Bezpečně nebezpečná IP telefonie (VoIP)

57 %
43 %
Information about Bezpečně nebezpečná IP telefonie (VoIP)
Product-Training-Manuals

Published on August 3, 2009

Author: IPEX

Source: authorstream.com

Slide 3: VoIP - Voice Over Internet Protocol - hlasová komunikace skrz datové sítě s přepínáním paketů A/D převodník Komprese dat RTP paket Terminál účastníka A (telefon nebo PC) VoIP klienti : VoIP klienti Hard Phone Soft Phone Analog Telephone Adaptor (ATA) Slide 5: Zabezpečení VoIP Dnes většinu uživatelů i operátorů zajímají náklady funkčnost spolehlivost VoIP operátoři se předhánějí se v ceně, tarifikaci, nabízejí telefony zdarma, … o rizicích VoIP telefonie, ale i možnostech zabezpečení se mlčí všechny tyto příznaky jsou charakteristické pro mladou technologii s rostoucím rozšiřováním VoIP, bude problematika zabezpečení nabývat na významu Slide 6: 6 Slide 7: Integrita Schopnost systému detekovat libovolnou modifikaci přenášené informace. K zajištění integrity se používají hashovací funkce (MD-5, SHA-1). Nepopiratelnost Subjekt nemůže důvěryhodně popřít své minulé požadavky nebo činy Důležité pro účtování služeb. Slide 8: Signalizační protokol vytváří, udržuje a ruší relace mezi účastníky realizace konferenčních hovorů komunikace s proxy servery autentizace účastníků SIP, H.323, IAX2, MGCP, SCCP Transportní protokol přenáší vlastní užitečná data (hlas) RTP/RTPCP Slide 10: 10 Slide 11: Replay útoky záznam VoIP komunikace a její pozdější přehrávání SPAM over IP telephony - SPIT zatím málo rozšířený obtížnější realizace (než emailový SPAM) obtížná obrana (nelze používat metody pro boj se SPAMem v e-mailech, protože VoIP je komunikace se odehrává reálném čase) Phishing over IP telephony – PHIT analogie „výherních“ dopisů získávání citlivých informací - social engineering Slide 12: Odposlouchávání neautorizované monitorování hlasových paketůnebo RTP streamů, dekódování signalizace dnes poměrně jednoduché řada volně dostupných nástrojů VoIPong VOMIT OREKA Rtpbreak Wireshark stejný princip zachycení IP paketů obsahujících hovor rekonstrukce RTP relace úprava hovoru do formátu, který může být přehrán v počítači Slide 13: 13 Slide 14: DoS a DDoS útoky dnes pouze vzácně typický cíl útoku SIP proxy Sestavování spojení generování velkého množství zpráv INVITE (zahlcení proxy serveru); prozvánění všech IP telefonů ve firmě… v klasické telefonní síti se tento typ útoků takřka nevyskytuje; v počítačových sítích lze relativně snadno způsobit přetížení vybraných spojů. obrana – limity pro zpracovávání INVITE zpráv, autentizace uživatelů před posláním INVITE Slide 15: Rušení spojení útočník může rušit spojení posíláním zpráv BYE s padělanou adresou obrana – akceptovat zprávy pouze z autorizovaných zdrojů Viry a trójské koně pro VoIP SW a HW VoIP telefony představují cíle samy o sobě SW část telefonu může být cílem naprosto stejných útoků jako stolní počítač Důsledek : nefunkčnost telefonu nové “funkce“ – např. zaznamenávání hovorů nebo jeho přesměrování k útočníkovi Slide 16: 16 Slide 17: Zabezpečení VoIP sítě Doporučované kroky při zabezpečení lokální sítě s ohledem na zabezpečení hlasových služeb: Řízení přístupu k síťovému médiu na úrovni portů. Oddělení hlasových a nehlasových služeb. Zabezpečení signalizačních spojení. Zabezpečení RTP spojení. Slide 18: Pro zajištění bezpečnosti na úrovni portů lze využít doporučení IEEE 802.1x Základem architektury jsou tři vzájemně komunikující entity: suplikant autentizátor autentizační server Lze provozovat jak v metalických i bezdrátových LAN Slide 19: 19 Slide 20: Oddělení hlasového a datového provozu IEEE 802.1q - VLAN (Virtual LAN) hlasové VLAN se označují VVLAN (Voice VLAN). řada výrobců doporučuje zcela oddělit VoIP provoz od datových přenosů umístěním VoIP zařízení do speciálních hlasových VLAN (VVLAN - Voice VLAN). Výhody: zvýšení bezpečnosti zjednodušení konfigurace Nevýhody lze obejít (VLAN hopping) Společné zabezpečení : Společné zabezpečení Otázku zabezpečení lze rozdělit na dvě části: zabezpečení signalizačního kanálu zabezpečení vlastního hovoru před sestavením spojení je nutné vybudovat zabezpečený šifrovaný kanál použitelná technologie – IPsec Varianta č.1 – společné zabezpečení Slide 22: 22 Oddělené zabezpečení : Oddělené zabezpečení oddělené zabezpečení signalizačního a datového kanálu nevýhoda: nutnost existence více technologií složitější konfigurace Varianta č.2 – oddělené zabezpečení Zabezpečení signalizace : Rozšířená HTTP autentizace (HTTP digest) zdokonalená verze základní HTTP autentizace funguje na principu výzva-odpověď heslo se nepřenáší v  otevřeném tvaru využívá hashovací funkci MD-5 náchylné na slovníkový útok není zajištěno utajení ani integrita vyměňovaných zpráv Zabezpečení signalizace Zabezpečení signalizace : Rozšířená HTTP autentizace (HTTP digest) Zabezpečení signalizace Slide 26: 26 Zabezpečení signalizace : Zabezpečení signalizace SIPS Slide 28: S/MIME (Secure – Multi-Purpose Internet Message Extension) RFC 2311, 2312 MIME definuje formát zpráv pro výměnu mezi poštovními servery těla MIME zpráv mohou obsahovat i video a zvuk S/MIME definuje zabezpečení těchto informací S/MIME je standard obsahující nástroje pro kontrolu integrity a šifrování přenášených dat. S/MIME zprávy obsahují MIME tělo, které je šifrováno symetricky, a dále symetrický klíc k jejímu dešifrování. Autentizace uživatelů probíhá pomocí certifikátů X.509 S/MIME realizuje end-to-end zabezpečení vhodné pro SDP, protože SIP proxy do nich „nevidí“ Zabezpečení signalizace Slide 29: 29 Slide 30: Zabezpečení signalizace SIPS + S/MIME Slide 31: Zabezpečení RTP hlasové streamy se přenášejí pomocí protokolu RTP RTP jako transportní protokol používá UDP audio a video přenosy jsou velmi citlivé na zpoždění (delay) a kolísání zpoždění (jitter) žádná metoda, kterou se zabezpečují data nesmí významně ovlivňovat tyto parametry Mezi protokoly, které vyhovují tomuto zadání patří: IPsec SRTP DTLS ZRTP Slide 32: IPsec nevýhody: velká režie IPsecu (37B na RTP paket při šifrování pomocí 3DES a 53B na RTP paket v případě použití algoritmu AES-128) špatná schopnost průchodu IPsec paketů skrz NAT zpoždění při sestavování tunelu SRTP – Secure RTP - rozšíření protokolu RTP - zajišťuje: utajení integritu (HMAC-SHA-1, RFC 2104) ochranu proti replay útokům (čítač paketů) používá AES v režimu CTR nebo f8 v režimu 8b-OFB šifrování nemění velikost paketu autentizační hlavička zvětší paket o 10B nedefinuje způsob výměny klíčů ( SDES, MIKEY, EKT, PSK…) Slide 33: 33 Slide 34: ZRTP – Zimmermann RTP protokol pro výměnu klíčů použitých k šifrování spojení realizovaného pomocí klasického SRTP používá Diffie-Hellmanův algoritmus pro výměnu klíčů výměna klíčů probíhá přímo v datovém kanále jedním z autorů je Phill Zimmermann od 5. března 2006 posuzován jako draft IETF v současné době již existuje 10. verze (z 25.10.2008) http://tools.ietf.org/html/draft-zimmermann-avt-zrtp-10 hlavní výhoda: k sestavení zabezpečeného spojení nepotřebuje PKI nebo PSK (Preshared Key) Slide 35: ZRTP ZRTP : ZRTP implementuje 3 různé ochrany proti MiTM útokům: 1) SAS (Short Authencication String) mechanismus výpočet hashe dvou Diffie-Hellmanových hodnot každá strana si spočítá hodnotu SAS na své straně komunikačního řetězce. hovorovým kanálem si sdělí vypočtenou hodnotu SAS pokud jsou stejné, pak s velkou pravděpodobností není kanál předmětem útoku… Pro SAS délky 32 bitů je pravděpodobnost odhalení více než 99,9999999997% V posledních verzích se místo náhodně vygenerovaných znaků používají smysluplná slova ze slovníku ZRTP Slide 37: 37 Slide 38: Praktické implementace ZRTP Zfone - http://zfoneproject.com/ MacOS X(10.4 a novější), Linux, Windows (XP, Vista - 32 i 64 bitů) nejedná se o samostatného VoIP klienta dodatečné zabezpečení existujícím SW klientům spolupracuje se SIP klienty: X-Lite Gizmo (pouze audio) Sjphone Google Talk Apple iChat (audio i video) Yahoo Messenger's VoIP client (pouze audio) Magic Jack XMeeting poslední verze ze 4.9.2008 vychází z IETF draftu č.8 Slide 39: 39 Zařízení s podporu zabezpečení : Zařízení s podporu zabezpečení SW telefony velký výběr programů podpora SIPS, SRTP, ZRTP HW telefony výrazné zlepšení za poslední dva roky SIPS, SRTP Snom, Grandstream, Linksys, Polycon… PBX Asterisk – existují patche na SRTP, ZRTP komerční řešení – IPsec, SRTP, 802.1x ,proprietární řešení – velmi drahé, v některých případech není záměrně nabízeno 40 Slide 41: Bezpečnost se může stát konkurenční výhodou IP telefonie. IP telefonie dokáže zajistit bezpečnost na výrazně vyšší úrovni než klasická telefonie. Technické prostředky jsou standardizované a k dispozici. Pouze se zatím se nepoužívají…

Add a comment

Related presentations

Related pages

IP-basierter Anschluss - LTE, DSL, VDSL, DSL Tarife ...

Welche Einstellungen sind für die IP-Telefonie mit anderen Clients ... Wie lassen sich Leistungsmerkmale am IP-basierten Anschluss mit den Telefontasten ...
Read more

Festnetz zu VoIP: Was man zum Wechsel wissen muss ...

... dass ein neuer Vertrag nur mit VoIP möglich sei, ... ergänzt Katja Henschler. Mit dem Ausbau der IP-Telefonie werde sich das aber einspielen.
Read more

Können bereits vorhandene Router, Telefone und ISDN ...

... oder Geräten anderer Hersteller kann die Telekom die einwandfreie Funktion des IP-basierten ... VoIP. nein ISDN Adapter ... Entry S ein ISDN Telefon ...
Read more

Amazon.de: VOIP Telefone: Elektronik & Foto

Gigaset N510 IP Pro VOIP Telefon. von Gigaset. EUR 82,00 Prime. Lieferung bis Donnerstag, 17. März. Andere Angebote. EUR 77,99 neu (29 Angebote)
Read more

Telefonie für zu Hause, - sipgate - Mobilfunk und VoIP ...

... unterwegs und das Büro. sipgate bietet kostenlose VoIP-Telefonanschlüsse und Handyverträge für ... Telefonie für zu Hause, unterwegs ...
Read more

IP-Telefonie – Wikipedia

IP-Telefonie (kurz für Internet-Protokoll-Telefonie), ... Thor Alexander: Internet-Telefonie, VoIP für Alle! Hanser, 2005, ISBN 3-446-40456-2.
Read more

Telekom hält trotz VoIP-Ausfällen eisern an Umstellung ...

Die Störungen im Telekom-VoIP-Netz wecken bei vielen Nutzern Zweifel am ... sind die wiederholten Einschränkungen in der IP-Telefonie in den letzten ...
Read more

VoIP Telefone liefern die VoiP-Spezialisten von telefon.de ...

VoIP Telefon VoIP Telefone sind in der Lage sich einer Breitband-Internetleitung zu ... Vorteile VoIP Kommunikation Voice over IP-Telefonie wird immer ...
Read more

Die Technik von Voice over IP - teltarif.de Ratgeber

Der Begriff "IP-Telefonie" wird ... für eine Cloud & Businesssolution von toplink und wollte mir dazu direkt VoIP-Telefonie einrichten ...
Read more

IP-Telefonie – Wikibooks, Sammlung freier Lehr-, Sach ...

... (auch Internet-Telefonie oder Voice over IP (kurz VoIP)), ist das Telefonieren über ein Computernetzwerk auf der Grundlage des Internetprotokolls, ...
Read more