Bezpieczeństwo VoIP
Jako że mamy okres wakacyjny, w celu ograniczenia kosztów i ze względu na braki kadrowe część firm zleca wykonanie prac stażystom. Jeśli dotyczy to porządkowania magazynów lub przerzucania ziemi, to efekty raczej nie są specjalnie widoczne, a jeśli są to tylko wzbudzają radość i zadowolenie.
Zupełnie inna historia jest w przypadku pisania różnego rodzaju artykułów. Tutaj błędy niestety widoczne są jak na dłoni, a efekty negatywne mogą być znacznie poważniejsze niż przy przerzucaniu ziemi. Skąd taka konkluzja? Niedawno bowiem trafiłem na artykuł „Luki w zabezpieczeniach technologii VoIP” (http://pl.norton.com/voip-security-a-primer/article), autorstwa firmy Norton - znanego producenta systemów bezpieczeństwa. Artykuł jest tak absurdalny, że nie wierzę, że pisał go jakikolwiek człowiek zajmujący się bezpieczeństwem IT dłużej niż tydzień. Z drugiej strony, jako że jest to dziedzina bliska mojemu sercu, przytoczę argumenty Nortona z moimi skromnymi komentarzami. Wszelkie cytaty poniżej pochodzą bezpośrednio z omawianego artykułu.
Zacznijmy zatem od początku. „Coraz więcej osób na całym świecie korzysta z telefonii VoIP w swoich domach”. Czyli tzw. targetem jest użytkownik indywidualny - co warto zanotować. Jakie zatem zagrożenia czają się w przypadku telefonii VoIP? Zacznijmy od luk w technologii.
Spam. Technologia VoIP jest podatna na specjalny rodzaj niepożądanych wiadomości marketingowych zwanych SPIT (Spam over Internet Telephony). Rozumiem, że użytkownicy telefonii „klasycznej” nie są narażeni na oferty sprzedaży garnków, pościeli czy magicznych plastrów leczących łupież? Każda technologia przesyłania głosu - ISDN, VoIP, czy też telefony komórkowe narażone są na niepożądane wiadomości marketingowe.
Zakłócenia. Ataki sieciowe, takie jak robaki internetowe i wirusy, mogą zakłócić działanie usługi VoIP lub nawet całkowicie ją zablokować. Póki co robaki internetowe i wirusy na bramki VoIP są bardzo słabo rozpowszechnione, więc zagrożenie jest pomijalne. No ale nie zapominajmy, kto jest autorem. Przy okazji - ciekawe czy Norton oferuje oprogramowanie antywirusowe na bramkę Linksys PAP 2T?
Głosowe ataki typu „phishing”. Zagrożenia te są również nazywane atakami typu „vishing”. Polegają na nawiązaniu kontaktu z ofiarą za pośrednictwem połączenia VoIP i nakłonieniu jej do ujawnienia cennych danych osobowych, takich jak informacje o karcie kredytowej lub koncie bankowym. W tzw. świecie realnym są to ataki „na wnuczka” (http://www.oszustwanawnuczka.pl/). Mogę powiedzieć, że potencjalne ofiary w przeważającej części nie korzystają z rozwiązań VoIP, jako że są to osoby w podeszłym wieku. Powiem więcej - w niektórych sytuacjach nie jest nawet wymagany telefon - zdażają się sytuacje, że wystarczy domofon! Kolejna luka dorobiona na siłę.
Utrata prywatności. Większość ruchu VoIP jest nieszyfrowana, co ułatwia przestępcom podsłuchiwanie rozmów. No cóż - klasyczne połączenia telefoniczne (analogowe) nie są szyfrowane w ogóle, więc tu jest lepiej. Poza tym szyfrowanie zależy od operatora, że już o komunikacji biznesowej nie wspomnę - tam standardem jest korzystanie z komunikacji za pomocą kanałów VPN. Poza tym w jakim miejscu można podsłuchać? W przypadku telefonów analogowych wystarczył fizyczny kontakt z nośnikiem - czyli narażone były kable biegnące po ścianach budynku, czy też szafki rozdzielcze w piwnicy budynku. W przypadku telefonii IP można wykonać atak za pomocą techniki man-in-the-middle, natomiast jest to wciąż rozwiązanie bardziej skomplikowane, niż wpięcie się w kabel.
Hakerzy. Przestępcy mogą uzyskać dostęp do usługi VoIP użytkownika w celu nawiązywania połączeń na jego koszt. W niektórych przypadkach informacje o połączeniu są nawet sprzedawane na czarnym rynku. Po przedostaniu się do sieci domowej hakerzy są w stanie ujawnić poufne informacje przechowywane w komputerach. To wszystko prawda. Natomiast mamy tu pomieszanie kilka różnych problemów. Najczęściej bowiem przestępców nie obchodzi pojedynczy użytkownik który, jeśli jest sprytny, korzysta z oferty pre-paid i ustala sobie limit dzienny np. 10 PLN na połączenia wychodzące. Większość ataków użytkowników telefonii IP polega na wykorzystaniu prostych skryptów szukających standardowych haseł (np. 1234), więc odrobina dobrej woli i bardziej skomplikowane hasło pozwolą nam uniknąć nieprzyjemności. Nieco inaczej wygląda sprawa z systemami telefonii IP dla firm. Tu najczęściej niechlujność administratora powoduje, że przestępcy wykorzystują luki w oprogramowaniu i dzwonią na koszt użytkownika. Ale przed tym powinna nas chronić odpowiednia polityka dotycząca aktualizacji, oraz wybór odpowiedniego dostawcy technologii. A kradzież danych poufnych? No cóż, może się to zdarzyć każdemu i nie ma specjalnego związku z technologią VoIP.
Zależność od sieci i zasilania. Awaria dostępu do Internetu lub sieci energetycznej powoduje brak połączenia VoIP. Stanowi to szczególne ryzyko w przypadku sytuacji awaryjnych, ponieważ uniemożliwia wykonywanie połączeń wychodzących z domowego numeru telefonu. Należy zatem zapewnić stałą dostępność zapasowego, naładowanego telefonu komórkowego. Cacuszko. Wszyscy bowiem wiemy, że telefony „klasyczne” nie potrzebują zasilania. Zwłaszcza bezprzewodowe. Dodatkowo w przypadku dłuższych przerw w zasilaniu problemy będą mieli również operatorzy komórkowi - stacje bazowe bowiem nie są zasilane powietrzem, a energią elektryczną (czyli są zależne od zasilania).
Tyle zatem na temat luk. A jakie rady mają dla nas anonimowi eksperci z firmy Norton?
Zabezpieczenie urządzeń. Wybierz akcesoria VoIP zgodne z aktualnymi standardami zabezpieczeń sieci bezprzewodowej, takimi jak Wi-Fi Protected Access (WPA), WPA2 oraz IEEE 802.11i. Unikaj korzystania z metody WEP (Wired Equivalent Privacy) — jest to starsza, mniej bezpieczna technologia. Ślicznie. Oczywiście prawda, ale nie do końca. Bowiem bramki i telefony NIE SĄ URZĄDZENIAMI BEZPRZEWODOWYMI. Podłącza je się do kabla - czyli cała rada, aczkolwiek bardzo słuszna, nie ma związku z technologią VoIP.
Uwierzytelnianie i szyfrowanie. Włącz wszystkie funkcje uwierzytelniania i szyfrowania dostępne w systemie VoIP. Uniemożliwi to dostęp do sieci niepożądanym osobom i zapewni prywatność połączeń. Urządzenia zgodne ze standardami WPA, WPA2 oraz IEEE 802.11i obsługują zaawansowane technologie szyfrowania i uwierzytelniania. Patrz punkt poprzedni - czy my naprawdę mówimy o technologii VoIP?
Zapora ogniowa VoIP. Używaj zapory ogniowej opracowanej z myślą o ruchu VoIP. Rozwiązanie tego rodzaju identyfikuje nietypowe wzorce połączeń i monitoruje objawy ataków. O! to jest to, co lubię. Zapora ogniowa (to sformułowanie sugeruje, że tekst jest bezmyślnym tłumaczeniem z języka obcego, bowiem porządny inżynier nie powie inaczej niż firewall) opracowana z myślą o ruchu VoIP istnieje. Wdrożyliśmy nawet kilka tego typu urządzeń. Produkowane są np. przez firmy ACME Packet, czy Sipera (obecnie przejęta przez Avaya). Są to rozwiązania na rynek operatorski, a targetem artykułu, jak zaznaczyliśmy na początku jest użytkownik indywidualny. No chyba że ten ktoś jest właścicielem kilku hut aluminium, kopalń i klubu z angielskiej ekstraklasy. Użytkownicy domowi z reguły polegają na firewallu wbudowanym w router.
Dwa połączenia. Jeśli jest to uzasadnione ekonomicznie i techniczne, warto korzystać z oddzielnego łącza internetowego do obsługi linii VoIP, dzięki czemu wirusy lub ataki na sieć transmisji danych nie wpłyną na działanie telefonu. Przypominam jeszcze raz - mówimy o użytkownikach domowych. Autorzy zatem sugerują osobne łącze tylko dla potrzeb VoIP. Hm…. Po pierwsze - telefon stacjonarny rzadko jest jedynym telefonem w domu, jeśli ktoś nie dodzwoni się na stacjonarny (VoIP), zadzwoni na komórkę. A jeśli nie jesteś właścicielem hut aluminium, klubu piłkarskiego itp.- raczej nie szastasz pieniędzmi na dodatkowe łącze do Internetu tylko dla potrzeb telefonii. A więc w przypadku użytkowników indywidualnych- NIE JEST TO UZASADNIONE EKONOMICZNIE. W przypadku firm posiadanie dwóch niezależnych dostawców Internetu od pewnej wielkości firmy staje się już kwestią niezbędną. Ważna uwaga - dwóch dostawców dostępu do Internetu. , a nie jednego dla VoIP, a drugiego dla danych. Przerwa w dostępie do Internetu może być znacznie bardziej bolesna niż brak telefonów.
Zaktualizowany program antywirusowy. Używaj aktualnych rozwiązań antywirusowych i antyspamowych. Ha! No jasne - przecież producent zabezpieczeń antywirusowych nie będzie pisać o produkcji chleba - musi przemycić nieco autoreklamy. Pytanie zatem, jak mam korzystać z oprogramowania antywirusowego za pomocą bramki VoIP czy telefonu?
Wiedza. Znajomość technik używanych przez przestępców i monitorowanie nietypowej aktywności linii VoIP to skuteczne sposoby zabezpieczenia się przed zagrożeniami. Brawo! Niestety, jeśli będziemy korzystać z takich źródeł jak cytowany artykuł, to przyniesie to raczej więcej szkody niż korzyści.
Podsumowując - artykuł napisany nie wiadomo dla jakiej grupy docelowej, opisujący rozwiązania z różnych półek i technologii. Szkoda, bo temat ciekawy i potrzebny.
Gdyby jednak ktoś chciał porozmawiać z fachowcami to zapraszam do kontaktu z nami.
Michał Szybalski
Business Solutions Manager
Dowiedz się więcej na temat: Infraspace Cloud
Zobacz też: Data Center
Kompleksowa obsługa: IT Outsourcing Integration
Cyberbezpieczeństwo firmy: IT Risk Security Management