9. 802.1X/EAP для защиты локальной сети
•
Неизвестный злоумышленник может подключиться к сети компании через
PC-порт телефона, находящегося в приемной и скопировать
конфиденциальные данные.
•
•
•
Стандарт 802.1X ограничивает права неавторизованных компьютеров.
Методы EAP аутентификации: MD5, TLS.
Multi-Domain Authentication (MDA).
Проблема
Решение
Авторизация2
X
Голос
VLAN
Не авторизован
Коммутатор
Данные
VLAN
Авторизация 1
RADIUS
Server
10. Стандарт 802.1X в телефонах Yealink
Режим
Описание
Программное
обеспечение
EAP-TLS
• Клиентский сертификат
• Доверенные сертификаты Root/CA
• Идентификация по имени устройства
V60 и старше
EAP-MD5
• Идентификация по имени устройства
• Пароль
V60 и старше
EAP-TTLS/EAP-MSCHAPv2
• Доверенные сертификаты Root/CA
• Идентификация по имени устройства
• Пароль
V71
EAP-PEAPv0/MSCHAPv2
• Доверенные сертификаты Root/CA
• Идентификация по имени устройства
• Пароль
V71
Multiple Domain
Authentication (MDA)
• Позволяет IP-телефону и ПК
авторизоваться в локальной сети через
один и тот же порт коммутатора
V71
11. VLAN для качества связи
Проблема
Решение
•
Качество передачи голоса – главное преимущество использования IPтелефона локальной сети компании.
•
•
•
•
Ручная и автоматическая (с помощи LLDP или DHCP) настройка VLAN ID.
Использование VLAN гарантирует полосу пропускания для голоса.
Предотвращение сетевых коллизий.
Настройка защиты для IP-телефонов.
PoE-коммутатор
Голосовой
VLAN
VLAN для
данных
Голосовой
VLAN
VLAN для
данных
12. VPN для удаленных пользователей
Проблема
•
•
Решение
•
•
Проблемы безопасности при подключении удаленного пользователя к
головному офису.
Приобретение роутеров с поддержкой VPN для удаленных пользователей.
Встроенный в телефон OpenVPN-клиент.
Удаленные пользователи могут с высокой степенью защиты регистрировать
IP-телефоны на офисной IP-АТС.
IP-АТС
Internet
VPN-тоннель
Удаленные
пользователи
Сервер
VPN
Офис
14. TLS — шифрование сигнализации
Проблема
Решение
•
При звонке друг другу, SIP ID и телефонные номера обоих абонентов могут
быть перехвачены злоумышленником.
•
•
•
Использование криптографического протокола TLS.
Авторизация вызывающего и вызываемого абонентов.
Шифрование SIP-сообщений.
Шифрование
сигнализации
TLS
IP-АТС
Шифрование
сигнализации
TLS
Шифрование
голоса
SRTP
14
17. Блокировка телефона
•
•
Проблема
Необходимо защитить персональные аккаунты, историю вызовов, контакты и
настройки офисных пользователей.
Пользователь может заблокировать свой IP-телефон и предотвратить доступ к
личным данным.
Три режима блокировки: Все кнопки/Кнопки меню/Программируемые кнопки
Режимы срабатывания: Автоматическая или ручная блокировка
PIN может содержать до 15 символов
Экстренные номера всегда доступны для набора.
Решение
•
•
•
•
•
Блокировка
•
PIN для разблокировки
18. Замок Кенсингтона
• Физическое закрепление телефона для предотвращения кражи, например из
холла с большим числом посетителей.
Слот для замка
Кенсингтона
20. HTTPS Provisioning
Проблема
Решение
•
•
•
Требуется защитить файлы конфигурации, которые IP-телефон получает
при AutoProvision.
•
•
•
•
Обоюдная авторизация устройств по TLS при обновлении конфигурации.
Заводской сертификат, привязанный к MAC-адресу.
Заводской список основных корневых сертификатов.
Загрузки персональных корневых сертификатов с SSL шифрованием
Корневой сертификат
Привязанный к MAC-адресу
сертификат, зашифрованный SSL
Авторизация на сервере
Авторизация на телефоне
Конфигурационные файлы
•
•
Корневой сертификат
Ключевой SSL-сертификат
21. Шифрование конфигурационных файлов
Проблема
Решение
•
Администраторы небольших компаний не обладают знаниями о TLS/SSL.
Требуется несложный механизм шифрования конфигурационных файлов.
•
•
•
Шифрование конфигурационных файлов.
Утилита для шифрования со встроенным AES-ключом.
В телефоне встроен уникальный AES-ключ.
Internet
Provisioning
Server
② Зашифрованные конфигурационные файлы
2
① С помощью утилиты Yealink
и использованием двух ключей
шифруются конфигурационные файлы
1
cfg.enc
Зашифрован
Ключом 2
key2.enc
Зашифрован
Ключом 1
③ Встроенным Ключом 1
дешифруется Ключ 2
④ Ключом 2
Дешифруется
конфигурационный файл
23. Доверенный IP для взаимодействия с ПК
Проблема
Решение
•
Телефоны Yealink могут быть интегрированы с компьютерными
приложениями, позволяющими выполнять управление телефоном с ПК.
Злоумышленник может воспользоваться данной функцией.
•
•
•
Только доверенные ПК могут взаимодействовать телефоном.
Список IP-адресов для использования функций Action URI/URL.
Пользователь сам предоставляет доступ к телефону.
Интеграция
с MS Outlook
Управление телефоном
с доверенного IP-адреса
«click-to-call» и отслеживание событий
Action URI/URL
24. Доверенный сервер XML-приложений
•
Телефоны Yealink имеют встроенный XML-браузер.
Данную возможностью может воспользоваться злоумышленник.
•
Только доверенный сервер может управлять телефоном через XMLбраузер.
Список доверенных серверов для получения XML-сообщений.
Пользователь сам предоставляет доступ к телефону
Проблема
Решение
Сервер
XML-приложений
•
•
Управление телефоном
с доверенного сервера
Получение XML-сообщения
Использование XML-браузера
26. Спасибо за внимание!
Дмитрий Балашов
ООО «АйПиМатика»
Москва, ул. Свободы д.1 корп.6
Тел: +7 (495) 921 36 70
Skype: ipmatika_dmitriy
Email: balashov@ipmatika.ru