İnternet Protokolü üzerinden ses iletimi, Voice over Internet Protocol (VoIP), son yıllarda hayatımızda iyiden iyiye yer etmeye başlamış durumda. VoIP teknolojisi ile yine telefonlar vasıtasıyla, sesin internet protokolü üzerinden iletilmesi sayesinde hem daha ekonomik hem de daha hızlı bir şekilde sesli iletişim yapılması sağlanabiliyor. Hatta, VoIP teknolojisi ile kullanıcıların birbirleriyle sesli haberleşme için ekstra bir ücret ödemeksizin konuşması da sağlanabiliyor. Dolayısıyla, bu durum VoIP teknolojisine olan talebi patlatmış durumda ve irili ufaklı pekçok firma VoIP teknolojisi kullanır hale geldi.
Bu hızlı büyüme ile birlikte VoIP teknolojisi ile ses iletiminin güvenli halde yapılabilmesi de önemli bir yer tutmaktadır. Nasıl ki, internet henüz yeni yaygınlaşmaya başladığında saldırganların kullanabileceği basit şekillerde uygulanabilen zaafiyetler vardı, aynı şekilde VoIP teknolojisi de kullanıcı güvenliği açısından ciddi zaafiyetler içermektedir. Bu yazıda, VoIP teknolojisinin içerdiği bazı genel zaafiyetler, bu zaafiyetlerin nasıl kullanıldığı ile birlikte bu zaafiyetlerin açığa çıkmasını engellemek için ne tür önlemler alınması gerektiğinden bahsedeceğiz. Yazıda temel olarak bir saldırganın nasıl davranabileceği ve buna karşı önlem olarak neler yapılabileceği belirtilmektedir.
VoIP Altyapısında yer alan cihazlar hakkında bilgi toplama/trafiğin dinlenmesi ve karşı önlemler
Hemen hemen bütün saldırı senaryolarında olduğu gibi VoIP saldırı senaryolarında da başlangıç noktası, altyapıda yer alan cihazlar hakkında bilgi toplamak olacaktır. Bu cihazlar IP telefonlar, VoIP görüşmelerini kontrol eden PBX (Private Branch Exchange), ses içeriğinin IP şebekesi üzerinden iletilmesi için dönüştürücü görevi yapan Ortam Geçidi (Media Gateway), sinyalleşme ve iletim katmanlarında oturum tabanlı trafiği kontrol eden Session Border Controller (SBC) olarak sıralanabilir.
VoIP altyapısında yer alan cihazların tespit edilmesi farklı şekillerde gerçekleştirilebilir. Bunlardan en önemlileri:
IP telefon konfigürasyonlarından bilgi toplama ve karşı önlemler
Çoğu VoIP sistemlerinde IP telefonlar üzerinde yer alan konfigürasyonlar, VoIP altyapısında yer alan cihazlar hakkında bilgi toplama ve VoIP topolojisinin çıkarılması için çok önemli bilgiler içerebilmektedir. Örneğin IP telefon konfigürasyonunda Callmanager ve TFTP sunucunun IP adresi bilgisi yer almaktadır.
IP telefonlarda yer alan konfigürasyondan bilgi toplanmasını engellemek için, IP telefonlar üzerinde ayarlar kısmının görünmemesi sağlanmalıdır. Bu da genellikle Callmanager’da bir ayarla yapılabilmektedir.
IP telefonlar üzerinden bilgi edinmenin bir başka yolu da, bu cihazlarda kullanılan web servisidir. Genellikle varsayılan olarak, IP telefonların web servisleri açık gelmektedir. Bu durumda IP telefonun IP adresi tespit edildiğinde, telefonun ayarlarına web üzerinden erişilebilmektedir. Örneğin, aşağıda gösterilen şekilde web servisi açık olarak bırakılmış bir IP telefonun ayarları, telefonda çalışan yazılımın sürümü gibi bilgiler görülmektedir.
IP telefon ayarları, telefon yeniden başladığında tekrar yüklenebilmesi için TFTP sunucuda tutulmakta ve sürekli yedeklenmektedir. TFTP sunucuda yer alan konfigürasyon dosyalarının isimleri bilindiğinde veya tahmin edildiğinde bu dosyaların ele geçirilmesi ve IP telefona ait ayarların görülmesi mümkündür. Konfigürasyon dosyalarının isimleri ise IP telefon id’leri kullanılarak otomatik olarak oluşturulmaktadır. Ayrıca konfigürasyon dosyalarının ismini tahmin etmek için kullanılan sözlük saldırıları yapabilen yazılımlar da mevcuttur.
Örneğin bir perl yazılımı kullanılarak daha önceden hazırlanan bir dosya ile TFTP sunucuda yer alan dosyaların ele geçirilmesi sağlanabilmektedir.
TFTP sunucu ile ilgili güvenliği sağlamak için:
VoIP cihazları tarafından yayılan broadcast/multicast trafik, VoIP altyapısı hakkında bazı bilgilerin açığa çıkmasına sebep olur. Örneğin, CDP, DHCP, ARP gibi protokollerle yayılan trafiği dinlenmesiyle bu bilgiler açığa çıkarılabilir. Broadcast/Multicast trafiğin dinlenmesiyle elde edilebilecek en önemli bilgi, CDP protokolü ile iletilen VoIP VLAN (diğer bir adıyla Voice VLAN - VVLAN) numarasının elde edilmesidir. VVLAN numarası öğrenildiği takdirde, bazı yazılımları kullanılarak normal VLAN’dan VoIP cihazlarının yer aldığı VVLAN’a geçmek mümkün olmaktadır. Bu saldırı yöntemi VLAN hopping olarak bilinmektedir.
Voice VLAN numarasını tespit etmek için değişik yöntemler vardır. Ancak, en etkili yöntem tshark açık kaynak kodlu trafik dinleme yazılımı kullanılarak VVLAN numarasının belirlenmesidir. Dinlenen trafik içinden sadece VVLAN numarasının çekilip alınması için, filtre olarak hedef multicast ethernet adresi 01:00:0c:cc:cc:cc ve protokol CDP girilmesi yeterli olmaktadır. Tshark yazılımıyla bu şekilde bir filtre kullanıldığında aşağıda gösterildiği gibi VVLAN numarası yakalanır.
Saldırganın VVLAN numarasını tespit ettikten sonra uygulayacağı adım, kullanılan bilgisayarı VVLAN’a geçirmek olacaktır. Ek VLAN sanal arayüzü oluşturmak için ve bu vesileyle VVLAN’a geçmek için de bazı yazılımlar kullanılabilmektedir. Bu yazıda örnek olarak kullanılan yazılıma ait ekran çıktısı şekilde verilmiştir.
Peki VLAN hopping saldırısını engellemek için neler yapabiliriz:
VoIP altyapısı cihazlarının güvenliğinin sağlanması için temel olarak şu adımların gözden geçirilmesi tavsiye edilmektedir.
alıntıdır okumanızı tavsiye ederim güzel bir paylaşım yapmış (yazan:
Bu hızlı büyüme ile birlikte VoIP teknolojisi ile ses iletiminin güvenli halde yapılabilmesi de önemli bir yer tutmaktadır. Nasıl ki, internet henüz yeni yaygınlaşmaya başladığında saldırganların kullanabileceği basit şekillerde uygulanabilen zaafiyetler vardı, aynı şekilde VoIP teknolojisi de kullanıcı güvenliği açısından ciddi zaafiyetler içermektedir. Bu yazıda, VoIP teknolojisinin içerdiği bazı genel zaafiyetler, bu zaafiyetlerin nasıl kullanıldığı ile birlikte bu zaafiyetlerin açığa çıkmasını engellemek için ne tür önlemler alınması gerektiğinden bahsedeceğiz. Yazıda temel olarak bir saldırganın nasıl davranabileceği ve buna karşı önlem olarak neler yapılabileceği belirtilmektedir.
VoIP Altyapısında yer alan cihazlar hakkında bilgi toplama/trafiğin dinlenmesi ve karşı önlemler
Hemen hemen bütün saldırı senaryolarında olduğu gibi VoIP saldırı senaryolarında da başlangıç noktası, altyapıda yer alan cihazlar hakkında bilgi toplamak olacaktır. Bu cihazlar IP telefonlar, VoIP görüşmelerini kontrol eden PBX (Private Branch Exchange), ses içeriğinin IP şebekesi üzerinden iletilmesi için dönüştürücü görevi yapan Ortam Geçidi (Media Gateway), sinyalleşme ve iletim katmanlarında oturum tabanlı trafiği kontrol eden Session Border Controller (SBC) olarak sıralanabilir.
VoIP altyapısında yer alan cihazların tespit edilmesi farklı şekillerde gerçekleştirilebilir. Bunlardan en önemlileri:
- IP telefon konfigürasyonlarından bilgi edinme
- TFTP servisi üzerinden bilgi edinme
- VoIP cihazlarının multicast/broadcast trafik göndermesi ve bu trafiğin dinlenmesi sonucu bilgi edinilmesi
IP telefon konfigürasyonlarından bilgi toplama ve karşı önlemler
Çoğu VoIP sistemlerinde IP telefonlar üzerinde yer alan konfigürasyonlar, VoIP altyapısında yer alan cihazlar hakkında bilgi toplama ve VoIP topolojisinin çıkarılması için çok önemli bilgiler içerebilmektedir. Örneğin IP telefon konfigürasyonunda Callmanager ve TFTP sunucunun IP adresi bilgisi yer almaktadır.
IP telefonlarda yer alan konfigürasyondan bilgi toplanmasını engellemek için, IP telefonlar üzerinde ayarlar kısmının görünmemesi sağlanmalıdır. Bu da genellikle Callmanager’da bir ayarla yapılabilmektedir.
IP telefonlar üzerinden bilgi edinmenin bir başka yolu da, bu cihazlarda kullanılan web servisidir. Genellikle varsayılan olarak, IP telefonların web servisleri açık gelmektedir. Bu durumda IP telefonun IP adresi tespit edildiğinde, telefonun ayarlarına web üzerinden erişilebilmektedir. Örneğin, aşağıda gösterilen şekilde web servisi açık olarak bırakılmış bir IP telefonun ayarları, telefonda çalışan yazılımın sürümü gibi bilgiler görülmektedir.
Şekil 1- IP telefon web arayüzü
IP telefonda web servisinden bilgi edinilmesini engellemek için ya web servisi tamamen kapatılmalı ya da erişim kontrolü getirilmelidir. Bir diğer seçenek ise web servisi portunun 80 harici bir porta değiştirilmesidir. Bu şekilde çoğu tarama yazılımının IP telefonu tespit etmesi engellenebilir.Web erişimi için farklı bir port kullanılması halinde dahi bir kimlik doğrulama yapılmadan IP telefonun web sayfasına erişime müsaade edilmemelidir.
Şekil 2- IP telefon web servisinin kapatılması veya web sunucu portunun değiştirilmesi
TFTP servisi üzerinden bilgi toplama ve karşı önlemlerIP telefon ayarları, telefon yeniden başladığında tekrar yüklenebilmesi için TFTP sunucuda tutulmakta ve sürekli yedeklenmektedir. TFTP sunucuda yer alan konfigürasyon dosyalarının isimleri bilindiğinde veya tahmin edildiğinde bu dosyaların ele geçirilmesi ve IP telefona ait ayarların görülmesi mümkündür. Konfigürasyon dosyalarının isimleri ise IP telefon id’leri kullanılarak otomatik olarak oluşturulmaktadır. Ayrıca konfigürasyon dosyalarının ismini tahmin etmek için kullanılan sözlük saldırıları yapabilen yazılımlar da mevcuttur.
Örneğin bir perl yazılımı kullanılarak daha önceden hazırlanan bir dosya ile TFTP sunucuda yer alan dosyaların ele geçirilmesi sağlanabilmektedir.
Şekil 3- TFTP sözlük saldırısı
TFTP sunucuda IP telefon konfigürasyonları ve telefon yazılım güncelleme dosyaları yer almaktadır. Sadece bu dosyaların isimlerinin bilinmesi veya tahmin edilmesi ile dosyalar ele geçirilebilir. Ayrıca TFTP sunucuda ki dosyalar değiştirilebilir.TFTP sunucu ile ilgili güvenliği sağlamak için:
- TFTP sunucuya olan erişimler, güvenlik duvarı veya servis tabanlı erişim kontrolü sağlayan başka bir mekanizmayla sınırlandırılmalıdır.
- TFTP sunucuda yer alan dosyalara yazma hakları kontrol edilerek, yetkisiz kişilerin bu dosyaları değiştirmesi engellenmelidir.
VoIP cihazları tarafından yayılan broadcast/multicast trafik, VoIP altyapısı hakkında bazı bilgilerin açığa çıkmasına sebep olur. Örneğin, CDP, DHCP, ARP gibi protokollerle yayılan trafiği dinlenmesiyle bu bilgiler açığa çıkarılabilir. Broadcast/Multicast trafiğin dinlenmesiyle elde edilebilecek en önemli bilgi, CDP protokolü ile iletilen VoIP VLAN (diğer bir adıyla Voice VLAN - VVLAN) numarasının elde edilmesidir. VVLAN numarası öğrenildiği takdirde, bazı yazılımları kullanılarak normal VLAN’dan VoIP cihazlarının yer aldığı VVLAN’a geçmek mümkün olmaktadır. Bu saldırı yöntemi VLAN hopping olarak bilinmektedir.
Voice VLAN numarasını tespit etmek için değişik yöntemler vardır. Ancak, en etkili yöntem tshark açık kaynak kodlu trafik dinleme yazılımı kullanılarak VVLAN numarasının belirlenmesidir. Dinlenen trafik içinden sadece VVLAN numarasının çekilip alınması için, filtre olarak hedef multicast ethernet adresi 01:00:0c:cc:cc:cc ve protokol CDP girilmesi yeterli olmaktadır. Tshark yazılımıyla bu şekilde bir filtre kullanıldığında aşağıda gösterildiği gibi VVLAN numarası yakalanır.
Şekil 4- Voice VLAN numarasının yakalanması
Saldırganın VVLAN numarasını tespit ettikten sonra uygulayacağı adım, kullanılan bilgisayarı VVLAN’a geçirmek olacaktır. Ek VLAN sanal arayüzü oluşturmak için ve bu vesileyle VVLAN’a geçmek için de bazı yazılımlar kullanılabilmektedir. Bu yazıda örnek olarak kullanılan yazılıma ait ekran çıktısı şekilde verilmiştir.
Şekil 5- Voice VLAN’a geçilmesi
Test cihazı VVLAN’a geçirildiğinde artık cihaz VoIP VLAN’dadır ve saldırgan istediği gibi lokalden tarama, açıklık tespiti, açıklık uygulama işlemleri gerçekleştirebilir. Ayrıca Voice VLAN’a geçildiğinde saldırgan, araya girme saldırısı (man-in-the-middle attack) ve voice görüşmelerinin çalınmasına sebep olabilecek sahte ARP saldırısı (ARP spoofing attack) veya ARP zehirlemesi saldırısı (ARP poisoning attack) gerçekleştirebilir.Peki VLAN hopping saldırısını engellemek için neler yapabiliriz:
- Eğer IP telefonlar 802.1x teknolojisini destekliyorsa, ağ erişiminde port bazlı kimlik doğrulama uygulanmalıdır. Eğer telefonlar bu teknolojiyi desteklemiyorsa, telefonların ağa erişimini sağlayan anahtarlama cihazlarında (switch) MAC adres kilitlemesi işlemi gerçekleştirilmelidir. Bu şekilde ağa sadece tanımlı IP telefonlar dahil olabilecek, herhangi bir saldırgan rasgele bir cihazı ağa bağlayamayacaktır.
- Voice VLAN’a bağlanması gereken cihazların sadece ses iletimi için gerekli olan portlara erişim izninin sağlanması gerekir.
- Yeni bir VoIP DMZ ağı oluşturularak, veri ağı ve ses ağının güvenlik duvarı vasıtasıyla birbirinden izole edilmesi sağlanarak risk azaltılabilir.
VoIP altyapısı cihazlarının güvenliğinin sağlanması için temel olarak şu adımların gözden geçirilmesi tavsiye edilmektedir.
- VoIP mimarisinin güvenlik açısından uygun bir şekilde tasarlanmış olması sağlanmalıdır. Ses ve veri için ayrı VLAN’lar oluşturulmalıdır. VoIP cihazları, güvenlik duvarı tarafından erişim kontrolü yapılabilecek şekilde konumlandırılmış olmalıdır.
- VoIP altyapısı bileşenlerinin yazılımlarının güncel olması sağlanmalıdır. Yazılımlarda herhangi bir güvenlik açığı çıktığında, yazılım yamaları test edildikten sonra cihaza yüklenmelidir.
- VoIP bileşenlerinde (SBC, Softswitch, Media Gateway vs...) kullanılmadığı halde açık olan servis bulunmamalıdır. Kullanılan yönetim servislerinde, veriyi güvenli olarak ileten protokoller tercih edilmelidir. Örneğin, cihaz hem http hem de https servisleri üzerinden yönetimi destekliyorsa, daha güvenli olan https servisi tercih edilmeli, http servisi ise kapatılmalıdır. Aynı şekilde, cihaz hem telnet hem de ssh servisini destekliyorsa, daha güvenli olan ssh servisi kullanılmalı telnet servisi ise kapatılmalıdır.
- VoIP temel bileşenlerinin yönetiminde yetkili olan kullanıcı adları, izlenebilirlik açısından kişilere özel olarak ayrı ayrı verilmelidir. Örneğin, cihazı 3 kişi yönetiyorsa cihazda sadece “admin” kullanıcısı tanımlı olmamalı, bu 3 kişiye özel kullanıcı adları verilerek bu kullanıcı adlarıyla cihaz yönetimine erişmeleri sağlanmalıdır.
- Güvenlik açısından daha riskli olan yazılımsal IP telefonların kullanılmasından kaçınılmalıdır. Donanımsal telefonlar (Hard Phones) daha güvenli bir hizmet sunmaktadır.
- Sistemin sürekliliği ve güvenliği açısından VoIP altyapı bileşenlerine ait fiziksel güvenlik önlemleri alınmış olmalıdır. Yetkisiz kişilerin bileşenlere fiziksel olarak erişmesi engellenmelidir.
- Ağ ve VoIP altyapısı güvenliğinde en çok yapılan hatalardan biri, kurum içinden gelebilecek tehditleri gözardı etmektir. İç kullanıcılara yönelik çoğu kurumda anlayış şu şekildedir: “Çalışanlara güven, Sadece dış kullanıcılara kimlik doğrulaması uygula, Sadece internete açık olan bilgileri koru.” Ancak, yapılan araştırmalara göre kurumların en çok zararı, çalışanlarından gördüğü aşikardır [2] . Ülkemizde de bazı kurum çalışanlarının kritik bilgileri kurum dışına çıkararak, kişisel fayda amaçlı kullandığı bilinmektedir. Bu yüzden ağ ve VoIP güvenliği sağlanırken gözönüne alınması gereken kurallar:“Hem iç hem de dış erişim için kimlik doğrulaması uygula, Kritik bilgi nerede olursa olsun koru” olmalıdır ve alınacak güvenlik önlemleri bu anlayışa göre belirlenmelidir.
alıntıdır okumanızı tavsiye ederim güzel bir paylaşım yapmış (yazan:
Oktay Şahin, TÜBİTAK-UEKAE
)
