Bezpieczeństwo usługi VoIP.key
Transkrypt
Bezpieczeństwo usługi VoIP.key
Bezpieczeństwo usług na przykładzie VoIP Gdańsk 25.04.2015 „Są trzy rodzaje wiedzy: Wiemy, co wiemy. Wiemy, czego nie wiemy. Nie wiemy, czego nie wiemy.” Donald Rumsfeld Agenda • przyczyny - podsumujmy co wiemy… • zagrożenia - przed czym się zabezpieczamy • rodzaje ataków • bezpieczeństwo w VoIP - podstawy • systemy antyfraudowe • dobre praktyki Specyfika systemów VoIP • realizowane jako logiczna „ostatnia mila” do której każdy ma dostęp, w odróżnieniu od fizycznej ostatniej mili • często realizowane w publicznym internecie, rzadko w zamkniętej sieci operatora • stosunkowo niski koszt realizacji* Specyfikacja systemów VoIP cd. • możliwość realizacji wielu jednoczesnych połączeń • możliwość podłączenia dowolnego urządzenia • dane autoryzacyjne dostępne w wielu miejscach (terminal abonenta, system provisioningu, panel selfcare) Podejście abonenta • najważniejszy jest koszt - oszczędności na sprzęcie (terminale, oprogramowanie) • domyślne hasła (admin, test, root i różne części ciała…) • brak wiedzy, świadomości oraz umiejętności konfiguracyjnych: • domyślna konfiguracja terminali • stosowanie domyślnej konfiguracji rozwiązań open source Podejście operatora Cena usługi: • rezygnacja z monitoringu 24/7 • rezygnacja z automatycznego monitoringu umów i rozliczeń • rezygnacja z monitoringu kontroli salda i konta • rezygnacja z wdrożenia i utrzymania systemu antyfraudowego Ataki na usługę telefoniczną Phreaking - phone freak 1971 - John Draper (Capitan Crunch) nawiązał międzymiastowe darmowe połączenie, gwiżdżąc do słuchawki przy wykorzystaniu gwizdka zabawki, wyjętego z paczki płatków śniadaniowych. Ataki na usługę VoIP • • • • Ataki na OS • Wirusy, trojany, malware Ataki na stos sieciowy • Ataki odmowy usługi • SYN FLOOD Ataki na protokół VoIP • RTP flood • Błędy w implementacji protokołu sieciowego (SIP/H323/MGCP) • Ataki odmowy usługi Ataki na aplikacje głosowe • przechwytywanie sesji • podsłuchiwanie • podszywanie się Rodzaje ataków na VoIP • Sniffing • Spoofing • DoS • SPIT 100 połączeń -> 8h -> 10 zł/min 480000 zł w jedną noc… Bezpieczeństwo w VoIP Mechanizmy uwierzytelniania: • autoryzacja po adresie IP • HTTP Digest • Szyfrowanie: • SSIP - TLS dla SIP • SRTP, ZRTP - dla strumienia RTP #!/bin/bash if [ $# -ne 6 ]; then echo -e "Sposob uzycia: passcheck <username> <realm> <password> <method> <digestURI> <nonce>" echo -e "Przyklad# ./passcheck freecotest666 sip.freeconet.pl haslo666 REGISTER sip:sip.freeconet.pl 4bf3cb8175cd272a3ce9502b60f5cc88e84f9991" else username=$1 realm=$2 password=$3 method=$4 digestURI=$5 nonce=$6 HA1=`echo -n "$username:$realm:$password"|md5sum` HA2=`echo -n "$method:$digestURI"|md5sum` response=`echo -n "${HA1:0:32}:$nonce:${HA2:0:32}"|md5sum` echo -e "Response: \t${response:0:32}" Systemy antyfraudowe • system regułowy • system wykrywający anomalie Analiza regułowa Wykrywa nadużycia typu: • kosztowe połączenia na numery PREMIUM 0-700, • dialery Zapobiega nadużyciu poprzez: • limitowanie połączeń w czasie po kierunku i numerze A, • limitowanie połączeń po czasie połączenia. Przykład: MAX 100 połączeń do Sierra Leone w ciągu doby Analiza anomalii Wykrywa nadużycia typu: • błędy w cennikach (nagły wzrost ruchu na daną strefę numeracyjną), • nieautoryzowane użycie konta abonenckiego, • połączenia na numery PREMIUM Zapobiega nadużyciu poprzez: • klasyfikację zdarzeń, • analizę anomalii w zbiorze. Przykład: Nagły wzrost ruchu na numerację Estonii -> błąd w cenniku -> zbyt niska stawka Dobre praktyki • polityka haseł • aktualizacji oprogramowania centrali jak i terminali (atak na stos SIP) • ograniczenia dozwolonych kierunków • ograniczenia czasowe • monitorowanie salda • ograniczenie dozwolonych adresów IP • limitowanie jednoczesnych połączeń • zmiana domyślnej konfiguracji (hasła, porty) • urządzenia końcowe „schowane” za NAT • fail2ban • VPN • dedykowane łącze operatora VLAN ME ? Dziękuję Maciej Krajewski [email protected]