Bezpieczeństwo usług na przykładzie VoIP

Transkrypt

1 Bezpieczeństwo usług na przykładzie VoIP Gdańsk

2 Są trzy rodzaje wiedzy: Wiemy, co wiemy. Wiemy, czego nie wiemy. Nie wiemy, czego nie wiemy. Donald Rumsfeld

3 Agenda przyczyny - podsumujmy co wiemy zagrożenia - przed czym się zabezpieczamy rodzaje ataków bezpieczeństwo w VoIP - podstawy systemy antyfraudowe dobre praktyki

4 Specyfika systemów VoIP realizowane jako logiczna ostatnia mila do której każdy ma dostęp, w odróżnieniu od fizycznej ostatniej mili często realizowane w publicznym internecie, rzadko w zamkniętej sieci operatora stosunkowo niski koszt realizacji*

5 Specyfikacja systemów VoIP cd. możliwość realizacji wielu jednoczesnych połączeń możliwość podłączenia dowolnego urządzenia dane autoryzacyjne dostępne w wielu miejscach (terminal abonenta, system provisioningu, panel selfcare)

6 Podejście abonenta najważniejszy jest koszt - oszczędności na sprzęcie (terminale, oprogramowanie) domyślne hasła (admin, test, root i różne części ciała ) brak wiedzy, świadomości oraz umiejętności konfiguracyjnych: domyślna konfiguracja terminali stosowanie domyślnej konfiguracji rozwiązań open source

7 Podejście operatora Cena usługi: rezygnacja z monitoringu 24/7 rezygnacja z automatycznego monitoringu umów i rozliczeń rezygnacja z monitoringu kontroli salda i konta rezygnacja z wdrożenia i utrzymania systemu antyfraudowego

8 Ataki na usługę telefoniczną Phreaking - phone freak John Draper (Capitan Crunch) nawiązał międzymiastowe darmowe połączenie, gwiżdżąc do słuchawki przy wykorzystaniu gwizdka zabawki, wyjętego z paczki płatków śniadaniowych.

9 Ataki na usługę VoIP Ataki na OS Wirusy, trojany, malware Ataki na stos sieciowy Ataki odmowy usługi SYN FLOOD Ataki na protokół VoIP RTP flood Błędy w implementacji protokołu sieciowego (SIP/H323/MGCP) Ataki odmowy usługi Ataki na aplikacje głosowe przechwytywanie sesji podsłuchiwanie podszywanie się

10 Rodzaje ataków na VoIP Sniffing Spoofing DoS SPIT

11 100 połączeń -> 8h -> 10 zł/min zł w jedną noc

12 Bezpieczeństwo w VoIP Mechanizmy uwierzytelniania: autoryzacja po adresie IP HTTP Digest Szyfrowanie: SSIP - TLS dla SIP SRTP, ZRTP - dla strumienia RTP

13 #!/bin/bash if [ $# -ne 6 ]; then echo -e "Sposob uzycia: passcheck <username> <realm> <password> <method> <digesturi> <nonce>" echo -e "Przyklad#./passcheck freecotest666 sip.freeconet.pl haslo666 REGISTER sip:sip.freeconet.pl 4bf3cb8175cd272a3ce9502b60f5cc88e84f9991" else username=$1 realm=$2 password=$3 method=$4 digesturi=$5 nonce=$6 HA1=`echo -n "$username:$realm:$password" md5sum` HA2=`echo -n "$method:$digesturi" md5sum` response=`echo -n "${HA1:0:32}:$nonce:${HA2:0:32}" md5sum` echo -e "Response: \t${response:0:32}"

14 Systemy antyfraudowe system regułowy system wykrywający anomalie

15 Analiza regułowa Wykrywa nadużycia typu: kosztowe połączenia na numery PREMIUM 0-700, dialery Zapobiega nadużyciu poprzez: limitowanie połączeń w czasie po kierunku i numerze A, limitowanie połączeń po czasie połączenia. Przykład: MAX 100 połączeń do Sierra Leone w ciągu doby

16 Analiza anomalii Wykrywa nadużycia typu: błędy w cennikach (nagły wzrost ruchu na daną strefę numeracyjną), nieautoryzowane użycie konta abonenckiego, połączenia na numery PREMIUM Zapobiega nadużyciu poprzez: klasyfikację zdarzeń, analizę anomalii w zbiorze. Przykład: Nagły wzrost ruchu na numerację Estonii -> błąd w cenniku -> zbyt niska stawka

17 Dobre praktyki polityka haseł aktualizacji oprogramowania centrali jak i terminali (atak na stos SIP) ograniczenia dozwolonych kierunków ograniczenia czasowe monitorowanie salda ograniczenie dozwolonych adresów IP limitowanie jednoczesnych połączeń zmiana domyślnej konfiguracji (hasła, porty) urządzenia końcowe schowane za NAT fail2ban VPN dedykowane łącze operatora VLAN ME

18 ?

19 Dziękuję Maciej Krajewski