Ruy C Pq D Cbc 1 2007 10 29

1,779 views

Published on

0 Comments
3 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,779
On SlideShare
0
From Embeds
0
Number of Embeds
102
Actions
Shares
0
Downloads
0
Comments
0
Likes
3
Embeds 0
No embeds

No notes for slide

Ruy C Pq D Cbc 1 2007 10 29

  1. 1. Segurança em Voz sobre IP Conceitos e Fundamentos CBC-1 São Paulo, 29 e 30 de Outubro de 2007 21/05/2007 Ruy Flávio de Oliveira Gerente de Produtos – Segurança da Informação
  2. 2. Objetivos <ul><li>Discutir as questões fundamentais para a segurança das soluções de VoIP </li></ul><ul><ul><li>Entender quais são os motivadores envolvidos na segurança de VoIP </li></ul></ul><ul><ul><li>Entender os principais riscos envolvidos no uso da tecnologia VoIP </li></ul></ul>Qualidade Segurança Serviço de Voz
  3. 3. Roteiro <ul><li>Razões da preocupação com segurança em VoIP </li></ul><ul><ul><li>Breve histórico da fraude telefônica </li></ul></ul><ul><ul><li>Comparação da segurança em PSTN, VoIP e Redes </li></ul></ul><ul><li>Vulnerabilidades e ameaças </li></ul><ul><ul><li>Tipos de ataques e ameaças mais comuns </li></ul></ul><ul><ul><li>Vulnerabilidades em protocolos e em implementações </li></ul></ul>
  4. 4. Roteiro <ul><li>Razões da preocupação com segurança em VoIP </li></ul><ul><ul><li>Breve histórico da fraude telefônica </li></ul></ul><ul><ul><li>Comparação da segurança em PSTN, VoIP e Redes </li></ul></ul><ul><li>Vulnerabilidades e ameaças </li></ul><ul><ul><li>Tipos de ataques e ameaças mais comuns </li></ul></ul><ul><ul><li>Vulnerabilidades em protocolos e em implementações </li></ul></ul>
  5. 5. Razões da preocupação com VoIP FUNCIONALIDADE SEGURANÇA QUALIDADE X X Redução de custos Integração Novos serviços Novas oportunidades Qualidade de voz deve ser pelo menos similar à comunicação PSTN Mas … e a segurança? Segurança para quê?
  6. 6. Notícias sobre Incidentes e Ameaças
  7. 7. Razões da preocupação com VoIP Diversidade dos ataques aumenta a cada ano.
  8. 8. Vulnerabilidades Fonte: CERT.org
  9. 9. Incidentes de Segurança Fonte: CERT.br
  10. 10. Exemplos de ataques e Vulnerabilidades
  11. 11. Razões da preocupação com VoIP <ul><li>Segurança em VoIP – o que é isto? </li></ul><ul><li>Segurança em VoIP – por que isto é necessário? </li></ul><ul><li>Segurança em VoIP – devo mesmo me preocupar com isto? </li></ul>Depende !!! <ul><li>Quais os requisitos de negócios para o uso de VoIP? </li></ul><ul><li>Quais os requisitos de segurança para o uso de VoIP? </li></ul><ul><li>Qual o impacto da indisponibilidade da solução VoIP? </li></ul><ul><li>Qual o impacto da perda de sigilo das comunicações em VoIP? </li></ul><ul><li>Qual o impacto da perda de integridade das comunicações em VoIP? </li></ul><ul><li>Qual o impacto das fraudes no uso de VoIP? </li></ul>
  12. 12. Requisitos de Segurança Disponibilidade Integridade Confidencialidade O que é mais seguro? Um telefone convencional ou um telefone VoIP? Os cuidados com segurança em VoIP devem ser os mesmos que os com telefones convencionais?
  13. 13. Fraude Telefônica Não é Assunto Novo <ul><li>Já havia fraude telefônica na década de 50 nos Estados Unidos </li></ul><ul><li>John T. Draper descobriu que um apito de brinquedo podia emitir tom de 2600 hz </li></ul><ul><li>O tom indicava que o tronco de longa distância estava disponível para rotear uma chamada </li></ul><ul><li>O apito era um brinde na caixa do cereal Cap'n Crunch </li></ul>Fonte: capncrunch.com
  14. 14. Segurança comparada: PSTN vs. VoIP <ul><li>Possibilidades de ataques em PSTN: </li></ul><ul><ul><li>Escuta telefônica clandestina </li></ul></ul><ul><ul><ul><li>Wiretapping </li></ul></ul></ul><ul><ul><ul><li>Exige acesso físico </li></ul></ul></ul><ul><ul><li>Escutas diretamente em companhias telefônicas </li></ul></ul><ul><ul><ul><li>Agências do governo, de acordo com lei e com cooperação das companhias </li></ul></ul></ul><ul><ul><li>Linhas de longa distância internacionais podem ser interceptadas por agências de inteligência </li></ul></ul>
  15. 15. Segurança comparada: PSTN vs. VoIP <ul><li>Possibilidades de ataques em VoIP: </li></ul><ul><ul><li>Escutas telefônicas clandestina </li></ul></ul><ul><ul><ul><li>Não exige acesso físico </li></ul></ul></ul><ul><ul><ul><li>Ferramentas simples de usar </li></ul></ul></ul><ul><ul><ul><li>Conversas podem ser gravadas (MP3) e enviadas ao atacante </li></ul></ul></ul><ul><ul><li>Fraudes de tarifação </li></ul></ul><ul><ul><li>Fraude de privilégio </li></ul></ul><ul><ul><li>Comprometimento da Integridade da chamada </li></ul></ul><ul><ul><li>SPIT </li></ul></ul>
  16. 16. Segurança comparada: PSTN vs. VoIP Viabilidade de ataques em VoIP é maior do que em PSTN Custo de ataques em PSTN é maior do que em VoIP Tendência de proliferação de ataques em VoIP Crime organizado AINDA não vê VoIP como alvo, pois AINDA é pouco usado
  17. 17. Segurança comparada: PSTN vs. VoIP <ul><li>As necessidades de segurança e as características da infra-estrutura que as atendem. </li></ul>Fonte: ACM Queue, Set. 2004
  18. 18. Possíveis Cenários de Ataque em VoIP Cenário 1 Crime organizado atacando sistemas VoIP Cenário 2 Multinacionais ou negócios globalizados com novas ameaças <ul><li>Competição </li></ul><ul><li>HP (2005): proibiu funcionários de discutir negócios via VoIP </li></ul>Cenário 3 Usuários comuns vítima de chantagem devido ao VoIP <ul><li>Interceptação de ligações pessoais </li></ul><ul><li>Gravações em mp3 </li></ul><ul><li>Ameaças de divulgação pública </li></ul>Qualquer um pode ser vítima de ataques via VoIP, seja pessoa física ou jurídica. <ul><li>Lavagem de dinheiro </li></ul><ul><li>Botnets </li></ul><ul><li>P2P Worms </li></ul><ul><li>“ Worm Storm” </li></ul>
  19. 19. Segurança comparada : VoIP vs. Redes <ul><li>Segurança em VoIP é mais complexa que segurança de redes. </li></ul><ul><ul><li>Segurança de redes IP faz parte; </li></ul></ul><ul><ul><li>Complexidade do ambiente aumenta com a integração; </li></ul></ul><ul><ul><li>Protocolos de transporte de mídia; </li></ul></ul><ul><ul><li>Protocolos de sinalização e sua arquitetura; </li></ul></ul><ul><ul><li>Componentes de uma arquitetura VoIP; </li></ul></ul><ul><li>Além de tudo isto . . . </li></ul><ul><ul><li>Protocolos de suporte, como QoS, também possuem seus aspectos de segurança; </li></ul></ul><ul><ul><li>Segurança física; </li></ul></ul><ul><ul><ul><li>Alimentação elétrica </li></ul></ul></ul><ul><ul><li>Interação dos usuários com a rede (inteligência nos aparelhos); </li></ul></ul><ul><ul><li>Requisitos de desempenho e de disponibilidade </li></ul></ul>
  20. 20. Segurança comparada : VoIP vs. Redes <ul><li>Telefonia (VoIP) é mais importante que outras aplicações? </li></ul><ul><li>Requisitos de tempo real em VoIP fazem com que controles de segurança tradicionais em redes de dados não possam ser utilizados diretamente na rede VoIP </li></ul><ul><ul><li>Controles devem ser especializados </li></ul></ul><ul><li>O uso de controles de segurança deve ser bem avaliado </li></ul><ul><ul><li>Firewall que suporta alocação dinâmica de portas das chamadas, </li></ul></ul><ul><ul><li>NAT, </li></ul></ul><ul><ul><li>IPSec, … </li></ul></ul>
  21. 21. Segurança comparada : VoIP vs. Redes <ul><li>Mecanismos de segurança possuem efeitos colaterais </li></ul><ul><ul><li>Delay; </li></ul></ul><ul><ul><li>Latência; </li></ul></ul><ul><ul><li>Jitter. </li></ul></ul><ul><li>Implementação de segurança pode causar a perda de qualidade de serviço. </li></ul><ul><li>Por isto, implementação da segurança depende da análise de risco. </li></ul><ul><ul><li>Deixar de considerar a segurança pode ser pior, caso existam os requisitos de segurança rigorosos. </li></ul></ul>Qualidade Segurança
  22. 22. Razões da preocupação com VoIP <ul><li>Para o SANS Institute a insegurança em redes VoIP é grave e alarmante </li></ul><ul><li>VoIP está na lista dos 20 principais alvos de ataque da Internet em 2006 [3] </li></ul><ul><li>Os ataques a redes VoIP estão entre as 10 tendências em segurança de informações para o ano de 2007 [4] . </li></ul>
  23. 23. Roteiro <ul><li>Razões da preocupação com segurança em VoIP </li></ul><ul><ul><li>Breve histórico da fraude telefônica </li></ul></ul><ul><ul><li>Comparação da segurança em PSTN, VoIP e Redes </li></ul></ul><ul><li>Vulnerabilidades e ameaças </li></ul><ul><ul><li>Tipos de ataques e ameaças mais comuns </li></ul></ul><ul><ul><li>Vulnerabilidades em protocolos e em implementações </li></ul></ul>
  24. 24. O que é segurança? Ausência de Riscos Inaceitáveis
  25. 25. Requisitos de Segurança <ul><li>Integridade </li></ul><ul><ul><li>Garantir a salvaguarda, precisão das informações contra corrupção e falsificação. </li></ul></ul><ul><li>Disponibilidade </li></ul><ul><ul><li>Garantir que as informações estejam disponíveis para quem possui autorização para acessá-las. </li></ul></ul><ul><li>Confidencialidade (Sigilo) </li></ul><ul><ul><li>Garantir que apenas as pessoas autorizadas tenham acesso as informações privilegiadas </li></ul></ul>
  26. 26. Ameaças a segurança das redes VoIP <ul><li>Ameaças à Integridade </li></ul><ul><ul><li>Falsificação do identificador de chamada </li></ul></ul><ul><ul><li>Seqüestro de inscrição </li></ul></ul><ul><ul><li>Redirecionamento de Chamada </li></ul></ul><ul><ul><li>Personificação de proxy </li></ul></ul><ul><li>Ameaças à Disponibilidade </li></ul><ul><ul><li>DoS sobre protocolos de sinalização </li></ul></ul><ul><ul><li>DoS sobre protocolos de fluxo de mídia </li></ul></ul><ul><ul><li>DoS sobre infra-estrutura física </li></ul></ul><ul><li>Ameaças ao Sigilo </li></ul><ul><ul><li>Escuta clandestina de conversas </li></ul></ul><ul><ul><li>Acesso (físico) desautorizado </li></ul></ul>
  27. 27. Ameaças à Confidencialidade <ul><li>Escuta clandestina de conversas telefônicas </li></ul><ul><ul><li>A escuta clandestina na telefonia tradicional exige acesso físico a linha telefônica ou a uma central telefônica. </li></ul></ul><ul><ul><li>Em VoIP, as oportunidades de escuta clandestina estão em todos os equipamentos intermediários localizados no caminho entre as entidades em diálogo. </li></ul></ul><ul><ul><li>Há analisadores de rede e ferramentas de captura de pacotes capazes de converter tráfego VoIP em arquivos de áudio. </li></ul></ul><ul><ul><ul><li>Ethereal [9] e VoMIT [8] são exemplos de tais ferramentas. </li></ul></ul></ul>
  28. 28. Cenário 1 – Escuta Telefônica <ul><li>Funcionário escuta a ligação do diretor executivo feita pela rede VoIP; </li></ul><ul><li>Acesso a dados pessoais; </li></ul><ul><li>Envio de informações sobre negócios para o concorrente; </li></ul><ul><li>Difícil de acontecer? </li></ul>
  29. 29. Cenário 1 – Escuta Telefônica <ul><li>Como a escuta telefônica acontece em VoIP? </li></ul><ul><ul><li>Uso de técnicas comuns do mundo IP: </li></ul></ul><ul><ul><ul><li>Sniffing. </li></ul></ul></ul>Gateway Atacante Sinalização Servidor de Sinalização (SIP Proxy, H.323 Gatekeeper) Gateway Telefone IP Servidor de Sinalização (SIP Proxy, H.323 Gatekeeper) Telefone IP Media Media Sinalização Site A Site B Rede IP Telefone comum
  30. 30. Ameaças à Confidencialidade <ul><li>Acesso desautorizado </li></ul><ul><ul><li>Acesso desautorizado do atacante a rede VoIP pode ser obtido através de portas e serviços não documentados a telefones VoIP. </li></ul></ul><ul><ul><li>Também há falhas de implementação em vários elementos da infra-estrutura VoIP </li></ul></ul><ul><ul><ul><li>Controle de chamada, administração, contabilização e tarifação. </li></ul></ul></ul><ul><ul><li>Armazenamentos nestes sistemas podem conter senhas, identificadores de usuários, números de telefone , além de outra informação pessoal privada. </li></ul></ul><ul><ul><li>Gateways e switches usam senhas defaults amplamente conhecidas. </li></ul></ul><ul><ul><li>Switches podem usar Telnet para acesso remoto . </li></ul></ul><ul><ul><li>Gateways podem oferecer interface HTTP para acesso remoto . </li></ul></ul><ul><ul><li>O ataque de ARP poisoning pode ser usado para redirecionamento e interceptação de tráfego VoIP. </li></ul></ul>
  31. 31. Cenário 2 – Acesso não-autorizado <ul><li>Atacante usa técnica ( ARP redirection ) em uma grande empresa para gravação de todas as conversações; </li></ul><ul><li>Deixa gravando tudo durante uma semana; </li></ul><ul><li>Utiliza um decodificador para acessar detalhes como acesso a bancos, acessar caixas postais, etc. </li></ul>Phone banking Voice Mail
  32. 32. Cenário 3 – Espionagem Industrial <ul><li>Exploração de vulnerabilidades de redes IP </li></ul><ul><ul><li>Uso (contratação) de Crackers; </li></ul></ul><ul><li>Controle de componentes da rede VoIP </li></ul><ul><ul><li>Escuta de reuniões por equipamentos de conferência baseados em VoIP </li></ul></ul><ul><ul><li>Controle de microfones e ligações automáticas </li></ul></ul><ul><ul><li>Uso de equipamentos da rede VoIP como ponte para outras informações da empresa </li></ul></ul><ul><ul><ul><li>Financeiras; </li></ul></ul></ul><ul><ul><ul><li>RH; </li></ul></ul></ul><ul><ul><ul><li>SAP; </li></ul></ul></ul><ul><ul><ul><li>Clientes; </li></ul></ul></ul><ul><ul><ul><li>… </li></ul></ul></ul>
  33. 33. Ameaças à Confidencialidade <ul><li>Contramedidas </li></ul><ul><ul><li>Tradicionalmente, a única tecnologia capaz de oferecer alguma proteção contra a escuta clandestina da conversa telefônica é a criptografia [5] . </li></ul></ul><ul><ul><ul><li>Os protocolos IPSec e TLS pode ser usados para cifrar conversas. </li></ul></ul></ul><ul><ul><ul><li>Para a proteção dos fluxos de áudio e vídeo, o SRTP pode ser usado para garantir confidencialidade, autenticação de mensagem e proteção contra ataques de replay. </li></ul></ul></ul><ul><ul><li>A proteção dos gateways e switches pode ser melhorada com o uso do SSH em vez do TELNET e HTTPS em vez do HTTP. </li></ul></ul><ul><ul><li>Senhas default dos equipamentos devem ser substituídas por senhas consideradas fortes e sistemas de detecção de intrusão devem ser usados para detectar ARP poisoning. </li></ul></ul>
  34. 34. Ameaças à Integridade <ul><li>Falsificação do identificador de chamada </li></ul><ul><ul><ul><li>CallerID Spoofing </li></ul></ul></ul><ul><ul><li>Identificação de chamada é um serviço disponível tanto na rede de telefonia tradicional quanto em telefonia IP. </li></ul></ul><ul><ul><li>A falsificação da identificação de chamada é a modificação do código de identificação do chamador, de acordo com a vontade do próprio chamador. </li></ul></ul><ul><ul><li>Em VoIP, esta falsificação é mais fácil que na telefonia tradicional. </li></ul></ul><ul><ul><li>Por exemplo, em SIP, a falsificação se baseia na mera modificação do campo FROM (com o ID do chamador) de uma mensagem INVITE. </li></ul></ul>
  35. 35. CallerID Spoofing <ul><li>Há relatos de que esta vulnerabilidade pode ser explorada por fraudadores de cartão de crédito para personificar a identidade do proprietário legítimo do cartão, ao autorizar transações financeiras [6] . </li></ul><ul><ul><li>Spammers também podem se aproveitar desta vulnerabilidade [6] </li></ul></ul>INVITE sip:bob@biloxi.com SIP/2.0 Via: SIP/2.0/UDP pc33.atlanta.com;branch=z9hG4bK776asdhds Max-Forwards: 70 To: Bob <sip:bob@biloxi.com> From: Alice <sip:alice@atlanta.com>;tag=1928301774 Call-ID: a84b4c76e66710@pc33.atlanta.com CSeq: 314159 INVITE Contact: <sip:alice@pc33.atlanta.com> Content-Type: application/sdp Content-Length: 142
  36. 36. Ameaças à Integridade <ul><li>Seqüestro de inscrição </li></ul><ul><ul><li>A inscrição ou registro do usuário é o ato de informar ao servidor qual IP está associado a um callerID. </li></ul></ul><ul><ul><li>O seqüestro de inscrição ocorre quanto o atacante substitui o IP da vítima (o usuário legítimo) pelo seu próprio. </li></ul></ul><ul><ul><li>Por exemplo, em SIP, em uma mensagem REGISTER, enviado via UDP, o campo CONTACT contém o IP e a porta na qual o usuário legítimo responderá. </li></ul></ul><ul><ul><li>O atacante, após a interceptação da mensagem REGISTER, poderia substituir o valor do campo CONTACT pelo seu IP/porta. </li></ul></ul><ul><ul><li>Um ataque de DoS pode ser aplicado sobre vítima a fim de desabilitá-la e impedí-la de registar-se novamente. </li></ul></ul><ul><ul><li>Outra estratégia usada pelo atacante é enviar requisições de registro falsas a uma freqüência maior que a do usuário legítimo. </li></ul></ul>
  37. 37. Ameaças à Integridade <ul><li>Personificação de proxy </li></ul><ul><ul><li>Este ataque é caracterizado pelo estabelecimento de um proxy falso, configurado pelo atacante, no qual o usuário VoIP se conectará erroneamente, pensando estar se comunicando com o proxy verdadeiro. </li></ul></ul><ul><ul><li>Este ataque é facilitado pelas seguintes vulnerabilidades e ataques </li></ul></ul><ul><ul><ul><li>comunicação UDP em claro entre proxies, </li></ul></ul></ul><ul><ul><ul><li>falta de autenticação forte entre elementos da rede, </li></ul></ul></ul><ul><ul><ul><li>DNS spoofing, </li></ul></ul></ul><ul><ul><ul><li>ARP cache spoofing, </li></ul></ul></ul><ul><ul><ul><li>DHCP spoofing, </li></ul></ul></ul><ul><ul><ul><li>ou ainda pela mudança do endereço do proxy em um telefone SIP. </li></ul></ul></ul>
  38. 38. Personificação de Proxy Fonte: [SANS_VoIP]
  39. 39. Ameaças à Integridade <ul><li>Redirecionamento de Chamada </li></ul><ul><ul><li>O redirecionamento de chamada é caracterizado pela interceptação e reroteamento da conversa telefônica (a chamada) por um caminho diferente do original, antes dela alcançar o destino. </li></ul></ul><ul><ul><li>Os métodos de concretização desta ameaça podem ser a personificação de proxy e a falsificação da inscrição. </li></ul></ul><ul><ul><li>Se o atacante, redireciona e intercepta não somente a informação da chamada, nas também a informação de retorno, diz-se que o ataque é o homem-do-meio. </li></ul></ul>
  40. 40. Redirecionamento de Chamada
  41. 41. Cenário 4 – Ligações Gratuitas <ul><li>Fraude financeira pela exploração de várias vulnerabilidades </li></ul><ul><ul><li>Uso de informações do protocolo de sinalização; </li></ul></ul><ul><ul><li>Caller ID Spoofing; </li></ul></ul><ul><ul><li>Call forwarding; </li></ul></ul><ul><ul><li>Desvio do SIP Proxy; </li></ul></ul><ul><ul><li>SIP Proxy falso. </li></ul></ul>
  42. 42. Cenário 5 – Inserção de Dados <ul><li>Falsificação de conteúdo pela exploração de outras vulnerabilidades </li></ul><ul><ul><li>Sequestro de ligações; </li></ul></ul><ul><ul><li>Injeção de tráfego. </li></ul></ul><ul><li>Edição de áudio e/ou síntese de voz com finalidade maliciosa. </li></ul><ul><li>INVITE sip: [email_address] SIP/2.0 </li></ul><ul><li>Via: SIP/2.0/UDP here.com:5060 </li></ul><ul><li>From : BigGuy < sip:UserA@here.com > </li></ul><ul><li>To : LittleGuy < sip:UserB@there.com > </li></ul><ul><li>Call-ID: 12345601@here.com </li></ul><ul><li>CSeq: 1 INVITE </li></ul><ul><li>Contact : < sip:UserA@100.101.102.103 > </li></ul><ul><li>Content-Type: application/sdp </li></ul><ul><li>Content-Length: 147 </li></ul><ul><li>v=0 </li></ul><ul><li>o=UserA 2890844526 2890844526 IN IP4 here.com </li></ul><ul><li>s=Session SDP </li></ul><ul><li>c=IN IP4 100.101.102.103 </li></ul><ul><li>t=0 0 </li></ul><ul><li>m=audio 49172 RTP/AVP 0 </li></ul><ul><li>a=rtpmap:0 PCMU/8000 </li></ul>
  43. 43. Ameaças à Integridade <ul><li>Contramedidas </li></ul><ul><ul><li>Uma vez que a mensagem REGISTER não possui garantia de autenticidade e nem de integridade, não há meios diretos de prevenção contra a falsificação do ID de chamada. </li></ul></ul><ul><ul><li>Autenticação forte pode evitar o seqüestro de inscrição, a personificação de proxy e o seqüestro de chamada. </li></ul></ul><ul><ul><li>Recomenda-se que os sistemas estejam atualizados com correções para as vulnerabilidades conhecidas e que ferramentas de varredura de vulnerabilidades em VoIP sejam usadas regularmente. </li></ul></ul>
  44. 44. Ameaças à Disponibilidade <ul><li>DoS sobre Protocolos de sinalização em VoIP </li></ul><ul><ul><li>Atacantes podem usar os protocolos de sinalização (como SIP ou H.323) na condução de um DoS sobre rede VoIP, ou algum elemento de rede em particular. </li></ul></ul><ul><ul><li>O atacante envia um número grande de requisições de comunicação que consomem o poder de processamento de um proxy ou de um terminal (VoIP fone ou softfone). </li></ul></ul><ul><ul><li>O atacante envia sinalização de cancelamento, ou de encerramento ou de porta inatingível para o telefone IP da vítima; o que impossibilita o completamento de chamadas. </li></ul></ul>
  45. 45. DoS com Inundação de INVITE <ul><li>O atacante envia várias (uma inundação de) mensagens INVITE para a vítima. </li></ul><ul><li>O callerID do atacante é falso. </li></ul>Invite Invites Alice Atacante Bob
  46. 46. DoS com Cancelamento de Chamada <ul><li>A conexão é descoberta em uma etapa de varredura e coleta de dados. </li></ul><ul><li>O callerID do atacante é falso. </li></ul><ul><li>A mensagem de CANCEL pode impedir o estabelecimento da chamada. </li></ul>Atacante Invite Cancel Alice Bob
  47. 47. DoS com Encerramento de Chamada <ul><li>A conexão é descoberta em uma etapa de varredura e coleta de dados. </li></ul><ul><li>O callerID do atacante é falso. </li></ul><ul><li>A mensagem de GOODBYE interrompe conexões estabelecidas. </li></ul>Atacante Invite Goodbye Alice Bob
  48. 48. Ameaças à Disponibilidade <ul><li>DoS sobre protocolos de fluxo de dados em VoIP </li></ul><ul><ul><li>Atacantes podem inundar gateways, telefones IP e outros equipamentos de processamento de mídia com uma enxurrada de pacotes RTP. </li></ul></ul><ul><ul><li>Quando o alvo é forçado a descartar pacotes, há degradação da qualidade de voz/vídeo. </li></ul></ul><ul><ul><li>Além disso, vulnerabilidades comuns no tratamento de datagramas UDP (a base do RTP) podem ser usadas para indisponibilizar os equipamentos que processam mídia. </li></ul></ul>
  49. 49. DoS com Inundação de Pacote RTP Alice Atacante Conversa RTP Bob RTP
  50. 50. Ameaças à Disponibilidade <ul><li>DoS sobre Infra-estrutura Física de VoIP </li></ul><ul><ul><li>Estes ataques incluem interrupções no fornecimento de energia e dano físico aos componentes de rede. </li></ul></ul><ul><ul><li>Geralmente exigem acesso físico às instalações. </li></ul></ul>
  51. 51. Segurança em VoIP - Disponibilidade <ul><li>Disponibilidade de PSTN é de 99,999%. </li></ul><ul><li>O mesmo nível de disponibilidade é exigido da infra-estrutura VoIP? </li></ul><ul><li>Disponibilidade com qualidade é importante! </li></ul><ul><ul><li>Ninguém investe em algo pensando em não poder usar o serviço! </li></ul></ul><ul><ul><li>Qual o nível de disponbilidade requerido pela organização? </li></ul></ul><ul><ul><li>Qual o nível de qualidade requerido pela organização? </li></ul></ul><ul><li>Quais os riscos envolvidos ? </li></ul><ul><ul><li>Os mecanismos de segurança adequados contra os riscos identificados e analisados </li></ul></ul><ul><ul><li>Sem eletricidade não há serviço de VoIP </li></ul></ul><ul><ul><ul><li>No-break em cada componente da rede (switch, roteador, gateways, servidores, aparelhos, etc.) </li></ul></ul></ul><ul><ul><li>Prepare a contingência. </li></ul></ul>
  52. 52. Ameaças à Disponibilidade <ul><li>Contramedidas </li></ul><ul><ul><li>As medidas de proteção contra os ataques de DoS em VoIP são as seguintes: </li></ul></ul><ul><ul><li>(1) autenticação forte para prevenir a falsificação de mensagens nos protocolos de sinalização (SIP e H.323) e </li></ul></ul><ul><ul><li>(2) uso de firewalls de aplicação especializados em VoIP para inibir ataques contra os protocolos de mídia (RTP). </li></ul></ul>
  53. 53. Vulnerabilidades em Dispositivos VoIP <ul><li>Jan 23, 2007 – Multiple VOIP Phones Aredfox PA168 Chipset Session Hijacking Vulnerability </li></ul><ul><ul><li>http://www.securityfocus.com/bid/22191 </li></ul></ul><ul><li>Feb 19, 2007 – Cisco 7940 SIP INVITE remote DOS </li></ul><ul><ul><li>http://voipsa.org/pipermail/voipsec_voipsa.org/2007-March/002276.html </li></ul></ul><ul><li>Mar 08, 2007 – Asterisk SIP INVITE remote DOS </li></ul><ul><ul><li>http://voipsa.org/pipermail/voipsec_voipsa.org/2007-March/002275.html </li></ul></ul><ul><li>Mar 26, 2007 – Blackberry™ 7270 SIP stack is vulnerable to malformed header value </li></ul><ul><ul><li>http://www.sipera.com/index.php?action=resources,threat_advisory&tid=211& </li></ul></ul><ul><li>Mar 26, 2007 – HTC HyTN using Windows Mobile 5 PPC and AGEPhone SIP soft phone are vulnerable to malformed delimiter </li></ul><ul><ul><li>http://www.sipera.com/index.php?action=resources,threat_advisory&tid=215& </li></ul></ul><ul><li>Mar 26, 2007 – D-Link DPH-540/DPH-541 Wi-Fi phone may accept SIP messages from a random source IP address </li></ul><ul><ul><li>http://www.sipera.com/index.php?action=resources,threat_advisory&tid=219& </li></ul></ul>
  54. 54. Sumário dos Principais Ataques <ul><li>Grampos </li></ul><ul><ul><li>RTP Playback </li></ul></ul><ul><li>Seqüestro </li></ul><ul><ul><li>ARP Spoofing </li></ul></ul><ul><ul><li>ENUM hijacking </li></ul></ul><ul><li>Autenticação </li></ul><ul><ul><li>Digest replay </li></ul></ul><ul><ul><li>Caller ID spoofing </li></ul></ul>
  55. 55. Sumário dos Principais Ataques <ul><li>Ataques de Mídia </li></ul><ul><ul><li>RTP Injection </li></ul></ul><ul><li>Ataques Sociais </li></ul><ul><ul><li>SPIT </li></ul></ul><ul><li>Atravessando o Firewall </li></ul><ul><ul><li>Command shell channeling </li></ul></ul><ul><li>“ Bombando” o Plano de Assinatura </li></ul><ul><ul><li>Manipulação CoS/CoR </li></ul></ul>
  56. 56. Sumário dos Principais Ataques <ul><li>Invasão de Appliances </li></ul><ul><ul><li>Appliances inadequadamente gerenciadas </li></ul></ul><ul><li>Fraude de Tarifas </li></ul><ul><ul><li>Gateways expostos </li></ul></ul><ul><ul><li>Apagar registros de bilhetagem </li></ul></ul><ul><ul><li>Acesso “gratuito” a serviços (tipo correio de voz) </li></ul></ul><ul><li>DoS </li></ul><ul><ul><li>Ataques à Infra-estrutura de autenticação </li></ul></ul>
  57. 57. A seguir, cenas dos próximos capítulos <ul><li>Mecanismos de Segurança para VoIP </li></ul><ul><ul><li>Segurança em SIP e H.323 </li></ul></ul><ul><ul><li>Recomendações gerais de segurança em VoIP </li></ul></ul><ul><li>Estratégias de segurança na implantação de VoIP </li></ul><ul><ul><li>Investimentos em segurança </li></ul></ul><ul><ul><li>Análise de risco </li></ul></ul>
  58. 58. Dúvidas? VoIP H.323 Vishing fading IPSec SIP DNS ARP WPA WEP QoS Jitter UDP PSTN SRTP RTP
  59. 59. Obrigado! Ruy Flávio de Oliveira [email_address] telefone: (19) 3705-4125
  60. 60. Referências <ul><li>[1] Cisco Call Manager Denial of Service Vulnerability. http://www.cisco.com/en/US/products/products_security_advisory09186a00805e8a55.shtml </li></ul><ul><li>[2] Multiple Vulnerabilities in Asterisk 1.2.10 http://archives.neohapsis.com/archives/bugtraq/2006-10/0311.html </li></ul><ul><li>[3] SANS Institute. 2006. SANS Top-20 Internet Security Attack Targets 2006. http://www.sans.org/top20 </li></ul><ul><li>[4] SANS Institute. 2006. The Ten Most Important Security Trends of the Coming Year. http://www.sans.org </li></ul><ul><li>[5] Bruce Schneier. 2006. Why VOIP Needs Crypto. Wired News. http://www.wired.com/news/columns/1,70591-0.html </li></ul><ul><li>[6] Jianqiang Xin. Security Issues and Countermeasure for VoIP. GIAC Security Essentials. GIAC Gold Paper for GSEC. As part of the Information Security Reading Room. SANS Institute, 2007. </li></ul><ul><li>[7] Protos-SIP, Protocol analizer for SIP. http://www.ee.oulu.fi/research/ouspg/protos/testing/c07/sip/index.html </li></ul>
  61. 61. Referências <ul><li>[8] vomit - voice over misconfigured internet telephones. http://vomit.xtdnet.nl/ </li></ul><ul><li>[9] Ethereal - Network protocol analyzer. http://www.ethereal.com/ </li></ul><ul><li>[10] NIST Security Considerations for Voice Over IP Systems. http://csrc.nist.gov/publications/nistpubs/800-58/SP800-58-final.pdf </li></ul>

×