Unified Communication a bezpečnost Fresh IT Ing. Tomáš Fidler fidler@oksystem.cz
Osnova IP Komunikace a bezpečnost? Protokoly v rámci VoIP Ukázka? 2
Případová studie forum.orolik.cz @2012: Podporujeme šifrované hovory ZRTP i SRTP Dnes bylo zprovozněno šifrované volání. Šifrována může být jak SIP signalizace (TLS) - nikdo neodposlechne kam voláte tak i samotný hovor SRTP nebo ZRTP. Šifrování pomocí ZRTP je nejpokročilejší, nejde odposlechnout nikde po cestě ani na naší ústředně, ale funguje jen pro volání v síti Odorik<->Odorik a nemá zatím podporu hardwarových telefonů. Otázky: Interoperabilita mezi výrobci? Interoperabilita mezi poskytovateli? Má vůbec cenu řešit bezpečnost hlasové komunikace? 3
Buďme pozitivní forum.orolik.cz Existuje SRTP šifrovaní hlasu: Šifrovat hovor samotný (SRTP) bez šifrování signalizace nemá smysl, protože pak jdou odposlechnout použité klíče tedy i celý hovor. SRTP je tedy nutné vždy použít v kombinaci se šifrováním signalizace. Tomu se dohromady zjevně říká SIPS. Dobře ale někdo to už řešil? Různý hardware může mít co se šifrování týče různé mouchy a podivnosti v nastavování. šifrování -? problémy GOOGLE: voip SIPS problem Z toho důvodu doporučujeme šifrování jen těm, kteří vědí co dělají a nevadí jim trochu experimentování. 4
Shrnutí Šifrování/odposlechnutí hovoru je minoritní problém Řeší se jiné problémy jaké? 5
Tradiční systémy pobočkových ústředen Podle typu až 200 funkcí Často nekonfigurované nad rámec potřeby Potenciálně nezabezpečené proti zneužití 6
7 VoIP architektura
Úvod do VoIP VoIP není JEN protokol. Dva hlavní signalizační protokoly: SIP aplikační framework H.323 - přesně specifikuje jak se přenáší signalizace Pro přenos hlasu RTP SCTP - stream control transmission protokol, byl ratifikován IETF a využíval v podstatě IP verzi protokolu SS7 známou jako SIGTRAN, neujal se 8
Další služby ve VoIP Mimo signalizace a přenosu hlasu vyžaduje pro správné fungování VoIP i další řadu protokolů, které zajišťují : Kvalitu služby (QoS) Překlady jmen (DNS apod.) Umožňují akutalizace softwaru/firmware (TFTP, HTTP, SCP, HTTPS, FTP, SFTP ) Synchronizují čas (NTP apod.) Efektivně směřují hovory, monitoring výkonnosti, umožňují procházet firewallem. 9
SIP EITF standard je signalizačním protokolem pro internetové konference, telefonii, presence (monitoring stavu účastníka), notifikace o událostech a IM (instant messaging) Protokol typu požadavek odpověď (podobné HTTP) Hlavním úkolem SIP je navázání spojení, nezajímá se o detaily hovoru Zprávy jsou textově kódované (čte se podobně jako SMTP) 10
H.323 Protokol ITU, který implementuje podobnou architekturu jako SS7 ( tradiční telefonie) Poskytuje základ pro telefonní, video a datovou komunikaci ("ISDN") přes IP sítě Využívá kodování ASN.1 PER. PER (Packed Encoding Rules) je podmnožinou BER a je binárním kódováním výhodným pro sítě s malou znakovou propustností Explicitně definuje téměř všechny aspekty volání 11
Společné vlastnosti SIP a H.323 Využívají standardní součásti TCP/IP stacku TCP UDP Otvírají minimálně 5 vláken (sessions) pro jeden hovor Signalizace Dva RTP streamy, Dva RTCP streamy. 12
Další důležité protokoly RTSP RSVP STUN TURN ICE SDP TLS DHCP TFTP Real Time Streaming Protocol for media play-out control Resource Reservation Protocol Simple Traversal of UDP through NAT Traversal Using Relay NAT Interactive Connectivity Establishment Session Discovery Protocol Transport Layer Security Address services Firmware and configuration distribution 13
Výzvy VoIP z hlediska bezpečnosti Navazování hovoru je jak směrem z firemního telefonu, tak na něj. Očekávaná dostupnost 99,999% Telefon je chytré zařízení Mnoho podpůrných služeb: Přesměrování hovoru Přepojení Hlasová pošta Konferenční služby 14
Bezpečnostní problémy VoIP (dle voipsa.org) VolP Control Packet Flood VolP Call Data Flood TCP/UDP/ICMP Packet Flood VolP Implementation DoS Exploit OS/Protocol Implementation DoS Exploit VolP Protocol DoS Exploit Wireless DoS Attack Network Service DoS Attacks VolP Application Dos Attacks VolP Endpoint PIN Change VolP Packet Replay VolP Packet Injection VolP Packet Modification QoS Modification VLAN Modification VolP Social Engineering Rogue VolP Device Connection ARP Cache Poisoning VolP Call Hijacking Network Eavesdropping VolP Application Data Theft Address Spoofing VolP Call Eavesdropping VolP Control Eavesdropping VolP Toll Fraud VolP Voicemail Hacks 15
16 SIP architektura
Typy útoků: SIP Ukradení identity: Ochrana: autentizace MD5 Při odposlechu SIP registrace a úrovni ochrany 100$ minimálně 7 znaků Ukradení služby: Zabezpečit administraci serveru Odposlech: Zabezpečit celou síť 17
18 Typy útoků: ARP spoofing
19 Příklad arp spoofing:
20
21
Obrana proti ARP spoofing: Hlídání správného párování IP:MAC Port security Hlídá asociaci MAC na port dhcp snooping Hlídá správnost MAC : IP Arpwatch V IDS sondě 22
23 Proč nestačí port-security?
24 Proč nestačí port-security?
25 Proč nestačí sonda?
26 Speciální VOICE vlan
27 Zabránit vypojení telefonu
Striktní uzavření VoIP sítě! www.cvedetails.com/cve/2014-3300 The BVSMWeb portal in the web framework in Cisco Unified Communications Domain Manager (CDM) in Unified CDM Application Software before 10 does not properly implement access control, which allows remote attackers to modify user information via a crafted URL, aka Bug ID CSCum77041. cisco_cucdm_speed_dials cisco_cucdm_call_forward https://bst.cloudapps.cisco.com/bugsearch/bug/cscuo51517 Symptom: CUCM is not validating additional proxy header. This can lead to false attribution if an attacker is able to spoof some of this header, for example RPID, PAI or PPI 28
29 Nabourání VoIP telefonu
Unified Communication - NEJEN CISCO VoIP IM (jabber apod.) XML, asp, java služby Propojení k Mail serveru, Presence serveru (kalendářové služby) Softwarové telefony (zranitelnost PC) 30
Doporučení Určit co je hrozba Aktualizovat software Využívat HTTPS, SIP+TLS, SRTP separovat VOIP do vlastní VLAN, striktní přístupová politika Monitorovat VOIP Maximálně omezit možnosti komunikace VoIP ven: Ideálně pouze branou (gateway) Shrnuto: Sledovat a dodržovat doporučení výrobce ve všech bodech. 31
Závěr VoIP upozorňuje na problémy bezpečné obecné komunikace. Bezpečnost vs komunikace jsou téměř protichůdné Moderní technologie jsou komplikované Zabezpečnení moderních technologií není jednoduché 32
Konec