Информационная безопасность
[an error occurred while processing this directive]

Avaya: второй раунд - часть 2


Однако в этом случае модуль медиаобработки может стать "бутылочным горлышком" для производительности сети. По данным компании Avaya, модуль медиаобработки может обрабатывать до 64-х одновременных вызовов, что опять же снижает масштабируемость решения.

Коммутатор Extreme Alpine мог ограничивать трафик по MAC-адресу источника, и чтобы начать атаку, команде "хакеров" необходимо было "украсть" существующий MAC-адрес IP-телефона. Это было достигнуто опять-таки с использованием пассивного зонда.

Межсетевой экран SG208 был сконфигурирован таким образом, чтобы пропускать трафик только с определенных портов на контроллер вызовов. Только трафик с узкого диапазона UDPпортов мог поступать на модуль медиаобработки и только порты и протоколы, ответственные за передачу H.323-информации управления и сигнализации, могли поступать на CLAN-модуль. Однако команде "хакеров" не понадобилось много времени для того, чтобы определить номера открытых портов с помощью известной техники. Используя "украденные" идентификаторы IPтелефона, "хакеры" смогли установить контакт с контроллером вызовов и получить от него ответ. При этом не нужно эмулировать все аспекты работы реального IP-телефона или даже знать его пароль, для того чтобы получить доступ к контроллеру вызовов. Полная эмуляция работы IP-телефона и знание его пароля необходимы лишь для того, чтобы произвести неавторизированный вызов. Однако большинство хакеров преследует более простые цели.

Как и при первом тестировании сети Avaya, а также сети Cisco, атакующая сторона смогла применить пассивный зонд и подключить его к сетевой инфраструктуре для подключения IP-телефонов, чтобы таким образом производить сбор необходимых данных и мониторинг трафика, однако "разобрать" зашифрованный голосовой трафик не удалось.

Аналогично при помощи собранной информации "хакеры" смогли подключить собственный ноутбук вместо IP-телефона, установив необходимый MAC- и IP-адрес, а также номер VLAN реального IP-телефона, и так получить доступ к VoIP-инфраструктуре.




Содержание  Назад  Вперед


[an error occurred while processing this directive]