Transkript

1 Voice-over-IP Security CON.ECT VoIP Security Wien Rene Graf, Dipl.-Inform. (FH) ERNW GmbH Gegründet Sommer 2001 durch Enno Rey Sitz in Heidelberg Netzwerk-Dienstleister mit Sicherheits-Fokus Aktuell elf Mitarbeiter Schwerpunkte: Security Management, Audit/Revision, Penetrations- Tests, Risiko-Bewertung & -Management, Security Research Kunden: Industrie, Banken, Behörden, Provider Voice-over-IP Security 2

2 Agenda Grundlagen & Terminologie Sicherheitsziele Threats & Vulnerabilities Angriffsmethoden Gegenmassnahmen Voice-over-IP Security 3 Agenda Grundlagen & Terminologie Sicherheitsziele Threats & Vulnerabilities Angriffsmethoden Gegenmassnahmen Voice-over-IP Security 4

3 Bestandteile typischer VoIP-Szenarios Protokolle (Transport, Signalisierung, Management/Infrastruktur) Komponenten (dedizierte VoIP-Devices, Kopplungs-Geräte) Verbindungen (öffentliche, nicht-öffentliche Strecken) Endgeräte (Hardphones, Softphones, Legacy Devices) User ( Faktor Mensch ) Voice-over-IP Security 5 Protokolle Transport (von Nutzdaten): Real-Time Transport Protocol [RTP, RFC 1889] + ggf. RTP Control Protocol [RTCP] Signalisierung (Location of Users, Session Setup & Negotiation etc.): - H.323 [Urheber: ITU] - Session Initiation Protocol [SIP, RFC 2543/3261] - Skinny/SCCP [Cisco-propietär] - Media Gateway Control Protocol [MGCP, RFC 2705] - Megaco [RFC 3015, ITU-T H.248] Management/Infrastruktur [DNS, SNMP et.al.] Voice-over-IP Security 6

4 Zusammenwirken der Protokolle A Signaling RTP PSTN Legacy PBX Voice-over-IP Security 7 Beispiel SIP Voice-over-IP Security 8

5 Komponenten Dedizierte VoIP-Devices, e.g. H.323 Gatekeeper, Multipoint Controller SIP Proxy, Redirector Voic Server TRIP Location Server Asterisk Kopplungskomponenten zu anderen Netzen, z.b. GGSN/SGSN zu GPRS/UMTS-Netzen Infrastruktur-Komponenten (etwa Backbone Router) Voice-over-IP Security 9 Komponenten, SIP User Agent Registrar Proxy Location-Server Softphones arbeiten meist mit SIP Voice-over-IP Security 10

6 Endgeräte Hardphones: dedizierte Telefone mit VoIP-Fähigkeiten, etwa Cisco Softphones: Software-Applikationen, die auf PCs laufen und VoIP-Funktionalität zur Verfügung stellen. Legacy Devices: traditionelle Telefon-/Fax-Geräte, die über geeignete Schnittstellen (etwa Cisco NM-2V+VIC-2FXS) in VoIP- Netze integriert werden. Sonderfall Skype Voice-over-IP Security 11 Agenda Grundlagen & Terminologie Sicherheitsziele Threats & Vulnerabilities Angriffsmethoden Gegenmassnahmen Voice-over-IP Security 12

7 Sicherheitsziele Verfügbarkeit Vertraulichkeit Integrität (?) Authentizität Non-Repudiation (Nicht-Rückweisbarkeit) Einhaltung gesetzlicher Bestimmungen - Datenschutz - Lawful Interception Voice-over-IP Security 13 Unterschiedliche Fokussierung der Sicherheitsziele Enduser: Vertraulichkeit (das emotionale Moment ) Organisation: Verfügbarkeit, Vertraulichkeit, Datenschutz Carrier/Dienst-Anbieter: Non-Repudiation (Abrechnungs-Betrug!), Lawful Interception, Kundenbindung durch Vertrauen Voice-over-IP Security 14

8 Agenda Grundlagen & Terminologie Sicherheitsziele Threats & Vulnerabilities Angriffsmethoden Gegenmassnahmen Voice-over-IP Security 15 (Main) Threats Abhören von Verbindungen/Sniffing - durch Angreifer - Lawful ( Anwälte, Journalisten, Beratungsinstitutionen) Denial-of-Service Kompromittierung von Komponenten => Abhören => Umleiten Spoofing => Verlust der Authentizität (Telefon-Banking) => Abrechnungsbetrug Voice-over-IP Security 16

9 Vulnerabilities Auf Protokoll-Ebene: Implementierungs-Schwächen (?) (Hochgradig) Dynamische Kommunikationsbeziehungen Fehlende immanente Sicherheitsfeatures (?) Auf Komponenten-Ebene: Unsichere Default-Konfigurationen Design without security in mind, insbesondere an Kopplungskomponenten Seiteneffekte von VoIP Security-Problemen auf Nicht-VoIP Devices Auf Endgeräte-Ebene: Unsichere Default-Konfigurationen (Zu) wenig Sicherheits-Features Malicious Code? Voice-over-IP Security 17 Vulnerabilities, Protokoll-Ebene Implementierungs-Schwächen: Seit den Analysen der Oulu University Secure Programming Group [1] zu SIP und H.323 kaum mehr vorhanden. (Hochgradig) Dynamische Kommunikationsbeziehungen: Signalisierung und Transport werden durch unterschiedliche Protokolle gere-gelt. Dabei werden die von RTP verwendeten Ports im Rahmen der Signali-sierung dynamisch (innerhalb einer grossen Port-Range) ausgehandelt. => Regelung/Kontrolle durch Paketfilter schwierig. Fehlende immanente Sicherheitsfeatures (?): die meisten Protokolle weisen (inzwischen) Sicherheits-Mechanismen (SIP/TLS) oder sichere Varianten (SRTP, RFC 3711) auf. Voice-over-IP Security 18

10 Vulnerabilities, Protokoll-Probleme (H.323) Voice-over-IP Security 19 Dynamische Ports, Beispiel H.323 (2) Voice-over-IP Security 20

11 Dynamische Ports, Beispiel MGCP Voice-over-IP Security 21 Vulnerabilities, Komponenten-Ebene Unsichere Default-Konfigurationen, z.b.: - Cisco Call Manager auf MS IIS mit unzureichenden Berechtigungen - Cisco Call Manager mit Auto Registration per default enabled. Design without security in mind, insbesondere an Kopplungskomponenten => Kinderkrankheiten, die nicht mehr auftreten dürften. Default-Kennwörter Seiteneffekte von VoIP Security-Problemen auf Nicht-VoIP Devices Voice-over-IP Security 22

12 Default-Kennwörter Echt-Umgebung version 12.4 [...]! hostname xyz-voip! [...] username mueller privilege 15 password 7 110A D! ephone 2 after-hour exempt username "Minzhagen" password [...]! ephone 3 after-hour exempt username "Schneider" password ["cisco"] Voice-over-IP Security 23 Aktuelles Advisory Cisco Security Advisory (veröffentlicht ) Cisco Security Advisory: Multiple Cisco Unified CallManager and Presence Server Denial of Service Vulnerabilities Voice-over-IP Security 24

13 Agenda Grundlagen & Terminologie Sicherheitsziele Threats & Vulnerabilities Angriffsmethoden Gegenmassnahmen Voice-over-IP Security 25 Angriffsmethoden Sniffing: Da RTP per default unverschlüsselt überträgt, kann ein Angreifer mit Zugriff auf den Netzwerk-Verkehr (üblicherweise im lokalen Netz per ARP-Spoofing) VoIP-Sitzungen abhören. Das bekannteste Tool ist hier vomit [2]. Inzwischen häufiger verwendet: Wireshark oder Cain & Abel Newcomer: oreka Tools für ARP-basierte Angriffe: dsniff, ettercap, cain & abel Call-Hijacking/MITM: ausführlich im Kontext SIP dazu [3]. Tool: sivus Denial-of-Service: Gegen Protokolle (meist SIP), Komponenten oder Endgeräte. Angriffe gegen Endgeräte/-Management: Aufgrund fehlender Sicherheits-Features (etwa fehlender Authentifi-zierung), schlechter Default-Konfiguration (e.g. aktiviertem Telnet-Zugang) oder mangelhafter Management-Strukturen (Konfig per TFTP etc.). Siehe etwa [4] gegen ältere Cisco 7960-Modelle. Voice-over-IP Security 26

14 Angriffsmethoden, DoS gegen SIP (aus [3]) SIP UA [C] DNS Server sip.biloxy.com SIP Proxy Query & Respond 7. FW: INVITE 5+6. DNS Query SIP Proxy sip.atlanta.com Trying 2. Store 15. CANCEL Trying Ringing 3. INVITE Location Service 11. FW: INVITE Ringing SIP Registrar 1. Register Ringing The CANCEL needs to hit Bob s SIP Phone before it sends the 200 OK. This is a Denial-of-Service on Bob SIP UA [A] SIP:alice@atlanta.com SIP UA [B] SIP:bob@biloxy.com Voice-over-IP Security 27 Angriffsmethoden, DoS gegen SIP (aus [3]) When a fake BYE will be sent to one of the participants in a dialog, that participant will generate a 200 OK reply. To avoid detection the BYE will be sent simultaneously to both participants, and the 200 OK responses, although generated for a different message will not be 16. BYE (B->A) suspected (Sequence of both BYE will be the same) sip.biloxy.com SIP Proxy 18. FW: 200 OK 18. FW: 200 OK SIP Proxy sip.atlanta.com OK SIP:carol@biloxy.com SIP UA [C] Location Service 16. BYE (A->B) 19. FW: 200 OK OK SIP Registrar SIP UA [B] 19. FW: 200 OK SIP UA [A] SIP:alice@atlanta.com Voice-over-IP Security SIP:bob@biloxy.com The malicious party will send the BYE request not through the SIP Proxies but direct to the dialog participants. This to avoid cases in which a stateful proxy might take action for the BYE SIP request. 28

15 Demo Sniffen eines Gesprächs mit (habe ich bereits vorbereitet) Tcpdump / Windump Ethereal / Wireshark Speichern als.pcap Datei Analysieren mit der all-in-one Windows Software Cain&Abel Gespräch steht als WAV-Datei zur Verfügung Voice-over-IP Security 29 Agenda Grundlagen & Terminologie Sicherheitsziele Threats & Vulnerabilities Angriffsmethoden Gegenmassnahmen Voice-over-IP Security 30

16 VoIP ist eine Netzwerk-Technologie... Segmentierung Hardening von Devices Design / Architektur Sicherung von Infrastruktur-Diensten Verschlüsselung Zugangs-Sicherung Filterung Policy Voice-over-IP Security 31 Segmentierung Segmentierung sollte stattfinden anhand von: Unterschiedlicher Schutzbedarf Unterschiedliches Bedrohungspotential Segmentierung häufig idealerweise unterstützt von Filterung Voice-over-IP Security 32

17 Segmentierung VLANs Voice VLAN (Cisco) bei Endgeräten, die an Phones konnektiert sind Dieser Port muss Trunk sein, DTP kann also nicht (aus Sicherheitsgründen deaktiviert werden) => allowed vlans sollten begrenzt werden MPLS-VPNs im Backbone Segmentierung erleichtert Klassifizierung (QoS) Voice-over-IP Security 33 Device Hardening Siehe einschlägige Guides (NSA, cymru etc.) NSA Guide Switch Security: Catalyst Secure Template: Rob Thomas: Secure IOS Template Voice-over-IP Security 34

18 Sicherung von Infrastruktur-Diensten Routing-Protokolle Layer 2 (STP, VTP, DTP etc.) NTP, syslog DNS, DHCP AD / LDAP? Können gemäss kategorisiert werden - anhand von Sicherheitszielen (Verfügbarkeit, Effizienz, Nachvollziehbarkeit etc.) - ISO (Management / Control Plane) Voice-over-IP Security 35 Sicherung von Infrastruktur-Diensten Authentizität Integrität Verfügbarkeit Vertraulichkeit (?) Beispiel-Docs RFC 3013 IETF Draft Operational Security Current Practices Cisco SAFE: Best Practices for Securing Routing Protocols Voice-over-IP Security 36

19 Verschlüsselung IPsec SSL/TLS SRTP Voice-over-IP Security 37 Verschlüsselung SRTP ist inzwischen Produktions-reif. Aber jeder Hersteller kocht eigenes Süppchen hinsichtlich Schlüssel-Management (MIKEY, sdescriptions etc.) IPsec ist oft nicht geeignet (Jitter!). Geeignete Protokolle lösen meist auch noch andere Anforderungen (Authentizität, Anti MITM, Anti Replay). Vielfach sind Revisions-Anforderungen nur durch Verschlüsselung erfüllbar. Voice-over-IP Security 38

20 Weitere Links NIST Special Publication "Security Considerations for Voice Over IP Systems": NIST IPTel/VoIP Security Technical Implementation Guide NIST IPTel/VoIP Checklist BSI Studie zur Sicherheit von Voice over Internet Protocol Kapitel 6 aus ISBN (Salvatore Collora: Cisco CallManager Best Practices) Cisco WP "Security in SIP-Based Networks" Asterisk Encryption: Voice-over-IP Security 39 </vortrag> Fragen? Voice-over-IP Security 40

21 </vortrag> Danke für Ihre Aufmerksamkeit! Voice-over-IP Security 41