Угрозы SIP безопасности VoIP сетей

Угрозы безопасности VoIP сетей на основе протокола SIP.

Безопасность в IP-сети, безусловно, очень важна при реализации традиционных услуг. На сегодняшний день весь мир охвачен глобальной IP сетью под названием Интернет. Защищенность сети на сегодняшний день зависит как от глобальных протокольных механизмов так и от индивидуальных мер принимаемых операторами свяжи, а также пользователями.

Есть много различных форм постороннего вмешательства в работу сети, но здесь рассмотрим лишь те, которые встречаются наиболее часто. На самом деле виды атак о которых пойдет речь встречаются не только применительно к услугам VoIP, но и в Интернете глобально.

Интернет представляет собой пример того, что может пойти не так, в случае развития сетей в направлении открытости и неконтролируемости. Никто не может быть уверенным в Интернете сегодня, поскольку распространение мошенничества и атак типа «отказ в обслуживании» (DoS) принимает угрожающие масштабы. Любой, кто следит за взломами систем безопасности и нарушениями законов в этой сфере быстро понимает, что Интернет является рискованным местом для ведения бизнеса, и стоит быть готовым терять часть прибыли по причине мошенничества.

Нельзя сказать, что Интернет является убыточным, безусловно, есть много компаний работающих и процветающих в Интернете. Но они также теряют много денег из-за мошенников, и они могли бы зарабатывать намного больше, если бы им не приходилось иметь дело с вопросами безопасности.

SIP является производной от таких известных и часто используемых протоколов как HTTP и SMTP, что увеличивает возможную угрозу атак. Международные организации в области телекоммуникаций 3GPP и IETF также активно работают в направлении улучшения защищенности протокола SIP от потенциальных атак путем добавления новых процедур взаимодействия и непосредственной доработки протокола.

Рассмотрим наиболее часто встречающиеся типы атак на сети и сервисы поставщиков услуг VoIP.

 

  1. Отказ в обслуживании (Denial of Service)

Атаки типа «отказ в обслуживании» (DoS) могут принимать различные формы и могут быть запущены с использованием различных методов. Самым простым примером подобной атаки является наводнения сети огромным количеством определенного типа трафиком. Например, с помощью генератора, хакер может посылать миллионы сообщений INVITE в сеть, тем самым наводняя ее множеством запросов на установление сеанса связи. Что приводит к тому, что сеть не в состоянии пропускать такое количество трафика и перестает обслуживать запросы пользователей.

Описанный вид атак встречается наиболее часто, они имели место даже в телефонных сетях общего пользования (ТфОП). Использование протоколов SIP и IP обеспечивает хакерам более легкий доступ к сети, и делает атаки более частым явлением.

Еще одним вариантом DoS атаки является случай когда множество сообщений генерируются и направляются на сервер приложений, такой как DNS сервер, например, что безусловно приводит к его перегрузке и отказу в обслуживании трафика. Таким образом, атака на один сетевой элемент может значительно повлиять на работоспособность и функциональность всей сети.

 

  1. Разрушение сессии (Tearing Down Sessions)

Разрушение сессии является проблемой, но не настолько масштабной и критичной, как атаки типа «отказ в обслуживании». Хакеры могут перехватывать запросы от различных абонентов и запросто отправлять сообщение BYE в ответ (как если бы он пришел от прокси-сервера или другого сетевого элемента). Это позволило бы завершить сессию досрочно и ограничить доступ к услугам.

Атаки такого рода скорее всего, будет запущены в отношении отдельных лиц, поскольку гораздо легче начать атаку DoS против сети в целом и сетевых элементов, с гораздо более разрушительными и далеко идущими последствиями.

 

  1. Фальсификация тела сообщения (Tampering with Message Bodies)

Так как SIP сообщения передаются в текстовом формате, поэтому мошенникам абсолютно не обязательно иметь декодер для манипуляции с сообщениями. Просто захват сообщения является достаточно хорошим средством что бы вмешаться в работу сети, и это легко сделать, если есть возможность использовать одну из множества утилит, которые без труда можно скачать в Интернете, для перехвата данных и подключение к той же сети. Как только хакер захватил сообщения, тело сообщения и заголовки в протоколе SIP могут быть изменены и использованы злоумышленником в своих целях.

Например, хакер может захватить INVITE передающийся от абонента и изменить его заголовок, а именно адрес источника, заменив его своим ​​собственным адресом. Это позволит хакеру подключаться к сети, к которой он не имеет прав доступа, что позволит ему инициировать сессию с другими абонентами, выдавая себя кем-то другим.

Есть и другие типы атак в которых применяется фальсификация сообщений. Так как обмен текстовыми сообщениями по средствам SIP также не использует кодирование и данные передаются открытым текстом, хакер может легко перехватывать SMS-сообщения и изменять их содержание. Это может быть особенно опасно, если сообщения были посланы со стороны государственных органов во время катастроф и экстренных ситуаций.

Противостоять подобным атакам можно используя шифрование SIP сообщений. Шифрование не позволит злоумышленнику расшифровать не информацию, содержащуюся в теле сообщения, не информацию содержащуюся в заголовках сообщений.

 

  1. Подмена сервера (Impersonating a Server)

Если вы работаете в Интернете, вам безусловно известен такой тип мошенничества. Злоумышленники создают множество сайтов, которые выглядят практически идентично с известными популярными Интернет ресурсами. Хакеры используют подобные «сайты-двойники» с целью получения личной информации пользователей, которые не подозревают, что используют не официальный сайт, а копию мошенников.

Подобные атаки часто используются применительно к банковской сфере. Задокументировано множество случаев, когда злоумышленники с помощью «сайтов-двойников», использующих официальные логотипы и имеющих идентичный оригинальным сайтам вид, добывали конфиденциальную информацию о банковских счетах пользователей и пароли доступа к ним.

После того как пользователь в браузере или настройках оборудования вводит URL необходимого ему сайта, сервер переадресации перенаправляет запрос на сервер злоумышленников. После чего запрашивается логин и пароль на вход на сайт и хакеры получают доступ к личной информации пользователя.

Также часто используется прием, когда на почту пользователям отправляется письмо с просьбой обновления их личной информации на неком сайте, и затем после попытки пользователя произвести обновление, повторяется переадресация на сервер злоумышленников и им удается заполучить конфиденциальную информацию.

Такая атака может быть направлена и на сети использующие протокол SIP. Атаке могут подвергаться web интерфейсы устройств работающих в сети, а также пользовательские карточные акаунты.

 

  1. Перехват регистрации (Registration Hijacking)

SIP сообщения передаются в сети открытым текстом, и любой человек имея компьютер подключенный к сети и некоторые знания в области IT может перехватывать сообщения без особого труда. Это отличает SIP от бит-ориентированных протоколов, которые передают фреймы, которые позднее группируются и декодируются в сообщения. ISDN и SS7 являются отличными примерами бит-ориентированных протоколов.

При захвате SIP сообщений преступник может добыть информацию о пользователе, которая в дальнейшем может быть использована для авторизации и аутентификации злоумышленника в сети и пользования ее сервисами.

Попытка регистрации злоумышленника будет выглядить, как будто бы абонент изменил свое местоположение и шлет новый запрос регистрации (сообщение REGISTER). После удачной регистрации хакера (использующего данные реального пользователя) все данные которые были предназначены абонентскому устройству пользователя будут направляться к злоумышленнику.

И даже после того как легитимный пользователь сменит местоположение и пройдет регистрацию заново, у хакеров достаточно информации для подключения к сети в любое время и в любом месте.

Также захват сообщения REGISTER может быть использован хакерами таким образом, что будет заменено лишь местоположение пользователя на адрес злоумышленника, что также позволит использовать ресурс сети пользователям не имеющим на это прав. Такой вид атаки наиболее распространен в наши дни.

 

  1. Перехват сессии (Session Hijacking)

Атака типа «перехват сессии» работает фактически так же как и «перехват регистрации», однако имеет некоторые особенности. Такая атака применяется в большей степени к web интерфейсам. При авторизации на web интерфейсе вводится логин и пароль, после чего web сервер передает браузеру cookies, которые используются на протяжении всего сеанса связи. Cookie являются файлом с данными содержащими идентификатор сессии и авторизационную информацию.

Злоумышленник, перехватив пакеты, может использовать cookies, и до того момента, пока не завершится установленная сессия связи, ему не будут нужны авторизационные данные легитимного пользователя в чистом виде для доступа на некий web интерфейс.