Unified Communication a bezpečnost

Podobné dokumenty
Bezpečnostní problémy VoIP a jejich řešení

IP telephony security overview

Identifikátor materiálu: ICT-3-03

Internet protokol, IP adresy, návaznost IP na nižší vrstvy

Telekomunikační sítě Protokolové modely

Dell SonicWALL. Security tips & tricks. Jan Ježek business communication s.r.o.

metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování

Měření kvality služeb - QoS

Protokoly a Internet. Miloš Hrdý. 19. listopadu 2007

QoS na L2/L3/L4. Jak prokazovat kvalitu přípojky NGA. Ing. Martin Ťupa Ing. Jan Brouček, CSc. PROFiber Networking CZ s.r.o.

5/8 INSTANT MESSAGING A JEHO BEZPEČNOST V PODNIKOVÝCH SÍTÍCH

Unified Messaging: Integrace IBM a Cisco řešení v oblasti messagingu

Měření kvality služeb. Kolik protlačíte přes aktivní prvky? Kde jsou limitní hodnoty ETH spoje? Data Hlas Video. Black Box Network Infrastructure

Voice over IP Fundamentals

Aplikační vrstva. RNDr. Ing. Vladimir Smotlacha, Ph.D.

7. Aplikační vrstva. Aplikační vrstva. Počítačové sítě I. 1 (5) KST/IPS1. Studijní cíl. Představíme si funkci aplikační vrstvy a jednotlivé protokoly.

Základy Voice over IP (VoIP) pro IT techniky

QoS na L2/L3/L4. Brno, Ing. Martin Ťupa

POČÍTAČOVÉ SÍTĚ Metodický list č. 1

Útoky na HTTPS. PV210 - Bezpečnostní analýza síťového provozu. Pavel Čeleda, Radek Krejčí

SIP Session Initiation Protocol

Analýza síťového provozu. Ing. Dominik Breitenbacher Mgr. Radim Janča

Bezpečnost provozu VoIP

Internet Information Services (IIS) 6.0

Semestrální práce do předmětu TPS (Technologie Počítačových Sítí).

Asterisk a ENUM Ondřej Surý <ondrej@sury.org> Co je to VoIP? Jaké se používají protokoly? Co je to Asterisk? Co je to ENUM? Konfigurace Demo Otázky a

Inovace bakalářského studijního oboru Aplikovaná chemie

Realizace a zabezpečení telefonního centra s využitím technologie Voice Over Internet Protocol. Implementation of secure VOIP call center

Inovace bakalářského studijního oboru Aplikovaná chemie

Alcatel OmniPCX 4400 Základní vlastnosti

Kvalita služeb datových sítí z hlediska VoIP

SSL Secure Sockets Layer

Obsah. O autorech 9. Předmluva 13. KAPITOLA 1 Počítačové sítě a Internet 23. Jim Kurose 9 Keith Ross 9

Inovace bakalářského studijního oboru Aplikovaná chemie

Zabezpečení VoIP komunikace

Bezpečnost vzdáleného přístupu. Jan Kubr

Studium protokolu Session Decription Protocol. Jaroslav Vilč

Název školy: Základní škola a Mateřská škola Žalany. Číslo projektu: CZ. 1.07/1.4.00/ Téma sady: Informatika pro devátý ročník

Úvod do síťových technologií

DUM 16 téma: Protokoly vyšších řádů

Vysokorychlostní sítě 2004 Praktická aplikace přenosu hlasu v IP sítích

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Multimediální služby v taktických IP sítích

A7B36PSI Úvod 1/29. Jan Kubr. Honza Kubr - 1_uvod

Počítačové sítě. Počítačová síť. VYT Počítačové sítě

POKROČILÉ ZABEZPEČENÍ DAT A APLIKACÍ V PROSTŘEDÍ AZURE TOMÁŠ MIROŠNÍK ACCOUNT TECHNOLOGY STRATEGIST MICROSOFT

Seznámení s IEEE802.1 a IEEE a IEEE802.3

ZPS 3 Standardizace počítačových sítí, zásobník TCP/IP, model ISO/OSI, vybrané protokoly

Model ISO - OSI. 5 až 7 - uživatelská část, 1 až 3 - síťová část

Komunikační řešení Avaya IP Office

B4. Počítačové sítě a decentralizované systémy Jakub MÍŠA (2006)

Kapitola 1 Představení SIP telefonu

ANTISPIT a jeho implementace do Asterisku

Well LP-388 VoIP telefon, 2x Eth. port, SIP, QoS

JAK ČÍST TUTO PREZENTACI

Všechno přes IP, IP přes všechno. Propustnost včetně agregace (kolik je agregace?) Nabízená rychlost vs garantovaná rychlost. VoIP

(Ne)bojím se IPv6! Matěj Grégr. Vysoké učení technické v Brně, Fakulta informačních technologií LinuxAlt 2013

ZABEZPEČENÍ PŘENOSU MULTIMEDIÁLNÍCH DAT V REÁLNÉM ČASE

Manuál pro nastavení telefonu Siemens C450 IP

KATALOG TELEFONŮ A HLASOVÝCH BRAN

CCNA Network Upgrade

Webové služby a XML. Obsah přednášky. Co jsou to webové služby. Co jsou to webové služby. Webové služby a XML

Inovace výuky prostřednictvím šablon pro SŠ

Architektura TCP/IP v Internetu

Obsah PODĚKOVÁNÍ...11

IVT 2. ročník INFORMAČNÍ SÍTĚ

Provisioning VoIP koncových zařízení

Adware ENISA. Aktivní kybernetická obrana. Aktivum. Analýza hrozeb. Analýza počítačového viru. Antispamový filtr. Antivirový program

Počítačové sítě ve vrstvách model ISO/OSI

Úvod Bezpečnost v počítačových sítích Technologie Ethernetu

Schéma elektronické pošty

Komunikační protokoly počítačů a počítačových sítí

SIGNALIZAČNÍ A KOMUNIKAČNÍ PROTOKOLY V IP TELEFONII

Advanced IT infrastructure control: do it better, safer, easier and cheaper. FlowMon ADS Moderní řešení detekce průniků a anomálií

Relační vrstva SMB-Síťový komunikační protokol aplikační vrstvy, který slouží ke sdílenému přístupu k souborům, tiskárnám, sériovým portům.

Cisco Unified Communications Manager Express

Při konfiguraci domácího směrovače a bezdrátové sítě se setkáte s obrovským počtem zkratek, jejichž význam je jen málokdy dostatečně vysvětlen.

Počítačové sítě. Lekce 4: Síťová architektura TCP/IP

PSK2-14. Služby internetu. World Wide Web -- www

ANECT, SOCA a bezpečnost aplikací

SIP terminály Aastra 67xxi

Instalace 2N Helios IP pro použití ve VoIP prostředí Centrex.

Informatika. 20 Internet

Mobilníkancelář. Kancelář ve vašem mobilu. Popis a možnosti použití. Ing. Martin LENKO Červen 2011

Semestrální práce 37MK

ZÁKLADNÍ ANALÝZA SÍTÍ TCP/IP

materiál č. šablony/č. sady/č. materiálu: Autor: Karel Dvořák Vzdělávací oblast předmět: Informatika Ročník, cílová skupina: 7.

Server. Software serveru. Služby serveru

Datum vytvoření. Vytvořeno 18. října Očekávaný výstup. Žák chápe pojmy URL, IP, umí vyjmenovat běžné protokoly a ví, k čemu slouží

Dodávka nových switchů a jejich integrace do stávající IT infrastruktury inspektorátu SZPI v Praze

MODELY POČÍTAČOVÝCH SÍTÍ

VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ BEZPEČNOST VOIP PROTOKOLŮ BAKALÁŘSKÁ PRÁCE FAKULTA ELEKTROTECHNIKY A KOMUNIKAČNÍCH TECHNOLOGIÍ ÚSTAV TELEKOMUNIKACÍ

Unified Communications. Client Applications. Cisco Unified Personal Communicator. Cisco Unified IP Communicator. Hlavní výhody.

Inovace bakalářského studijního oboru Aplikovaná chemie

Bezpečnostní vlastnosti moderních sítí

Yealink VC110 videokonferenční endpoint

ATEUS - OMEGA Komunikační řešení pro malé a střední firmy

EU-OPVK:VY_32_INOVACE_FIL9 Vojtěch Filip, 2013

Počítačové sítě internet

Transkript:

Unified Communication a bezpečnost Fresh IT Ing. Tomáš Fidler fidler@oksystem.cz

Osnova IP Komunikace a bezpečnost? Protokoly v rámci VoIP Ukázka? 2

Případová studie forum.orolik.cz @2012: Podporujeme šifrované hovory ZRTP i SRTP Dnes bylo zprovozněno šifrované volání. Šifrována může být jak SIP signalizace (TLS) - nikdo neodposlechne kam voláte tak i samotný hovor SRTP nebo ZRTP. Šifrování pomocí ZRTP je nejpokročilejší, nejde odposlechnout nikde po cestě ani na naší ústředně, ale funguje jen pro volání v síti Odorik<->Odorik a nemá zatím podporu hardwarových telefonů. Otázky: Interoperabilita mezi výrobci? Interoperabilita mezi poskytovateli? Má vůbec cenu řešit bezpečnost hlasové komunikace? 3

Buďme pozitivní forum.orolik.cz Existuje SRTP šifrovaní hlasu: Šifrovat hovor samotný (SRTP) bez šifrování signalizace nemá smysl, protože pak jdou odposlechnout použité klíče tedy i celý hovor. SRTP je tedy nutné vždy použít v kombinaci se šifrováním signalizace. Tomu se dohromady zjevně říká SIPS. Dobře ale někdo to už řešil? Různý hardware může mít co se šifrování týče různé mouchy a podivnosti v nastavování. šifrování -? problémy GOOGLE: voip SIPS problem Z toho důvodu doporučujeme šifrování jen těm, kteří vědí co dělají a nevadí jim trochu experimentování. 4

Shrnutí Šifrování/odposlechnutí hovoru je minoritní problém Řeší se jiné problémy jaké? 5

Tradiční systémy pobočkových ústředen Podle typu až 200 funkcí Často nekonfigurované nad rámec potřeby Potenciálně nezabezpečené proti zneužití 6

7 VoIP architektura

Úvod do VoIP VoIP není JEN protokol. Dva hlavní signalizační protokoly: SIP aplikační framework H.323 - přesně specifikuje jak se přenáší signalizace Pro přenos hlasu RTP SCTP - stream control transmission protokol, byl ratifikován IETF a využíval v podstatě IP verzi protokolu SS7 známou jako SIGTRAN, neujal se 8

Další služby ve VoIP Mimo signalizace a přenosu hlasu vyžaduje pro správné fungování VoIP i další řadu protokolů, které zajišťují : Kvalitu služby (QoS) Překlady jmen (DNS apod.) Umožňují akutalizace softwaru/firmware (TFTP, HTTP, SCP, HTTPS, FTP, SFTP ) Synchronizují čas (NTP apod.) Efektivně směřují hovory, monitoring výkonnosti, umožňují procházet firewallem. 9

SIP EITF standard je signalizačním protokolem pro internetové konference, telefonii, presence (monitoring stavu účastníka), notifikace o událostech a IM (instant messaging) Protokol typu požadavek odpověď (podobné HTTP) Hlavním úkolem SIP je navázání spojení, nezajímá se o detaily hovoru Zprávy jsou textově kódované (čte se podobně jako SMTP) 10

H.323 Protokol ITU, který implementuje podobnou architekturu jako SS7 ( tradiční telefonie) Poskytuje základ pro telefonní, video a datovou komunikaci ("ISDN") přes IP sítě Využívá kodování ASN.1 PER. PER (Packed Encoding Rules) je podmnožinou BER a je binárním kódováním výhodným pro sítě s malou znakovou propustností Explicitně definuje téměř všechny aspekty volání 11

Společné vlastnosti SIP a H.323 Využívají standardní součásti TCP/IP stacku TCP UDP Otvírají minimálně 5 vláken (sessions) pro jeden hovor Signalizace Dva RTP streamy, Dva RTCP streamy. 12

Další důležité protokoly RTSP RSVP STUN TURN ICE SDP TLS DHCP TFTP Real Time Streaming Protocol for media play-out control Resource Reservation Protocol Simple Traversal of UDP through NAT Traversal Using Relay NAT Interactive Connectivity Establishment Session Discovery Protocol Transport Layer Security Address services Firmware and configuration distribution 13

Výzvy VoIP z hlediska bezpečnosti Navazování hovoru je jak směrem z firemního telefonu, tak na něj. Očekávaná dostupnost 99,999% Telefon je chytré zařízení Mnoho podpůrných služeb: Přesměrování hovoru Přepojení Hlasová pošta Konferenční služby 14

Bezpečnostní problémy VoIP (dle voipsa.org) VolP Control Packet Flood VolP Call Data Flood TCP/UDP/ICMP Packet Flood VolP Implementation DoS Exploit OS/Protocol Implementation DoS Exploit VolP Protocol DoS Exploit Wireless DoS Attack Network Service DoS Attacks VolP Application Dos Attacks VolP Endpoint PIN Change VolP Packet Replay VolP Packet Injection VolP Packet Modification QoS Modification VLAN Modification VolP Social Engineering Rogue VolP Device Connection ARP Cache Poisoning VolP Call Hijacking Network Eavesdropping VolP Application Data Theft Address Spoofing VolP Call Eavesdropping VolP Control Eavesdropping VolP Toll Fraud VolP Voicemail Hacks 15

16 SIP architektura

Typy útoků: SIP Ukradení identity: Ochrana: autentizace MD5 Při odposlechu SIP registrace a úrovni ochrany 100$ minimálně 7 znaků Ukradení služby: Zabezpečit administraci serveru Odposlech: Zabezpečit celou síť 17

18 Typy útoků: ARP spoofing

19 Příklad arp spoofing:

20

21

Obrana proti ARP spoofing: Hlídání správného párování IP:MAC Port security Hlídá asociaci MAC na port dhcp snooping Hlídá správnost MAC : IP Arpwatch V IDS sondě 22

23 Proč nestačí port-security?

24 Proč nestačí port-security?

25 Proč nestačí sonda?

26 Speciální VOICE vlan

27 Zabránit vypojení telefonu

Striktní uzavření VoIP sítě! www.cvedetails.com/cve/2014-3300 The BVSMWeb portal in the web framework in Cisco Unified Communications Domain Manager (CDM) in Unified CDM Application Software before 10 does not properly implement access control, which allows remote attackers to modify user information via a crafted URL, aka Bug ID CSCum77041. cisco_cucdm_speed_dials cisco_cucdm_call_forward https://bst.cloudapps.cisco.com/bugsearch/bug/cscuo51517 Symptom: CUCM is not validating additional proxy header. This can lead to false attribution if an attacker is able to spoof some of this header, for example RPID, PAI or PPI 28

29 Nabourání VoIP telefonu

Unified Communication - NEJEN CISCO VoIP IM (jabber apod.) XML, asp, java služby Propojení k Mail serveru, Presence serveru (kalendářové služby) Softwarové telefony (zranitelnost PC) 30

Doporučení Určit co je hrozba Aktualizovat software Využívat HTTPS, SIP+TLS, SRTP separovat VOIP do vlastní VLAN, striktní přístupová politika Monitorovat VOIP Maximálně omezit možnosti komunikace VoIP ven: Ideálně pouze branou (gateway) Shrnuto: Sledovat a dodržovat doporučení výrobce ve všech bodech. 31

Závěr VoIP upozorňuje na problémy bezpečné obecné komunikace. Bezpečnost vs komunikace jsou téměř protichůdné Moderní technologie jsou komplikované Zabezpečnení moderních technologií není jednoduché 32

Konec

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář