При получении злоумышленником каким-то образом административных прав на коммутирующем или маршрутизирующем оборудовании (например, в результате специальной атаки на компьютер администратора или при перехвате его пароля, передававшегося в открытом виде) у него появляются гораздо более мощные средства перехвата IP-трафика. Они включают:
— возможность активации на коммутаторах «зеркальных» (SPAN) портов, получающих абсолютно точную копию передаваемого по определенным портам трафика;
— использование иных технологии «ответвления» трафика от производителей сетевого оборудования, например:
• протокола ERSPAN (Encapsulated Remote SPAN), инкапсулирующего каждый перехватываемый пакет в пакет протокола GRE, что позволяет мгновенно передавать его по IP-сетям, причем без каких-либо ограничений дальности;
• опции IP Traffic Export, реализующей «ответвление» трафика при его маршрутизации на 3-м уровне модели OSI.
Следует отметить, что оба этих протокола поддерживают возможность тонкой настройки фильтрации перехватываемых пакетов, что позволяет копировать трафик только от определенных групп IP-устройств.
Очевидно, что все современные беспроводные сети при отсутствии стойких алгоритмов шифрования также являются потенциальным источником раскрытия передаваемого по ним голосового трафика.
1.4.3.5. Угроза подмены сообщений в управляющем канале
Традиционная методика централизованного управления IP телефонными вызовами (реализуемая в УАТС) содержит еще один возможный путь перехвата разговоров абонентов. В начальный момент установления IP-соединения первоначальный обмен информацией, содержащей номера абонентов, их имена, технические возможности аппаратов и т. п., в т. ч. IP-адреса оконечных устройств, идет непосредственно между серверами IP-телефонпи. На этом этапе также возможна подмена (средствами атак сетевого уровня) информации об одном (пли обоих) IP-адресах в целях внедрения агента противника в стандартную цепочку’ передачи голосового трафика по принципу’ прозрачного прокси-сервера.
Понятно, что подобный класс атак остается совершенно незаметным на прикладном (пользовательском) уровне, т. к. пользователю обычно не видны сетевые координаты удаленного абонента, а стек протоколов не способен обнаружить сам факт подмены, хотя такой факт может быть выявлен только с помощью специализированного мониторинга сетевого трафика, но это уже задачи служб безопасности.
Надо сказать, что технической предпосылкой для появления возможности подобных атак является то, что в современных протоколах IP-телефонии (Н.323, SCC’P и др.) оконечное оборудование при приеме и передаче голосового потока является «ведомым» относительно «ведущего» сервера УАТС и полностью полагается на информацию, сообщенную ему в управляющем канале (в т. ч., например, не проверяет соответствие IP-адресов отправителя и получателя голосового потока в рамках одного и того же разговора, хотя эта задача легко сегодня решается спецслужбами).