SlideShare a Scribd company logo

безопасность Voip yealink&yeastar

Даниил Силантьев
Даниил Силантьев
1 of 26
Download to read offline
«Механизмы обеспечения безопасности коммуникаций» Дмитрий Балашов
Проблемы безопасности в IP-сетях Решение проблем безопасности средствами телефонов Yealink
Существующие угрозы и проблемы безопасности телефонных IP-сетей
Коммуникационные топологии Провайдер IP-телефонии Интернет ГТС Интернет ГТС IP-АТС Локальная АТС «Облачная» АТС IP-телефоны - такие же сетевые устройства как и персональные компьютеры, поэтому обеспечение их безопасности является важным аспектом комплексной безопасности сети, особенно при использовании «облачных» решений.
Основные угрозы Конфиденциальность личных данных Прослушивание Internet Телефонное мошенничество Преднамеренные атаки
Решение проблем безопасности средствами телефонов Yealink
Обзор решений Личные данные Разговор Доступ Настройка Безопасность Использование
Уровень доступа к сети 8
802.1X/EAP для защиты локальной сети • Неизвестный злоумышленник может подключиться к сети компании через PC-порт телефона, находящегося в приемной и скопировать конфиденциальные данные. • • • Стандарт 802.1X ограничивает права неавторизованных компьютеров. Методы EAP аутентификации: MD5, TLS. Multi-Domain Authentication (MDA). Проблема Решение Авторизация2 X Голос VLAN Не авторизован Коммутатор Данные VLAN Авторизация 1 RADIUS Server
Стандарт 802.1X в телефонах Yealink Режим Описание Программное обеспечение EAP-TLS • Клиентский сертификат • Доверенные сертификаты Root/CA • Идентификация по имени устройства V60 и старше EAP-MD5 • Идентификация по имени устройства • Пароль V60 и старше EAP-TTLS/EAP-MSCHAPv2 • Доверенные сертификаты Root/CA • Идентификация по имени устройства • Пароль V71 EAP-PEAPv0/MSCHAPv2 • Доверенные сертификаты Root/CA • Идентификация по имени устройства • Пароль V71 Multiple Domain Authentication (MDA) • Позволяет IP-телефону и ПК авторизоваться в локальной сети через один и тот же порт коммутатора V71
VLAN для качества связи Проблема Решение • Качество передачи голоса – главное преимущество использования IPтелефона локальной сети компании. • • • • Ручная и автоматическая (с помощи LLDP или DHCP) настройка VLAN ID. Использование VLAN гарантирует полосу пропускания для голоса. Предотвращение сетевых коллизий. Настройка защиты для IP-телефонов. PoE-коммутатор Голосовой VLAN VLAN для данных Голосовой VLAN VLAN для данных
VPN для удаленных пользователей Проблема • • Решение • • Проблемы безопасности при подключении удаленного пользователя к головному офису. Приобретение роутеров с поддержкой VPN для удаленных пользователей. Встроенный в телефон OpenVPN-клиент. Удаленные пользователи могут с высокой степенью защиты регистрировать IP-телефоны на офисной IP-АТС. IP-АТС Internet VPN-тоннель Удаленные пользователи Сервер VPN Офис
Безопасность разговоров 13
TLS — шифрование сигнализации Проблема Решение • При звонке друг другу, SIP ID и телефонные номера обоих абонентов могут быть перехвачены злоумышленником. • • • Использование криптографического протокола TLS. Авторизация вызывающего и вызываемого абонентов. Шифрование SIP-сообщений. Шифрование сигнализации TLS IP-АТС Шифрование сигнализации TLS Шифрование голоса SRTP 14
SRTP — шифрование голоса Проблема • Разговоры сотрудников прослушиваются злоумышленниками. Решение • • 128-битный алгоритм шифрования AES Шифрование медиа-потока Шифрование сигнализации TLS IP-АТС Шифрование сигнализации TLS Шифрование голоса SRTP 15
Личные данные
Блокировка телефона • • Проблема Необходимо защитить персональные аккаунты, историю вызовов, контакты и настройки офисных пользователей. Пользователь может заблокировать свой IP-телефон и предотвратить доступ к личным данным. Три режима блокировки: Все кнопки/Кнопки меню/Программируемые кнопки Режимы срабатывания: Автоматическая или ручная блокировка PIN может содержать до 15 символов Экстренные номера всегда доступны для набора. Решение • • • • • Блокировка • PIN для разблокировки
Замок Кенсингтона • Физическое закрепление телефона для предотвращения кражи, например из холла с большим числом посетителей. Слот для замка Кенсингтона
Защита при AutoProvision
HTTPS Provisioning Проблема Решение • • • Требуется защитить файлы конфигурации, которые IP-телефон получает при AutoProvision. • • • • Обоюдная авторизация устройств по TLS при обновлении конфигурации. Заводской сертификат, привязанный к MAC-адресу. Заводской список основных корневых сертификатов. Загрузки персональных корневых сертификатов с SSL шифрованием Корневой сертификат Привязанный к MAC-адресу сертификат, зашифрованный SSL Авторизация на сервере Авторизация на телефоне Конфигурационные файлы • • Корневой сертификат Ключевой SSL-сертификат
Шифрование конфигурационных файлов Проблема Решение • Администраторы небольших компаний не обладают знаниями о TLS/SSL. Требуется несложный механизм шифрования конфигурационных файлов. • • • Шифрование конфигурационных файлов. Утилита для шифрования со встроенным AES-ключом. В телефоне встроен уникальный AES-ключ. Internet Provisioning Server ② Зашифрованные конфигурационные файлы 2 ① С помощью утилиты Yealink и использованием двух ключей шифруются конфигурационные файлы 1 cfg.enc Зашифрован Ключом 2 key2.enc Зашифрован Ключом 1 ③ Встроенным Ключом 1 дешифруется Ключ 2 ④ Ключом 2 Дешифруется конфигурационный файл
Безопасность приложений
Доверенный IP для взаимодействия с ПК Проблема Решение • Телефоны Yealink могут быть интегрированы с компьютерными приложениями, позволяющими выполнять управление телефоном с ПК. Злоумышленник может воспользоваться данной функцией. • • • Только доверенные ПК могут взаимодействовать телефоном. Список IP-адресов для использования функций Action URI/URL. Пользователь сам предоставляет доступ к телефону. Интеграция с MS Outlook Управление телефоном с доверенного IP-адреса «click-to-call» и отслеживание событий Action URI/URL
Доверенный сервер XML-приложений • Телефоны Yealink имеют встроенный XML-браузер. Данную возможностью может воспользоваться злоумышленник. • Только доверенный сервер может управлять телефоном через XMLбраузер. Список доверенных серверов для получения XML-сообщений. Пользователь сам предоставляет доступ к телефону Проблема Решение Сервер XML-приложений • • Управление телефоном с доверенного сервера Получение XML-сообщения Использование XML-браузера
Уровни безопасности Уровень приложений Транспортный уровень HTTPS web SRTP CTI Trusted IP Config Files Encryption Digest Authentication TLS Сетевой уровень Уровень доступа к сети HTTPS Provision Disabling Ping 802.1x VLAN VPN Disabling PC Port
Спасибо за внимание!  Дмитрий Балашов ООО «АйПиМатика» Москва, ул. Свободы д.1 корп.6 Тел: +7 (495) 921 36 70 Skype: ipmatika_dmitriy Email: balashov@ipmatika.ru

Recommended

Mob sec
Mob secMob sec
Mob secEllada
 
E token 3400_smartcard_pb__ru__a4_29jul2014_web_v4
E token 3400_smartcard_pb__ru__a4_29jul2014_web_v4E token 3400_smartcard_pb__ru__a4_29jul2014_web_v4
E token 3400_smartcard_pb__ru__a4_29jul2014_web_v4Anna Selivanova
 
Основы цифровой безопасности
Основы цифровой безопасностиОсновы цифровой безопасности
Основы цифровой безопасностиAzhar Bekzhanova
 
Как обеспечить IT-безопасность в компании? Просто о главном.
Как обеспечить IT-безопасность в компании? Просто о главном.Как обеспечить IT-безопасность в компании? Просто о главном.
Как обеспечить IT-безопасность в компании? Просто о главном.Netpeak
 
Positive Hack Days. Гурзов. Легенды и мифы безопасности VOIP
Positive Hack Days. Гурзов. Легенды и мифы безопасности VOIPPositive Hack Days. Гурзов. Легенды и мифы безопасности VOIP
Positive Hack Days. Гурзов. Легенды и мифы безопасности VOIPPositive Hack Days
 
Технологии Интел по обеспечению безопасности корпоративных пользователей.
Технологии Интел по обеспечению безопасности корпоративных пользователей. Технологии Интел по обеспечению безопасности корпоративных пользователей.
Технологии Интел по обеспечению безопасности корпоративных пользователей.Cisco Russia
 
InZero_UA
InZero_UAInZero_UA
InZero_UADenis Matrosov
 
IP видеодомофоны DAHUA: переход от аналога к IP
IP видеодомофоны DAHUA: переход от аналога к IPIP видеодомофоны DAHUA: переход от аналога к IP
IP видеодомофоны DAHUA: переход от аналога к IPAlex Vladimirovich
 

Recommended

Mob sec
Mob secMob sec
Mob secEllada
 
E token 3400_smartcard_pb__ru__a4_29jul2014_web_v4
E token 3400_smartcard_pb__ru__a4_29jul2014_web_v4E token 3400_smartcard_pb__ru__a4_29jul2014_web_v4
E token 3400_smartcard_pb__ru__a4_29jul2014_web_v4Anna Selivanova
 
Основы цифровой безопасности
Основы цифровой безопасностиОсновы цифровой безопасности
Основы цифровой безопасностиAzhar Bekzhanova
 
Как обеспечить IT-безопасность в компании? Просто о главном.
Как обеспечить IT-безопасность в компании? Просто о главном.Как обеспечить IT-безопасность в компании? Просто о главном.
Как обеспечить IT-безопасность в компании? Просто о главном.Netpeak
 
Positive Hack Days. Гурзов. Легенды и мифы безопасности VOIP
Positive Hack Days. Гурзов. Легенды и мифы безопасности VOIPPositive Hack Days. Гурзов. Легенды и мифы безопасности VOIP
Positive Hack Days. Гурзов. Легенды и мифы безопасности VOIPPositive Hack Days
 
Технологии Интел по обеспечению безопасности корпоративных пользователей.
Технологии Интел по обеспечению безопасности корпоративных пользователей. Технологии Интел по обеспечению безопасности корпоративных пользователей.
Технологии Интел по обеспечению безопасности корпоративных пользователей.Cisco Russia
 
InZero_UA
InZero_UAInZero_UA
InZero_UADenis Matrosov
 
IP видеодомофоны DAHUA: переход от аналога к IP
IP видеодомофоны DAHUA: переход от аналога к IPIP видеодомофоны DAHUA: переход от аналога к IP
IP видеодомофоны DAHUA: переход от аналога к IPAlex Vladimirovich
 
Безопасность Вашего мобильного бизнеса
Безопасность Вашего мобильного бизнесаБезопасность Вашего мобильного бизнеса
Безопасность Вашего мобильного бизнесаКРОК
 
Bitdefender интернет вещей_2017
Bitdefender интернет вещей_2017Bitdefender интернет вещей_2017
Bitdefender интернет вещей_2017Denis Eliseev
 
защита информации
защита информациизащита информации
защита информацииЕлена Ключева
 
Криптография в кармане
Криптография в карманеКриптография в кармане
Криптография в карманеAleksei Goldbergs
 
Видео и голосовая система для заключенных
Видео и голосовая система для заключенныхВидео и голосовая система для заключенных
Видео и голосовая система для заключенныхGeorge Wainblat
 
ALTELL NEO - Универсальные сертфиицированные ФСТЭК устройства защиты сети
ALTELL NEO - Универсальные сертфиицированные ФСТЭК устройства защиты сети ALTELL NEO - Универсальные сертфиицированные ФСТЭК устройства защиты сети
ALTELL NEO - Универсальные сертфиицированные ФСТЭК устройства защиты сети Компания ИНТРО
 
Защита помещения от прослушивания: http://detsys.ru/catalog/sredstva_zashchit...
Защита помещения от прослушивания: http://detsys.ru/catalog/sredstva_zashchit...Защита помещения от прослушивания: http://detsys.ru/catalog/sredstva_zashchit...
Защита помещения от прослушивания: http://detsys.ru/catalog/sredstva_zashchit...Детектор Системс
 
Код безопасности. Иван Бойцов. "Secret Net Studio - Комплексная защита конечн...
Код безопасности. Иван Бойцов. "Secret Net Studio - Комплексная защита конечн...Код безопасности. Иван Бойцов. "Secret Net Studio - Комплексная защита конечн...
Код безопасности. Иван Бойцов. "Secret Net Studio - Комплексная защита конечн...Expolink
 
Код безопасности. Иван Бойцов. "Secret Net Studio - Комплексная защита конечн...
Код безопасности. Иван Бойцов. "Secret Net Studio - Комплексная защита конечн...Код безопасности. Иван Бойцов. "Secret Net Studio - Комплексная защита конечн...
Код безопасности. Иван Бойцов. "Secret Net Studio - Комплексная защита конечн...Expolink
 
Безопасность для сайта
Безопасность для сайтаБезопасность для сайта
Безопасность для сайтаMaksym Balaklytskyi
 
Bitdefender io t_pta_2017
Bitdefender io t_pta_2017Bitdefender io t_pta_2017
Bitdefender io t_pta_2017Пиняев Андрей
 
Как взломать телеком и остаться в живых
Как взломать телеком и остаться в живыхКак взломать телеком и остаться в живых
Как взломать телеком и остаться в живыхqqlan
 
Евгений Кутя - Информационная безопасность
Евгений Кутя - Информационная безопасностьЕвгений Кутя - Информационная безопасность
Евгений Кутя - Информационная безопасностьGAiN@ESD
 
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...Expolink
 
1 современные малобюджетные методы построения колл-центров и систем ip-телефонии
1 современные малобюджетные методы построения колл-центров и систем ip-телефонии1 современные малобюджетные методы построения колл-центров и систем ip-телефонии
1 современные малобюджетные методы построения колл-центров и систем ip-телефонииVladimir Dudchenko
 
Мегафон - Решения для Бизнеса
Мегафон - Решения для БизнесаМегафон - Решения для Бизнеса
Мегафон - Решения для БизнесаExpolink
 
Удобные и доступные решения строгой аутентификации HID Activid
Удобные и доступные решения строгой аутентификации HID ActividУдобные и доступные решения строгой аутентификации HID Activid
Удобные и доступные решения строгой аутентификации HID Actividjournalrubezh
 
12 причин хорошего SOC
12 причин хорошего SOC12 причин хорошего SOC
12 причин хорошего SOCDenis Batrankov, CISSP
 
Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks Denis Batrankov, CISSP
 
Защита данных безнеса с помощью шифрования
Защита данных безнеса с помощью шифрованияЗащита данных безнеса с помощью шифрования
Защита данных безнеса с помощью шифрованияVladyslav Radetsky
 
Обеспечение безопасности активов современного бизнеса с помощью криптографии
Обеспечение безопасности активов современного бизнеса с помощью криптографии Обеспечение безопасности активов современного бизнеса с помощью криптографии
Обеспечение безопасности активов современного бизнеса с помощью криптографии BAKOTECH
 
Dissertaziya
DissertaziyaDissertaziya
DissertaziyaEkaterina Vedenyapina
 

More Related Content

What's hot

Безопасность Вашего мобильного бизнеса
Безопасность Вашего мобильного бизнесаБезопасность Вашего мобильного бизнеса
Безопасность Вашего мобильного бизнесаКРОК
 
Bitdefender интернет вещей_2017
Bitdefender интернет вещей_2017Bitdefender интернет вещей_2017
Bitdefender интернет вещей_2017Denis Eliseev
 
Криптография в кармане
Криптография в карманеКриптография в кармане
Криптография в карманеAleksei Goldbergs
 
Видео и голосовая система для заключенных
Видео и голосовая система для заключенныхВидео и голосовая система для заключенных
Видео и голосовая система для заключенныхGeorge Wainblat
 
ALTELL NEO - Универсальные сертфиицированные ФСТЭК устройства защиты сети
ALTELL NEO - Универсальные сертфиицированные ФСТЭК устройства защиты сети ALTELL NEO - Универсальные сертфиицированные ФСТЭК устройства защиты сети
ALTELL NEO - Универсальные сертфиицированные ФСТЭК устройства защиты сети Компания ИНТРО
 
Защита помещения от прослушивания: http://detsys.ru/catalog/sredstva_zashchit...
Защита помещения от прослушивания: http://detsys.ru/catalog/sredstva_zashchit...Защита помещения от прослушивания: http://detsys.ru/catalog/sredstva_zashchit...
Защита помещения от прослушивания: http://detsys.ru/catalog/sredstva_zashchit...Детектор Системс
 
Код безопасности. Иван Бойцов. "Secret Net Studio - Комплексная защита конечн...
Код безопасности. Иван Бойцов. "Secret Net Studio - Комплексная защита конечн...Код безопасности. Иван Бойцов. "Secret Net Studio - Комплексная защита конечн...
Код безопасности. Иван Бойцов. "Secret Net Studio - Комплексная защита конечн...Expolink
 
Код безопасности. Иван Бойцов. "Secret Net Studio - Комплексная защита конечн...
Код безопасности. Иван Бойцов. "Secret Net Studio - Комплексная защита конечн...Код безопасности. Иван Бойцов. "Secret Net Studio - Комплексная защита конечн...
Код безопасности. Иван Бойцов. "Secret Net Studio - Комплексная защита конечн...Expolink
 

What's hot (9)

Безопасность Вашего мобильного бизнеса
Безопасность Вашего мобильного бизнесаБезопасность Вашего мобильного бизнеса
Безопасность Вашего мобильного бизнеса
 
Bitdefender интернет вещей_2017
Bitdefender интернет вещей_2017Bitdefender интернет вещей_2017
Bitdefender интернет вещей_2017
 
защита информации
защита информациизащита информации
защита информации
 
Криптография в кармане
Криптография в карманеКриптография в кармане
Криптография в кармане
 
Видео и голосовая система для заключенных
Видео и голосовая система для заключенныхВидео и голосовая система для заключенных
Видео и голосовая система для заключенных
 
ALTELL NEO - Универсальные сертфиицированные ФСТЭК устройства защиты сети
ALTELL NEO - Универсальные сертфиицированные ФСТЭК устройства защиты сети ALTELL NEO - Универсальные сертфиицированные ФСТЭК устройства защиты сети
ALTELL NEO - Универсальные сертфиицированные ФСТЭК устройства защиты сети
 
Защита помещения от прослушивания: http://detsys.ru/catalog/sredstva_zashchit...
Защита помещения от прослушивания: http://detsys.ru/catalog/sredstva_zashchit...Защита помещения от прослушивания: http://detsys.ru/catalog/sredstva_zashchit...
Защита помещения от прослушивания: http://detsys.ru/catalog/sredstva_zashchit...
 
Код безопасности. Иван Бойцов. "Secret Net Studio - Комплексная защита конечн...
Код безопасности. Иван Бойцов. "Secret Net Studio - Комплексная защита конечн...Код безопасности. Иван Бойцов. "Secret Net Studio - Комплексная защита конечн...
Код безопасности. Иван Бойцов. "Secret Net Studio - Комплексная защита конечн...
 
Код безопасности. Иван Бойцов. "Secret Net Studio - Комплексная защита конечн...
Код безопасности. Иван Бойцов. "Secret Net Studio - Комплексная защита конечн...Код безопасности. Иван Бойцов. "Secret Net Studio - Комплексная защита конечн...
Код безопасности. Иван Бойцов. "Secret Net Studio - Комплексная защита конечн...
 

Similar to безопасность Voip yealink&yeastar

Безопасность для сайта
Безопасность для сайтаБезопасность для сайта
Безопасность для сайтаMaksym Balaklytskyi
 
Как взломать телеком и остаться в живых
Как взломать телеком и остаться в живыхКак взломать телеком и остаться в живых
Как взломать телеком и остаться в живыхqqlan
 
Евгений Кутя - Информационная безопасность
Евгений Кутя - Информационная безопасностьЕвгений Кутя - Информационная безопасность
Евгений Кутя - Информационная безопасностьGAiN@ESD
 
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...Expolink
 
1 современные малобюджетные методы построения колл-центров и систем ip-телефонии
1 современные малобюджетные методы построения колл-центров и систем ip-телефонии1 современные малобюджетные методы построения колл-центров и систем ip-телефонии
1 современные малобюджетные методы построения колл-центров и систем ip-телефонииVladimir Dudchenko
 
Мегафон - Решения для Бизнеса
Мегафон - Решения для БизнесаМегафон - Решения для Бизнеса
Мегафон - Решения для БизнесаExpolink
 
Удобные и доступные решения строгой аутентификации HID Activid
Удобные и доступные решения строгой аутентификации HID ActividУдобные и доступные решения строгой аутентификации HID Activid
Удобные и доступные решения строгой аутентификации HID Actividjournalrubezh
 
Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks Denis Batrankov, CISSP
 
Защита данных безнеса с помощью шифрования
Защита данных безнеса с помощью шифрованияЗащита данных безнеса с помощью шифрования
Защита данных безнеса с помощью шифрованияVladyslav Radetsky
 
Обеспечение безопасности активов современного бизнеса с помощью криптографии
Обеспечение безопасности активов современного бизнеса с помощью криптографии Обеспечение безопасности активов современного бизнеса с помощью криптографии
Обеспечение безопасности активов современного бизнеса с помощью криптографии BAKOTECH
 
Рабочие места и информационная безопасность
Рабочие места и информационная безопасностьРабочие места и информационная безопасность
Рабочие места и информационная безопасностьSystola
 
Мобильные устройства + BYOD + Критичные данные = ?
Мобильные устройства + BYOD + Критичные данные = ?Мобильные устройства + BYOD + Критичные данные = ?
Мобильные устройства + BYOD + Критичные данные = ?Positive Hack Days
 
Как взломать телеком и остаться в живых. Сергей Гордейчик
Как взломать телеком и остаться в живых. Сергей ГордейчикКак взломать телеком и остаться в живых. Сергей Гордейчик
Как взломать телеком и остаться в живых. Сергей ГордейчикPositive Hack Days
 
Построение системы IP телефонии
Построение системы IP телефонииПостроение системы IP телефонии
Построение системы IP телефонииTechExpert
 
Безопасность для сайта
Безопасность для сайтаБезопасность для сайта
Безопасность для сайтаMaksym Balaklytskyi
 

Similar to безопасность Voip yealink&yeastar (20)

Безопасность для сайта
Безопасность для сайтаБезопасность для сайта
Безопасность для сайта
 
Bitdefender io t_pta_2017
Bitdefender io t_pta_2017Bitdefender io t_pta_2017
Bitdefender io t_pta_2017
 
Как взломать телеком и остаться в живых
Как взломать телеком и остаться в живыхКак взломать телеком и остаться в живых
Как взломать телеком и остаться в живых
 
Евгений Кутя - Информационная безопасность
Евгений Кутя - Информационная безопасностьЕвгений Кутя - Информационная безопасность
Евгений Кутя - Информационная безопасность
 
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
 
1 современные малобюджетные методы построения колл-центров и систем ip-телефонии
1 современные малобюджетные методы построения колл-центров и систем ip-телефонии1 современные малобюджетные методы построения колл-центров и систем ip-телефонии
1 современные малобюджетные методы построения колл-центров и систем ip-телефонии
 
Мегафон - Решения для Бизнеса
Мегафон - Решения для БизнесаМегафон - Решения для Бизнеса
Мегафон - Решения для Бизнеса
 
Удобные и доступные решения строгой аутентификации HID Activid
Удобные и доступные решения строгой аутентификации HID ActividУдобные и доступные решения строгой аутентификации HID Activid
Удобные и доступные решения строгой аутентификации HID Activid
 
12 причин хорошего SOC
12 причин хорошего SOC12 причин хорошего SOC
12 причин хорошего SOC
 
Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks
 
Защита данных безнеса с помощью шифрования
Защита данных безнеса с помощью шифрованияЗащита данных безнеса с помощью шифрования
Защита данных безнеса с помощью шифрования
 
Обеспечение безопасности активов современного бизнеса с помощью криптографии
Обеспечение безопасности активов современного бизнеса с помощью криптографии Обеспечение безопасности активов современного бизнеса с помощью криптографии
Обеспечение безопасности активов современного бизнеса с помощью криптографии
 
Dissertaziya
DissertaziyaDissertaziya
Dissertaziya
 
Рабочие места и информационная безопасность
Рабочие места и информационная безопасностьРабочие места и информационная безопасность
Рабочие места и информационная безопасность
 
Мобильные устройства + BYOD + Критичные данные = ?
Мобильные устройства + BYOD + Критичные данные = ?Мобильные устройства + BYOD + Критичные данные = ?
Мобильные устройства + BYOD + Критичные данные = ?
 
Как взломать телеком и остаться в живых. Сергей Гордейчик
Как взломать телеком и остаться в живых. Сергей ГордейчикКак взломать телеком и остаться в живых. Сергей Гордейчик
Как взломать телеком и остаться в живых. Сергей Гордейчик
 
152 ready
152 ready152 ready
152 ready
 
Построение системы IP телефонии
Построение системы IP телефонииПостроение системы IP телефонии
Построение системы IP телефонии
 
Virtual Private Networks.Ru
Virtual Private Networks.RuVirtual Private Networks.Ru
Virtual Private Networks.Ru
 
Безопасность для сайта
Безопасность для сайтаБезопасность для сайта
Безопасность для сайта
 

More from Даниил Силантьев

Перспективы развития услуг мобльной передачи данных
Перспективы развития услуг мобльной передачи данныхПерспективы развития услуг мобльной передачи данных
Перспективы развития услуг мобльной передачи данныхДаниил Силантьев
 
13. Роман Фадеев "Правовые риски в email маркетинге"
13. Роман Фадеев "Правовые риски в email маркетинге"13. Роман Фадеев "Правовые риски в email маркетинге"
13. Роман Фадеев "Правовые риски в email маркетинге"Даниил Силантьев
 
11. Кудренко Дмитрий "Неизвестный email-маркетинг"
11. Кудренко Дмитрий "Неизвестный email-маркетинг"11. Кудренко Дмитрий "Неизвестный email-маркетинг"
11. Кудренко Дмитрий "Неизвестный email-маркетинг"Даниил Силантьев
 
10. Рысь Александр "Контент в email маркетинге: 10 работающих идей"
10. Рысь Александр "Контент в email маркетинге: 10 работающих идей"10. Рысь Александр "Контент в email маркетинге: 10 работающих идей"
10. Рысь Александр "Контент в email маркетинге: 10 работающих идей"Даниил Силантьев
 
9. Ильин Владимир Сегментация и персонализация в емейл-маркетинге
9. Ильин Владимир Сегментация и персонализация в емейл-маркетинге9. Ильин Владимир Сегментация и персонализация в емейл-маркетинге
9. Ильин Владимир Сегментация и персонализация в емейл-маркетингеДаниил Силантьев
 
8. Савицкая Юлия Стратегия email маркетинга: как сэкономить время, средства ...
8. Савицкая Юлия Стратегия email маркетинга: как сэкономить время, средства ...8. Савицкая Юлия Стратегия email маркетинга: как сэкономить время, средства ...
8. Савицкая Юлия Стратегия email маркетинга: как сэкономить время, средства ...Даниил Силантьев
 
12. Иван Шкиря "Почта в одном b2b-сервисе"
12. Иван Шкиря "Почта в одном b2b-сервисе"12. Иван Шкиря "Почта в одном b2b-сервисе"
12. Иван Шкиря "Почта в одном b2b-сервисе"Даниил Силантьев
 
4. Сас Андрей "email-маркетинг на крупных базах подписчиков"
4. Сас Андрей "email-маркетинг на крупных базах подписчиков"4. Сас Андрей "email-маркетинг на крупных базах подписчиков"
4. Сас Андрей "email-маркетинг на крупных базах подписчиков"Даниил Силантьев
 
6. Александр Пуртов "Репутационные оценки рассылок"
6. Александр Пуртов "Репутационные оценки рассылок"6. Александр Пуртов "Репутационные оценки рассылок"
6. Александр Пуртов "Репутационные оценки рассылок"Даниил Силантьев
 
1. Силантьев Даниил "email-маркетинг с опорой на конкурентов"
1. Силантьев Даниил "email-маркетинг с опорой на конкурентов"1. Силантьев Даниил "email-маркетинг с опорой на конкурентов"
1. Силантьев Даниил "email-маркетинг с опорой на конкурентов"Даниил Силантьев
 
3. Дмитрий Пивоваров — "опыт e96 в рассылках"
3. Дмитрий Пивоваров — "опыт e96 в рассылках"3. Дмитрий Пивоваров — "опыт e96 в рассылках"
3. Дмитрий Пивоваров — "опыт e96 в рассылках"Даниил Силантьев
 
Email-маркетинг (для) уральских компаний
Email-маркетинг (для) уральских компанийEmail-маркетинг (для) уральских компаний
Email-маркетинг (для) уральских компанийДаниил Силантьев
 
Думай как подписчик. Лайфхаки емэйл-маркетолога
Думай как подписчик. Лайфхаки емэйл-маркетологаДумай как подписчик. Лайфхаки емэйл-маркетолога
Думай как подписчик. Лайфхаки емэйл-маркетологаДаниил Силантьев
 
ВЕЧЕР EMAIL-МАРКЕТИНГА В ЕКАТЕРИНБУРГЕ
ВЕЧЕР EMAIL-МАРКЕТИНГА В ЕКАТЕРИНБУРГЕВЕЧЕР EMAIL-МАРКЕТИНГА В ЕКАТЕРИНБУРГЕ
ВЕЧЕР EMAIL-МАРКЕТИНГА В ЕКАТЕРИНБУРГЕДаниил Силантьев
 
Email-маркетинг для организаторов мероприятий
Email-маркетинг для организаторов мероприятийEmail-маркетинг для организаторов мероприятий
Email-маркетинг для организаторов мероприятийДаниил Силантьев
 

More from Даниил Силантьев (20)

презентация Huawei
презентация Huaweiпрезентация Huawei
презентация Huawei
 
Перспективы развития услуг мобльной передачи данных
Перспективы развития услуг мобльной передачи данныхПерспективы развития услуг мобльной передачи данных
Перспективы развития услуг мобльной передачи данных
 
13. Роман Фадеев "Правовые риски в email маркетинге"
13. Роман Фадеев "Правовые риски в email маркетинге"13. Роман Фадеев "Правовые риски в email маркетинге"
13. Роман Фадеев "Правовые риски в email маркетинге"
 
11. Кудренко Дмитрий "Неизвестный email-маркетинг"
11. Кудренко Дмитрий "Неизвестный email-маркетинг"11. Кудренко Дмитрий "Неизвестный email-маркетинг"
11. Кудренко Дмитрий "Неизвестный email-маркетинг"
 
7. николаев леонид mail con_2015
7. николаев леонид mail con_20157. николаев леонид mail con_2015
7. николаев леонид mail con_2015
 
10. Рысь Александр "Контент в email маркетинге: 10 работающих идей"
10. Рысь Александр "Контент в email маркетинге: 10 работающих идей"10. Рысь Александр "Контент в email маркетинге: 10 работающих идей"
10. Рысь Александр "Контент в email маркетинге: 10 работающих идей"
 
9. Ильин Владимир Сегментация и персонализация в емейл-маркетинге
9. Ильин Владимир Сегментация и персонализация в емейл-маркетинге9. Ильин Владимир Сегментация и персонализация в емейл-маркетинге
9. Ильин Владимир Сегментация и персонализация в емейл-маркетинге
 
8. Савицкая Юлия Стратегия email маркетинга: как сэкономить время, средства ...
8. Савицкая Юлия Стратегия email маркетинга: как сэкономить время, средства ...8. Савицкая Юлия Стратегия email маркетинга: как сэкономить время, средства ...
8. Савицкая Юлия Стратегия email маркетинга: как сэкономить время, средства ...
 
12. Иван Шкиря "Почта в одном b2b-сервисе"
12. Иван Шкиря "Почта в одном b2b-сервисе"12. Иван Шкиря "Почта в одном b2b-сервисе"
12. Иван Шкиря "Почта в одном b2b-сервисе"
 
4. Сас Андрей "email-маркетинг на крупных базах подписчиков"
4. Сас Андрей "email-маркетинг на крупных базах подписчиков"4. Сас Андрей "email-маркетинг на крупных базах подписчиков"
4. Сас Андрей "email-маркетинг на крупных базах подписчиков"
 
6. Александр Пуртов "Репутационные оценки рассылок"
6. Александр Пуртов "Репутационные оценки рассылок"6. Александр Пуртов "Репутационные оценки рассылок"
6. Александр Пуртов "Репутационные оценки рассылок"
 
1. Силантьев Даниил "email-маркетинг с опорой на конкурентов"
1. Силантьев Даниил "email-маркетинг с опорой на конкурентов"1. Силантьев Даниил "email-маркетинг с опорой на конкурентов"
1. Силантьев Даниил "email-маркетинг с опорой на конкурентов"
 
3. Дмитрий Пивоваров — "опыт e96 в рассылках"
3. Дмитрий Пивоваров — "опыт e96 в рассылках"3. Дмитрий Пивоваров — "опыт e96 в рассылках"
3. Дмитрий Пивоваров — "опыт e96 в рассылках"
 
Проект Timejob
Проект TimejobПроект Timejob
Проект Timejob
 
Проект СлейКнигу
Проект СлейКнигуПроект СлейКнигу
Проект СлейКнигу
 
Email-маркетинг (для) уральских компаний
Email-маркетинг (для) уральских компанийEmail-маркетинг (для) уральских компаний
Email-маркетинг (для) уральских компаний
 
Думай как подписчик. Лайфхаки емэйл-маркетолога
Думай как подписчик. Лайфхаки емэйл-маркетологаДумай как подписчик. Лайфхаки емэйл-маркетолога
Думай как подписчик. Лайфхаки емэйл-маркетолога
 
ВЕЧЕР EMAIL-МАРКЕТИНГА В ЕКАТЕРИНБУРГЕ
ВЕЧЕР EMAIL-МАРКЕТИНГА В ЕКАТЕРИНБУРГЕВЕЧЕР EMAIL-МАРКЕТИНГА В ЕКАТЕРИНБУРГЕ
ВЕЧЕР EMAIL-МАРКЕТИНГА В ЕКАТЕРИНБУРГЕ
 
Email-маркетинг для ИТ-компаний
Email-маркетинг для ИТ-компанийEmail-маркетинг для ИТ-компаний
Email-маркетинг для ИТ-компаний
 
Email-маркетинг для организаторов мероприятий
Email-маркетинг для организаторов мероприятийEmail-маркетинг для организаторов мероприятий
Email-маркетинг для организаторов мероприятий
 

безопасность Voip yealink&yeastar

  • 1. «Механизмы обеспечения безопасности коммуникаций» Дмитрий Балашов
  • 2. Проблемы безопасности в IP-сетях Решение проблем безопасности средствами телефонов Yealink
  • 3. Существующие угрозы и проблемы безопасности телефонных IP-сетей
  • 4. Коммуникационные топологии Провайдер IP-телефонии Интернет ГТС Интернет ГТС IP-АТС Локальная АТС «Облачная» АТС IP-телефоны - такие же сетевые устройства как и персональные компьютеры, поэтому обеспечение их безопасности является важным аспектом комплексной безопасности сети, особенно при использовании «облачных» решений.
  • 9. 802.1X/EAP для защиты локальной сети • Неизвестный злоумышленник может подключиться к сети компании через PC-порт телефона, находящегося в приемной и скопировать конфиденциальные данные. • • • Стандарт 802.1X ограничивает права неавторизованных компьютеров. Методы EAP аутентификации: MD5, TLS. Multi-Domain Authentication (MDA). Проблема Решение Авторизация2 X Голос VLAN Не авторизован Коммутатор Данные VLAN Авторизация 1 RADIUS Server
  • 10. Стандарт 802.1X в телефонах Yealink Режим Описание Программное обеспечение EAP-TLS • Клиентский сертификат • Доверенные сертификаты Root/CA • Идентификация по имени устройства V60 и старше EAP-MD5 • Идентификация по имени устройства • Пароль V60 и старше EAP-TTLS/EAP-MSCHAPv2 • Доверенные сертификаты Root/CA • Идентификация по имени устройства • Пароль V71 EAP-PEAPv0/MSCHAPv2 • Доверенные сертификаты Root/CA • Идентификация по имени устройства • Пароль V71 Multiple Domain Authentication (MDA) • Позволяет IP-телефону и ПК авторизоваться в локальной сети через один и тот же порт коммутатора V71
  • 11. VLAN для качества связи Проблема Решение • Качество передачи голоса – главное преимущество использования IPтелефона локальной сети компании. • • • • Ручная и автоматическая (с помощи LLDP или DHCP) настройка VLAN ID. Использование VLAN гарантирует полосу пропускания для голоса. Предотвращение сетевых коллизий. Настройка защиты для IP-телефонов. PoE-коммутатор Голосовой VLAN VLAN для данных Голосовой VLAN VLAN для данных
  • 12. VPN для удаленных пользователей Проблема • • Решение • • Проблемы безопасности при подключении удаленного пользователя к головному офису. Приобретение роутеров с поддержкой VPN для удаленных пользователей. Встроенный в телефон OpenVPN-клиент. Удаленные пользователи могут с высокой степенью защиты регистрировать IP-телефоны на офисной IP-АТС. IP-АТС Internet VPN-тоннель Удаленные пользователи Сервер VPN Офис
  • 14. TLS — шифрование сигнализации Проблема Решение • При звонке друг другу, SIP ID и телефонные номера обоих абонентов могут быть перехвачены злоумышленником. • • • Использование криптографического протокола TLS. Авторизация вызывающего и вызываемого абонентов. Шифрование SIP-сообщений. Шифрование сигнализации TLS IP-АТС Шифрование сигнализации TLS Шифрование голоса SRTP 14
  • 15. SRTP — шифрование голоса Проблема • Разговоры сотрудников прослушиваются злоумышленниками. Решение • • 128-битный алгоритм шифрования AES Шифрование медиа-потока Шифрование сигнализации TLS IP-АТС Шифрование сигнализации TLS Шифрование голоса SRTP 15
  • 17. Блокировка телефона • • Проблема Необходимо защитить персональные аккаунты, историю вызовов, контакты и настройки офисных пользователей. Пользователь может заблокировать свой IP-телефон и предотвратить доступ к личным данным. Три режима блокировки: Все кнопки/Кнопки меню/Программируемые кнопки Режимы срабатывания: Автоматическая или ручная блокировка PIN может содержать до 15 символов Экстренные номера всегда доступны для набора. Решение • • • • • Блокировка • PIN для разблокировки
  • 18. Замок Кенсингтона • Физическое закрепление телефона для предотвращения кражи, например из холла с большим числом посетителей. Слот для замка Кенсингтона
  • 20. HTTPS Provisioning Проблема Решение • • • Требуется защитить файлы конфигурации, которые IP-телефон получает при AutoProvision. • • • • Обоюдная авторизация устройств по TLS при обновлении конфигурации. Заводской сертификат, привязанный к MAC-адресу. Заводской список основных корневых сертификатов. Загрузки персональных корневых сертификатов с SSL шифрованием Корневой сертификат Привязанный к MAC-адресу сертификат, зашифрованный SSL Авторизация на сервере Авторизация на телефоне Конфигурационные файлы • • Корневой сертификат Ключевой SSL-сертификат
  • 21. Шифрование конфигурационных файлов Проблема Решение • Администраторы небольших компаний не обладают знаниями о TLS/SSL. Требуется несложный механизм шифрования конфигурационных файлов. • • • Шифрование конфигурационных файлов. Утилита для шифрования со встроенным AES-ключом. В телефоне встроен уникальный AES-ключ. Internet Provisioning Server ② Зашифрованные конфигурационные файлы 2 ① С помощью утилиты Yealink и использованием двух ключей шифруются конфигурационные файлы 1 cfg.enc Зашифрован Ключом 2 key2.enc Зашифрован Ключом 1 ③ Встроенным Ключом 1 дешифруется Ключ 2 ④ Ключом 2 Дешифруется конфигурационный файл
  • 23. Доверенный IP для взаимодействия с ПК Проблема Решение • Телефоны Yealink могут быть интегрированы с компьютерными приложениями, позволяющими выполнять управление телефоном с ПК. Злоумышленник может воспользоваться данной функцией. • • • Только доверенные ПК могут взаимодействовать телефоном. Список IP-адресов для использования функций Action URI/URL. Пользователь сам предоставляет доступ к телефону. Интеграция с MS Outlook Управление телефоном с доверенного IP-адреса «click-to-call» и отслеживание событий Action URI/URL
  • 24. Доверенный сервер XML-приложений • Телефоны Yealink имеют встроенный XML-браузер. Данную возможностью может воспользоваться злоумышленник. • Только доверенный сервер может управлять телефоном через XMLбраузер. Список доверенных серверов для получения XML-сообщений. Пользователь сам предоставляет доступ к телефону Проблема Решение Сервер XML-приложений • • Управление телефоном с доверенного сервера Получение XML-сообщения Использование XML-браузера
  • 25. Уровни безопасности Уровень приложений Транспортный уровень HTTPS web SRTP CTI Trusted IP Config Files Encryption Digest Authentication TLS Сетевой уровень Уровень доступа к сети HTTPS Provision Disabling Ping 802.1x VLAN VPN Disabling PC Port
  • 26. Спасибо за внимание!  Дмитрий Балашов ООО «АйПиМатика» Москва, ул. Свободы д.1 корп.6 Тел: +7 (495) 921 36 70 Skype: ipmatika_dmitriy Email: balashov@ipmatika.ru