Распространенные угрозы безопасности в современном компьютерном мире

Skype for Business Server 2015
 

Дата изменения раздела:2016-03-22

Поскольку Skype для бизнеса Server 2015 — система связи корпоративного класса, необходимо знать о распространенных типах атак, которые могут повлиять на ее инфраструктуру и каналы обмена данными.

Ключ — это секретный код или число, используемые для шифрования, расшифровки или проверки секретных сведений. В инфраструктуре открытых ключей есть два важных ключа, которые требуют пристального внимания.

  • Закрытый ключ, который есть у каждого владельца сертификата

  • Ключ сеанса, который используется после успешной идентификации и обмена ключами сеансов между участниками обмена данными

Атака с использованием скомпрометированного ключа происходит, когда злоумышленнику удается получить закрытый ключ или ключ сеанса. После этого он может использовать полученный ключ для расшифровки зашифрованных данных без ведома отправителя.

Skype для бизнеса Server использует функции инфраструктуры открытых ключей операционной системы Windows Server для защиты ключей, которые применяются при шифровании данных, передаваемых по соединениям TLS. Ключи, используемые для шифрования, передаются по каналам TLS.

Атака типа "отказ в обслуживании" происходит, когда злоумышленнику удается нарушить нормальную работу сети и возможность ее штатного использования. Для этого злоумышленник отправляет службе большое количество формально допустимых запросов, которые мешают работе с ней нормальных пользователей. С помощью атаки типа "отказ в обслуживании" злоумышленник может выполнить перечисленные ниже задачи.

  • Отправка недействительных данных приложениям и службам, работающим в атакуемой сети, для нарушения их нормальной работы.

  • Отправка больших объемов трафика, перегружающего систему, пока она не прекратит реагировать на нормальные запросы либо время реакции не замедлится.

  • Сокрытие следов атаки.

  • Нарушение доступа пользователей к ресурсам сети.

Прослушивание осуществляется, когда злоумышленнику удается получить доступ к каналам передачи данных в сети с возможностью контролировать и просматривать трафик. Такой тип атаки также называется сканированием или слежением . Если трафик передается в виде обычного текста, злоумышленник может прочитать его, получив доступ к каналу обмена данными. Примером такой атаки является контроль маршрутизатора в составе такого канала.

Стандартная рекомендация по настройке параметров трафика в Skype для бизнеса Server — использование протокола TLS (MTLS) на обоих каналах обмена данными между доверенными серверами, а также протокола TLS при передаче данных от клиента серверу. Такая защитная мера существенно затруднит атаку или сделает ее невозможной в рамках периода, в течение которого осуществляется обмен информацией. При работе по протоколу TLS производится проверка подлинности всех участников и шифруется весь трафик. Это не защищает от прослушивания, однако злоумышленнику не удастся прочитать передаваемые данные, если только он не взломает систему шифрования.

Протокол TURN не требует шифрования трафика, и отправляемая с его использованием информация защищается посредством контроля целостности сообщений. Хотя этот протокол открыт для прослушивания, передаваемые по нему данные (IP-адреса и порт) можно получить непосредственно путем простого анализа исходного и конечного адресов пакета. Пограничная служба аудио- и видеоданных проверяет действительность информации посредством контроля целостности сообщений с помощью ключа, основанного на нескольких элементах, включая пароль TURN, который никогда не передается в виде простого текста. При использовании протокола SRTP также шифруются мультимедийные данные.

Спуфинг происходит, когда злоумышленнику удается несанкционированно определить IP-адрес сети, компьютера или элемента сети. Успешная атака позволяет злоумышленнику действовать под видом субъекта, обладающего допустимым IP-адресом. В контексте Skype для бизнеса Server такая ситуация возникает только в том случае, если администратор сделал две указанные ниже вещи.

  • Настроил подключения, поддерживающие только протокол TCP (делать этого не рекомендуется, так как данные, передаваемые по протоколу TCP, не шифруются).

  • Отметил IP-адреса участников таких подключений как надежные узлы.

Эта проблема менее актуальна для подключений по протоколу TLS, так как при обмене данными по этому протоколу производится проверка подлинности всех участников и шифрование всей информации. Использование TLS не позволяет злоумышленнику выполнить IP-спуфинг для определенного подключения (например, для соединений, оба участника которых работают по этому протоколу). При этом злоумышленник все же может подделать адрес DNS-сервера, используемого системой Skype для бизнеса Server. Однако поскольку проверка подлинности в Skype для бизнеса основана на сертификатах, у злоумышленника не будет действительного сертификата, необходимого для спуфинга одного из участников обмена данными.

Атака типа "злоумышленник в середине" происходит, когда злоумышленнику удается перенаправить данные, которыми обмениваются два пользователя, через свой компьютер без ведома этих пользователей. В результате злоумышленник получает возможность контролировать и просматривать трафик перед его отправкой предполагаемому получателю. Каждый из участников обмена данными на самом деле обменивается трафиком со злоумышленником, думая при этом, что информация передается второму пользователю. Такая ситуация может возникнуть, если злоумышленнику удается внести изменения в доменные службы Active Directory и добавить свой сервер в качестве доверенного либо изменить систему доменных имен (DNS) таким образом, чтобы клиенты подключались к серверу через компьютер злоумышленника. Атака "злоумышленник в середине" также может возникнуть при пересылке мультимедийных данных между двумя клиентами. Однако в одноранговых сеансах обмена аудио- и видеоданными и общего доступа к приложениям в Skype для бизнеса Server потоки информации шифруются с использованием протокола SRTP и криптографических ключей, которыми обмениваются участники подключения, использующие протокол SIP на базе TLS. На серверах (например, сервере группового чата) для дополнительной защиты сетевого трафика используется протокол HTTPS.

Атака с воспроизведением пакетов происходит при перехвате допустимых мультимедийных данных, которыми обмениваются две стороны, и их повторной пересылке в злонамеренных целях. Защитить передаваемые данные от атаки с воспроизведением можно с помощью протокола SRTP в сочетании с протоколом безопасного обмена сигналами, которые позволяют получателю вести учет уже полученных пакетов RTP и сравнивать каждый новый пакет с уже имеющимися в списке.

Нежелательные мгновенные сообщения  — это нежелательные мгновенные сообщения коммерческого характера либо запросы подписки на сведения о присутствии. Хотя такие сообщения сами по себе не нарушают безопасность сети, они как минимум раздражают пользователей, ухудшают их доступность и производительность и в перспективе могут привести к нарушению сетевой безопасности. Примером является отправка пользователями нежелательных запросов друг другу. Чтобы избавиться от таких запросов, пользователи могут блокировать друг друга, однако защититься от скоординированной атаки нежелательными мгновенными сообщениями в федеративной среде сложно без отключения федерации партнера.

Вирус  — это блок кода, задача которого — воспроизводство идентичных блоков. Для работы вирусу нужен носитель, например файл, сообщение электронной почты или программа. Вирус-червь  — это блок кода, задача которого —также воспроизводство идентичных блоков, однако носитель ему не нужен. Вирусы и черви в основном появляются при обмене файлами между клиентами, а также при получении URL-адресов от других пользователей. Если вирус находится на компьютере, он может, например, использовать идентификационные данные хозяина для отправки мгновенных сообщений от его имени.

В среде Skype для бизнеса Server существует риск раскрытия личных данных пользователей в общедоступной сети. Сведения можно отнести к двум категориям.

  • Расширенные данные о присутствии . Расширенные данные о присутствии — это сведения, которые пользователь может отправлять либо не отправлять по каналу связи федеративному партнеру либо своим контактам в организации. Эти данные не передаются пользователям в общедоступной сети обмена мгновенными сообщениями. Администратор может в определенной мере контролировать доступ к такой информации с помощью политик и других настроек клиентов. В Skype для бизнеса Server для отдельных пользователей можно настраивать режим конфиденциальности расширенных возможностей присутствия: в этом случае пользователи Skype для бизнеса, которые не входят в список контактов данного пользователя, не будут видеть сведений о его присутствии. Режим конфиденциальности расширенных возможностей присутствия не мешает пользователям Microsoft Office Communicator 2007 и Microsoft Office Communicator 2007 R2 видеть сведения о присутствии данного пользователя. Подробные сведения о развертывании клиента и функции присутствия см. в разделах Развертывание клиентов для Skype для бизнеса Server 2015 и Планирование обмена мгновенными сообщениями и оповещения о присутствии в Skype для бизнеса Server 2015.

  • Обязательные данные . Обязательные данные необходимы для работы сервера или клиента и НЕ контролируются клиентом или администратором. Это сведения, которые необходимы на уровне сервера или сети для осуществления маршрутизации, поддержки состояния и передачи сигналов.

В таблицах ниже приведены данные, которые доступны в общедоступной сети.

Расширенные данные о присутствии

Раскрываемые данные Возможные параметры

Личные данные

ФИО, должность, организация, адрес электронной почты, часовой пояс

Номера телефонов

Рабочий, мобильный, домашний

Данные календаря

Доступность, уведомление об отсутствии в городе, сведения о собраниях (для пользователей, имеющих доступ к календарю)

Состояние присутствия

Отсутствует, доступен, занят, не беспокоить, не в сети

Обязательные данные

Раскрываемые данные Пример сведений

IP-адрес

Фактический адрес компьютера или адрес NAT

Универсальный код ресурса SIP

jeremylos@litwareinc.com

 
Показ: