VoIP Security
Transcrição
VoIP Security
VoIP Security ISACA After Hour Seminar Mittwoch, 26. Mai 2005 © Interw ay Communication GmbH – Josefstrasse 225 – 8005 Zürich – 043 500 11 11 - w w w .interw ay.ch – info@interw ay.ch Agenda • • • • Motivation und Einsatzgebiete für VoIP VoIP Technologie Primer Service Qualität Funktionsbeschrieb gehostete Telefonielösung (Fallbeispiel) • Identifikation der Sicherheitsprobleme • Möglichkeiten der Absicherung • Fazit Mai 2005 ISACA After Hour Seminar - VoIP Security- Herr Matthias Oswald Seite 2 1 Vorstellung der Referenten • Matthias Oswald • • • • • Partner Interway Communication GmbH Gegründet 1995 11 Mitarbeiter(Innen) entspricht 9 FTE davon 2 Lehrlinge Informatik Systemtechnik Schwerpunkte: Internet Service Provider • Webhosting, ADSL • Server Housing / Colocation • Messaging Services & IT Security Mai 2005 ISACA After Hour Seminar - VoIP Security- Herr Matthias Oswald Seite 3 Agenda • Motivation und Einsatzgebiete für VoIP • VoIP Technologie Primer • Service Qualität • Funktionsbeschrieb gehostete Telefonielösung (Fallbeispiel) • Identifikation der Sicherheitsprobleme • Möglichkeiten der Absicherung • Fazit Mai 2005 ISACA After Hour Seminar - VoIP Security- Herr Matthias Oswald Seite 4 2 Telefonie heute • • • • zuverlässig wie Wasser aus dem Wasserhahn jahrzehntelang erprobt spezialisierte HW und SW separates Netz • teuer • kompliziert zu bedienen • wenig Fantasie Mai 2005 ISACA After Hour Seminar - VoIP Security- Herr Matthias Oswald Seite 5 Motivation VoIP • Kostenersparnisse - günstigere Tarife - gratis telefonieren von VoIP zu VoIP (firmenintern) - Zusatznutzen aus vorhandenem Datennetzwerk - keine Investition in Anlage bei gehosteter Telefonie • Nutzung neuer Möglichkeiten - noch engere Verknüpfung zwischen Voice und Daten - Voice ist nur eine weitere IT Applikation - Produktivitätssteigerung Mitarbeiter (Erreichbarkeit unter derselben Nummer) Mai 2005 ISACA After Hour Seminar - VoIP Security- Herr Matthias Oswald Seite 6 3 VoIP Einsatzgebiete • Zwischen grossen Telekomanbietern - vom Endkunden weitgehend unbemerkt - auf internen Netzen der Telecomanbietern - bezüglich Sicherheit und Verfügbarkeit deshalb weniger Kritisch Mai 2005 ISACA After Hour Seminar - VoIP Security- Herr Matthias Oswald Seite 7 VoIP Einsatzgebiete • Verbindung VoIP zu herkömmlichen Telefonanschluss - häufigste Nutzungsvariante in den nächsten Jahren - benötigt Gateway zu herkömmlichem Telefonnetzwerk - genauere Betrachtung in diesem Vortrag Mai 2005 ISACA After Hour Seminar - VoIP Security- Herr Matthias Oswald Seite 8 4 VoIP Einsatzgebiete • Verbindung VoIP zu VoIP Telefon - In Peer to Peer wie Skype anzutreffen - Im herkömmlichen Geschäftsumfeld eher die Ausnahme (ausser innerhalb einer Unternehmung) - Austausch der Adressierungselemente schwierig Mai 2005 ISACA After Hour Seminar - VoIP Security- Herr Matthias Oswald Seite 9 Agenda • Motivation und Einsatzgebiete für VoIP • VoIP Technologie Primer • Service Qualität • Funktionsbeschrieb gehostete Telefonielösung (Fallbeispiel) • Identifikation der Sicherheitsprobleme • Möglichkeiten der Absicherung • Fazit Mai 2005 ISACA After Hour Seminar - VoIP Security- Herr Matthias Oswald Seite 10 5 Ein VoIP Anruf D/A Codec D/A Codec 1. Teilnehmer 1 wählt Identifikation (z.Bsp. Nummer) von Teilnehmer 2 Austausch von Signalisierungsinformationen 2. Sprachübermittlung - Sprache wird im Codec digital gewandelt und in RTP-UDP Paketen verschickt 3. Ein Teilnehmer beendet das Gespräch Austausch von Signalisierungsinformationen Mai 2005 ISACA After Hour Seminar - VoIP Security- Herr Matthias Oswald Seite 11 VoIP Protokolle • Zwei konkurrierende Standards - H.323 von ITU (1996) - SIP (Session Initiation Protocol) vom IETF (1997) • H.323 Dachstandard für ein ganzes Set von Einzelstandards für paketbasierte Multimediaübermittlung über Netze ohne QoS • SIP spezifiziert lediglich ein Signalisierungsprotokoll auf Applikationsebene (RFC 3261) Mai 2005 ISACA After Hour Seminar - VoIP Security- Herr Matthias Oswald Seite 12 6 VoIP Protokolle – ein Vergleich Eigenschaft H.323 SIP Standardisierungsorganisation ITU-T IETF - RFC Generelle Eigenschaften Vollständiger Standard für Audio- Video und Datenkonferenzen. Dachstandard mit mehreren Unterstandards. Protokoll für die Signalisierung von Multimedia-Sitzungen ohne Festlegung auf bestimmte Anwendungsbereiche. Komplexität Hoch Niedrig, nur Signalisierung Nachrichtenkodierung Binär Textbasiert. -> HTML ähnlich Authentifizierung Verschlüsselung Definiert in H.235 Nichts festgelegt. IPSec, TLS, SRTP, S/MIME Mediatransportprotokoll RTP/RTCP (UDP) RTP/RTCP (UDP) Signalisierungstransport UDP oder TCP UDP oder TCP Mai 2005 ISACA After Hour Seminar - VoIP Security- Herr Matthias Oswald Seite 13 VoIP Protokolle – The Winner is: SIP! • Mai 2005 Die Welt will‘s einfach • Die Welt will SIP! ISACA After Hour Seminar - VoIP Security- Herr Matthias Oswald Seite 14 7 SIP Protokoll – SIP Nachrichten SIP Systemkomponenten kommunizieren durch das versenden von Nachrichten und antworten. SIP Nachricht Erklärungen REGISTER Mit dieser Nachricht registriert sich ein SIP User bei einem Registrar INVITE Einladung zu einer Sitzung, z.B. Anfrage für ein Telefongespräch ACK Bestätigung einer Nachricht CANCEL Aufhebung des vorher gesendeten Befehls. Wird z.B. an verschiedene Endsysteme ein INVITE geschickt und einer nimmt den Anruf entgegen schickt man den anderen ein CANCEL. BYE Eine bestehende Sitzung wird beendet OPTIONS Mit dieser Nachricht können die implementierten Methoden eines UAS abgefragt werden. Mai 2005 ISACA After Hour Seminar - VoIP Security- Herr Matthias Oswald Seite 15 SIP Protokoll – SIP Antworten Antwort Code Bedeutung Erklärungen / Beispiele 1xx Provisional Die Nachricht wurde Empfangen und wird verarbeitet: Bsp: 180 – Ringing 2xx Success Die Nachricht wurde empfangen, verstanden und akzeptiert. Bsp: 200 - OK 3xx Redirection Gibt Informationen über eine neuen Ort wo sich der gesuchte User befindet oder über neue Services die den gewünschten Anruf erfolgreich verarbeiten könnten. Bsp: 301 – Moved Permanentely 4xx Client Error Der Server teilt dem Client mit dass er die Anfrage so nicht verarbeiten kann. Der Client sollte damit nicht noch einmal dieselbe Anfrage an denselben Server schicken. Bsp: 401 – Unauthorized 5xx Server Error Diese Staus Codes werden zurückgeschickt wenn der Server interne Fehler feststellt. Bsp: 500 – Server Internal Error 6xx Global Error Diese Antwort zeigt an dass der Server definitive Informationen über einen bestimmten User erhalten hat. Z.B. dass ein Befehl von keinem Server ausgeführt werden kann. Bsp: 600 – Busy Everywhere Mai 2005 ISACA After Hour Seminar - VoIP Security- Herr Matthias Oswald Seite 16 8 SIP Protokoll – SIP Call mit Proxy SIP Phone 1 1 Proxy Invite SIP Phone 1 Invite SIP Phone 1 2 200 OK 3 4 200 OK 5 ACK 6 RTP/RTCP Data Strem 7 BYE 8 200 OK Mai 2005 SIP Phone 2 ISACA After Hour Seminar - VoIP Security- Herr Matthias Oswald Seite 17 Agenda • Motivation und Einsatzgebiete für VoIP • VoIP Technologie Primer • Service Qualität • Funktionsbeschrieb gehostete Telefonielösung (Fallbeispiel) • Identifikation der Sicherheitsprobleme • Möglichkeiten der Absicherung • Fazit Mai 2005 ISACA After Hour Seminar - VoIP Security- Herr Matthias Oswald Seite 18 9 Service Qualität • • • • Mai 2005 Hohe Verfügbarkeit Schneller Verbindungsaufbau Keine Verbindungsunterbrüche Gute Sprachqualität ISACA After Hour Seminar - VoIP Security- Herr Matthias Oswald Seite 19 Sprachqualität – End to End Verzögerung • End to End Verzögerungen setzen sich zusammen aus: - Kodierung und Kompression - Paketierung - Serialisierung - Netzwerkkomponenten - Signallaufzeiten - Pufferzeiten • ITU Vorgabe: - 150ms gut, - 400ms zufriedenstellend Mai 2005 ISACA After Hour Seminar - VoIP Security- Herr Matthias Oswald Seite 20 10 Sprachqualität – weitere Einflussfaktoren • Jitter – Varianz der Verzögerung - Bekämpfung durch Prio. des Sprachverkehrs • Echo – störendes „Sich-selbst-hören“ - entstehen bei D/A Wandlung - Fehlanpassungen in analogen Komponenten - Bekämpfung mit Echokompensationsverfahren • Verzerrungen - durch Paketverlust oder Komprimierung - Bekämpfung durch Prio. des Sprachverkehrs Mai 2005 ISACA After Hour Seminar - VoIP Security- Herr Matthias Oswald Seite 21 Service Qualität – Netzwerk QoS • VoIP Vorteil: Datennetz kann für Daten und Voice genutzt werden. • VoIP Nachteil: Datennetz wird für Daten und Voice genutzt • Computerdaten sind nicht anfällig auf Verzögerungen und Varianz in der Verzögerung • Sprachdaten schon! • Sprachkanal braucht 16 – 80 kbps. In Konkurrenz zu Daten • Europa: gute Resultate mit QoS auf Kundenrouter • Weltweit: QoS auf ganzem Netz nötig Mai 2005 ISACA After Hour Seminar - VoIP Security- Herr Matthias Oswald Seite 22 11 Agenda • Motivation und Einsatzgebiete für VoIP • VoIP Technologie Primer • Service Qualität • Funktionsbeschrieb gehostete Telefonielösung (Fallbeispiel) • Identifikation der Sicherheitsprobleme • Möglichkeiten der Absicherung • Fazit Mai 2005 ISACA After Hour Seminar - VoIP Security- Herr Matthias Oswald Seite 23 Gehostete Telefonie • Neue Firma ? • Hosted Package • Alles Standortunabhängig Mai 2005 ISACA After Hour Seminar - VoIP Security- Herr Matthias Oswald Seite 24 12 Gehostete Telefonie - Fallbeispiel • Rahmenbedingungen - 10 Telefonarbeitsplätze im Office - HomeOffice Möglichkeiten • Funktionalität - Sammelruf / Einzelruf / Weiterleitung - VoiceMail - Umleitung auf weitere Nummern - Do not Disturb Mai 2005 ISACA After Hour Seminar - VoIP Security- Herr Matthias Oswald Seite 25 Gehostete Telefonie - Fallbeispiel • Bsp. Fixe Endgeräte – Snom190 • Bsp. Laptop Softphones – XLite • Kosten: CHF 300.- Snom / CHF 0.- X-Lite Mai 2005 ISACA After Hour Seminar - VoIP Security- Herr Matthias Oswald Seite 26 13 Gehostete Telefonie - Fallbeispiel • KMU – Provider Package Hosted Telefonie Mai 2005 ISACA After Hour Seminar - VoIP Security- Herr Matthias Oswald Seite 27 Gehostete Telefonie – Provider Package • Website Login für Verwaltung • 15 Telefonieaccounts • 5 direkte Nummern Mai 2005 ISACA After Hour Seminar - VoIP Security- Herr Matthias Oswald Seite 28 14 Agenda • • • • Motivation und Einsatzgebiete für VoIP VoIP Technologie Primer Service Qualität Funktionsbeschrieb gehostete Telefonielösung (Fallbeispiel) • Identifikation der Sicherheitsprobleme • Möglichkeiten der Absicherung • Fazit Mai 2005 ISACA After Hour Seminar - VoIP Security- Herr Matthias Oswald Seite 29 VoIP - Sicherheitsprobleme • Sicherheit heisst auch bei VoIP - Verfügbarkeit - Integrität - Vertraulichkeit Mai 2005 ISACA After Hour Seminar - VoIP Security- Herr Matthias Oswald Seite 30 15 VoIP - Sicherheitsprobleme Gruppierung der möglichen Angriffe anhand folgender Fragestellungen: 1.Welcher Grundpfeiler der Sicherheit wird angegriffen - Verfügbarkeit - Integrität - Vertraulichkeit 2.Welche VoIP Komponente wird angegriffen - Client - Netzwerk - Telefonieserver Mai 2005 Seite 31 ISACA After Hour Seminar - VoIP Security- Herr Matthias Oswald VoIP - Angriffsübersicht Nr. Beschreibung Verletzung der Vertr. 1 SIP Call Setup Forking 2 SIP Flooding (DoS) 3 SIP Call Hijacking / Impersonating 4 SIP Call Termination 5 SIP Identity Spoofing – Telefonieren auf fremde Rechnung 6 RTP Paket Injection – Datastream verändern 7 RTP Stream aufzeichnen/mithören 8 RTCP Paket Injection – Codec wechsel 9 Multicast Forking Verf. Angriff auf Int. Clt. Net. x x x x x x x x Pxy. x x x x x x x x x x x x x x x x x x x x x x 10 Verfälschte IP/TCP/SIP/SDP Pakete. Instabilität der Systeme 11 Voice Spam – autom.Telefonanrufe x x x 12 Asterisk OS Angriff x 1) x 1) x 1) x 13 Asterisk SW schwäche x 1) x 1) x 1) x 14 Asterisk Angriff auf Konfigurationsinterface WebGUI / Telnet / SSH x 1) x 1) x 1) x 15 CDR verändern x x x 1) Verletzung ist abhängig von der ausgenützten Schwachstelle und kann daher u.U. In allen Bereichen eine Verletzung bedeuten. Mai 2005 ISACA After Hour Seminar - VoIP Security- Herr Matthias Oswald Seite 32 16 VoIP Angriff – SIP Call Termination • Technischer Hintergrund: SIP spezifiziert zwei Nachrichten um einen Call zu beenden 1. BYE ( reguläre Beendigung eines Calls) 2. CANCEL (Beendigung Signalisierung) • Angriff: Kennt man die Call-ID, kann jedermann eine BYE Nachricht schicken. Der Angreifer könnte zudem sofort nach der Signalisierung eine CANCEL Nachricht an den eigentlichen Empfänger schicken und den Call selber entgegennehmen. • Verletzung: Verfügbarkeit und Vertraulichkeit Mai 2005 ISACA After Hour Seminar - VoIP Security- Herr Matthias Oswald Seite 33 VoIP Angriff – SIP Call Termination • Voraussetzung - Angreifer benötigt Zugang zum Signalisierungspfad - Wird Call-ID genügend zufällig gewählt, hat der Angreifer ohne Abhören kaum eine Chance, ein Gespräch zu beenden. • Angegriffene Komponenten - Angriff erfolgt auf Endgeräte oder auf VoIP PBX • Massnahmen zur Verhinderung Der Zugang zum Signalisierungspfad muss verhindert werden! - Chiffrierung des Nachrichtenaustausches - Richtige Konfiguration der Netzwerkgeräte - Richtige Konfiguration der SIP-Server Mai 2005 ISACA After Hour Seminar - VoIP Security- Herr Matthias Oswald Seite 34 17 VoIP Angriff – Voice Spam • Technischer Hintergrund Spam ist sattsam aus dem Mailumfeld bekannt. Es ist denkbar, dass in einem VoIP Netzwerk unerwünschte Sprachnachrichten an eine grosse Anzahl an Benutzer geschickt werden. • Angriff Der Angreifer sammelt SIP Account Infos und sendet Nachricht. Gegenüber heutiger Telefonie tendiert VoIP-VoIP zu gratis was Spam erst attraktiv macht. • Verletzung Missbrauch der Ressourcen Mai 2005 ISACA After Hour Seminar - VoIP Security- Herr Matthias Oswald Seite 35 VoIP Angriff – Voice Spam • Voraussetzung Angreifer kennt UserID des Empfängers • Angegriffene Komponente Endgeräte und VoiceMailboxen • Massnahmen zur Verhinderung Schwierig zu verhindern. - Anrufe nicht kostenlos machen Ansonsten Methoden analog Spam Bekämpfung - Nur Anrufe von verifizierten Anrufern entgegennehmen - Blacklists von VoiceSpam Servern - Sprachanalyse des Inhalts Mai 2005 ISACA After Hour Seminar - VoIP Security- Herr Matthias Oswald Seite 36 18 Agenda • • • • Motivation und Einsatzgebiete für VoIP VoIP Technologie Primer Service Qualität Funktionsbeschrieb gehostete Telefonielösung (Fallbeispiel) • Identifikation der Sicherheitsprobleme • Möglichkeiten der Absicherung • Fazit Mai 2005 ISACA After Hour Seminar - VoIP Security- Herr Matthias Oswald Seite 37 VoIP – Absicherungsmassnahmen Eine VoIP Absicherungsstrategie muss mehrschichtig angelegt werden: • Absicherung des Netzwerkes • Absicherung des Systems (VoIP PBX) • Absicherung der Applikation (VoIP PBX) • Absicherung durch organisatorische Massnahmen • Absicherung durch rechtliche Massnahmen Mai 2005 ISACA After Hour Seminar - VoIP Security- Herr Matthias Oswald Seite 38 19 Absicherung Netzwerk • ADSL/ Router - QoS Priorisierung. VPN Verbindung zum Telefonieserver • Switches - Trennung in ein Voice und Daten VLAN • Firewalls - Einsatz eines SIP Aware Application Level Gateway (ALG) • Mgmt. aller Netzwerkkomponenten - Adminzugriff nur über SSH - Vollständige Kontrolle über SNMP • Überwachung / Logging / Reporting - sämtlicher beteiligter Komponenten (soweit als möglich) Mai 2005 ISACA After Hour Seminar - VoIP Security- Herr Matthias Oswald Seite 39 Absicherung PBX System • • • • • • Mai 2005 Hardware (RAID, Power Supply) OS – Hardening / Patching / Lokaler Firewall Virenschutz Apache/MySQL ‡ Patching PBX Software ‡ Patching HID – LIDS2.2 ISACA After Hour Seminar - VoIP Security- Herr Matthias Oswald Seite 40 20 Absicherung Applikation • • • • • • • • Mai 2005 Trennung Darstellung – Business Logik Konfig Change Rollback Session Handling SSL Zugriff Input Validation Logging / Alarming Trennung PBX / Web / DBServer Passwörter ISACA After Hour Seminar - VoIP Security- Herr Matthias Oswald Seite 41 Absicherung – Rechtlich / Organisatorisch • • • • Mai 2005 Patching Frequenz Vorgabe ADSL Router Konfiguration Haftungsbegrenzung Informationen über Gefahren an Benutzer ISACA After Hour Seminar - VoIP Security- Herr Matthias Oswald Seite 42 21 Gefahreneinschätzung Nr. Beschreibung Verletzung der Vertr. 1 SIP Call Setup Forking 2 SIP Flooding (DoS) 3 SIP Call Hijacking / Impersonating 4 SIP Call Termination 5 SIP Identity Spoofing – Telefonieren auf fremde Rechnung 6 RTP Paket Injection – Datastream verändern 7 RTP Stream aufzeichnen/mithören 8 RTCP Paket Injection – Codec wechsel 9 Multicast Forking Verf. Angriff auf Int. Clt. Net. x x x x x x x x Pxy. x x x x x x x x x x x x x x x x x x x x x x 10 Verfälschte IP/TCP/SIP/SDP Pakete. Instabilität der Systeme 11 Voice Spam – autom.Telefonanrufe x x x 12 Asterisk OS Angriff x 1) x 1) x 1) x 13 Asterisk SW schwäche x 1) x 1) x 1) x 14 Asterisk Angriff auf Konfigurationsinterface WebGUI / Telnet / SSH x 1) x 1) x 1) x 15 CDR verändern x x x Rot: Gefahr konnte nicht verringert werden. Gelb: Gefahr konnte gemindert werden Grün: Gefahr konnte auf Minimum red. werden Mai 2005 ISACA After Hour Seminar - VoIP Security- Herr Matthias Oswald Seite 43 Agenda • • • • Motivation und Einsatzgebiete für VoIP VoIP Technologie Primer Service Qualität Funktionsbeschrieb gehostete Telefonielösung (Fallbeispiel) • Identifikation der Sicherheitsprobleme • Möglichkeiten der Absicherung • Fazit Mai 2005 ISACA After Hour Seminar - VoIP Security- Herr Matthias Oswald Seite 44 22 Fazit • Auswertung zeigt ein deutliches Bild - Die meisten Sicherheitsmassnahmen zielen auf die Providerinfrastruktur - Dort können auch gute Resultate erzielt werden • Kundenseite kann nur mit Empfehlungen bedient werden. • Der aktuelle Sicherheitsstandard beim Kunden bleibt unklar. • Die Sicherheitsschlacht wird beim Kunden geschlagen Mai 2005 ISACA After Hour Seminar - VoIP Security- Herr Matthias Oswald Seite 45 Fazit allgemein • Integration von Multimediaanwendungen in unsere Datennetze ist viel mehr als nur ein Hype • SIP Protokoll ist klarer Favorit durch seine Einfachheit. • In der Einfachheit liegt aber auch die Gefahr. Es wäre wünschenswert gewesen, dass wir unsere Lektion aus den Sicherheitsproblemen im Internet gelernt haben. Mai 2005 ISACA After Hour Seminar - VoIP Security- Herr Matthias Oswald Seite 46 23 Fazit allgemein • Erkenntnis: Gestartet mit dem Anspruch, Voice sicher auszugestalten, sind wir beim Absichern einer normalen IT Infrastruktur geendet. • Wie prophezeit wird Telefonie in Zukunft nur wie eine weitere IT Applikation behandelt werden müssen. • Verschmelzung von Sprache und Daten hat definitiv und unwiderruflich begonnen. Mai 2005 ISACA After Hour Seminar - VoIP Security- Herr Matthias Oswald Seite 47 Mai 2005 ISACA After Hour Seminar - VoIP Security- Herr Matthias Oswald Seite 48 24 Weiterführende Informationen • www.voipsa.org – VoIP Security Alliance Homepage • Buch „Internet Communications Using SIP“, Henry Sinnreich und Alan. B. Johnson, Wiley Verlag, Englisch, ISBN 0-741-41399-2 • Buch „Voice over IP – Grundlagen, Protokolle, Migration“, Jochen Nölle, VDE Verlag, Deutsch, ISBN 3-8007-2708-0 • www.networkworld.com/topics/voip-security.html Mai 2005 ISACA After Hour Seminar - VoIP Security- Herr Matthias Oswald Seite 49 Anbieter (Beispiele) • Interway Voiceplus – http://www.interway.ch/voiceplus • e-fon • Bluewin Mai 2005 ISACA After Hour Seminar - VoIP Security- Herr Matthias Oswald Seite 50 25