Miesięcznik informatyków i menedżerów IT sektora publicznego

Kamil Folga

Bezpieczeństwo telefonii IP

Bezpieczeństwo telefonii było problemem już w latach 50. W latach 70. zdalny dostęp do central telefonicznych stał się nowym celem ataków. Znaczący rozwój zagrożeń nastąpił jednak dopiero w XXI wieku, wraz z upowszechnieniem się technologii Voice over IP.

Statystyka ataków na port SIP/5060 z systemu SANS.

Szybko rozwijająca się komunikacja Voice over IP (VoIP) oraz inne aspekty zunifikowanej komunikacji (Unified Communication) nie pozwalają ustrzec się błędów implementacji. Problemy bezpieczeństwa nie ograniczają się wyłącznie do kosztownego nieuprawnionego wykonywania połączeń telefonicznych (Toll Fraud). Coraz częściej ataki są kierowane na infrastrukturę telefoniczną. Pojawiają się również nowe typy ataków – podszywanie się pod numer dzwoniącego, podsłuchiwanie rozmów, ingerowanie w rozmowy i wiele innych.

Dlaczego VoIP bywa niebezpieczny

VoIP ze względu na fakt posługiwania się protokołem IP do realizacji połączeń stał się łatwym celem dla atakujących. Atak można przeprowadzić zdalnie, bez pozostawiania istotnych śladów działalności. VoIP działa w oparciu o szereg protokołów zależnych od modelu wdrożenia czy dostawcy rozwiązania. Implementacja VoIP, w której każde z urządzeń jest przyłączone do sieci IP, zwiększa ryzyko ataku. Rozmowy VoIP wędrują tą samą ścieżką, co połączenia sieciowe lub połączenia do internetu. Powoduje to możliwość dostępu do urządzeń głosowych z praktycznie każdego miejsca na świecie.

Najczęściej wykorzystywane protokoły sygnalizacyjne VoIP w sieciach pakietowych to SIP, Cisco SCCP, H.323. Zgodnie z danymi IBM Managed Security Services w 2016 r. dwoma najbardziej podatnymi na ataki protokołami był SIP (51%) oraz SCCP (48%). Pozostałe protokoły są atakowane raczej incydentalnie. SIP jest dostępny zarówno w sieciach LAN, jak i WAN i narażony jest na największą liczbę ataków. SCCP z kolei jest wdrażany głównie w sieciach lokalnych lub zamkniętych wdrożeniach, więc zaatakowanie tego protokołu z poziomu sieci WAN jest znacząco utrudnione. Większość ataków na SCCP pochodzi z sieci lokalnej. Jeżeli spojrzymy na liczbę ataków na sondach monitorujących ruch na określonych portach, zauważymy, że liczba ataków na systemy SIP stale rośnie.

Jak atakowany jest VoIP

Atakiem narażającym użytkowników na największe straty są wyłudzenia połączeń telefonicznych (Toll Fraud). Atak może zostać zrealizowany na wiele różnych sposobów, natomiast efektem będzie zawsze wykonanie połączeń bez uprawnień, skutkujące znacznymi stratami finansowymi. Atak ten realizowany jest dzięki przejęciu kont użytkowników lub znalezieniu błędów konfiguracji albo implementacji w centrali telefonicznej IP. Wyłudzenia polegają na wykorzystaniu zasobów naszej centrali i łączy telefonicznych do realizacji połączeń na wysokopłatne linie zagraniczne lub infolinie.

Równie popularnym atakiem jest wnikanie w transmisję głosową. Na połączenie w systemach IP składają się dwie fazy. Pierwsza faza to sygnalizacja, gdzie faktycznie jest zestawiane połączenie. Na tym etapie przesyłane są komunikaty sygnalizacji za pośrednictwem centrali telefonicznej IP. Wykorzystujemy do tego celu wspomniane wcześniej protokoły SIP, H.323 czy SCCP. Gdy połączenie zostanie nawiązane, następuje faza druga, w której przesyłany jest głos z wykorzystaniem protokołu RTP bezpośrednio pomiędzy telefonami. Jeżeli wykorzystamy atak man-in-the-middle (MITM) do ingerencji w rozmowę, wówczas możemy nie tylko podsłuchać rozmowę, ale również w nią wnikać, przykładowo wprowadzając szum lub podstawiając spreparowany dźwięk. Podobnie realizowane jest podsłuchiwanie rozmów, które jest możliwe do przeprowadzenia na dwa sposoby. Pierwszym sposobem jest dostęp fizyczny do przełączników w sieci obsługujących telefonię. Dostęp pozwala zrealizować konfigurację kopiowania pakietów z określonych portów na inny port (funkcja port mirroring), co pozwala przejmować pakiety głosowe i sygnalizacyjne. Drugą metodą jest przeprowadzenie ataku MITM na ofiarę, co pozwala przechwytywać informacje wymieniane pomiędzy zaatakowanym a centralą telefoniczną IP.

W zależności od wykorzystywanych protokołów i platform metody ataku mogą się zmieniać. Obecnie popularnym atakiem jest DDoS (Disturbed Denial of Service) na infrastrukturę VoIP. Taki atak powoduje całkowitą niestabilność infrastruktury telekomunikacyjnej, prowadzącą do zablokowania możliwości zestawiania połączeń.

[...]

Autor zawodowo zajmuje się informatyką ze specjalizacją w zakresie sieci bezprzewodowych oraz systemów transmisji głosu. Publikuje w magazynach komputerowych.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma. Zapraszamy do składania zamówień na prenumeratę i numery archiwalne.
 
 

Polecamy

Biblioteka Informacja Publiczna

Specjalistyczne publikacje książkowe dla pracowników administracji publicznej

więcej