Возврат
ТелекомВести

Предыдущая новость28 февраля 2003 г.Следующая новость



SIP оказался не безопасным


27 февраля ("Телеком-Форум")

Координационный центр по вопросам компьютерной безопасности организации CERT сообщил об обнаружении серьезных брешей в механизмах безопасности протокола SIP (Session Initiation Protocol), получающем все большее признание среди производителей телекоммуникационного оборудования и операторов связи. Ошибки были найдены группой OUSPG финляндского института г. Oulu, которая в результате проведенного тестирования SIP-клиентов и прокси-сереров выявила, что IP-телефонный протокол может использоваться для проведения атак типа DoS и вызывать "непредсказуемое поведение всей системы".

Вероятно из-за того, что установленная база IP-телефонных систем, использующих SIP, пока невелика, представители CERT и аналитики рынка заявляют, что случаев использования хакерами обнаруженных брешей до сих пор зафиксировано не было. В частности, руководство Cisco Systems отмечает, что компания не получала соответствующих жалоб от своих заказчиков. В то же время американский сетевой гигант опубликовал предупреждение о том, что ошибки касаются двух моделей IP-телефонов 7940 и 7960, а также нескольких других продуктов. Производитель рекомендует дождаться изготовления "заплаток".

По данным CERT, компания Nortel Networks работает в настоящее время над созданием соответствующих "заплаток" для своих IP-коммуникационных серверов семейства Succession. Они должны появиться со дня на день.

По словам аналитика из Gartner Джона Пескаторе, уязвимы только приложения пакетной телефонии на базе SIP, поэтому оба основных протокола доставки мгновенных сообщений (instant messaging) от Microsoft и America Online оказались в данном случае безопасны. Другой исследователь из Gartner Дейвид Фрейли считает, что пользователям необходимо повременить с приобретением SIP-решений, пока те не прошли соответствующих испытаний на безопасность. Можно отметить, что CERT разместил на своем Web-узле список 80 производителей SIP-систем с указанием их продуктов и результатами проверки последних на уязвимость. Так, среди известных производителей сетевого оборудования ошибки пока не найдены в устройствах Lucent и Avaya. Также "чистым" оказался SIP-клиент компании Microsoft, входящий в состав ОС Windows XP.

CERT Coordination Center

http://www.cert.org

Дополнительная информация

IP-Телефония (ТехФорум)

Nortel анонсирует сервер приложений VoIP VPN (19 февраля 2003 г.)

VoiceCon-2003. Ширится поддержка SIP (18 февраля 2003 г.)

Направления развития в области корпоративной IP-телефонии (9 января 2003 г.)

Lucent обеспечивает поддержку SIP (4 июня 2002 г.)

Инициатива Microsoft пока не нашла отклика в России (5 ноября 2001 г.)

"Связь-Экспокомм-2001". SIP в российской сети (18 мая 2001 г.)