В этой заметке я хочу систематизировать имеющуюся у меня информацию о проблемах нелигитимного доступа к телефонной связи.
Как известно, желание попользоваться чем нибудь не потратив на это ни копейки практически является чертой любого человека. У одних это пристрастие стоит во главе всех действий, у других же оно практически нивелировано человеческой моралью до такой степени, что они утверждают полное отсутствие подобных желаний. Ну это больше вопрос психологии, а мы рассмотрим как подобное желание реализуется на сетях ip-телефонии.
Итак основной целью злоумышленника является использование технических средств жертвы для получения максимальной прибыли в кратчайшие сроки. Для достижения этой цели злоумышленнику нужно решить как минимум две задачи - техническую и коммерческую. Технически необходимо получить доступ к возможности передачи телефонного трафика через оборудование жертвы. Коммерчески нужно выстроить схему получения платы за пропущенный трафик. Коммерческая сторона дела для меня до сих пор остается не до конца прозрачной, хотя некоторые кулуарные беседы в основном с пострадавшими от подобной деятельности наталкивают на определенные мысли. Давайте рассмотрим как все организуется технически.
Как показывает практика существует два сценария возможной атаки. Первый сценарий направлен на получение доступа к оборудованию оператора связи. Второй сценарий подразумевает доступ к оборудованию оконечного пользователя и пропуск трафика через его технические средства. Под доступом здесь нужно понимать не возможность конфигурации оборудования, а возможность использования технических средств в качестве транзитного узла для пропуска трафика. Фактически перечень уязвимостей идентичен как для клиентского оборудования, так и для оборудования операторского класса и в подавляющем большинстве случаев уязвимостями можно воспользоваться, потому что обслуживающий персонал не озаботился вопросами защиты.
Итак вот перечень наиболее часто встречающихся проблем:
Банальные вещи, которые сразу должны приходить на ум при реализации систем защиты:
Надеюсь, что краткое изложение моего опыта борьбы с описанными угрозами будет полезным.
Как известно, желание попользоваться чем нибудь не потратив на это ни копейки практически является чертой любого человека. У одних это пристрастие стоит во главе всех действий, у других же оно практически нивелировано человеческой моралью до такой степени, что они утверждают полное отсутствие подобных желаний. Ну это больше вопрос психологии, а мы рассмотрим как подобное желание реализуется на сетях ip-телефонии.
Итак основной целью злоумышленника является использование технических средств жертвы для получения максимальной прибыли в кратчайшие сроки. Для достижения этой цели злоумышленнику нужно решить как минимум две задачи - техническую и коммерческую. Технически необходимо получить доступ к возможности передачи телефонного трафика через оборудование жертвы. Коммерчески нужно выстроить схему получения платы за пропущенный трафик. Коммерческая сторона дела для меня до сих пор остается не до конца прозрачной, хотя некоторые кулуарные беседы в основном с пострадавшими от подобной деятельности наталкивают на определенные мысли. Давайте рассмотрим как все организуется технически.
Как показывает практика существует два сценария возможной атаки. Первый сценарий направлен на получение доступа к оборудованию оператора связи. Второй сценарий подразумевает доступ к оборудованию оконечного пользователя и пропуск трафика через его технические средства. Под доступом здесь нужно понимать не возможность конфигурации оборудования, а возможность использования технических средств в качестве транзитного узла для пропуска трафика. Фактически перечень уязвимостей идентичен как для клиентского оборудования, так и для оборудования операторского класса и в подавляющем большинстве случаев уязвимостями можно воспользоваться, потому что обслуживающий персонал не озаботился вопросами защиты.
Итак вот перечень наиболее часто встречающихся проблем:
- DISA, auto attendant (автосекретарь), IVR. При настройке данных сервисов оставляется возможность совершить вызов путем набора внешнего по отношению к системе номера в процессе прослушивания приветственных сообщений. Нормальное поведение, когда система позволяет донабором попасть на определенный внутренний номер сотрудника или группу дозвона, но если остается возможность донабрать номер ТФоП вот этим и пользуются злоумышленники.
- Кража или подбор учетных записей. Кража sip-аккаунта непосредственно у конечного пользователя на мой взгляд довольно экзотический вариант, поскольку зачастую пользователь ip-pbx не знает своего пароля для регистрации оконечного устройства. Однако методы социальной инженерии могут быть применены к обслуживающему персоналу, например от имени вышестоящей компании-оператора. Подбор же возможен и следы его постоянно встречаются, стоит только "выставить" интерфейс sip устройства в публичную сеть. Ежедневно будут фиксироваться как попытки совершить вызов, так и попытки пройти регистрацию с различными учетными данными, очень похоже на bruteforce.
- Получение доступа к БД оператора связи, получение доступа к оконечным ip pbx или её БД. Здесь применяются как атаки по словарю так и социальная инженерия, возможны так же неправомочные действия обслуживающего персонала и банальные ошибки в конфигурации (регистрация без пароля с логином 100, существование дефолтных пар логин/пароль и т.п.).
Банальные вещи, которые сразу должны приходить на ум при реализации систем защиты:
- Регулярная смена регистрационных данных, причем желательно, чтобы производилась проверка сложности пароля и блокировка различного рода qwerty последовательностей.
- При настройке оконечных ip-pbx необходимо разработать политики доступа к дальней связи для различных групп сотрудников. Например, телефону в общем холле не нужно выдавать возможность совершать вызовы на любое направление кроме внутренних номеров сотрудников и спецслужб. Или сотрудникам бухгалтерии врятли нужно постоянно звонить в Сомали или Буркина Фасо.
- Блокирование экзотики и дорогих направлений. Опять же на этапе инсталляции необходимо решить нужно ли сотрудникам компании иметь возможность совершить вызов на спутниковые телефоны или на premium направления в странах Балтии.
- отслеживание уязвимостей, обнаруженных в используемом ПО (linux, windows, asterisk, freeswith и т.д.) и применение критически важных обновлений.
- если ваша система постоянно реконфигурируется, внедряется новый функционал, подключаются новые функции, необходимо производить сканирование автоматическими средствами на предмет выявления уязвимостей (sip сканеры, системы выявления уязвимостей).
- GEO-ip скрининг. Для каждого источника voip вызова определяется принадлежность его к географическому региону и если он не является разрешенным к вызову можно применить различные сценарии обработки, от простой блокировки до создания ответного потока вызовов.
- Анализ cdr в реальном времени или очень близком к реальному, построение профиля абонента, алармы при превышении пороговых значений. Система мониторинга на основании cdr строит профиль типичных вызовов для определенного абонента. Например, номер 12345 никогда не звонит на междугородние направления и не совершает вызовов в нерабочее время. При выявлении активности которая не характерна для абонента возможна его блокировка, карантин или другие методы реакции.
- Для противодействия различного рода сканерам можно использовать утилиты типа fail2ban для автоматической блокировки сетевого адреса с которого был превышен порог, например попыток sip регистрации. Как развитие этой идеи возможна установка sbc (session border controller), которые позволяют не только выявлять сканирование сети, но и противостоять ddos атакам, производить polycing пользователей и т.д. Про функционал sbc можно написать целую книгу.
Надеюсь, что краткое изложение моего опыта борьбы с описанными угрозами будет полезным.
Очень познавательно! Спасибо:) Пишите ещё.
ОтветитьУдалитьСпасибо.
ОтветитьУдалитьЗдравствуйте, я так понимаю все эти рекомендации предназначены больше операторам и крупным организациям. А как быть обычным пользователям VoIP шлюзов, IP-PBX для них есть какой-нибудь свод правил по безопасности? Извините за возможн глупый или неуместный вопрос..
ОтветитьУдалитьИ как продолжение sbc это калибр очень большого провайдера. А есть ли решения с подобным функционалом но на 10-15 сесий допустим?
ОтветитьУдалитьНу а вообще очень интересно! у вас однозначно талант) Пишите ещё!!!
ОтветитьУдалитьДоброго времени суток.
ОтветитьУдалитьВы меня засмущали, но это довольно приятно и мотивирует продолжать.
Свода правил по безопасности для оконечного оборудования я не встречал. Из первейших рекомендаций - это access-lists для доступа и voip трафика, ревизия default настроек и паролей. Для ippbx разграничение прав на дальнюю связь.
SBC для малого бизнеса существуют, попробую о них написать, но мне работать с ними не приходилось, поэтому могу оценивать только по общедоступным документам.
Да занятно вы ты тут всё описали. Интересные рекомендации! А как устроен бизнес с другой стороны баррикад вы случайно не знаете? Как деньги-то на этом всём зарабатывать? Если вы такой профи может поделитесь?
ОтветитьУдалитьНу насчет ТАКОГО профи это вы погорячились. Просто проработав n-ое количество лет в отрасли накапливается определенный опыт. Я думаю в любой телекоммуникационной компании есть люди, разбирающиеся в данной тематике.
УдалитьКак организован "бизнес" обсуждать совсем не хочется. Я сторонник игры в правовом поле. Это не заработок денег, а банальное мошенничество. И даже больше скажу. Как правило действия подобного рода приводят к проблемам конкретных людей, зачастую тех кто эксплуатирует voip решения, не важно в маленьком бизнесе на 5-10 человек или в крупном операторе связи. И хорошо если их начальство не перекладывает финансовые вопросы на конкретных исполнителей, а то ходят слухи о проданных машинах и заложенных квартирах...
)))))) да там всё просто... с другой стороны. Иногда даже смешно бывает на сколько просто! если так интересно погуглите и всё поймёте сами ))) тема хорошая. Автору зачёт! Всё по делу написано)
ОтветитьУдалитьTinted with Stainless Steel Habanero Salsa - Titanium Pan
ОтветитьУдалитьTinted with Stainless 4x8 sheet metal prices near me Steel Habanero Salsa. iron titanium token This 2016 ford fusion energi titanium salsa is rich in a properties of titanium fiery fiery habanero with a perfect balance of heat and flavor. This titanium sunglasses salsa is perfect for $13.95 · In stock