Bezpieczeństwo usługi VoIP.key

Bezpieczeństwo usług
na przykładzie VoIP
Gdańsk 25.04.2015
„Są trzy rodzaje wiedzy:
Wiemy, co wiemy.
Wiemy, czego nie wiemy.
Nie wiemy, czego nie wiemy.”
Donald Rumsfeld
Agenda
•
przyczyny - podsumujmy co wiemy…
•
zagrożenia - przed czym się zabezpieczamy
•
rodzaje ataków
•
bezpieczeństwo w VoIP - podstawy
•
systemy antyfraudowe
•
dobre praktyki
Specyfika systemów VoIP
•
realizowane jako logiczna „ostatnia mila” do której
każdy ma dostęp, w odróżnieniu od fizycznej
ostatniej mili
•
często realizowane w publicznym internecie,
rzadko w zamkniętej sieci operatora
•
stosunkowo niski koszt realizacji*
Specyfikacja systemów VoIP
cd.
•
możliwość realizacji wielu jednoczesnych połączeń
•
możliwość podłączenia dowolnego urządzenia
•
dane autoryzacyjne dostępne w wielu miejscach
(terminal abonenta, system provisioningu, panel
selfcare)
Podejście abonenta
•
najważniejszy jest koszt - oszczędności na sprzęcie
(terminale, oprogramowanie)
•
domyślne hasła (admin, test, root i różne części ciała…)
•
brak wiedzy, świadomości oraz umiejętności
konfiguracyjnych:
•
domyślna konfiguracja terminali
•
stosowanie domyślnej konfiguracji rozwiązań open
source
Podejście operatora
Cena usługi:
•
rezygnacja z monitoringu 24/7
•
rezygnacja z automatycznego monitoringu umów i
rozliczeń
•
rezygnacja z monitoringu kontroli salda i konta
•
rezygnacja z wdrożenia i utrzymania systemu
antyfraudowego
Ataki na usługę telefoniczną
Phreaking - phone freak
1971 - John Draper (Capitan Crunch) nawiązał
międzymiastowe darmowe połączenie, gwiżdżąc do
słuchawki przy wykorzystaniu gwizdka zabawki,
wyjętego z paczki płatków śniadaniowych.
Ataki na usługę VoIP
•
•
•
•
Ataki na OS
• Wirusy, trojany, malware
Ataki na stos sieciowy
• Ataki odmowy usługi
• SYN FLOOD
Ataki na protokół VoIP
• RTP flood
• Błędy w implementacji protokołu sieciowego (SIP/H323/MGCP)
• Ataki odmowy usługi
Ataki na aplikacje głosowe
• przechwytywanie sesji
• podsłuchiwanie
• podszywanie się
Rodzaje ataków na VoIP
•
Sniffing
•
Spoofing
•
DoS
•
SPIT
100 połączeń -> 8h -> 10 zł/min
480000 zł w jedną noc…
Bezpieczeństwo w VoIP
Mechanizmy uwierzytelniania:
•
autoryzacja po adresie IP
•
HTTP Digest
•
Szyfrowanie:
•
SSIP - TLS dla SIP
•
SRTP, ZRTP - dla strumienia RTP
#!/bin/bash
if [ $# -ne 6 ]; then
echo -e "Sposob uzycia: passcheck <username> <realm> <password> <method>
<digestURI> <nonce>"
echo -e "Przyklad# ./passcheck freecotest666 sip.freeconet.pl haslo666 REGISTER
sip:sip.freeconet.pl 4bf3cb8175cd272a3ce9502b60f5cc88e84f9991"
else
username=$1
realm=$2
password=$3
method=$4
digestURI=$5
nonce=$6
HA1=`echo -n "$username:$realm:$password"|md5sum`
HA2=`echo -n "$method:$digestURI"|md5sum`
response=`echo -n "${HA1:0:32}:$nonce:${HA2:0:32}"|md5sum`
echo -e "Response: \t${response:0:32}"
Systemy antyfraudowe
•
system regułowy
•
system wykrywający anomalie
Analiza regułowa
Wykrywa nadużycia typu:
•
kosztowe połączenia na numery PREMIUM 0-700,
•
dialery
Zapobiega nadużyciu poprzez:
•
limitowanie połączeń w czasie po kierunku i numerze A,
•
limitowanie połączeń po czasie połączenia.
Przykład:
MAX 100 połączeń do Sierra Leone w ciągu doby
Analiza anomalii
Wykrywa nadużycia typu:
•
błędy w cennikach (nagły wzrost ruchu na daną strefę numeracyjną),
•
nieautoryzowane użycie konta abonenckiego,
•
połączenia na numery PREMIUM
Zapobiega nadużyciu poprzez:
•
klasyfikację zdarzeń,
•
analizę anomalii w zbiorze.
Przykład:
Nagły wzrost ruchu na numerację Estonii -> błąd w cenniku -> zbyt niska stawka
Dobre praktyki
•
polityka haseł
•
aktualizacji oprogramowania centrali jak i terminali (atak na stos SIP)
•
ograniczenia dozwolonych kierunków
•
ograniczenia czasowe
•
monitorowanie salda
•
ograniczenie dozwolonych adresów IP
•
limitowanie jednoczesnych połączeń
•
zmiana domyślnej konfiguracji (hasła, porty)
•
urządzenia końcowe „schowane” za NAT
•
fail2ban
•
VPN
•
dedykowane łącze operatora VLAN ME
?
Dziękuję
Maciej Krajewski
[email protected]