- •Воронеж 2008
- •Воронеж 2008
- •Содержание
- •Введение
- •1. Объект и предмет исследования
- •1.1 Основные понятия, термины и определения
- •1.1.2 Виды соединений в сети ip-телефонии
- •1.2 Базовая архитектура систем ip-телефонии
- •1.2.1 Архитектура системы на базе стандарта н.323
- •1.2.2 Архитектура системы на базе проекта tiphon
- •1.3 Угрозы безопасности сервиса ведомственной телефонии на основе протокола Voice over ip
- •1.3.1 Основные уязвимости сервиса телефонии на основе протокола Voice over ip
- •1.3.2 Классификация угроз безопасности сервиса телефонии на основе технологии Voice over ip
- •1.4 Формулировка гипотез на основе статистической выборки
- •1.5 Доказательство гипотез
- •1.6 Основные выводы первой главы
- •2. Оценка рисков и защищенности для сервиса ведомственной телефонии на основе протокола Voice over ip
- •2.1 Понятийный аппарат
- •Качественный подход к оценке рисков систем
- •2.1.2 Сущность нормального непрерывного распределения вероятностей в контексте безопасности сервиса ведомственной телефонии на основе технологии Voice over ip
- •2.1.2.1 Область применения нормального непрерывного распределения вероятностей ущерба
- •2.1.3 Сущность непрерывного Эрланга распределения вероятностей в контексте безопасности сервиса ведомственной телефонии на основе технологии Voice over ip
- •2.1.3.1 Область применения непрерывного Эрланга распределения вероятностей ущерба
- •2.2 Оценка риска и защищенности сервиса ведомственной телефонии на основе технологии Voice over ip для нормального непрерывного распределения вероятностей ущерба
- •2.2.1 Пространства риска и защищенности сервиса ведомственной телефонии на основе технологии Voice over ip для нормального непрерывного распределения вероятностей ущерба
- •2.2.2 Параметры риска для нормального непрерывного распределения вероятностей ущерба в контексте безопасности сервиса ведомственной телефонии на основе технологии Voice over ip
- •2.3 Определение и нормирование рисков и защищённости для величины ущерба, распределённой по закону Эрланга
- •2.3.1 Шкалы и критерии измерения рисков
- •2.3.2 Оценка вероятностей событий
- •2.3.3 Измерение рисков
- •2.4 Параметры и характеристики риска ущерба, имеющего Эрланга распределение
- •2.5 Основные выводы второй главы
- •3. Определение чувствительности параметров безопасности
- •3.1 Дифференциальная чувствительность параметров
- •3.2 Основные выводы третьей главы
- •4 Алгоритм управления рисками при использовании сервиса ведомственной телефонии на основе протокола Voice over ip территориально распределенной информационно-телекоммуникационной системы связи
- •4.1 Методы оценки эффективности управления рисками
- •4.2 Стратегии управления рисками
- •4.3 Основные выводы четвертой главы
- •Заключение
- •Список литературы
- •394026 Воронеж, Московский просп., 14
1.3 Угрозы безопасности сервиса ведомственной телефонии на основе протокола Voice over ip
1.3.1 Основные уязвимости сервиса телефонии на основе протокола Voice over ip
Под уязвимостью понимается некая слабость, которую можно использовать для нарушения безопасности системы или содержащейся в ней информации. Уязвимости могут возникать вследствие следующих причин.
1. Логическая ошибка — ошибка реализации механизма безопасности, использование которой приводит к успешной атаке на систему. Логическая ошибка может содержаться в операционной системе или пользовательском приложении.
2. Слабость — механизм безопасности, реализованный так, что его использование может при определенных условиях привести к нарушению безопасности. Слабость может возникнуть из-за обеспечения безопасности посредством сокрытия (безопасности, базирующейся на том, что никто не знает деталей реализации механизмов безопасности), устаревшего программного и аппаратного обеспечения, небезопасных конфигураций.
3. Некорректное использование системы — пользователи системы могут сами нарушать политику безопасности системы, создавая условия для успеха атаки.
Уязвимость может быть описана с помощью следующих характеристик.
1. Ошибка — тип ошибки, приведшей к образованию уязвимости;
2. Последствия — степень компрометации безопасности системы; примером систематизации последствий могут служить следующие типы последствий:
• получение нарушителем прав администратора;
• получение нарушителем доступа к системе с правами авторизованного пользователя;
• отказ системы или ее функциональной части в обслуживании.
3. Авторизация — права, необходимые нарушителю для осуществления атаки, определяющие его уровень возможности.
4. Местонахождение — описывает необходимость физического доступа нарушителя для проведения атаки на систему; может быть систематизировано следующим образом:
• доступ к системному серверу;
• доступ к клиенту системы;
• доступ к сети.
Три последние характеристики уязвимости характеризуют требования к нарушителю, который может выполнить атаку с использованием уязвимости.
Говоря об описании уязвимостей, следует упомянуть список уязвимостей CVE (Common Vulnerabilities Exposures), разработанный организацией MITRE.
Список уязвимостей CVE является словарем, используемым для определения общих имен известных уязвимостей. Данный список можно найти по интернет-адресу http://cve.mitre.org.
Список уязвимостей CVE можно рассматривать как стандартизованный список, содержащий все известные уязвимости, присваивающий каждой уязвимости уникальное, стандартное имя, существующий независимо от различных существующих взглядов на уязвимости, открытый и распространяемый без каких-либо ограничений.
До разработки списка CVE каждая организация давала свое наименование известным уязвимостям, что приводило к неопределенности понятий и несовместимости программных продуктов, работающих с уязвимостями (таких, как сканеры безопасности или системы обнаружения атак). При этом необходимо отметить, что очень многие программные продукты, созданные для поддержания информационной безопасности, обладают той или иной базой данных уязвимостей различных систем.
Процесс занесения уязвимости в список CVE состоит из следующих этапов:
• обнаружение уязвимости;
• оповещение пользователей об уязвимости (с помощью списков рассылки, групп новостей и т. д.) — информация об уязвимости доводится до лиц, отвечающих за поддержание списка уязвимостей;
• присвоение уязвимости — кандидату в список СVE идентификатора в том случае, если она еще не входит в список; уязвимость в дальнейшем именуется на основании присвоенного идентификатора;
• предложение — соответствующий комитет рассматривает предложенную для включения в список уязвимость и проводит голосование, на основании которого описание уязвимости включается в список CVE, отвергается или модифицируется; результаты голосования публикуются на WEB-сайте CVE;
• модификация — при необходимости описание уязвимости переделывается в соответствии с пожеланиями комитета; если требуются незначительные изменения описания, то повторное голосование не требуется и уязвимость включается в список;
• публикация — после того как уязвимости присвоено имя и она включена в список, новая версия списка CVE публикуется на WEB-сайте CVE;
• переоценка — при необходимости изменить описание элемента списка CVE должна быть осуществлена процедура, аналогичная процедуре включения нового элемента.
В настоящее время список уязвимостей CVE стал стандартом де-факто идентификации уязвимостей и поддерживается многими программными продуктами.
Основные уязвимости сервиса телефонии на основе технологии Voice over IP согласно списку уязвимостей CVE представлены в таблице 1.
Таблица 1. Список уязвимостей CVE для сервиса телефонии на основе технологии Voice over IP
Идентификатор |
Описание |
CVE-2008-1334 |
cgi/b on the BT Home Hub router allows remote attackers to bypass authentication, and read or modify administrative settings or make arbitrary VoIP telephone calls, by placing a character at the end of the PATH_INFO, as demonstrated by (1) %5C (encoded backslash), (2) '%' (percent), and (3) '~' (tilde). NOTE: the '/' (slash) vector is already covered by CVE-2007-5383. |
Продолжение Таблицы 1
CVE-2008-1114 |
Vocera Communications wireless handsets, when using Protected Extensible Authentication Protocol (PEAP), do not validate server certificates, which allows remote wireless access points to steal hashed passwords and conduct man-in-the-middle (MITM) attacks. |
CVE-2008-1113 |
Cisco Unified Wireless IP Phone 7921, when using Protected Extensible Authentication Protocol (PEAP), does not validate server certificates, which allows remote wireless access points to steal hashed passwords and conduct man-in-the-middle (MITM) attacks. |
CVE-2007-5591 |
The CS1000 signaling server in Nortel Enterprise VoIP-Core-CS 1000M Chassis/Cabinet, Enterprise VoIP-Core-CS 1000E and 1000S, Meridian-Core-Option 11C Chassis and Cabinet, and Meridian-Core-Option 51C, 61C, and 81C allows remote attackers to cause a denial of service (telephony application outage) via a flood of packets to Embedded LAN (ELAN) ports. |
CVE-2007-5556 |
Unspecified vulnerability in the Avaya VoIP Handset allows remote attackers to cause a denial of service (reboot) via crafted packets. NOTE: as of 20071016, the only disclosure is a vague pre-advisory with no actionable information. However, since it is from a well-known researcher, it is being assigned a CVE identifier for tracking purposes. |
CVE-2007-5411 |
Cross-site scripting (XSS) vulnerability in the Linksys SPA941 VoIP Phone with firmware 5.1.8 allows remote attackers to inject arbitrary web script or HTML via the From |
Продолжение Таблицы 1
CVE-2007-5369 |
The GetMagicNumberString function in Massive Entertainment World in Conflict 1.000 and earlier allows remote attackers to cause a denial of service (NULL dereference and daemon crash) via a string to the VoIP port (52999/tcp) with an invalid value in the third byte. |
CVE-2007-5361 |
The Communication Server in Alcatel-Lucent OmniPCX Enterprise 7.1 and earlier caches an IP address during a TFTP request from an IP Touch phone, and uses this IP address as the destination for all subsequent VoIP packets to this phone, which allows remote attackers to cause a denial of service (loss of audio) or intercept voice communications via a crafted TFTP request containing the phone's MAC address in the filename. |
CVE-2007-4489 |
Buffer overflow in the IUAComFormX ActiveX control in uacomx.ocx 2.0.1 in the eCentrex VOIP Client module allows remote attackers to execute arbitrary code via a long Username argument to the ReInit method. |
CVE-2007-4291 |
Cisco IOS 12.0 through 12.4 allows remote attackers to cause a denial of service via (1) a malformed MGCP packet, which causes a device hang, aka CSCsf08998; a malformed H.323 packet, which causes a device crash, as identified by (2) CSCsi60004 with Proxy Unregistration and (3) CSCsg70474; and a malformed Real-time Transport Protocol (RTP) packet, which causes a device crash, as identified by (4) CSCse68138, related to VOIP RTP Lib, and (5) CSCse05642, related to I/O memory corruption. |
Продолжение Таблицы 1
CVE-2007-3047 |
The Vonage VoIP Telephone Adapter has a default administrator username "user" and password "user," which allows remote attackers to obtain administrative access. |
CVE-2007-2886 |
Unspecified vulnerability in the Nortel CS 1000 M media card in Enterprise VoIP-Core-CS 1000E, 1000M, and 1000S 04.50W before 20070523 in Meridian/CS 1000 allows remote attackers to cause a denial of service (card hang) via unspecified vectors. |
CVE-2007-2270 |
The Linksys SPA941 VoIP Phone allows remote attackers to cause a denial of service (device reboot) via a 0377 (0xff) character in the From header, and possibly certain other locations, in a SIP INVITE request. |
CVE-2007-0431 |
AVM Fritz!Box 7050, and possibly other product models, allows remote attackers to cause a denial of service (VoIP application crash) via a zero-length UDP packet to the SIP port (port 5060). |
CVE-2006-7121 |
The HTTP server in Linksys SPA-921 VoIP Desktop Phone allows remote attackers to cause a denial of service (reboot) via (1) a long URL, or a long (2) username or (3) password during Basic Authentication. |
CVE-2006-6411 |
PhoneCtrl.exe in Linksys WIP 330 Wireless-G IP Phone 1.00.06A allows remote attackers to cause a denial of service (crash) via a TCP SYN scan, as demonstrated using TCP ports 1-65535 with nmap. |
Продолжение Таблицы 1
CVE-2006-5233 |
Polycom SoundPoint IP 301 VoIP Desktop Phone, firmware version 1.4.1.0040, allows remote attackers to cause a denial of service (reboot) via (1) a long URL sent to the HTTP daemon and (2) unspecified manipulations as demonstrated by the Nessus http_fingerprinting_hmap.nasl script. |
CVE-2006-5231 |
Grandstream GXP-2000 VoIP Desktop Phone, firmware version 1.1.0.5, allows remote attackers to cause a denial of service (hang or reboot) via a large amount of ASCII data sent to port (1) 5060/UDP, (2) 5062/UDP, (3) 5064/UDP, (4) 5066/UDP, (5) 9876/UDP, or (6) 26789/UDP. |
CVE-2006-5038 |
The FiWin SS28S WiFi VoIP SIP/Skype Phone, firmware version 01_02_07, has a hard-coded username and password, which allows remote attackers to gain administrative access via telnet. |
CVE-2006-1973 |
Multiple unspecified vulnerabilities in Linksys RT31P2 VoIP router allow remote attackers to cause a denial of service via malformed Session Initiation Protocol (SIP) messages. |
CVE-2006-0834 |
Uniden UIP1868P VoIP Telephone and Router has a default password of admin for the web-based configuration utility, which allows remote attackers to obtain sensitive information on the device such as telephone numbers called, and possibly connect to other hosts. NOTE: it is possible that this password was configured by a reseller, not the original vendor; if so, then this is not a vulnerability in the product. |
Продолжение Таблицы 1
CVE-2006-0375 |
Advantage Century Telecommunication (ACT) P202S IP Phone 1.01.21 running firmware 1.1.21 on VxWorks uses a hardcoded Network Time Protocol (NTP) server in Taiwan, which could allow remote attackers to provide false time information, block access to time information, or conduct other attacks. |
CVE-2006-0374 |
Advantage Century Telecommunication (ACT) P202S IP Phone 1.01.21 running firmware 1.1.21 has multiple undocumented ports available, which (1) might allow remote attackers to obtain sensitive information, such as memory contents and internal operating-system data, by directly accessing the VxWorks WDB remote debugging ONCRPC (aka wdbrpc) on UDP 17185, (2) reflect network data using echo (TCP 7), or (3) gain access without authentication using rlogin (TCP 513). |
CVE-2006-0360 |
MPM SIP HP-180W Wireless IP Phone WE.00.17 allows remote attackers to obtain sensitive information and possibly cause a denial of service via a direct connection to UDP port 9090, which is undocumented and does not require authentication. |
CVE-2006-0305 |
Clipcomm CPW-100E VoIP 802.11b Wireless Handset Phone running firmware 1.1.12 (051129) and CP-100E VoIP 802.11b Wireless Phone running firmware 1.1.60 allows remote attackers to gain unauthorized access via the debug service on TCP port 60023. |
CVE-2006-0302 |
ZyXel P2000W VoIP 802.11b Wireless Phone running firmware WV.00.02 allows remote attackers to obtain sensitive information, such as MAC address and software version090. |
Как видно из таблицы, оборудование для организации сервиса телефонии на основе протокола Voice over IP самых известных производителей (Cisco, Avaya, LinkSys, Zyxel) обладает рядом уязвимостей, самой опасной из которых является атака типа «Отказ в обслуживании» (Denial of Service, DoS)