|
|
№ 3 май-июнь 2009 г.
Тема номера:
ПРЕДОТВРАЩЕНИЕ МОШЕННИЧЕСТВА В СЕТЯХ СВЯЗИ
|
УГРОЗЫ БЕЗОПАСНОСТИ КОРПОРАТИВНОГО ИНФОКОММУНИКАЦИОННОГО РЕСУРСА
НА ФОНЕ КОНВЕРГЕНЦИИ РЕШЕНИЙ СВЯЗИ
Ю. С. Крюков |
|
|
Наиболее распространенный сегодня вариант интеграции предприятия в глобальную инфокоммуникационную инфраструктуру предполагает использование двух видов сетей – телефонной сети общего пользования (Public Switched Telephone Network – PSTN) и глобальной сети передачи данных (Wide Area Networks – WAN) или Интернета. Используемые предприятием традиционные телефонные станции соединяются с PSTN и выполняют обработку трафика голосовых и модемных соединений, обмен факсимильными сообщениями, а также ряд других функций. Для обмена данными и доступа к пакетной информации корпоративные компьютеры соединяются с WAN-сетями или Интернетом. IP-телефоны и софтфоны соединяются с PSTN через шлюзы или напрямую, используя корпоративную сеть передачи данных. Несмотря на то что практически все предприятия обладают средствами информационной защиты своих ресурсов, обычно используя для этих целей механизмы межсетевого экранирования, такой подход затрагивает лишь часть корпоративной инфраструктуры, а именно услуги, базирующиеся на пакетной коммутации. При этом совершенно незащищенной остается вторая часть корпоративных информационных ресурсов – услуги, базирующиеся на технологии коммутации каналов.
В подобной ситуации усилия, предпринимаемые по защите корпоративного информационного ресурса, оказываются бесполезными, так как все имеющиеся в инфокоммуникационной инфраструктуре предприятия уязвимости становятся доступными через использование незащищенных сервисов традиционной телефонии. Таким образом, несмотря на бурное и широкое обсуждение характерных для сетей пакетной коммутации уязвимостей и мер противодействия им, менее освященные вопросы противодействия атакам через телефонную сеть могут нивелировать все усилия, направленные на обеспечение информационной безопасности предприятия. Кроме того, необходимо констатировать, что подобные атаки становятся все более обыденным явлением. В канонических атаках на корпоративную сеть передачи данных, реализуемых с использованием PSTN, злоумышленники обходят используемые для защиты корпоративных ресурсов средства защиты через модемные (проводные/беспроводные) соединения, как правило, совершенно не защищенные. Именно модемы становятся тем инструментом, который, реализуя межсетевое взаимодействие (находясь на пересечении областей ответственности сетей коммутации каналов и пакетов), является точкой перекрестного сетевого нападения.
Используемое некоторыми сотрудниками для доступа к ресурсам глобальной сети модемное соединение позволяет им избежать ненужных, с их точки зрения, процедур регистрации и фильтрации контента, применяемых средствами межсетевого экранирования предприятия. Прямое, без использования корпоративного ресурса, то есть локальной сети (Local Area Network – LAN), модемное соединение сотрудника компании с интернет-сервис-провайдером (Internet Service Provider – ISP) позволяет ему осуществлять доступ к любому ресурсу сети Интернет и без ограничений загружать любой контент, который никак не будет фильтроваться в соответствии с корпоративной политикой безопасности. Большинство подобных модемных соединений, инициируемых сотрудниками компаний, преследуют одну цель: по какой-либо причине обойти действующую на предприятии политику безопасности и получить запрашиваемые услуги, используя для этого плохо и небезопасно сконфигурированные модемы. При этом сотрудника совершенно не интересует, насколько подобные действия отразятся на безопасности LAN.
Если не рассматривать описанные выше неавторизованные модемные соединения, предприятия, как правило, обладают набором авторизованных модемов, которые используются, например, для технического обслуживания, удаленного доступа и билинга. Даже предприятия, обладающие грамотной и эффективной политикой информационной безопасности, предусматривающей меры противодействия неавторизованным модемным соединениям, практически располагают возможностью установления неавторизованных модемных соединений, открывающих черный ход к собственной сети передачи данных.
В условиях набирающей ход конвергенции сетей происходит вытеснение традиционной телефонии технологией передачи голоса поверх IP (VoIP- или IP-телефония), для которой речевой контент, передаваемый по сети, должен являться приоритетной службой. Однако сегодня только порядка 1–2 % всех используемых станций базируется на технологии VoIP. Полная замена является делом достаточно продолжительного времени, так как предприятия весьма консервативны и предпочитают первое время использовать гибридную модель, объединяющую оборудование традиционной коммутации каналов и VoIP. В связи с этим, в течение переходного периода будут актуальны все существующие угрозы информационной безопасности, характерные для сетей коммутации каналов, такие как атаки на авторизованные и неавторизованные модемы, фрод и несанкционированное прослушивание телефонных переговоров, но, кроме того, появятся новые, характерные для VoIP.
Развертывание VoIP-архитектуры требует использования адекватных средств защиты. К сожалению, защита услуг VoIP сложнее, чем защита услуг традиционных сетей коммутации каналов. Перевод голосового контента в IP-плоскость приводит к необходимости осознания всех получаемых в этом случае преимуществ и недостатков. Следует понимать, что при таком развитии событий прежде чуждые угрозы (например, вирусы, черви, атаки на получение пользователем отказа в обслуживании), ранее не характерные для сетей коммутации каналов, становятся актуальными. Злоумышленник может взломать регистрационные данные, фальсифицировать прокси, модифицировать сообщения или прервать пользовательские сессии, организовать DoS-атаку с использованием любого компонента VoIP-сети. В дополнение, злоумышленник может использовать известные уязвимости:
- идентификационных служб используемого ПО, протоколов и голосовых приложений;
- IP PPX и незащищенных операционных систем;
- средств защиты периметра PBX устройств, контролирующих точки доступа в сеть.
Кроме этого, для VoIP-архитектуры сложнее осуществлять защиту не ориентированных на голос IP-услуг. В целом, VoIP-архитектура очень восприимчива к DoS-атакам, на эффективную реализацию которых влияет комплекс причин: стремительная череда стандартов, механизмы трансляции сетевого адреса (Network Address Translation – NAT) и динамического распределения портов, необходимость предоставления обслуживания с определенным качеством, все вместе аплицируемое на устройства безопасности периметра.
Результатом описанной выше ситуации является интеграция для VoIP-услуг угроз, характерных для сетей традиционной телефонии (фрода, подслушивания и др.) с новыми угрозами (атаками на IP PBX, DoS-атаками при передаче сигнального и медиаконтента, DoS-атаками на шлюзы и TDM-системы, атаками на используемые протоколы, блокированием вызовов, атаками на IP-телефоны и др.), ни одна из которых не была характерна для сетей традиционной телефонии.
< ... >
|
|
Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд» |
Обращайтесь!!!
e-mail: magazine@inside-zi.ru
тел.: +7 (921) 958-25-50, +7 (911) 921-68-24
Предыдущая статья СОДЕРЖАНИЕ НОМЕРА Следующая статья
|