Информационная безопасность

       

Avaya: второй раунд


Компания Avaya предложила второй вариант своего решения с большим количеством средств обеспечения безопасности (рис. крайний справа). Специалисты компании заменили в IP-телефонной сети коммутаторы второго уровня Cajun P333 на более совершенные устройства третьего уровня от компании Extreme, партнера Avaya.

Новыми ключевыми элементами, вошедшими в состав сети, стали шлюз безопасности Avaya SG208 ($15,000), коммутаторы Extreme Summit 300-48 ($8,000) и Extreme Alpine 3804 ($10,000). При этом набор VoIP-оборудования и версии его ПО не изменились (включая шлюзы, модули и IPтелефоны). Модуль CLAN имел версию ПО под номером 9; модуль медиаобработки – 75, IP-телефоны – 2.0.

Коммутатор Avaya Cajun P333, который использовался в предыдущем тесте, был заменен на Summit 300-48. Таким образом, стоимость оборудования, призванного повысить уровень безопасности IP-телефонной сети от Avaya, составила около $30,000.

Поддержка в сети IP-маршрутизации позволила снизить число возможных хакерских атак. Основными средствами, обеспечивающими безопасность сети, стали:

  • ограничение трафика: коммутатор Summit позволяет ограничить величину широковещательного TCP- или UDP-трафика значением 1 Мбит/с;
  • индивидуальные VLAN: для каждого порта, к которому подключен IP-телефон, была создана своя собственная виртуальная ЛВС.

При этом один IP-телефон не может напрямую связываться с другим IP-телефоном, поскольку они находятся в различных ВЛВС. Естественно, трафик между ними должен маршрутизироваться. При этом он может дополнительно проверяться и блокироваться в зависимости от типа протокола и т.д.

Надо отметить, что настройка отдельной VLAN для каждого IP-телефона является сложной работой для системного администратора, особенно когда число IP-телефонов достигает нескольких сотен. Поэтому масштабируемость такого решения затруднительна.

Также в IP-телефонах была отключена возможность обмениваться напрямую RTP-трафиком, минуя модуль медиаобработки, что делает сеть централизированной и повышает безопасность ее работы.
Однако в этом случае модуль медиаобработки может стать "бутылочным горлышком" для производительности сети. По данным компании Avaya, модуль медиаобработки может обрабатывать до 64-х одновременных вызовов, что опять же снижает масштабируемость решения.

Коммутатор Extreme Alpine мог ограничивать трафик по MAC-адресу источника, и чтобы начать атаку, команде "хакеров" необходимо было "украсть" существующий MAC-адрес IP-телефона. Это было достигнуто опять-таки с использованием пассивного зонда.

Межсетевой экран SG208 был сконфигурирован таким образом, чтобы пропускать трафик только с определенных портов на контроллер вызовов. Только трафик с узкого диапазона UDPпортов мог поступать на модуль медиаобработки и только порты и протоколы, ответственные за передачу H.323-информации управления и сигнализации, могли поступать на CLAN-модуль. Однако команде "хакеров" не понадобилось много времени для того, чтобы определить номера открытых портов с помощью известной техники. Используя "украденные" идентификаторы IPтелефона, "хакеры" смогли установить контакт с контроллером вызовов и получить от него ответ. При этом не нужно эмулировать все аспекты работы реального IP-телефона или даже знать его пароль, для того чтобы получить доступ к контроллеру вызовов. Полная эмуляция работы IP-телефона и знание его пароля необходимы лишь для того, чтобы произвести неавторизированный вызов. Однако большинство хакеров преследует более простые цели.

Как и при первом тестировании сети Avaya, а также сети Cisco, атакующая сторона смогла применить пассивный зонд и подключить его к сетевой инфраструктуре для подключения IP-телефонов, чтобы таким образом производить сбор необходимых данных и мониторинг трафика, однако "разобрать" зашифрованный голосовой трафик не удалось.

Аналогично при помощи собранной информации "хакеры" смогли подключить собственный ноутбук вместо IP-телефона, установив необходимый MAC- и IP-адрес, а также номер VLAN реального IP-телефона, и так получить доступ к VoIP-инфраструктуре.



Многие атаки, которые были успешны в предыдущем случае, уже не работали в усовершенствованной сети, однако команда "хакеров" снова смогла выявить уязвимости. Передавая не большую по объему "пачку" пакетов к контроллеру вызовов и используя определенный тип протокола и номер tcp-порта, "хакеры" могли сорвать процедуры регистрации IP-телефонов. Однако реально это может повлиять на работу только очень небольшого числа IP-телефонов, поскольку процедура регистрации телефона происходит только при его первом подключении к сети. Поэтому если телефон не переключен в другой порт или выключен, ему не нужно проходить процедуру регистрации.

Компания Avaya заявила, что для ликвидации этой уязвимости необходимо установить программную заплату на ПО управления, которую она намерена выпустить в ближайшем будущем. Итоговая оценка безопасности для последнего решения компании от Avaya, учитывая сравнительно не большую опасность выявленных уязвимостей, – "Устойчивое".


Содержание раздела