Аудит безопасности трафика в системе IP-телефонии | Статья в журнале «Молодой ученый»

Отправьте статью сегодня! Журнал выйдет 28 декабря, печатный экземпляр отправим 1 января.

Опубликовать статью в журнале

Автор:

Рубрика: Информационные технологии

Опубликовано в Молодой учёный №15 (253) апрель 2019 г.

Дата публикации: 10.04.2019

Статья просмотрена: 110 раз

Библиографическое описание:

Шабан, А. И. Аудит безопасности трафика в системе IP-телефонии / А. И. Шабан. — Текст : непосредственный // Молодой ученый. — 2019. — № 15 (253). — С. 24-27. — URL: https://moluch.ru/archive/253/57987/ (дата обращения: 19.12.2024).



В данной работе были рассмотрены возможные виды атак при использовании протокола установления связи в системе IP-телефонии. Также рассмотрены методы для повышения безопасности в системе IP-телефонии и предотвращения рассмотренных видов атак.

Ключевые слова: безопасность, SIP, RTP, IP-телефония, TLS.

В IP-телефонии для установления связи между клиентами используется протокол SIP. Структура и синтаксис сообщений похож на те что используется в HTTP, что представляет собой набор текстовых строк, заголовки и тело сообщения разделены пустой строкой [1, с. 75].

Протоколы SIP и RTP, используемы для передачи медиа данных, были разработаны без учета необходимости защищать передаваемую информацию, в следствии чего возможны следующие виды атак:

  1. Фрод звонков — атакующий проникает в систему IP-телефонии и имеет возможность совершать звонки, украсть пароли и имена пользователей [2].
  2. Вирусы — вирус, попавший в сеть IP-телефонии может начать рассылать спам ее абонентам. Т. к. клиенты для IP-телефонии могут быть реализованы в виде программ, то данному виду атаки подвержен не только клиент, но и операционная система, в следствии чего могут быть украдены данные.
  3. Нарушение звонков — атакующий рассылает пакеты клиентам звонка, что приводит к ухудшению качества, задержкам и даже прекращению звонка.
  4. DoS — данная атака нарушает доступность сервиса, также не позволяет авторизованным пользователям использовать сервис. Данная атака может осуществляться за счет отправки большого количества сообщений “Invite” и “Registrer”, что нарушает работу компонентов SIP.
  5. Подслушивание — атакующий прослушивает весь трафик в IP-телефонии.
  6. Подбор паролей
  7. Man-In-The-Middle — атакующий проникает в звонок между пользователями, и может не только прослушивать, но и изменять сообщения между клиентами.

Для защиты передаваемы данных, может быть использован протокол TLS — протокол защиты транспортного уровня. Данный протокол использует асимметричное шифрования для аутентификации, симметричное шифрование для конфиденциальности и коды аутентичности сообщений для сохранения целостности сообщений.

Также для защиты данных может быть использован IPsec — набор протоколов для обеспечения защиты данных, передаваемых по протоколу IP, обеспечивающих аутентификацию, проверку целостности и/или шифрование IP-пакетов [3].

При сравнении протоколов TLS и IPsec можно отметить, что TLS имеет следующие преимущества:

  1. Отсутствие постоянного соединения между сервером и клиентом.
  2. Реализуется на уровне представления

Недостатки:

  1. Не может быть использован с протоколом UDP
  2. Требуется отслеживать состояние соединения

Однако протокол IPsec реализуется на сетевом уровне и позволяет шифровать данные, но при этом сложен в реализации, предъявляет дополнительные требования к оборудованию сети.

Для улучшения защиты может быть использован VPN. В случае невозможности использования VPN, необходимо использовать VLAN. Данные решения создают виртуальную сеть, что позволяет передавать данные в ненадежных сетях [4].

Шифрование это один из ключевых механизмов, не позволяющего атакующему получить ценную информацию из перехваченных сообщений.

На данный момент аутентификация происходит в два этапа, что не является надежным методом. CHAP — протокол аутентификации с косвенным согласованием. Является алгоритмом проверки подлинности и предусматривает передачу не самого пароля пользователя, а косвенных сведений о нём. Аутентификация узла выполняется путём трехэтапной процедуры согласования.

Преимущества CHAP:

  1. Значение идентификатора и переменного значения открытого ключа возрастают, что предотвращает атаки повторного воспроизведения.
  2. Метод проверки подлинности основан на том, что аутентификатору и узлу известен секрет, который никогда не посылается по каналу

Анализ трафика может быть осуществлен при помощи DIP, что позволяет анализировать содержимое передаваемых пакетов и блокировать вирусы.

Для передачи медиа данных необходимо использовать SRTP, который предназначен для шифрования, установления подлинности сообщения, целостности данных.

Для шифрования данных, SRTP использует алгоритм AES, который может использоваться в двух режимах:

  1. Сегментированный целочисленный счётчик — режим, который осуществляет произвольный доступ к любым блокам, что является существенным для трафика RTP, передающегося в публичных сетях с непредсказуемым уровнем надежности и возможной потерей пакетов. AES, работающий в этом режиме, является алгоритмом шифрования по умолчанию, с длиной шифровального ключа по умолчанию в 128 бит и ключом сессии длиной в 112 бит.
  2. f8-режим — вариант режима способа обратной связи, расширенного, чтобы быть доступным с изменённой функцией инициализации. Значения по умолчанию для шифровального ключа и ключа сессии — то же, что и в AES в режиме

Рассмотрев приведенные методы защиты, нужно отметить, что для обеспечения безопасного соединения, необходимо использовать TLS, т. к. данный протокол реализуется на транспортном уровне и не требует поддержки данного протокола на промежуточных устройствах, в отличаи IPSec.

Так как TLS не обеспечивает защиту сообщений в случае их перехвата, то необходимо воспользоваться шифрованием данных. В данном случае лучшим выбором будет использование VPN который позволяет шифровать данные, так как в этом случае нет необходимости реализовывать шифрование на клиентах и повышает совместимость, отсутствует риск ошибок в реализации шифрования, VPN может быть обновлен для использования более современных методов шифрования без необходимости обновления кода клиента.

Так же необходимо использовать аутентификацию CHAP. Для передачи медиа информации должен использоваться протокол SRTP.

Литература:

  1. Internet Multimedia Communications Using SIP/ Rogelio Martínez Perea — Burlington: Morgan Kaufmann Publishers, 2008. — 75p.
  2. http://www.centurylinkbrightideas.com/how-to-address-voip-security-challenges
  3. https://www.researchgate.net/publication/235601569_SIP_Server_Security_with_TLS_Relative_Performance_Evaluation
  4. https://searchunifiedcommunications.techtarget.com/feature/SIP-network-security-measures
Основные термины (генерируются автоматически): TLS, SIP, VPN, AES, CHAP, RTP, SRTP, протокол, система IP-телефонии, транспортный уровень.


Похожие статьи

Алгоритмы балансировки в сети OSPF

В статье представлены результаты исследований алгоритмов адаптивного балансировки трафика в сети, которая функционирует по протоколу маршрутизации OSPF. Предложенные алгоритмы в оптимальный способ вычисляют коэффициенты стоимости канала с учетом и об...

Современные методы управления доходами предприятий индустрии гостеприимства

В данной статье рассматриваются проблемы, связанные с эффективным использованием управления доходами в индустрии гостеприимства. Также рассматривается возможность внедрения управления доходами в процесс деятельности компании путем применения конкретн...

Эффективность использования видеосистемы биометрической идентификации личности с целью контроля доступа

В данной статье рассматриваются преимущества видеосистемы биометрической идентификации личности перед другими системами контроля доступа на охраняемых объектах и оригинальность этой системы в структуре научно-технического прогресса.

Аспекты правового регулирования технологии борьбы с преступностью в интернете

В данной статье представлен обзор области законодательства, регулирующей защиту данных и кибербезопасности в России. Рассматривается важность соблюдения конфиденциальности данных, защиты от несанкционированного доступа и наказания за нарушения в этой...

Особенности процесса развертывания программного обеспечения в условиях интенсивной разработки

В статье описываются некоторые проблемные моменты, связанные с развертыванием программного обеспечения на крупных IT проектах, а также указаны некоторые рекомендации из числа лучших международных практик. Рассмотренные вопросы затрагивают проблемы IT...

Проблемы обеспечения информационной безопасности в открытых компьютерных системах

В статье исследуются проблемы обеспечения информационной безопасности в открытых компьютерных системах. Описываются причины, угрозы, наиболее часто встречающиеся дефекты защиты и уязвимости открытых компьютерных систем. Раскрывается сложность противо...

Обеспечение непрерывного контроля работы и оперативное устранение неполадок сетевых и серверных устройств

Данная статья предназначена для системных архитекторов, экспертов в области сетевых и серверных систем, сервисных аналитиков, которым необходимо контролировать нахождение сетевых устройств в сетевой инфраструктуре. В статье рассматривается вопрос неп...

Анализ методов оценки параметров канала передачи в системах с технологией OFDM-MIMO

В статье проведен анализ различных моделей каналов связи в системах доступа четвертого поколения. Изучены методы оценки каналов в системах связи с использованием технологии OFDM-MIMO. Представлено краткое описание данных технологий [1].

Реализация сервиса для проверки уровня безопасности построенного маршрута

В данной статье описывается создание web-сервиса для проверки уровня безопасности построенного маршрута. Метод анализа построенного маршрута для водителя и пешехода представлен на конференции «Технические науки: проблемы и перспективы» [1].

Метод выявления и разрешения конфликтов в образовательной организации

В статье рассматривается медиация как эффективный метод выявления и разрешения конфликтов в образовательной организации и выделяются этапы работы для службы школьной медиации, также рассматриваются проблемы, с которыми сталкивается современная образо...

Похожие статьи

Алгоритмы балансировки в сети OSPF

В статье представлены результаты исследований алгоритмов адаптивного балансировки трафика в сети, которая функционирует по протоколу маршрутизации OSPF. Предложенные алгоритмы в оптимальный способ вычисляют коэффициенты стоимости канала с учетом и об...

Современные методы управления доходами предприятий индустрии гостеприимства

В данной статье рассматриваются проблемы, связанные с эффективным использованием управления доходами в индустрии гостеприимства. Также рассматривается возможность внедрения управления доходами в процесс деятельности компании путем применения конкретн...

Эффективность использования видеосистемы биометрической идентификации личности с целью контроля доступа

В данной статье рассматриваются преимущества видеосистемы биометрической идентификации личности перед другими системами контроля доступа на охраняемых объектах и оригинальность этой системы в структуре научно-технического прогресса.

Аспекты правового регулирования технологии борьбы с преступностью в интернете

В данной статье представлен обзор области законодательства, регулирующей защиту данных и кибербезопасности в России. Рассматривается важность соблюдения конфиденциальности данных, защиты от несанкционированного доступа и наказания за нарушения в этой...

Особенности процесса развертывания программного обеспечения в условиях интенсивной разработки

В статье описываются некоторые проблемные моменты, связанные с развертыванием программного обеспечения на крупных IT проектах, а также указаны некоторые рекомендации из числа лучших международных практик. Рассмотренные вопросы затрагивают проблемы IT...

Проблемы обеспечения информационной безопасности в открытых компьютерных системах

В статье исследуются проблемы обеспечения информационной безопасности в открытых компьютерных системах. Описываются причины, угрозы, наиболее часто встречающиеся дефекты защиты и уязвимости открытых компьютерных систем. Раскрывается сложность противо...

Обеспечение непрерывного контроля работы и оперативное устранение неполадок сетевых и серверных устройств

Данная статья предназначена для системных архитекторов, экспертов в области сетевых и серверных систем, сервисных аналитиков, которым необходимо контролировать нахождение сетевых устройств в сетевой инфраструктуре. В статье рассматривается вопрос неп...

Анализ методов оценки параметров канала передачи в системах с технологией OFDM-MIMO

В статье проведен анализ различных моделей каналов связи в системах доступа четвертого поколения. Изучены методы оценки каналов в системах связи с использованием технологии OFDM-MIMO. Представлено краткое описание данных технологий [1].

Реализация сервиса для проверки уровня безопасности построенного маршрута

В данной статье описывается создание web-сервиса для проверки уровня безопасности построенного маршрута. Метод анализа построенного маршрута для водителя и пешехода представлен на конференции «Технические науки: проблемы и перспективы» [1].

Метод выявления и разрешения конфликтов в образовательной организации

В статье рассматривается медиация как эффективный метод выявления и разрешения конфликтов в образовательной организации и выделяются этапы работы для службы школьной медиации, также рассматриваются проблемы, с которыми сталкивается современная образо...

Задать вопрос