Password dimenticata? Nessun account? Registrati
  • Bassa risoluzione
  • Alta risoluzione
  • Ridimensionamento automatico
  • Increase font size
  • Decrease font size
  • Default font size
  • default
  • rosso
  • verde

Data Security

giovedì
09
set
Dispositivi di rete PDF Stampa E-mail

N1. Server e telefoni VoIP

N1.1 Descrizione

L'utilizzo delle tecnologie VoIP ha continuato a diffondersi anche corso dell'anno appena concluso. Guidati dal desiderio di adottare rapidamente la tecnologia VoIP per sfruttarne gli indubbi vantaggi economici, molti hanno un po' trascurato, o addirittura del tutto ignorato, gli aspetti di sicurezza. Possono infatti essere presenti vulnerabilità in tutta l'infrastruttura di rete VoIP, nei call proxy mal gestiti o privi di patch, nei media server, negli stessi telefoni VoIP. Sono state individuate vulnerabilità in prodotti come Cisco Unified Call Manager e Asterisk, oltre che in telefoni VoIP di numerosi produttori. Facendo leva quelle vulnerabilità, gli aggressori possono eseguire attacchi di phishing VoIP, di eavesdropping, di frodi tariffarie o di denial-of-service. Installazioni mal progettate possono aprire la via verso i dati presenti nelle reti: i ricercatori continuano a scoprire nuove aree potenzialmente attaccabili, come nel caso del cross site scripting attraverso i client VoIP

Siccome molti server VoIP - specialmente quelli presso i service provider VoIP - sono una interfaccia tra SS7 (la segnalazione telefonica tradizionale) e le reti IP, un attaccante in grado di compromettere uno server VoIP vulnerabile potrebbe potenzialmente manipolare la segnalazione SS7 e interrompere i servizi di interconnessione per la Public Switched Telephone Network (PSTN), ovvero la tradizionale linea telefonica.

N1.2 Riferimenti CVE

Asterisk
CVE-2007-1594, CVE-2007-1561

Cisco Call Manager
CVE-2006-5277

Telefoni VoIP
CVE-2007-4459, CVE-2007-2512, CVE-2007-3047, CVE-2007-2270, CVE-2006-7121, CVE-2007-0431, CVE-2006-6411, CVE-2006-5233, CVE-2006-5231, CVE-2006-5038

Avaya
CVE-2007-5556

Cisco IOS
CVE-2007-4291

N1.3 Come affrontare le vulnerabilità del VoIP

  • Prendere in considerazione le istanze di sicurezza come parte integrante di qualsiasi installazione VoIP. Ulteriori cautele possono essere necessarie nella fase della selezione dei prodotti da utilizzare, scegliendo quei dispositivi per i quali sia garantita dai fornitori un adeguato supporto nell'applicazione delle patch del sistema operativo non appena queste vengono rilasciate. Molti fornitori di VoIP non forniscono supporto nel caso di patch che loro non hanno ancora approvato e tale approvazione può richiedere parecchio tempo,
  • Applicate le patch fornite dal produttore ai server VoIP e al software/firmware del telefono non appena queste diventano disponibili.
  • Assicuratevi che i sistemi operativi che girano sui server VoIP abbia installate le patch più recenti, sia quelle rilasciate dal produttore del sistema operativo, sia quelle del prodotto VoIP.
  • Effettuate scansioni del server e dei telefoni VoIP per rilevare le porte aperte. Nel firewall chiudete l'accesso da Internet a tutte le porte non necessarie alle operazioni dell'infrastruttura VoIP.
  • Utilizzare un firewall che gestisca il protocollo VoIP o un prodotto di Intrusion Prevention per controllare che tutte le porte UDP sui telefoni VoIP non siano aperte alle comunicazioni internet RTP/RTCP.
  • Disabilitare sui telefoni e sui server tutti i servizi non indispensabili (telnet, http ecc.)
  • Considerate per i vari componenti VoIP l'uso di strumenti specifici come OULU SIP PROTOS Suite per garantire l'integrità dello stack del protocollo VoIP.
  • Usate VLAN separate per la vostra rete dati e la rete voce, se la vostra infrastruttura di rete lo permette. Controllate che i server TFTP e DHCP VoIP siano separati dalla vostra rete dati.
  • Cambiate la password di default per il login nel pannello di amministrazione di telefoni e proxy.
  • Assicuratevi che la VLAN VoIP non possa essere utilizzata in modo tale da poter accedere ad altri servizi critici, come può accedere in caso di VLAN propagate in sedi diverse con qualche macchina come un Call Manager dual homed.

N1.4 Approfondimenti

Avvisi di sicurezza per Asterisk
http://www.asterisk.org/security

Avvisi di sicurezza Cisco
http://www.cisco.com/en/US/products/products_security_advisories_listing.html

VoIP Security Alliance
http://www.voipsa.org

NIST 800-58: Considerazioni sulla sicurezza dei sistemi VoIP
http://csrc.nist.gov/publications/nistpubs/800-58/SP800-58-final.pdf