Autentizace v H.323 Autentizace v SIP Bezpeˇ cnost Interdomain trust Dalˇs´ı technologie Z´ avˇ er
IP telephony security overview Martin Skala Fakulta informatiky Masarykovy univerzity
19. listopadu 2009
Souhrn z technick´e zpr´ avy CESNET 35/2006 (M. Vozˇ nak, J. R˚ uˇziˇcka)
Martin Skala
IP telephony security overview
filogo
Autentizace v H.323 Autentizace v SIP Bezpeˇ cnost Interdomain trust Dalˇs´ı technologie Z´ avˇ er
Obsah I 1
Autentizace v H.323 H.323 CryptoToken
2
Autentizace v SIP SIP
3
Bezpeˇcnost Pˇrehled Protokoly a v´ymˇena kl´ıˇc˚ u SRTP / ZRTP S/MIME IPSec / TLS
4
Interdomain trust Distribuovan´a AAI
filogo
Martin Skala
IP telephony security overview
Autentizace v H.323 Autentizace v SIP Bezpeˇ cnost Interdomain trust Dalˇs´ı technologie Z´ avˇ er
Obsah II Mezidom´enov´a d˚ uvˇera Eduroam
5
Dalˇs´ı technologie SAML ENUM
6
Z´avˇer Dotazy Reference filogo
Martin Skala
IP telephony security overview
Autentizace v H.323 Autentizace v SIP Bezpeˇ cnost Interdomain trust Dalˇs´ı technologie Z´ avˇ er
H.323 CryptoToken
H.323 VoIP protokol (ITU-T H.323 v roce 1996) ASN.1 + BER H.225.0 Q.931 - signalizace pro vol´an´ı RAS (Registration, Admission, Status) - spr´ava vol´an´ı vyuˇz´ıvaj´ıc´ı GK (GateKeeper) H.245 - signalizace medi´ı H.235 (ve H.323v2 z roku 1998) - autentizace symetrick´a kryptogragie (heslo + symetrick´e ˇsifrov´an´ı) hashov´an´ı hesel public-key
CryptoToken - informace potˇrebn´e k autentizaci RAS H.225.0 Q.931
filogo
RTP Martin Skala
IP telephony security overview
Autentizace v H.323 Autentizace v SIP Bezpeˇ cnost Interdomain trust Dalˇs´ı technologie Z´ avˇ er
H.323 CryptoToken
Uk´azka pole CryptoToken z RRQ (Registration Request) zpr´avy cryptoTokens: 2 items Item 0 Item: cryptoEPPwdHash (0) cryptoEPPwdHash alias: h323-ID (1) h323-ID: 950012315 timeStamp: Feb 26, 2006 15:36:41.000000000 token algorithmOID: 1.2.840.113549.2.5 (md5) paramS hash: 8BB5DFAE1F23EA0AA5C7E73C23B18639 filogo
Martin Skala
IP telephony security overview
Autentizace v H.323 Autentizace v SIP Bezpeˇ cnost Interdomain trust Dalˇs´ı technologie Z´ avˇ er
SIP
VoIP protokol (IETF SIP, RFC 2543, 3261) zaloˇzen´y na HTTP (textovˇe orientovan´y) autentizace HTTP Basic (zak´az´ano v RFC 3261) HTTP Digest Access Authentication
komunikace User-to-User Proxy-to-User
RTP filogo
Martin Skala
IP telephony security overview
Autentizace v H.323 Autentizace v SIP Bezpeˇ cnost Interdomain trust Dalˇs´ı technologie Z´ avˇ er
Pˇrehled Protokoly a v´ ymˇ ena kl´ıˇ c˚ u SRTP / ZRTP S/MIME IPSec / TLS
MitM (Man-In-The-Middle) DoS (Denial of Service) H˚ uˇre zvladateln´y neˇz v pˇr´ıpadˇe ˇcistˇe poˇc´ıtaˇcov´ych sit´ı K pˇret´ıˇzen´ı linek staˇc´ı menˇs´ı poˇcet zpr´av Obrana v podobˇe limitu poˇctu poˇzadavk˚ u z jednoho zdroje u ´ˇcinnost ˇreˇsen´ı znaˇcnˇe sn´ıˇzena DDoS
DNS Spoofing a jin´e u ´toky na DNS rozˇs´ıˇren´e DNS z´aznamy SRV z´aznamy upˇresnˇen´ı server˚ u spravuj´ıc´ıch danou dom´enu podvˇzen´ı z´ aznamu − → nedostupnost nebo pˇresmˇerov´ an´ı ˇreˇsen´ım pouˇzit´ı DNSSec
Upraven´ı, pˇresmˇerov´an´ı nebo ukonˇcen´ı prob´ıhaj´ıc´ıho hovoru Martin Skala
IP telephony security overview
filogo
Autentizace v H.323 Autentizace v SIP Bezpeˇ cnost Interdomain trust Dalˇs´ı technologie Z´ avˇ er
Pˇrehled Protokoly a v´ ymˇ ena kl´ıˇ c˚ u SRTP / ZRTP S/MIME IPSec / TLS
SPIT (Spam Over IP Telephony) Pro u ´tok je charakteristick´e: vˇetˇs´ı ˇs´ıˇrka p´ asma vˇetˇs´ı n´ aroky na hardware menˇs´ı mnoˇzina potencion´ aln´ıch pˇr´ıjemc˚ u pomalejˇs´ı distribuce
Probl´em s detekc´ı SPITu (poˇzadavek na real-time pˇrenos)
filogo
Martin Skala
IP telephony security overview
Autentizace v H.323 Autentizace v SIP Bezpeˇ cnost Interdomain trust Dalˇs´ı technologie Z´ avˇ er
Pˇrehled Protokoly a v´ ymˇ ena kl´ıˇ c˚ u SRTP / ZRTP S/MIME IPSec / TLS
SRTP ZRTP S/MIME IPSec TLS
filogo
Martin Skala
IP telephony security overview
Autentizace v H.323 Autentizace v SIP Bezpeˇ cnost Interdomain trust Dalˇs´ı technologie Z´ avˇ er
Pˇrehled Protokoly a v´ ymˇ ena kl´ıˇ c˚ u SRTP / ZRTP S/MIME IPSec / TLS
SRTP (RFC 3711) ˇ Sifrov´ an´ı datov´ych proud˚ u AES (kl´ıˇc 128b, s˚ ul 112b) Autentizace, integrita Ochrana proti replay u ´toku
ZRTP (IETF draft-zimmermann-avt-zrtp-16) Postaven´e na SRTP Definuje ustanoven´ı kl´ıˇce metodou Diffie-Hellman Ochrana proti u ´toku Man in The Middle (MiTM) Inici´alnˇe Short Authentication String (SAS)
filogo
Martin Skala
IP telephony security overview
Autentizace v H.323 Autentizace v SIP Bezpeˇ cnost Interdomain trust Dalˇs´ı technologie Z´ avˇ er
Pˇrehled Protokoly a v´ ymˇ ena kl´ıˇ c˚ u SRTP / ZRTP S/MIME IPSec / TLS
SDP (Session Description Protocol) RFC 2327, 3266, 3388, 4566 SIP, H.323, SAP, ... session initiation, announcement, invitation
V tˇele zpr´avy (SDP + podepsan´e hlaviˇcky) PKI infrastruktura Perzistentn´ı hlaviˇcky To, From Cseq, Call-id Contact - m˚ uˇze b´yt probl´em s NAT (lok´aln´ı adresa)
Obsah SDP v tˇele zpr´avy m˚ uˇze b´yt ˇsifrov´an Zamez´ı u ´toˇcn´ıkovi“ vidˇet a mˇenit IP, porty nebo kodeky ” End-to-End integrita a d˚ uvˇernost M˚ uˇze omezovat funkˇcnost Session Border Controller˚ u Martin Skala
IP telephony security overview
filogo
Autentizace v H.323 Autentizace v SIP Bezpeˇ cnost Interdomain trust Dalˇs´ı technologie Z´ avˇ er
Pˇrehled Protokoly a v´ ymˇ ena kl´ıˇ c˚ u SRTP / ZRTP S/MIME IPSec / TLS
Tunelov´an´ı Transparentn´ı Skryt´ı identity volaj´ıc´ıch M˚ uˇze omezovat funkˇcnost Session Border Controller˚ u Ovˇeˇren´ı certifik´at˚ u bˇehem vyjedn´av´an´ı spojen´ı Zajiˇst’uje ˇsifrov´an´ı pouze k dalˇs´ımu hopu (hop-by-hop) Lze kombinovat s S/MIME
filogo
Martin Skala
IP telephony security overview
Autentizace v H.323 Autentizace v SIP Bezpeˇ cnost Interdomain trust Dalˇs´ı technologie Z´ avˇ er
Distribuovan´ a AAI Mezidom´ enov´ a d˚ uvˇ era Eduroam
AAI (Autentizaˇcn´ı a Autorizaˇcn´ı Infrastruktura) Kerberos, Radius, TACACS, ... Zprostˇredkov´an´ı hovor˚ u pomoc´ı home“ server˚ u ” Identita uˇzivatele Autentizace uˇzivatele a autorizace k hovoru Aplikace politik a skupin Lok´aln´ı vs. glob´aln´ı politika Skupina student vs. profesor
filogo
Martin Skala
IP telephony security overview
Autentizace v H.323 Autentizace v SIP Bezpeˇ cnost Interdomain trust Dalˇs´ı technologie Z´ avˇ er
Distribuovan´ a AAI Mezidom´ enov´ a d˚ uvˇ era Eduroam
Uzavˇren´e ostrovy (closed islands) GDS (Global Dialing Scheme) - hierarchie H.323 GKs (GateKeeper) GDS pˇr´ımo nepodporuje SIP Dostupnost z´avis´ı na dostupnosti vyˇsˇs´ı u ´rovnˇe v hierarchii Pˇr´ıkladem s´ıt’ Eduroam
filogo
Martin Skala
IP telephony security overview
Autentizace v H.323 Autentizace v SIP Bezpeˇ cnost Interdomain trust Dalˇs´ı technologie Z´ avˇ er
Distribuovan´ a AAI Mezidom´ enov´ a d˚ uvˇ era Eduroam
S´ıt’ RADIUS server˚ u Autentizaci napˇr´ıˇc institucemi, kter´e jsou do s´ıtˇe eduroam pˇripojen´e IPSec kan´aly minim´alnˇe na n´arodnˇe-institucion´aln´ı u ´rovni Podobn´e ˇreˇsen´ı lze pouˇz´ıt i v GDS (hierarchii GateKeeper˚ u)
filogo
Martin Skala
IP telephony security overview
Autentizace v H.323 Autentizace v SIP Bezpeˇ cnost Interdomain trust Dalˇs´ı technologie Z´ avˇ er
SAML ENUM
Security Assertion Markup Language Zaloˇzen´y na XML Standard pro v´ymˇenu autentizaˇcn´ıch a autorizaˇcn´ıch dat OASIS SIP-SAML
filogo
Martin Skala
IP telephony security overview
Autentizace v H.323 Autentizace v SIP Bezpeˇ cnost Interdomain trust Dalˇs´ı technologie Z´ avˇ er
SAML ENUM
E.164 NUmber Mapping Mapov´an´ı mezi adresov´ymi prostory Telefonn´ı ˇc´ısla na URI ˇ ıslice telefonn´ıho ˇc´ısla tvoˇr´ı hierarchicky strom C´ Naming Authority Pointer (NAPTR)
filogo
Martin Skala
IP telephony security overview
Autentizace v H.323 Autentizace v SIP Bezpeˇ cnost Interdomain trust Dalˇs´ı technologie Z´ avˇ er
Dotazy Reference
Nˇejak´e dotazy?
filogo
Martin Skala
IP telephony security overview
Autentizace v H.323 Autentizace v SIP Bezpeˇ cnost Interdomain trust Dalˇs´ı technologie Z´ avˇ er
Dotazy Reference
Nˇejak´e dotazy? Dˇekuji za Vaˇsi pozornost
filogo
Martin Skala
IP telephony security overview
Autentizace v H.323 Autentizace v SIP Bezpeˇ cnost Interdomain trust Dalˇs´ı technologie Z´ avˇ er
Dotazy Reference
http://www.cesnet.cz/doc/techzpravy/2006/voip-security/ http://www.softarmor.com/wgdb/docs/draft-tschofenig-sipsaml-04.html http://tools.ietf.org/html/draft-ietf-sip-saml-06 http://www.rfc-editor.org/rfc/rfc3711.txt - SRTP http://tools.ietf.org/html/draft-zimmermann-avt-zrtp-16 http://www.voip-info.org/wiki/view/SDP http://en.wikipedia.org/wiki/ENUM filogo
Martin Skala
IP telephony security overview