260 likes | 427 Views
VoIP lahenduse turvamine kaugjuurdepääsu vahenditega Michailas Ornovskis. Ettekanne struktuur. VoIP lahenduste liigid võrgude järgi VoIP lahenduste ründamise viisid VoIP lahendused ja kaugjuurdepääs Mida annab juurde kaugjuurdepääsu kasutamine
E N D
VoIP lahenduse turvamine kaugjuurdepääsu vahenditega Michailas Ornovskis
Ettekanne struktuur • VoIP lahenduste liigid võrgude järgi • VoIP lahenduste ründamise viisid • VoIP lahendused ja kaugjuurdepääs • Mida annab juurde kaugjuurdepääsu kasutamine • Lahenduse arendamise võimalused Asterisk näitel
VoIP lahenduste liigid võrgude järgi • Lahendused siseseks kasutamiseks juurdepääsuga sisevõrgust • Lahendused väliseks kasutamiseks teenusena • Kombineeritud lahendused, kaugjuurdepääsu kasutamine
Lahendused siseseks kasutamiseks • Eraldatud numbrivahemik • Väljund PSTN võrku kas otse või teenuse pakkuja poolt • Mõeldud ettevõtesiseseks kasutamiseks ja/või helistamiseks väljaspoole võrku, kõnede vastuvõtmiseks (Call Center)
Lahendused väliseks kasutamiseks teenusena ISP vaade, teenus mõeldud lõppkasutajatele
VoIP lahenduste ründamise viisid • SIP registratsiooni tüssamine (võrguaadressi võltsimine) • Sessiooni pealtkuulamine (Session Eavesdropping) • ARP tüssamine (ARP spoofing) • DoS (Denial of Service – teenuse tõkestamise rünne)
Sessiooni pealtkuulamine • MITM korral kui infoedastus on krüpteerimata kujul, ründajal on võimalus pakettide kinnipüüdmiseks/taasesitluseks/võltsimiseks
ARP tüssamine • ARP tüssamise korral • võltsitakse MAC aadressid ja kogu liiklus käib läbi ründaja seadme
DoS – teenuse tõkestamise rünne • DoS rünnaku korral tulemuseks on süsteemi ülekoormus ja/või süsteemi kaitsemehhanismide käivitamine, mille tulemuseks on kasutatava ressurssi korral (sh ka VoIP) ligipääs sellele kinni.
VoIP lahendused ja kaugjuurdepääs • Kaugjuurdepääsu kasutus VoIP lahenduste juures
Mida annab juurde kaugjuurdepääsu kasutamine • Saab eristada kahe krüpteerimise meetodi kõne jaoks välisvõrgus • Üks neist on nn meediavoo krüpteerimine, mille puhul krüpteeritud kõne edastatakse läbi hariliku võrgu • Teine on kanalipõhine krüpteerimine, ehk siis võrguvahendite kasutamine kõne kaitseks • Kaugjuurdepääs tagab kõne privaatsust välisvõrgus ja lisaks lahendab teisi VoIP’ga seotud probleeme
Mida annab juurde kaugjuurdepääsu kasutamine • Kasutajate autoriseerimine • Kasutajate jaoks üldiselt toimub autoriseerimine kahes etapis • Kõigepealt kasutajat autoriseeritakse vastu tulemüüri (LDAP, AD, Novell, lokaalne baas jm) • Teiseks, kasutajat autoriseeritakse vastu VoIP serverit (nt SIP korral) • Autoriseerimine kahe sammuga suurendab turvalisust
Mida annab juurde kaugjuurdepääsu kasutamine • NAT traversal probleemi lahendamine • NAT traversal probleem võib näiteks tekkida siis, kui kasutajal on ISP poolt määratud dünaamiline IP aadress • On võimalik anda kasutajale sisevõrgu IP aadress ning kogu VoIP liiklus saadetakse sellele aadressile • Kuna kasutaja ja tulemüüri vahel on tekitatud tunnel, siis liiklus garanteeritult jõuab kasutaja seadmesse
Mida annab juurde kaugjuurdepääsu kasutamine • Kasutajate mobiilsus • Kasutajad saavad VPN kliendiga ligi ka näiteks välismaalt • Juhul kui operaatori poolt on IPSec liiklus keelatud, on võimalus kapseldada liiklust UDP paketidesse ja/või kasutada SSL ühendust
Mida annab juurde kaugjuurdepääsu kasutamine • Kõnede privaatsus • Loodud VPN tunnelis liiklus on kaitstud erinevate turvameetmetega, sh ka läbi kanali krüpteerimise erinevate algoritmidega • Seanssidesse sekkumine ja nende pealtkuulamine on praktiliselt välistatud nii välise ründaja kui ka teenuse pakkuja jaoks • Kõnede pealtkuulamine/lahtikrüpteerimine on praktikas välistatud ka julgeoleku asutuste jaoks
Mida annab juurde kaugjuurdepääsu kasutamine • Seadmete valik • Tulemüür, VoIP server ja ka VoIP klientide valik on vaba, tuleb jälgida kokkusobivust VPN kliendi ja tulemüüri vahel (oleneb kasutaja platvormist) • Mõned tulemüürid oskavat hallata VoIP liiklust, prioriteseerida seda, vähendada latentsust, jälgida portide muutust sessiooni jooksul ja vastavalt sellele reageerida • Meediavoo krüpteerimise osas (näiteks protokolli ZRTP puhul) VoIP klientide valik on kitsas ja valida saab paarist kliendist PC jaoks
Mida annab juurde kaugjuurdepääsu kasutamine • Kaitse nimetatud rünnakute vastu • ARP tüssamine, SIP registratsiooni võltsimine ja ka sessiooni pealtkuulamine on välistatud, kuna kogu liiklus kliendi ja tulemüüri vahel on krüpteeritud • DoS rünnakute vastu VoIP serverid reeglina kaitstud ei ole, serveri vastupidavus on ainult aja ja jõudluse küsimus • Kuna kaugjuurdepääsu lahenduses on kasutusel nn “Behind the Firewall” printsiip, siis DoS rünnakutega tegeleb tulemüür • Paljud tulemüürid on hästi kaitstud DoS rünnakute vastu – kasutusel on “blacklistid”, “puzzle” tehnoloogia jne
Mida annab juurde kaugjuurdepääsu kasutamine • Lahenduse majanduslik külg • Investeering toimub seadmetesse ja litsentsidesse • WiMAX, WiFi ja muudes tasuta levialades on VoIP vahelised kõned tasuta. Kõnesid välismaalt PSTN/GSM võrkudesse maksustatakse kodumaa tariifide järgi (tuleb mainida, et neid ei krüpteerita) • Traadita interneti tariifide korral (mobiilseadmed) makstakse püsitasu • Mõnede operaatorite juures traffiku limiidi ületamisel on lubatud tasuta kasutamine teatud edastuskiirusega • Kuna koodek on kasutajal valida, siis saab kiiruse nõue vähendada ka <10 Kbit/s
Lahenduse arendamise võimalused Asterisk näitel • Asterisk VoIP serveri funktsionaalsus • SIP, IAX, IAX2 sisseehitatud toetus – toetatud ATA adapterid, VoIP telefonid, VoIP tarkvaralised telefonid, PSTN telefonid jne • Kõnepost, automaatvastaja, teenus “Leia Mind”, kõnede suunamised jm kuni telefoni mängudeni • Asterisk on GPL litsentsiga ja omab tasuta versioone • Asterisk on Linux’i baasil tehtud ja riistvara valik oleneb süsteemi piirangutest ja soovitud jõudlusest • Asterisk tehnoloogia VoIP serveritesse saab panna Zapata ISDN kaarte, mis annab väljundi PSTN võrku otse • Asterisk serverit saab siduda VoIP telefoni numbritega, milliseid väljastab telefoni/interneti teenuse pakkuja
Lahenduse arendamise võimalused Asterisk näitel • Asterisk VoIP serveri arendamise võimalused • Lisamoodulite kasutamine – Asterisk serverite puhul lisanduvad teenused, sellised nagu kõnepost jm • Site – to – Site VPN tunnelid lubavad VoIP serveri kasutust ka ettevõte partneritele või filiaalidele • VoIP servereid saab omavahel ühendada, kasutades näiteks IAX2 protokolli. Sellisel juhul näiteks iga ettevõte/filiaali jaoks võib luua oma numbriplaani – 1XX, 2XX jne • VoIP serverite ühendamine üle VPN tunneli tagab ka võrkudevaheliste ühenduste privaatsust
VoIP lahenduse turvamine kaugjuurdepääsu vahenditega Tänan. Küsimused?
Tänan! Michailas Ornovskis michailas@stallion.ee 1