UC Security Sicherheit für Unified Communication Infrastrukturen Markus Nispel Director Solution Architecture

Transkript

1 UC Security Sicherheit für Unified Communication Infrastrukturen Markus Nispel Director Solution Architecture Seite 1 von 11 enterasys Whitepaper

2 EINLEITUNG 3 SICHERHEIT IN UC INFRASTRUKTUREN 5 CONFIDENTIALITY UND INTEGRITY 8 AVAILABILITY 9 ZUSAMMENFASSUNG 11 Seite 2 von 11 enterasys Whitepaper

3 Einleitung Schon Ende der 90er Jahre wurde das erste kommerzielle Sprachkommunikationssystem auf einer Ethernet LAN-Infrastruktur verfügbar: Die Ära der IP-Telefonie (IPT) offiziell eingeläutet. Voice over IP hat seitdem den Status einer Technologie im Erprobungsstatus schon lange hinter sich gelassen und bringt in einer Vielzahl von Projekten heute erhebliche Produktivitätsgewinne sowie völlig neue Möglichkeiten für Dienste mit Sprach/Daten-Integration Unified Communication UC auf dem Vormarsch! Das SIP Protokoll (Session Initiation Protocol) hat den Kampf um die Vorherrschaft klar gewonnen und gibt Planungssicherheit auch bei größeren Projekten. Zumindest die wichtigsten Leistungsmerkmale via SIP werden auch nach und nach herstellerübergreifend möglich. SIP ist ein Peer-to-Peer Protokoll für die Übertragung von Multimedia-Kommunikation, das für die Integration einer Vielzahl von Services wie , Web, Voic , Instant- Messaging, Conferencing und Collaboration entwickelt wurde. Es ist unabhängig vom Transportprotokoll, kann aber auf einer Vielzahl von Protokollen wie UDP, TCP und SCTP laufen. Es handelt sich dabei um ein erweiterbares, textbasiertes Protokoll, das für die Unterstützung mehrerer verschiedener Medien entwickelt wurde. Damit perfekt als Basis für UC. Der SIP-Standard ist auch ein Schlüssel zur Konvergenz von Wired- und Wireless-Kommunikationsnetzwerken dem FMC-Markt (Fixed Mobile Convergence). Seite 3 von 11 enterasys Whitepaper

4 Gerade diese massive Tendenz in Richtung SIP und damit die Konvergenz auf ein einziges IP basiertes Netzwerk stellen höchste Anforderungen an die Verfügbarkeit und Sicherheit der gesamten Infrastruktur. Auch wird durch die Verwendung von IP das UC System wesentlich anfälliger für Angriffe verglichen mit den traditionellen TDM (Time Division Multiplexing) Netzen, die verbindungsorientiert, ohne Broadcast Mechanismen und mit meist proprietärem Betriebssystem- sowie proprietärer Steuerungssoftware für die Telefonie verwendet wurden und auch noch werden. Durch das Protokoll IP selbst und die gleichzeitige Verwendung des Netzes für Datendienste ist das UC System den gängigen Hacking-Tools und Angriffen (Würmern etc.) ausgesetzt. Die Tools der Script Kiddies können direkt angewendet werden viele UC Server (Gateways, Communication Server) setzen auf Standard-Betriebssystemen wie Windows und Linux auf. Seite 4 von 11 enterasys Whitepaper

5 Sicherheit in UC Infrastrukturen U.a. sind durch die Verwendung von IP folgende Probleme zu erwarten: Denial of Service (DoS) Attacken auf UC Server und Endgeräte Angriff auf Sprachkommunikation auf den darunter liegenden Lauern Beispiele: IP flooding, TCP SYN flood, etc. Angriffe durch SIP Flooding Beispiele: INVITE floods, REGISTER floods, Authentication Dos SIP spezifische DoS Attacken Beispiele: BYE attack, Cancel attack Refer attack, Un-Register attack Call Interception Mitlesen von Sprachpaketen Beispiele: Arp Cache Poisoning (Cain&Abel like) Signal Protocol Tampering Manipulation von Gesprächen Beispiele: Man in the Middle, etc. Presence Theft Vortäuschen eines Benutzers Beispiele: Malformed SIP Messages, SQL Injection, etc. Toll Fraud Unerlaubtes Aufbauen von Gesprächen Call Handling OS Attacks Angriffe auf das Betriebssystem, auf denen die UC Dienste laufen Beispiele: Buffer Overflow, etc. Um diese Probleme zu adressieren muss wie im Datenbereich auch ein mehrstufiges Sicherheitskonzept greifen, dass sowohl auf Applikationsebene agiert (Verschlüsselung, Authentifizierung und Autorisierung, Schutz der Integrität, Schutz gegen Man in the Middle Attacks) als auch das Netzwerk und die weiteren Komponenten des UC Systems selbst sicher und verfügbar macht. Eine Verschmelzung von Daten- und UC Sicherheit ist ein Muss, um unnötige Mehrkosten zu vermeiden. Bin ich überhaupt verwundbar? Eine Analyse mittels gängiger Tools hilft dabei schon weiter: SIPp: Open Source Test Tool PROTOS SIP Fuzzer: Tool zur Sendung von falscher SIP Nachrichten SiVuS: typischer SIP Vulnerability Scanner SIPNess: Kann beliebige SIP Nachrichten konstruieren SIPBomber: SIP Test Tool SFTF: SIP Forum Test Suite zum Test von SIP UA User Agents Seite 5 von 11 enterasys Whitepaper

6 Sicherheit wird typischerweise definiert durch die Attribute CIA Confidentiality, Integrity und Availability. Das Gesamtsystem muss danach analysiert und entsprechende Maßnahmen getroffen werden. Komponenten des Gesamtsystems sind: VOIP Endgeräte ( Telefone ) Sonstige Endgeräte ( PC, Smartphone, ) Netzwerkinfrastruktur DHCP, DNS SIP Proxy, Registrar, Location Server Media Gateways Server Video Conferencing (Server, Endgeräte) Sonstige Serversysteme für UC, IMS Messaging, Sprachaufzeichnung etc. Der Schutz der gesamten UC Lösung ist das Ziel. Um eine Überwachung und Erkennung von Angriffen zu erreichen, muss man u.a. alle Ereignisse (Events) aller Systeme, Applikationen und Assets mit einbeziehen und korrelieren. Eine einzige Schnittstelle sollte offeriert werden, die das Gefährdungspotential und den Zustand der zu schützenden Assets darstellt das ganze in einem gesamtheitlichen Kontext. Durchgeführt wird dies durch ein Security Information und Event Management SIEM System. Die Organisationsstrukturen in Unternehmen sind bei der Präsentation der Ergebnisse zu beachten. So muss dem technischen Verantwortlichen (also jemand, der technisch die Verantwortung für ein Asset trägt) ein Problem anders dargestellt werden als es dem wirtschaftlichen Verantwortlichen präsentiert wird. Ferner muss sichergestellt werden, dass Verantwortliche der Gruppe A, sensitive Informationen aus Gruppe B nicht einsehen können. Gleichwohl müssen die Informationen aus Gruppe B in die Bewertung der Seite 6 von 11 enterasys Whitepaper

7 Gesamtsicherheitslage einbezogen werden, auch wenn das Asset in Gruppe A aufgehängt ist. Praktisch heißt das: Gruppe A kümmert sich um das Netzwerk die Netzwerker. Gruppe B kümmert sich um die Securty Appliances (IDS, Firewall, Anti Virus). Gruppe C um das die eigentlich UC Lösung Gruppe D um die Windows Server. Gruppe E um die Linux Server. Das Ziel der Event Korrelation ist es, die massiv anfallenden Logfiles im UC Ecosystem aufzunehmen, zu archivieren, zu normalisieren, zu korrelieren und Gefährdungen in einem globalen Kontext darzustellen. Dabei werden die Daten über verschiedene Kanäle aufgenommen. Dies kann über Agenten oder agentenlos über Syslog, SNMP, Web Services, OPSEC etc geschehen. Nachdem die Events korreliert und verschiedenen Problemstellungen hinzugefügt wurden und die False Positives eliminiert wurden, werden die Problemstellungen dargestellt (in der zentralen Konsole). Intrusion Detection und Prevention Technologie IDP muss integraler Bestandteil einer UC Security Lösung sein, um Anomalien und Angriffe auf Netzwerkebene zu erkennen und ggf. zu verhindern. Per Host IDS sollten alle zentralen Serverssysteme einer UC Lösung überwacht und geschützt werden. Die zentralen Komponenten und Netzübergänge sollten ebenfalls durch SIP fähige Firewall Systeme geschützt werden. Hierbei ist auf eine entsprechende Performance, die Unterstützung für dynamische Ports des RTP Streams und auf das Thema Delay zu achten. Auch ein guter Denial of Service Schutz (Stichwort: SIP Invite Floods etc) ist in dieser Ebene über IDP Systeme zu implementieren. Auch ein Patchmanagement der VoIP Geräte und Server sowie das Abschalten von Standard-Passwörtern und Remote-Management Zugriffen sollte selbstverständlich sein. Seite 7 von 11 enterasys Whitepaper

8 Confidentiality und Integrity Die Signalisierung erfolgt wie erwähnt über das Session Initiation Protokoll (RFC 3261). Um die Eigenschaften des Mediendatenstroms zu bestimmen wird zusätzlich das Session Description Protocol (SDP) verwendet. Für die Sprachübertragung bei VOIP ist das Realtime Transport Protocol (RTP, RFC3550) zuständig. Wenn man sich insbesondere auf das Thema Confidentiality und Integrity bezieht, dann sind folgende SIP/RTP Sicherheitstechnologien relevant, die auch im RFC3261 aufgelistet werden: HTTP Digest Authentication S/MIME usage within SIP IPsec usage within SIP TLS usage within SIP Media data confidentiality using secure RTP (SRTP) Secure RTP ist ein in RFC3711 standardisiertes RTP-Profil, mit der Zielsetzung, die Vertraulichkeit der übertragenen Daten herzustellen und deren Integrität zu sichern, ohne den Overhead übermäßig zu erhöhen. Ein SRTP-Paket enthält die gleichen Header wie ein normales RTP-Paket. Der Unterschied besteht darin, dass der Payload verschlüsselt und dieser mitsamt des Headers authentifiziert werden kann. Das in RFC2246 spezifizierte TLS-Protokoll (Transport Layer Security) bietet einen Kommunikationskanal, in dem die Daten verschlüsselt (für die Signalisierung) übertragen werden und die Integrität der Daten absichert sind. Je nach verwendeter Schlüsseltauschmethode werden der öffentliche RSA-Schlüssel oder die öffentlichen Diffie-Hellman-Parameter gesendet. Zusätzlich kann der Server auch eine Authentifizierung des Clients mit einem Zertifikat anfordern. Um den Austausch von Schlüsseln und den dazugehörenden Sicherheitsparametern zu unterstützen wird oft das MIKEY-Protokoll der Signalisierung beim Rufaufbau hinzugefügt. MIKEY (RFC3830) wird in SDP-Meldungen eingefügt, die wiederum in SIP-Meldungen eingebettet sind. Weiterhin relevant sind: SIP Authenticated Identity Body (AIB) Format (RFC 3893) End-to-middle Security in the Session Initiation Protocol (SIP) (draft) A Privacy Mechanism for the Session Initiation Protocol (SIP) (RFC 3323) Seite 8 von 11 enterasys Whitepaper

9 Availability Wie auch im traditionellen IP Datennetz sollten Lösungen zum Schutz von gegen Denialof-Service Angriffe (hier sind VoIP Phones typischerweise sehr empfindlich durch die relativ geringe CPU Leistung), ARP Cache Poisoning, Broadcast Storms und ARP Flooding eingesetzt werden. Insbesondere aber die gebotene Trennung von Daten, Sprache und sonstigen Diensten im Access Bereich des Netzes stellt Administratoren vor größte Herausforderungen. Eine Sicherheitstechnologie in aller Munde nämlich NAC Network Access Control bietet sich auch für VoIP Lösungen an: Aber nur, wenn die richtige NAC Technologie verwendet wird. Verschiedenste Ansätze kursieren am Markt, speziell für VoIP muss der Anwender daher ganz genau hinschauen. Generell besteht NAC aus 5 Schritten Detection, Authentication, Assessment, Authorization und Remediation des jeweiligen Systems. Der Detection und Authentication aller am Netz angeschlossener System kommt hier eine zentrale Bedeutung zu. Da man nie von einer reinen 802.1x Umgebung ausgehen kann, sollte der Access Switch diverse Authentisierungsmethoden gleichzeitig pro Port unterstützen (z.b. PC s, IP Phones, Drucker, Sicherheitskameras, externe Personen, Besucher etc.) sonst wird eine Implementierung von NAC nahezu unmöglich. Es sollten auch mehrere Geräte pro Port unterstützt werden (u.a. für Mini-Switches, PC/Phone in Reihe etc), die auch unterschiedliche Policies haben dürfen wie z.b. bei Enterasys die Multi-User Authentication and Policy (MUA+P) Funktion. Die Authentifizierungsmethoden sind 802.1X Port based Authentication, MAC based Authentication, Web based Authentication, Kerberos Snooping, Radius oder einfach auch Default Authentication = offen mit entsprechender Default Policy. Ergänzt wird das Ganze durch LLDP-MED 802.1ab LLDP-MED (Link Layer Discovery Protocol Multimedia Endpoint Detection) als Konfigurationsprotokoll für die VoIP Phones. Oft wird LLDP oder die Vorgängermodelle CDP, EDP etc. als Authentifizierungsmethode gesehen, was sie aber definitiv nicht ist. Seite 9 von 11 enterasys Whitepaper

10 Der Einsatz von Web Services als NAC Management Interface bietet vielfältige Möglichkeiten zum automatisierten Austausch und Synchronisation der zuvor ermittelten Endgerätedaten mit statischen Inventar- und Nutzerdatenbanken im Unternehmen. Ein Anwendungsfall ist die Verknüpfung mit VOIP Management Systemen zum Zwecke der Inventarisierung, Überwachung, Konfiguration von Netz und Endsystemen sowie für Presence/Location basierte Dienste wie E.911 (Notruflokalisierung) oder adaptierter Anzeigen am Endsystem (wie z.b. Ersthelfer Information je nach Gebäude/Etage). Die Daten werden zwischen beiden Systemen synchronisiert, sodass sogar die NAC Lösung immer über die aktuell am Telefon gültige Rufnummer informiert ist (wiederum für das Troubleshooting/Aufsuche von Geräten sehr hilfreich. Auch die Endgeräteautorisierung ist damit automatisierbar. Im Rahmen der Autorisierung sollten dann Sicherheits- und QoS-Policies automatisch zugewiesen werden. Damit ist eine präzise, sicherheitsrelevante Teilung der Endsysteme bzw. ein Zuweisen von entsprechenden Service Qualitäten möglich ohne den Administrationsaufwand zu erhöhen. Seite 10 von 11 enterasys Whitepaper

11 Die Policies pro Endsystem können bestehen aus VLAN Zuweisung ACL (Access Control Lists) Zuweisung Prioritätszuweisung (Quality of Service) Rate Limiting sowie eine Zusatzklassifizierung auf OSI Layer 2/3/4 zur Unterscheidung von z.b. Protokollen, IP Subnetzen, DiffServ Signalisierung und Applikationen pro Benutzer. Zur Sicherheit in UC Netzen gehört auch die Bereitstellung von Bandbreite für die Applikation ansonst sind Netzsicherheit und Redundanz nur Makulatur. Zusammenfassung Sicherheit für UC Infrastrukturen ist wie die Sicherheit im Allgemeinen ein mehrstufiges Konzept, dass alle Komponenten umfassen muss. Insbesondere die vielen, unterschiedlichen Komponenten auf der zentralen Seite und bei den Endgeräten in Kombination mit der Anforderung an Echtzeitkommunikation (geringer Delay und Jitter) machen Sicherheit für UC Systeme zu einer besonderen Herausforderung. Die UC Sicherheit sollte zur Minimierung der Betriebskosten mit den etablierten Sicherheitsmechanismen für Datennetze integriert werden. Da alle Komponenten auf IP aufsetzen, werden die Überschneidungsbereiche immer größer. Seite 11 von 11 enterasys Whitepaper