Vo IP lahenduse turvamine kaugjuurdepsu vahenditega Michailas Ornovskis

Vo. IP lahenduse turvamine kaugjuurdepääsu vahenditega Michailas Ornovskis www. stallion. ee

Ettekanne struktuur • Vo. IP lahenduste liigid võrgude järgi • Vo. IP lahenduste ründamise viisid • Vo. IP lahendused ja kaugjuurdepääs • Mida annab juurde kaugjuurdepääsu kasutamine • Lahenduse arendamise võimalused Asterisk näitel www. stallion. ee

Vo. IP lahenduste liigid võrgude järgi • Lahendused siseseks kasutamiseks juurdepääsuga sisevõrgust • Lahendused väliseks kasutamiseks teenusena • Kombineeritud lahendused, kaugjuurdepääsu kasutamine www. stallion. ee

Lahendused siseseks kasutamiseks • Eraldatud numbrivahemik • Väljund PSTN võrku kas otse või teenuse pakkuja poolt • Mõeldud ettevõtesiseseks kasutamiseks ja/või helistamiseks väljaspoole võrku, kõnede vastuvõtmiseks (Call Center) www. stallion. ee

Lahendused väliseks kasutamiseks teenusena ISP vaade, teenus mõeldud lõppkasutajatele www. stallion. ee

Kombineeritud lahendused, kaugjuurdepääsu kasutamine www. stallion. ee

Vo. IP lahenduste ründamise viisid • SIP registratsiooni tüssamine (võrguaadressi võltsimine) • Sessiooni pealtkuulamine (Session Eavesdropping) • ARP tüssamine (ARP spoofing) • Do. S (Denial of Service – teenuse tõkestamise rünne) www. stallion. ee

SIP registratsiooni tüssamine www. stallion. ee

SIP registratsiooni tüssamine www. stallion. ee

Sessiooni pealtkuulamine • MITM korral kui infoedastus on krüpteerimata kujul, ründajal on võimalus pakettide kinnipüüdmiseks/taasesitluseks/võltsimiseks www. stallion. ee

ARP tüssamine • ARP tüssamise korral võltsitakse MAC aadressid ja kogu liiklus käib läbi ründaja seadme www. stallion. ee

Do. S – teenuse tõkestamise rünne • Do. S rünnaku korral tulemuseks on süsteemi ülekoormus ja/või süsteemi kaitsemehhanismide käivitamine, mille tulemuseks on kasutatava ressurssi korral (sh ka Vo. IP) ligipääs sellele kinni. www. stallion. ee

Vo. IP lahendused ja kaugjuurdepääs • Kaugjuurdepääsu kasutus Vo. IP lahenduste juures www. stallion. ee

Mida annab juurde kaugjuurdepääsu kasutamine • Saab eristada kahe krüpteerimise meetodi kõne jaoks välisvõrgus • Üks neist on nn meediavoo krüpteerimine, mille puhul krüpteeritud kõne edastatakse läbi hariliku võrgu • Teine on kanalipõhine krüpteerimine, ehk siis võrguvahendite kasutamine kõne kaitseks • Kaugjuurdepääs tagab kõne privaatsust välisvõrgus ja lisaks lahendab teisi Vo. IP’ga seotud probleeme www. stallion. ee

Mida annab juurde kaugjuurdepääsu kasutamine Kasutajate autoriseerimine • Kasutajate jaoks üldiselt toimub autoriseerimine kahes etapis • Kõigepealt kasutajat autoriseeritakse vastu tulemüüri (LDAP, AD, Novell, lokaalne baas jm) • Teiseks, kasutajat autoriseeritakse vastu Vo. IP serverit (nt SIP korral) • Autoriseerimine kahe sammuga suurendab turvalisust www. stallion. ee

Mida annab juurde kaugjuurdepääsu kasutamine NAT traversal probleemi lahendamine • NAT traversal probleem võib näiteks tekkida siis, kui kasutajal on ISP poolt määratud dünaamiline IP aadress • On võimalik anda kasutajale sisevõrgu IP aadress ning kogu Vo. IP liiklus saadetakse sellele aadressile • Kuna kasutaja ja tulemüüri vahel on tekitatud tunnel, siis liiklus garanteeritult jõuab kasutaja seadmesse www. stallion. ee

Mida annab juurde kaugjuurdepääsu kasutamine Kasutajate mobiilsus • Kasutajad saavad VPN kliendiga ligi ka näiteks välismaalt • Juhul kui operaatori poolt on IPSec liiklus keelatud, on võimalus kapseldada liiklust UDP paketidesse ja/või kasutada SSL ühendust www. stallion. ee

Mida annab juurde kaugjuurdepääsu kasutamine Kõnede privaatsus • Loodud VPN tunnelis liiklus on kaitstud erinevate turvameetmetega, sh ka läbi kanali krüpteerimise erinevate algoritmidega • Seanssidesse sekkumine ja nende pealtkuulamine on praktiliselt välistatud nii välise ründaja kui ka teenuse pakkuja jaoks • Kõnede pealtkuulamine/lahtikrüpteerimine on praktikas välistatud ka julgeoleku asutuste jaoks www. stallion. ee

Mida annab juurde kaugjuurdepääsu kasutamine Seadmete valik • Tulemüür, Vo. IP server ja ka Vo. IP klientide valik on vaba, tuleb jälgida kokkusobivust VPN kliendi ja tulemüüri vahel (oleneb kasutaja platvormist) • Mõned tulemüürid oskavat hallata Vo. IP liiklust, prioriteseerida seda, vähendada latentsust, jälgida portide muutust sessiooni jooksul ja vastavalt sellele reageerida • Meediavoo krüpteerimise osas (näiteks protokolli ZRTP puhul) Vo. IP klientide valik on kitsas ja valida saab paarist kliendist PC jaoks www. stallion. ee

Mida annab juurde kaugjuurdepääsu kasutamine Kaitse nimetatud rünnakute vastu • ARP tüssamine, SIP registratsiooni võltsimine ja ka sessiooni pealtkuulamine on välistatud, kuna kogu liiklus kliendi ja tulemüüri vahel on krüpteeritud • Do. S rünnakute vastu Vo. IP serverid reeglina kaitstud ei ole, serveri vastupidavus on ainult aja ja jõudluse küsimus • Kuna kaugjuurdepääsu lahenduses on kasutusel nn “Behind the Firewall” printsiip, siis Do. S rünnakutega tegeleb tulemüür • Paljud tulemüürid on hästi kaitstud Do. S rünnakute vastu – kasutusel on “blacklistid”, “puzzle” tehnoloogia jne www. stallion. ee

Mida annab juurde kaugjuurdepääsu kasutamine Lahenduse majanduslik külg • Investeering toimub seadmetesse ja litsentsidesse • Wi. MAX, Wi. Fi ja muudes tasuta levialades on Vo. IP vahelised kõned tasuta. Kõnesid välismaalt PSTN/GSM võrkudesse maksustatakse kodumaa tariifide järgi (tuleb mainida, et neid ei krüpteerita) • Traadita interneti tariifide korral (mobiilseadmed) makstakse püsitasu • Mõnede operaatorite juures traffiku limiidi ületamisel on lubatud tasuta kasutamine teatud edastuskiirusega • Kuna koodek on kasutajal valida, siis saab kiiruse nõue vähendada ka <10 Kbit/s www. stallion. ee

Lahenduse arendamise võimalused Asterisk näitel Asterisk Vo. IP serveri funktsionaalsus • SIP, IAX 2 sisseehitatud toetus – toetatud ATA adapterid, Vo. IP telefonid, Vo. IP tarkvaralised telefonid, PSTN telefonid jne • Kõnepost, automaatvastaja, teenus “Leia Mind”, kõnede suunamised jm kuni telefoni mängudeni • Asterisk on GPL litsentsiga ja omab tasuta versioone • Asterisk on Linux’i baasil tehtud ja riistvara valik oleneb süsteemi piirangutest ja soovitud jõudlusest • Asterisk tehnoloogia Vo. IP serveritesse saab panna Zapata ISDN kaarte, mis annab väljundi PSTN võrku otse • Asterisk serverit saab siduda Vo. IP telefoni numbritega, milliseid väljastab telefoni/interneti teenuse pakkuja www. stallion. ee

Lahenduse arendamise võimalused Asterisk näitel Asterisk Vo. IP serveri arendamise võimalused • Lisamoodulite kasutamine – Asterisk serverite puhul lisanduvad teenused, sellised nagu kõnepost jm • Site – to – Site VPN tunnelid lubavad Vo. IP serveri kasutust ka ettevõte partneritele või filiaalidele • Vo. IP servereid saab omavahel ühendada, kasutades näiteks IAX 2 protokolli. Sellisel juhul näiteks iga ettevõte/filiaali jaoks võib luua oma numbriplaani – 1 XX, 2 XX jne • Vo. IP serverite ühendamine üle VPN tunneli tagab ka võrkudevaheliste ühenduste privaatsust www. stallion. ee

Lahenduse arendamise võimalused Asterisk näitel www. stallion. ee

Vo. IP lahenduse turvamine kaugjuurdepääsu vahenditega Tänan. Küsimused? www. stallion. ee

Tänan! Michailas Ornovskis michailas@stallion. ee www. stallion. ee 1