Transcript VoIP lahenduse turvamine kaugjuurdepääsu vahenditega

VoIP lahenduse
turvamine
kaugjuurdepääsu
vahenditega
Michailas Ornovskis
www.stallion.ee
Ettekanne struktuur
• VoIP lahenduste liigid võrgude järgi
• VoIP lahenduste ründamise viisid
• VoIP lahendused ja kaugjuurdepääs
• Mida annab juurde kaugjuurdepääsu kasutamine
• Lahenduse arendamise võimalused Asterisk näitel
www.stallion.ee
VoIP lahenduste liigid võrgude järgi
• Lahendused siseseks kasutamiseks
juurdepääsuga sisevõrgust
• Lahendused väliseks kasutamiseks teenusena
• Kombineeritud lahendused, kaugjuurdepääsu
kasutamine
www.stallion.ee
Lahendused siseseks
kasutamiseks
• Eraldatud numbrivahemik
• Väljund PSTN võrku kas
otse või teenuse pakkuja poolt
• Mõeldud ettevõtesiseseks
kasutamiseks ja/või
helistamiseks väljaspoole
võrku, kõnede vastuvõtmiseks
(Call Center)
www.stallion.ee
Lahendused väliseks
kasutamiseks teenusena
ISP vaade, teenus mõeldud lõppkasutajatele
www.stallion.ee
Kombineeritud lahendused,
kaugjuurdepääsu kasutamine
www.stallion.ee
VoIP lahenduste ründamise viisid
• SIP registratsiooni tüssamine (võrguaadressi
võltsimine)
• Sessiooni pealtkuulamine (Session
Eavesdropping)
• ARP tüssamine (ARP spoofing)
• DoS (Denial of Service – teenuse tõkestamise
rünne)
www.stallion.ee
SIP registratsiooni tüssamine
www.stallion.ee
SIP registratsiooni tüssamine
www.stallion.ee
Sessiooni pealtkuulamine
• MITM korral kui infoedastus on krüpteerimata
kujul, ründajal on võimalus pakettide
kinnipüüdmiseks/taasesitluseks/võltsimiseks
www.stallion.ee
ARP tüssamine
• ARP tüssamise
korral
võltsitakse MAC
aadressid ja kogu
liiklus käib läbi
ründaja seadme
www.stallion.ee
DoS – teenuse tõkestamise rünne
• DoS rünnaku korral tulemuseks
on süsteemi ülekoormus ja/või
süsteemi kaitsemehhanismide
käivitamine, mille tulemuseks on
kasutatava ressurssi korral (sh ka
VoIP) ligipääs sellele kinni.
www.stallion.ee
VoIP lahendused ja kaugjuurdepääs
• Kaugjuurdepääsu kasutus VoIP lahenduste juures
www.stallion.ee
Mida annab juurde
kaugjuurdepääsu kasutamine
•Saab eristada kahe krüpteerimise meetodi kõne jaoks
välisvõrgus
• Üks neist on nn meediavoo krüpteerimine, mille puhul
krüpteeritud kõne edastatakse läbi hariliku võrgu
• Teine on kanalipõhine krüpteerimine, ehk siis
võrguvahendite kasutamine kõne kaitseks
• Kaugjuurdepääs tagab kõne privaatsust välisvõrgus ja
lisaks lahendab teisi VoIP’ga seotud probleeme
www.stallion.ee
Mida annab juurde
kaugjuurdepääsu kasutamine
Kasutajate autoriseerimine
• Kasutajate jaoks üldiselt toimub autoriseerimine kahes
etapis
• Kõigepealt kasutajat autoriseeritakse vastu tulemüüri
(LDAP, AD, Novell, lokaalne baas jm)
• Teiseks, kasutajat autoriseeritakse vastu VoIP serverit (nt
SIP korral)
• Autoriseerimine kahe sammuga suurendab turvalisust
www.stallion.ee
Mida annab juurde
kaugjuurdepääsu kasutamine
NAT traversal probleemi lahendamine
• NAT traversal probleem võib näiteks tekkida siis, kui
kasutajal on ISP poolt määratud dünaamiline IP aadress
• On võimalik anda kasutajale sisevõrgu IP aadress ning
kogu VoIP liiklus saadetakse sellele aadressile
• Kuna kasutaja ja tulemüüri vahel on tekitatud tunnel, siis
liiklus garanteeritult jõuab kasutaja seadmesse
www.stallion.ee
Mida annab juurde
kaugjuurdepääsu kasutamine
Kasutajate mobiilsus
• Kasutajad saavad VPN kliendiga ligi ka näiteks välismaalt
• Juhul kui operaatori poolt on IPSec liiklus keelatud, on
võimalus kapseldada liiklust UDP paketidesse ja/või
kasutada SSL ühendust
www.stallion.ee
Mida annab juurde
kaugjuurdepääsu kasutamine
Kõnede privaatsus
• Loodud VPN tunnelis liiklus on kaitstud erinevate
turvameetmetega, sh ka läbi kanali krüpteerimise erinevate
algoritmidega
• Seanssidesse sekkumine ja nende pealtkuulamine on
praktiliselt välistatud nii välise ründaja kui ka teenuse
pakkuja jaoks
• Kõnede pealtkuulamine/lahtikrüpteerimine on praktikas
välistatud ka julgeoleku asutuste jaoks
www.stallion.ee
Mida annab juurde
kaugjuurdepääsu kasutamine
Seadmete valik
• Tulemüür, VoIP server ja ka VoIP klientide valik on vaba,
tuleb jälgida kokkusobivust VPN kliendi ja tulemüüri vahel
(oleneb kasutaja platvormist)
• Mõned tulemüürid oskavat hallata VoIP liiklust,
prioriteseerida seda, vähendada latentsust, jälgida portide
muutust sessiooni jooksul ja vastavalt sellele reageerida
• Meediavoo krüpteerimise osas (näiteks protokolli ZRTP
puhul) VoIP klientide valik on kitsas ja valida saab paarist
kliendist PC jaoks
www.stallion.ee
Mida annab juurde
kaugjuurdepääsu kasutamine
Kaitse nimetatud rünnakute vastu
• ARP tüssamine, SIP registratsiooni võltsimine ja ka
sessiooni pealtkuulamine on välistatud, kuna kogu liiklus
kliendi ja tulemüüri vahel on krüpteeritud
• DoS rünnakute vastu VoIP serverid reeglina kaitstud ei
ole, serveri vastupidavus on ainult aja ja jõudluse küsimus
• Kuna kaugjuurdepääsu lahenduses on kasutusel nn
“Behind the Firewall” printsiip, siis DoS rünnakutega tegeleb
tulemüür
• Paljud tulemüürid on hästi kaitstud DoS rünnakute vastu –
kasutusel on “blacklistid”, “puzzle” tehnoloogia jne
www.stallion.ee
Mida annab juurde
kaugjuurdepääsu kasutamine
Lahenduse majanduslik külg
• Investeering toimub seadmetesse ja litsentsidesse
• WiMAX, WiFi ja muudes tasuta levialades on VoIP
vahelised kõned tasuta. Kõnesid välismaalt PSTN/GSM
võrkudesse maksustatakse kodumaa tariifide järgi (tuleb
mainida, et neid ei krüpteerita)
• Traadita interneti tariifide korral (mobiilseadmed)
makstakse püsitasu
• Mõnede operaatorite juures traffiku limiidi ületamisel on
lubatud tasuta kasutamine teatud edastuskiirusega
• Kuna koodek on kasutajal valida, siis saab kiiruse nõue
vähendada ka <10 Kbit/s
www.stallion.ee
Lahenduse arendamise võimalused
Asterisk näitel
Asterisk VoIP serveri funktsionaalsus
• SIP, IAX, IAX2 sisseehitatud toetus – toetatud ATA
adapterid, VoIP telefonid, VoIP tarkvaralised telefonid,
PSTN telefonid jne
• Kõnepost, automaatvastaja, teenus “Leia Mind”, kõnede
suunamised jm kuni telefoni mängudeni
• Asterisk on GPL litsentsiga ja omab tasuta versioone
• Asterisk on Linux’i baasil tehtud ja riistvara valik oleneb
süsteemi piirangutest ja soovitud jõudlusest
• Asterisk tehnoloogia VoIP serveritesse saab panna Zapata
ISDN kaarte, mis annab väljundi PSTN võrku otse
• Asterisk serverit saab siduda VoIP telefoni numbritega,
milliseid väljastab telefoni/interneti teenuse pakkuja
www.stallion.ee
Lahenduse arendamise võimalused
Asterisk näitel
Asterisk VoIP serveri arendamise võimalused
• Lisamoodulite kasutamine – Asterisk serverite puhul
lisanduvad teenused, sellised nagu kõnepost jm
• Site – to – Site VPN tunnelid lubavad VoIP serveri
kasutust ka ettevõte partneritele või filiaalidele
• VoIP servereid saab omavahel ühendada, kasutades
näiteks IAX2 protokolli. Sellisel juhul näiteks iga
ettevõte/filiaali jaoks võib luua oma numbriplaani – 1XX,
2XX jne
• VoIP serverite ühendamine üle VPN tunneli tagab ka
võrkudevaheliste ühenduste privaatsust
www.stallion.ee
Lahenduse arendamise võimalused
Asterisk näitel
www.stallion.ee
VoIP lahenduse turvamine
kaugjuurdepääsu vahenditega
Tänan. Küsimused?
www.stallion.ee
Tänan!
Michailas Ornovskis
[email protected]
www.stallion.ee
1