При развертывании или эксплуатации VoIP-системы, имейте в виду, что вы можете стать объектом телефонного мошенничества. Этот вид мошенничества не следует недооценивать, поскольку сумма убытков, причиненных незаконным использованием оборудования, может достигать 70 млрд. долларов в год (как это произошло с Global Telecom).
NetFlow датчики способны отслеживать VoIP-трафик и благодаря технологии анализа поведения сети (NBA — Network Behavior Analysis), возможно обнаружить и сообщить о такого рода угрозах. Данное комплексное решение, состоящее из зондов, коллекторов и автоматической системы обнаружения аномалий и угроз реализовано компанией InveaTech в линейке продуктов FlowMon.
Итак, каким образом происходит мошенничество в случае с VoIP?
Вот реальная история. Злоумышленник создал компанию за рубежом, арендовал платный номер от оператора PSTN (телефонная сеть общего пользования) и начал предлагать клиентам платные услуги. После этого злоумышленник нашел плохо настроенный SIP-шлюз в некой организации и начал направлять телефонный трафик на дорогие международные направления. В конце месяца эта организация получила огромный телефонный счет.
«До процесса мониторинга зондами FlowMon Чешской национальной научно-образовательной сети (CESNET), мы прикладывали большие усилия, чтобы обнаружить неправомерное использование SIP-шлюзов в Интернете. Теперь мы используем метод измерения потока для контроля того, что происходит в сети, и, в случае SIP, flow-потоки расширяем с помощью дополнительных SIP элементов. Это позволяет нам увидеть все действия злоумышленника в деталях», — комментирует Мартин Жадник, старший научный сотрудник компании CESNET.
Таким образом, можно отметить, как выглядит большинство атак. Во-первых, во время разведывательного этапа, злоумышленник интенсивно ищет шлюзы, сканируя сеть. Если проверка прошла успешно и нет никаких ограничений, злоумышленник пытается угадать план набора, который будет устанавливать вызов в PSTN. Эти предположения приводят к нескольким неудачным приглашающим запросам, а различные префиксы вставляются в URI-запрос и SIP в SIP-заголовках. Для того чтобы избежать обнаружения, злоумышленники ограничивают количество запросов вплоть до единственного запроса в час. Кроме того, злоумышленник пользуется взломанной машиной в локальной сети, чтобы избежать ограничений или пытается скомпрометировать существующую учетную запись, и в результате регистрируется много неудачных запросов. Существуют также многочисленные попытки входа с помощью SSH в управление шлюзом.
«В результате, используя решение FlowMon, мы нашли его чрезвычайно полезным для подробного мониторинга SIP трафика на шлюзах. Кроме того, FlowMon ADS (система автоматического обнаружения аномалий и атак) может обнаружить и обычные атаки, такие как ssh-атаки, также мы стремимся обнаруживать конкретные SIP-атаки в автоматическом режиме», — резюмирует Мартин Жадник.