13. téma Bezpečnost IP telefonie i Obsah 1. Taxonomie slabin a útoku 2. Řešení Cisco 3. Útoku na IP telefonii v LAN 2 1. Taxonomie slabin a útoku 3 Jak to vlastně je ■ Voice/VoIP systémy jsou zranitelné: ■ platformy, sítě, protokoly, aplikace - vše je zranitelné ■ k dispozici je množství nástrojů ■ výrobci posilují bezpečnost svých produktů ■ ale během jejich vývoje bezpečnost není hlavní kritérium ■ Naštěstí to není tak strašné, protože ■ IP telefonie je převážně používána uvnitř kampusů ■ omezené stimuly pro útoky ■ Přístup do veřejných sítí je stále založen na tradičních truncích ■ Hlavní zdroj útoků jsou aplikace ■ SIP trunking and UC mohou hrozby navyšovat (TDoS, harrasment, vishing...) 4 Kategorie útoků (https://gforge.inria.fr/docman/view.php/1766/6771/dl.l-full.pdf) 5 Slabiny měřené podle odlišných metodik Taxonomie zdroje z předchozího slajdu Taxonomie VolPSA 6 Jaké porty můžeme skenovat? ■ SIP používá UDP/TCP ports 5060 and 5061 ■ H.323 devices use multiple ports, including TCP 1720, UDP 1719 - H.245 -dynamická TCP - H.225.0 - Q.931 - Call Setup - TCP 1720 a RAS - UDP 1719 - Audio Call Control - TCP 1731 - RTCP - a RTP dynamické UDP ■ SCCP telefony (Cisco) používají porty UDP/TCP 2000-2001 ■ Unistim (Nortel) používají UDP/TCP 5000 ■ MGCP zařízení používají UDP 2427 7 Flooding (záplava, zahlcení) ■ Slabá místa - redukovaný hardware - neautentizované a neautorizované funkce ■ Útok - záplava pakety (SIP INVITE, OPTIONS...) - falešné pakety RTP - záplava běžných paketů (TCP SYN, ICMP...) ■ Účinek - degradace QoS - výpadek zařízení ■ Nástroje -Scapy, InviteFlood, IAXFlood, UDPFlood, RTPFlood ■ Opatření - ochrana zařízení jádra sítě před externími útoky - omezení provozu VoIP ve vybraných místech sítě 8 Flood Amplification (zesílení zápolavy) ■ Slabá místa - protokoly poskytující funkčnost bez autentizace - protokoly bez navazování spojení (UDP) ■ Útok - použití zdrojové adresy paketu oběti - v rámci dané funkčnosti poskytování více dat než je třeba ■ Účinek - zesilování záplav ■ Nástroje - Scapy, NetSamhain, Nemesis ■ Opatření - použití spojově orientovaných přenosů - autentizace zpráv - omezení provozu VoIP ve vybraných místech sítě 9 Fuzzing (z Fuzz - US , polda, chlupatý) ■ Slabá místa - nezralé či slabé implementace protokolového zásobníku ■ Útok - posílání znetvořených zpráv na vstup zařízení ■ Účinek - výpadek koncových zařízení, někdy i jádra sítě - efektivní metoda pro identifikaci softwarových chyb ■ Nástroje - Sulley Fuzzer, ohrwurm (RTP) - PROTOS Suite (SIP, HTTP, SNMP) - NastySIP, Protos suite, Asteroid, Fuzzy Packet... ■ Opatření - používat odolná a otestovaná zařízení Termín byl poprve použit v roce1988 prof. Millerem z University of Wisconsin 10 Call Teardown (násilné přerušení spojení) ■ Slabá místa ■ ■ ■ Utok Účinek Nástroje - většina realizací protokolů používá nešifrované přenosy - pakety jsou nešifrované - lze monitorovat signalizační kanály ■ vkládání zpráv pro rozpojení: BYE (SIP), HANGUP (IAX) rozpojení SIP: Teardown, sip-kill, sip-proxykill IAX: IAXHangup ■ Opatření šifrování přenosů hlasu autentizace sigmalizace 11 Directory Enumeration (inventarizace adresáře) ■ Slabá místa - neautorizované funkčnosti - protokol odpovídá jinak na platná a neplatná usernames - nezašifrované přenosy ■ Útok - aktivní: speciální zprávy - pasivní: odchyt zpráv registračního procesu ■ Účinek - prozrazení jmen uživatelů ■ Nástroje - SIPCrack, enumIAX, SIPSCAN, NeWT Security Scanner, Retina Network Security Scanner, SAINT ■ Opatření - šifrování signalizace - protokoly nesmí jinak odpovídat na platná a jinak na neplatná usernames Skenovací nástroje -NeWT Security Scanner NeWT Security Scanner J '& Are your checks up I© date? 1«i£f- B*alw*f NeWT or purenase a ffifWd:n«t tessi of rhr larril s«:url1y checks Tenable NeWT Welcc [!3 New S 1^ View Reports S3 Other Options Address Book Is" See Also NeWT Help # Abo Scan in progress, 44 of 254 host(s) done. WW Host being scanned Progress □ pen Ports Notes Warnings Holes 192.168,1.1 5% 3 4 0 0 192.168,1.22 1% 3 4 0 0 192.168,1.24 97% 3(99%) 4 0 5 192.168,1.27 72% 4 8 0 0 192.168,1.53 97% 7 9 0 1 192.168,1.23 97% 0 0 0 0 192.168,1.21 95% 5 10 0 0 192.168,1.25 6% 3(94%) 4 0 0 192.168,1.54 95% 3 3 0 0 192.168,1.51 96% 5 13 0 0 Pause; Stop Copyright @ 2003-2005 Tenable Network Security. All rights reserved Skenovací nástroje -Tenable NeWT Security Report i Ten able NeWT Security Report - Microsoft Internet Explorer 14 Skenovací nástroje -Retina Network Security Scanner a Network Security Scanner - EVALUATION VERSION - 15 15 Skenovací nástroje - SAINT _ File Edit View Go Bookmarks Tools Window Help JI http://domain2:32775/5277cBc9t>6c660ee44e65BlclB87S31e//mot/saint-6.0l(vl| ^-Search ] ^ ^ Reload Stop 1- Ll Print fiHome I HÉBookmarks -^Red Hat, Inc. ^Red Hat Network _jSupport CjShop CjProducts QjTraining MINT* Examine. Exp SAINT data collection Data collection In progress... Maximum concurrent probes = 1 0 • Running fping -f hosts_to_fping (maximum 120 seconds] • Running dns.saint 192.1 68.1.27 (maximum 45 seconds] • Running ostype. saint 1 92.1 68.1.27 (maximum 120 seconds] Running tcpscan.saint 10008,10202,10203,12754,13701,13722,14247,151 04,1 6660,20031:20432:21 700,25702,27374,27665,32766,33270,33567,33568,3601 0,36794,41 080:41 523:42S| 192.1 68.1.27 (maximum 1 250 seconds] ^ Running rpc. saint 1 92.168.1.27 (maximum 45 seconds] 9 Running ddos.saint 192.168.1.27 (maximum 45 seconds] ^ Running adore, saint 1 92.1 68.1.27 (maximum 45 seconds] Running udpscan. saint 1-19,53,67-69,111,123,137-139,161 -1 62,177,1434,18121900,3401,5060,5135,5632,7777,8999,9900,17185,20-52,54-66,70-110,112-1 22,124-136,140-1 60,163-1 192.168.1.27 (maximum 120 seconds] • Processing data • Processing data Running oracle.saint -u "" 5060:TCP 192.168.1.27 (maximum 45 seconds] • Running proxy, saint http-connect http 1 92.1 68.1.27 (maximum 45 seconds] 9 Running Sybase, saint -u sa 5060 TGP 192.168.1.27 (maximum 45 seconds] ^ Running http. saint -u "" -x 0/cgi-bin/http 192.168.1.27 (maximum 360 seconds] 9 Running http saint -u "" -x 0 / http 1 92.168.1.27 (maximum 360 seconds] ^ Running http saint -u "" -x 0 .■'scripts:''http 192.1 68.1.27 (maximum 360 seconds] • Running tcp_reset. saint 5060:TCP 192.1 68.1.27 (maximum 45 seconds] vita \£- Transferring data from domain2.. 16 Caller-ID Name Disclosure (získání jména volajícího) ■ Slabá místa Útok Účinek ■ ■ Nástroje Opatření - přístup k Caller-ID - falešná identifikace volajícího prozrazení jména volajícího www.fakecaller.com, www.iax.cc, www.spoofcard.com kontrola, jaké jméno je s číslem asociováno 17 ■ Configuration Disclosure: Device (odhaleni zařízení) Slabá místa - řiditelné rozhraní hardphonů - debugging Utok Účinek ■ ■ Nástroje Opatření ■ port 80, SNMP, debugger - zjištěni tcpkill raději obnovu relace než reboot 18 Configuration Disclosure: Infrastructure (odhaleni infrastruktury) ■ Slabá místa - většina hardphonů používá pro bootování FTP nebo TFTP - FTP není bezpečný a TFTP je na tom ještě hůře Útok - rekonstrukce konfigurace Účinek - odhalení citlivé informace (jméno uživatele, heslo, služby, server, brána, registrační server ■ Nástroje - Wireshark, TFTP-Bruteforce, dedukce... ■ Opatření - nepoužívat TFTP, FTP je lepší, ale ne zase tak o tolik © - nepoužívat defaultní jména souborů 19 Web Management Interface XSS ■ Slabá místa Utok Účinek Nástroje ■ Opatření - zařízení nechrání web s jeho slabinami - lze si zobrazit jeho logy - vložený XSS kód - vykonání kódu Cross-Side-Scripting jakýkoliv zařízení VoIP s uživatelsky konfigurovatelným zobrazováním polí pokud není potřebné, je třeba webové rozhraní vypnout 20 A řada dalších... ■ odchyt zpráv na médiu ■ falešná komunikace (RTPInsetSound, RTPMixSound, RTPInject) ■ změna komunikace (SteganRTP atd.) 21 IP phone reboot ■ Slabá místa - SCCP běží na TCP, který je citlivý na reset, telefon pak dělá plný reboot Útok - vložení paketu RST do signalizačního kanálu Účinek - služba je během rebootu nedostupná - telefon rebootuje i po záplatě od Cisco ■ Nástroje - tcpkill ■ Opatření - raději obnovu relace než reboot 22 2. Řešení Cisco 23 Vývoj Cisco Unified CallManagera ■ 1998, akvizice mladé společnosti Selsius Systems ■ 2000 verze 3.0 ■ 2001 verze 3.1 ■ 2004 verze 4.0 a 4.1 ■ 2006 verze 4.2 (Unified) a 5.0 ■ 2007 verze 4.3 (Windows) a 5.0 (Linux) ■ 2007 verzi 6.0 (Linux) ■ 2008 verze 7.0 ■ 2010 verze 8.0.1 Šifrování hlasu od verze 4.0, od verze 5.0 i konfigurační soubory EnlEf prut Par-orTwtírj CMíHgwalJMi Piůhlů andPhůňř Cůťifiůurjtůň ' |Tru5 TOJB Ka*r*jmt»rarDsHM LbncH Trjca * t= ~l13 DBCPrnrPhůne-based tecxňi J |i^JtD3CPiIC03B:i CteňUltDKP[DfjaKiDJ [■■iCPrúhPhůre lioriloiraiůrt1 1íIS3Kpr«ednKí JJĽSCP (01 IOOuJ CE3(rracedBn.[sajDECprjil.irjD0J DEGPfnrGecn CdlHan-Mcr tn Dsri™ li-ice-nece * Č.S3(pr«nnn>cg i)t>S^P (pi 1 JJIn IJÚ T] CSSIprecKlrncra) DBCPÍDliaDrj) |accp TFTP Ei-ťťmitadCůňhtwťahori + htue - šifrovaný konfigurační soubc Kvalitní algoritmus: AEC-128-CBC Autentizací proti hrozbám • modifikace signalizace mezi telefonem a CCM • útoky typu MITM • útoky na identitu zařízení a serverů Kvalitní algoritmus: HMAC-SHA-1 • podpis obrazů firmware od CCM 3.3(3) • podpis konfiguračních souborů od CCM 4.0 Certifikáty • nesmazatelné tovární certifikáty telefonů • lokálně významné certifikáty • certifikáty telefonů jako proxy funkce - vytváří seznamy CTL • certifikát HTTPS zajišťující autentizaci mezi IIS a prohlížečem klienta • sebou podepisovaný certifikát CCM; součást identifikace serveru • certifikát bezpečného řešení náhrady výpadku spojení mezi telefonem a CCM Kvalitní algoritmus pro podpis: RSA Použité kryptografické algoritmy TLS (Transport Layer Security) mezi CCM a IP telefony: • RSA pro podpisy • HMAC-SHA-1 pro autentizaci • AES-128-CBC pro šifrování SRTP (Secure RTP) mezi IP telefony: • HMAC-SHA-1 pro autentizaci • AES-128-CM pro šifrování Co není zapotřebí - je třeba vypnout ■ vypnutí nastavení přístupu ■ vypnutí nastavení PC Portu ■ vypnutí přístupu k PC Voice VLAN ■ vypnutí nastavení gratuitous ARP ■ falešné ARP odpovědi, generuje je např. ettercap či dsniff ■ vypnutí webového přístupu Zodolnění sítě pro hlasovou službu • Oddělení hlasových a datových VLAN a nastavení ACL pro každou VLAN • Ochrana jednotlivých portů povolením MAC adres před tzv. IP a MAC spoofingem • Ochrana před P2P provozem a hrami pomocí tzv. scavenger-class provozu (mapuje se do DSCP CS1) • Ochrana před útokem MITM neautorizovanými DHCP odpověďmi (DHCP Snooping) • Ochrana před útokem MITM falešnými ARP odpověďmi Zodolnění IP telefonu Podepsané konfigurační soubory a firmware, vypnutí všeho zbytného Secure Shell lnfDľľriatibh Secure Shell User secure shell Pa5 5wora!| — Product Specific Configuration- H Disable Speakerphone K' Disable Speakerphone and HEadset PC Port * S ebtincis Access * Grabuibnus ARP * PC Voice VLůM ůccsse Web AcceEE " span to PC Port ** Larjaina Display *" Disabled Restricted d [Disabled- J Disabled d Disabled d Disabled ! |Disabled d Windows: 80 % útoků vede přes IIS (verze 4.3) Problém web přístupu k IP telefonu Mnoho cenných informací a vypnout to jen tak nejde (ztráta aplikací na bázi XML) ľJŕ'Tirp lii-Yim =iri -iľ .vťi-\u:k I.'ljľ" JidCiuci etwork Configuration Cíím Syaems. Int. IP Fhom CP-7W0 (SEFtOJONCÍSITO ) BOOTFEeiw MAC Aifrecc H»xt TŤamt TFTF Smetl 1027 15.1 No SEPOO[HB4CÍ£E70 10.27-15.27 ÍH 155.155 0 103 7.11 Ji 1027 15.1 Řešení: ACL umožňující komunikaci mezi IP telefonem a serverem pouze přes port 80. Aktivace potřebných služeb (verze 5.0) Komunikace s aplikacemi přes CTI, TAPI, JTAPI - šifrovaná a autentizovaná za pomocí certifikátu Nové bezpečnostní vlastnosti Call Manageru 5.0 (r. 2006) • TLS pro autentizaci a šifrování přenosu s SIP telefony • SRTP pro komunikaci mezi SIP telefony a s bránou MGCP • IPSec pro tunelování k branám s lOSem • SSL pro dotazy na adresář LDAP • HTTPS rozhraní místo HTTP; možnost generovat a rušit certifikáty • hostující firewall •Automaticky instalovaný Cisco Security Agent • rychlé resety hesla (rychlý - bez obtěžování admina, bezpečný - bez přerušení služeb) • bezpečnostní profily telefonu s protokolem SIP, SCCP či trunkem • příjem datumu a času od NTP serveru a jejich další výdej • rozdělení uživatelů do základní a pokročilé skupiny • různé administrátorské účty zaručující pružnost řízení přístupu • vypnutí po třiceti minutách pasivity Klíčové nové či vylepšené bezpečnostní vlastnosti verze 7.1(2) • auditní logy • H.235 (např. MIKEY pro klíčový management SRTP) • 802.1x EAP-FAST/TLS (RFC 4851) místo EAP-MD5 (RFC 3847) • Trusted Relay Point Auditní logy novinka pro externisty H.235 (CUCM se da nastavit jako pass-through) Gateway Configuration I < None -- ^1 tj None No Changes "3 No Changes | Save Delete [Q Copy Reset ^ ApplyCnnfia q]a Add New Location* | Hub_None AAR Group Tunneled Protocol* QSIG Variant* ASN.l ROSE DID Encoding* Use Trusted Relay Point* Signaling Port* LT Media Termination Point Reouired Retry Video Call As Audio P Wait for Far End H.245 Terminal Capability Set l"~ Path Replacement Support I- Transmit UTF-3 for Calling Part/ Name I"™ SRTP Allowed - Vthen this Flag is checked, IPSec needs to be cenfigured in the network to provide end to end seci tiMJuir*—— - ^ H.235 Pass Through Allowed Default |l720 Multilevel Precedence and Preemption (MLPP) Iiifoc ligation - 802.1x EAP-FAST/TLS TLS zabezpečuje šifrování, autentizaci a kompresi, autentizace může být i vzájemná, nejen klienta vůči serveru Trusted Relay Point (trusted VLAN traversal) Location | site A -3 AAR Group |< None > User Locale |< None > Network Locale |< None > Built In Bridge* | Default Privacy* | Default Device Mobility Mode* | Default Current Device Mobility Settings Owner User ID |< None > Phone Load Name Join Across Lines | Default Use Trusted Relay Point* |On BLF Audible Alert Setting (Phone Idle)* | Default BLF Audible Alert Sfittinn fPhnnp | Default Virtuální směrovače propojují datovou a hlasovou VLAN fData-VRF export Data-VRF import Services-VRF Voice-VRF export Voice-VRF import Services-VRF ! Services-VRF export Service-VRF import Data-VRF import Voice-VRF Nové či vylepšené bezpečnostní vlastnosti verze 8.0.1 ■ bezpečnostní monitoring a záznamy ■ podpora HTTPS pro telefonní služby ■ vylepšení kreditních služeb ■ VPN klienti pro IP telefony ■ bezpečnost ve výchozím nastavení (Security by Default) Bezpečnostní monitoring a záznamy • příposlechy • problémy se šifrováním, zvláště u více proudů • použití Trusted Relay Pointu Podpora HTTPS Extension Mobility a to nově i mezi klastry Vylepšení kreditních služeb VPN klienti pro IP telefony - tři způsoby • směrovač - směrovač doma je ho třeba konfigurovat a spravovat • telefon doma s TLS + SRTP- ASA phone-proxy - mohu jen telefonovat • SSL VPN (nové) mohu volat z domu a užívat si všech služeb bez omezení Nastavení SSL VPN na telefonu Nastaveni parametrů SSL VPN na CUCM Security by Default Oddělení certifikátu pro podepisování/šifrování a podporu HTTPS, pro interní a externí použití atd. Otázka Jaký je základní princip ochrany sítě vybavené IP telefony? Řešení: komplexní ochrana Odposlech X X X X X X Zahlcení X X X X X X Vložení X X X X X X Útok na aplikace X X X X X X Útok na Soft klienta X X X X X X Krádeže X X X X X X 3. Útoku na IP telefonii v LAN 52 Příklady útoků na IP telefonii v sítích Cisco ■ Přeplnění tabulky CAM u Cisco sítí ■ Utok vygenerováním falešných BPDU ■ Útok pomocí odchycené MAC adresy ■ Neautorizované DHCP a ARP odpovědi 53 Tabulka CAM Jak se s tabulkou CAM (Content-Addressable Memory) pracuje ukazuje následující slajd. Tabulka CAM registruje MAC adresy přiřazené ke konkrétním portům. PC s MAC adresou A a C jsou registrovány v tabulce CAM, PC s MAC B ne. Pokud posílá PC A rámec PC B, je rozeslán všem koncovým stanicím připojeným k přepínači (1). Pokud ale přijde první rámec z cílové stanice B, je tato zaznamenána do tabulky CAM (2). Od této doby jsou rámce pro stanici B posílány přímo na ni. Pokud ale začne útočník generovat jeden rámec za druhým s vymyšlenými MAC adresami odesilatele, je schopen brzy z tabulky CAM vytlačit relevantní údaje a pak se rámce rozhlašují způsobem 1. Je zřejmé, že tabulka CAM je nejslabším místem Cisco sítí. 54 Přeplnění tabulky CAM u Cisco sítí Falešný kořen stromu Pro volbu falešného kořene stromu (topologicky kostra grafu) stačí vygenerovat rámec BPDU s nejmenší hodnotou priority v síti a tím přinutit ostatní přepínače k tomu, aby zvolily ten, u kterého je připojen útočník, za kořen stromu. Obrana je jednoduchá -zakázat takové BPDU na jiných portech než k relevantním přepínačům či definovat kořen: S1(config)#spanning-tree vlan 1-1000 root primary 56 Útok vygenerováním falešných BPDU Utok s využitím falešné MAC adresy (1) Přepínač má přehled o koncových stanicích. (2) PC s MAC B se ohlašuje s falešnou adresou A jako adresou odesilatele. (3) Rámce určené pro PC A tečou k PC B. (4) Rámec odesílaný uzlem A vše napravuje, možná jen dočasně. Jak se tomuto útoku bránit? Definovat bezpečnost na portu pomocí příkazu je u rozsáhlejších LAN problematické a tak je vhodnější použití složitějšího prostředku a to VLAN. 58 Utok pomocí odchycené MAC adresy 59 DHCP snooping binding Je třeba zajistit, aby DHCP odpovědi (DHCPOffer, DHCPAck nebo DHCPNak) přicházely pouze od relevantního DHCP serveru. To je zajištěno pomocí tzv. DHCP snooping binding tabulky obsahující MAC adresu, IP adresu, lease time, binding type, číslo VLAN a specifikace nechráněného rozhraní. Dynamic ARP Inspection (DAI, také ARP poisoning, ARP Poison Routing) je zase bezpečnostní vlastnost, která má pod dohledem výskyt ARP paketů v síti. DAI umožňuje správci sítě logovat a rušit ARP pakety s neoprávněnou MAC adresou. Cílem je zabránit útoku typu „man-in-the-middle" (MitM). Útok typu MitM je založen na používání tzv. „nevyžádaných" ARP paketů zvaných gratuitous ARP packets. Jedná o pakety, kterými stanice oznamuje vazbu mezi IP a MAC adresou (ARP Reply), aniž by obdržela požadavek na vyslání takové informace (ARP Request). Stanice většinou nevyžádaný ARP paket přijme a informace z něj si zapíše do ARP cache a používá je. Útočník může například pomocí gratuitous ARP podstrčit stanicím svou MAC adresu místo MAC adresy síťové brány. Stanice pak posílají data do jiných podsítí přes počítač útočníka, který je odposlouchává. Obranou je Dynamic ARP Inspection (DAI), které využívá tabulku, vybudovanou při DHCP Snoopingu. Neboli pokud počítač s MAC adresou dd-dd-dd-dd-dd-dd začne posílat falešné DHCP odpovědi, přepínač je nepřijme, protože nejde o důvěryhodný zdroj DHCP informace. Navíc si buduje tabulku DAI, pomocí které kontroluje ARP odpovědi. Pokud útočník z počítače s MAC adresou cc-cc-cc-cc-cc-cc začne posílat ARP odpovědi, nebude mu věřeno. 60 Neautorizované DHCP a ARP odpovědi Oddělení hlasových a datových VLAN 62 Pokyny ke zkoušce Pozor na http://www.voiptroubleshooter.com/diagnosis/