26
«Механизмы обеспечения безопасности коммуникаций» Дмитрий Балашов

безопасность Voip yealink&yeastar

  • Upload
    -

  • View
    764

  • Download
    1

Embed Size (px)

Citation preview

Page 1: безопасность Voip yealink&yeastar

«Механизмы обеспечения безопасности коммуникаций»

Дмитрий Балашов

Page 2: безопасность Voip yealink&yeastar

Проблемы безопасности в IP-сетях

Решение проблем безопасностисредствами телефонов Yealink

Page 3: безопасность Voip yealink&yeastar

Существующие угрозы и проблемы безопасности телефонных IP-сетей

Page 4: безопасность Voip yealink&yeastar

Коммуникационные топологии

Интернет ГТС

Интернет ГТС

Провайдер

IP-телефонии

IP-АТС

Локальная АТС «Облачная» АТС

IP-телефоны - такие же сетевые устройства как и персональные компьютеры, поэтому обеспечение их безопасности является важным аспектом комплексной безопасности сети, особенно при использовании «облачных» решений.

Page 5: безопасность Voip yealink&yeastar

Прослушивание

Основные угрозы

Преднамеренные атаки

Телефонное мошенничество

Конфиденциальность личных данных

Internet

Page 6: безопасность Voip yealink&yeastar

Решение проблем безопасностисредствами телефонов Yealink

Page 7: безопасность Voip yealink&yeastar

Обзор решений

БезопасностьДоступ

Разговор

Личные данные

Настройка

Использование

Page 8: безопасность Voip yealink&yeastar

8

Уровень доступа к сети

Page 9: безопасность Voip yealink&yeastar

Проблема• Неизвестный злоумышленник может подключиться к сети компании через

PC-порт телефона, находящегося в приемной и скопироватьконфиденциальные данные.

Решение• Стандарт 802.1X ограничивает права неавторизованных компьютеров.• Методы EAP аутентификации: MD5, TLS. • Multi-Domain Authentication (MDA).

802.1X/EAP для защиты локальной сети

Ко

мм

ута

тор

ГолосVLAN

ДанныеVLAN

X

Авторизация 1

Не авторизован

RADIUSServer

Авторизация2

Page 10: безопасность Voip yealink&yeastar

Режим ОписаниеПрограммноеобеспечение

EAP-TLS• Клиентский сертификат• Доверенные сертификаты Root/CA• Идентификация по имени устройства

V60 и старше

EAP-MD5• Идентификация по имени устройства• Пароль

V60 и старше

EAP-TTLS/EAP-MSCHAPv2• Доверенные сертификаты Root/CA • Идентификация по имени устройства• Пароль

V71

EAP-PEAPv0/MSCHAPv2• Доверенные сертификаты Root/CA • Идентификация по имени устройства• Пароль

V71

Multiple Domain Authentication (MDA)

• Позволяет IP-телефону и ПК авторизоваться в локальной сети через один и тот же порт коммутатора

V71

Стандарт 802.1X в телефонах Yealink

Page 11: безопасность Voip yealink&yeastar

VLAN для качества связи

Проблема• Качество передачи голоса – главное преимущество использования IP-

телефона локальной сети компании.

Решение• Ручная и автоматическая (с помощи LLDP или DHCP) настройка VLAN ID.• Использование VLAN гарантирует полосу пропускания для голоса.• Предотвращение сетевых коллизий.• Настройка защиты для IP-телефонов.

PoE-коммутатор

ГолосовойVLAN

VLAN для данных

ГолосовойVLAN

VLAN для данных

Page 12: безопасность Voip yealink&yeastar

Проблема• Проблемы безопасности при подключении удаленного пользователя к

головному офису.• Приобретение роутеров с поддержкой VPN для удаленных пользователей.

Решение• Встроенный в телефон OpenVPN-клиент.• Удаленные пользователи могут с высокой степенью защиты регистрировать

IP-телефоны на офисной IP-АТС.

VPN для удаленных пользователей

IP-АТС

СерверVPN

VPN-тоннель

Офис

Удаленные пользователи

Internet

Page 13: безопасность Voip yealink&yeastar

13

Безопасность разговоров

Page 14: безопасность Voip yealink&yeastar

14

TLS — шифрование сигнализации

IP-АТС

Шифрование голосаSRTP

ШифрованиесигнализацииTLS

Шифрованиесигнализации

TLS

Проблема • При звонке друг другу, SIP ID и телефонные номера обоих абонентов могут быть перехвачены злоумышленником.

Решение• Использование криптографического протокола TLS.• Авторизация вызывающего и вызываемого абонентов.• Шифрование SIP-сообщений.

Page 15: безопасность Voip yealink&yeastar

15

Проблема • Разговоры сотрудников прослушиваются злоумышленниками.

Решение • 128-битный алгоритм шифрования AES• Шифрование медиа-потока

SRTP — шифрование голоса

IP-АТС

Шифрование голосаSRTP

ШифрованиесигнализацииTLS

Шифрованиесигнализации

TLS

Page 16: безопасность Voip yealink&yeastar

Личные данные

Page 17: безопасность Voip yealink&yeastar

Блокировка телефона

• Блокировка • PIN для разблокировки

Проблема• Необходимо защитить персональные аккаунты, историю вызовов, контакты и

настройки офисных пользователей.

Решение• Пользователь может заблокировать свой IP-телефон и предотвратить доступ к

личным данным.• Три режима блокировки: Все кнопки/Кнопки меню/Программируемые кнопки• Режимы срабатывания: Автоматическая или ручная блокировка• PIN может содержать до 15 символов• Экстренные номера всегда доступны для набора.

Page 18: безопасность Voip yealink&yeastar

Замок Кенсингтона

• Физическое закрепление телефона для предотвращения кражи, например из холла с большим числом посетителей.

Слот для замка Кенсингтона

Page 19: безопасность Voip yealink&yeastar

Защита при AutoProvision

Page 20: безопасность Voip yealink&yeastar

HTTPS Provisioning

Авторизация на сервере

Авторизация на телефоне

• Корневой сертификат• Привязанный к MAC-адресу

сертификат, зашифрованный SSL

• Корневой сертификат• Ключевой SSL-сертификат

Конфигурационные файлы

Проблема • Требуется защитить файлы конфигурации, которые IP-телефон получает при AutoProvision.

Решение• Обоюдная авторизация устройств по TLS при обновлении конфигурации.• Заводской сертификат, привязанный к MAC-адресу.• Заводской список основных корневых сертификатов.• Загрузки персональных корневых сертификатов с SSL шифрованием

Page 21: безопасность Voip yealink&yeastar

Шифрование конфигурационных файлов

Provisioning

Server

Internet

2 1

cfg.encЗашифрован

Ключом 2

key2.encЗашифрован

Ключом 1

② Зашифрованные конфигурационные файлы

③ Встроенным Ключом 1дешифруется Ключ 2

① С помощью утилиты Yealinkи использованием двух ключейшифруются конфигурационные файлы

④ Ключом 2Дешифруется

конфигурационный файл

Проблема• Администраторы небольших компаний не обладают знаниями о TLS/SSL.

Требуется несложный механизм шифрования конфигурационных файлов.

Решение• Шифрование конфигурационных файлов.• Утилита для шифрования со встроенным AES-ключом.• В телефоне встроен уникальный AES-ключ.

Page 22: безопасность Voip yealink&yeastar

Безопасность приложений

Page 23: безопасность Voip yealink&yeastar

Доверенный IP для взаимодействия с ПК

Проблема • Телефоны Yealink могут быть интегрированы с компьютерными приложениями, позволяющими выполнять управление телефоном с ПК.Злоумышленник может воспользоваться данной функцией.

Решение • Только доверенные ПК могут взаимодействовать телефоном.• Список IP-адресов для использования функций Action URI/URL.• Пользователь сам предоставляет доступ к телефону.

«click-to-call» и отслеживание событий

Action URI/URL

Интеграция с MS Outlook

Управление телефономс доверенного IP-адреса

Page 24: безопасность Voip yealink&yeastar

Доверенный сервер XML-приложений

Использование XML-браузера

Се

рве

рX

ML-

пр

ил

ож

ени

й

Получение XML-сообщения

Проблема• Телефоны Yealink имеют встроенный XML-браузер.

Данную возможностью может воспользоваться злоумышленник.

Решение• Только доверенный сервер может управлять телефоном через XML-

браузер.• Список доверенных серверов для получения XML-сообщений.• Пользователь сам предоставляет доступ к телефону

Управление телефономс доверенного сервера

Page 25: безопасность Voip yealink&yeastar

Уровень приложений

Транспортныйуровень

Сетевой уровень

DisablingPing

SRTP TLSDigest

Authentication

CTI Trusted IP

HTTPSweb

Config FilesEncryption

HTTPSProvision

Уровень доступа к сети

802.1x VLAN VPNDisabling PC

Port

Уровни безопасности

Page 26: безопасность Voip yealink&yeastar

Спасибо за внимание!

Дмитрий Балашов

ООО «АйПиМатика»

Москва, ул. Свободы д.1 корп.6

Тел: +7 (495) 921 36 70

Skype: ipmatika_dmitriy

Email: [email protected]