступ к IP-телефонам, подключенным напрямую во внутреннюю сеть. Например, мы обычно наблюдаем возможность внешней входящей линии к VoIP в гостиничных номерах и приемных, которые позволяют внешней недомеренной сети  попасть во внутреннюю, корпоративную сеть передачи данных. В нашем конкретном случае мы выбрали случайным образом один из 200 залов, где установлен IP-телефон с неограниченным доступом ко внешней входящей линии, который также был подключен к центру обработки данных корпоративной сети через VoIP. После тестирования ноутбук имел IP-адрес в Voice VLAN. Он имел неограниченный доступ к корпоративной сети данных, поскольку не было защиты межсетевым экраном между Voice VLAN и корпоративной сетью передачи данных. Это позволило получить доступ с правами администратора к нескольким серверам, а также позволило проведение конкретных нападений ИС с телефонной сети. Если это проникновение осуществит злоумышленник, это приведет к потере важных данных и финансовым потерям для этой конкретной организации. Простое правило: телефоны ИС должны рассматриваться как внешние хосты ИС.

Тестирование возможности удаленного подключения к сетям VoIP должно обязательно использоваться инженерами сети и администраторами VoIP. Тест проверки безопасности должен проводиться тремя основными этапами.

  1. Отключение IР-телефона от сети и подключение ноутбука к кабелю.

Во первых, ноутбук (ПК) должен быть напрямую подключен к кабелю, приходящему от разъёма сети в стене, который будет подключен к IP-телефону. Функционирующий как трех портовый свич, IP-телефон поддерживает данную особенность, имея два порта Ethernet и принимая только «вход» и «выход» пакетов Ethernet из входящего трафика.

Первый шаг показывает,  что злоумышленник имеет возможность физического доступа  к разъему в стене для IP-телефона и подключения своего ноутбука напрямую к штекеру в стене. Если кабель подключения IP-телефона физически защищен от отключения или контролируется круговой камерой наблюдения в приемной (к примеру), то тогда предупреждение или обнаружения таких действий значительно снижает риск.

Следующим шагом, применяемый для Voice VLAN, будет сбор пакетов Cisco Discovery Protocol (CDP). Предположим, для данного шага злоумышленник не имеет информации об атакуемой сети. Он нуждается в сниффере, который позволит ему собирать CDP пакеты. Достаточное количество собранных пакетов поможет злоумышленнику узнать VoIPVLAN ID.

ID Voice VLAN является очень важной информацией, которая позволит злоумышленникам подготовиться в следующей фазе для удаленного подключения к VoIP. В среде VoIP CDP это протокол, используемый для соединения IP-телефонов, поэтому VLAN ID нужен для использования в заголовках пакетов протокола 802.1q . После того как телефон принял пакет об установке VoiceVlan ID, свитч корректно принимает и перенаправляет трафик. Ip телефон будет посылать DHCP запросы для получения IP адреса в сети VOICE VLAN. Если ПК подсоединен к данному порту в отсутствие специальной конфигурации, то он принимает IP-адрес от DHCP.

Конфигурация Cisco IOS позволяет организовать Voice VLAN и настраивает коммутатор на отправку CDP пакетов непосредственно связанным устройствам, информируя их о Voice VLAN.

Существуют различные возможности для перехвата Voice VLAN ID. Но одна из наиболее эффективных является использование tshark на недоступном интерфейсе с IP адресом. Захваченные фильтром Ethernet фреймы будут содержать адрес назначения 01:00:0c:cc:cc:cc и ID протокола для CDP. Если Voice VLAN включен, он будет захвачен tshark  следующим образом:

 

 Если tshark не доступен, а анализ CDP запросов необходим, то можно воспользоваться Wireshark Sniffer в любой операционной системе для захвата всего трафика на интерфейсе и анализа. В VoIP VLAN это определяется как пакет Type 7.

 

Рисунок 2 Идентификация VoiceVLAN с использованием  WiresharkSniffer

2.      Создание интерфейса «Voice VLAN» на ПК.

 Последним шагом в этой процедуре будет проверка на имеющимся  ПК с ОС Linux тегирования 802.1q VLAN в заголовках Ethernet фреймов. По умолчанию компьютеры не имеют такой настройки или она не функционирует. В этом методе, тестирование позволяет голосовой интерфейс VLAN на Linux PC. Следующие шаги подробно определяют, как именно выполнить это тестирование:

>>Скачать “802.1Q VLAN Implementation for Linux”:
bt ~ # wget http://www.candelatech.com/~greear/vlan/vlan.1.9.tar.gz
>> Распаковать архив
bt ~ # tar xvfz vlan.1.9.tar.gz
>>Проверить правильность интерфейса для VoIP Hopping
bt ~ # ifconfig
eth1 Link encap:Ethernet HWaddr 00:12:3F:0F:33:F3
inet addr:192.168.10.50 Bcast:192.168.10.255 Mask:255.255.255.0
inet6 addr: fe80::212:3fff:fe0f:33f3/64 Scope:Link
UP
>>Запустить утилиту «vconfig» и довавить интерфейс соответствующего VLAN ID
bt ~ # cd vlan
bt vlan #
bt vlan # vconfig add eth1 200
Added VLAN with VID == 200 to IF -:eth1:-
bt vlan #
>>Проверить то что новый интерфейс создан
bt vlan # ifconfig eth1.200
eth1.200 Link encap:Ethernet HWaddr 00:12:3F:0F:33:F3
>>Послать запрос DHCP клиента на получение IP адреса.
bt vlan # dhcpcd -d -t 10 eth1.200
dhcpcd: MAC address = 00:12:3f:0f:33:f3
dhcpcd: your IP address = 172.16.200.6
bt vlan #

Если DHCP сервер возвращает DHCP данные для IP адреса, то любой ПК может успешно подключиться удаленно к Voice VLAN VoIP, имитируя поведение IP-телефона.  А сеть второго уровня позволяет успешно подключиться удаленно к VoIP. В зависимости от сценариев VoIP звонков и проектирования сети, это может представлять критическую уязвимость в конфигурации. Что переводит вопросы о том, как предотвратить или смягчить нападения на основе удаленного подключения к VoIP, на первый план.

 Технология подавления.

  Хотя для безопасности VoIP наилучшей практикой будут рекомендации по отделению брандмауэром голосовой сети  и сети с данными, многие клиенты, использующие VoIP сети, не придерживаются этой практики. Некоторые системные архитекторы полагают, что их корпоративная сеть по умолчанию является "надежной" и внутренний пользователь, имеющий доступ к сети передачи данных, не будет подвержен нападениям со стороны внутренней VoIP сети. Другие системные архитекторы просто не знают примеры конкретных нападений, которые можно осуществить против VoIP сети в "надежных" местах внутренней сети.

 Удаленное подключение к VoIP может разрешаться для ПК во внутренней сети и позволяет запускать несколько различных типов нападений на сети IP-телефонов. Например, они могут подслушивать разговоры по незакодированным телефонам или вызывать прерывание разговоров в сети IP-телефонов.

 
Наиболее эффективный способ как то смягчить угрозу удаленного подключение к VoIP  - использовать двухслойный контроль.

 

  • Наличие фильтрации по MAC адресу: различные поставщики уже предлагают решения, которые помогают избегать удаленного подключения к VoIP. С фильтром MAC адресов, MAC адреса IPVoice VLAN, коммутатор не будет передать ему трафик. Кроме того, MAC адреса могут динамически запоминаться и, при изменении, блокировать Ethernet порт.
  •  Наличие 802.1x: В Ethernet портах коммутарора непосредственно подключенных к IP- телефонам могут быть настроены и включены для 802.1x. Телефоны, которые поддерживают 802.1x, будут проходить необходимую проверку подлинности портом коммутатора с соответствующими полномочиями. Заметим, что, как описывает следующая ссылка, в зависимости от конфигурации, можно подключить анонимный Voice VLAN даже если 802.1x включен на порту коммутатора http://www.cisco.com/warp/public/707/cisco-sn-20050608-8021x.shtml. Если двух уровневую защиту невозможно внедрить, то третий способ поможет уменьшить риски
  • Внедрение новой ДМЗ сети VoIP: Некоторые организации с VoIP уже не смогут изменить дизайн всей внутренней сети, чтобы отделить брандмауэром голосовую сеть от сети передачи данных. Однако внешние места предоставления современных услуг IP телефонии для пользователей могут быть сегментированы в ДМЗ-сеть VoIP. Поскольку эти места обеспечивают свободный доступ к IP телефонам, их  следует рассматривать как внешние, ненадежные сегменты сети новой VoIP сети. В ДМЗ можно создать правило доступа, позволяющее только надежным IP-телефонам иметь доступ к серверам компьютерной сети. Это предполагает создание нового брандмауэра интерфейса и реализации ACL фильтрации так, что только адрес ИС Телефона допускается к конкретным направлениям на конкретных портах диапазона. IP-телефоны могут быть сконфигурированы со статическими IP- адресами, а служба DHCP может быть отключена в этих подсетях. Для тех злоумышленников, которые, по-прежнему, способны удаленно подключить VoIP, это создаст еще больше затруднений для получения функционирующего адреса по VoiceVLAN. Кроме того, злоумышленник будет иметь лишь возможность подключения к портам межсетевого экрана ДМЗ VoIP. Данное внедрение позволяет внутренней сети VoIP существовать без брандмауэра. Недостатком этого решения является то, что IP телефоны в этой сети могут быть атакованы напрямую.

 

Инструмент "VoIP Hopper".

  Существуют большие риски для реализации сети VoIP без надлежащего двухуровневого контроля на рабочих местах. Благодаря успешному испытанию по проникновению в VoIP, видно, насколько рискованными могут быть различные конфигурации. Чтобы снизить эти риски, мы рекомендуем выполнить предлагаемые проверки на проникновение в VoIP, проверки надлежащего контроля безопасности VoIP сетей. Чтобы автоматизировать задачу проведения испытаний, Джейсоном Остромом был разработан "VoIP Hopper", автоматизированный инструмент, который производит данное тестирование достаточно быстро. VoIP Hopper можно загрузить с отсюда - VoIP Hopper.

Инструмент будет демонстрировать следующее

"VoIP Hopper"" имеет огромное значение для служб ИБ и VoIP администраторов, так как он может помочь определить - является ли данная конвергенция VoIP сети уязвимой к определенным нападениям. "VoIP Hopper" был создан для повышения уровня информированности по безопасности всей сети, как на потенциальных рисках развертывания IP-телефонии. Так как VoIP становится все более распространенным, эти риски (и их угрозы) будут только возрастать. "VoIP Hopper" является первым шагом помощи сообществу по открытию рисков и, в конечном итоге, защитите от них.

 Распространенность конвергентных сетей на основе технологии VoIP растет. Так как она растет, все больше злоумышленников найдет неиспользованные возможности, предоставляемые этими сетями для получения доступа к важнейшим ресурсам. VoIP является еще одной точкой входа в корпоративную сеть, так же, как Интернет и беспроводные сети. В будущем нападения злоумышленников на Voice GateWay могут стать более распространенным. Предприятие, которое начинает защищаться от этих потенциальных рисков, опередит хакеров, которые в свою очередь все чаще будут обращать внимание на VoIP.

или введите имя

CAPTCHA
09-11-2007 11:54:20
Как попасть на сервер внутренней сети через эмуляцию ip-телефона, да еще и "с правами администратора", я так и не понял. Может быть какой-нибудь специалсит по VoIP сможет прокомментировать скверный перевод статьи? Буду благодарен.
0 |
1
09-11-2007 16:31:30
но обычно call manager'ы стоят на старых непатченных windows и каким-нибудь RPC exploit'ом вполне можно выполнить на нём код. А с call manager'а уже много чего интересного может быть видно (да и на нём самом можно поразвлекаться).
0 |
09-11-2007 22:11:49
Сильное утверждение. У нас вообще-то существует специальный виндовый релиз для СМ. А непатченная винда может быть только потому, что не соблюдаются рекомендации Cisco, в которых четко прописано ГДЕ и КАК брать патчи для специальной версии винды под СМ. Все эти патчи выкладываются на специальную страницу нашего сайта, а перед этим проходят стандартизованную процедуру тестирования на совместимость с СМ. RTFM
0 |
1
10-11-2007 21:35:43
черт, фанатик линупса селфовнулся немного.. хотя чего тут.. рядовое событие секлаба
0 |
1
10-11-2007 12:00:57
ну я не специалист по VoIP но если он организован на Erlang-е мне это кажется весьма проблематичным, так как легковесные процессы Erlang по своей организации должны как раз не допускать такую возможность, в статье впрочем очень тонко намекнули на толстое обстоятельство, что "риски различных решений VoIP конвергенций"
0 |
1
11-11-2007 12:00:10
ЭТО ПЯТЬ!
0 |
09-11-2007 15:39:22
Как обычно люди хотят иметь готовый ответ, а не предложенное решение проблем. В статье приведен покрайней мере инструмент который позволяет проводить анализы такого вида.
0 |
10-11-2007 22:40:34
Буквицы сии зело многочисленны, при том тяжек труд разбирать Прокомментирую: 1. Перевод - нет слов. "Решение VoIP конвергенции" - это просто песня ;-( 2. Непонятно появление голосовых шлюзов в последнем абзаце. Все время речь шла про ЛВС, а тут голосовые шлюзы... 3. Совершенно непонятно, как все-таки осуществить удаленное проникновение через IP-телефон? Все описанные случаи - это обычная сегментированная ЛВС и все. А вот почитать про проникновение через голосовой шлюз было бы действительно интересно. 4. То ли перевод все-таки хромает, то ли еще что... Зачем IP-телефон подключать к центру обработки данных я не понимаю ;-( 5. Фразу "если IP-телефон физически изолирован от корпоративной сети, этот риск увеличивается по экспоненте" не осилил, как не старался. Снижение риска я еще могу понять, но вот рост... Резюме: если говорить про Cisco, т.к. именно ее решения описывались в статье, то у нас есть большое количество рекомендаций по построению защищенной IP-телефонии. Если им следовать, то практически все описанные в статье проблемы будет почти невозможно реализовать.
0 |
1
10-11-2007 23:12:02
Оченя конкретно пояснил!
0 |
1
13-12-2007 17:44:30
По поводу пункта 4го все вообще-то на поверхности, одно дело когда IP-Телефон где-то в офисе у вас стоит рядом с компом, там сидит сотрудник компании, ведется наблюдение, админ выходит кофе попить, и если какой-точувак будет вместо него свой ноут втыкать , ему тут же люлей накатят =-) А вот если ip-телефон стоит отдельно, к примеру в номере гостиницы или хотя бы в отдельной комнате то может никто и не заметить =-)
0 |
1
13-12-2007 17:52:35
P.S. Тут конечно переводчик немного виноват, предполагается что он подключен к копроративной сети, но расположен в отдельном помещении. Это про 5й пункт я вот тоже очепяталсо=-) Про 4й пункт наверное подключен к датацентру потому что лень было отдельный провод тянуть, т.е. к примеру от концентратора идет провод а на нем сидит телефон, а к примеру в соседней комнате комп, ну и чтобы не тянуть отдельный провод типа просто соединяют тот комп через ип-телефон, хотя на мой взгляд это марразм =-)
0 |
1
12-11-2007 07:19:41
Да ... Ну и чушь написана, причем - к VoIP эта "статья" никакого отношения не имеет. Интересно - здесь вообще такой человек как редактор существует или нет ?
0 |
12-11-2007 14:04:40
Оригинал здесь. http://www.securityfocus.com/infocus/1892 Можно все воспринимать как просто призыв корректно сегментировать сети на втором уровне и настраивать Firewall-ы между ними. И, не мешало бы, еще отслеживать подключение левых устройств в вашу сеть. Ну, и заодно, конечно же реклама, супер-пупер инструмента VoIP Hopper, который сам умеет нюхать какой там vlan на порту на которм вы висите, прописывать vlan id и менять MAC и IP адрес на карточке (не все же умеют).
0 |
1
28-11-2007 11:13:52
Вот вы мне нравитесь! Как критиковать и указывать на ошибки, так мы все можем. Сами то перевели хоть одно предложение достойно???? Человек между прочим ночи не спал, старался... а вы? Добродушнее надо быть. Вот я - вообще не знаю ничего из области ИТ, и то как рядовому читателю многое понятно. Перевод не совершенство конечно, но кому нужно тот поймет, дабы написано понятно. Удачи Acid!
0 |