Jakým způsobem lze napadnout VoIP ústřednu?

Vladimír Toncar | 15.11.2011 | Bezpečnost, Internet a služby | Žádné komentáře

Telefonní ústředny založené na technologii VoIP (Voice over IP) a především na protokolu SIP jsou už dlouhou dobu populárním řešením telekomunikačních potřeba firem a často i domácích uživatelů. Oproti starým „drátovým“ ústřednám poskytují VoIP ústředny vyšší flexibilitu v možnostech nastavení a také úsporu telekomunikačních nákladů, protože je možné si vybrat z řady alternativních poskytovatelů služeb.

Telefonní ústředna na bázi VoIP by se ovšem mohla stát i příčinou výrazných finančních ztrát, pokud při jejím připojení do internetu nevěnujeme pozornost dostatečnému zabezpečení. Mnoho hackerů se totiž rychle přeškolilo právě na napadání telefonních serverů. Ústředna, jejíž obranu se podařilo prolomit, je pro hackera velmi snadný zdroj příjmů. Velkou publicitu získal například v roce 2010 případ útočníka, který se po chycení přiznal k prodání několika milionů minut hovorů realizovaných přes prolomené telefonní servery. Tento případ je specifický tím, že hacker udělal z provozovatelů napadených serverů nedobrovolné telefonní operátory. Standardní útok má však obvykle přímější charakter – po prolomení serveru začne útočník generovat hovory na telefonní čísla s vysokou tarifikací, umístěné v zemích se špatnou vymahatelností práva.

Modelové situace
Pojďme se blíže podívat na jednotlivé bezpečnostní situace, v nichž se může telefonní ústředna nacházet.

1. Ústředna je připojená do veřejné telefonní sítě klasickým způsobem, tj. jen přes klasickou telefonní linku. Ústředna není z internetu vůbec přístupná a sama na něj ani nemůže přistupovat. Toto je z hlediska bezpečnosti nejjednodušší situace, ale ani tak nelze opomíjet bezpečnostní opatření. Ústředna je totiž připojená i do lokální firemní sítě a pokud útočník do LAN jakkoliv pronikne (například odcizením hesla pro VPN a odposloucháváním klávesnice v infikovaném počítači), může pak zaútočit i na takovouto ústřednu. Pokud zjistí, že se v síti nachází telefonní server, bude zřejmě jedním z objektů jeho zájmu.

2. Ústředna je připojená k některému poskytovateli telefonních služeb protokolem SIP, do internetu přistupuje přes firewall, který dělá překlad adres (NAT). To je nejčastější situace v malých a středních firmách i u domácích uživatelů. Z principu fungování NAT může z internetu s ústřednou komunikovat jen server poskytovatele služby, protože se s ním ústředna sama jako první spojila. Jde opět o relativně bezpečnou situaci. Ústředna však může být napadnuta podobně jako v bodě 1, takže je potřeba nepodceňovat zabezpečení takové ústředny.

3. Ústředna je buď přímo připojitelná do internetu (má veřejnou IP adresu) a nebo jsou na ní z firewallu mapované porty. Jde o situaci, kdy potřebujeme, aby se k ústředně připojovali i klienti (hardwarové či softwarové telefony) z internetu. Tento způsob fungování může být výhodný například pro pracovníky obchodních oddělení, kteří často cestují. V některých případech běh ústředny na veřejné IP adrese vyžadují i poskytovatelé služeb SIP. Je to poměrně častý požadavek při vysokokapacitních připojeních SIP (pro které se někdy používá označení SIP Trunk).


Popisek obrázku: Výpis zablokovaných adres v administračním rozhraní – při běhu ústředny na veřejné IP adrese dojde v průběhu několika dní k jejímu objevení a pokusy o uhádnutí hesel pak probíhají v podstatě běžně.

Útok na VoIP ústřednu
Než budeme řešit, jak telefonní ústřednu před útoky chránit, je vždy dobré vědět, jak takový útok probíhá. Když útočník skenováním internetu zjistí, že na nějaké internetové adrese funguje SIP server (který poslouchá na postu 5060 UDP nebo TPC), odvíjí se útok v následujících třech fázích.

1. Útočník se snaží uhádnout čísla linek, uživatelská jména a k nim příslušející hesla. Toto hádání hesel má charakter útoku hrubou silou a na pomalých datových linkách může způsobovat až jejich zahlcení (Denial of Service). Útočníkům jde o čas, takže nejprve zkoušejí jednoduchá či často používaná hesla (slovníkový útok).

2. Když útočník uhodne heslo některého z uživatelů linky na ústředně, okamžitě se jako tento uživatel zaregistruje a snaží se uhádnout předvolbu, kterou ústředna používá na volání do veřejné telefonní sítě a také hledá předvolbu na volání do zahraničí.

3. V poslední fázi útoku útočník generuje velké množství krátkých hovorů do exotických destinací, nejčastěji do Afriky. Jde nepochybně o linky, které mají vysoký poplatek za sestavení hovoru a buď přímo útočník nebo někdo s ním spojený tuto linku provozuje. Ze strany útočníků jde o vychytralou optimalizaci – proč provolávat minuty, když je spojovací poplatek značně vysoký a na krátkých hovorech je tak možné vydělat stovky či tisíce?

V pokračování článku s názvem Jak zabezpečit VoIP ústřednu před útokem? si přiblížíme konkrétní metody obrany VoIP ústředny před napadením.

Autor pracuje jako Product Development Manager ve společnosti Kerio Technologies.

Zdroj: Infoware.sk

Zanechte komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *


osm − jedna =

Můžete používat následující HTML značky a atributy: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Copyright © ICT manažer | ISSN 1805-5486 | SEO optimalizace a přizpůsobení SEO-care.cz