VoIP Security ISACA After Hour Seminar Mittwoch, 26. 2005 Interw ay Communication GmbH Josefstrasse 225 8005 Zürich 043 500 11 11 - w w w.interw ay.ch info@interw ay.ch Agenda Motivation und Einsatzgebiete für VoIP VoIP Technologie Primer Service Qualität Funktionsbeschrieb gehostete Telefonielösung (Fallbeispiel) Identifikation der Sicherheitsprobleme Möglichkeiten der Absicherung Fazit Seite 2 1
Vorstellung der Referenten Matthias Oswald Partner Interway Communication GmbH Gegründet 1995 11 Mitarbeiter(Innen) entspricht 9 FTE davon 2 Lehrlinge Informatik Systemtechnik Schwerpunkte: Internet Service Provider Webhosting, ADSL Server Housing / Colocation Messaging Services & IT Security Seite 3 Agenda Motivation und Einsatzgebiete für VoIP VoIP Technologie Primer Service Qualität Funktionsbeschrieb gehostete Telefonielösung (Fallbeispiel) Identifikation der Sicherheitsprobleme Möglichkeiten der Absicherung Fazit Seite 4 2
Telefonie heute zuverlässig wie Wasser aus dem Wasserhahn jahrzehntelang erprobt spezialisierte HW und SW separates Netz teuer kompliziert zu bedienen wenig Fantasie Seite 5 Motivation VoIP Kostenersparnisse - günstigere Tarife - gratis telefonieren von VoIP zu VoIP (firmenintern) - Zusatznutzen aus vorhandenem Datennetzwerk - keine Investition in Anlage bei gehosteter Telefonie Nutzung neuer Möglichkeiten - noch engere Verknüpfung zwischen Voice und Daten - Voice ist nur eine weitere IT Applikation - Produktivitätssteigerung Mitarbeiter (Erreichbarkeit unter derselben Nummer) Seite 6 3
VoIP Einsatzgebiete Zwischen grossen Telekomanbietern - vom Endkunden weitgehend unbemerkt - auf internen Netzen der Telecomanbietern - bezüglich Sicherheit und Verfügbarkeit deshalb weniger Kritisch Seite 7 VoIP Einsatzgebiete Verbindung VoIP zu herkömmlichen Telefonanschluss - häufigste Nutzungsvariante in den nächsten Jahren - benötigt Gateway zu herkömmlichem Telefonnetzwerk - genauere Betrachtung in diesem Vortrag Seite 8 4
VoIP Einsatzgebiete Verbindung VoIP zu VoIP Telefon - In Peer to Peer wie Skype anzutreffen - Im herkömmlichen Geschäftsumfeld eher die Ausnahme (ausser innerhalb einer Unternehmung) - Austausch der Adressierungselemente schwierig Seite 9 Agenda Motivation und Einsatzgebiete für VoIP VoIP Technologie Primer Service Qualität Funktionsbeschrieb gehostete Telefonielösung (Fallbeispiel) Identifikation der Sicherheitsprobleme Möglichkeiten der Absicherung Fazit Seite 10 5
Ein VoIP Anruf D/A Codec D/A Codec 1. Teilnehmer 1 wählt Identifikation (z.bsp. Nummer) von Teilnehmer 2 Austausch von Signalisierungsinformationen 2. Sprachübermittlung - Sprache wird im Codec digital gewandelt und in RTP-UDP Paketen verschickt 3. Ein Teilnehmer beendet das Gespräch Austausch von Signalisierungsinformationen Seite 11 VoIP Protokolle Zwei konkurrierende Standards - H.323 von ITU (1996) - SIP (Session Initiation Protocol) vom IETF (1997) H.323 Dachstandard für ein ganzes Set von Einzelstandards für paketbasierte Multimediaübermittlung über Netze ohne QoS SIP spezifiziert lediglich ein Signalisierungsprotokoll auf Applikationsebene (RFC 3261) Seite 12 6
VoIP Protokolle ein Vergleich Eigenschaft Standardisierungsorganisation Generelle Eigenschaften Kompleität Nachrichtenkodierung Authentifizierung Verschlüsselung Mediatransportprotokoll Signalisierungstransport H.323 ITU-T Vollständiger Standard für Audio- Video und Datenkonferenzen. Dachstandard mit mehreren Unterstandards. Hoch Binär Definiert in H.235 RTP/RTCP (UDP) UDP oder TCP SIP IETF - RFC Protokoll für die Signalisierung von Multimedia-Sitzungen ohne Festlegung auf bestimmte Anwendungsbereiche. Niedrig, nur Signalisierung Tetbasiert. -> HTML ähnlich Nichts festgelegt. IPSec, TLS, SRTP, S/MIME RTP/RTCP (UDP) UDP oder TCP Seite 13 VoIP Protokolle The Winner is: SIP! Die Welt will s einfach Die Welt will SIP! Seite 14 7
SIP Protokoll SIP Nachrichten SIP Systemkomponenten kommunizieren durch das versenden von Nachrichten und antworten. SIP Nachricht REGISTER INVITE ACK CANCEL BYE OPTIONS Erklärungen Mit dieser Nachricht registriert sich ein SIP User bei einem Registrar Einladung zu einer Sitzung, z.b. Anfrage für ein Telefongespräch Bestätigung einer Nachricht Aufhebung des vorher gesendeten Befehls. Wird z.b. an verschiedene Endsysteme ein INVITE geschickt und einer nimmt den Anruf entgegen schickt man den anderen ein CANCEL. Eine bestehende Sitzung wird beendet Mit dieser Nachricht können die implementierten Methoden eines UAS abgefragt werden. Seite 15 SIP Protokoll SIP Antworten Antwort Code 1 2 3 4 5 6 Bedeutung Provisional Success Redirection Client Error Server Error Global Error Erklärungen / Beispiele Die Nachricht wurde Empfangen und wird verarbeitet: Bsp: 180 Ringing Die Nachricht wurde empfangen, verstanden und akzeptiert. Bsp: 200 - OK Gibt Informationen über eine neuen Ort wo sich der gesuchte User befindet oder über neue Services die den gewünschten Anruf erfolgreich verarbeiten könnten. Bsp: 301 Moved Permanentely Der Server teilt dem Client mit dass er die Anfrage so nicht verarbeiten kann. Der Client sollte damit nicht noch einmal dieselbe Anfrage an denselben Server schicken. Bsp: 401 Unauthorized Diese Staus Codes werden zurückgeschickt wenn der Server interne Fehler feststellt. Bsp: 500 Server Internal Error Diese Antwort zeigt an dass der Server definitive Informationen über einen bestimmten User erhalten hat. Z.B. dass ein Befehl von keinem Server ausgeführt werden kann. Bsp: 600 Busy Everywhere Seite 16 8
SIP Protokoll SIP Call mit Proy SIP Phone 1 Proy SIP Phone 2 1 2 3 4 Invite SIP Phone 1 200 OK Invite SIP Phone 1 200 OK 5 ACK 6 RTP/RTCP Data Strem 7 8 BYE 200 OK Seite 17 Agenda Motivation und Einsatzgebiete für VoIP VoIP Technologie Primer Service Qualität Funktionsbeschrieb gehostete Telefonielösung (Fallbeispiel) Identifikation der Sicherheitsprobleme Möglichkeiten der Absicherung Fazit Seite 18 9
Service Qualität Hohe Verfügbarkeit Schneller Verbindungsaufbau Keine Verbindungsunterbrüche Gute Sprachqualität Seite 19 Sprachqualität End to End Verzögerung End to End Verzögerungen setzen sich zusammen aus: - Kodierung und Kompression - Paketierung - Serialisierung - Netzwerkkomponenten - Signallaufzeiten - Pufferzeiten ITU Vorgabe: - 150ms gut, - 400ms zufriedenstellend Seite 20 10
Sprachqualität weitere Einflussfaktoren Jitter Varianz der Verzögerung - Bekämpfung durch Prio. des Sprachverkehrs Echo störendes Sich-selbst-hören - entstehen bei D/A Wandlung - Fehlanpassungen in analogen Komponenten - Bekämpfung mit Echokompensationsverfahren Verzerrungen - durch Paketverlust oder Komprimierung - Bekämpfung durch Prio. des Sprachverkehrs Seite 21 Service Qualität Netzwerk QoS VoIP Vorteil: Datennetz kann für Daten und Voice genutzt werden. VoIP Nachteil: Datennetz wird für Daten und Voice genutzt Computerdaten sind nicht anfällig auf Verzögerungen und Varianz in der Verzögerung Sprachdaten schon! Sprachkanal braucht 16 80 kbps. In Konkurrenz zu Daten Europa: gute Resultate mit QoS auf Kundenrouter Weltweit: QoS auf ganzem Netz nötig Seite 22 11
Agenda Motivation und Einsatzgebiete für VoIP VoIP Technologie Primer Service Qualität Funktionsbeschrieb gehostete Telefonielösung (Fallbeispiel) Identifikation der Sicherheitsprobleme Möglichkeiten der Absicherung Fazit Seite 23 Gehostete Telefonie Neue Firma? Hosted Package Alles Standortunabhängig Seite 24 12
Gehostete Telefonie - Fallbeispiel Rahmenbedingungen - 10 Telefonarbeitsplätze im Office - HomeOffice Möglichkeiten Funktionalität - Sammelruf / Einzelruf / Weiterleitung - Voicel - Umleitung auf weitere Nummern - Do not Disturb Seite 25 Gehostete Telefonie - Fallbeispiel Bsp. Fie Endgeräte Snom190 Bsp. Laptop Softphones XLite Kosten: CHF 300.- Snom / CHF 0.- X-Lite Seite 26 13
Gehostete Telefonie - Fallbeispiel KMU Provider Package Hosted Telefonie Seite 27 Gehostete Telefonie Provider Package Website Login für Verwaltung 15 Telefonieaccounts 5 direkte Nummern Seite 28 14
Agenda Motivation und Einsatzgebiete für VoIP VoIP Technologie Primer Service Qualität Funktionsbeschrieb gehostete Telefonielösung (Fallbeispiel) Identifikation der Sicherheitsprobleme Möglichkeiten der Absicherung Fazit Seite 29 VoIP - Sicherheitsprobleme Sicherheit heisst auch bei VoIP - Verfügbarkeit - Integrität - Vertraulichkeit Seite 30 15
VoIP - Sicherheitsprobleme Gruppierung der möglichen Angriffe anhand folgender Fragestellungen: 1.Welcher Grundpfeiler der Sicherheit wird angegriffen - Verfügbarkeit - Integrität - Vertraulichkeit 2.Welche VoIP Komponente wird angegriffen - Client - Netzwerk - Telefonieserver Seite 31 Nr. VoIP - Angriffsübersicht Beschreibung Verletzung der Angriff auf Vertr. Verf. Int. Clt. Net. Py. 1 SIP Call Setup Forking 2 SIP Flooding (DoS) 3 SIP Call Hijacking / Impersonating 4 SIP Call Termination 5 SIP Identity Spoofing Telefonieren auf fremde Rechnung 6 RTP Paket Injection Datastream verändern 7 RTP Stream aufzeichnen/mithören 8 RTCP Paket Injection Codec wechsel 9 Multicast Forking 10 Verfälschte IP/TCP/SIP/SDP Pakete. Instabilität der Systeme 11 Voice Spam autom.telefonanrufe 12 Asterisk OS Angriff 1) 1) 1) 13 Asterisk SW schwäche 1) 1) 1) 14 Asterisk Angriff auf Konfigurationsinterface WebGUI / Telnet / SSH 1) 1) 1) 15 CDR verändern 1) Verletzung ist abhängig von der ausgenützten Schwachstelle und kann daher u.u. In allen Bereichen eine Verletzung bedeuten. Seite 32 16
VoIP Angriff SIP Call Termination Technischer Hintergrund: SIP spezifiziert zwei Nachrichten um einen Call zu beenden 1. BYE ( reguläre Beendigung eines Calls) 2. CANCEL (Beendigung Signalisierung) Angriff: Kennt man die Call-ID, kann jedermann eine BYE Nachricht schicken. Der Angreifer könnte zudem sofort nach der Signalisierung eine CANCEL Nachricht an den eigentlichen Empfänger schicken und den Call selber entgegennehmen. Verletzung: Verfügbarkeit und Vertraulichkeit Seite 33 VoIP Angriff SIP Call Termination Voraussetzung - Angreifer benötigt Zugang zum Signalisierungspfad - Wird Call-ID genügend zufällig gewählt, hat der Angreifer ohne Abhören kaum eine Chance, ein Gespräch zu beenden. Angegriffene Komponenten - Angriff erfolgt auf Endgeräte oder auf VoIP PBX Massnahmen zur Verhinderung Der Zugang zum Signalisierungspfad muss verhindert werden! - Chiffrierung des Nachrichtenaustausches - Richtige Konfiguration der Netzwerkgeräte - Richtige Konfiguration der SIP-Server Seite 34 17
VoIP Angriff Voice Spam Technischer Hintergrund Spam ist sattsam aus dem lumfeld bekannt. Es ist denkbar, dass in einem VoIP Netzwerk unerwünschte Sprachnachrichten an eine grosse Anzahl an Benutzer geschickt werden. Angriff Der Angreifer sammelt SIP Account Infos und sendet Nachricht. Gegenüber heutiger Telefonie tendiert VoIP-VoIP zu gratis was Spam erst attraktiv macht. Verletzung Missbrauch der Ressourcen Seite 35 VoIP Angriff Voice Spam Voraussetzung Angreifer kennt UserID des Empfängers Angegriffene Komponente Endgeräte und Voicelboen Massnahmen zur Verhinderung Schwierig zu verhindern. - Anrufe nicht kostenlos machen Ansonsten Methoden analog Spam Bekämpfung - Nur Anrufe von verifizierten Anrufern entgegennehmen - Blacklists von VoiceSpam Servern - Sprachanalyse des Inhalts Seite 36 18
Agenda Motivation und Einsatzgebiete für VoIP VoIP Technologie Primer Service Qualität Funktionsbeschrieb gehostete Telefonielösung (Fallbeispiel) Identifikation der Sicherheitsprobleme Möglichkeiten der Absicherung Fazit Seite 37 VoIP Absicherungsmassnahmen Eine VoIP Absicherungsstrategie muss mehrschichtig angelegt werden: Absicherung des Netzwerkes Absicherung des Systems (VoIP PBX) Absicherung der Applikation (VoIP PBX) Absicherung durch organisatorische Massnahmen Absicherung durch rechtliche Massnahmen Seite 38 19
Absicherung Netzwerk ADSL/ Router - QoS Priorisierung. VPN Verbindung zum Telefonieserver Switches - Trennung in ein Voice und Daten VLAN Firewalls - Einsatz eines SIP Aware Application Level Gateway (ALG) Mgmt. aller Netzwerkkomponenten - Adminzugriff nur über SSH - Vollständige Kontrolle über SNMP Überwachung / Logging / Reporting - sämtlicher beteiligter Komponenten (soweit als möglich) Seite 39 Absicherung PBX System Hardware (RAID, Power Supply) OS Hardening / Patching / Lokaler Firewall Virenschutz Apache/MySQL Patching PBX Software Patching HID LIDS2.2 Seite 40 20
Absicherung Applikation Trennung Darstellung Business Logik Konfig Change Rollback Session Handling SSL Zugriff Input Validation Logging / Alarming Trennung PBX / Web / DBServer Passwörter Seite 41 Absicherung Rechtlich / Organisatorisch Patching Frequenz Vorgabe ADSL Router Konfiguration Haftungsbegrenzung Informationen über Gefahren an Benutzer Seite 42 21
Gefahreneinschätzung Nr. Beschreibung Verletzung der Angriff auf Vertr. Verf. Int. Clt. Net. Py. 1 SIP Call Setup Forking 2 SIP Flooding (DoS) 3 SIP Call Hijacking / Impersonating 4 SIP Call Termination 5 SIP Identity Spoofing Telefonieren auf fremde Rechnung 6 RTP Paket Injection Datastream verändern 7 RTP Stream aufzeichnen/mithören 8 RTCP Paket Injection Codec wechsel 9 Multicast Forking 10 Verfälschte IP/TCP/SIP/SDP Pakete. Instabilität der Systeme 11 Voice Spam autom.telefonanrufe 12 Asterisk OS Angriff 1) 1) 1) 13 Asterisk SW schwäche 1) 1) 1) 14 Asterisk Angriff auf Konfigurationsinterface WebGUI / Telnet / SSH 1) 1) 1) 15 CDR verändern Rot: Gefahr konnte nicht verringert werden. Gelb: Gefahr konnte gemindert werden Grün: Gefahr konnte auf Minimum red. werden Seite 43 Agenda Motivation und Einsatzgebiete für VoIP VoIP Technologie Primer Service Qualität Funktionsbeschrieb gehostete Telefonielösung (Fallbeispiel) Identifikation der Sicherheitsprobleme Möglichkeiten der Absicherung Fazit Seite 44 22
Fazit Auswertung zeigt ein deutliches Bild - Die meisten Sicherheitsmassnahmen zielen auf die Providerinfrastruktur - Dort können auch gute Resultate erzielt werden Kundenseite kann nur mit Empfehlungen bedient werden. Der aktuelle Sicherheitsstandard beim Kunden bleibt unklar. Die Sicherheitsschlacht wird beim Kunden geschlagen Seite 45 Fazit allgemein Integration von Multimediaanwendungen in unsere Datennetze ist viel mehr als nur ein Hype SIP Protokoll ist klarer Favorit durch seine Einfachheit. In der Einfachheit liegt aber auch die Gefahr. Es wäre wünschenswert gewesen, dass wir unsere Lektion aus den Sicherheitsproblemen im Internet gelernt haben. Seite 46 23
Fazit allgemein Erkenntnis: Gestartet mit dem Anspruch, Voice sicher auszugestalten, sind wir beim Absichern einer normalen IT Infrastruktur geendet. Wie prophezeit wird Telefonie in Zukunft nur wie eine weitere IT Applikation behandelt werden müssen. Verschmelzung von Sprache und Daten hat definitiv und unwiderruflich begonnen. Seite 47 Seite 48 24
Weiterführende Informationen www.voipsa.org VoIP Security Alliance Homepage Buch Internet Communications Using SIP, Henry Sinnreich und Alan. B. Johnson, Wiley Verlag, Englisch, ISBN 0-741-41399-2 Buch Voice over IP Grundlagen, Protokolle, Migration, Jochen Nölle, VDE Verlag, Deutsch, ISBN 3-8007-2708-0 www.networkworld.com/topics/voip-security.html Seite 49 Anbieter (Beispiele) Interway Voiceplus http://www.interway.ch/voiceplus e-fon Bluewin Seite 50 25