Μεθοδολογίες penetration testing σε σύγχρονες εφαρμογές τεχνολογίας VoIP

Abstract

Σκοπός της παρούσας μεταπτυχιακής διατριβής είναι η έρευνα και η ανάπτυξη μίας μεθοδολογίας δοκιμής παρείσδυσης (penetration testing) ως ενέργεια ελέγχου ασφάλειας σε σύγχρονη εφαρμογή της τεχνολογίας VoIP. Στόχος της διενέργειας δοκιμών παρείσδυσης σε ένα περιβάλλον VoIP είναι η έγκαιρη αναγνώριση τυχόν ευπαθειών ασφάλειας, ώστε να καταστήσει εφικτή τη λήψη μέτρων για την αντιμετώπιση τους πριν την εκμετάλλευση τους από κάποιον επιτιθέμενο. Αρχικά, στην παρούσα μεταπτυχιακή διατριβή αναλύονται έννοιες της τεχνολογίας VoIP και καταγράφονται πιθανές απειλές, οι οποίες δύναται να εμφανιστούν σε ένα περιβάλλον VoIP. Επιπλέον, εκτελείται δοκιμή παρείσδυσης σε ένα δημιουργηθέν πειραματικό περιβάλλον VoIP, τα αποτελέσματα της οποίας καταγράφονται, και προτείνονται τρόποι αντιμετώπισης των αναγνωρισμένων ευπαθειών ασφάλειας. Για τις ανάγκες της μεταπτυχιακής διατριβής, το πειραματικό περιβάλλον δημιουργήθηκε με σκοπό να εξομοιώσει ένα ρεαλιστικό εργασιακό περιβάλλον μίας μικρής επιχείρησης. Επιπρόσθετα, ως τηλεφωνικό κέντρο του πειραματικού περιβάλλοντος χρησιμοποιήθηκε ο Asterisk, ως πρωτόκολλο σηματοδοσίας VoIP χρησιμοποιήθηκε το SIP, ενώ ως τελικοί χρήστες χρησιμοποιήθηκαν softphones εγκατεστημένα σε συσκευές υπολογιστών και smartphones. Τέλος, στο δημιουργηθέν περιβάλλον εκτελέστηκαν έλεγχοι ασφάλειας χρησιμοποιώντας δωρεάν λογισμικά και εργαλεία εγκατεστημένα σε λειτουργικό σύστημα Kali Linux. Συμπερασματικά, από τη διεξαγωγή της πειραματικής αυτής διαδικασίας αναδείχθηκαν κενά ασφαλείας και ευπάθειες που μπορούν να παρουσιαστούν κατά τη χρήση εφαρμογών VoIP, αποδεικνύοντας έτσι την αναγκαιότητα λήψης μέτρων ασφαλείας κατά τον σχεδιασμό και τη χρήση εφαρμογών VoIP.