Распространенные угрозы безопасности в современном компьютерном мире

Так как Skype для бизнеса Server — это система связи корпоративного класса, следует знать о распространенных атаках безопасности, которые могут повлиять на инфраструктуру и коммуникации.

Атака с использованием скомпрометированного ключа

Ключ — это секретный код или число, используемые для шифрования, расшифровки или проверки секретных сведений. В инфраструктуре открытых ключей (PKI) используются два конфиденциальных ключа, которые необходимо учитывать:

• Закрытый ключ, который есть у каждого владельца сертификата

• Ключ сеанса, который используется после успешной идентификации и обмена ключами сеансов между участниками обмена данными

Атака с использованием скомпрометированного ключа происходит, когда злоумышленнику удается получить закрытый ключ или ключ сеанса. После этого он может использовать полученный ключ для расшифровки зашифрованных данных без ведома отправителя.

Skype для бизнеса Server использует функции PKI в операционной системе Windows Server для защиты ключевых данных, используемых для шифрования подключений TLS. Ключи, используемые для шифрования, передаются по каналам TLS.

Атака отказа в обслуживании сети

Атака типа "отказ в обслуживании" осуществляются, когда злоумышленник препятствует нормальной работе сети и ее использованию проверенными пользователями. Для этого злоумышленник отправляет службе большое количество формально допустимых запросов, которые мешают работе с ней нормальных пользователей. С помощью атаки типа "отказ в обслуживании" злоумышленник может выполнить перечисленные ниже задачи.

• Отправка недействительных данных приложениям и службам, работающим в атакуемой сети, для нарушения их нормальной работы.

• Отправка больших объемов трафика, перегружающего систему, пока она не прекратит реагировать на нормальные запросы либо время реакции не замедлится.

• Сокрытие следов атаки.

• Нарушение доступа пользователей к ресурсам сети.

Прослушивание (сканирование, слежение)

Прослушивание осуществляется, когда злоумышленнику удается получить доступ к каналам передачи данных в сети с возможностью контролировать и просматривать трафик. Такой тип атаки также называется сканированием или слежением. Если трафик передается в виде обычного текста, злоумышленник может прочитать его, получив доступ к каналу обмена данными. Примером такой атаки является контроль маршрутизатора в составе такого канала.

По умолчанию для трафика в Skype для бизнеса Server рекомендуется использовать взаимный ПРОТОКОЛ TLS (MTLS) между доверенными серверами и TLS от клиента к серверу. Такая защитная мера существенно затруднит атаку или сделает ее невозможной в рамках периода, в течение которого осуществляется обмен информацией. При работе по протоколу TLS производится проверка подлинности всех участников и шифруется весь трафик. Это не защищает от прослушивания, однако злоумышленнику не удастся прочитать передаваемые данные, если только он не взломает систему шифрования.

Протокол TURN не требует шифрования трафика, и отправляемая с его использованием информация защищается посредством контроля целостности сообщений. Хотя этот протокол открыт для прослушивания, передаваемые по нему данные (IP-адреса и порт) можно получить непосредственно путем простого анализа исходного и конечного адресов пакета. Пограничная служба аудио- и видеоданных проверяет действительность информации посредством контроля целостности сообщений с помощью ключа, основанного на нескольких элементах, включая пароль TURN, который никогда не передается в виде простого текста. При использовании протокола SRTP также шифруются мультимедийные данные.

Подделывание удостоверений (спуфингой IP-адреса и идентификатора вызывающего абонента)

Подмена удостоверений происходит, когда злоумышленник определяет и использует номер телефона допустимого пользователя (идентификатор звонящего) или IP-адрес сети, компьютера или сетевого компонента без разрешения на это. Успешная атака позволяет злоумышленнику работать так, как если бы злоумышленник был сущностью, обычно идентифицированной по номеру телефона (идентификатору звонящего) или IP-адресу.

В контексте Skype для бизнеса Server спуфингом IP-адресов используется только в том случае, если администратор выполнил следующие действия:

• Настроил подключения, поддерживающие только протокол TCP (делать этого не рекомендуется, так как данные, передаваемые по протоколу TCP, не шифруются).

• Отметил IP-адреса участников таких подключений как надежные узлы.

Эта проблема менее актуальна для подключений по протоколу TLS, так как при обмене данными по этому протоколу производится проверка подлинности всех участников и шифрование всей информации. Использование TLS не позволяет злоумышленнику выполнить IP-спуфинг для определенного подключения (например, для соединений, оба участника которых работают по этому протоколу). Но злоумышленник по-прежнему может подделыть адрес DNS-сервера, который Skype для бизнеса Server использует. Тем не менее, так как проверка подлинности в Skype для бизнеса выполняется с помощью сертификатов, злоумышленник не будет иметь действительный сертификат, необходимый для подделывания одной из сторон в обмене данными.

С другой стороны, подделывание идентификатора абонента начинается, когда вы установили магистраль SIP между поставщиком, шлюзом ТСОП или другой системой УАТС и Skype для бизнеса Server. В таких случаях Skype для бизнеса Server не обеспечивает никакой защиты от подмены идентификатора вызывающего объекта. Это означает, что пользователь Skype для бизнеса может принимать звонок из магистрали SIP с поддельным идентификатором звонящего, отображающим номер телефона или отображаемое имя (если применяется обратный поиск номера) другого Skype для бизнеса пользователя. Защита должна применяться на стороне поставщика, на стороне ТСОП или шлюза УАТС.

Атака типа "злоумышленник в середине"

Атака типа "злоумышленник в середине" происходит, когда злоумышленнику удается перенаправить данные, которыми обмениваются два пользователя, через свой компьютер без ведома этих пользователей. В результате злоумышленник получает возможность контролировать и просматривать трафик перед его отправкой предполагаемому получателю. Каждый из участников обмена данными на самом деле обменивается трафиком со злоумышленником, думая при этом, что информация передается второму пользователю. Такая ситуация может возникнуть, если злоумышленнику удается внести изменения в доменные службы Active Directory и добавить свой сервер в качестве доверенного либо изменить систему доменных имен (DNS) таким образом, чтобы клиенты подключались к серверу через компьютер злоумышленника. Атака "злоумышленник в середине" также может возникнуть при пересылке мультимедийных данных между двумя клиентами. Однако в Skype для бизнеса Server аудио, видео и общий доступ к приложениям, потоки шифруются с помощью SRTP, используя криптографические ключи, согласованные между одноранговыми узлами, использующими протокол SIP по протоколу TLS. На серверах (например, сервере группового чата) для дополнительной защиты сетевого трафика используется протокол HTTPS.

Атака с воспроизведением RTP

Атака с повторением осуществляется, когда действительная передача мультимедиа между двумя участниками перехватывается и повторно передается со злонамеренными целями. Защитить передаваемые данные от атаки с воспроизведением можно с помощью протокола SRTP в сочетании с протоколом безопасного обмена сигналами, которые позволяют получателю вести учет уже полученных пакетов RTP и сравнивать каждый новый пакет с уже имеющимися в списке.

Нежелательные мгновенные сообщения

Нежелательные мгновенные сообщения — это нежелательные мгновенные сообщения коммерческого характера либо запросы подписки на сведения о присутствии. Хотя такие сообщения сами по себе не нарушают безопасность сети, они как минимум раздражают пользователей, ухудшают их доступность и производительность и в перспективе могут привести к нарушению сетевой безопасности. Примером является отправка пользователями нежелательных запросов друг другу. Чтобы избавиться от таких запросов, пользователи могут блокировать друг друга, однако защититься от скоординированной атаки нежелательными мгновенными сообщениями в федеративной среде сложно без отключения федерации партнера.

Вирусы и черви

Вирус — это часть кода, предназначенная для воспроизведения дополнительных похожих фрагментов кода. Для работы вирусу требуется носитель, например файл, электронная почта или программа. Aworm — это единица кода, предназначенная для воспроизведения дополнительных аналогичных единиц кода, но не требует узла. Вирусы и черви в основном появляются при обмене файлами между клиентами, а также при получении URL-адресов от других пользователей. Если вирус находится на компьютере, он может, например, использовать идентификационные данные хозяина для отправки мгновенных сообщений от его имени.

Личные сведения

Skype для бизнеса Server может раскрывать информацию через общедоступную сеть, которая может быть связана с отдельным лицом. Сведения можно отнести к двум категориям.

• Расширенные данные о присутствии Расширенные данные о присутствии — это информация, которую пользователь может поделиться или не предоставлять по ссылке с федеративным партнером или с контактами в организации. Эти данные не передаются пользователям в общедоступной сети обмена мгновенными сообщениями. Администратор может в определенной мере контролировать доступ к такой информации с помощью политик и других настроек клиентов. В Skype для бизнеса Server для отдельного пользователя можно настроить расширенный режим конфиденциальности присутствия, чтобы предотвратить просмотр сведений о присутствии пользователя Skype для бизнеса пользователей, не в списке контактов пользователя. Расширенный режим конфиденциальности присутствия не запрещает пользователям Microsoft Office Communicator 2007 и Microsoft Office Communicator 2007 R2 просматривать сведения о присутствии пользователя. Дополнительные сведения о развертывании клиента и присутствии см. в разделах Развертывание клиентов для Skype для бизнеса Server и Планирование обмена мгновенными сообщениями и присутствия в Skype для бизнеса Server.

• Обязательные данные Обязательные данные требуются для правильной работы сервера или клиента и не контролируются клиентом или системой администрирования. Это сведения, которые необходимы на уровне сервера или сети для осуществления маршрутизации, поддержки состояния и передачи сигналов.

В таблицах ниже приведены данные, которые доступны в общедоступной сети.

Расширенные данные о присутствии

Обязательные данные