IP-телефония — один из самых подверженных потенциальным атакам сервис в сети Интернет. Большинство пользователей и администраторов этой замечательной технологии даже не догадываются о том, какому риску подвержены их финансовые счета и личные данные при несоблюдении должной защиты от действий со стороны злоумышленников.
К основным типам угроз VoIP и протокола SIP в частности можно отнести:
- Перехват и/или подбор авторизационных данных (логина/пароля)
- Взлом SIP-оборудования (на стороне клиента)
- Атаки на популярные IP-PBX (Asterisk и его производные: FreePBX, Elastix; OpenSIPS; FreeSwitch)
- Прослушивание аудиоканала (RTP)
Рассмотрим более подробно каждый из видов.
- Перехват и/или подбор авторизационных данных (логина/пароля)
Причина
Самое частое явление из всех представленных. В большинстве случаев такие данные либо хранятся не должным образом (например, на листочке бумаги, прикрепленном к монитору), либо передаются в открытом виде по различным каналам связи (email, всевозможные мессенджеры и т.д.), которые не защищены от взлома.
Последствия
В таком случае злоумышленник получает полный доступ к вашей учетной записи и может совершать «бесплатные» вызовы куда хватит фантазии или вашего клиентского счета 🙂
Последствия такой угрозы можно себе вообразить, получив соответствующие счета за услуги связи.
Защита
Никогда не храните пароли в открытом для публичного доступа месте — будь то листок бумаги или файл на рабочем столе. Для таких целей существуют специальные программы, к примеру, KeePass.
Не передавайте и не сообщайте никому свой логин/пароль от SIP-аккаунта, даже сотрудникам нашей компании.
Пароль должен быть сложным (минимум 10 буквенно-цифровых символом различного регистра), практически не запоминающимся — пользуйтесь генераторами паролей, к примеру, встроенным в KeePass.
Периодически меняйте пароль, чтобы исключить вероятность воспользоваться полученным паролем со стороны злоумышленника.
- Взлом SIP-оборудования (на стороне клиента)
Причина
Многие администраторы или пользователи при настройке какого-либо SIP-оборудования (будь то SIP-телефон или SIP-адаптер FXS) забывают сменить установленные производителем этого оборудования стандартные доступы к веб-панели управления. Более того, многие выставляют «наружу» такое оборудование (сетевым интерфейсом в сеть Интернет) тем самым упрощая жизнь злоумышленникам. Так же не исключены варианты взлома, нацеленные на известные уязвимости в программном обеспечении используемого оборудования.
Последствия
Как и в первом случае, злоумышленник получает все необходимые доступы к регистрационным данным, либо возможность эксплуатировать «взломанное» оборудование.
Защита
Всегда изменяйте стандартные пароли на любом сетевом оборудовании. По возможности, ограничивайте доступ к панели управления из сети Интернет (локальной сетью и/или VPN-каналом).
- Атаки на популярные IP-PBX
Причина
Многие компании при построении колл-центра или отдела продаж используют открытые решения для организации связи с клиентами/поставщиками/сотрудниками и т.д. Зачастую такие решения настраиваются «на скорую руку» неопытными или неосведомленными специалистами, открывая целое поле возможностей для злоумышленников, поскольку IP-PBX чаще всего взаимодействует с поставщиками услуг по сети Интернет.
Самыми распространенными атаками на офисную IP-АТС считаются:
— перехват сессии, подмена клиентского подключения на подключение злоумышленника и совершение вызовов
— поиск и эксплуатация уязвимостей в сети и в клиентском оборудовании, подключаемом непосредственно к IP-АТС
— поиск и эксплуатация уязвимостей в программном обеспечении IP-АТС
— поиск и эксплуатация известных ошибок конфигурации IP-АТС
Чаще всего атаки направлены на подбор паролей (брутфорс) клиентских подключений, отправка фейковых запросов для совершения неавторизованных вызовов, выдача себя за провайдера (путем атаки на DNS-сервис клиентского Интернет-подключения, например, маршрутизатор).
Последствия
Как следствие, огромные счета от поставщиков услуг, и приостановка бизнес-процессов организации ввиду невозможности связи с клиентами/поставщиками/сотрудниками и т.д.
Защита
Средства защиты будут зависеть от количества компонентов, входящих в состав IP-PBX решения:
— в первую очередь необходимо защитить сетевое подключение посредством постановки firewall-шлюза
— провести ревизию клиентских подключений, удалить лишние (не используемые), установить сложные пароли для авторизации/регистрации
— проверить конфигурацию IP-АТС на наличие дефолтных правил, позволяющих тем или иным способом разрешать внешнее бесконтрольное воздействие
— закрыть web-интерфейс IP-АТС из сети Интернет
— установить анализатор логов (к примеру, fail2ban), который будет отслеживать подозрительную активность и автоматически добавлять соответствующие запрещающие правила на firewall-шлюзе
— по возможности использовать OpenVPN для подключения удаленных сотрудников к IP-АТС
— при использовании API проверить возможность перехвата GET-запросов, подмены/подбора токена, ограничить количество запросов в единицу времени.
- Прослушивание аудиоканала (RTP)
Причина
В данном случае злоумышленнику достаточно перехватить в каком-либо месте траффик между вашей IP-АТС и операторским подключением. В дальнейшем с помощью анализатора траффика (wireshark) останется только «собрать» полученные пакеты и получить аудиозапись всех перехваченных разговоров.
Последствия
Зависит от того, на сколько важную информацию вы сообщили собеседнику (или наоборот) в процессе разговора. Это могут быть конфиденциальные данные о вашем бизнесе, личной жизни и т.д.
Защита
Средство здесь только одно — шифрование. Если вы хотите, чтобы конфиденциальная информация не попала в руки злоумышленникам, то следует использовать VPN-подключение для регистрации вашего клиентского подключения к IP-АТС через сеть Интернет, либо шифровать непосредственно сам голосовой траффик посредством протоколов SSL/TLS и ZRTP.
