V dalším dílu seriálu věnovanému internetové telefonii VoIP si popíšeme hrozby pro bezpečnost ve VoIP sítích a způsoby prevence a obrany proti těmto útokům.

S rostoucí oblibou internetové telefonie, a tedy i s častější implementací VoIP zařízení ať už ve firemním, čí soukromém segmentu, rostou také počty útoků hackerů, kteří se nabourávají do VoIP sítí. Napadení majitelé ústředen tak často přicházejí o nemalé částky (jsou případy, kdy se škoda po útoku hackera vyšplhala až k milionovým částkám).

Útočníci vždy využívají nedostatečného či vůbec žádného zabezpečení VoIP ústředen, které cíleně vyhledávají. Velmi často je tato snížená míra zabezpečení dána neochotou majitelů VoIP ústředen investovat (oproti ztrátám při útocích naprosto minimální částku) do bezpečnosti vlastní telefonní infrastruktury.

Stejně jako u klasických počítačových sítí je mnoho způsobů útoků i na VoIP telefonii. Je např. známý příklad, kdy hacker před jeho dopadením prodával tisíce a tisíce minut hovorů, které probíhaly přes napadené a prolomené telefonní ústředny. Napadené oběti – majitelé napadených ústředen se tak v podstatě nedobrovolně stali telefonním operátorem. Takový způsob napadení VoIP systému je však spíše raritou. Obvyklejším útokem je zpravidla prolomení telefonní ústředny a telefonování na čísla s vysokou tarifikací (cenou za vteřinu/minutu hovoru) a to většinou do zahraničních zemí se špatnou právní vymahatelností.

Obecně lze ale útoky na VoIP telefonii rozdělit následovně:

Podvody – např. phishing, VoIP spaming atd…

Analýza služby – získání informací o službě a jejím prostředí

Odepření služby – blokování hovoru, přerušení hovorů atd.

Krádež identity – krádež identity za účelem bezplatného využívaní cizích služeb

Pojďme se nyní podívat na jednotlivé druhy trochu blíže:

Podvody

Jedná se o útoky za účelem finančního zisku. Např. phishing – podvodná technika používaná pro získání citlivých údajů (hesla, čísla platebních karet atd..) v elektronické komunikaci. Phishing se také hojně využívá při rozesílání e-mailových zpráv či instant massagingu.

Analýza služby

Jedná se vlastně o odposlech, který může být jak aktivní, tak pasivní. Pasivní odposlech může být využit např. v bezdrátové WiFi síti, která je založena na hromadném přístupu k jednomu přístupovému bodu. Aktivní odposlech znamená po té využívání a zfalšování síťových protokolů.

Odepření služby

Nejrozšířenějším útokem tohoto typu je tzv. DoS útok (Denial of Service). Při DoS dochází ke kompletnímu přerušení VoIP služeb. DoS má za úkol pro uživatele nefunkční, či nedostupnou službu z důvodů přeplnění přenosové cesty či koncového zařízení řídícími pakety. V praxi pak tento útok, buď zcela přeruší, nebo „zpomalí“ (stane se tak nesrozumitelný) daný telefonní hovor.

Krádež identity

Údaje o identitě, tedy např. přihlašovacích údajích útočník získá změnou signalizace při navazování spojení, krádeží přímo koncového zařízení či prolomením registrace. Útočník je schopen prolomit registraci zahlcením systému podvrženými žádostmi a dotazy, na které systém „zmateně“ odesílá svoje odpovědi, dle kterých si útočník udělá představu o podobě struktury sítě (IP adresy koncových zařízení, ústředny atd..)

Dle výše popsaného je zřejmé že napadení VoIP systému třetí stranou je legitimní hrozba, kterou není dobré brát na lehkou váhu a následky takového napadení můžou být mnohdy zničující (zejména z finančního hlediska). Je však několik velmi základních a jednoduchých způsobů, jak se proti podobným útokům na VoIP telefonii bránit. Jedná se o finančně nenáročné postupy, které uživatelům VoIP systémů ušetří velké starosti. Dům, byt, i auto si také zamykáme a většinou využíváme daleko sofistikovanější způsoby zabezpečení. Stejně samozřejmě bychom tedy měli brát zabezpečení naší telefonie, v takovém případě se totiž nemusíme obávat výše popsaných útoků.

Jak se bránit útokům na VoIP systémy:

Kvalitní silná hesla

Pro kvalitní zabezpečení musí ústředna používat opravdu silná hesla. Toto je základní pravidlo ve všech počítačových sítí. Uživatelé ústředen často používají velmi jednoduchá, triviální hesla složená např. z jejich jména, nebo jména firmy, ve které systém používají. Tohoto by se však měli velmi razantně vyvarovat. Obecně se doporučuje použití hesel o min. 8 znacích s kombinací malých i velkých písmen, číslic a dalších znaků (tečky, čárky atd.)

Firewall

Používání firewallu podporující VoIP je dalším základním opatřením pro bezpečnost systému. Firewall je nutný v případě, že je VoIP ústředna přístupná z internetu (poskytovatel VoIP služeb může vyžadovat veřejnou IP adresu). Samotné ústředny většinou disponují vlastním firewallem. Ten však většinou není tak sofistikovaný a pokročilý, jako firewally na hraničních routerech a proto nedoporučujeme umísťovat veřejnou IP přímo na ústředny a spoléhat se tak pouze na ni a její zabezpečení. Dále je také dobré všechny porty, po který ústředna komunikuje směrovat na nestandardní a neprovádět tak směrování pouze 1:1. Další možností je použití omezení komunikace pouze na zdrojové IP (např. IP adresa poskytovatele, IP pro vzdálený dohled a správu).

Nastavení práv na volání a limitů hovorů

Na ústředně můžeme zakázat volání do zahraničních destinací, kam volat nepotřebujeme. Lze také zamezit voláním národních čísel s předvolbami s vysokou tarifikací (erotické linky, různé typy soutěží atd.). Pokud jsou zahraniční destinace, kam potřebujeme volat, je další možností zabezpečení nastavení limitů pro volání. Jedná se o omezení maximální provolané částky na ústředně.

Monitoring ústředny

Sledování provozu ústředny a zaznamenávání nestandardních situací zamezíme dlouhodobým problémům. Ideálním řešením je nechat monitoring provozu ústředny nechat na specialistech (nejlépe dodavateli ústředny).

Kvalitní správa i nastavení

Mnoho uživatelů chce právě na bezpečnosti ušetřit prvotní náklady na ústřednu. Kvalitní nastavení přímo od dodavatele ústředny a následná profesionální správa systému je základní záležitostí pro bezpečnou VoIP telefonii.

V tomto článku tolikrát skloňovaná bezpečnost VoIP telefonie je dle výše popsaného v podstatě jednoduchou záležitostí. Je však právě potřeba tuto záležitost nepodceňovat ze strany uživatelů a důkladně se věnovat ochraně svého majetku v podobě VoIP ústředny.

Porovnat produkty: 0