PBX/UCC-SECURITY (Green Room)

Transkript

1 UPI Open Forum 2015 Anregungen und Tipps zu /UCC-SECURITY (Green Room) Frank Schmidberger (UPI Consulting) [Hinweis: dies ist eine allgemeine Präsentation ohne Projekt-/Kundenbezug.] AGENDA Sicherheitssysteme für Zonenübergänge Das Green Room Modell (Ausschreibungsmethode, seit 2004) Network based Security: Network Firewall Host based Security: Hardening Vorsicht Security-Denkfehler Auszug aus Mobile Security Aspekte GmbH Bahnhofstraße Gilching/Germany +49 (89)

2 Green Room TKA TKA DECT IPT/UC: n* Sicherheitssysteme für die Zonenübergänge (Bsp: Forum Q2/2008) Anm: ur- alte Folie, aber noch heute brandaktuell mig WAN LAN ISDN/PSTN Vst 1 carrier WAN SIP trunk VDA Vst 2 Mobilfunk Netz GSM/UMTS GPRS u. UMTS Smart- phone- Client Internet HTTP Conference oder Public SIP interworking mig hot standby backup site Redu 1..x DB CTI link GBit platform (SIP&Co) CTI link DB central site Media UC Conf IM/P Mob UM CC UC platform u.a. SIP, CSTA, (J)TAPI, HTTP, XML, SOAP.. device/client- signaling VPL SIP standard phone SIP standard client -Phones SRTP softphone UC-Client IT UC-Client 1G TK Server UMS/Fax usw. RZ Server IT Group ware IT Server IT UC API

3 Green Room Modell/Ausschreibungsmethode Betriebsmodell Verantwortung, Zuständigkeiten Sicherheitskonzept/-architektur Green: für AN: freie Fahrt + StVO Red: Stopp = Kundenbereich, hohe Sorgfalt bei Endgerät/Client Blue: Vertrauenswürdige AN (VPN) Black: Internet/worst case user Technik: FW (network & host based), IDP, ALG, Sig/Reverse Proxy History 2004 (Münchener Rück ) im Rahmen eines Pen-Tests entwickelt Seitdem in allen Ausschreibungsprojekten von UPI angewandt Vertrauenskreis Extern AN/Service Center, + Carrier/SIP + Clouds Vertrauenskreis Auftragnehmer Intern (Systemlösung AN, Server, VMs, Gateways i.d.r. eigenes LAN, Netz in Netz ) Auftraggeber LAN Endgeräte/Clients Null Vertrauen Extern (Internet/http) Reverse Proxy/Clouds Auftraggeber RZ Server/Dienste

4 Network based Security: Network Firewall Firewall High Availability, leistungsfähiger Failover, keine Tricks! ALG/L7 Deep Packet Inspection, IDP/IDS, TLS-Proxy, Reverse Proxy (Black Room) Dokumentation Security Konzept, immer: ab V2.0 wird es interessant Firewall Matrix = Transparenz Applikationsströme, HTML-Export Regelwerk Achtung Dimensionierung: Ports/Leistung (z.b. streaming/multimedia) Golf vs. Mercedes Dilemma, Vorsicht vor fakes: security through obscurity Vier-Augen-Prinzip erforderlich Brainstorming Im Sinne einer Security-affinen Systemeinrichtung Gold wert, Sensibilisierung Single Point of Failure erfordert saubere Architektur, kompetentes AN-Personal Wartungskonzept: Pflege kostenintensiv, vor allem IDS, false positives Problem GmbH Bahnhofstraße Gilching/Germany +49 (89)

5 Host based Security: Hardening Firewall (Server, Gateways, Endgeräte) Layer 4 Regelwerk ausreichend, i.d.r. kein ALG/IDP/IDS (Windows FW, Linux iptables) Stichproben bei Green Room Hosts ausreichend, hohe Sorgfalt bei Red Room Hosts, Vier-Augen-Prinzip immer optimal, übersichtliche und korrekte Dokumentation Virenscanner (optimal zentrales Mgt, je nach Performance Anford.: offline scans) SW-Pflege/Updates: Security und Stabilitäts-Patche, teilautomatisiert WSUS, OS-Aktualisierung (Windows/Linux Server vs. Architektur Impact) Login/User Transparenz: vollumfänglich remote verfügbare User/-Admins mit Funktion u. PWD, auch root, nicht nur Applikationen, Betriebssystem, auch IIS/Apache/SSH etc. Ballast Entfernen: Rückstände vom Bau : Developer-Tools, Browser/IE-Möglichkeiten, Webserver/IIS/Apache, Dienste (z.b. SMTP, FTP, DNS) alles raus, sonst patchen! Diverses: Verhinderung Autoplay/run, SW-Verhinderungsregeln, one way trust, Domain/Security/Group Policy (Objects), RDP/SSH sicher bauen (RDP: no local drive mount, Vorsicht SSH: sshd_config, PermitRootLogin without-password ) Access-Logging: alle Dienste, zentral, events/logfiles/rotate, http-zugriffe Apache/IIS GmbH Bahnhofstraße Gilching/Germany +49 (89)

6 Vorsicht Security-Denkfehler Verschlüsselung ( Denn Sie wissen nicht, was sie tun ) Das sonnige Gemüt aller AN: Jaja alles verschlüsselt, überall Zertifikate, aber: Wer kennt überhaupt alle Verbindungen? Server- vs. Client-Zertifikate/Authentizität? Achtung Zertifikate: self signed vs. Trust Center, d.h. nur ein Bruchteil der Verschlüsselungen kann über TC laufen vielfältig:, Applikationen, Networking/VPN Transparente Tunnel über die Firewall nur ok, wenn hosts die Kontrolle übernehmen Nachdenken: Verschlüsselung aller Verbindungen: Forderung vs. Umsetzung Datenschutz (Persönlichkeitsrechte) vs. Vertraulichkeit unternehmenskritischer Daten BSI: Was bringt es? Umständliche methodische Umsetzung Ergebnis: Sensibilisierung Audits/Penetrationstest: Verantwortung/Erwartungshaltung klären Besser Nachfragen als das Nachsehen haben, kritische Einstellung macht AN nervös, gut, wenn kompetenter AN sensibilisiert ist schlecht, wenn nur Security Blender trotzdem pragmatisch handeln: Stichproben, Experten zu Rate ziehen, gewichten GmbH Bahnhofstraße Gilching/Germany +49 (89)

7 Auszug aus Mobile Security Aspekte Authentifizierung: Klartext-Passwörter und unsichere Authentifizierung vermeiden; failed login einschränken sonst brute force Smartphones/UCC: Black Room Reverse Proxy: ernsthaft härten! +DMZ/Routing/VLAN Generelle Security Problematik nicht unterschätzen: BYOD/offene OS, soziale Angriffe/Ausspähen: shoulder surfing, usw. Android und ebenso ios, Gefahr durch: App-App-Kommunikation: Android Intents, ab ios 8: App Extension usw.. App-Cloud-Kommunikation: sobald Anwendung uses internet keine Differenzierung, welche URL/hosts eine App aufruft, jeder Browseraufruf ist sicherer Zunehmende Komfortfunktionen: Video-/Audio-Input (Cam/Micro) schwer zu kontrollieren, Screenshots, Cloud Synchronisationen, Kontovielfalt, Debugger Bridge Mobile Browser, Mobile WebRTC, Multimedia: Security Follows Function : Extensions, CORS: Cross-Origin Resource Sharing, Drive By Attacks GmbH Bahnhofstraße Gilching/Germany +49 (89)