Με τους μεγαλύτερους φορείς τηλεπικοινωνιών να μπαίνουν στη διαδικασία του να προετοιμάζουν VoIP υπηρεσίες για μαζική χρήση, έχει αυξηθεί σημαντικά ο κίνδυνος των ευρέως διαδεδομένων παραβιάσεων ασφαλείας, δημιουργώντας την ανάγκη να καλυφθούν άμεσα τα εν δυνάμει κενά ασφαλείας, πριν οι χάκερς δημιουργήσουν χάος στα επιχειρηματικά δίκτυα φωνής.

Έως τώρα, το VoIP security δεν αποτελούσε ένα ιδιαιτέρως κρίσιμο θέμα καθώς στο παρελθόν το μεγαλύτερο VoIP traffic, παρέμενε σε τοπικά και ευρείας περιοχής επιχειρησιακά δίκτυα, τα οποία ήταν λίγο πολύ ασφαλή και προστατεύονταν από το δημόσιο Internet. Καθώς όμως η χρήση VoIP διαδίδεται και η διαδικτυακή τηλεφωνία μπαίνει στο παιχνίδι, οι επιχειρήσεις και οι οικιακοί χρήστες υπόκεινται στους ίδιους κινδύνους ασφαλείας που επηρεάζουν εδώ και δεκαετίες τα δίκτυα δεδομένων, ανοίγοντας κατά αυτό τον τρόπο την πόρτα σε μια καινούρια πραγματικότητα κινδύνων ασφαλείας. Αυτό οφείλεται σε μεγάλο βαθμό στο γεγονός ότι τα δίκτυα φωνής επόμενης γενιάς είναι IP-based και όλα τα IP πρωτόκολλα που στέλνουν φωνητική κίνηση περιέχουν κενά ασφαλείας στο βασικό κορμό τους.

Ποιός είναι σε κίνδυνο?
Ένα διαδικτυακό περιβάλλον μπορεί να χαρακτηριστεί ως εχθρικό για VoIP εφαρμογές για πολλούς λόγους. Ο πιο σημαντικός είναι ότι οι επιθέσεις δεν είναι ανιχνεύσιμες και όλο το δίκτυο είναι εκτεθειμένο σε κάθε είδους spoofing και sniffing.

Τι είδους τρωτά σημεία υπάρχουν? Οι υποκλοπές είναι μια από τις πιο κοινές απειλές σε VoIP περιβάλλοντα. Μη εξουσιοδοτημένη συνακρόαση των συνομιλιών αλλά και η αποκωδικοποίηση των σημάτων του πρωτοκόλλου επικοινωνίας ηχητικών σημάνσεων, μπορούν να επιτρέψουν στον υποκλοπέα να μαγνητοφωνήσει συνομιλίες σε ένα μη ασφαλές VoIP περιβάλλον. Φανταστείτε το Γιάννη στο γραφείο αλληλογραφίας, να κρυφακούει τον CEO και το διευθυντή ανθρώπινου δυναμικού να συζητάνε για το τελευταίο κύμα απολύσεων. Ή το Γιώργο να δίνει τον αριθμό της πιστωτικής του κάρτας σε έναν υπάλληλο αεροπορικών κρατήσεων. Το μόνο που χρειάζεται ο υποκλοπέας είναι ένα εργαλείο packet capture (διαθέσιμο δωρεάν στο Διαδίκτυο) για να αρχίσει να παγιδεύει τα πακέτα VoIP στο διαδίκτυο. Έπειτα μπορεί να τις σώσει σε ένα wav αρχείο και να τις πάρει σπίτι.

Και αυτό είναι μόνο η κορυφή του παγόβουνου. Οι χάκερς μπορούν να ξεγελάσουν SIP μηνύματα και IP διευθύνσεις και να υποκλέψουν και αναδρομολογήσουν ολόκληρες συνομιλίες. Ή φανταστείτε μια “man-in-the-middle” επίθεση, όπου ο πελάτης καταλήγει να μιλάει σε ένα οργανωμένο εγκληματικό συνδικάτο υποκρινόμενο το τμήμα πωλήσεών της εταιρίας. Οι πιστωτικές κάρτες των πελατών μιας εταιρίας, οι προσωπικές τους πληροφορίες, ακόμα και το ΑΦΜ τους, μπορούν να χαθούν εν ριπή οφθαλμού. Και το χειρότερο, ο πελάτης να πιστεύει πως μίλησε με το τμήμα πωλήσεων, χωρίς έχει μιλήσει ποτέ.

Ακόμη, τι γίνεται με το “denial of service”; Ο επιτιθέμενος μπορεί να βομβαρδίσει έναν VoIP server ή μια voice-gateway συσκευή στο Internet με οτιδήποτε πακέτα κατακλύζοντας το server και καθιστώντας τις υπηρεσίες που προσφέρει μη διαθέσιμες σε κανονικούς χρήστες. Ένας χάκερ θα μπορούσε εύκολα να κατακλύσει το SIP server με ψεύτικα requests, κάνοντάς το αδύνατο να στείλει ή να δεχθεί κλήσεις. Και τι γίνεται με τις replay επιθέσεις; Φανταστείτε ένας χάκερ να σπαμάρει ένα αρχείο 4 ΜΒ σε 4000 τηλέφωνα ή να μεταδίδει 500 bogus ηχητικά μηνύματα ταυτόχρονα! Φανταστείτε ένα τηλέφωνο που χτυπάει ασταμάτητα. Το σηκώνετε, δεν απαντά, το κλείνετε, και χτυπάει ξανά. Ο μόνος τρόπος για να σταματήσει είναι να το αποσυνδέσετε. Ή να το πετάξετε από το παράθυρο!

Ποιές είναι οι εναλλακτικές?
Η VoIP κίνηση μπορεί να χωριστεί σε call signaling, call control, και media communications. Αναλόγως το πρωτόκολλο και τις πολιτικές που χρησιμοποιούνται, αυτές οι επικοινωνίες μπορούν να χρησιμοποιήσουν είτε ένα κανάλι είτε πολλά διαφορετικά. Τα κανάλια είναι TCP/UDP συνδέσεις μεταξύ 2 στοιχείων του δικτύου. Από την οπτική γωνία της ασφάλειας, όλες αυτές οι συνδέσεις ίσως χρειαστεί να ασφαλιστούν, δηλαδή να επικυρωθούν και να κωδικοποιηθούν. Κάποιοι από τους μηχανισμούς που μπορούν να παρέχουν ασφάλεια σε VoIP περιβάλλοντα είναι:

Authorization, Authentication, Transport Layer Security (TLS), Media encryption (SRTP). Τα VoIP call signaling και call control μπορούν να ασφαλιστούν με την εφαρμογή κάποιου είδους Authorization, Authentication ή Transport Layer Security (TLS/SSL) μηχανισμού.
Authorization
Το authorization υπονοεί ότι οι συσκευές μπορούν να ρυθμιστούν με τέτοιο τρόπο ώστε να επιτρέπουν την κίνηση από ένα μόνο επιλεγμένο group IP διευθύνσεων. Αυτός ο μηχανισμός προστατεύει τη συσκευή έως ένα βαθμό, από denial-of-service επιθέσεις.

Authentication
Στο authentication ίσως χρειαστεί 2 επικοινωνούσες VoIP συσκευές για να επικυρώσουν (authentication) η μια την άλλη πριν αρχίσει η πραγματική επικοινωνία. Αυτή η αμοιβαία επικύρωση μπορεί να βασιστεί σε ένα κοινό κωδικό ή πιστοποιητικό που γνωστοποιείται πριν την επικοινωνία, κάνοντάς το δύσκολο αν όχι αδύνατο για τον χάκερ να αλλάζει ταυτότητα.

Transport Layer Security
Ο πρωταρχικός στόχος, του Transport Layer Security (TLS) Πρωτόκολλου είναι να παρέχει ιδιωτικότητα και ακεραιότητα των δεδομένων ανάμεσα στις δύο επικοινωνούσες εφαρμογές. Το πρωτόκολλο επιτρέπει σε εφαρμογές client/server να επικοινωνούν με ένα τρόπο σχεδιασμένο για να εμποδίζει τις υποκλοπές, την αλλοίωση και την πλαστογράφηση του μηνύματος. Καθώς αυτή η ασφαλής σύνδεση βασίζεται σε ένα κοινό μυστικό ή πιστοποιητικό, γνωστό μόνο στο server και τον πελάτη, είναι πολύ δύσκολο, ίσως και αδύνατο για έναν υποκλοπέα να δει, να χειριστεί και να αναπαράγει τα μηνύματα που ανταλλάχθηκαν.

SRTP
Τα media communications μπορούν επίσης να διασφαλιστούν με την ενσωμάτωση κάποιου είδους μηχανισμού κωδικοποίησης. Τα VoIP τηλέφωνα θα μπορούσαν να κρυπτογραφούν τα ηχητικά πακέτα μέσω του SRTP (Secure Real-time Transport Protocol), το οποίο είναι ένα προφίλ ασφαλείας για RTP που προσθέτει εμπιστευτικότητα, authentication του μηνύματος, και προστασία αναπαραγωγής σε αυτό το πρωτόκολλο.Το SRTP είναι ιδανικό για την προστασία του VoIP traffic, γιατί μπορεί να χρησιμοποιηθεί σε συνδυασμό με συμπίεση της σηματοδοσίας ελέγχου χωρίς καμία επίπτωση στην ποιότητα της φωνητικής επικοινωνίας.

STM
Το STM της Allo εγκαθίσταται πριν από οποιοδήποτε SIP based IP PBX ή gateway προσφέροντας πολλαπλά επίπεδα ασφάλειας ενάντια σε πολυάριθμους τύπους επιθέσεων. Χρησιμοποιώντας την SNORT based Real Time Deep packet inspection μηχανή, το STM της Allo αναλύει κάθε SIP πακέτο που πηγαίνει στο τηλεφωνικό σύστημα, εντοπίζει τα κακόβουλα και τα ανώμαλα sessions μπλοκάροντας δυναμικά την IP από όπου προέρχονται.

Η συσκευή έχει σχεδιαστεί για να ενσωματώνεται εύκολα και αρμονικά με την υπάρχουσα υποδομή του δικτύου, εξαλείφοντας οποιαδήποτε πολυπλοκότητα στην εγκατάσταση.

Η PartnerNET είναι αποκλειστικός αντιπρόσωπος των προϊόντων Allo στην Ευρώπη.

Για περισσότερες πληροφορίες επισκεφτείτε το www.partnernet.gr