2009. október 1., csütörtök

VoIP biztonság 1. - Bevezetés

A VoIP az, ami kihozta a switcheket az alagsorból. Alapvetően arról van ugye szó, hogy az adatátviteli hálózatba valamilyen módon hangot eresztünk, a túlvégen pedig hanggá alakítva a hálózati forgalmat gyakorlatilag feltaláltuk a madzaggal összekötött konzervdobozok új generációját.

A VoIP melletti érvként szokták azt felhozni, hogy költséget lehet csökkenteni a bevezetésével - válság sújtotta időkben ez komoly érv. A másik oldalról kevesebb szó esik: a VoIP bevezetésével jóval komolyabb hálózati infrastruktúrára, képzettebb üzemeltetőkre van szükség, ami nagy hálózatok esetében már nem kis költséget eredményez.

A VoIP a biztonságot illetően rengeteg hendikeppel indul. Első körben ott van kapásból az, hogy az IP-t nem "Vo"-ra találták ki: a TCP/IP protokollstack kialakításakor nem volt szempont a valósidejű kommunikáció igénye, ami létfontosságú a VoIP használatakor. Erre a problémára hálózati eszközök révén próbálnak megoldást adni a gyártók: visszás helyzet az, hogy egy "converged network"-ön (amelynek a nevéből fakadóan együtt kéne vinnie a hangot a többi adattal) mindenféle Layer2-es és Layer3-as technikákkal próbálják mégis elkülöníteni a kétféle forgalmat, ugyanis a valósidejű kommunikáció szempontjából egy-két elvesztett csomag nem probléma, viszont a késleltetést nem viseli el az üzemszerű használat - pont ellentétben a hagyományos adatforgalommal.

Másrészt a VoIP ott is vérzik, hogy számtalan jelzés- és hangátviteli protokoll használható hangtovábbításra, viszont ezek egy része jogilag zárt (pl. a Skype forgalma).

Harmadrészt ott akkor is problémába ütközünk, amikor "hagyományos" hálózatiforgalom-szabályozó eszközökön próbáljuk keresztülvinni a hangforgalmat: mindkét elterjedt protokoll külön csatornát használ a jelzések átvitelére, mint a hangéra, és ezen forgalom sok esetben kevéssé rögzített TCP portok között zajlik, emiatt nehezen tűzfalazható. A NAT-olás meg végképp megöli a dolog biztonságát, ugyanis a H.323 és a SIP nem, vagy csak nagyon nehezen titkosítható NAT esetén.

Összegezve azt mondhatjuk, hogy a VoIP - mivel IP fölött zajlik - ötvözi a hagyományos TCP/IP protokollstack sebezhetőségeit újabbakkal. A klasszikus ARP poisoning, floodolás, ICMP-üzenetinjektálás, sniffelés satöbbi remekül működik a legtöbb VoIP hálózatban, cserébe a SIP önmagában is hoz újabb támadási vektorokat a képbe.

A sorozat további részeiben sorra vesszük a VoIP sebezhetőségeit.

Nincsenek megjegyzések:

Megjegyzés küldése

Kommentek