Конференционная статья • ElCon-CP 2026 • SIP / VoIP

Анализ безопасности SIP-телефонии: уязвимости и моделирование угроз

Комплексный анализ защищённости передачи данных по протоколу SIP: оценка уязвимостей реальной системы на базе Asterisk и построение двухсценарной модели угроз по методологии OCTAVE. Авторы: Смирнов Я. В., Никифорова А. В. — IEEE, ElCon-CP 2026

SIP / VoIP DoS / DDoS Asterisk Fail2Ban OCTAVE Zero Trust

Ключевые результаты

  • За первые сутки работы публичного SIP-сервера его атаковали 73 уникальных IP-адреса брутфорсом REGISTER — Fail2Ban зафиксировал 1 411 попыток аутентификации.
  • Помимо брутфорса, веб-краулер непрерывно сканировал порт 5060 через HTTP GET, пытаясь обнаружить веб-страницу или уязвимость.
  • VPN-изоляция снижает внешнюю поверхность атаки, но переносит вектор угроз на инсайдеров и компрометацию VPN-шлюза.
  • Для критичной VoIP-инфраструктуры реактивных мер (Fail2Ban, UFW) недостаточно — необходима архитектура Zero Trust.

Атаки на SIP-инфраструктуру

SIP-сообщения по умолчанию передаются в открытом тексте. Это позволяет атакующему перехватить IP-адреса, пароли аутентификации, номера телефонов и данные о местоположении абонентов. Для шифрования применяется TLS, однако далеко не все softphone-решения предлагают его в базовой конфигурации.

По данным за III квартал 2025 г., количество DDoS-атак на телекоммуникационный сектор России выросло на 36% по сравнению с предыдущим кварталом. На каждого телеком-оператора в 2025 г. приходилось в среднем ~340 атак.

DoS-атаки на уровне приложений

INVITE Flood
Массовая отправка INVITE-запросов на softphone или сервер. Перегружает очередь обработки и препятствует установлению легитимных вызовов.
REGISTER Flood
Поток REGISTER-запросов с произвольными именами пользователей. Истощает ресурсы SIP-сервера, обрабатывающего попытки аутентификации.
CANCEL Flood
Ложные CANCEL-сообщения на активные вызовы. Вызывает преждевременное завершение звонков.
SIP Amplification
Атакующий подменяет исходный адрес на адрес жертвы и рассылает короткие INVITE-запросы множеству SIP-серверов. Серверы отвечают объёмными пакетами непосредственно на адрес жертвы.

DDoS-атаки на сетевом и транспортном уровнях

IP-фрагментация
Передача большого количества фрагментов IP-пакетов перегружает вычислительные ресурсы всех узлов-обработчиков на пути к цели, замедляя обработку легитимного трафика.
DNS Amplification
Поддельный DNS-запрос к уязвимому резолверу порождает ответ значительно большего размера, направляемый на адрес жертвы. Канал жертвы переполняется ответными пакетами.
TCP / UDP флуд
Открытие множества TCP-соединений или отправка UDP-пакетов на случайные порты SIP-сервера истощает дескрипторы и буферы сокетов.

Анализ уязвимостей: тестовая среда

Для практического исследования развёрнута тестовая VoIP-система: сервер Asterisk (open source PBX, Digium, 1999) и softphone-клиенты Linphone (Linux/Windows/macOS/iOS/Android). Конфигурация — через файл asterisk-custom.conf.

Наблюдение 1 — брутфорс: в течение первых суток работы публичного сервера 73 уникальных IP-адреса отправили SIP REGISTER-запросы с попытками подбора учётных данных. Fail2Ban зафиксировал 1 411 неудачных попыток аутентификации и заблокировал все 73 адреса.
Наблюдение 2 — сканирование: веб-краулер (IP 3.137.73.221, компания Cypex) непрерывно опрашивал порт 5060 стандартными HTTP GET-запросами — сервер обрабатывал их как некорректные SIP-сообщения. Возможные цели: поиск уязвимостей, сбор разведывательной информации.

Конфигурация Fail2Ban

Fail2Ban сканирует лог Asterisk в реальном времени и блокирует IP при совпадении с failregex. Правило фиксирует любую строку вида failed for '<HOST>' — Failed to authenticate и немедленно добавляет адрес в список блокировки UFW.

Ограничение: Fail2Ban — реактивная мера. Она не защищает уже разрешённый SIP/RTP-трафик и бессильна против распределённых атак с IP-спуфингом или из ботнета.

Моделирование угроз (OCTAVE)

Использована методология OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation). Рассмотрены два типичных сценария развёртывания VoIP-сервера.

Сценарий 1 — публичный Asterisk-сервер

Активы
SIP/RTP-сервисы; данные пользователей SIP-клиентов; содержимое голосовых вызовов.
Угрозы
  • Перехват трафика: в классической конфигурации без TLS атакующий пассивно прослушивает вызовы и перехватывает учётные данные.
  • Сканирование: автоматизированный сбор информации об открытых портах и сервисах.
  • Брутфорс: массовый подбор паролей — 73 IP за первые сутки.
  • DoS: высокая нагрузка от обработки поддельных запросов нарушает работу легитимных клиентов.
Уязвимости
  • Отсутствие шифрования SIP/RTP — ключевая техническая уязвимость.
  • Публичная доступность SIP-сервисов без ограничений по IP.
  • Зависимость от реактивной IP-фильтрации (Fail2Ban, UFW).
Меры защиты
UFW (минимизация поверхности атаки) + Fail2Ban (блокировка брутфорса). Остаточный риск: трафик с уже разрешённых адресов не проверяется; при DDoS возможно исчерпание ресурсов сервера.

Сценарий 2 — Asterisk за VPN

Активы
Сервис Asterisk (изолирован от интернета); VPN-шлюз и его конфигурация.
Угрозы
  • Компрометация VPN: брутфорс или утечка учётных данных открывает доступ к внутренней сети.
  • Инсайдерские атаки: авторизованные пользователи VPN могут совершать злонамеренные действия.
  • Ошибки конфигурации: некорректные правила маршрутизации могут «пробить» трафик Asterisk в публичную сеть.
Уязвимости
  • SIP/RTP-трафик между клиентами и Asterisk внутри VPN остаётся незашифрованным.
  • Слабые учётные данные VPN могут привести к утечке трафика в публичную сеть.
  • Высокая сложность конфигурации сетевых правил и маршрутизации.
Меры защиты
Asterisk недоступен из интернета; подключение только через VPN-клиент. Остаточный риск: внутренние угрозы становятся доминирующими; голосовой трафик внутри VPN не защищён.
Сравнение сценариев: VPN-изоляция эффективно нейтрализует внешние угрозы (массовое сканирование, брутфорс из интернета), однако не защищает от атак изнутри периметра. Чем жёстче внешние ограничения — тем актуальнее становятся инсайдерские риски.

Выводы

Ссылки

Другие статьи