גיא בן עמי, Entrypoint
עולם הטלפוניה חשוף לאיומים שונים כאשר המרכזיים שבהם הם השבתת והפרעת שירות, גניבת שיחות והאזנה לשיחות. כיצד ניתן באמת להתמודד עם הגנת רשת הטלפוניה מפני כל האיומים להם היא חשופה?
ננסה לחלק את האיומים לשני עולמות מרכזיים: חצר הלקוח וספק השירות. בחצר הלקוח ההתייחסות רלוונטית ללקוחות פרטיים וללקוחות עיסקיים.
אצל לקוחות פרטיים קיים התקן חומרתי שניתן להקשיח אותו או שספק התקשורת שולט בחומרה ודואג לנושא הזה, ובכך מסיר אחריות מהלקוח עצמו. אפשרות נוספת היא שהלקוח עצמו דואג להקשחה ברשת הביתית שלו. במקרה הנ”ל מדובר בדרך כלל בשלוחת טלפון אחת או במספר שלוחות קטן יחסית. מסיבה זו, לקוחות פרטיים אינם מקור חזק לאיומים, שכן הפוטנציאל לפגיעה נמוך משמעותית מלקוחות עסקיים.
אצל לקוחות עסקיים לרוב מדובר במרכזיות יצרן בעלות טכנולוגיית VoIP או מרכזיות TDM ישנות אשר אף הן יכולות לעבוד בטכנולוגיית VoIP באמצעות רכיב חומרתי (GW) אשר מבצע המרה לפרוטוקולים של VoIP. קיימים פתרונות קוד פתוח נוספים, אשר בעזרתם ניתן להשיג יכולות מלאות כמו מרכזיה של יצרן. במקרים אלה, האתגר איתו צריך להתמודד המנמ”ר בארגון הוא בראש ובראשונה זמינות השירות. כאן נכנס הנושא של אבטחת המידע ותכנון נכון של הפתרון במספר שכבות:
שכבה ראשונה הינה הקשחת הסביבה תוך שימוש בכל הכלים הקיימים בעולמות אבטחת המידע. מדובר בזיהוי וחסימה של נסיונות פריצה על ידי בדיקת המקור ושימוש במערכות בקרה אשר יכווינו את מנהל הרשת למקור התקיפה. זיהוי מתקפה, שמשביתה שירות, מצריכה לעיתים פנייה לספק קישוריות ה-IP לתת מענה להתקפות תוך מתן מטרייה הגנתית מהצד שלו. כמובן, שהסוד הגדול הוא לסגור את כל הנושאים הללו ברמת SLA שתבטיח את המחויבות של ספקי השירות.
שכבה שניה היא הקשחה של המרכזייה עצמה או כל רכיב תקשורתי, הקשור למתן השירות של המרכזיה. אם מדובר ב-GW או בשרת שעליו מותקן פתרון קוד פתוח המצריך הקשחה של השרת ברמת ה-System כך שגם אם השכבה הראשונה נפרצה, עדיין קיימות יכולות למנוע התקפות ונסיונות פריצה. חשוב להבין, שמרכזייה בשמה המסורתי היא מחשב לכל דבר ולכן היא חשופה להחדרת קוד זדוני שהופך אותה לפגיעה, ודרכה ניתן להגיע לחלקים אחרים ברשת הארגונית. גם ברמת התכונות הקיימות במרכזיה יש לסגור תכונות לא נחוצות ובנוסף להקשיח תכונות קיימות תוך מתן דרישה להכניס קוד על מנת לקבל את התכונה. דוגמא לתכונה שיכולה להסתיים בגניבת שיחות, היא שרות עקוב אחרי על כל סוגיו. במקרה זה, על מנת למנוע פגיעות יש להחליף סיסמאות שגורות ולבנות בקרות על השימוש בתכונות הללו.
שכבה שלישית היא סגירת SLA, שמגן על הלקוח מפגיעה עיסקית ושימת דגש חזק על הבנת הפתרון הטכני המוצע ע”י ספק השירות. במעמד הזמנת השירות חשוב לדרוש לקבל מערכת מניעת הונאה של ספק השירות וכמו כן לעבור על יעדי השיחה, כך שיעדים יקרים ושירותי פרימיום יסגרו על ידי ספק התקשורת במידת הצורך.
לפני שנעבור על הבנת הפתרון הטכני המוצע ע”י ספק השירות ומה חשוב באמת לדרוש, אתן סקירה קצרה מהי הטכנולוגיה הקיימת שיכולה לעזור לנו להתגונן מול האיומים הקיימים כיום ואסביר בקצרה מהי טכנולוגיית VoIP.
VoIP הינה טכנולוגיה שמאפשרת העברת שיחה קולית (Voice), על גבי תשתית IP. היישום מתבצע ע”י שני פרוטקולים עיקריים: פרוטוקול (Real Time Protocol), אשר באמצעותו מתבצע קידוד השיחה הקולית שזה למעשה העברת המדיה ופרוטוקול (Session Initiation Protocol) אשר באמצעותו מנהלים את השיחה(העברת איתותי השיחה).
בעבר נהגו להשתמש בפרוטוקול H323 מה שחייב שימוש בסט נוסף של פרוטוקלים לרישום לשירות, העברת האיתותים והעברת המדיה, אך עדיין ניתן למצוא לו שימוש לישומי וידאו ובמרכזיות וטלפוני IP ישנים.
באמצעות SIP ניתן להעביר גם מסרים\צ’אט ווידאו. למעשה הפרוטוקול מקשר בין יחידת קצה כלשהי לבין השירות עצמו הניתן ע”י אפליקציה\תוכנה שמריצה אותו. כיוון שהפרוטוקול עובר ברשת האינטרנט וברשת הנתונים הפרטית ניתן לראות את נתוני השיחה במידה והפרוטוקול לא עובר על תוואי מאובטח ומוצפן. נושא זה רגיש עבור חלק מהלקוחות ועל כן הם ידרשו לקבל שירות מאובטח.
האתגר בהעברת שיחה קולית מצריך כאמור שימוש בפרוטוקול, שמעביר מידע בזמן אמת ועל כן הזמינות של השירות והפרעות לשירות מורגשים בצורה מיידית על ידי המשתמשים.
בטכנולוגיית ה-VoIP משתמשות כיום האפלקציות של ספקי השירות בתשלום, ואפליקציות חינמיות, בהן כולנו משתמשים, של חברות כמו Jajah ,Viber ו-WhatsApp (זה עתה השיקה שיחות קוליות לאחר רכישתה ע”י (Facebook)אשר נדרשות לספק את השירות כחלק מהתחרות הקיימת על כל לקוח.
בצד של הלקוח העסקי היתרונות שמספקת הטכנולוגיה מאפשרת הוזלה משמעותית של מערכות הטלפוניה המבוססת VoIP, זאת, ביחס למערכות שאינן מבוססות IP. ללקוח העיסקי אין צורך לרכוש קו PRI יעודי לטובת העברת שיחות מהמרכזיה. הבשלות הטכנולוגית והפרוטוקולים הסטנדרטיים מאפשרים פתיחות (עבודה ממספר מוקדים שונים) וגמישות בבחירת ציודי הקצה, שכן כבר אין תלות ביצרן מסוים. בכדי להנות מיתרונות אלו, קיים אתגר להתמודד עם האיומים המגיעים מרשת האינטרנט.
וכעת, נחזור למגרש של בחינת הפתרון הטכני שמציע ספק השירות. על מנת לעזור ללקוח העסקי להתחבר באמצעות SIP Trunk לרשת הטלפוניה הארצית (מקביל ל-PRI שעובד בטכנולוגיית TDM) ממרכזיית ה-IP שלו למתג הדיבור (Soft switch) של ספק השירות, יש לוודא כי בטופולגיה קיים רכיב בשם (Session Border Controller) גם בצד של הלקוח וגם בצד של ספק השירות. ה-SBC הוא רכיב שתוכנן לתת הגנה מקיפה ואמיתית לרשתות VoIP ובקונפיגורציה נכונה מסוגל לתת מענה לכל האיומים. חשוב להבין כי ע”י שימוש ב-FW שתוכנן לתת מענה לתעבורת נתונים אין פתרון לכל האיומים הקיימים בטכנולוגיה של ה-VoIP וככל הנראה שימוש ב-FW יגרום לנפילת השירות מדי פעם בעת התקפה על הרשת. לצורך הגנה מלאה מפני איומי VoIP ומעבר תקין של תעבורת נתונים הדורשת תמיכה בזמן אמת, יש צורך ב-SBC בעל תכונות ומבנה המתאימים לשימוש ברשתות מסוג זה. אחד היתרונות של ה-SBC זה למעשה שהוא מבצע חציצה בין “Trusted Domain” ל-“Untrusted Domain” על ידי טופולגיית (Back to Back User Agent).מבנה זה מאפשר את המשך זמינות שירות הטלפוניה בארגון. במקרה שללקוח העסקי יש מרכזיית IP מלאה, גם המנויים שלה יוכלו להשתמש ביכולות של ה-SBC על מנת לקבל שיחות לסמארטפון שלהם ע”י אפליקציה יעודית.
להלן מספר דוגמאות לאיומים הקיימים בעולם ה-VoIP, אשר איתם מסוגל ה-SBC להתמודד:
Denial Of Service או Distributed Denial Of Service () – ההתקפה משתמשת בשטף של בקשות לקבלת שירות, שמציפות את כתובת היעד. ההתקפה נעשית בו זמנית ממספר רב של כתובות IP כאשר מטרתה למנוע המשך מתן השירות במערכת. ההתקפה יכולה להיות בקשות רישום (SIP Register) לשירות או נסיונות הקמת שיחה
(SIP Invite). ברגע ש-FW מתמודד עם מתקפה כזו הוא יתקשה להתמודד עם ניהול הפורטים הנדרשים להעברת המדיה עבור שיחות לגיטימיות. לעומת זאת, ה-SBC יודע להתמודד עם ההתקפה על ידי מנגנון סינון אשר מסוגל לקטלג את הלגיטימיות של התעבורה ולתת עדיפות לתעבורה לגיטימית של משתמשים קיימים ברשת על פני כאלה שזו הפעם הראשונה שהם מנסים להירשם. משתמשים אלו מוגדרים כחשודים בשלב הראשון ובמידה והם נכשלים ברישום הם מוכנסים לרשימה שחורה, שיתרונה הגדול הוא בכך שהיא תוכננה. זאת, כיוון שהבקשות הללו לא מעוברות למערכת ואינן פוגעות בשירות ע”י העלאת ה-CPU (כאשר מדובר ברכיב חומרתי בלבד). כמובן קיימת יכולת לשלוח אזעקה למערכות השו”ב בארגון על נסיון התקפה שזוהה על ידי המערכת.
דוגמא נוספת הוא Malicious Code – שהינו קוד זדוני המשמש להחדרת או הוצאת מידע לצורך מסחרי\ריגול או סוג של פגיעת שירות שיכול להתבצע ע”י פרוטוקול SIP. כדי להבין זאת טוב יותר חשוב להבין כי המרכזייה היא למעשה Application Server לכל דבר ועניין ובדומה לפרוטוקול HTTP גם בפרוטוקול SIP ניתן לבצע SQL Injection ע”י מניפולציה ב-Header של ההודעה כאשר SIP-Application Server מבקש לבצע Authentication. לרכיב ה-SBC קיימת יכולת לבצע SIP Header manipulation, תכונה זו מאפשרת לבדוק את התוכן לשנות או לסנן במידת הצורך. יכולת זו איננה קיימת ב-FW ועל כן אין ל-FW יכולת להמשיך את זמינות השירות ללא פגיעה.
Man In The Middle – פעולה זדונית נפוצה שמשמעותה גניבת שיחות, הורדת שיחה (session) קיימת וביצוע האזנות. ניתן להתמודד עם הבעיה הזו בעזרת ביצוע אימות במספר מישורים בחיבור ראשוני למערכת. בנוסף לרישום רגיל (שם משתמש סיסמא ראשונה וסיסמא שניה) ניתן להוסיף שימוש בחתימה דיגיטלית זהה עבור 2 הקצוות. מימד נוסף שחשוב ללקוחות מסוימים הוא שימוש בפתרונות הצפנה, עבור SIP ניתן להשתמש ב-TLS ועבור RTP שימוש ב-SRTP.
לסיכום, על מנת לעבוד בטכנולוגיית VoIP ולחיות בשלום עם האיומים הקיימים תוך השגת זמינות מלאה של השירות, נדרש לתת דגש נפרד לאפליקציית ה-Voice הקיימת כיום בארגונים, שהיא למעשה מערכת טלפוניה לכל דבר ועניין. אפיון הדרישות ותכנון ובדיקת הפתרון, הינם קריטים לשמירת הרציפות העיסקית של השירות.
גיא בן עמי הינו מנהל טכני בתחום טכנולוגיות IP בחברת Entrypoint בעל 20 שנות ניסיון בעולם התקשורת והיה הראשון בארץ שהטמיע פתרון SBC בספק תקשורת פנים ארצי ובינלאומי במדינת ישראל. כיום הוא משמש כמנהל טכני בתחום טכנולוגיות IP בחברת Entrypoint.
