Unified Communication a bezpečnost Fresh IT Ing. Tomáš Fidler
[email protected]
Osnova IP Komunikace a bezpečnost? Protokoly v rámci VoIP
Ukázka?
2
„Případová studie“ forum.orolik.cz @2012: Podporujeme šifrované hovory ZRTP i SRTP Dnes bylo zprovozněno šifrované volání. Šifrována může být jak SIP signalizace (TLS) - nikdo neodposlechne kam voláte tak i samotný hovor SRTP nebo ZRTP. Šifrování pomocí ZRTP je nejpokročilejší, nejde odposlechnout nikde po cestě ani na naší ústředně, ale funguje jen pro volání v síti Odorik<->Odorik a nemá zatím podporu hardwarových telefonů. Otázky: Interoperabilita mezi výrobci? Interoperabilita mezi poskytovateli? Má vůbec cenu řešit „bezpečnost“ hlasové komunikace?
3
Buďme pozitivní … forum.orolik.cz Existuje SRTP – šifrovaní hlasu: Šifrovat hovor samotný (SRTP) bez šifrování signalizace nemá smysl, protože pak jdou odposlechnout použité klíče tedy i celý hovor. SRTP je tedy nutné vždy použít v kombinaci se šifrováním signalizace. Tomu se dohromady zjevně říká SIPS.
Dobře… ale – někdo to už řešil? Různý hardware může mít co se šifrování týče různé mouchy a podivnosti v nastavování.
šifrování -? problémy … GOOGLE: voip SIPS problem Z toho důvodu doporučujeme šifrování jen těm, kteří vědí co dělají a nevadí jim trochu experimentování.
4
Shrnutí Šifrování/odposlechnutí hovoru je „minoritní problém“ Řeší se jiné problémy… jaké?
5
Tradiční systémy pobočkových ústředen Podle typu až 200 funkcí Často nekonfigurované nad rámec „potřeby“
Potenciálně nezabezpečené proti zneužití
6
VoIP architektura
7
Úvod do VoIP VoIP není JEN protokol.
Dva hlavní signalizační protokoly: SIP – aplikační framework H.323 - přesně specifikuje jak se přenáší signalizace
Pro přenos hlasu RTP SCTP - stream control transmission protokol, byl ratifikován IETF a využíval v podstatě IP verzi protokolu SS7 známou jako SIGTRAN, neujal se
8
Další služby ve VoIP
Mimo signalizace a přenosu hlasu vyžaduje pro správné fungování VoIP i další řadu protokolů, které zajišťují : Kvalitu služby (QoS) Překlady jmen (DNS apod.) Umožňují akutalizace softwaru/firmware (TFTP, HTTP, SCP, HTTPS, FTP, SFTP…) Synchronizují čas (NTP apod.) Efektivně směřují hovory, monitoring výkonnosti, umožňují procházet firewallem….
9
SIP EITF standard je signalizačním protokolem pro internetové konference, telefonii, presence (monitoring stavu účastníka), notifikace o událostech a IM (instant messaging)
Protokol typu požadavek – odpověď (podobné HTTP) Hlavním úkolem SIP je navázání spojení, nezajímá se o detaily hovoru Zprávy jsou textově kódované (čte se podobně jako SMTP)
10
H.323 Protokol ITU, který implementuje podobnou architekturu jako SS7 ( tradiční telefonie) Poskytuje základ pro telefonní, video a datovou komunikaci ("ISDN") přes IP sítě Využívá kodování ASN.1 PER. PER (Packed Encoding Rules) je podmnožinou BER a je binárním kódováním výhodným pro sítě s malou znakovou propustností Explicitně definuje téměř všechny aspekty volání
11
Společné vlastnosti SIP a H.323
Využívají standardní součásti TCP/IP stacku TCP UDP Otvírají minimálně 5 vláken (sessions) pro jeden hovor Signalizace Dva RTP streamy, Dva RTCP streamy.
12
Další důležité protokoly
13
RTSP
Real Time Streaming Protocol for media play-out control
RSVP
Resource Reservation Protocol
STUN
Simple Traversal of UDP through NAT
TURN
Traversal Using Relay NAT
ICE
Interactive Connectivity Establishment
SDP
Session Discovery Protocol
TLS
Transport Layer Security
DHCP
Address services
TFTP
Firmware and configuration distribution
Výzvy VoIP z hlediska bezpečnosti Navazování hovoru je jak směrem z firemního telefonu, tak na něj. Očekávaná dostupnost 99,999%
Telefon je chytré zařízení Mnoho podpůrných služeb: Přesměrování hovoru Přepojení Hlasová pošta Konferenční služby
14
Bezpečnostní problémy VoIP (dle voipsa.org) VolP Control Packet Flood VolP Call Data Flood TCP/UDP/ICMP Packet Flood VolP Implementation DoS Exploit OS/Protocol Implementation DoS Exploit VolP Protocol DoS Exploit Wireless DoS Attack Network Service DoS Attacks VolP Application Dos Attacks VolP Endpoint PIN Change VolP Packet Replay VolP Packet Injection VolP Packet Modification QoS Modification VLAN Modification 15
VolP Social Engineering Rogue VolP Device Connection ARP Cache Poisoning VolP Call Hijacking Network Eavesdropping VolP Application Data Theft Address Spoofing VolP Call Eavesdropping VolP Control Eavesdropping VolP Toll Fraud VolP Voicemail Hacks
SIP architektura
16
Typy útoků: SIP Ukradení identity: Ochrana: autentizace MD5 Při odposlechu SIP registrace a úrovni ochrany „100$“ … minimálně 7 znaků
Ukradení služby: Zabezpečit administraci serveru
Odposlech: Zabezpečit celou síť
17
Typy útoků: ARP spoofing
18
Příklad arp spoofing:
19
20
21
Obrana proti ARP spoofing: Hlídání správného párování IP:MAC Port security Hlídá asociaci MAC na port
dhcp snooping Hlídá správnost MAC : IP
Arpwatch V IDS sondě
22
Proč nestačí port-security?
23
Proč nestačí port-security?
24
Proč nestačí sonda?
25
Speciální VOICE vlan
26
Zabránit vypojení telefonu
27
Striktní uzavření VoIP sítě! www.cvedetails.com/cve/2014-3300 The BVSMWeb portal in the web framework in Cisco Unified Communications Domain Manager (CDM) in Unified CDM Application Software before 10 does not properly implement access control, which allows remote attackers to modify user information via a crafted URL, aka Bug ID CSCum77041. cisco_cucdm_speed_dials cisco_cucdm_call_forward
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCuo51517 Symptom: CUCM is not validating additional proxy header. This can lead to false attribution if an attacker is able to spoof some of this header, for example RPID, PAI or PPI
28
Nabourání VoIP telefonu
29
Unified Communication - NEJEN CISCO VoIP IM (jabber apod.)
XML, asp, java služby Propojení k Mail serveru, Presence serveru (kalendářové služby) Softwarové telefony (zranitelnost PC)
30
Doporučení Určit co je hrozba Aktualizovat software Využívat HTTPS, SIP+TLS, SRTP
separovat VOIP do vlastní VLAN, striktní přístupová politika Monitorovat VOIP Maximálně omezit možnosti komunikace VoIP ven: Ideálně pouze branou (gateway)
Shrnuto: Sledovat a dodržovat doporučení výrobce ve všech bodech.
31
Závěr VoIP upozorňuje na problémy bezpečné obecné komunikace. Bezpečnost vs komunikace jsou téměř protichůdné Moderní technologie jsou komplikované Zabezpečnení moderních technologií není jednoduché
32
Konec
