Аудит безопасности трафика в системе IP-телефонии | Статья в журнале «Молодой ученый»

Отправьте статью сегодня! Журнал выйдет 1 июня, печатный экземпляр отправим 5 июня.

Опубликовать статью в журнале

Автор:

Рубрика: Информационные технологии

Опубликовано в Молодой учёный №15 (253) апрель 2019 г.

Дата публикации: 10.04.2019

Статья просмотрена: 6 раз

Библиографическое описание:

Шабан А. И. Аудит безопасности трафика в системе IP-телефонии // Молодой ученый. — 2019. — №15. — С. 24-27. — URL https://moluch.ru/archive/253/57987/ (дата обращения: 20.05.2019).



В данной работе были рассмотрены возможные виды атак при использовании протокола установления связи в системе IP-телефонии. Также рассмотрены методы для повышения безопасности в системе IP-телефонии и предотвращения рассмотренных видов атак.

Ключевые слова: безопасность, SIP, RTP, IP-телефония, TLS.

В IP-телефонии для установления связи между клиентами используется протокол SIP. Структура и синтаксис сообщений похож на те что используется в HTTP, что представляет собой набор текстовых строк, заголовки и тело сообщения разделены пустой строкой [1, с. 75].

Протоколы SIP и RTP, используемы для передачи медиа данных, были разработаны без учета необходимости защищать передаваемую информацию, в следствии чего возможны следующие виды атак:

  1. Фрод звонков — атакующий проникает в систему IP-телефонии и имеет возможность совершать звонки, украсть пароли и имена пользователей [2].
  2. Вирусы — вирус, попавший в сеть IP-телефонии может начать рассылать спам ее абонентам. Т. к. клиенты для IP-телефонии могут быть реализованы в виде программ, то данному виду атаки подвержен не только клиент, но и операционная система, в следствии чего могут быть украдены данные.
  3. Нарушение звонков — атакующий рассылает пакеты клиентам звонка, что приводит к ухудшению качества, задержкам и даже прекращению звонка.
  4. DoS — данная атака нарушает доступность сервиса, также не позволяет авторизованным пользователям использовать сервис. Данная атака может осуществляться за счет отправки большого количества сообщений “Invite” и “Registrer”, что нарушает работу компонентов SIP.
  5. Подслушивание — атакующий прослушивает весь трафик в IP-телефонии.
  6. Подбор паролей
  7. Man-In-The-Middle — атакующий проникает в звонок между пользователями, и может не только прослушивать, но и изменять сообщения между клиентами.

Для защиты передаваемы данных, может быть использован протокол TLS — протокол защиты транспортного уровня. Данный протокол использует асимметричное шифрования для аутентификации, симметричное шифрование для конфиденциальности и коды аутентичности сообщений для сохранения целостности сообщений.

Также для защиты данных может быть использован IPsec — набор протоколов для обеспечения защиты данных, передаваемых по протоколу IP, обеспечивающих аутентификацию, проверку целостности и/или шифрование IP-пакетов [3].

При сравнении протоколов TLS и IPsec можно отметить, что TLS имеет следующие преимущества:

  1. Отсутствие постоянного соединения между сервером и клиентом.
  2. Реализуется на уровне представления

Недостатки:

  1. Не может быть использован с протоколом UDP
  2. Требуется отслеживать состояние соединения

Однако протокол IPsec реализуется на сетевом уровне и позволяет шифровать данные, но при этом сложен в реализации, предъявляет дополнительные требования к оборудованию сети.

Для улучшения защиты может быть использован VPN. В случае невозможности использования VPN, необходимо использовать VLAN. Данные решения создают виртуальную сеть, что позволяет передавать данные в ненадежных сетях [4].

Шифрование это один из ключевых механизмов, не позволяющего атакующему получить ценную информацию из перехваченных сообщений.

На данный момент аутентификация происходит в два этапа, что не является надежным методом. CHAP — протокол аутентификации с косвенным согласованием. Является алгоритмом проверки подлинности и предусматривает передачу не самого пароля пользователя, а косвенных сведений о нём. Аутентификация узла выполняется путём трехэтапной процедуры согласования.

Преимущества CHAP:

  1. Значение идентификатора и переменного значения открытого ключа возрастают, что предотвращает атаки повторного воспроизведения.
  2. Метод проверки подлинности основан на том, что аутентификатору и узлу известен секрет, который никогда не посылается по каналу

Анализ трафика может быть осуществлен при помощи DIP, что позволяет анализировать содержимое передаваемых пакетов и блокировать вирусы.

Для передачи медиа данных необходимо использовать SRTP, который предназначен для шифрования, установления подлинности сообщения, целостности данных.

Для шифрования данных, SRTP использует алгоритм AES, который может использоваться в двух режимах:

  1. Сегментированный целочисленный счётчик — режим, который осуществляет произвольный доступ к любым блокам, что является существенным для трафика RTP, передающегося в публичных сетях с непредсказуемым уровнем надежности и возможной потерей пакетов. AES, работающий в этом режиме, является алгоритмом шифрования по умолчанию, с длиной шифровального ключа по умолчанию в 128 бит и ключом сессии длиной в 112 бит.
  2. f8-режим — вариант режима способа обратной связи, расширенного, чтобы быть доступным с изменённой функцией инициализации. Значения по умолчанию для шифровального ключа и ключа сессии — то же, что и в AES в режиме

Рассмотрев приведенные методы защиты, нужно отметить, что для обеспечения безопасного соединения, необходимо использовать TLS, т. к. данный протокол реализуется на транспортном уровне и не требует поддержки данного протокола на промежуточных устройствах, в отличаи IPSec.

Так как TLS не обеспечивает защиту сообщений в случае их перехвата, то необходимо воспользоваться шифрованием данных. В данном случае лучшим выбором будет использование VPN который позволяет шифровать данные, так как в этом случае нет необходимости реализовывать шифрование на клиентах и повышает совместимость, отсутствует риск ошибок в реализации шифрования, VPN может быть обновлен для использования более современных методов шифрования без необходимости обновления кода клиента.

Так же необходимо использовать аутентификацию CHAP. Для передачи медиа информации должен использоваться протокол SRTP.

Литература:

  1. Internet Multimedia Communications Using SIP/ Rogelio Martínez Perea — Burlington: Morgan Kaufmann Publishers, 2008. — 75p.
  2. http://www.centurylinkbrightideas.com/how-to-address-voip-security-challenges
  3. https://www.researchgate.net/publication/235601569_SIP_Server_Security_with_TLS_Relative_Performance_Evaluation
  4. https://searchunifiedcommunications.techtarget.com/feature/SIP-network-security-measures
Основные термины (генерируются автоматически): TLS, SIP, VPN, SRTP, RTP, CHAP, AES, система IP-телефонии, протокол, транспортный уровень.


Похожие статьи

Сети NGN. Текущее состояние и перспективные пути оптимизации...

высокий уровень масштабируемости

простоту монтажа, настройки и дальнейшего обслуживания сети

Далее маршрутизатор соединяется с sip прокси сервером, который в свою очередь...

Установление разговорного тракта в IP-телефонии

Под IP-телефонией будем понимать технологию, позволяющую использовать любую сеть с пакетной коммутацией на базе протокола IP в качестве средства

Интернет- телефония: протокол SIP и его применения.

IP-доминанта систем корпоративной телефонии.

Показатели угроз безопасности на уровнях модели OSI

Система обнаружения вторжений — распространенный сервис безопасности.

Протоколы физического уровня описывают электрические, механические, функциональные и

Транспортный уровень определяет сервисы для сегментации, передачи и сборки данных для...

IPSec VPN redundancy in dual – WAN deployments using dynamic...

Considering IPSec VPN different topologies there is often a need for reliability in communication between peers. Physical link redundancy is the minimal requirement which should be met in order to fulfill service level agreements.

Анализ системы мультиплексирования данных в распределенных...

Канальный уровень (второй уровень). К канальному уровню принадлежат следующие протоколы

Протокол SSL/TLS создан на основе технологии комплексного использования асимметричных и

Наиболее очевидный вариант реализации системы в сети IP- на...

The SIP Protocol Analysis in Foreign Scientist’s Researches

In given article the analysis of research works results on studying and application of the Session Initiation Protocol (SIP) is provided in works of foreign researchers. Key words:protocol, buffer overflow, configuration, SIP server, principle. Initially we need to make an overview of researched area.

Особенности MPLS для управления трафиком в IP-сетях

На сегодняшний день темпы развития отрасли телекоммуникаций являются одними из самых стремительных. Наряду со снижением темпов роста клиентской базы операторов связи, наблюдается рост трафика за счет внедрения новых технологий и увеличения доли услуг на...

Способ оценки зависимости качества связи в системах...

На сегодняшний день системы IP - телефонии активно развиваются в России. По результатам исследования рынка корпоративной IP-телефонии в

Однако, если получатель знает о скрытой связи (именно ему адресована стеганограмма), то вместо удаления полученных RTP-пакетов...

Применение современных алгоритмов шифрования при...

Целью данной статьи является описание работы основных протоколов шифрования беспроводных сетей с учетом их достоинств и недостатков. Также приведены ключевые рекомендации по комплексной защите беспроводных соединений.

Похожие статьи

Сети NGN. Текущее состояние и перспективные пути оптимизации...

высокий уровень масштабируемости

простоту монтажа, настройки и дальнейшего обслуживания сети

Далее маршрутизатор соединяется с sip прокси сервером, который в свою очередь...

Установление разговорного тракта в IP-телефонии

Под IP-телефонией будем понимать технологию, позволяющую использовать любую сеть с пакетной коммутацией на базе протокола IP в качестве средства

Интернет- телефония: протокол SIP и его применения.

IP-доминанта систем корпоративной телефонии.

Показатели угроз безопасности на уровнях модели OSI

Система обнаружения вторжений — распространенный сервис безопасности.

Протоколы физического уровня описывают электрические, механические, функциональные и

Транспортный уровень определяет сервисы для сегментации, передачи и сборки данных для...

IPSec VPN redundancy in dual – WAN deployments using dynamic...

Considering IPSec VPN different topologies there is often a need for reliability in communication between peers. Physical link redundancy is the minimal requirement which should be met in order to fulfill service level agreements.

Анализ системы мультиплексирования данных в распределенных...

Канальный уровень (второй уровень). К канальному уровню принадлежат следующие протоколы

Протокол SSL/TLS создан на основе технологии комплексного использования асимметричных и

Наиболее очевидный вариант реализации системы в сети IP- на...

The SIP Protocol Analysis in Foreign Scientist’s Researches

In given article the analysis of research works results on studying and application of the Session Initiation Protocol (SIP) is provided in works of foreign researchers. Key words:protocol, buffer overflow, configuration, SIP server, principle. Initially we need to make an overview of researched area.

Особенности MPLS для управления трафиком в IP-сетях

На сегодняшний день темпы развития отрасли телекоммуникаций являются одними из самых стремительных. Наряду со снижением темпов роста клиентской базы операторов связи, наблюдается рост трафика за счет внедрения новых технологий и увеличения доли услуг на...

Способ оценки зависимости качества связи в системах...

На сегодняшний день системы IP - телефонии активно развиваются в России. По результатам исследования рынка корпоративной IP-телефонии в

Однако, если получатель знает о скрытой связи (именно ему адресована стеганограмма), то вместо удаления полученных RTP-пакетов...

Применение современных алгоритмов шифрования при...

Целью данной статьи является описание работы основных протоколов шифрования беспроводных сетей с учетом их достоинств и недостатков. Также приведены ключевые рекомендации по комплексной защите беспроводных соединений.

Задать вопрос