IP telephony security overview

Autentizace v H.323 Autentizace v SIP Bezpeˇ cnost Interdomain trust Dalˇs´ı technologie Z´ avˇ er

IP telephony security overview Martin Skala Fakulta informatiky Masarykovy univerzity

19. listopadu 2009

Souhrn z technické zpr´ avy CESNET 35/2006 (M. Vozˇ nak, J. R˚ uˇziˇcka)

Martin Skala

IP telephony security overview

filogo


Obsah I 1

Autentizace v H.323 H.323 CryptoToken

2

Autentizace v SIP SIP

3

Bezpeˇcnost Pˇrehled Protokoly a výmˇena kl´ıˇc˚ u SRTP / ZRTP S/MIME IPSec / TLS

4

Interdomain trust Distribuovaná AAI

filogo

Martin Skala



Obsah II Mezidoménová d˚ uvˇera Eduroam

5

Dalˇs´ı technologie SAML ENUM

6

Závˇer Dotazy Reference filogo

Martin Skala



H.323 CryptoToken

H.323 VoIP protokol (ITU-T H.323 v roce 1996) ASN.1 + BER H.225.0 Q.931 - signalizace pro volán´ı RAS (Registration, Admission, Status) - správa volán´ı vyuˇz´ıvaj´ıc´ı GK (GateKeeper) H.245 - signalizace medi´ı H.235 (ve H.323v2 z roku 1998) - autentizace symetrická kryptogragie (heslo + symetrické ˇsifrován´ı) hashován´ı hesel public-key

CryptoToken - informace potˇrebné k autentizaci RAS H.225.0 Q.931

filogo

RTP Martin Skala



H.323 CryptoToken

Ukázka pole CryptoToken z RRQ (Registration Request) zprávy cryptoTokens: 2 items Item 0 Item: cryptoEPPwdHash (0) cryptoEPPwdHash alias: h323-ID (1) h323-ID: 950012315 timeStamp: Feb 26, 2006 15:36:41.000000000 token algorithmOID: 1.2.840.113549.2.5 (md5) paramS hash: 8BB5DFAE1F23EA0AA5C7E73C23B18639 filogo

Martin Skala



SIP

VoIP protokol (IETF SIP, RFC 2543, 3261) zaloˇzený na HTTP (textovˇe orientovaný) autentizace HTTP Basic (zakázáno v RFC 3261) HTTP Digest Access Authentication

komunikace User-to-User Proxy-to-User

RTP filogo

Martin Skala



Pˇrehled Protokoly a v´ ymˇ ena kl´ıˇ c˚ u SRTP / ZRTP S/MIME IPSec / TLS

MitM (Man-In-The-Middle) DoS (Denial of Service) H˚ uˇre zvladatelný neˇz v pˇr´ıpadˇe ˇcistˇe poˇc´ıtaˇcových sit´ı K pˇret´ıˇzen´ı linek staˇc´ı menˇs´ı poˇcet zpráv Obrana v podobˇe limitu poˇctu poˇzadavk˚ u z jednoho zdroje u ´ˇcinnost ˇreˇsen´ı znaˇcnˇe sn´ıˇzena DDoS

DNS Spoofing a jiné u ´toky na DNS rozˇs´ıˇrené DNS záznamy SRV záznamy upˇresnˇen´ı server˚ u spravuj´ıc´ıch danou doménu podvˇzen´ı z´ aznamu − → nedostupnost nebo pˇresmˇerov´ an´ı ˇreˇsen´ım pouˇzit´ı DNSSec

Upraven´ı, pˇresmˇerován´ı nebo ukonˇcen´ı prob´ıhaj´ıc´ıho hovoru Martin Skala


filogo



SPIT (Spam Over IP Telephony) Pro u ´tok je charakteristické: vˇetˇs´ı ˇs´ıˇrka p´ asma vˇetˇs´ı n´ aroky na hardware menˇs´ı mnoˇzina potencion´ aln´ıch pˇr´ıjemc˚ u pomalejˇs´ı distribuce

Problém s detekc´ı SPITu (poˇzadavek na real-time pˇrenos)

filogo

Martin Skala




SRTP ZRTP S/MIME IPSec TLS

filogo

Martin Skala




SRTP (RFC 3711) ˇ Sifrov´ an´ı datových proud˚ u AES (kl´ıˇc 128b, s˚ ul 112b) Autentizace, integrita Ochrana proti replay u ´toku

ZRTP (IETF draft-zimmermann-avt-zrtp-16) Postavené na SRTP Definuje ustanoven´ı kl´ıˇce metodou Diffie-Hellman Ochrana proti u ´toku Man in The Middle (MiTM) Iniciálnˇe Short Authentication String (SAS)

filogo

Martin Skala




SDP (Session Description Protocol) RFC 2327, 3266, 3388, 4566 SIP, H.323, SAP, ... session initiation, announcement, invitation

V tˇele zprávy (SDP + podepsané hlaviˇcky) PKI infrastruktura Perzistentn´ı hlaviˇcky To, From Cseq, Call-id Contact - m˚ uˇze být problém s NAT (lokáln´ı adresa)

Obsah SDP v tˇele zprávy m˚ uˇze být ˇsifrován Zamez´ı u ´toˇcn´ıkovi“ vidˇet a mˇenit IP, porty nebo kodeky ” End-to-End integrita a d˚ uvˇernost M˚ uˇze omezovat funkˇcnost Session Border Controller˚ u Martin Skala


filogo



Tunelován´ı Transparentn´ı Skryt´ı identity volaj´ıc´ıch M˚ uˇze omezovat funkˇcnost Session Border Controller˚ u Ovˇeˇren´ı certifikát˚ u bˇehem vyjednáván´ı spojen´ı Zajiˇst’uje ˇsifrován´ı pouze k dalˇs´ımu hopu (hop-by-hop) Lze kombinovat s S/MIME

filogo

Martin Skala



Distribuovan´ a AAI Mezidom´ enov´ a d˚ uvˇ era Eduroam

AAI (Autentizaˇcn´ı a Autorizaˇcn´ı Infrastruktura) Kerberos, Radius, TACACS, ... Zprostˇredkován´ı hovor˚ u pomoc´ı home“ server˚ u ” Identita uˇzivatele Autentizace uˇzivatele a autorizace k hovoru Aplikace politik a skupin Lokáln´ı vs. globáln´ı politika Skupina student vs. profesor

filogo

Martin Skala




Uzavˇrené ostrovy (closed islands) GDS (Global Dialing Scheme) - hierarchie H.323 GKs (GateKeeper) GDS pˇr´ımo nepodporuje SIP Dostupnost závis´ı na dostupnosti vyˇsˇs´ı u ´rovnˇe v hierarchii Pˇr´ıkladem s´ıt’ Eduroam

filogo

Martin Skala




S´ıt’ RADIUS server˚ u Autentizaci napˇr´ıˇc institucemi, které jsou do s´ıtˇe eduroam pˇripojené IPSec kanály minimálnˇe na národnˇe-institucionáln´ı u ´rovni Podobné ˇreˇsen´ı lze pouˇz´ıt i v GDS (hierarchii GateKeeper˚ u)

filogo

Martin Skala



SAML ENUM

Security Assertion Markup Language Zaloˇzený na XML Standard pro výmˇenu autentizaˇcn´ıch a autorizaˇcn´ıch dat OASIS SIP-SAML

filogo

Martin Skala



SAML ENUM

E.164 NUmber Mapping Mapován´ı mezi adresovými prostory Telefonn´ı ˇc´ısla na URI ˇ ıslice telefonn´ıho ˇc´ısla tvoˇr´ı hierarchicky strom C´ Naming Authority Pointer (NAPTR)

filogo

Martin Skala



Dotazy Reference

Nˇejaké dotazy?

filogo

Martin Skala



Dotazy Reference

Nˇejaké dotazy? Dˇekuji za Vaˇsi pozornost

filogo

Martin Skala



Dotazy Reference

http://www.cesnet.cz/doc/techzpravy/2006/voip-security/ http://www.softarmor.com/wgdb/docs/draft-tschofenig-sipsaml-04.html http://tools.ietf.org/html/draft-ietf-sip-saml-06 http://www.rfc-editor.org/rfc/rfc3711.txt - SRTP http://tools.ietf.org/html/draft-zimmermann-avt-zrtp-16 http://www.voip-info.org/wiki/view/SDP http://en.wikipedia.org/wiki/ENUM filogo

Martin Skala


IP telephony security overview

Recommend Documents