Positive Hack Days. Кадер. IP телефония - опасно ли это?
-
Upload
positive-hack-days -
Category
Business
-
view
3.130 -
download
0
description
Transcript of Positive Hack Days. Кадер. IP телефония - опасно ли это?
1
IP Телефония – опасно ли это?
Михаил Кадер
2
Вопрос:
Насколько безопасна IP-телефония?
Ответ: НЕИЗВЕСТНО
3
Вопрос:
Возможно ли создать решение защищенной IP-телефонии?
Ответ: Попробуем! ;-)
4
Взлом традиционной телефонии
Продавалась в коробках с хлопьями «Captain Crunch» в 1964 г.
Первая фрикинг-атака, разработанная Джоном Дрейпером
Дудка подает сигнал с частотой 2600 Гц. Такой же сигнал использовался в AT&T как сигнал готовности к новому вызову
Позволила раскрыть несколько других сигналов AT&T
Дрейпер был осужден на 5 лет лишения свободы условно, затем стал работать вместе с Джобсом, Возняком и Гейтсом
http://en.wikipedia.org/wiki/John_Draper
Боцманская дудка «Cap’n Crunch»
5
Типовая инфраструктураUC процессоры
CUCM
Сервер присутствия (Presence)
CiscoUnity®
Wireless
Головной
офис
ЦОД
Большое
отделение
Среднее
отделение
6
Типовая инфраструктураС UC коммутационной матрицей
CUCM
Сервер присутствия (Presence)
Cisco
Unity
Wireless
Головной
офис
ЦОД
Большое
отделение
Среднее
отделение
Домашний офис
IP сеть
VPN
7
Типовая инфраструктурас транковыми интерфейсами
CUCM
Сервер присутствия (Presence)
Cisco
Unity
Wireless
Головной
офис
ЦОД
Большое
отделение
Среднее
отделение
Домашний офисVPN
IP
сеть
ТФОП
SP VoIP
CUBE CUBE
8
Типовая инфраструктурас абонентскими интерфейсами
CUCM
Сервер присутствия (Presence)
Cisco
Unity
Wireless
Головно
й офис
ЦОД
Большое
отделение
Среднее
отделение
Домашний офисVPN
Network
ТФОП
SP VoIP
CUBE CUBE
IP сеть
9
5 главных модулей
Управление звонками и конференцсвязью IP-телефоны, Desktop IP Phone и видеоустройства Локальная инфраструктура
Защита голосового и видео трафика и сигнализации при передаче по ЛВС
Глобальная инфраструктура (WAN/Интернет)Защита голосового и видео трафика и сигнализации при передачи по глобальным сетям
Голосовые и видео приложенияUnity voice mail, IVR, IPCC…
10
Взлом IP-телефонии
Утилита VOMIT уже давно известна Прослушивание – ettercap, dsniff, Cain&Abel Телефонное мошенничество
Звонки на платные номера
Бесплатные звонки по всему миру
На звонки с номеров из другой страны не распространяется местное законодательство
Взлом серверов обработки вызовов и приложений Атаки типа “отказа в обслуживании” Спам типов SPIT / SPIM: реклама или вредоносный код
11
Угрозы для оконечных устройств IP-телефонии
Разведка
DoS – переполнение DHCP-пула, лавины пакетов, и т.п.
Прослушивание / атаки типа «Man-in-the-middle»
Направленные атаки – спам SPIT, подмена абонента и т.п.
12
GARP:I’m 10.1.1.2
GARP:Я - 10.1.1.1
10.1.1.2 ccКэш ARP10.1.1.2 bb10.1.1.3 cc10.1.1.4 dd
10.1.1.1 ccКэш ARP10.1.1.1 aa10.1.1.3 cc10.1.1.4 dd
10.1.1.110.1.1.2
aa-aa-aa-aa-aa-aabb-bb-bb-bb-bb-bb
10.1.1.3cc-cc-cc-cc-cc-cc
10.1.1.4dd-dd-dd-dd-dd-dd
Прослушивание/атаки типа «Man-in-the-Middle»
Утилиты ettercap, dsniff, Cain&Abel и подобные им есть на cnet ettercap позволяет выделять из трафика
Имена пользователей и пароли
Номера, имена владельцев и PIN-коды кредитных карт
Сообщения эл. почты – изменять текст
Telnet – изменять текст
Голос – преобразовывать RTP в WAV
13
IP-атаки могут вызвать отказ в обслуживании
Smurf, TCP Reset, ICMP Redirect и т.п.
По мере развития конвергенции все труднее внедрять отдельные сети VLAN,
Программные телефоны, XML-приложения, VTA, контроль присутствия
Списки контроля доступа VLAN (VACL)Телефонам необходимо взаимодействовать друг с другом по RTP и взаимодействовать с серверами по нескольким протоколам стека TCP/UDP
Телефонам не нужно взаимодействовать по TCP и обмениваться ICMP-сообщениями
Остановите TCP- и ICMP- атаки на телефоны!
Серверы телефонии
14
Угрозы для серверов IP-телефонии
Интернет-черви, вирусы, троянские программы
Направленные сканирования
DoS и DDoS
Нарушение полномочий доступа
Несанкционированное изменение конфигурации
15
Телефонное мошенничество
16
Угрозы приложениям IP-телефонии
Обман пользователей – фишинг/ фарминг Перехват (или подбор) реквизитов входа Использование ошибок в программах – нестандартные
воздействия на приложения и протоколы Мошенничество при платных звонках Пересылка конфиденциальных сообщений
17
SPIT: спам по IP-телефонии
Мы получаем спам по электронной почте Реклама и вредоносный спам Чем отличается VoIP?
Графические дисплеи
Бесплатная процедура перебора номеров
Технически легкий массовый обзвон
Подмена абонента или атака на сигнальный протокол – SIP, SCCP, …
Нежелательные звонки, подмена абонента и т.п.
18
Пример SPIT
Заставить телефон звонить каждые 5 минут
Или заставить все телефоны звонить каждые 5 минут
Частота слишком низка для введения ограничений
Но ее хватит, чтобы свести с ума пользователей !!!
ЗВОНОК !!! ЗВОНОК !!!ЗВОНОК !!!
19
Пример SPIT
Подмена абонента Это же руководитель компании!!!
Вы выиграли бесплатную поездку на Канарские острова!!!
20
Основные типы атак и атакуемые объекты
Несанкционированное прослушивание,Прослушивание и запись данных без санкции.
Отказ в обслуживании (DoS) или распределенный отказ в обслуживании (DDoS),
Заимствование прав,Попытка получить доступ к администрированию системы или информации под чужими правами.
Приложения UC,Систем голосовой почты, сервера представлений и т.д.
Программные клиенты,Все программные телефоны, клиенты IM.
Мошенничество.Несанкционированные вызовы (междугородние, международные).
21
Что защищать?Все возможные точки
CUCM
Сервер присутствия (Presence)
Cisco
Unity
Wireless
Головной
офис
ЦОД
Большое
отделение
Среднее
отделение
Домашний офисVPN
IP сеть
ТФОП
SP VoIP
CUBE CUBE
22
Голос – это данные, но какие?
Определите приоритет голоса среди других Ваших бизнес-приложений
Оцените насколько Ваша текущая политика безопасности подходит для системы унифицированных коммуникаций
ДилингБиллинг
Web приложения
Directory
Oracle и др. БД
АТМ-терминалы
Голос?
Банковские приложения
23
Безопасность – баланс между рисками и затратами
Базоваяпо умолчанию, просто, легко
Средняясредне, разумно
Высокаяновая, высокая, не встроенные
Затраты—Сложность—Ресурсы—Нагрузка
Защита от атакРекомендованные патчи
Серверный МСЭЗащита от телефонного мошенничества
Расширенная защита ОСDHCP SnoopingПодписанные прошивки и файлы конфигурации
Зашифрованный конфигурационный файл
Динамическая безопасность портовSmart Ports (Auto QoS)
TLS/SRTP к приложениямIP Source GuardОтключение Gratuitous ARP
IPSec/TLS & SRTP к шлюзам
Динамическая инспекция ARP
Антивирус
TLS / SRTP к телефонамLimit MAC Address LearningСерверный МСЭ
NAC / 802.1XОграничение скоростиРаздельные VLAN для голоса и данных
Межсетевые экраны с расширенным контролем голосовых потоков
Межсетевые экраны с контролем состояния
Базовые Layer 3 ACLs
Телефонный прокси
Trusted Relay Point