Bezpečnostní problémy VoIP a jejich řešení Miroslav Vozňák Bakyt Kyrbashov VŠB - Technical University of Ostrava Department of Telecommunications Faculty of Electrical Engineering and Computer Science 17. listopadu 15, 708 33 Ostrava Poruba mailto:miroslav.voznak@vsb.cz http://homel.vsb.cz/~voz29 1
2
3
4
5
ITU-T H.235 Security and Encryption for H.323 zaručuje autentizaci, důvěru a integritu různé bezpečnostní profily 1. základní profil -symetrické klíče, hash funkce CryptoToken ve zprávách RAS, H.225, H.245 6
ITU-T H.235 Security and Encryption for H.323 2. podpisový bezpečnostní profil - nesymetrické šifrování, princip dvou klíčů, - zpráva je podepsána, RAS, H.225, H.245 - náročnější na výkon, generování a ověřování podpisu 3. profil šifrování hlasu, zaručuje šifrování RTP 7
SIP Security - SIP je snadněji analyzovatelný než H.323, textově orientovaný HTTP Basic Authentication - sdílené heslo, kódování base64 HTTP Digest Authentication - sdílené heslo, hashovací funkce MD5 S/MIME - Secure Multipurpose Internet Mail Extension, využívá normy PKCS-7 (Public-Key Cryptograpy Standards), která umožňuje zprávu zašifrovat i podepsat, používá se formát application/pkcs7-mime, druhou možností je formát multipart/signed (obsahuje šifrovaná i nešifrovaná data) SIPS/TLS - používá veřejné klíče pro ověření (PKI), end-to-end zabezpečení 8
Transportní protokoly RTP sám o sobě neobsahuje zabezpečení SRTP, RFC 3711 z roku 2004 - šifrovací standard AES -klíč je získán z inicializačního vektoru IV - master klíč je distribuován přes SDP 9
Zimmermann RTP - Diffie-Hellmanův algoritmus pro výměnu klíčů, dva různé módy: 3072 bit Diffie - Hellman hodnoty 4096 bit Diffie - Hellman hodnoty - obsahuje i detekci módu SRTP nebo ZRTP 10
DoS attack Implementation flaw DoS - implementační vada, Flood DoS záplavový, Application-level DoS na aplikační úrovni, Signaling and transport - signalizační a transportní. Ochrana proti útokům DoS System hardening posílení systému, Strong authentication - silná autentizace, Traditional firewall zmírňuje útoky na jednotlivých úrovních. 11
SPIT Call centres volací centra, Call bots volací roboti, Ringtone SPIT - vyzváněcí SPIT. Ochrana proti SPITu platba za volání, bílý a černý seznam, IVR (Interactive voice response). Příklady z praxe java -jar voipbot.jar a) SPIT: Send media audio to some SIP user. You need to know the SIP user name and the IP address where it can be reached (The IP of the phone or of the server where it is registered (the SIP domain)). spit (user)@(ip address) (url of the audio.wav) If you need a url for testing, use this one : http://www.arabji.com/audio/ahwak.wav 12
java -jar voipbot.jar b) DOS: Send INVITE with different transactions to the target (IP phone or SIP server). To paralyze a SIP server, you may need many bots. dos (user)@(ip address) (duration of the attack in ms) dos (IP address) (duration of the attack in ms) c) SCAN: Take a list of destinations and send respective INVITE messages to a SIP server. Depending on the response of the server, a destination is matched as an existent user or not. 13
d) CRACK: if by scaning you discover the SIP username of one user, you can try to crack its password : crack (username) (local file with the list of passwords) (IP address of the registrar) pro http digest je volně na Internetu tool SIPcrack - SIPcrack-0.2.tar.gz - sipdump, zachycení hash-hesla - sipcrack, pokusí se uhodnout heslo, SCAPY - prolomení základních způsobů zabezpečení - modifikaci obsahu paketů v reálném čase 14
SIPp, DoS útok - open-source generátor pro SIP -umožňuje připojit audio - pro výkonové testy Jak najít SIP Proxy? - pomůže DNS, záznamy SRV - pokud znám E.164, tak je šance, že se přes ENUM dostanu k SIP URI Jaké je řešení výše zmíněných rizik? - end-to-end zabezpečení -> TLS - mezidoménová důvěra certifikáty pro jednotlivé SIP Proxy, důvěryhodnost - negativním efektem je omezení otevřenosti IP telefonie 15
Experiment s TLS, Ostrava - Miláno lab in Ostrava lab in Milano Géant2 endpoint for UDP traffic load and VoIP traffic VPN using TLS evaluating console endpoint emulating VoIP traffic vliv zabezpečení na kvalitu Open SSL, Open VPN IPerf, UDP generátor IxChariot, emulace VoIP traffic shaping v Ostravě 6Mbps Jaký se mění R-faktor hovoru? 16
Výsledky the absolute aberrance in measurement [%] G.711Alaw G.729 w/o VPN, w/o traffic 0,09 0,05 w/o VPN, w traffic 1,34 1,47 w VPN, w/o traffic 0,19 0,88 w WPN, w traffic 3,2 1,9 total 1,14% Další experiment s TLS,důkladná měření se SIPp, každý test byl opakován 100x, výsledky budou prezentovány na konferenci TNC 2008 v Belgii 17
Děkuji Vám za pozornost miroslav.voznak@vsb.cz 18