Τηλεφωνικό Δίκτυο: H Αχίλλειος πτέρνα της Πληροφοριακής Υποδομής

H διασφάλιση της μεταφοράς των κρίσιμων πληροφοριών μιας εταιρίας, όχι μόνο μέσα από το Internet αλλά πλέον και από το Δημόσιο Τηλεφωνικό Δίκτυο, αποτελεί στις μέρες μας, επιτακτική ανάγκη, που, για να καλυφθεί, απαιτείται αυξημένη τεχνογνωσία και συγκεκριμένες πολιτικές αντιμετώπισης.

Στη συντριπτική τους πλειοψηφία, οι εταιρείες σήμερα, διατηρούν τουλάχιστον μία σύνδεση με το Internet, με σκοπό την υποστήριξη των επιχειρηματικών τους αναγκών και την παροχή πρόσβασης σε υπηρεσίες ή άλλες επαγγελματικές λειτουργίες της εταιρείας.

Για τη διασφάλιση της σύνδεσης αυτής και την προστασία του εσωτερικού δικτύου, οι εταιρείες επενδύουν μεγάλα ποσά σε συστήματα ασφαλείας, όπως: firewalls, VPN devices, IDS/IPS, Anti-virus, Content Filtering κ.ά.

Η ορθή υλοποίηση καιο συνδυασμός των συστημάτων αυτών, μπορεί να αυξήσει σημαντικά το επίπεδο ασφάλειας της εταιρείας, σε ό,τι αφορά τη σύνδεσή της με το Διαδίκτυο. Ωστόσο, καμία από τις παραπάνω τεχνολογίες ασφάλειας, οι οποίες παρέχουν προστασία απέναντι στις «Διαδικτυακές» απειλές, δεν παρέχει την αναγκαία ασφάλεια ενάντια σε επιθέσεις και απειλές, που ως βάση τους έχουν το τηλεφωνικό δίκτυο. Τέτοιου είδους επιθέσεις/ απειλές, σχετίζονται κυρίως με την ύπαρξη εξουσιοδοτημένων ή μη συσκευών modems στο εσωτερικό δίκτυο της εταιρείας, καθώς και με την ελλιπή από πλευράς ασφάλειας, παραμετροποίηση των συστημάτων, που υποστηρίζουν αυτό (π.χ. PBXs, Voice Mail systems, IVRs κ.τ.λ.).

Αν και οι επιθέσεις σε τηλεφωνικά δίκτυα δεν αποτελούν κάτι νέο, τα τελευταία χρόνια εμφανίζονται με συνεχώς αυξανόμενη συχνότητα, κυρίως λόγω των ενισχυμένων μέτρων ασφάλειας, τα οποία εφαρμόζουν οι εταιρείες σε επίπεδο IP συνδέσεων, γεγονός που κατευθύνει τους κακοπροαίρετους χρήστες (hackers, attackers) στην εύρεση εναλλακτικών μεθόδων εισβολής, στο εσωτερικό δίκτυο μιας εταιρείας, κάτι το οποίο προσφέρει, υπό συνθήκες, το τηλεφωνικό δίκτυο.

Αδυναμίες και Απειλές σε Παραδοσιακά Τηλεφωνικά Δίκτυα
Δύο είναι οι βασικές κατηγορίες απειλών, οι οποίες σχετίζονται με την ασφάλεια των τηλεφωνικών δικτύων:

• Η ύπαρξη μη εξουσιοδοτημένων συσκευών modems ή εξουσιοδοτημένων μη ασφαλών συσκευών modems στο εσωτερικό δίκτυο και, δεύτερον,
• Οι απευθείας επιθέσεις ενάντια στον εξοπλισμό των τηλεφωνικών δικτύων και τις παρεχόμενες υπηρεσίες.

Σε γενικές γραμμές, η ύπαρξη συσκευών modems στο εσωτερικό δίκτυο μιας εταιρείας, μπορεί να προσφέρει υπό συνθήκες, ένα μη εξουσιοδοτημένο – και κυρίως – μη ελεγχόμενο από πλευράς ασφάλειας μονοπάτι πρόσβασης, στο εσωτερικό δίκτυο.
Σε κάθε περίπτωση, η ύπαρξη συσκευών modems εκθέτουν το τηλεφωνικό δίκτυο της εταιρείας, σε πολλαπλούς κινδύνους, όπως:
Επιθέσεις War Dialing: Αντίστοιχες των port-scans στα IP δίκτυα, αναζητούν modems σε κατάσταση αναμονής και αφού ανιχνεύσουν τον τύπο του modem εκδηλώνουν επιθέσεις τύπου password brute -force, με σκοπό την επιτυχή πρόσβαση στο σύστημα.
Μη εξουσιοδοτημένη Απομακρυσμένη Πρόσβαση: Παρέχεται από μη εξουσιοδοτημένα modems, που έχουν εγκατασταθεί σε συστήματα του εσωτερικού δικτύου, για την παράκαμψη των όποιων μέτρων ελέγχου απομακρυσμένης πρόσβασης σε συσκευές, όπως VPN devices, RAS κ.τ.λ.
Μη εξουσιοδοτημένη πρόσβαση στο Διαδίκτυο: Παρέχεται από μη εξουσιοδοτημένα modems, που, εσωτερικοί χρήστες εγκαθιστούν στα συστήματά τους, με σκοπό την απεριόριστη και μη ελεγχόμενη από τα συστήματα ασφάλειας της εταιρείας (π.χ. Proxy servers, Content filtering servers κ.τ.λ.) πρόσβαση στο Διαδίκτυο (Σχήμα 1).
Ύπαρξη μη Ασφαλών Εξουσιοδοτημένων Modems: Στις περισσότερες εταιρείες υπάρχουν συσκευές modems, οι οποίες έχουν εγκατασταθεί σε συστήματα του εσωτερικού δικτύου, με την έγκριση της εταιρείας, με σκοπό να εξυπηρετήσουν ανάγκες απομακρυσμένης πρόσβασης στα συγκεκριμένα συστήματα είτε από το εξουσιοδοτημένο προσωπικό της εταιρείας είτε από έμπιστους τρίτους, που υποστηρίζουν τα συστήματα αυτά (vendor staff). Το πρόβλημα στην περίπτωση αυτή, έγκειται στο γεγονός ότι τις περισσότερες φορές, τα μέτρα για την ασφάλεια των συσκευών αυτών, είναι ελλιπή ως και ανύπαρκτα, γεγονός που καθιστά εύκολη την εκμετάλλευσή τους για περαιτέρω πρόσβαση στο εσωτερικό δίκτυο της εταιρείας.

Όπως γίνεται κατανοητό, υπό τις παραπάνω συνθήκες, ένας κακόβουλος χρήστης μπορεί – εκμεταλλευόμενος το τηλεφωνικό δίκτυο της εταιρείας – να αποκτήσει πλήρη και, κυρίως, μη ελεγχόμενη πρόσβαση, στα κρίσιμα συστήματα αυτής.

Παραδοσιακές Λύσεις για την Ασφάλεια των Τηλεφωνικών Δικτύων
Το θέμα της ασφάλειας των τηλεφωνικών δικτύων, δεν είναι καινούριο και κατά καιρούς έχουν αναζητηθεί διάφορες μέθοδοι αντιμετώπισης των κινδύνων/ απειλών που τα διέπουν, χωρίς ωστόσο να καταφέρουν να παρέχουν την ολοκληρωμένη λύση ασφάλειας που απαιτείται. Ορισμένες από τις παραδοσιακές λύσεις που συναντάμε και σήμερα, είναι:
Ανάπτυξη των κατάλληλων Πολιτικών και Διαδικασιών: Αποτελεί το πρώτο σημαντικό βήμα στην αντιμετώπιση των εν λόγω θεμάτων ασφαλείας. Κάθε εταιρεία χρειάζεται μια γραπτή πολιτική, η οποία θα προδιαγράφει τη χρήση/ εγκατάσταση συσκευών modems στο εταιρικό δίκτυο. Βασικό μειονέκτημα, όπως συμβαίνει με όλες τις πολιτικές, η αδυναμία αποτελεσματικής ολοκληρωτικής επιβολής, σε όλη την εταιρεία.
Τεχνικές "Scanning": Πολλές εταιρείες υλοποιούν επιθέσεις τύπου War Dialing ενάντια στο δικό τους τηλεφωνικό δίκτυο, με σκοπό την ανίχνευση μη εξουσιοδοτημένων συσκευών modems. Παρόλο που ως μέθοδος μπορεί να έχει κάποια αποτελέσματα, τα αποτελέσματα αυτά, σε καμιά περίπτωση δεν μπορούν να θεωρηθούν ως απολύτως ακριβή, καθώς, με τις τεχνικές αυτές ανιχνεύονται συσκευές modem, οι οποίες είναι σε κατάσταση αναμονής (όχι σε κατάσταση κλήσης ή κλειστές συσκευές) τη συγκεκριμένη χρονική στιγμή.
Ασφάλεια σε επίπεδο Λειτουργικού Συστήματος: Ορισμένα λειτουργικά συστήματα παρέχουν τη δυνατότητα απαγόρευσης στο χρήστη, εγκατάστασης άλλων συσκευών στο σύστημα. Αυτό, θα μπορούσε να είναι μια πολύ καλή πρακτική ασφάλειας, αν την παρείχαν όλα τα λειτουργικά συστήματα και αν δεν υπήρχαν συσκευές Modem τύπου USB, οι οποίες εγκαθίστανται αυτόματα στο σύστημα.
Ασφαλής παραμετροποίηση συστημάτων PBX: Πολλά συστήματα PBX παρέχουν δυνατότητες ελέγχου των εξερχόμενων και εισερχόμενων κλήσεων, που πραγματοποιούνται προς και από τις τηλεφωνικές συσκευές μιας εταιρείας. Ωστόσο, κανένα PBX δεν παρέχει δυνατότητες αυθεντικοποίησης ή αναγνώρισης μη εξουσιοδοτημένων συσκευών, ενώ το μεγαλύτερο μειονέκτημα έγκειται στο γεγονός ότι το PBX δεν είναι σε θέση να διαχωρίζει τους τύπους των τηλεφωνικών κλήσεων (π.χ. voice, fax, modem .), επιτρέποντας έτσι όλες ή καμία από αυτές, προς συγκεκριμένες συσκευές.Νέες Λύσεις Ασφάλειας σε Τηλεφωνικά Δίκτυα
Την αδυναμία των παραπάνω μεθόδων / πρακτικών ασφαλείας στο να παρέχουν μια ολοκληρωμένη και συνολικά εφαρμοζόμενη λύση ασφάλειας για το τηλεφωνικό δίκτυο, έρχονται να καλύψουν μια σειρά από νέες λύσεις ασφάλειας, οι οποίες κινούνται στα πρότυπα των ολοκληρωμένων και κεντρικά εφαρμοζόμενων λύσεων ασφαλείας, που αναπτύσσονται στα IP δίκτυα.
 Οι πιο αντιπροσωπευτικές από αυτές τις λύσεις, είναι:
Telecom Firewalls: Συσκευές, οι οποίες, όπως συμβαίνει και στα IP δίκτυα, παρέχουν τη δυνατότητα εφαρμογής κανόνων ελέγχου πρόσβασης, οι οποίοι επιτρέπουν ή απαγορεύουν την πραγματοποίηση κλήσεων, με βάση τον αριθμό προέλευσης και τον αριθμό προορισμού της κλήσης (Σχήμα 2).
Επιπλέον, τα Telecom Firewalls παρέχουν δυνατότητες αυθεντικοποίησης των κλήσεων, ενώ παράλληλα, αναγνωρίζουν και τους διαφορετικούς τύπους κλήσης, επιτρέποντας κατά αυτόν τον τρόπο, την πραγματοποίηση συγκεκριμένων κλήσεων από κάθε συσκευή. Ως εκ τούτου, ο υπάλληλος της εταιρείας δεν θα μπορεί να συνδέσει ένα modem στο τηλέφωνο του γραφείου του, για να συνδεθεί στο Internet, καθώς το firewall θα επιτρέπει από το συγκεκριμένο αριθμό, την πραγματοποίηση μόνο voice calls και όχι modem calls.
Telecom VPNs: Ανάλογες είναι και οι λύσεις VPN, οι οποίες παρέχουν κρυπτογράφηση των κλήσεων από ένα τηλεφωνικό δίκτυο σε ένα άλλο (π.χ. μεταξύ δύο εταιρικών sites), προστατεύοντας το περιεχόμενο αυτών, από επιθέσεις τύπου eavesdropping, κατά τη διέλευσή τους μέσα από το μη έμπιστο Δημόσιο Τηλεφωνικό Δίκτυο (PSTN). Το σημαντικό χαρακτηριστικό των telecom VPNs, είναι ότι πραγματοποιούν κρυπτογράφηση, βάσει κανόνων, κρυπτογραφώντας μόνο τις κλήσεις, οι οποίες κατευθύνονται σε δίκτυα, που επίσης διαθέτουν κάποια telecom VPN λύση.
Telecom IDS/IPS: Όπως συμβαίνει και σε επίπεδο IP, ένα Σύστημα Ανίχνευσης/ Αποτροπής Εισβολών, που αναπτύσσεται στο τηλεφωνικό δίκτυο, παρακολουθεί όλη την τηλεφωνική κίνηση της εταιρείας, με στόχο τον εντοπισμό πιθανών προσπαθειών μη εξουσιοδοτημένης πρόσβασης και εκδήλωσης επιθέσεων προς αυτό. Ενδεικτικά, αναφέρουμε τις δυνατότητες ανίχνευσης επιθέσεων: "war dialing" (πολλές μικρές κλήσεις, σε πολλούς αριθμούς), "toll fraud" (ασυνήθιστη ή μη εξουσιοδοτημένη χρήση της υπηρεσίας πραγματοποίησης long-distance calls), "password guessing" (πολλαπλές κλήσεις, οι οποίες τερματίζονται αυτόματα, έπειτα από αποτυχημένες προσπάθειες αυθεντικοποίησης) κ.ά.

Στο σημείο αυτό, θα πρέπει να σημειωθεί, πως όλες οι παραπάνω "telecom" λύσεις λειτουργούν με πλήρη διαφάνεια στο τηλεφωνικό δίκτυο, μην επηρεάζοντας καθόλου την απαιτούμενη απόδοση και αναγκαία ποιότητα των τηλεφωνικών κλήσεων. 
Με βάση τα παραπάνω στοιχεία, γίνεται αντιληπτό, πως, στη σημερινή εποχή υπάρχουν πλέον οι λύσεις αυτές, οι οποίες μπορούν να παρέχουν την απαιτούμενη ολοκληρωμένη ασφάλεια και στο «μη προσεγμένο» τηλεφωνικό δίκτυο. Η υλοποίηση μιας τέτοιας λύσης, σε συνδυασμό με την υπάρχουσα αρχιτεκτονική ασφάλειας Internet της εταιρείας, θωρακίζουν την περιμετρική ασφάλεια του εταιρικού δικτύου από απειλές, προερχόμενες από μη έμπιστα δίκτυα, όπως το Internet και το Δημόσιο Τηλεφωνικό Δίκτυο (PSTN).