31 май 2016, 18:00 UC². Встреча №14. "Безопасность и совместимость при подключении SfB/Lync к операторам связи" Виктор Овчинников (AudioCodes)

1. Май 2016
Виктор
Овчинников

2. 10 лет с Microsoft – это не срок
Полный портфель продуктов и сервисов для построения эффективного
решения на базе Microsoft Skype For Business

3. AudioCodes Mediant 800 CCE (Cloud Connector Edition)
SfBOnlineInfrastructure
JohnSfBOnline
userin Internet
SipTraffic
MediaTraffic
Mediation Edge
Domain
Controller
Storage
CloudConnector
Domain
Controllerfor
Cloud
Connector
DaveSfB
Onlineuser
ininternal
network
PSTN
PSTNconnection
Mediant800 CCE
Уже доступен для заказа!

4. IP телефоны для Skype For Business
Microsoft раз в какое-то время определяет требования для
телефонов и просит производителей пройти соответствующее
тестирование
 Каждая сертификация имеет имя, типа V3.0, V4.0, V4.5 …
 Каждая спецификация имеет обязательные и расширенные требования
 Телефоны AudioCodes на данный момент сертифицированы на V3.0
 AudioCodes в процессе сертификации V4.5, которая добавляет множество функций

5. Сертификация V4.5
Список требований Microsoft для сертификации V4.5
 Прямая работа с Cloud PBX
 Интеграция с Exchange
- Доступ к календарю
- Отображение голосовой почты
 Управление конференцией Skype For Business с телефона
 Блокировка телефона
 QoE Reporting для on-prime и Cloud инфраструктуры
 Сертификация BToE, включая BToE Direct pairing
 Поддержка кодека SILK (Не обязательно)

6. Версия телефонов 3.0.0 для Skype For Business
Новый функционал на IP телефонах AudioCodes
 Работа с Cloud PBX
 Доступ к календарю
- Просмотр календаря прямо с экрана телефона
- Быстрый доступ к конференции Skуpe For Business из меню телефона
 Блокировка телефона
 QoE Reporting для on-prime и Cloud инфраструктуры
 BToE Direct Pairing – не требуется вводить код для
подключения телефона к SfB клиенту
 Поддержка кодека SILK

7. Ближайшие планы по функция IP телефонов
 Версия 3.0.0 уже доступна для тестирования и проходит сертификацию в Microsoft.
Официальный выход - июнь
 До конца июля
- Настройка быстрых контактов через группу «Избранные»
- Видео через BToE
- Сертификация IP телефона 450HD
 2H 2016
- Common Area Phone with Hot-desking
- Синхронизация истории вызовов с Exchange сервером
- Управление через публичный Интернет
 До конца 2016 года ожидается устройство для
переговорных комнат (speakerphone)

8. 450HD статус и планы
15 июня июнь Июль СентябрьАвгуст
Первые демо
экземпляры
Финальный
релиз
аппаратной
версии
Официальный выход
PN Description
UC450HDEG SfB 450HD IP-Phone PoE GbE Black
UC450HDEPSG SfB 450HD IP-Phone PoE GbE Black
with external power supply
Консоль
расширения
Сертификация
SfB
Сбор отзывов

9. 405HDG статус и планы
15 июля Июль Август
Демо
Самый бюджетный телефон с Gigabit Ethernet для Skype For Business
Наличие USB порта для подключения гарнитуры
Уже доступен для демо в конфигурации Fast Ethernet (с ограниченным функционалом)
Сертификация SfB Доступен для заказа
PN Description
UC405HDEG SfB 405HD IP-Phone PoE GbE Black
UC405HDEPSG SfB 405HD IP-Phone PoE GbE Black
with external power supply

10. New 450HD – Лучшее, что было сделано для Microsoft Skype For Business
• High End 5 дюймовый сенсорный экран
• Единый поставщик дисплеев, что и у
компании Apple
• Поддержка до 3 консолей расширения
• Встроенный Bluetooth
• Основной экран:
• 5” TFT 800xRGBx480
• Панель расширения:
• 5” TFT 480xRGBx854
• Разрешения экрана в 2 раза выше, чем у
существующей топовой модели
ближайшего конкурента
• Доступен для заказа с сентября 2016

11. Портфолио IP телефонов AudioCodes для SfB
Стоимость
Уровень
405 IP
Phone
420HD IP Phone
430HD
450HD
Entr
y
Mi
d
Hig
h
440HD
AudioCodes Proprietary & Confidential, do not copy, duplicate or distribute

12. Новинка: IP Phone Manager Windows Edition
 Простое решение для управление телефонами
 Отдельное решение по управлению IP телефонами AudioCodes
 Не является частью EMS или CloudBond 365
 Устанавливается Windows 2012 R2
 Может устанавливаться на виртуальную инфраструктуру
 Бесплатное решение (до 500 телефонов)
 Не требует лицензий
 Не требуется никакого заказа для установки
 Нет требований к минимальному заказу телефонов
 Скачивается на прямую с сайта AudioCodesn
– Доступно на этой неделе
 Поддержка опциональна (платная)

13. Новинка: IP Phone Manager Windows Edition

14. Сравнение бесплатной и коммерческой версии
AudioCodes Proprietary & Confidential, do not copy, duplicate or distribute

15. AudioCodes Mediant SBC/GW 7.2 – меняемся для вас
Настройка SBC теперь превратилась в рисование картинок

16. Защита в инфраструктуре Microsoft Skype For Busines
Проверка
сообщение по
SIP заголовкам.
Пример:,
request URI,
from, P-A-I b и
т.д.
Фильтр SIP
сообщений по
множеству
параметров SIP
пакетов: размер,
политики
Фильтрация SIP
сообщений по
принадлежности к
SIP диалогу
Проверка TCP
инициализации,
TLS
аутентификация
Проверка по IP
адресу и порту с
возможностью
блокировки и
ограничения
полосы
пропускания

17. Атака из вне (совсем из вне)
 Атака из вне (совсем из вне) с целью слития трафика (звонки в Гонолулу).
 Попытка найти дыру через любой VoIP внешний вход.
 Далее генерация большого количества вызовов на Гонолулу и другие «популярные»
направления.
 Как работает
 Генератор, который проверяет SIP порт/порты
 После любого ответа от SIP сервера, злоумышленник запускает скрипт, который проверяет
различные изъяны в системе
 Параллельно этому проверяют другие порты, на предмет открытых сервисов.
 Во время проверки, возможна DoS атака, но более грамотные делают это не часто, чтобы не
увидели.
 Возможны варианты подбора пароля оператора связи, для подключения на прямую к оператору
для «слива» трафика.

18. Атака через входящие вызовы с целью «слития» трафика
 Атака через входящие вызовы
 Если есть возможность найти дырку в системе при входящем вызове и его переадресацию на
внешний вызов.
 Как работает
 Возможность при звонке из вне настроить переадресацию
 При звонке на этот номер, срабатывает переадресация на требуемый номер
 Если есть сервис делать межгород/международние вызовы с мобильного через донабор, то это
потенциальная «дыра».

19. Целенаправленная атака
 DoS атака
 Попытка положить сервис (редко)
 Попытка взлома, для генерации вызова от лица х
 Прослушка
 Как работает
 Целенаправленно ломятся на определенные адреса
 В случае прослушки, просто стараются найти месте, где можно собрать весь трафик
(единственный способ этого избежать – использовать TLS, который в РФ не предоставляется)
 Параллельно этому проверяют другие порты, на предмет открытых сервисов.

20. Основные принципы защиты в VoIP сетях
 Цель IP АТС обеспечить функционалом пользователей, а не обеспечение защиты
 У многих АТС по умолчанию включены транзитные вызовы, что является большой «дырой» в
безопасности, хотя и является дополнительной функцией АТС.
 Skype For Business в дефолтной настройке позволяет делать транзитные вызовы. Обязательно
это надо проверять и закрыть транки соответствующей политикой, если не предусмотрено
иного.
 IP АТС почти всегда расположена в одной подсети и редко имею отдельные роли с отдельными
серверами для подключения из вне.
 Для подключения внешних абонентов и по SIP требуется выносить IP АТС во внешнюю сеть.
 Skype For Business имеет роль Edge, для федеративных подключений и подключений
пользователей из вне.
 Front End не обеспечивает никакой защиты!!!

21. Настройка безопасности AudioCodes SBC
 Разделение WAN/LAN/OAMP интерфейсов
 LAN – смотрит на IP АТС/Skype For Business
 WAN – смотрит на оператора связи
 OAMP – интерфейс управления лучше выносить в отдельную подсеть
 Старайтесь не использовать стандартные порты (UDP/TCP: 5060, TLS: 5061)
 Большинство проверок доступности SIP осуществляется по порту 5060
 Используете встроенный Access List
 Настраиваете встроенный Access List с правилом в конце “deny all”
 Используете максимально подробные правила маршрутизации
 Старайтесь избегать символ «*»
 Старайтесь описывать правило максимально конкретно

22. Настройка безопасности AudioCodes SBC
 IDS – оповещение или динамическое закрытие доступа на 3-м уровне при следующих тригерах
 Количество инициализаций сессий в единицу времени превышено
 Количество не корректных сообщений в единицу времени превышено
 Количество не корректных авторизаций на SBC
 Количество не корректно установленных сессий
 Внимательнее требуется настраивать классификацию
 По умолчанию, SBC проверяет валидность оператора только по IP
 Можно настроить по IP+Port+Transport/любом полю SIP
 Максимально скрывайте всю информацию о себе
 Требуется использовать SIP Message Manipulation
 Используете по максимуму Call Admission Control
 Ограничения по количеству одновременных соединений
 Отдельно ограничения на входящие и исходящие направления
 Отдельно ограничения на пользователей и направления

23. Пример вызова от Skype For Business
INVITE sip:+79031506611@sgwmediant01.customer.ru;user=phone SIP/2.0
FROM: <sip:+74991234567@customer.ru;user=phone>;epid=4F895BBC53;tag=3ced1f4fb5
TO: <sip:+79031506611@sgwmediant01.customer.ru;user=phone>
CSEQ: 632994 INVITE
CALL-ID: 7d7c4614-a3fa-4307-b3c1-4680dec1d97c
MAX-FORWARDS: 70
VIA: SIP/2.0/TCP 10.201.90.154:59967;branch=z9hG4bK708e345c
CONTACT: <sip:sgwlyncfe01.customer.ru:5068;transport=Tcp;maddr=10.201.90.154;ms-opaque=0506eea0ef271760>
CONTENT-LENGTH: 548
SUPPORTED: timer
SUPPORTED: 100rel
USER-AGENT: RTCC/5.0.0.0 MediationServer
CONTENT-TYPE: application/sdp
ALLOW: ACK
Session-Expires: 1800
Min-SE: 90
Allow: CANCEL,BYE,INVITE,PRACK,UPDATE
Понятно, какую систему
использует клиент
Понятно, на какую систему
идёт вызов
IP адреса все известны

24. Пример вызова от Skype For Business (как надо изменить)
INVITE sip:+79031506611@IP_или_имя_оператора_связи;user=phone SIP/2.0
FROM: <sip:+74991234567@внешний_IP_адрес_SBC;user=phone>;epid=4F895BBC53;tag=3ced1f4fb5
TO: <sip:+79031506611@IP_или_имя_оператора_связи;user=phone>
CSEQ: 632994 INVITE
CALL-ID: 7d7c4614-a3fa-4307-b3c1-4680dec1d97c
MAX-FORWARDS: 70
VIA: SIP/2.0/TCP 10.201.90.154:59967;branch=z9hG4bK708e345c
CONTACT: <sip:внешний_IP_адрес_SBC:5068;transport=Tcp;maddr=10.201.90.154;ms-opaque=0506eea0ef271760>
CONTENT-LENGTH: 548
SUPPORTED: timer
SUPPORTED: 100rel
USER-AGENT: IamUser
CONTENT-TYPE: application/sdp
ALLOW: ACK
Session-Expires: 1800
Min-SE: 90
Allow: CANCEL,BYE,INVITE,PRACK,UPDATE
Не надо показывать
используемую систему
Внутренних адресов нет, так
же как и названий
Всё лишние лучше удалить

25. Пример классификации входящего сообщения от оператора
INVITE sip:00028842@voice.telphin.com SIP/2.0
Via: SIP/2.0/UDP 87.229.221.61:5095;branch=z9hG4bKac620156269
Max-Forwards: 10
From: <sip:+79031506611@87.229.221.61>;tag=1c588204014
To: <sip:00028842@voice.telphin.com>
Call-ID: 14762308623112015174434@87.229.221.61
CSeq: 1 INVITE
Contact: <sip:+79031506611@87.229.221.61:5095;ob>
Supported: ice,outbound,timer,replaces
Allow: INVITE,ACK,CANCEL,BYE,UPDATE,MESSAGE,OPTIONS,REFER
Session-Expires: 90
User-Agent: Telphin SoftSwitch
Content-Type: application/sdp
Content-Length: 423 Оператор как правило использует
настроенное поле User-Agent
Номера в Request-URI и To могут
быть только ваши
Проверка может быть по домену
Можно использовать любое уникальное
поле

26. Переадресованный вызов

27. Пример исходящего SIP сообщения (History-Info)
INVITE sip:323@itsp.com SIP/2.0
Via: SIP/2.0/UDP 87.229.221.61:5095;branch=z9hG4bKac620156269
Max-Forwards: 10
From: <sip:321@Customer>;tag=1c588204014
To: <sip:323@itsp.com>
Call-ID: 14762308623112015174434CSeq: 1 INVITE
History-Info: <sip:322@customer?reason=uncondition>;index=1
Contact: <sip:+79031506611@87.229.221.61:5095;ob>
Allow: INVITE,ACK,CANCEL,BYE,UPDATE,MESSAGE,OPTIONS,REFER
Session-Expires: 90
Content-Type: application/sdp
Content-Length: 423
Если не использовать поле History-info или Diversion, то мы не знаем реально откуда
пришел вызов. Если его использовать, то есть возможность сделать дополнительный
контроль!

28. Май 2016
Виктор
Овчинников
Спасибо!
victor.ovchinnikov@audiocodes.com