Kolloquium der Sicherheitslösungen für VoIP Netzwerke 28.06.2006 Paul-Silberbach-Saal der FH Köln Dipl.- Ing. 2006
Überblick des heutigen Abends Gefahren für VoIP-fähige Netzwerke Ansätze zur Netzwerksicherheit VoIP Protokolle Sicherheit für VoIP Vorstellung einer implementierten Lösung
Gefahren für ein Netzwerk Angriffe auf Protokollbasis DoS und ddos Schadsoftware Viren, Würmer und Trojaner Interne Gefahren offene Systeme Gefahren durch VoIP Anwendungen Abhörbarkeit, ARP-Spoofing, SPIT (unvollständige Beispielliste)
Ansätze zur Netzwerksicherheit Vertrauensbereiche - Kenne deine Feinde Nicht vertauenswürdig Internet und fremde Netzwerke Stark eingeschränkt vertauenswürdig Externe Netzwerke, die bekannt sind Eingeschränkt vertauenswürdig Das eigene Netzwerk Absolut vertauenswürdig Diesen Status besitzt kein Netzwerk
Ansätze zur Netzwerksicherheit Firewalls Firewall Zu schützendes Netz Fremdnetz Paketfilterung Stateful Inspection Application Layer Gateway Protokoll, Ports, Ziel und Quelladresse Flags und Headeroptionen Nutzdaten
Ansätze zur Netzwerksicherheit Demilitarisierte Zonen Zu schützendes Netzwerk Innere Firewall DMZ mit Servern Äussere Firewall Internet DMZ mit Servern Zu schützendes Netzwerk Firewall mit 3 Schnittstellen Internet
Ansätze zur Netzwerksicherheit Intrusion Detection und Intrusion Prevention Systeme Systeme werden unterschieden nach: Misuse Detection (Signatur) und Abnormal Detection ( lernt ) Hostbasiert (HIDS) und Netzbasiert (NIDS) Detection (Alert) und Prevention (Drop) Erkennbare Angriffsarten: DoS und ddos Ungültige Pakete Angriffe auf Applikationsschicht Zugriff auf Daten und Informationsdiebstahl Angriffe durch fragmentierte Pakete Portscans (meist Vorbereitung auf einen Angriff)
Ansätze zur Netzwerksicherheit Security Policy Dieses Dokument beschreibt Festlegungen der Sicherheitspolitik eines Netzwerkes, die für alle Benutzer bindend sind, bezüglich der: Verfügbarkeit (Gewährleistung von Mitteln in akzeptabler Zeit) Vertraulichkeit (Zugang nur für berechtigte Personen) Integrität (physisch und logische Unversehrtheit) Authenzität (Echtheit des Benutzers) Verbindlichkeit (Nachweisbarkeit von Abwicklungen)
Ansätze zur Netzwerksicherheit Sicherheit für VoIP Obwohl VoIP erst seit kurzem Massentauglich ist, sind Ansätze vorhanden Verschiedene Verschlüsselungsverfahren Probleme durch uneinheitliche Handhabung VOIPSA bemüht sich um Normierung
VoIP Protokolle - IAX, H.323 und Skype IAX (InterAsterisk exchange) UDP Traffic (auch für mehrere Gespräche gleichzeitig) auf einem einzigen Port Signalisierung und Sprachdaten in einem Protokoll Nur Voiceanwendungen Binäres Protokoll Skype Skypeeigenes Protokoll über Port 80 Nur kompatibel zu anderen Skypeanwendern H.323 Beinhaltet eine Vielzahl anderer Protokolle (Authentifizierung Steuerung...) Dient der Signalisierung Sprachdaten RTP Multimedia Unterstützung Binäres Protokoll
VoIP Protokolle SIP und RTP SIP (Session Initiation Protocol) UDP Traffic auf Port 5060-5062 Dient der Lokalisierung der Kontaktaufnahme und der Aushandlung der Ports Besitzt SDP (Session Description Protocol) Header, in dem Steuerdaten enthalten sein können RTP (Real Time Protocol) UDP Traffic auf Port 1024-65535 Dient dem reinen Nutzdatentransport Problematisch für Firewalls, da nicht als RTP-Verkehr erkennbar
Ablauf eines SIP/RTP Gespräches Teilnehmer A SIP-Server Teilnehmer B INVITE INVITE t x TRYING RINGING RINGING OK OK ACK ACK RTP-Geprächsdatenaustausch BYE OK BYE OK
Abhörsicherheit VoIP ist unverschlüsselt leicht abhörbar sobald über einen Knoten verfügt werden kann (RTPDump, RTPplay) Verschlüsselungen: SRTP (Secure Real Time Protocol) TLS (Transport Layer Security) IPsec (administrativer hoher Aufwand) Problem bei allen Verschlüsselungen Beide Seiten müssen das Protokoll unterstützen
Vorstellung einer an der FH - Köln implementierten Sicherheitslösung Was war hierbei wichtig? Schutz des Experimentiernetzwerkes Beachtung der speziellen Anforderungen für SIP Anwendungen im Experimentiernetz (QoS Messungen) Linux basiert Datenverkehr soll auf seine Unbedenklichkeit hin untersucht werden Vereinfachte Wartung Genaue Dokumentation als Handbuch
Umsetzung Festlegung der Position und Vertrauensbereiche Internet DN-Netz Sicherheitsmechanismus NT-Netz FH-Netz
Umsetzung Auswahl der Software Debian Sarge 3.1 Open Source Linux Betriebssystem Komfortables Paket Mangement System Iptables Paketfilter per Kommandozeile Zusatzoptionen durch Module Unterstützt Queue Snort-Inline Netzbasiertes IPS aus Snort Nimmt Pakete aus der Queue und inspiziert diese Erkennt zusammenhänge durch Reassemblierung ClamAV Von der Kommandozeile scannen möglich Umfangreiche Virensignaturdatenbank
Umsetzung Auswahl der Software MySQL Relationale Datenbank Erhält Loggs von Snort-Inline BASE Basic Analysis and Security Engine Web-Fontend zur Verwaltung der Loggs Apache Webserver In der Lage dynamische Inhalte in verschiedenen Scriptsprachen aus MySQL Datenbanken abzurufen SIP Express Router SIP-Registrar, SIP-Proxy und SIP-Redirect möglich Benutzerverwaltung und Authentifizierung möglich RTPproxy Bindet RTP-Datenströme an sich Kommuniziert mit SER und stimmt Ports ab
Umsetzung Positionierung der Software DN-Netz NT-Netz
Umsetzung Firewall Alles was nicht erlaubt ist, ist verboten Unsichere oder lästige Protokolle Filtern Stateful Inspection merkt sich Zustände und verkürzt die Regeln Komplettes ICMP von innen Von außen nur Ping (ICMP Typ 8 - echo request) Snort-Inline übernimmt Pakete aus der Queue
Umsetzung Firewall (Snort-Inline) Iptables Queue Sniffer Präprozessor stream4 clamav Detection Engine HTTP Inspect Logging Action Regel 1 Ja, dann nächste Regel Trifft die Regel zu? Noch eine Regel da? Nein Ja Nein Dann weiter zum Ziel
Umsetzung VoIP Gepräch ohne RTPproxy VoIP-Phone SIP-Registrar SIP-Proxy DN-Netz DMZ Teilnehmer B SIP-Verkehr RTP-Verkehr x Firewall
Umsetzung VoIP Gepräch mit RTPproxy VoIP-Phone SIP-Registrar SIP/RTP-Proxy DN-Netz DMZ Teilnehmer B SIP-Verkehr RTP-Verkehr Firewall
Fazit 192.168.1.18 192.168.2.98 192.168.1.22 192.168.1.142 Firewall < 100-200 μs > holleaussen holleinnen holleaussen@ 192.168.2.98 'ð holleinnen@ 192.168.1.22 P holleinnen@ 192.168.1.22 'ð holleaussen@ 192.168.2.98 P holleaussen@ 192.168.1.22 'ð holleinnen@ 192.168.1.22 P holleinnen@ 192.168.1.22 'ð holleaussen@ 192.168.1.22 P
Der Kniff der kommerziellen Lösungen Kommerzielle Lösungen RTP Verkehr ist UDP Verkehr ohne vorhergehenden SIP/SDP Verkehr ist RTP nur als UDP erkennbar Ethereal inspiziert den SDP Anteil der SIP-Pakete und kann daher die später eintreffenden UDP Pakete als RTP zuordnen Hardware-Firewalls, wie die Cisco Pix nutzen dies ebenso und schalten die entsprechenden UDP Ports dann dynamisch frei Hardware-Firewalls, wie die HP Ingate 1400 verfügen über eigene SIP Proxys und Registrars
Vielen Dank für Ihre Aufmerksamkeit Weitere SIP relevante Informationen und diese Folien als Download unter: