Seminar Damir Omanovic

5/17/2018 Seminar Damir Omanovic - slidepdf.com

http://slidepdf.com/reader/full/seminar-damir-omanovic 1/17

VELEUČILIŠTE U RIJECI

Damir Omanović

KONTROLA SIGURNOSTI VoIP SUSTAVA

Seminarski rad

Rijeka, 2011.



SADRŽAJ

1.Uvod .....................................................................................................................................1

2. Prijenos glasa IP mrežom – VoIP .....................................................................................2

3. Prednosti uvođenja VoIP sustava .......................................................................................4

4. Sigurnosne prijetnje VoIP mreže .......................................................................................6

4.1. Neovlašteno praćenje i analiza prometa .....................................................................6

4.2. Uskraćivanje računalnih resursa .................................................................................6

4.3. Distribuirano uskraćivanje računalnih resursa ...........................................................7

4.4. Presretanje poziva ........................................................................................................7

4.5. Krađa identiteta ............................................................................................................8

4.6. Financijska zlouporaba VoIP infrastrukture (eng. Call Fraud) .................................8

4.7. VoIP neželjena pošta (eng. Spam over Internet Telephony - SPIT) ..........................8

5. Sigurnosni mehanizmi VoIP mreže .................................................................................10

5.1. Općenite preporuke za podizanje sigurnosti VoIP mreža .........................................11

5.1.1. Fizička sigurnost .....................................................................................................11

5.1.2. Odvajanje IP adresa ................................................................................................12

5.1.3. Virtualni LAN-ovi ..................................................................................................12

5.1.4. Vatrozidi .................................................................................................................12

5.1.5. Enkripcija ................................................................................................................13

6. Zaključak ..........................................................................................................................14



1. Uvod

Korištenjem VoIP tehnologije organizacije i manja poduzeća više ne moraju koristiti samo

tradicionalnu telefonsku mrežu, te na taj način smanjuju ukupne troškove komunikacije i

povećavaju fleksibilnost rada što je vrlo povoljno za tvrtke sa velikim brojem zaposlenika

izvan matične firme. Međutim, unatoč privlačnim aspektima u smislu isplativosti i

fleksibilnosti uvođenje VoIP sustava donosi nove sigurnosne rizike i sigurnosne ranjivosti

postojeće mreže.

Ovaj rad opisuje osnove VoIP tehnologije, najvažnije pogodnosti prilikom implementacije

VoIP sustava, a glavna tematika je opis sigurnosnih zahtjeva koji su postavljeni pred VoIP,

moguće prijetnje odnosno rizici, te preporuke i sigurnosni mehanizmi za povećanje

sigurnosti VoIP mreža.

1



2. Prijenos glasa IP mrežom – VoIP

Prijenos glasa IP protokolom (eng. VoIP )je spoj klasične mreže za prijenos glasa

podatkovnom IP mrežom kako bi se proširile mogućnosti dodatnih poslovnih aplikacija i

servisa, upotrebom zajedničkog protokola, čime se ujedno smanjuju ukupni troškovi

implementacije i razvoja kroz integraciju odvojenih odjela podrške. IP telefonija je u užem

smislu VoIP, tehnološki je vrlo kompleksna jer uključuje komponente iz svijeta glasovne i

podatkovne komunikacije. Mreža za prijenos glasa je uvijek bila odvojena od podatkovne

zbog korištenih protokola i značajki glasovne komunikacije koje su jako različite od značajki

podatkovne komunikacije. Glasovni promet je osjetljiv na kašnjenje i kolebanje kašnjenja,

ali može istpjeti djelomični gubitak paketa, dok je podatkovna mreža paketno okrenuta i podaci su manje osjetljivi na zastoj i kolebanje kašnjenja, ali općenito ne mogu tolerirati

gubitke.

Faktori koji utječu na kvalitetu prijenosa podataka drugačiji su od onih koji utječu na

kvalitetu prijenosa glasa, primjerice, podaci su relativno neosjetljivi na zastoje, dok prijenos

glasa se degradira malom količinom zastoja i ne može trpjeti ponovni prijenos izgubljenog

odnosno zakašnjelog paketa. Isto tako manja količina gubitka podatkovnih paketa ne utječe

na kvalitetu glasa tijekom slušanja primatelja, ali i onaj najmanji gubitak podataka može

pokvariti cijelu datoteku ili aplikaciju.

Preko glasovnih paketa , mreža pruža prioritet nad običnim podaktovnim paketima i

mora postojati dovoljna propusnost mreže.

Postoji nekoliko standardnih strategija dodjele prioriteta glasovnog prometa:

• Klasa usluge CoS (eng. Class of Service)

• Određivanje prioriteta priključaka

• Korištenje standarda IEEE 802.1p/Q

• Određivanje prioriteta servisa

2



• Korištenje VLAN-a

Klasa usluge (CoS) označava metodu klasifikacije i ne osigurava razinu kvalitete

usluge za razliku od QoS-a (eng. Quality of Service). Klasa usluge je zapravo tehnika ilimetoda koju koriste mehanizmi za određivanje prioriteta vrste prometa i većina CoS

strategija dodjeljuje stupanj prioriteta okviru paketa ili samom paketu. CoS ili etiketiranje je

u potpunosti neefikasno bez QoS-a jer može označavati samo podatke. QoS se za razliku od

CoS-a bazira na etikete i filtre kod davanja prioriteta podatkovnim nizovima.

Određivanje prioriteta može se izvoditi dodjelom prioriteta na bazi UDP-a (eng. User

Datagram Protocol - korisnički podatkovni protokol) priključka brojeva koje koristeglasovni paketi. Prilikom ove metode koristi se mrežna oprema kojom se dodijeljuje prioritet

svih paketa u rasponu priključka. UDP se koristi za prijenos glasa kroz lokalnu mrežu, jer

nije zasnovan na vezi za razliku od TCP-a (eng. Transmition Control Protocol –

transmisijski kontrolni protokol). Zbog osjetljivosti ljudskih slušnih organa na zastoj bolje je

odbaciti pakete nego ponovno slati glas u stvarnom vremenu, pa je bezspojni protokol

prikladniji od spojnog. Za određivanje razlike prioriteta prometa usmjernici i podatkovni

preklopnici trećeg sloja tada koriste te priključke. Prioritetni promet mogu sačinjavatiglasovni paketi (UDP), signalni paketi (TCP) ili kombinacija obadviju varijanti. Ova vrsta

modela rješenja je OSI model (eng. Open System Interconnection) 4. sloja i radi s dolaznim i

odlaznim podacima nekih priključaka ili niza priključaka.

Tijekom određivanja prioriteta servisa redefinira se postojeći bit vrste usluge TOS-a

(eng. Terms of Service) u IP zaglavlju kombiniranjem prvih šest bitova u 64 moguće

kombinacije. Ovakvo korištenje TOS-a se može koristiti pomoću IP telefona, usmjernika i preklopnika u LAN-u i WAN okruženju. TOS je rješenje trećeg sloja OSI modela i radi sa IP

paketima na LAN-u i WAN-u.

Jedan od načina određivanja prioriteta je i IEEE 802.1Q standard koji koristi četiri

bajta kako bi nadopunio zaglavlje 2. sloja. IEEE 802.1Q definira otvoreni standard virtualnih

lokalnih mreža etiketiranja, dok IEEE 802.1p standard koristi preostala tri bita IEEE 802.1Q

zaglavlja za dodijeljivanje jedne od osam različitih klasa usluge.

3



3. Prednosti uvođenja VoIP sustava

Potreba za implementacijom VoIP-a u organizacijama općenito se mogu sagledati

kroz sljedeće stavke:

• Smanjenje troškova za pozive u inozemstvo do 50% uz razne dodatne

funkcionalnosti

• Besplatna komunikacija između izdvojenih lokacija ukoliko su povezane

•

Besplatne audio i video konferencije između lokacija (ovisno o propusnostimreže)

• Prelazak s analogne centrale na kompletno IP telefonsko rješenje

• Dodavanje IP centrale postojećem sustavu radi uštede i proširene

funkcionalnosti

• Centralizirana administracija (jednostavnije održavanje)

• Jedna mrežna infrastruktura za razne kanale komunikacije (podaci, glas, faks,

video)

• Mogućnost integracije u VPN sa mobilnim operaterom (GSM gateway)

• Omogućeno je integriranje sa svim oblicima telekomunikacijskoh mreža

(PSTN, GSM, ostali oblici VoIP-a) te prema potrebi pametno usmjeravanje

poziva kroz najjeftiniju ili najefikasniju rutu

• Fleksibilnost nadogradnji bilo software-skih ili hardware-skih mogućnosti

(ograničeno ili nemoguće kod digitalnih telefonskih centrala)

Da bi se iskoristile prednosti IP telefonije nije potrebno mijenjati cjelokupnu

telefonsku infrastrukturu. IP centralu moguće je dodati na već postojeći telefonski sustav i

tako iskoristiti dodatne mogućnosti i uštede koje centrala nudi. U većini slučajeva korisnici

prelaze s analognog telefonskog sustava na IP telefonski sustav, a mogu čak i zadržati

4



postojeće analogne telefonske uređaje uz odgovarajuće adaptere, međutim potpuna

funkcionalnost IP telefonije se dobiva sa IP telefonima. Jedna od najbitnijih funkcionalnih

stavki VoIP sustava je mobilnost. Dodatna funkcionalnost je mogućnost softverskog

razgovaranja s prijenosnog računala s bilo koje lokacije na svijetu, spajajući se na vlastitu IP

centralu putem interneta.

U slučaju da poduzeće posjeduje vlastitu računalnu mrežu (LAN, WAN ...),

distribuirane lokacije povezane u istu tu mrežu, te k tome uspostavlja značajan broj poziva u

inozemstvo, VoIP samo u području telefonije ima rok povrata investicije od 12 do 15

mjeseci. Ako se u obzir uzmu i ostale poslovne beneficije koje tehnologija donosi od

komfora, sigurnosti, na vidjelo izlazi kako je IP telefonija zaista sljedeća evolucijska

stepenica u poslovnoj komunikaciji bez koje se u novije vrijeme neće moći poslovati.

Upravo zbog navedenih pogodnosti koje pruža VoIP tehnologija velik broj manjih i srednjih

poduzeća uvodi ovaj sustav kako bi reducirali troškove komunikacije. Međutim postavlja se

pitanje sigurnosti sustava i kontrole istog. U sljedećim segmentima seminarskog rada će biti

objašnjeno upravo to pitanje i biti će navedeni osnovni kontrolni mehanizmi.

5



4. Sigurnosne prijetnje VoIP mreže

Neki od glavnih sigurnosnih problema koji se pojavljuju u VoIP okolinama su slični

ako ne i isti kao i problemi koji se dotiču sigurnosti IP mreža. Danas se velik broj

podatkovne komunikacije obavlja preko Interneta, što je moguće korištenjem sustava IP

adresiranja. VoIP isto koristi IP adresiranje za lociranje ostalih korisnika na glasovnim

komunikacijskim mrežama. Stoga je IP sigurnost vrlo važna stavka za zaštitu VoIP mreža,

za koje se očekuje da će postati okosnica svih glasovnih komunikacija u svijetu. Napadi na

sigurnost VoIP-a mogu biti pasivni (kada je cilj doći do informacija koje se prenose, a da se

pri tom sami podaci ne mijenjaju) i aktivni (ovi napadi uključuju izmjenu ili generiranje

lažnog tijeka podataka).

4.1. Neovlašteno praćenje i analiza prometa

Neovlašteno praćenje i prisluškivanje mrežnog prometa (eng. Sniffing/Eavesdropping)

može rezultirati otkrivanjem povjerljivih ili nezaštićenih korisničkih informacija i podataka.

Iskorištavanjem ovog propusta sofisticiranim zlonamjernim korisnicima omogućeno je

prikupljanje informacija o VoIP mreži koje se mogu iskoristiti za napade na druge dijelove

mreže. Za sprječavanje ovih napada predlaže se primjena neke od dodatnih metoda

enkripcije na višim mrežnim slojevima.

4.2. Uskraćivanje računalnih resursa

Napadi uskraćivanja računalnih resursa (eng. Denial of Service - DoS) mogu biti zasnovani

na okupiranju računalnih mreža s nepotrebnim podacima ili na rušenju pojedinih komponenti

mreže. Ukoliko organizacija Uskraćivanje računalnih resursa koristi tradicionalne

6



komunikacijske kanale za razgovor (javna telefonska mreža) tada čak i u slučajevima kada je

podatkovna mreža srušena, organizacija i dalje može komunicirati i obavljati telefonske

razgovore. Ukoliko organizacija temelji svoje poslovanje na VoIP mreži, tada DoS napadi

mogu biti veoma efikasni protiv tih organizacija. To je rezultat činjenice da DoS napadi

prekidaju uslugu ili smanjuju kvalitetu postojeće usluge (eng. Quality of Sevice - QoS) za

koju je nužno da bude visoka kako bi VoIP bio funkcionalan. Zbog opasnosti koju DoS

napadi predstavljaju za VoIP mreže, proizvođači VoIP opreme sve češće ugrađuju u svoje

proizvode različite metode zaštite od DoS napada, primjerice korištenje ASA uređaja.

4.3. Distribuirano uskraćivanje računalnih resursa

Distribuirani napadi uskraćivanja računalnih resursa (eng. Distributed Denial of Service -

DDoS) slični su prethodno opisanim napadima uz razliku što se ovi napadi ne izvršavaju s

jednog računala nego s većeg broja istih uređaja. Da bi zloćudni korisnik izvršio DDoS

napad potrebno je da na određeni način utječe na veću skupinu računala. To se može izvesti

ukoliko napadač preuzme kontrolu nad tim računalima. Ta računala mogu biti upravljana

preko različitih virusa i trojanaca koji napadaču omogućavaju upravljanje računalima i

zagušivanje mreže hrpom nepotrebnih podataka koji uzrokuju uskraćivanje resursa na

napadnutom računalu ili mreži.

Za ispunjenje DDoS napada nije potrebno da napadač preuzme kontrolu nad računalima s

kojih želi izvesti napad. Napadač može izvesti DDoS napad ukoliko pošalje zahtjev s

lažiranom izvorišnom IP adresom na grupu računala. Tada će sva ta računala odgovoriti na

te upite na ciljano računalo te time onemogućiti rad tog računala.

4.4. Presretanje poziva

Presretanje poziva (eng. call interception) omogućava neovlašteno nadgledanje i snimanje

poziva, te glasovnih poruka. Presretanjem i prisluškivanjem poziva unutar organizacija

moguće je ukrasti tajne i povjerljive poslovne podatke. VoIP pozivi se mogu presretati tako

7



da se preusmjere na neki posredni server koji prema svojoj konfiguraciji nadzire VoIP

pozive - tzv. „Čovjek u sredini“ („Man in the middle“) napad. VoIP pozivi se mogu na

jednostavan način skupljati i dekodirati ukoliko napadač ima fizički pristup lokalnoj

računalnoj mreži preko koje VoIP paketi putuju. Kao protumjere za ovakve napade potrebno

je zaštititi fizičke pristupe mreži te implementirati enkripciju s nekom od raspoloživih

metoda.

4.5. Krađa identiteta

Krađom ili neovlaštenim korištenjem tuđeg identiteta napadač može doći do informacija

potrebnih za stjecanje kontrole nad tuđim IP telefonom, te preusmjeriti promet na drugu

lokaciju. I ukoliko legitimni korisnik nije svjestan preusmjeravanja poziva tada može odavati

povjerljiva informacije, a da nije ni svjestan toga.

4.6. Financijska zlouporaba VoIP infrastrukture (eng.

Call Fraud)

Call fraud je specifičan napad za VoIP mreže koji se sastoji od nezakonitog korištenja VoIP

infrastrukture za obavljanje telefonskih poziva. Takvi telefonski pozivi izgledaju kao da su

pokrenuti od legitimnih korisnika unutar napadnute mreže pa se njima i naplaćuju.

4.7. VoIP neželjena pošta (eng. Spam over Internet

Telephony - SPIT)

Iako se čini da je pretrpavanje IP telefona neželjenim SPIT porukama i informacijama samo

neugodna nuspojava konekcije na Internet, većina korisnika gubi korisno vrijeme na čišćenje

8



telefona od istih, te tijekom tog vremena nisu u mogućnosti ispunjavati svoje poslovne

zadatke. Kako se sve više poslovnih korisnika odlučuje za VoIP komunikacije, VoIP

neželjena pošta ima sve veću i veću tendenciju širenja i sve veću populaciju kojoj je

namijenjena.

9



5. Sigurnosni mehanizmi VoIP mreže

Uključivanjem govornih aplikacija u IP domenu pored niza prednosti nosi sa sobom

rizike karakteristične za IP tehnologiju po pitanju sigurnosti govornih servisa koji ranije nisu

bili prisutni (u koliko se izuzme prisluškivanje i krađa servisa otprije poznate kod PSTN-a).

Sve vrste opasnosti i napada na mreže podataka su sada prisutne i kao prijetnja prijenosu

govora preko IP-a. Složenosti problema doprinosi VoIP arhitektura koja je veoma složena i

hijerarhijski organizirana sa mnogo mrežnih komponenti (media gateway, IP telefoni, IP

PBX, usmjernik, prijeklopnik, vatrozidi itd) i protokola koji imaju velike sigurnosne

propuste, jer su slabo definirani u tom smislu. Pomnim planiranjem moguće je

implementirati VoIP u konvergentnu mrežu sa odgovarajućom sigurnošću, a da se pri tom nenarušavaju performanse VoIP-a.

Kako bi se VoIP sustav učinio što sigurnijim (potpunu sigurnost je skoro nemoguće

ostvariti) potrebno je poduzeti odgovarajuće sigurnosne mjere na svim razinama što se

postiže uporabom raznih sigurnosnih mehanizama. Potrebno je naglasiti da, nažalost, mjere

koje se poduzimaju u ovom smjeru utječu na kvalitetu usluge ( QoS (ogleda se u kašnjenju

ili blokiranju poziva od strane firewall-a odnosno u kašnjenju i kolebanju kašnjenja

uzrokovanim procesom enkripcije)).

Neke od smjernica koje treba pratiti pri izgradnji sigurnog VoIP okruženja:

- korištenje sistema za detekciju i prevenciju upada u sistem (Intrusion Detection and

Prevention Systems)

- instalacija ALG-a (Aplication Layer Gateway) na granicama povjerljivih zona

- korištenje mehanizama autorizacije, autentifikacije i IPSec

- korištenjem VPN za VoIP na kritičnim mjestima

- odvajanje govora i podataka na kritičnim mjestima korištenjem VLAN (Virtual Local

Area Network)

- primjena različitih metoda enkripcije

10



- redoviti update softvera, instalacija antivirusnog programa i njegovo održavanje,

onemogućavanje nepotrebnog daljinskog pristupa, onemogućavanje svih nepotrebnih

servisa, zaštita prostorija s opremom i sl.

5.1. Općenite preporuke za podizanje sigurnosti VoIP

mreža

U svrhu zaštite VoIP mreže potrebno je stalno raditi na sigurnosti. Napadi se

neprestano razvijaju i administratori mreže moraju štititi, kako mrežu u cijelosti, tako i pojedine usluge. U nastavku ovog poglavlja navedeni su uobičajeni načini zaštite kojima se

minimaliziraju sigurnosni rizici i prijetnje unutar VoIP mreža.

5.1.1. Fizička sigurnost

Promatrano s aspekta fizičke sigurnosti i konfiguriranja samih VoIP aplikacija preporučuju

se sljedeće metode:

- sve kritične VoIP mrežne i poslužiteljske komponente trebalo bi locirati u zaštićene i

sigurne lokacije odvojene od neovlaštenog pristupa.

- IP telefone bi trebalo konfigurirati tako da ne prikazuju svoje mrežne konfiguracijske

informacije.

-SoftPhone sustave, koji provode VoIP komunikaciju pomoću običnog računala, slušalica i

specijalnog programa, trebalo bi izbjegavati.

11



5.1.2. Odvajanje IP adresa

Sve VoIP komponente trebalo bi postaviti na odvojene privatne mreže, koje nisu djeljive sostalim mrežama. U tu svrhu potrebno je koristiti privatne IP adrese (10.0.0.0/8,

172.16.0.0/16 i 192.168.0.0/16) za daljnje odvajanje IP telefonije od podatkovnih mreža.

Kada su potrebne mrežne konekcije između VoIP i ostalih podatkovnih mreža (npr. zbog

glasovne pošte) potrebno je implementirati NAT koji prevodi javne IP adrese u privatne, te

time interna računala odvaja od vanjske mreže. NAT bi trebalo implementirati na dodirnim

točkama VoIP i ostalih mreža.

5.1.3. Virtualni LAN-ovi

Predlaže se odvajanje VoIP-a od ostalih podatkovnih mreža korištenjem virtualnih lokalnih

mreža (eng. Virtual Local Area Networks - VLAN). Tehnologija virtualnih LAN-ova

omogućuje logičko grupiranje korisnika, neovisno o njihovoj fizičkoj lokaciji, u manjelogičke cjeline, tzv. virtualne lokalne računalne mreže (VLAN). Ovakvim pristupom moguće

je unutar jednog fizičkog LAN-a kreirati nekoliko manjih međusobno odvojenih virtualnih

LAN-ova, od kojih svaki zadržava svojstva klasične računalne mreže. Grupiranje korisnika

moguće je realizirati prema različitim kriterijima kao što su MAC adrese mrežnih kartica, IP

adrese, portovi preklopnika, itd…Odvajanjem podatkovnih i VoIP mreža smanjuje se

“natjecanje“ za mrežnim resursima i samim time smanjuje se vrijeme kašnjenja za prijenosne

servise.

5.1.4. Vatrozidi

12



Najbolji način za osiguravanje VoIP usluge jest filtriranje prometa između VoIP mreža i

podatkovnih mreža korištenjem vatrozida (eng. firewalls). Vatrozid je sustav (programski ili

sklopovski) čija je osnovna uloga filtriranje dolaznog i odlaznog mrežnog prometa

organizacije. Svoju osnovnu zadaću vatrozid obavlja putem sigurnosnih pravila koja

definiraju koji je promet dopušten, a koji zabranjen u skladu sa sigurnosnom politikom

organizacije. Jedan od nedostataka vatozidne zaštite je taj što se nakon definicije pravila

filtriranja ona više ne mijenjaju, ili se moraju mijenjati ručno. Nažalost, zbog specifičnosti

VoIP-a koji za normalan rad zahtjeva korištenje velikog raspona otvorenih portova (protokol

koji se koristi za prijenos VoIP podataka koristi raspon portova od 10024 do 65535 za

transportiranje paketa), potrebno je koristiti vatrozide koji direktno podržavaju SIP i H.323

protokole.

5.1.5. Enkripcija

Gdje god je moguće i izvedivo trebala bi se implementirati enkripcija VoIP prometa

korištenjem VPN-ova (eng. Virtual Private Networks) ili bilo kojom metodom trenutno

dostupnom. Virtualne privatne mreže (tzv. enkripcijski tuneli) omogućavaju sigurno spajanje

dvije fizički odvojene mreže preko Interneta bez izlaganja podataka neautoriziranim

korisnicima. Nakon što je jednom uspješno podignuta, virtualna privatna mreža zaštićena je

od neovlaštenih iskorištenja sve dok su enkripcijske tehnike sigurne. Koncept VPN-a

omogućava udaljenim korisnicima na nezaštićenoj strani direktno adresiranje računala

unutar lokalne mreže, što drugim korisnicima nije moguće zbog NAT-a i filtriranja paketa.

Brzina kojom takva udaljena računala komuniciraju s lokalnim računalima mnogo je sporija

od one koju računala u lokalnoj mreži koriste. Razlog tome je njihova fizička udaljenost i

oslonjenost na brzinu Interneta, ali i procesi enkripcije podataka, filtriranja paketa na

vatrozidu, i dekripcije originalnih podataka.

Kako bi udaljeni korisnici uspješno prošli fazu spajanja na lokalnu mrežu potrebno je

uspješno obaviti autentifikaciju istih. Ta autentifikacija mora biti kriptirana u svrhu

sprječavanja krađe podataka od strane napadača i iskorištenja istih.

13



6. Zaključak

Kako raste velik broj poduzeća koji koriste VoIP u svom poslovanju tako raste i mogućnost

već opisanih napada na samu tehnologiju koju koriste poduzeća.

Kako je VoIP tehnologija relativno nova na tržištu, tako poduzeća moraju stalno biti na

oprezu i moraju tražiti nove načine zaštite kako bi sprječili opisane napade u ovom radu.

14



Također se treba obratiti pozornost na preporuke vezane za mehanizme i nabavu opreme

pomoću kojih će se uspješno odgovoriti na potencijane prijetnje prilikom korištenja VoIP-a.

15

Documents

Seminar Damir Omanovic