Рекомендации по защите корпоративных сетей IP-телефонии от несанкционированного доступа к информации Текст научной статьи по специальности «Компьютерные и информационные науки»

8. Yang Х. «LDB: An ultra-fast feature for scalable augmented reality» / X. Yang, K. T. Cheng // In IEEE and ACM Intl. Sym. on Mixed and Augmented Reality (ISMAR). Pp. 49-57, 2012.

9. «Complete Guide to Parameter Tuning in XGBoost (with codes in Python)». [Электронный ресурс]. Режим доступа: https://www.analyticsvidhya.com/blog/2016/03/complete-guide-parameter-tuning-xgboost-with-codes-python/. Accessed. 2 April, 2018/

10. Онлайн-курс «Обучение на размеченных данных». [Электронный ресурс]. Режим доступа: Режим доступа: https://www.coursera.org/learn/supervised-learning/lecture/f2X6o/kachiestvo-otsienok-prinadliezhnosti-klassu/ (дата обращения: 01.02.2018).

РЕКОМЕНДАЦИИ ПО ЗАЩИТЕ КОРПОРАТИВНЫХ СЕТЕЙ IP-ТЕЛЕФОНИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА

К ИНФОРМАЦИИ Останкин Д.С. Email: [email protected]

Останкин Дмитрий Сергеевич - бакалавр, кафедра информационной безопасности, Национальный исследовательский университет Московский институт электронной техники, г. Зеленоград

Аннотация: актуальность статьи обусловлена преимуществами использования IP-телефонии для повышения эффективности связи на любом предприятии или в корпорации и практическим отсутствием разработанных методических рекомендаций по обеспечению безопасности информации, курсирующей по данным сетям. В статье проводится обзор опыта компаний по защите сетей IP-телефонии, методических документов в области защиты VoIP и их дальнейшее использование для построения рекомендаций по защите корпоративных сетей IP-телефонии от несанкционированного доступа к информации.

Ключевые слова: IP-телефония, защита сети IP-телефонии, рекомендации по защите сети IP-телефонии.

RECOMMENDATIONS FOR SECURITY OF IP-TELEPHONY CORPORATE NETWORKS FROM UNAUTHORIZED ACCESS

Ostankin D.S.

Ostankin Dmitry Sergeevich - Bachelor, INFORMATION SECURITY DEPARTMENT, NATIONAL RESEARCH UNIVERSITY MOSCOW INSTITUTE OF ELECTRONIC ENGINEERING, ZELENOGRAD

Abstract: the relevance of the article is due to the advantages of using IP-telephony to improve the efficiency of telecommunication in any company and the lack of composed recommendations for security of IP-telephony corporate networks from unauthorized access. The article reviews the experience of companies protecting IP-telephony networks, methodological documents in the field of VoIP security and their further use to compose recommendations for security of IP-telephony corporate networks from unauthorized access.

Keywords: IP-telephony, IP-telephony network security, recommendations for security of IP-telephony networks.

УДК 004.056.53

В настоящее время ведение бизнес процессов невозможно представить без использования телефонной связи. Технология обычной телефонной связи известна уже давно, ее легко провести в любой офис. Но в эпоху развития пакетных сетей она уходит на второй план, давая толчок развитию сетей IP-телефонии. За пределами нашей страны данная технология уже пару десятков лет развивается и используется в различных сферах деятельности. Но в нашей стране IP-телефония пока недостаточно используется ввиду неясности технологии, отсутствия руководств по полной настройке системы и при этом обеспечения безопасности информации, курсирующей по данной сети. Нет никаких отечественных нормативно-методических документов, непосредственно описывающих перечень требований к защите системы IP-телефонии, перечень угроз безопасности IP-телефонии.

Осуществленный анализ нормативно-правовой базы РФ в области защиты информации показал, что документов, регламентирующих защиту сети IP-телефонии в России, нет. Поэтому было принято решение рассмотреть американские нормативные документы по VoIP. К ним отнесены NIST 800-58 «Security considerations for Voice Over IP Systems» [1] и VoIP Security and Privacy Threat Taxonomy (2005 г.) [2].

На основании анализа этих документов были сформулированы основные угрозы, которым может быть подвержена IP-телефония:

а) Отказ в обслуживании - могут использоваться общие сценарии реализации угроз на отказ в обслуживании, не учитывающие специфику технологии IP-телефонии, и специализированные, учитывающие особенности технологии IP-телефонии [3];

б) Перехват трафика - выявление содержания служебных заголовков (сетевые адреса, открытые порты, интенсивность запросов, номера пакетов и другую полезную информацию), выявление паролей и идентификаторов пользователей;

в) Модификация трафика - подмена заголовков для реализации невозможности осуществления звонков либо для реализации собственной выгоды злоумышленника;

г) Несанкционированный доступ к средствам связи - получение физического доступа к средствам связи или удаленное подключение к средствам связи для дальнейшей реализации противоправных действий;

д) Мошенничество - кража услуг, заключающаяся в перенаправлении дорогого трафика через взломанный сервер IP-телефонии, и фальсификация вызовов, заключающаяся в перехвате регистрационных данных абонента и дальнейшей регистрации с помощью этих данных на другом сервере IP-телефонии для дальнейшего использования.

На основе опыта компаний [4], [5] в организации защиты сети IP-телефонии от несанкционированного доступа к информации (НСД) сформулирован перечень рекомендаций по защите IP-телефонии от НСД. Рекомендации включают в себя организационные и программно-технические меры.

1 Организационные меры

Чтобы исключить угрозу «Несанкционированного физического доступа к средствам связи» IP-телефонии требуется принять следующие меры безопасности:

- Вход в здание компании (на предприятие) должен контролироваться средствами СКУД.

- Все сетевое оборудование должно быть установлено в серверных со СКУД (только для сетевых инженеров, администраторов безопасности). Необходимо описать инструкцию по допуску персонала, не имеющего доступа, в серверные.

- Все места, где проходят линии связи, по которым передается трафик VoIP, должны контролироваться системой видеонаблюдения.

На основании наличия угрозы «Несанкционированный доступ к средствам связи» в перечне угроз безопасности IP-телефонии необходимо принять меры защиты:

- Доступ и дальнейшую настройку сетевого оборудования должны иметь только уполномоченные сотрудники (сетевой инженер, администратор безопасности).

Действия персонала и принимаемые технические решения должны соответствовать регламентным документам:

а) Для сетевого инженера и администратора безопасности:

- Инструкция Администратора IP-телефонии;

- Топология сети на канальном уровне (с указанием номеров интерфейсов, MAC -адресов, VLAN);

- Топология сети на сетевом уровне (с указанием Ip-адресов, номеров интерфейсов);

- Диал-план (формальное описание схемы маршрутизации и обработки телефонных звонков);

- Содержание конфигурационных файлов каждого сетевого оборудования, в том числе с указанием мер защиты;

- Инструкция по реагированию в чрезвычайных ситуациях (недоступности тех или иных сервисов);

- Перечень лиц, уполномоченных устанавливать и настраивать оборудование;

б) Для сотрудников, использующие IP-телефонию:

- Инструкция пользователя с IP-телефонами (для сотрудников компании, под ознакомление);

- Перечень лиц, уполномоченных устанавливать и настраивать оборудование.

Все вносимые изменения в регламентных документах должны фиксироваться в соответствующем журнале регистрации изменений, приложенном к каждому документу.

2 Программно-технические меры

Необходимо выполнение следующих требований по отношению к защите IP-телефонии:

- Сеть должна быть обязательно защищена МЭ со стороны сети Интернет;

- Сервер IP-телефонии, если используется другими компаниями либо филиалами, должен иметь маршрутизируемый в сети Интернет IP-адрес («белый» IP-адрес) и должен находится в DMZ (демилитаризованной зоне - сегмент сети, содержащий общедоступные сервисы и отделяющий их от частных);

- Все телефоны должны иметь локальный IP-адрес («серый» IP-адрес);

- Для сети IP-телефонии должен быть выделен отдельный VLAN для защиты от перехвата трафика из сети данных компании и для простоты конфигурирования средств QoS;

На основании сформулированных угроз безопасности IP-телефонии сформулируем требования к сетевым устройствам для защиты сети IP-телефонии.

Сервер IP-телефонии:

- Для осуществления передачи сигнального трафика необходимо настроить шифрование и контроль целостности с помощью протоколов SIP/TLS или Secure SCCP для Cisco;

- Для осуществления передачи медиа трафика необходимо настроить шифрование и контроль целостности с помощью протоколов SRTP (использовать в связке SIP/TLS), ZRTP;

- Пароль для входа в WEB интерфейс конфигурирования должен соответствовать парольной политике: буквы разного регистра, цифры, символы;

- Доступ к конфигурированию сервера должен быть только у сетевого инженера и у администратора безопасности, для остальных доступ должен быть ограничен списками контроля доступа;

- Если звонки с телефонов, зарегистрированных на сервере, за пределы страны не совершаются, то следует принудительно отключить данную возможность;

IP-телефоны:

- Должна осуществляться аутентификация устройства на сервере IP-телефонии, используя протокол TLS;

- Необходимо обеспечить шифрование файла конфигурации IP-телефона при передаче от TFTP сервера к телефону;

- Должна осуществляться проверка подлинности подключенного телефона по протоколу 802.1x;

Коммутаторы:

- Доступ к устройствам осуществляется по SSH с доверенных хостов сетевого инженера и администратора безопасности;

- Отключать все неиспользуемые сервисы;

- Включить на портах фильтрацию по MAC-адресу, если известно количество устройств, доступных через данный порт;

- Все неиспользуемые порты необходимо административно отключить и назначить им VLAN ID, который не используется в сети;

- Если есть возможность, настроить на портах статус доверенных для DHCP-сервера, то есть таких портов, с которых могут приходить DHCP-ответы;

Межсетевые экраны должны обеспечивать:

- Идентификацию и контроль приложений по любому порту - МЭ должен непрерывно классифицировать трафик от приложений по всем портам (актуально для протоколов передачи медиа трафика с динамическим присвоение портов (SRTP));

- Идентификацию и контроль попыток обхода защиты - МЭ должен проверять содержимое пакетов на основании типа трафика;

- Расшифрование исходящего SSL/TLS и управляющего SSH трафика;

- Контроль функций приложений - МЭ должен осуществлять классификацию требуемых приложений, отслеживая все изменения, которые могут указывать на использование той или иной функции этих приложений;

- Контроль за неизвестным трафиком - МЭ должен обеспечить видимость всего неизвестного трафика, приходящего на все порты, должен быстро выполнять анализ этого трафика и определять его природу;

- Одинаковый уровень контроля приложений для всех пользователей и устройств -контроль действий любого авторизованного пользователя при обращении к разным приложениям;

- Обнаружение вторжения или нарушения безопасности и автоматическую защиту;

- Механизмы упрощения настройки уже работающей политики безопасности при масштабировании системы;

- Достаточную пропускную способность при включении всех механизмов защиты на МЭ [6];

- Стоит отметить, что в случае наличия большой корпоративной мультисервисной сети необходимо подумать о резервировании МЭ и наличии дополнительного Интернет подключения к этому резервному МЭ, чтобы в случае возникновение чрезвычайной ситуации в виде неисправности одного МЭ или атаки на него трафик не прерывался, а автоматически перебрасывался через резервный МЭ;

Если компания заказывает услуги связи через ТСОП, а не заказывает VoIP Trunk у провайдера IP-телефонии, то необходимо установить в компании VoIP-шлюз, на котором должны быть следующие функции безопасности, позволяющие исключить угрозы «Несанкционированный доступ к средствам связи», «Мошенничество» по отношению к VoIP-шлюзу:

- Функция стандартного и расширенного списка IP доступа;

- Разрешение и запрещение определенных протоколов;

- Защита доступа к управлению и данным;

- Таймаут на Telnet и SSH сессию;

- Настройки для ограничения звонков на междугородние и международные номера.

Таким образом, были сформулированы рекомендации по реализации организационных и программно-технических мер по защите корпоративной сети IP-

телефонии от НСД к конфиденциальной информации, следование которым позволит избежать типичных угроз безопасности, в том числе при создании, настройке и эксплуатации сети IP-телефонии, а впоследствии и убережет от материальных и репутационных потерь.

Разработанные рекомендации можно применять в ходе планирования, проектирования, внедрения системы защиты сети IP-телефонии в компаниях.

Список литературы /References

1. Richard Kuhn D., Thomas J. Walsh Steffen Fries Security Considerations for Voice Over IP Systems, Recommendations of the National Institute of Standards and Technology (NIST SP 800-58). 99 с.

2. David Endler, Dipak Ghosal, Reza Jafari, Akbal Karlcut, Marc Kolenko, Nhut Nguyen, Wil Walkoe, Jonathan Zar VoIP Security and Privacy Threat Taxonomy, Public Release 1.0, 24 October 2005 - 36 с.

3. Макарова О.С. Методика формирования требований по обеспечению информационной безопасности сети IP-телефонии от угроз среднестатистического «хакера», Доклады ТУСУРа, № 1 (25), часть 2, июнь 2012. [Электронный ресурс]. URL: http://old.tusur.ru/filearchive/reports-magazine/2012-25-2/064.pdf/ (дата обращения: 01.06.2018).

4. Курдявцев И. Unified Communications Expert: Безопасность VoIP. Схемы и рекомендации по повышению безопасности [Электронный ресурс]. URL: http://www.ucexpert.ru/archives/1752 (дата обращения: 01.06.2018).

5. СарИнтел, Меры безопасности в сфере телефонной связи. Часть 2. [Электронный ресурс]. URL: https://sarintel.ru/mery-bezopasnosti-v-sfere-telefonnoj-svyazi-chast-2/ (дата обращения: 01.06.2018).

6. 10 обязательных функций межсетевого экрана нового поколения, Хабр [Электронный ресурс]. URL: https://habr.com/post/327953/ (дата обращения: 02.06.2018).