Bezpieczeństwo usługi VoIP opartej na systemie Asterisk
|
|
- Aniela Przybylska
- 2 lat temu
- Przeglądów:
Transkrypt
1 T. Piotrowski, S. Wójcik, M. Wiśniewski, W. Mazurczyk Instytut Telekomunikacji Politechnika Warszawska Network Security Group Bezpieczeństwo usługi VoIP opartej na systemie Asterisk STRESZCZENIE W artykule przeanalizowano bezpieczeństwo usługi VoIP (Voice over Internet Protocol) na podstawie jednego z najbardziej popularnych obecnie rozwiązań telefonii IP: darmowej, programowej centrali IP PBX: Asterisk [1]. Dla tego systemu scharakteryzowano potencjalne zagrożenia oraz ich źródła oraz wskazano jakie aspekty komunikacji powinny podlegać zabezpieczaniu dla usługi VoIP. Następnie wiedzę tę skonfrontowano ze stanem faktycznym centrali Asterisk. Przeprowadzone badania praktyczne wykazały niski stan zabezpieczeń w tym produkcie, co poddaje w wątpliwość jego szerokie zastosowanie w komercyjnych wdrożeniach telefonii IP, z jakimi mamy do czynienia obecnie. 1. Wstęp VoIP (Voice over Internet Protocol) to usługa czasu rzeczywistego umożliwiająca prowadzenie połączeń głosowych z wykorzystaniem pakietowych sieci IP. Ze względu na zdobytą popularność, VoIP można nazwać jedną z najważniejszych usług teleinformatycznych ostatniej dekady. Mimo tego, iż systemów i produktów tego typu jest na rynku coraz więcej, szybkość rozwoju VoIP nie jest tak imponująca, jak pierwotnie prognozowano. Takiego stanu rzeczy należy upatrywać w nadal nierozwiązanych problemach wpływających negatywnie na rozwój VoIP tj. problemów z zagwarantowaniem odpowiedniej jakości usługi pomiędzy rozmawiającymi oraz niewystarczającego poziomu zabezpieczeń. Ten ostatni brak jest szczególnie wyraźny w zakresie bezpieczeństwa protokołu sygnalizacyjnego, na którym system telefonii IP bazuje [6, 8, 9]. Na tym tle Asterisk [1] to produkt stosunkowo młody, cieszący się, w świecie telefonii VoIP dość dużą popularnością. Jest to programowa centrala IP PBX oferująca wsparcie dla najpopularniejszych obecnie, zestandaryzowanych protokołów sygnalizacyjnych telefonii IP, tj. SIP (Session Initiation Protocol) [3], H.323 [4], MGCP (Media Gateway Control Protocol) [5] oraz producenckich: SCCP (Skinny Call Control Protocol, firmy Cisco), czy IAX2 (InterAsterisk exchange wersja 2, firmy Digium). Jednak główną cechą, która przysparza Asteriskowi coraz większą rzeszę zwolenników jest to, że pomimo bogatych możliwości technicznych jest to oprogramowanie darmowe (na licencji GNU). W ten sposób każda osoba wykorzystująca to oprogramowanie jest w stanie zweryfikować poprawność implementacji poszczególnych elementów systemu oraz wprowadzać własne rozszerzenia, dodatkowe funkcjonalności czy usługi. Dzięki temu Asterisk oferuje szeroką gamę usług telekomunikacyjnych, złożoną obsługę połączeń oraz taryfikację. Dodatkowo pozwala na współpracę z wieloma typami aparatów VoIP i dedykowanymi kartami sprzętowymi do połączeń z sieciami PSTN, czy ISDN. Przenoszenie miejsca świadczenia usług telefonicznych z tradycyjnej sieci telefonicznej PSTN (Public Switched Telephone Network) do sieci IP, które możemy śledzić od kilku lat, sprawia, że zagrożenia, kojarzące się dotychczas z bezpieczeństwem kabla telefonicznego (aspektu zupełnie fizycznego), zyskują zupełnie inny wymiar w sieciach telefonii pakietowej. 646
2 Chcąc podsłuchać rozmowę w VoIP nie musimy podłączać się do linii abonenckiej. Wystarczy, że będąc w tej samej sieci LAN wykorzystamy odpowiednie narzędzie (sniffer), a następnie posłużymy się nim do przechwytywania odpowiedniego protokołu telefonii IP (zupełnie tak jak podsłuchuje się istniejące usługi takie jak FTP, telnet, czy SMTP). Ponadto, aby przechwytywać rozmowy na masową skalę, nie trzeba podłączać się do każdej linii fizycznej z osobna, lecz wystarczy przejąć cały, obserwowany ruch w danej sieci lokalnej. Wskazane zagrożenia telefonii IP powodują, że kwestie bezpieczeństwa w systemach takich jak Asterisk należy traktować priorytetowo. W artykule poddano szczegółowej analizie bezpieczeństwo systemu Asterisk, jako jednego z najpopularniejszych obecnie systemów VoIP. Spośród szerokiej gramy protokołów sygnalizacyjnych wspieranych przez Asterisk przeprowadzone doświadczenia skupiają się na analizie luk bezpieczeństwa protokołu sygnalizacyjnego SIP (ze względu na jego obecną popularność), protokołu sygnalizacyjnego IAX2 (rozwiązania producenckiego twórców systemu Asterisk, ze względu na obecnie największą liczbę mechanizmów zabezpieczeń) oraz standardu RTP (wykorzystywanego do transmisji głosu dla połączeń VoIP). Wspomniane protokoły, bez odpowiednich zabezpieczeń, mogą stanowić źródło zagrożeń, zwiększając tym samym podatność na ataki. W kolejnych częściach niniejszego artykułu opisano system Asterisk oraz jego możliwości (punkt 2). Następnie w punkcie 3 wskazano jego miejsce wśród innych systemów telefonii IP. Punkt 4 charakteryzuje zagrożenia, ataki oraz wykorzystywane przez nie techniki. Kolejna część przedstawia analizę zabezpieczeń systemu Asterisk oraz przeprowadzone doświadczenia praktyczne badające jego bezpieczeństwo. Natomiast w ostatnim punkcie podsumowano całość poruszanych zagadnień. 2. Rozwój systemu Asterisk i jego możliwości Historia oprogramowania Asterisk sięga 1999 roku, a jego twórcą jest Mark Spencer z firmy Digium [10]. Od czasu udostępnienia pierwszej wersji centrali jej kod został umieszczony w sieci Internet i odtąd jest intensywnie rozbudowywany przez wielu programistów na cały świecie. Właśnie dzięki tej dostępności i otwartości wspiera on obecnie najważniejsze protokoły sygnalizacyjne dla VoIP oraz umożliwia realizację wielu zaawansowanych usług. Asterisk wspiera takie funkcjonalności jak: pocztę głosową z książką telefoniczną, połączenia konferencyjne, system IVR (Interactive Voice Response), kolejkowanie połączeń, identyfikację numerów, czy ADSI (Analog Display Services Interface). Aby umożliwić pakietowe rozmowy telefoniczne Asterisk nie wymaga żadnego dodatkowego sprzętu fizycznego. Natomiast, jeśli niezbędne jest nawiązywanie połączeń pomiędzy telefonią cyfrową a analogową należy do tego celu wykorzystać specjalne karty (producentów takich jak m.in. Digium, Sangoma Technologies, Patton Electronics, Hitachi Cable, Policom, czy SUN Microsystems). Obecnie wiele firm zajmuje się dystrybucją oprogramowania Asterisk oraz dedykowanego dla niego sprzętu. Wiodącym europejskim dystrybutorem sprzętu i oprogramowania stosowanego przy otwartych projektach głosowych związanych z Asterisk jest firma halo 2 - Halo Kwadrat, natomiast w Polsce takie firmy jak NETCOM, czy Virgo Kalisz. Zazwyczaj firmy tego typu zapewniają kompleksową obsługę teleinformatyczną przedsiębiorstw w ramach oferowanego produktu. Warto również wspomnieć, że popularny obecnie polski system VoIP Tlenofon [2], który umożliwia wykonywanie tanich rozmów przez Internet również współpracuje ze środowiskiem Asterisk. Wszystkie opisane powyżej cechy sprawiają, że system Asterisk jest coraz częściej stosowany we wdrożeniach różnej skali, a grupa odbiorcza takiego produktu jest praktycznie nieograniczona. Zazwyczaj, jednak firmy sięgają po tego typu rozwiązania, aby zastąpić konwencjonalne, analogowe centrale PBX dotychczas posiadane. Asterisk znajduje również 647
3 zastosowanie u operatorów np. francuski operator VoIP Wengo używa Asterisk do oferowania usługi poczty głosowej. Dodatkowo korzystać z tego rozwiązania mogą także administratorzy sieci osiedlowych, małe firmy oraz indywidualni użytkownicy. 3. Miejsce Asterisk w systemach telefonii IP Na podstawie podziału systemów telefonii IP z [7], biorąc pod uwagę trzy aspekty rozwiązań głosowych tj. wykorzystywane protokoły sygnalizacyjne, zasięg wykorzystywanej sieci oraz zastosowany model architektury systemu, Asterisk należy umiejscowić w części wspólnej diagramu przedstawionego na rys. 1. Rysunek 1. Umiejscowienie systemu Asterisk w klasyfikacji systemów telefonii IP Zatem system Asterisk jest systemem telefonii IP, wykorzystującym generyczne protokoły sygnalizacyjne VoIP oraz rozwiązania producenckie w tym zakresie (SCCP, IAX2). Zasięgiem obejmuje sieci różnej wielkości (sieć Internet, intranet itp.) oraz bazuje na modelu klient serwer (w odróżnieniu od np. usługi Skype). 4. Rodzaje i techniki ataków na systemy VoIP Zanim zostanie przedstawiona analiza zabezpieczeń systemu Asterisk niezbędne jest wprowadzenie odpowiedniej terminologii oraz wyjaśnienie technik ataków na telefonię IP. Pozwoli to uwypuklić problem niebezpieczeństw, którym może podlegać taki system teleinformatyczny. Usługi ochrony informacji dla systemów VoIP należy rozważać według kryteriów, które dadzą nam możliwości zapewnienia, co najmniej, trzech z pięciu podstawowych usług ochrony informacji opisanych w normie ISO tj. uwierzytelnienia (authentication), integralności danych (data integrity) oraz poufności danych (confidentiality). Przy dokonywaniu analizy bezpieczeństwa należy mieć również świadomość zagrożeń, na jakie może być narażony Asterisk. Akcje podejmowane przez intruzów można podzielić na dwie podstawowe grupy: ataki aktywne oraz pasywne. Te pierwsze polegają na celowej ingerencji w np. komunikację między stronami połączenie, natomiast drugie zawierają w sobie takie działania jak podsłuch czy monitorowanie wymienianego w sieci ruchu. Do przeprowadzania ataków wykorzystywane są odpowiednie techniki. Podstawowe techniki ataków na systemy VoIP możemy podzielić na trzy kategorie: Spoofing (podszywanie się), Sniffing (podsłuchiwanie) oraz Denial of Service (odmowa usługi). Wymienione techniki można scharakteryzować następująco: Spoofing polega na celowym podszywaniu się pod danego użytkownika (np. za pomocą jego adresu IP), dzięki czemu napastnik może mieć możliwość wysyłania sfałszowanych wiadomości, Sniffing opiera się na szczegółowym obserwowaniu i analizowaniu pakietów wysyłanych przez sieć, 648
4 Denial of Service polega na zablokowaniu możliwości funkcjonowania danego elementu sieci, co może mu uniemożliwić świadczenie danej usługi prawowitym użytkownikom (np. poprzez zalanie danego elementu dużą ilością wiadomości). Wykorzystanie każdej z wyżej przedstawionych technik może doprowadzić do różnego rodzajów ataków. Dla przykładu: za pomocą techniki podszycia możliwe jest odkrywanie treści wiadomości a następnie jej modyfikacja. Dzięki technice podsłuchania intruz potrafi w pasywny sposób zaglądać w przesyłane wiadomości, natomiast atak typu DoS stwarza ryzyko sparaliżowania działania platformy VoIP. Na wszystkie wymienione zagrożenia każdy system telefonii IP powinien być przygotowany, by w sposób bezpieczny oferować użytkownikom swoje usługi. Oprócz ataków charakterystycznych dla sieci IP, specyfika telefonii IP rodzi też nowe zagrożenia. Jednym z najpoważniejszych jest SPIT (Spam over Internet Telephony), który w ciągu kilku lat może stać się prawdziwą zmorą systemów telefonicznych opartych na protokole IP. Działa on na podobnej zasadzie co mailowy SPAM niechciane rozmowy telefoniczne, ale rodzi dużo poważniejsze problemy, gdyż może znacząco wpłynąć np. na wydajność pracy lub prowadzić do ataków DoS. 5. Bezpieczeństwo systemu VoIP opartego na Asterisk Rozważając potencjalne zagrożenia, na jakie może być narażony Asterisk należy brać pod uwagę bezpieczeństwo całej komunikacji, w której pośredniczy, jak również odporność na ataki maszyny, na której system ten się znajduje. Oznacza to w szczególności, iż trzeba zidentyfikować każdy rodzaj ruchu, który powinien podlegać zabezpieczaniu w telefonii IP oraz zadbać o fizyczne aspekty konfiguracji. Pierwsza z wymienionych kwestii dotyczy zapewnienia bezpieczeństwa protokołom komunikacyjnym wykorzystywanym w systemie Asterisk: przede wszystkim protokołom sygnalizacyjnym: SIP, H.323, MGCP, SCCP, IAX2 oraz transmisji głosu: RTP. W tym wypadku kluczowe jest to, czy komunikacja jest dostępna dla kogoś, kto nie powinien mieć do niej dostępu. Sytuacja taka będzie mieć miejsce zawsze wówczas, gdy można przechwytywać pakiety (np. w sieci LAN) oraz gdy ich zawartość nie jest zabezpieczana z wykorzystaniem kryptograficznych mechanizmów zabezpieczeń. Drugim zagadnieniem, jak wspomniano, jest bezpieczeństwo maszyny, na której został zainstalowany i działa Asterisk. Duże znaczenie ma tu wybór systemu operacyjnego oraz jego bezpieczeństwo. Istotne jest także m.in. to, czy uruchamiamy równolegle na tej samej maszynie inne usługi i czy umożliwiamy użytkownikom zdalny dostęp (np. poprzez SSH). W kolejnych podpunktach przedstawiono praktyczne doświadczenia, które przeprowadzono w celu zbadania obecnego poziomu bezpieczeństwa sygnalizacji oraz przesyłanego głosu w systemie Asterisk. 5.1Bezpieczeństwo sygnalizacji i głosu W przypadku zabezpieczania protokołu sygnalizacyjnego telefonii IP należy zagwarantować bezpieczeństwo wiadomościom tego protokołu, które są przesyłane pomiędzy stronami komunikującymi się. Z punktu widzenia usług bezpieczeństwa informacji oznacza to konieczność zapewnienia ich integralności, uwierzytelnienia oraz poufności. Typowe ataki na protokół sygnalizacyjny (tu na przykładzie protokołu SIP) scharakteryzowano poniżej: Porwanie Rejestracji (Registration Hijacking) polega na modyfikacji pola From (identyfikującego nadawcę) w wiadomości REGISTER (przekierowanie połączenia), Porwanie Połączenia (Connection Hijacking) - analogicznie do ataku powyżej, ale modyfikacji podlega pole From w wiadomości INVITE, 649
5 Atak Man in the Middle (MITM) pozwala atakującemu przechwycić komunikację z/do serwerów sieciowych i w ten sposób wpływać na kluczowe informacje w wiadomościach sygnalizacyjnych, Atak Podszycia się pod serwer (Impersonating a Server) - klient Agenta Użytkownika kontaktuje się z serwerem sieciowym w celu dostarczenia żądania, natomiast intruz podszywa się pod serwer, Celowe zakańczanie trwających połączeń poprzez wysłanie przez atakującego wiadomości BYE w czasie, gdy zachodzi komunikacja między użytkownikami. Dla analizowanego przez nas protokołu sygnalizacyjnego SIP, wśród zdefiniowanych w standardzie mechanizmów zabezpieczeń dostępne są algorytmy SIPS URI, S/MIME (Secure MIME [19]) oraz SIP Digest. Pierwszy z nich oparty jest na protokole TLS (Transport Layer Security). Niestety środowisko Asterisk, będąc w fazie ciągłego rozwoju, nie posiada, na chwilę obecną, zaimplementowanego tegoż mechanizmu. Podobnie jest z S/MIME. Jedynym wspieranym zabezpieczeniem jest SIP Digest, umożliwiający zapewnienie uwierzytelnienia i integralność przesyłanych danych (analogiczny w działaniu do HTTP Digest [18]). Mechanizm ten jednak nie spełnia do końca swojej roli, ponieważ wykorzystuje złamaną funkcję skrótu MD5 (Message Digest 5), a współdzielone hasło, jeśli jest zbyt krótkie, możliwe jest do uzyskania w rozsądnym czasie metodami słownikowymi bądź siłowymi (brute-force). Przeglądając kierunki rozwoju firmy Asterisk znaleźć można plany wprowadzenia szyfrowania sygnalizacji i przesyłanego dźwięku. Należy jednak podkreślić, że na chwilę obecną opcja ta jest dopiero w fazie testów i wymaga pracy nad stabilnością. 5.2Przeprowadzone doświadczenia: ataki na sygnalizację i głos Wykonane przez nas doświadczenia były próbami ataków na protokół sygnalizacyjny oraz na przesyłany głos. Celem tych pierwszych było podsłuchiwanie wiadomości protokołu sygnalizacyjnego (ataki pasywny) oraz próba zmiany treści wiadomości (atak aktywny). Wykorzystano w tym celu atak Man-In-The-Middle (MITM) oraz technikę ARP Poisoning. Natomiast test bezpieczeństwa przesyłanego głosu koncentruje się na najczęściej wykorzystywanym w telefonii IP protokole transmisji mediów protokole RTP (Real-time Transport Protocol). Jest on obsługiwany przez Asterisk, większość terminali oraz urządzeń typu ATA (tzw. bramka VoIP) dostępnych na rynku. Należy odnotować, że protokół RTP, jako taki, nie zapewnia jednak bezpieczeństwa transmisji, a tym samym pociąga za sobą ryzyko np. podsłuchania rozmowy. Nie zapewnia on także integralności, co z kolei powoduje podatność na ataki typu Man-In-The-Middle, które mogą polegać na modyfikacji transmitowanych pakietów. Rozwiązaniem tych problemów jest protokół SRTP (Secure RTP) jednakże nie jest on obecnie obsługiwany, ani przez stabilną wersję Asterisk (istnieje branch Asterisk SRTP), ani też przez większość wykorzystywanych terminali (bądź są one dużo droższe). Tym samym typowa konfiguracja z użyciem niezabezpieczonego protokołu RTP powoduje szereg zagrożeń związanych z brakiem zapewniania jakichkolwiek usług kryptograficznych. Doświadczenie 1. Zatruwanie tablic ARP (ARP Poisoning) Celem pierwszego doświadczenia jest wykonanie próby ataku ARP Poisoning, który może zostać dokonany np. przy użyciu narzędzia Ettercap [12], a polega na celowej modyfikacji pamięci podręcznej ARP biorących w komunikacji maszyn. Zasadę działania tego ataku przedstawiono na poniższym rysunku. 650
6 1 Komputer A c ARP Request c Pamięć 2 MAC A IP A podręczna ARP c MAC A IP A Komputer B c MAC C IP C 4 MAC C IP A ARP Request c MAC C IP A 3 Komputer C c Rysunek 2. Schemat ataku ARP Poisoning Komputer B otrzymując pakiet ARP Request spodziewa się połączenia z komputera A, więc żeby nie wysyłać zbędnych pakietów ARP, zapisuje parę MAC, IP z pakietu ARP Request w swojej pamięci podręcznej ARP. Taką sytuację można wykorzystać wysyłając wiele zapytań ARP Request ze swoim adresem MAC, ale zawierającym adres IP np. komputera A. Spowoduje to zmodyfikowanie pamięci podręcznych ARP wszystkich komputerów w sieci i pozwoli na przejmowanie tym samym komunikacji przeznaczonej dla tego komputera. Jest wiele gotowych narzędzi umożliwiających przeprowadzenie ataku ARP Spoofing/ARP Poisoning, w tym bardzo rozbudowane, użyte przez nas, sniffery, np. Ethereal [13] (w nowszej wersji WireShark), czy wspomniany Ettercap. Wynik próby zakończył się pomyślnie. Prostym i skutecznym zabezpieczeniem przed takim atakiem jest ustawienie statycznych wpisów pamięci podręcznej ARP dla komputerów w naszej sieci ethernet. Doświadczenie 2. Atak pasywny: analiza pakietów Kolejnym przeprowadzonym doświadczeniem jest analiza pakietów, którą można wykonać przy użyciu oprogramowania Ethereal. Celem tej analizy jest uzyskanie niezbędnych do przeprowadzania ataku aktywnego informacji o połączeniu dla protokołu sygnalizacyjnego SIP są to m.in. adresy agentów użytkownika SIP (punktów końcowych), ich hasła czy identyfikatory połączeń (Call-ID). Schemat przeprowadzonego ataku przedstawiono na rys. 3. Komputer A Komputer B Komputer Szpieg Rysunek 3. Schemat sieci wykorzystywany do analizy pakietów. Komputer Szpieg przełącza kartę sieciową w tryb promiscuous, dzięki czemu urządzenie odbiera wszystkie pakiety z sieci, także te nie adresowane bezpośrednio do niego, w naszym 651
7 przypadku od komputera A. Narzędzie Ethereal, używane w doświadczeniu, może być uruchamiane na routerze, bądź serwerze sieciowym, który pośredniczy w wymianie wiadomości sygnalizacyjnych lub na komputerze będącym jedną ze stron komunikacji sieciowej - w takim przypadkach tryb promiscuous nie jest konieczny. Jak wspomniano Asterisk oferuje dla protokołu SIP mechanizm uwierzytelnienia SIP Digest wykorzystujący funkcję skrótu MD5. Podsłuchując wymianę pakietów między agentami użytkowników możliwe jest wykonanie próby złamania zabezpieczonego hasła. Do przeprowadzania takiego ataku można użyć ogólnodostępnego narzędzia Cain & Abel [14], które umożliwia łamanie haseł metodami siłowymi (brute-force). Przykładowe wyniki analizatora dla protokołu SIP przedstawia rys. 4. Prezentuje on osobie atakującej w sposób czytelny, niewymagający dalszej obróbki, wartości tj. adresy agentów użytkownika (pole From), rodzaj wiadomości (Request Line), identyfikator trwającego połączenia (Call-ID) i wiele innych wartości pól nagłówków protokołu SIP. Analogiczny atak pasywny może być przeprowadzony dla protokołu IAX2. Próba złamania zabezpieczonego hasła za pomocą narzędzia Cain & Abel, dla mechanizmy SIP Digest zakończyła się pomyślnie. Złamanie hasła 4-znakowego zajmowało średnio 3 sekundy, natomiast hasła 6-znakowego średnio 40 minut. Rysunek 4: Wynik pracy programu Ethereal dla protokołu SIP (podgląd wiadomości INVITE; wyróżniona linia zawierającą identyfikator połączenia Call-ID). Doświadczenie 3. Atak aktywny Po przeprowadzeniu udanych ataków pasywnych (zebraniu niezbędnych informacji) przechodzimy do wykonania ataków aktywnych. Ich zadaniem jest próba celowego zakańczania trwających połączeń, poprzez wysłanie przez intruza wiadomości BYE w czasie, gdy zachodzi komunikacja między użytkownikami. Doświadczenie to polega na utworzeniu i wysłaniu odpowiednio spreparowanego pakietu, który ma na celu zakończenie trwającego połączenia co przedstawiono na rys. 5. Opisany atak wymaga również utworzenia i wysłania do centrali Asterisk odpowiednio spreparowanej wiadomości BYE protokołu SIP (służącej do zakańczania trwającego połączenia) dla przykładu: BYE SIP/2.0 Via: SIP/2.0/UDP :5060;branch=z9hG4bK01f6f4fa;rport From: To: Call-ID: 43bdbc1b0bfdfa1d2e18f5770f03e202. CSeq: 102 BYE 652
8 User-Agent: Asterisk PBX Max-Forwards: 70 Content-Length: 0 Pakiet ten powinien zawierać: adres SIP terminala i centrali oraz identyfikator trwającego połączenia Call-ID. Przygotowany pakiet należy umieścić w polu danych pakietu UDP i np. przy użyciu narzędzia Nemesis [15] wysłać do sieci lokalnej. Atak ten również został przeprowadzony pomyślnie. Użytkownik - UA Serwer sieciowy SIP Użytkownik - UA sip: sip: BYE From: To: Call-ID: 43bdbc1b0bfdfa1d2e18f5770f03e202. Rysunek 5: Schemat układu ataku aktywnego zakańczania trwającego połączenia Innego rodzaju ataku aktywnego można dokonać za pomocą ogólnie dostępnego skanera luk sieci VoIP opartej na protokole SIP SiVuS [16]. Składa się on z kilku modułów, które pozwalają przeprowadzać ataki oraz skanują odporność na błędy i stan bezpieczeństwa komunikatorów SIP, serwerów sieciowych SIP (Proxy, Redirect i Registrar). Narzędzie to umożliwia podszycie się pod innego użytkownika, przy jednoczesnym ukryciu tożsamości osoby atakującej. Po udanej operacji podszycia się możliwa jest ingerencja w aktywność sieciową zaatakowanego użytkownika np. zadzwonienie do jego znajomych lub wykorzystanie uprawnień przez niego posiadanych. Opisany powyżej atak bazuje na luce w procesie rejestracji agentów użytkownika w serwerze Registrar. Każdy agent użytkownika jest zobligowany do rejestracji w tym serwerze, ponieważ rejestracja w sieci VoIP jest niezbędna do subskrybowania usługi. Żądanie rejestracji (wiadomość REGISTER) zawiera pole Contact, które zawiera adres IP urządzenia (niezależnie, czy to jest telefon IP, czy komunikator zainstalowany na PC). Osoba atakująca wysyła zmodyfikowaną wiadomość REGISTER, w której pole Contact zawiera adres IP osoby atakującej. Powyższe przykłady doświadczeń są tylko wycinkiem z całej gamy dostępnych ataków. Dlatego też, należy wykorzystywać dostępne narzędzia do testowania bezpieczeństwa zarówno oprogramowania, jak i sprzętu tj. SiVuS, PROTOS czy SIP Forum Test Framework w celu przeprowadzania okresowego audytu we własnej sieci telefonii IP. Doświadczenie 4. Przechwycenie strumienia RTP nagrywanie rozmowy Celem opisywanego ataku na strumień mediów jest przechwycenie komunikacji głosowej, która odbywa się pomiędzy użytkownikami. Z sieciowego punktu widzenia atak ten jest analogiczny do tego z doświadczenia nr 2 (analiza pakietów), gdyż sprowadza się do przechwytywania datagramów (schemat jak na rys. 3). Różnicą, w przypadku tego doświadczenia jest to, że analizowany jest ruch głosowy nie zaś sygnalizacyjny. Dokonany przez nas atak na protokół RTP został zrealizowany przy pomocy tylko jednego programu. Użyte narzędzie to Cain & Abel. Aplikacja umożliwia przechwycenie i 653
9 nagranie strumienia RTP (w typowej sesji dwóch strumieni) mając zaszytą funkcjonalność ARP Poisoningu oraz rozpoznawania ruchu RTP. Wykonanie podsłuchu polega na włączeniu monitoringu wraz z atakiem ARP Poisoning, zaś program automatycznie po identyfikacji protokołu sygnalizacyjnego VoIP rozpoczyna zapis rozmowy do plików dźwiękowych WAV. 5.3Analiza wyników doświadczeń oraz możliwe zabezpieczenia chroniące przed lukami Powyżej, poprzez praktyczne doświadczenia, przedstawiono jak bardzo aspekty bezpieczeństwa protokołów sygnalizacyjnych zaimplementowanych w Asterisk są jeszcze niedopracowane. Obecnie to producencki protokół IAX2 oferuje najbardziej zaawansowane metody uwierzytelniania: z funkcją skrótu MD5 lub RSA pod warunkiem, że hasło będzie na tyle długie, że czas potrzebny na jego złamanie będzie dłuższy od ważności takiego hasła. Natomiast należy zdawać sobie sprawę, że protokół IAX2 jest protokołem producenckim. Jako taki, nie jest w stanie konkurować ze zestandaryzowanymi protokołami sygnalizacyjnymi SIP, H.323, czy H.248/Megaco np. pod względem ilości dostępnych produktów, czy usług. Bezpieczeństwo głosu w Asterisk również stanowi potencjalne zagrożenie. Analizowany protokół RTP pozwolił na całkowite przechwycenie komunikacji głosowej w przypadku sieci pozwalającej na dostęp do pakietów danych jak w sieci lokalnej. Zaprezentowane ataki aktywne udowodniły, że osoba niepowołana jest w stanie wpływać na przebieg sygnalizacji, a tym samym na trwające, czy zestawiane połączenie. Metodą na przeciwdziałanie tego typu atakom może być zabezpieczanie danych na poziomie warstwy aplikacji, transportowej bądź sieciowej. Jednakże Asterisk nie posiada na chwilę obecną wsparcia dla protokołu SIPS URI. Rozwiązaniem takiej sytuacji, zabezpieczeniem chroniącym przed lukami, mogą być wirtualne sieci prywatne VPN (Virtual Private Network). Jednak pomimo wielu zalet ma również wady. Przede wszystkim wprowadza dodatkowe opóźnienia przy jednoczesnym zwiększonym zużyciu dostępnego pasma, co może być kluczowym czynnikiem wpływającym na jakość przesyłanego głosu w VoIP. VPN zwiększa również zapotrzebowanie na moc obliczeniową urządzeń je obsługujących, co w konsekwencji prowadzi do poniesienia ich ceny (zwiększony koszt). Dodatkowo wirtualne sieci prywatne nastręczają czysto praktycznych trudności. VPN wymaga instalacji oprogramowania na stacji klienta, a co za tym idzie powstaje problem z obsługą wszystkich systemów operacyjnych. Dodatkowo mogą wystąpić problemy współdziałania pomiędzy klientami VPN różnych dostawców. Kolejnym problemem mogą być zapory sieciowe i inne urządzenia pomiędzy klientem i bramą VPN, które mogą niekorzystnie wpływać na możliwość zestawiania połączeń VPN. Wszystko to powoduje, że pomimo iż jest to rozwiązanie gwarantujące wysoki poziom bezpieczeństwa, w praktyce, raczej się go dla telefonii IP nie wykorzystuje. Najlepszym rozwiązaniem dla zabezpieczenia głosu, byłoby wykorzystanie szyfrowania poprzez wykorzystanie protokołu SRTP, jednakże, jak wcześniej wspomniano, w systemie Asterisk te rozwiązania muszą zyskać jeszcze na stabilności. Ponadto istnieje możliwość transportu mediów przy użyciu protokołu IAX2. Jest to jednak rozwiązanie specyficzne dla Asterisk, a tym samym może być stosowane jedynie w wąskim gronie urządzeń, które je wspierają. Oprócz kilku softphone ów (w tym Idefisk [17]) istnieją co najmniej dwa urządzenia ATA wspierające ten protokół. W podstawowej wersji IAX2 nie zapewnia szyfrowania. Istnieje, co prawda dokładnie nieudokumentowana możliwość szyfrowania 128- bitowym AES, jednak większość wdrożeń Asterisk nie wykorzystuje tego zabezpieczenia. 6. Podsumowanie W każdym systemie telefonii IP skuteczna realizacja usług bezpieczeństwa informacyjnego jest podstawą do jego szerokiego zastosowania komercyjnego. Bez 654
10 zapewnienia minimalnych wymagań bezpieczeństwa w każdym z obszarów (sygnalizacja i media) oraz dla każdej z usług, nawiązywanych przez użytkowników połączeń nie można uznać za bezpieczne. Analizowana platforma Asterisk ma wiele podatności, które zostały zilustrowane w przeprowadzonych doświadczeniach praktycznych. Spośród trzech, najważniejszych dla VoIP, usług bezpieczeństwa (tj. uwierzytelnienie, integralność, poufność) najlepiej zapewnia on pierwszą z nich. Głównie ze względu na mechanizm SIP Digest. Pozostałe dwie usługi nie są właściwie w żaden sposób wspierane, a jedynie za pomocą dodatkowych rozwiązań np. VPN. Poniższa tabela przedstawia zestawienie zapewnienia usług bezpieczeństwa dla obu omawianych protokołów sygnalizacyjnych: Rodzaj protokołu Rodzaj ruchu VoIP Uwierzytelnienie Integralność Poufność SIP / RTP Sygnalizacja Media IAX2 Sygnalizacja Media + - +/- Tabela 1. Realizacja usług bezpieczeństwa w systemie Asterisk (+) usługa wspierana, (-) usługa niewspierana Literatura [1] Asterisk: AsteriskWin32 - [2] Tlefon: [3] M. Handley, H. Schulzrinne, J. Rosenberg, SIP: Session Initiation Protocol, IETF RFC 3261, czerwiec 2002 [4] H Packet-based multimedia communications systems, ITU-T [5] F. Cuervo, N. Greene, A. Rayhan, C. Huitema, B. Rosen, J. Segers, Megaco Protocol Version 1.0, IETF RFC 3015, listopad 2000 [6] D. Richard Kuhn, Thomas J. Walsh, Steffen Fries: Security Considerations for Voice Over IP Systems, Computer Security Division, Information Technology Laboratory, National Institute of Standards and Technology (2004). [7] W. Mazurczyk - Aspekty bezpieczeństwa sieci P2P na przykładzie Skype - In Proceedings of XXII Krajowe Sympozjum Telekomunikacji i Teleinformatyki KSTiT 2006, Bydgoszcz, wrzesień 2006 [8] W. Mazurczyk - Bezpieczeństwo SIP jako protokołu sygnalizacyjnego VoIP - XIX Krajowe Sympozjum Telekomunikacji KST 2003, Bydgoszcz, wrzesień 2003 [9] W. Mazurczyk - Bezpieczeństwo protokołów sygnalizacyjnych VoIP: koncepcja bezpiecznej współpracy protokołów SIP i H VIII Krajowa Konferencja Zastosowań Kryptografii Enigma 2004, Warszawa, maj 2004 [10] Digium [11] T. Piotrowski, S. Wójcik, M. Wiśniewski, W. Mazurczyk Bezpieczeństwo Asterisk, czasopismo Hackin 9, październik 2007 [12] Ettercap [13] Ethereal [14] Cain & Abel [15] Nemesis [16] SiVuS [17] Idefisk [18] J. Franks (i in.), HTTP Authentication: Basic and Digest Access Authentication, IETF Request for Comments, RFC 2617, czerwiec
Krajowe Sympozjum Telekomunikacji i Teleinformatyki KSTiT 2007. Autorzy: Tomasz Piotrowski Szczepan Wójcik Mikołaj Wiśniewski Wojciech Mazurczyk
Bezpieczeństwo usługi VoIP opartej na systemie Asterisk Krajowe Sympozjum Telekomunikacji i Teleinformatyki KSTiT 2007 Autorzy: Tomasz Piotrowski Szczepan Wójcik Mikołaj Wiśniewski Wojciech Mazurczyk Bydgoszcz,
Bezpieczeństwo VoIP SIP & Asterisk. Autor: Leszek Tomaszewski Email: ltomasze@elka.pw.edu.pl
Bezpieczeństwo VoIP SIP & Asterisk Autor: Leszek Tomaszewski Email: ltomasze@elka.pw.edu.pl Zakres tematyczny 1/2 Bezpieczeństwo VoIP Protokół sygnalizacyjny (SIP) Strumienie medialne (SRTP) Asterisk Co
Bezpieczny system telefonii VoIP opartej na protokole SIP
Politechnika Warszawska Wydział Elektroniki i Technik Informacyjnych Bezpieczny system telefonii VoIP opartej na protokole SIP Leszek Tomaszewski 1 Cel Stworzenie bezpiecznej i przyjaznej dla użytkownika
Metody zabezpieczania transmisji w sieci Ethernet
Metody zabezpieczania transmisji w sieci Ethernet na przykładzie protokołu PPTP Paweł Pokrywka Plan prezentacji Założenia Cele Problemy i ich rozwiązania Rozwiązanie ogólne i jego omówienie Założenia Sieć
Planowanie telefonii VoIP
Planowanie telefonii VoIP Nie zapominając o PSTN Składniki sieci telefonicznej 1 Centrale i łącza między nimi 2 Nawiązanie połączenia Przykład sygnalizacji lewy dzwoni do prawego 3 4 Telefonia pakietowa
Zagrożenia warstwy drugiej modelu OSI - metody zabezpieczania i przeciwdziałania Autor: Miłosz Tomaszewski Opiekun: Dr inż. Łukasz Sturgulewski
Praca magisterska Zagrożenia warstwy drugiej modelu OSI - metody zabezpieczania i przeciwdziałania Autor: Miłosz Tomaszewski Opiekun: Dr inż. Łukasz Sturgulewski Internet dziś Podstawowe narzędzie pracy
TELEFONIA INTERNETOWA
Politechnika Poznańska Wydział Elektroniki i Telekomunikacji Katedra Sieci Telekomunikacyjnych i Komputerowych TELEFONIA INTERNETOWA Laboratorium TEMAT ĆWICZENIA INSTALACJA I PODSTAWY SERWERA ASTERISK
korporacyjnych i resortowych na bazie protokołu u IP M. Miszewski,, DGT Sp. z o.o.
Bezpieczeństwo usług ug w sieciach korporacyjnych i resortowych na bazie protokołu u IP M. Miszewski,, DGT Sp. z o.o. DGT Sp. z o.o. All rights ul. Młyńska reserved 7, 83-010 2005, DGT Straszyn, Sp. z
Problemy z bezpieczeństwem w sieci lokalnej
Problemy z bezpieczeństwem w sieci lokalnej możliwości podsłuchiwania/przechwytywania ruchu sieciowego pakiet dsniff demonstracja kilku narzędzi z pakietu dsniff metody przeciwdziałania Podsłuchiwanie
ZiMSK. Konsola, TELNET, SSH 1
ZiMSK dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ dr inż. Artur Sierszeń, asiersz@kis.p.lodz.pl dr inż. Andrzej Frączyk, a.fraczyk@kis.p.lodz.pl Konsola, TELNET, SSH 1 Wykład
Bramka VoIP (Voice over IP gateway) Implementacja VoIP w routerach DrayTek
Implementacja VoIP w routerach DrayTek Serie routerów DrayTek oznaczane literą V implementują mechanizmy Voice over IP. Taki router posiada dodatkowo dwa analogowe gniazda telefoniczne w tylnym panelu.
WYMAGANIA TECHNOLOGICZNE W ODNIESIENIU DO SYSTEMÓW TELEKOMUNIKACYJNYCH I TELEINFORMATYCZNYCH W OBSZARZE SIŁ ZBROJNYCH
WYMAGANIA TECHNOLOGICZNE W ODNIESIENIU DO SYSTEMÓW TELEKOMUNIKACYJNYCH I TELEINFORMATYCZNYCH W OBSZARZE SIŁ ZBROJNYCH Robert Goniacz WYMAGANIA TECHNOLOGICZNE Obszar sił zbrojnych Najważniejsze problemy
Bezpieczeństwo usług na przykładzie VoIP
Bezpieczeństwo usług na przykładzie VoIP Gdańsk 25.04.2015 Są trzy rodzaje wiedzy: Wiemy, co wiemy. Wiemy, czego nie wiemy. Nie wiemy, czego nie wiemy. Donald Rumsfeld Agenda przyczyny - podsumujmy co
Serwer komunikacyjny SIP dla firm
Serwer komunikacyjny SIP dla firm KX-NS1000 Panasonic {tab=wstęp} 1 / 7 Panasonic KX-NS1000 to oparty na protokole SIP serwer do obsługi ujednoliconej komunikacji i współpracy, który ma na celu zwiększenie
Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci
N, Wykład 6: Bezpieczeństwo w sieci 1 Ochrona danych Ochrona danych w sieci musi zapewniać: Poufność nieupoważnione osoby nie mają dostępu do danych Uwierzytelnianie gwarancja pochodzenia Nienaruszalność
Wielowarstwowość transmisji w sieciach komputerowych
Wielowarstwowość transmisji w sieciach komputerowych 1. Protokoły TCP/IP Sieci komputerowe funkcjonują w oparciu na wielowarstwowych modelach komunikacji. Jednym z ważniejszych jest czterowarstwowy system
1 2004 BRINET Sp. z o. o.
Ogólna koncepcja DrayTeka Serie routerów DrayTek oznaczane literą V implementują mechanizmy Voice over IP. Taki router posiada dodatkowo dwa analogowe gniazda telefoniczne w tylnym panelu. Są to gniazda
WLAN bezpieczne sieci radiowe 01
WLAN bezpieczne sieci radiowe 01 ostatnim czasie ogromną popularność zdobywają sieci bezprzewodowe. Zapewniają dużą wygodę w dostępie użytkowników do zasobów W informatycznych. Jednak implementacja sieci
Technologia VoIP Podstawy i standardy
Technologia VoIP Podstawy i standardy Paweł Brzeziński IV rok ASiSK, nr indeksu 5686 PWSZ Elbląg Elbląg 2008 r. Przeglądając źródła na temat Voice over IP, natknąłem się na dwie daty, kaŝda z nich wiąŝe
ANALIZA BEZPIECZEŃSTWA SIECI MPLS VPN. Łukasz Polak Opiekun: prof. Zbigniew Kotulski
ANALIZA BEZPIECZEŃSTWA SIECI MPLS VPN Łukasz Polak Opiekun: prof. Zbigniew Kotulski Plan prezentacji 2 1. Wirtualne sieci prywatne (VPN) 2. Architektura MPLS 3. Zasada działania sieci MPLS VPN 4. Bezpieczeństwo
Ilość sztuka 1 PBX/IP Opis minimalnych wymagań 1 W zakresie sprzętowym 1.1 Porty: - Min 1 port WAN - RJ-45 (10/100Base-TX, automatyczne wykrywanie)
CZĘŚĆ I Załącznik I do siwz Urządzenie 1. Przedmiot zamówienia dotyczy dostawy sprzętowej centralki telefonii internetowej PBX/IP sztuk 1. Szczegółowe parametry oraz inne wymagania Zamawiającego wyszczególnione
Spis treści. Dzień 1. I Wprowadzenie (wersja 0906) II Dostęp do danych bieżących specyfikacja OPC Data Access (wersja 0906) Kurs OPC S7
I Wprowadzenie (wersja 0906) Kurs OPC S7 Spis treści Dzień 1 I-3 O czym będziemy mówić? I-4 Typowe sytuacje I-5 Klasyczne podejście do komunikacji z urządzeniami automatyki I-6 Cechy podejścia dedykowanego
Zdalne logowanie do serwerów
Zdalne logowanie Zdalne logowanie do serwerów Zdalne logowanie do serwerów - cd Logowanie do serwera inne podejście Sesje w sieci informatycznej Sesje w sieci informatycznej - cd Sesje w sieci informatycznej
Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne
Jarosław Kuchta Internetowe Usługi Informacyjne Komponenty IIS HTTP.SYS serwer HTTP zarządzanie połączeniami TCP/IP buforowanie odpowiedzi obsługa QoS (Quality of Service) obsługa plików dziennika IIS
Sygnalizacja Kontrola bramy Media
PROTOKOŁY VoIP Sygnalizacja Kontrola bramy Media H.323 Audio/ Video H.225 H.245 Q.931 RAS SIP MGCP RTP RTCP RTSP TCP UDP IP PROTOKOŁY VoIP - CD PROTOKOŁY VoIP - CD PROTOKOŁY VoIP - CD PROTOKOŁY SYGNALIZACYJNE
Protokół 802.1x. Rys. Przykład wspólnego dla sieci przewodowej i bezprzewodowej systemu uwierzytelniania.
Protokół 802.1x Protokół 802.1x jest, już od dłuższego czasu, używany jako narzędzie pozwalające na bezpieczne i zcentralizowane uwierzytelnianie użytkowników w operatorskich sieciach dostępowych opartych
1 Implementowanie i konfigurowanie infrastruktury wdraŝania systemu Windows... 1
Spis treści Wstęp... xi Wymagania sprzętowe (Virtual PC)... xi Wymagania sprzętowe (fizyczne)... xii Wymagania programowe... xiii Instrukcje instalowania ćwiczeń... xiii Faza 1: Tworzenie maszyn wirtualnych...
Marek Parfieniuk, Tomasz Łukaszuk, Tomasz Grześ. Symulator zawodnej sieci IP do badania aplikacji multimedialnych i peer-to-peer
Marek Parfieniuk, Tomasz Łukaszuk, Tomasz Grześ Symulator zawodnej sieci IP do badania aplikacji multimedialnych i peer-to-peer Plan prezentacji 1. Cel projektu 2. Cechy systemu 3. Budowa systemu: Agent
Hosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (http://www.amu.edu.pl/~mtanas)
Hosting WWW Bezpieczeństwo hostingu WWW Dr Michał Tanaś (http://www.amu.edu.pl/~mtanas) Szyfrowana wersja protokołu HTTP Kiedyś używany do specjalnych zastosowań (np. banki internetowe), obecnie zaczyna
ASEM UBIQUITY PRZEGLĄD FUNKCJONALNOŚCI
ASEM UBIQUITY PRZEGLĄD FUNKCJONALNOŚCI tel. 22 549 43 53, fax. 22 549 43 50, www.sabur.com.pl, sabur@sabur.com.pl 1/7 ASEM UBIQUITY ASEM Uqiuity to nowatorskie rozwiązanie na platformy Win 32/64 oraz Win
z paska narzędzi lub z polecenia Capture
Rodzaje testów i pomiarów pasywnych 40 ZAGADNIENIA Na czym polegają pomiary pasywne sieci? Jak przy pomocy sniffera przechwycić dane przesyłane w sieci? W jaki sposób analizować dane przechwycone przez
Rok szkolny 2015/16 Sylwester Gieszczyk. Wymagania edukacyjne w technikum
Lp. 1 Temat 1. Konfigurowanie urządzeń. Uzyskiwanie dostępu do sieci Internet 2 3 4 5 Symulatory programów konfiguracyjnych urządzeń Konfigurowanie urządzeń Konfigurowanie urządzeń sieci Funkcje zarządzalnych
KONCEPCJA APLIKACJI VoIP WYKORZYSTUJĄCEJ MECHANIZMY IPSec
Ewelina HRYSZKIEWICZ Wojskowa Akademia Techniczna, Wydział Elektroniki, Instytut Telekomunikacji, ul. Gen. S. Kaliskiego 2, 00-908 Warszawa email:ewelina.hryszkiewicz@interia.pl Konferencja naukowo-techniczna
Metody ataków sieciowych
Metody ataków sieciowych Podstawowy podział ataków sieciowych: Ataki pasywne Ataki aktywne Ataki pasywne (passive attacks) Polegają na śledzeniu oraz podsłuchiwaniu w celu pozyskiwania informacji lub dokonania
Nasz znak: 14DFZZ236 Warszawa, 08.05.2014 r. SPECYFIKACJA USŁUGI. modernizacji infrastruktury telekomunikacyjnej MX-ONE w PGNiG Termika SA
Departament Zakupów Wydział Zakupów tel. 22 587 84 46 fax. 22 587 84 60 ewa.skalij@termika.pgnig.pl SZANOWNY OFERENT Nasz znak: 14DFZZ236 Warszawa, 08.05.2014 r. SPECYFIKACJA USŁUGI Dot.: modernizacji
SIP: Session Initiation Protocol. Krzysztof Kryniecki 16 marca 2010
SIP: Session Initiation Protocol Krzysztof Kryniecki 16 marca 2010 Wprowadzenie Zaaprobowany przez IETF w 1999 (RFC 2543) Zbudowany przez Mutli Parry Multimedia Session Control Working Group : MMUSIC Oficjalny
Bezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN)
Bezpieczeństwo Systemów Komputerowych Wirtualne Sieci Prywatne (VPN) Czym jest VPN? VPN(Virtual Private Network) jest siecią, która w sposób bezpieczny łączy ze sobą komputery i sieci poprzez wirtualne
jest protokołem warstwy aplikacji, tworzy on sygnalizację, aby ustanowić ścieżki komunikacyjne, a następnie usuwa je po zakończeniu sesji
PROTOKÓŁ SIP INFORMACJE PODSTAWOWE SIP (Session Initiation Protocol) jest protokołem sygnalizacyjnym służącym do ustalania adresów IP oraz numerów portów wykorzystywanych przez terminale do wysyłania i
Serwery. Autorzy: Karol Czosnowski Mateusz Kaźmierczak
Serwery Autorzy: Karol Czosnowski Mateusz Kaźmierczak Czym jest XMPP? XMPP (Extensible Messaging and Presence Protocol), zbiór otwartych technologii do komunikacji, czatu wieloosobowego, rozmów wideo i
BEZPIECZEŃSTWO VOIP OPARTEGO NA SIP
WOJCIECH MAZURCZYK, KRZYSZTOF SZCZYPIORSKI Instytut Telekomunikacji, Politechnika Warszawska 00-665 Warszawa, ul. Nowowiejska 15/19 E-mail: {W.Mazurczyk, K.Szczypiorski}@tele.pw.edu.pl http://security.tele.pw.edu.pl
Zastosowania PKI dla wirtualnych sieci prywatnych
Zastosowania PKI dla wirtualnych sieci prywatnych Andrzej Chrząszcz NASK Agenda Wstęp Sieci Wirtualne i IPSEC IPSEC i mechanizmy bezpieczeństwa Jak wybrać właściwą strategię? PKI dla VPN Co oferują dostawcy
Sieci VPN SSL czy IPSec?
Sieci VPN SSL czy IPSec? Powody zastosowania sieci VPN: Geograficzne rozproszenie oraz duŝa mobilność pracowników i klientów przedsiębiorstw i instytucji, Konieczność przesyłania przez Internet danych
Zagrożenia związane z udostępnianiem aplikacji w sieci Internet
Zagrożenia związane z udostępnianiem aplikacji w sieci Internet I Ogólnopolska Konferencja Informatyki Śledczej Katowice, 8-9 stycznia 2009 Michał Kurek, Aleksander Ludynia Cel prezentacji Wskazanie skali
Stos TCP/IP. Warstwa aplikacji cz.2
aplikacji transportowa Internetu Stos TCP/IP dostępu do sieci Warstwa aplikacji cz.2 Sieci komputerowe Wykład 6 FTP Protokół transmisji danych w sieciach TCP/IP (ang. File Transfer Protocol) Pobieranie
VoIP - integracja i skalowalność. Piotr Misiowiec, Dyrektor Centrum Szkoleniowego CLICO Sp. z o.o., CCSI
VoIP - integracja i skalowalność Piotr Misiowiec, Dyrektor Centrum Szkoleniowego CLICO Sp. z o.o., CCSI Agenda wystąpienia: CLICO jako dystrybutor rozwiązań bezpieczeństwa IT (VAD), usługi profesjonalne
TELEFONIA W SIECI IP
mgr inż. Jerzy Dołowski Wojskowa Akademia Techniczna, Wydział Elektroniki, Instytut Telekomunikacji ul. Gen. S.Kaliskiego 2, 00-908 Warszawa tel.: 0-22 6837897, fax: 0-22 6839038, e-mail: jerzy.dolowski@wel.wat.edu.pl
9. System wykrywania i blokowania włamań ASQ (IPS)
9. System wykrywania i blokowania włamań ASQ (IPS) System Intrusion Prevention w urządzeniach NETASQ wykorzystuje unikalną, stworzoną w laboratoriach firmy NETASQ technologię wykrywania i blokowania ataków
ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ
ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ WYMAGANIA BEZPIECZEŃSTWA DLA SYSTEMÓW IT Wyciąg z Polityki Bezpieczeństwa Informacji dotyczący wymagań dla systemów informatycznych. 1 Załącznik Nr 3 do Część II SIWZ Wymagania
INFORMACJA O TREŚCI ZAPYTAŃ DOTYCZĄCYCH SIWZ WRAZ Z WYJAŚNIENIAMI ZAMAWIAJĄCEGO
Lublin, dnia 24 sierpnia 2011 r. WL-2370/44/11 INFORMACJA O TREŚCI ZAPYTAŃ DOTYCZĄCYCH SIWZ WRAZ Z WYJAŚNIENIAMI ZAMAWIAJĄCEGO Przetarg nieograniczony na Wdrożenie kompleksowego systemu ochrony lokalnej
Rejestrator rozmów to ważne i użyteczne narzędzie dla wielu firm i organizacji.
Rejestrator rozmów to ważne i użyteczne narzędzie dla wielu firm i organizacji. Vidicode Call Recorder APRESA odpowiada na zapotrzebowanie rynku nawet tam, gdzie mamy do czynienia ze złożoną i często niejednorodną
Warstwy i funkcje modelu ISO/OSI
Warstwy i funkcje modelu ISO/OSI Organizacja ISO opracowała Model Referencyjny Połączonych Systemów Otwartych (model OSI RM - Open System Interconection Reference Model) w celu ułatwienia realizacji otwartych
Model sieci OSI, protokoły sieciowe, adresy IP
Model sieci OSI, protokoły sieciowe, adresy IP Podstawę działania internetu stanowi zestaw protokołów komunikacyjnych TCP/IP. Wiele z używanych obecnie protokołów zostało opartych na czterowarstwowym modelu
Internet. Podstawowe usługi internetowe. Wojciech Sobieski
Internet Podstawowe usługi internetowe Wojciech Sobieski Olsztyn 2005 Usługi: Poczta elektroniczna Komunikatory Grupy dyskusyjne VoIP WWW Sieci P&P FTP Inne Poczta elektroniczna: - przesyłanie wiadomości
ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ
ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ WYMAGANIA BEZPIECZEŃSTWA DLA SYSTEMÓW IT Wyciąg z Polityki Bezpieczeństwa Informacji dotyczący wymagań dla systemów informatycznych. 1 Załącznik Nr 1 do Część II SIWZ SPIS
Systemy Firewall. Grzegorz Blinowski. "CC" - Open Computer Systems. Grzegorz.Blinowski@cc.com.pl
Systemy Firewall Grzegorz Blinowski "CC" - Open Computer Systems Grzegorz.Blinowski@cc.com.pl Plan wykładu Zastosowanie systemów Firewall w Intranecie Rodzaje systemów Firewall Główne koncepcje stosowania
Bezpieczeństwo Voice over IP opartego na SIP
Bezpieczeństwo Voice over IP opartego na SIP Wojciech Mazurczyk Instytut Telekomunikacji Politechnika Warszawska E-mail: W.Mazurczyk@elka.pw.edu.pl http://security.tele.pw.edu.pl/ Streszczenie W artykule
MidpSSH - analiza bezpieczeństwa
MidpSSH - analiza bezpieczeństwa Bartłomiej Bonarski Paweł Brach Gabriel Kłosiński Piotr Mikulski 18 marca 2009 Spis treści 1. Wstęp 3 2. Identyfikacja stron procesu 4 2.0.1 Użytkownicy posiadające domyślne
Referencyjny model OSI. 3 listopada 2014 Mirosław Juszczak 37
Referencyjny model OSI 3 listopada 2014 Mirosław Juszczak 37 Referencyjny model OSI Międzynarodowa Organizacja Normalizacyjna ISO (International Organization for Standarization) opracowała model referencyjny
Protokoły zdalnego logowania Telnet i SSH
Protokoły zdalnego logowania Telnet i SSH Krzysztof Maćkowiak Wprowadzenie Wykorzystując Internet mamy możliwość uzyskania dostępu do komputera w odległej sieci z wykorzystaniem swojego komputera, który
Mobilna komunikacja VoIP
Mobilna komunikacja VoIP Cel ćwiczenia Celem ćwiczenia jest zapoznanie się mobilną komunikacją VoIP, uruchomieniu programowej centralki VoIP - CallManager Express oraz telefonów bazowych i bezprzewodowych
Bezpieczeństwo w sieciach bezprzewodowych WiFi. Krystian Baniak Seminarium Doktoranckie Październik 2006
Bezpieczeństwo w sieciach bezprzewodowych WiFi Krystian Baniak Seminarium Doktoranckie Październik 2006 Wprowadzenie Agenda Problemy sieci bezprzewodowych WiFi Architektura rozwiązań WiFi Mechanizmy bezpieczeństwa
INTEGRACJA CTI REJESTRATORÓW TRX z CISCO Unified Communications Manager (SIP Trunk / JTAPI) Cyfrowe rejestratory rozmów seria KSRC
TRX Krzysztof Kryński Cyfrowe rejestratory rozmów seria KSRC INTEGRACJA CTI REJESTRATORÓW TRX z CISCO Unified Communications Manager (SIP Trunk / JTAPI) Wersja 1.6 Grudzień 2013 Copyright TRX TRX ul. Garibaldiego
Komunikacja IP Cisco dla JST. Piotr Skirski Cisco Systems Poland 2004 Cisco Systems, Inc. All rights reserved.
Komunikacja IP Cisco dla JST Piotr Skirski Cisco Systems Poland 1 Agenda Trendy na rynku komunikacji głosowej i video Cisco IP Communications Łączność Głosowa w JST IP Communications Telefonia IP IP Communications
Profesjonalne Platformy VOIP. Dariusz Dwornikowski
Profesjonalne Platformy VOIP Dariusz Dwornikowski VoIP i PSTN VoIP - technologia przesyłania głosu w sieciach IP PSTN - tradycyjne sieci komutowane Zalety technologii VoIP Niższe koszta połączeń Przezroczystość
MX-One Nowoczesne rozwiązania IP
MX-One Nowoczesne rozwiązania IP Piotr Wrona Solution Consultant piotr.wrona@damovo.com 17/06/2009 MX-ONE zaawansowany system IP MX-ONE Telephony Server (TSE) Rozwiązanie serwerowe na bazie systemu operacyjnego
Protokół 802.1x. Środowisko IEEE 802.1x określa się za pomocą trzech elementów:
Protokół 802.1x Protokół 802.1x jest, już od dłuższego czasu, używany jako narzędzie pozwalające na bezpieczne i zcentralizowane uwierzytelnianie użytkowników w operatorskich sieciach dostępowych opartych
ZiMSK. VLAN, trunk, intervlan-routing 1
ZiMSK dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ dr inż. Artur Sierszeń, asiersz@kis.p.lodz.pl dr inż. Andrzej Frączyk, a.fraczyk@kis.p.lodz.pl VLAN, trunk, intervlan-routing
ActiveXperts SMS Messaging Server
ActiveXperts SMS Messaging Server ActiveXperts SMS Messaging Server to oprogramowanie typu framework dedykowane wysyłaniu, odbieraniu oraz przetwarzaniu wiadomości SMS i e-mail, a także tworzeniu własnych
LABORATORIUM SIECI KOMPUTEROWYCH (compnet.et.put.poznan.pl)
Wydział Elektroniki i Telekomunikacji POLITECHNIKA POZNAŃSKA fax: (+48 61) 665 25 72 ul. Piotrowo 3a, 60-965 Poznań tel: (+48 61) 665 22 93 LABORATORIUM SIECI KOMPUTEROWYCH (compnet.et.put.poznan.pl) Sieci
Którą normę stosuje się dla okablowania strukturalnego w sieciach komputerowych?
Zadanie 1. Rysunek przedstawia topologię A. magistrali. B. pierścienia. C. pełnej siatki. D. rozszerzonej gwiazdy. Zadanie 2. W architekturze sieci lokalnych typu klient serwer A. żaden z komputerów nie
1. Wprowadzenie...9. 2. Środowisko multimedialnych sieci IP... 11. 3. Schemat H.323... 19
Spis treści 3 1. Wprowadzenie...9 2. Środowisko multimedialnych sieci IP... 11 2.1. Model odniesienia... 11 2.2. Ewolucja technologii sieciowych...12 2.3. Specyfika ruchowa systemów medialnych...13 2.4.
Transmisja danych multimedialnych. mgr inż. Piotr Bratoszewski
Transmisja danych multimedialnych mgr inż. Piotr Bratoszewski Wprowadzenie Czym są multimedia? Informacje przekazywane przez sieć mogą się składać z danych różnego typu: Tekst ciągi znaków sformatowane
Technologie sieciowe
Technologie sieciowe ITA-108 Wersja 1.2 Katowice, Lipiec 2009 Spis treści Wprowadzenie i Moduł I Wprowadzenie do sieci komputerowych I-1 Moduł II Omówienie i analiza TCP/IP II-1 Moduł III Zarządzanie adresacją
SSL (Secure Socket Layer)
SSL --- Secure Socket Layer --- protokół bezpiecznej komunikacji między klientem a serwerem, stworzony przez Netscape. SSL w założeniu jest podkładką pod istniejące protokoły, takie jak HTTP, FTP, SMTP,
MASKI SIECIOWE W IPv4
MASKI SIECIOWE W IPv4 Maska podsieci wykorzystuje ten sam format i sposób reprezentacji jak adresy IP. Różnica polega na tym, że maska podsieci posiada bity ustawione na 1 dla części określającej adres
The OWASP Foundation http://www.owasp.org. Session Management. Sławomir Rozbicki. slawek@rozbicki.eu
The OWASP Foundation http://www.owasp.org Session Management Sławomir Rozbicki slawek@rozbicki.eu 28-07-2011 OWASP TOP 10 A1: Injection A2: Cross-Site Scripting (XSS) A3: Broken Authentication and Session
System Kancelaris. Zdalny dostęp do danych
Kancelaris krok po kroku System Kancelaris Zdalny dostęp do danych Data modyfikacji: 2008-07-10 Z czego składaj adają się systemy informatyczne? System Kancelaris składa się z dwóch części: danych oprogramowania,
1. Architektura logiczna Platformy Usługowej
Kielce, dnia 12.01.2012 roku HB Technology Hubert Szczukiewicz ul. Kujawska 26 / 39 25-344 Kielce Tytuł Projektu: Wdrożenie innowacyjnego systemu dystrybucji usług cyfrowych, poszerzenie kanałów sprzedaży
SERWERY KOMUNIKACYJNE ALCATEL-LUCENT
SERWERY KOMUNIKACYJNE ALCATEL-LUCENT OmniPCX Enterprise Serwer komunikacyjny Alcatel-Lucent OmniPCX Enterprise Communication Server (CS) to serwer komunikacyjny dostępny w formie oprogramowania na różne
ROZWIĄZANIA TELEFONICZNE VoIP. SUPPORT ONLINE SP. z o.o. Poleczki 23, Warszawa tel. +48 22 335 28 00 e-mail: support@so.com.pl
ROZWIĄZANIA TELEFONICZNE VoIP SUPPORT ONLINE SP. z o.o. Poleczki 23, Warszawa tel. +48 22 335 28 00 e-mail: support@so.com.pl INTERNET = TELEFON Coraz częściej firmy i instytucje wykorzystują połączenie
IPsec bezpieczeństwo sieci komputerowych
IPsec bezpieczeństwo sieci komputerowych Bartłomiej Świercz Katedra Mikroelektroniki i Technik Informatycznych Łódź,18maja2006 Wstęp Jednym z najlepiej zaprojektowanych protokołów w informatyce jestprotokółipoczymświadczyfakt,żejestużywany
Problemy z bezpieczeństwem w sieci lokalnej
Problemy z bezpieczeństwem w sieci lokalnej Sieć lokalna Urządzenia w sieci LAN hub (sieć nieprzełączana) switch W sieci z hubem przy wysłaniu pakietu do wybranego komputera tak naprawdę zostaje on dostarczony
Rok szkolny 2014/15 Sylwester Gieszczyk. Wymagania edukacyjne w technikum. SIECI KOMPUTEROWE kl. 2c
Wymagania edukacyjne w technikum SIECI KOMPUTEROWE kl. 2c Wiadomości Umiejętności Lp. Temat konieczne podstawowe rozszerzające dopełniające Zapamiętanie Rozumienie W sytuacjach typowych W sytuacjach problemowych
SIECI KOMPUTEROWE I TECHNOLOGIE INTERNETOWE
Politechnika Gdańska Wydział Elektrotechniki i Automatyki Katedra Inżynierii Systemów Sterowania SIECI KOMPUTEROWE I TECHNOLOGIE INTERNETOWE Temat: Identyfikacja właściciela domeny. Identyfikacja tras
Sieci komputerowe. Wykład 5: Warstwa transportowa: TCP i UDP. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski
Sieci komputerowe Wykład 5: Warstwa transportowa: TCP i UDP Marcin Bieńkowski Instytut Informatyki Uniwersytet Wrocławski Sieci komputerowe (II UWr) Wykład 5 1 / 22 Warstwa transportowa Cechy charakterystyczne:
Kierunek: technik informatyk 312[01] Semestr: II Przedmiot: Urządzenia techniki komputerowej Nauczyciel: Mirosław Ruciński
Kierunek: technik informatyk 312[01] Semestr: II Przedmiot: Urządzenia techniki komputerowej Nauczyciel: Mirosław Ruciński Temat 8.9. Wykrywanie i usuwanie awarii w sieciach komputerowych. 1. Narzędzia
Laboratorium Sieci Komputerowych - 2
Laboratorium Sieci Komputerowych - 2 Analiza prostych protokołów sieciowych Górniak Jakub Kosiński Maciej 4 maja 2010 1 Wstęp Zadanie polegało na przechwyceniu i analizie komunikacji zachodzącej przy użyciu
Praca dyplomowa. Program do monitorowania i diagnostyki działania sieci CAN. Temat pracy: Temat Gdańsk Autor: Łukasz Olejarz
Temat Gdańsk 30.06.2006 1 Praca dyplomowa Temat pracy: Program do monitorowania i diagnostyki działania sieci CAN. Autor: Łukasz Olejarz Opiekun: dr inż. M. Porzeziński Recenzent: dr inż. J. Zawalich Gdańsk
Metodologia ochrony informacji w systemach klasy desktop oraz na urządzeniach przenośnych
Metodologia ochrony informacji w systemach klasy desktop oraz na urządzeniach przenośnych Krzysztof Młynarski (krzysztof.mlynarski@teleinformatica.com.pl) Teleinformatica Pomimo występowania bardzo wielu
PREMIUM BIZNES. 1000 1540zł 110zł za 1 Mb/s Na czas nieokreślony Od 9 14 Mbit/s
Internet dla klientów biznesowych: PREMIUM BIZNES PAKIET Umowa Prędkość Internetu Prędkość Intranetu Opłata aktywacyjna Instalacja WiFi, oparta o klienckie urządzenie radiowe 5GHz (opcja) Instalacja ethernet,
Wdrożenie usługi wideokonferencji HD w sieci PIONIER
Wdrożenie usługi wideokonferencji HD w sieci PIONIER M.Bazyly, M.Głowiak, B.Idzikowski, D.Klimowicz, M.Stróżyk Konferencja I3, Wrocław 2.12.2010 Agenda Wprowadzenie Elementy infrastruktury systemu wideokonferencyjnego
Or.V.271.21.2013 Wykonawcy zainteresowani uczestnictwem w postępowaniu
Strona 1 Ostrowiec Świętokrzyski, 07.06.2013 r. Or.V.271.21.2013 Wykonawcy zainteresowani uczestnictwem w postępowaniu W nawiązaniu do ogłoszenia o zamówieniu (DUUE Nr 2013/S 087-147731 z dnia 04.05.2013)
Konfiguracja telefonu Yealink T20P
Konfiguracja telefonu Yealink T20P 1 Identyfikacja telefonu Po podłączeniu telefonu do zasilania oraz do sieci Ethernet urządzenie pobierze adres IP z serwera DHCP. Poniżej zostały zaprezentowane trzy
Multicasty w zaawansowanych usługach Internetu nowej generacji
PREZENTACJA PRACY MAGISTERSKIEJ Multicasty w zaawansowanych usługach Internetu nowej generacji Autor : Bogumił Żuchowski Kierujący pracą: dr inż. Maciej Stroiński PLAN PREZENTACJI Wprowadzenie Cel pracy
Zapewnienie dostępu do Chmury
Zapewnienie dostępu do Chmury O bezpiecznym i sprawnym dostępie do Chmury i danych w Chmurze. Marcin Tynda Business Development Manager Grupa Onet S.A. Warszawa, 24.06.2013 1 Kto jest kim Klient? Kim jest
SIP Studia Podyplomowe Ćwiczenie laboratoryjne Instrukcja
SIP Studia Podyplomowe Ćwiczenie laboratoryjne Instrukcja Instytut Telekomunikacji Wydział Elektroniki i Technik Informacyjnych Politechnika Warszawska, marzec 2015 Wprowadzenie Ćwiczenie jest wykonywane
Laboratorium nr 4 Ataki aktywne
Laboratorium nr 4 Ataki aktywne I. Przepełnienie tablicy CAM przełącznika Tablica CAM (Content-addressable memory) przełącznika zawiera powiązanie adresów warstwy 2 (Ethernet) z portami fizycznymi przełącznika
LABORATORIUM SIECI KOMPUTEROWYCH (compnet.et.put.poznan.pl)
Wydział Elektroniki i Telekomunikacji POLITECHNIKA POZNAŃSKA fax: (+48 61) 665 25 72 ul. Piotrowo 3a, 60-965 Poznań tel: (+48 61) 665 22 93 LABORATORIUM SIECI KOMPUTEROWYCH (compnet.et.put.poznan.pl) Wireshark
Dokumentacja wstępna TIN. Rozproszone repozytorium oparte o WebDAV
Piotr Jarosik, Kamil Jaworski, Dominik Olędzki, Anna Stępień Dokumentacja wstępna TIN Rozproszone repozytorium oparte o WebDAV 1. Wstęp Celem projektu jest zaimplementowanie rozproszonego repozytorium