Безопасность IP-телефонии: угрозы и решения

Огромный спектр возможностей, связанных с IP-телефонией, привлекает к этой технологии все больше внимания. Доступная связь через интернет – такой способ связи выбирает как начинающий малый бизнес, так и крупные игроки международных рынков. При этом нередко у заказчиков IP-телефонии возникает вопрос: насколько надежно провайдеры обеспечивают безопасность IP-телефонии. Ведь все, что связано с личными данными в интернете, нередко вызывает пристальный интерес мошенников. Уязвимые места, основные угрозы и способы решения защиты IP-телефонии – в статье.

Факторы уязвимости IP-телефонии

Безопасность IP-сетей – одна из ключевых компетенций провайдеров IP-телефонии

Эксперты выделяют два ключевых фактора, которые приводят к негативным последствиям для IP-сетей.

#FEEDBACK_FORM_ANIMATED#

Непроработанная архитектура сети

Если провайдер не потрудился над проектированием IP-сети, это приводит к сильной уязвимости IP-телефонии. Например, злоумышленники довольно часто взламывают провайдеров через уязвимость в межсетевых экранах. Если провайдер открывает дополнительные порты, которые не поддерживают работу с VoIP, межсетевые экраны оставляют их открытыми после обмена голосовыми данными.

Уязвимости в оборудовании и шлюзах

Если хакер удаленно или на месте подключается к офисной АТС, он может перехватить не только отдельные пакеты данных. Через шлюзы он получает доступ к настройкам сети, параметрам сессий, личным данным абонентов. Далее остается только выложить данные в даркнете и выставить жирный ценник. Убытки предприятий в таких случаях достигают сотни тысяч долларов.

Самые распространенные нарушения безопасности IP-сетей

За долгие годы обеспечения безопасности IP-телефонии эксперты по интернет-коммуникациям собрали наиболее распространенные уязвимости и угрозы. Они связаны с таким способом взлома, как атаки повторением пакетов.

Это довольно распространенная угроза, когда злоумышленники повторно передают в IP-сеть пакеты данных. Сеть не определяет эти пакеты как угрозу, снова обрабатывает информацию и передает ответные пакеты данных. С помощью их анализа хакеры подменяют пакеты – выполняют так называемый спуфинг – и получают доступ в сеть. Например, таким образом можно получить доступ к логину и паролю пользователя.

Для чего хакеры используют повторную атаку данных, если защита IP-телефонии оказывается слишком ненадежной:

• Подмена пакетов и их маскировка – в этом случае «ответственность» за атаку на сервер падает на какое-то стороннее и совершенно непричастное к этому устройству.
• Фаззинг – сеть нагружают пакетами с заранее некорректными данными, что приводит к ошибкам в работе системы: зависаниям, помехам или полному отключению.
• Сканинг – с помощью подменных пакетов хакеры сканируют порты, чтобы выявить тип операционной системы, версии программного обеспечения, сервисные настройки и прочее. Это позволяет подготовить полноценную атаку на сеть, вплоть до получения полного контроля над ней.
• DoS/DDoS-атаки – отправка огромного объема данных на одно или несколько устройств, подключенных к VoIP. При этом данные могут быть отправлены как из одного места, так из тысяч устройств по всему миру. В результате нагрузка на сервер возрастает в десятки и тысячи раз. Пропускной способности не хватает, и сервер «падает». В результате пользователи не могут получить доступ к своим данным.
• CID-спуфинг – в этом случае мошенники манипулируют с ID звонящего, его личным идентификатором. Так называемый Caller ID подменяют телефонным номером или строкой текста для последующего взлома.

Как провайдеры защищают IP-телефонию

Безопасность IP-сетей – одна из ключевых компетенций провайдеров IP-телефонии

Самые крупные игроки на рынке IP-телефонии регулярно обновляют протоколы защиты данных. Специалисты по компьютерным сетям непрерывно продумывают более сложные алгоритмы конфиденциальности и аутентификации. В ход идут последние достижения в области криптографии, сертификатов безопасности и аутентификаций.

Сложные пароли

Это, пожалуй, наиболее распространенное решение проблемы. Система назначает для SIP-аккаунта максимально сложную комбинацию пароля. На выходе получается комбинация с миллиардами вариантов. Если злоумышленник пользуется простым подбором символов, на взлом такого пароля у него уйдут десятилетия.

Недостаток этого метода в том, что хакеры постепенно отказываются от метода подбора пароля. Сейчас злоумышленники все чаще обращаются к прямому взлому SIP-устройств через уязвимости в прошивках и воруют учетные записи.

Решение проблемы – регулярное обновление прошивок устройств.

Ограничения по направлениям исходящих

Нередко злоумышленники атакуют международные направления звонков из-за их высокой стоимости. Компании, чей бизнес связан с деятельностью в России, могут решить эту проблему с помощью запрета международных звонков.

«Белый список»

Метод заключается в том, что провайдер связи создает ограниченный список IP-адресов для авторизации. Если система получает звонок от адреса вне списка, вызов блокируется.

Важно!

Этот метод может не сработать, если звонки в компанию совершают с динамических IP-адресов. Кроме того, «белый список» будет неудобен для компаний, чьи менеджеры часто бывают в командировках и регулярно пользуются общественными точками доступа Wi-Fi или мобильным интернетом.

Ограничение доступа по геолокации

Это универсальный способ и один из самых надежных. Провайдер назначает для сети специальную настройку, например, «принимать входящие только с IP-адресов по РФ». Как показывает практика, более 90 % хакерских атак на IP-сети проходят с зарубежных прокси-серверов. Географическое ограничение автоматически будет отсекать такие IP, даже если они тщательно маскируются.