Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Positive Hack Days. Кадер. IP телефония - опасно ли это?

3,647 views

Published on

Интегрированные услуги операторов связи и технологии Unified Communications обещают быструю окупаемость и серьезные удобства. Однако практика показывает, что сервисы VOIP и IPPBX могут доставить массу проблем, прежде всего связных с информационной безопасностью и фродом. С какими проблемами информационная безопасность компании можно столкнуться при использовании Unified Communications? Взломать VOIP/PBX/MGW за 60 секунд: возможно ли? Планируется обсуждение эффективных методов обеспечения безопасности Unified Communications.

Published in: Business
  • Be the first to comment

Positive Hack Days. Кадер. IP телефония - опасно ли это?

  1. 1. IP Телефония – опасно ли это?<br />Михаил Кадер<br />mkader@cisco.com<br />security-request@cisco.com<br />
  2. 2. Вопрос:Насколько безопасна IP-телефония?<br />Ответ:НЕИЗВЕСТНО<br />
  3. 3. Вопрос:Возможно ли создать решение защищенной IP-телефонии?<br />Ответ:Попробуем! ;-)<br />
  4. 4. Взломтрадиционной телефонии<br />Боцманская дудка «Cap’n Crunch»<br />Продавалась в коробках с хлопьями «Captain Crunch»в 1964 г.<br />Первая фрикинг-атака, разработанная Джоном Дрейпером<br />Дудка подает сигнал с частотой 2600 Гц. Такой же сигнал использовался в AT&T как сигнал готовности к новому вызову<br />Позволила раскрыть несколько других сигналов AT&T<br />Дрейпер был осужден на 5 лет лишения свободы условно, затем стал работать вместе с Джобсом, Возняком и Гейтсом<br />http://en.wikipedia.org/wiki/John_Draper<br />
  5. 5. Типовая инфраструктураUC процессоры<br />ЦОД<br />Сервер присутствия (Presence)<br />CUCM<br />Большое отделение<br />CiscoUnity®<br />Головной офис<br />Среднее отделение<br />Wireless<br />
  6. 6. Типовая инфраструктураС UC коммутационной матрицей<br />ЦОД<br />Сервер присутствия (Presence)<br />CUCM<br />Большое отделение<br />CiscoUnity<br />Головной офис<br />Среднее отделение<br />Wireless<br />IP сеть<br />VPN<br />Домашний офис<br />
  7. 7. Типовая инфраструктурас транковыми интерфейсами<br />SP VoIP<br />ТФОП<br />CUBE<br />CUBE<br />ЦОД<br />Сервер присутствия (Presence)<br />Большое отделение<br />CUCM<br />CiscoUnity<br />Головной офис<br />Среднее отделение<br />Wireless<br />IP сеть<br />VPN<br />Домашний офис<br />
  8. 8. SP VoIP<br />ТФОП<br />CUBE<br />CUBE<br />Типовая инфраструктурас абонентскими интерфейсами<br />ЦОД<br />Сервер присутствия (Presence)<br />CUCM<br />Большое отделение<br />CiscoUnity<br />Головной офис<br />Среднее отделение<br />Wireless<br />Network<br />IP сеть<br />VPN<br />Домашний офис<br />
  9. 9. 5 главных модулей<br />Управление звонками и конференцсвязью<br />IP-телефоны, Desktop IP Phone и видеоустройства<br />Локальная инфраструктура<br />Защита голосового и видео трафика и сигнализации при передаче по ЛВС<br />Глобальная инфраструктура (WAN/Интернет)<br />Защита голосового и видео трафика и сигнализации при передачи по глобальным сетям<br />Голосовыеи видео приложения<br />Unity voice mail, IVR, IPCC…<br />
  10. 10. Взлом IP-телефонии<br />Утилита VOMIT уже давно известна<br />Прослушивание – ettercap, dsniff, Cain&Abel<br />Телефонное мошенничество<br />Звонки на платные номера<br />Бесплатные звонки по всему миру<br />На звонки с номеров из другой страны не распространяется местное законодательство<br />Взлом серверов обработки вызовов и приложений<br />Атаки типа “отказа в обслуживании”<br />Спам типов SPIT / SPIM: реклама или вредоносный код<br />
  11. 11. Угрозы для оконечных устройств IP-телефонии<br />Разведка<br />DoS – переполнение DHCP-пула, лавины пакетов, и т.п.<br />Прослушивание / атаки типа «Man-in-the-middle»<br />Направленные атаки – спам SPIT, подмена абонента и т.п.<br />
  12. 12. GARP:<br />I’m 10.1.1.2<br />GARP:<br />Я - 10.1.1.1<br />10.1.1.2<br />10.1.1.1<br />bb-bb-bb-bb-bb-bb<br />aa-aa-aa-aa-aa-aa<br />Кэш ARP<br />10.1.1.2 bb<br />10.1.1.3 cc<br />10.1.1.4 dd<br />Кэш ARP<br />10.1.1.1 aa<br />10.1.1.3 cc<br />10.1.1.4 dd<br />10.1.1.2 cc<br />10.1.1.1 cc<br />10.1.1.3<br />10.1.1.4<br />cc-cc-cc-cc-cc-cc<br />dd-dd-dd-dd-dd-dd<br />Прослушивание/атаки типа «Man-in-the-Middle»<br />Утилиты ettercap, dsniff, Cain&Abel и подобные им есть на cnet<br />ettercap позволяет выделять из трафика<br />Имена пользователейи пароли<br />Номера, имена владельцев и PIN-коды кредитных карт<br />Сообщения эл. почты – изменять текст<br />Telnet – изменять текст<br />Голос – преобразовывать RTP в WAV<br />
  13. 13. IP-атакимогут вызвать отказ в обслуживании<br />Smurf, TCP Reset, ICMP Redirect и т.п.<br />По мере развития конвергенции все труднее внедрять отдельные сети VLAN,<br />Программные телефоны, XML-приложения, VTA, контроль присутствия<br />Списки контроля доступа VLAN (VACL)<br />Телефонам необходимо взаимодействовать друг с другом по RTP и взаимодействовать с серверами по нескольким протоколам стека TCP/UDP<br />Телефонам не нужно взаимодействовать по TCP и обмениваться ICMP-сообщениями<br />Остановите TCP-и ICMP- атаки на телефоны!<br />Серверы телефонии<br />
  14. 14. Угрозы для серверов IP-телефонии<br />Интернет-черви, вирусы, троянские программы<br />Направленные сканирования<br />DoS и DDoS<br />Нарушение полномочий доступа<br />Несанкционированное изменение конфигурации<br />
  15. 15. Телефонное мошенничество <br />
  16. 16. Угрозы приложениям IP-телефонии<br />Обман пользователей – фишинг/ фарминг<br />Перехват (или подбор) реквизитов входа<br />Использование ошибок в программах – нестандартные воздействия на приложения и протоколы<br />Мошенничество при платных звонках<br />Пересылка конфиденциальных сообщений<br />
  17. 17. SPIT: спам по IP-телефонии<br />Нежелательные звонки, подмена абонента и т.п.<br />Мы получаем спам по электронной почте<br />Реклама и вредоносный спам<br />Чем отличается VoIP?<br />Графические дисплеи<br />Бесплатная процедура перебора номеров<br />Технически легкий массовый обзвон<br />Подмена абонента или атака на сигнальный протокол – SIP, SCCP, …<br />
  18. 18. Пример SPIT<br />Заставить телефон звонить каждые 5 минут<br />Или заставить все телефоны звонить каждые 5 минут<br />Частота слишком низка для введения ограничений<br />Но ее хватит, чтобы свести с ума пользователей !!!<br />ЗВОНОК !!!<br />ЗВОНОК !!!<br />ЗВОНОК !!!<br />
  19. 19. Пример SPIT<br />Подмена абонента<br />Это же руководитель компании!!!<br />Вы выиграли бесплатную поездку на Канарские острова!!!<br />
  20. 20. Основные типы атак и атакуемые объекты<br />Несанкционированное прослушивание,<br />Прослушивание и запись данных без санкции.<br />Отказ в обслуживании (DoS) или распределенный отказ в обслуживании (DDoS),<br />Заимствование прав,<br />Попытка получить доступ к администрированию системы или информации под чужими правами.<br />Приложения UC,<br />Систем голосовой почты, сервера представлений и т.д.<br />Программные клиенты,<br />Все программные телефоны, клиенты IM.<br />Мошенничество.<br />Несанкционированные вызовы (междугородние, международные).<br />
  21. 21. SP VoIP<br />ТФОП<br />CUBE<br />CUBE<br />Что защищать?Все возможные точки<br />ЦОД<br />Сервер присутствия (Presence)<br />Большое отделение<br />CUCM<br />CiscoUnity<br />Головной офис<br />Среднее отделение<br />Wireless<br />IP сеть<br />VPN<br />Домашний офис<br />
  22. 22. Голос – это данные, но какие?<br />Определите приоритет голоса среди других Ваших бизнес-приложений<br />Оцените насколько Ваша текущая политика безопасности подходит для системы унифицированных коммуникаций<br />Банковские приложения<br />Oracle и др. БД<br />Дилинг<br />Голос?<br />Биллинг<br />АТМ-терминалы<br />Web приложения<br />E-Mail<br />Directory<br />
  23. 23. Безопасность – баланс между рисками и затратами<br />Затраты—Сложность—Ресурсы—Нагрузка<br />Межсетевые экраны с расширенным контролем голосовых потоков <br />Межсетевые экраны с контролем состояния<br />Базовые Layer 3 ACLs<br />NAC / 802.1X<br />Ограничение скорости<br />Раздельные VLAN для голоса и данных <br />TLS / SRTP к телефонам<br />Limit MAC Address Learning<br />Серверный МСЭ<br />IPSec/TLS & SRTP к шлюзам<br />Динамическая инспекция ARP<br />Антивирус<br />TLS/SRTP к приложениям<br />IP Source Guard<br />Отключение Gratuitous ARP<br />Зашифрованный конфигурационный файл<br />Динамическая безопасность портов<br />Smart Ports (Auto QoS)<br />Расширенная защита ОС<br />DHCP Snooping<br />Подписанные прошивки и файлы конфигурации<br />Серверный МСЭ<br />Защита от телефонного мошенничества <br />Телефонный прокси<br />Защита от атак<br />Рекомендованные патчи<br />Trusted Relay Point<br />
  24. 24. Вопросы?<br /> Дополнительные вопросы Вы можете задать по электронной почтеsecurity-request@cisco.com<br />

×