Bezpieczeństwo usług na przykładzie VoIP Gdańsk 25.04.2015
Są trzy rodzaje wiedzy: Wiemy, co wiemy. Wiemy, czego nie wiemy. Nie wiemy, czego nie wiemy. Donald Rumsfeld
Agenda przyczyny - podsumujmy co wiemy zagrożenia - przed czym się zabezpieczamy rodzaje ataków bezpieczeństwo w VoIP - podstawy systemy antyfraudowe dobre praktyki
Specyfika systemów VoIP realizowane jako logiczna ostatnia mila do której każdy ma dostęp, w odróżnieniu od fizycznej ostatniej mili często realizowane w publicznym internecie, rzadko w zamkniętej sieci operatora stosunkowo niski koszt realizacji*
Specyfikacja systemów VoIP cd. możliwość realizacji wielu jednoczesnych połączeń możliwość podłączenia dowolnego urządzenia dane autoryzacyjne dostępne w wielu miejscach (terminal abonenta, system provisioningu, panel selfcare)
Podejście abonenta najważniejszy jest koszt - oszczędności na sprzęcie (terminale, oprogramowanie) domyślne hasła (admin, test, root i różne części ciała ) brak wiedzy, świadomości oraz umiejętności konfiguracyjnych: domyślna konfiguracja terminali stosowanie domyślnej konfiguracji rozwiązań open source
Podejście operatora Cena usługi: rezygnacja z monitoringu 24/7 rezygnacja z automatycznego monitoringu umów i rozliczeń rezygnacja z monitoringu kontroli salda i konta rezygnacja z wdrożenia i utrzymania systemu antyfraudowego
Ataki na usługę telefoniczną Phreaking - phone freak 1971 - John Draper (Capitan Crunch) nawiązał międzymiastowe darmowe połączenie, gwiżdżąc do słuchawki przy wykorzystaniu gwizdka zabawki, wyjętego z paczki płatków śniadaniowych.
Ataki na usługę VoIP Ataki na OS Wirusy, trojany, malware Ataki na stos sieciowy Ataki odmowy usługi SYN FLOOD Ataki na protokół VoIP RTP flood Błędy w implementacji protokołu sieciowego (SIP/H323/MGCP) Ataki odmowy usługi Ataki na aplikacje głosowe przechwytywanie sesji podsłuchiwanie podszywanie się
Rodzaje ataków na VoIP Sniffing Spoofing DoS SPIT
100 połączeń -> 8h -> 10 zł/min 480000 zł w jedną noc
Bezpieczeństwo w VoIP Mechanizmy uwierzytelniania: autoryzacja po adresie IP HTTP Digest Szyfrowanie: SSIP - TLS dla SIP SRTP, ZRTP - dla strumienia RTP
#!/bin/bash if [ $# -ne 6 ]; then echo -e "Sposob uzycia: passcheck <username> <realm> <password> <method> <digesturi> <nonce>" echo -e "Przyklad#./passcheck freecotest666 sip.freeconet.pl haslo666 REGISTER sip:sip.freeconet.pl 4bf3cb8175cd272a3ce9502b60f5cc88e84f9991" else username=$1 realm=$2 password=$3 method=$4 digesturi=$5 nonce=$6 HA1=`echo -n "$username:$realm:$password" md5sum` HA2=`echo -n "$method:$digesturi" md5sum` response=`echo -n "${HA1:0:32}:$nonce:${HA2:0:32}" md5sum` echo -e "Response: \t${response:0:32}"
Systemy antyfraudowe system regułowy system wykrywający anomalie
Analiza regułowa Wykrywa nadużycia typu: kosztowe połączenia na numery PREMIUM 0-700, dialery Zapobiega nadużyciu poprzez: limitowanie połączeń w czasie po kierunku i numerze A, limitowanie połączeń po czasie połączenia. Przykład: MAX 100 połączeń do Sierra Leone w ciągu doby
Analiza anomalii Wykrywa nadużycia typu: błędy w cennikach (nagły wzrost ruchu na daną strefę numeracyjną), nieautoryzowane użycie konta abonenckiego, połączenia na numery PREMIUM Zapobiega nadużyciu poprzez: klasyfikację zdarzeń, analizę anomalii w zbiorze. Przykład: Nagły wzrost ruchu na numerację Estonii -> błąd w cenniku -> zbyt niska stawka
Dobre praktyki polityka haseł aktualizacji oprogramowania centrali jak i terminali (atak na stos SIP) ograniczenia dozwolonych kierunków ograniczenia czasowe monitorowanie salda ograniczenie dozwolonych adresów IP limitowanie jednoczesnych połączeń zmiana domyślnej konfiguracji (hasła, porty) urządzenia końcowe schowane za NAT fail2ban VPN dedykowane łącze operatora VLAN ME
?
Dziękuję Maciej Krajewski m.krajewski@aitoncaldwell.pl