12. téma Bezpečnost IP telefonie i Obsah 1. Taxonomie slabin a útoků 2. Řešení Cisco 3. Útoku na IP telefonii v LAN 1. Taxonomie slabin a útoků Jak to vlastně je ■ Voice/VolP systémy jsou zranitelné: ■ platformy, sítě, protokoly, aplikace-vše je zranitelné ■ k dispozici je množství nástrojů ■ výrobci posilují bezpečnost svých produktů ■ ale během jejich vývoje bezpečnost není hlavní kritérium ■ Naštěstí to není tak strašné, protože ■ IP telefonie je převážně používána uvnitř kampusů ■ omezené stimuly pro útoky ■ Přístup do veřejných sítí je stále založen na tradičních truncích ■ Hlavní zdroj útoků jsou aplikace ■SIP trunking a UC mohou hrozby navyšovat (TDoS, harrasment, vishing...) 4 Kategorie litoku (https ://gforge.inria.fr/docman/view.php/l 766/6771/dl. 1 -full.pdf) # Confidentiality • Integrity • Availability • Protocol • Implementation • Configuration 5 Slabiny měřené podle odlišných metodik # Denial of Service # Remote control of device Attack the user # Access to data • Access to services Taxonomie zdroje z předchozího slajdu 0 Social threats [1) % Eavesdropping, hijacking [2] I Denial of Service [3] # Service Abuse [4) # Physical Access [5) # Interruption of Services [6] Taxonomie VolPSA 6 Jaké porty můžeme skenovat? ■ SIP používá UDP/TCP ports 5060 and 5061 ■ H.323 devices use multiple ports, including TCP 1720, UDP 1719 - H.245-dynamická TCP - H.225.0 - Q.931 - Call Setup - TCP 1720 a RAS - UDP 1719 - Audio Call Control - TCP 1731 - RTCP - a RTP dynamické UDP ■ SCCP telefony (Cisco) používají porty UDP/TCP 2000-2001 ■ Unistim (Nortel) používají UDP/TCP 5000 ■ MGCP zařízení používají UDP 2427 Flooding (záplava, zahlcení) ■Slabá místa - redukovaný hardware - neautentizované a neautorizované funkce ■ Útok -záplava pakety (SIP INVITE, OPTIONS...) - falešné pakety RTP -záplava běžných paketů (TCP SYN, ICMP...) ■ Účinek - degradace QoS -výpadek zařízení ■ Nástroje -Scapy, InviteFlood, lAXFlood, UDPFlood, RTPFlood, Sivus ■ Opatření - ochrana zařízení jádra sítě před externími útoky - omezení provozu VolP ve vybraných místech sítě Flood Amplification (zesílení záplavy) ■ Slabá místa - protokoly poskytující funkčnost bez autentizace - protokoly bez navazování spojení (UDP) ■ Útok - použití zdrojové adresy paketu oběti - v rámci dané funkčnosti poskytování více dat než je třeba ■ Účinek - zesilování záplav ■ Nástroje - Scapy, NetSamhain, Nemesis ■ Opatření - použití spojově orientovaných přenosů - autentizace zpráv - omezení provozu Vol P ve vybraných místech sítě 9 Fuzzing (z Fuzz - US , polda, chlupatý) ■ Slabá místa - nezralé či slabé implementace protokolového zásobníku ■ Útok - posílání znetvořených zpráv na vstup zařízení ■ Účinek - výpadek koncových zařízení, někdy i jádra sítě - efektivní metoda pro identifikaci softwarových chyb ■ Nástroje - Sulley Fuzzer, ohrwurm (RTP) - PROTOS Suite (SIP, HTTP, SNMP) - NastySlP, Protos suitě, Asteroid, Fuzzy Packet... ■ Opatření - používat odolná a otestovaná zařízení Termín byl poprvé použit v roce1988 prof. Millerem z University of Wisconsin 10 Call Teardown (násilné přerušení spojení) Slabá místa Utok Účinek Nástroje - většina realizací protokolů používá nešifrované přenosy - pakety jsou nešifrované - lze monitorovat signalizační kanály - vkládání zpráv pro rozpojení: BYE (SIP), HANGUP (IAX) - rozpojení - SIP: Teardown, sip-kill, sip-proxykill - IAX: lAXHangup Opatření šifrování přenosů hlasu autentizace signalizace n Pomocí S CAP Y hledám základ pro BYE »> sip[7] .show() ###[ Ethernet ] ### dst= 00:0e:08:dd:la:bd src= 00:01:02:la:8d:ab type= 0x800 ###[ IP ]### version= 4L ihl= 5L tos= 0x0 len= 764 id= 0 flags= DF frag= OL ttl= 54 proto= udp chksum= 0x880e src= 86.64.162.35 dst= 192.168.0.215 options= 11 ###[ UDP ]### sport= 5060 dport= 5060 len= 744 chksum= Oxbcdc ###[ Raw ]### load= 'SIP/2.0 200 OK\r\nVia: SIP/2.0/UDP 192.168 . 0 . 215 : 5060;b ranch=z9hG4bK-82 6b4f7;rport=50 60\r\nRecord-Route: \r\nFrom: "unob" ;tag=e3 bfc272 9667 92 8foO\r\nTo: ;tag=as48e6f2f4\r\nCall-ID: 92 3cae6e-7b8136c3@192.168.0.215\r\nCSeq: 102 INVITE\r\nUser-Agent: UNOB.CZ\r\nAllow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY\r \nContact: \r\nContent-Type: application/sdp\r \nContent-Length: 240\r\n\r\nv=0\r\no=root 9126 9126 IN IP4 86 . 64.162.35\ r\ns=session\r\nc=IN IP4 86.64.162.35\r\nt=0 0\r\nm=audio 19064 RTP/AVP 0 97 101\r\na=rtpmap:0 PCMU/8000\r\na=rtpmap:97 iLBC/8000\r\na=rtpmap:101 telephone-event/8000\r\na=fmtp:101 0-16\r\na=silenceSupp:off - - - -\r\n' >» bye=sip[7] >>> raw=bye.getlayer(Raw) »> raw.load="BYE sip: ferda@unob.cz SIP/2.0" + raw.load[14:] »> packet=IP(src="86.64.162.35", dst="192.168.0.215") / UDP(sport=5060, dport=5060) / raw »> send (packet) 12 Directory Enumeration (inventarizace adresáře) Slabá místa Utok Účinek Nástroje Opatření - neautorizované funkčnosti - protokol odpovídá jinak na platná a neplatná usernames - nezašifrované přenosy - aktivní: speciální zprávy - pasivní: odchyt zpráv registračního procesu - prozrazení jmen uživatelů - SIPCrack, enumlAX, SIPSCAN, NeWT Security Scanner, Retina Network Security Scanner, SAINT - šifrování signalizace - protokoly nesmí jinak odpovídat na platná a jinak na neplatná usernames Skenovací nástroje -NeWT Security Scanner enable NeWT Security Scan Tenable eWT Security Scanner J '& Are your checks up lo date? | 2~=gL H1911SH weWT or puraiase a ffifWdinect foöJ of rhr larril S*turfly;h*tk Tenable NeWT 1*5) Welcome IÜ3 New Scan Task View Reports 15^1 C Other Options Address Book Is* anag Update Plugins See Also NeWT Help # Abo Scan in progress, 44 of 254 host(s) done. 19% Host being scanned Progress □ pen Ports Notes Warnings Holes 192.168,1.1 5% 3 4 0 0 192.168,1.22 1% 3 4 0 0 192.168,1.24 97% 3(99%) 4 0 5 192.168,1.27 72% 4 8 0 0 192.168,1.53 97% 7 9 0 1 192.168,1.23 97% 0 0 0 0 192.168,1.21 95% 5 10 0 0 192.168,1.25 6% 3(94%) 4 0 0 192.168,1.54 95% 3 3 0 0 192.168,1.51 96% 5 13 0 0 Pause; Stop Copyright @ 2003-2005 Tenable Network Security. All rights reserved Skenovací nástroje -Tenable NeWT Security Report i Ten able NeWT Security Report - Mlcr Elle Edit ws* ©B*k • O FawmtEs Tools dele ^ y S&ard-! FwrcrihES ^1 es ©life:///C:£>*um^%20£i>fib^^ 133029.ami.vfew_br_hpKL.^J.htfflfl 192. 158.1.27 iRtiriirii n> mp] imtp (25/tcp) -á PDľtIS rjfifih hltpÍBIl/tĽp} jpnrtisapcn PUrji in : 11e1b A wob scrfflj is running antfiis pert PLiqwi Id : 10930 i* il.Ti" Jit w4b HTfir Up? ii ; Pdypair : ji. 1 :\' jf '. I ■ " lltql -ii ii l PIji^i id : 10107 _ f**P3 . *PirtiSOpBn i* Partii upri. tt i5 pmsJtiM to detBrmine tjie exact img wtantr* rsmntn iiust. Descriptor : The-ornátů hostansiYBriti] an iGMPtjmestanp ľftflUŕst.Triu allows an attack* to fcmto-flie date r-tiicti is sat oni yůut rnaďiina Thri rn-ay help hrm tp daFQK-all YDurtima beMd authsnikMOni-ui... . -In.-. : i I i .i i 11. jr.hh i i ■■ i i ItVHtf i LSX *ni■■ ■ 1 i ' 'i KnlP rimritamp tepIks (14). NDÍ1E- / CVSS Baed Scots : D í AViR/AC:! /Aii:NR/C.:N/.n:N/l:N/r+:\] r.W:CKE-lWDÍľ1 Pijgn ID ; m 114 ># Tho ramatc- hast is running Polycom BaundPnirft DP Phcnt PUc^i id : USM £ Horn k tne rpjtr riKcrdpd acrtwpcri lBG.l&a.l.lH] am lflř.lůE.l.ř? : IK. 1 ta. 1.27. ^^^^^^^^^^^^^^^^^m..........i Skenovací nástroje -Retina Network Security Scanner rity Scanner - EVALUATION VERS = File Edit View Tools Help Address: 192.168.1.120 Scan Template: Complete Scar ▼ ^Start Audit Tasks £ Start Scan Modify Address Groups ■ Modify Port Groups Modify Audit Groups ^ Manage Credentials I Poris I Audits □ ptions Othei Places i Di™,», Remediate IJT Reports O Options Select Targets Target Type: Job Nar | test Job Name Status Start Time End.. Data Source test Completed 2/22/20061:47:30 PM 2/22. C:\Program Files\eEye Digit... test |Aborted 2/22/20061:55:16PM 2/22. C:\Program FilesteEye Digit... test Aborted 2/22/2006 2:07:42 PM 2/22. C:\Program FilesKeEye Digit... n test Completed 2/22/20061:45:23 PM 12/22. C:\Program FilesKeEye Digit... ■ Ping Response Host Responded Average Ping Response 8 ms Time To Live 64 Traceroute 192.168.1.27 — □ Audits ■ ♦ IP Services ICMP Timestamp Request 1 Machine Domain Name unknown | | PS Detected Cisco 11151 /Arrowpoint 150 load balancer OS Detected Neoware [was HDS] NetOS V. 2.0.1 OS Detected HP ENTRIA C323QA Closed TCP Ports 65532 Filtered TCP Ports 1 ~ Open TCP Ports r Closed UDP Ports 11409 Open or Filtered UDP Ports G412G □ Ports TCP: 80 WWW-HTTP ■ Wcrld Wide Web HTTP (Hyper Tent Transfer Protccol] TCP: 5060 Unknown Port ■ Processes es: ICMP Timestamp Re Description: Admin Rights Required: ICMP Timestamp request is allowed from arbitrary hosts. No Low For information on how to protect against this vulnerability, upgrade to the full version of Retina. CVE-1999-0524_ 16 Skenovací nástroje - SAINT File Edit View Go Bookmarks Tools Window Help ^ ^ \<& http://domain2:3277B/B277c8c9b6c660ee44e6B81clSS7831e//mot/saint-6.0,R[ ^Search ] ^ 1-'—'y_J Print Reload Stop ^Horne -^Bookmarks ^Red Hat, Inc. Red Hat Network _jSupp Training uiiNr Examine. Exposi SAINT data collection Data collection In progress... Maximum concurrent probes = 1 0 Running fping -f hosts_to_fping (maximum 120 seconds) Running dns. saint 192.1 68.1.27 (maximum 45 seconds) • Running ostype. saint 1 92.1 68.1.27 (maximum 120 seconds) • Running tcpscan.saint 1 0008; 1 0202; 10203;12754;1 3701 ;13722; 14247,1 51 04,1 6660,20031:20432:21 700,25702,27374,27665,32766,33270,33567,33568,36010,36794,41080,41523,428 192.1 68.1.27 (maximum 1 250 seconds) Running rpc.saint 1 92.168.1.27 (maximum 45 seconds) ^ Running ddos.saint 192.168.1.27 (maximum 45 seconds) • Running adore, saint 1 92.1 68.1.27 (maximum 45 seconds) • Running udpscan. saint 1-19,53,67-69,111,123,137-139,161 -1 62,1 77; 1434,1 81 2,1 900,3401,5060,51 35:5632,7777,8999,9900,17185,20-52,54-66,70-110,112-1 22124-136,140-1 60,163-1 192.168.1.27 (maximum 120 seconds) ^ Processing data • Processing data • Running oracle.saint -u "" 5060:TCP 192.168.1.27 (maximum 45 seconds) • Running proxy, saint http-connect http 1 92.1 68.1.27 (maximum 45 seconds) • Running Sybase, saint -u sa 5060 TCP 192.168.1.27 (maximum 45 seconds) • Running http. saint -u "" -x 0/cgi-bin/http 192.168.1.27 (maximum 360 seconds) • Running http. saint -u "" -x 0 / http 1 92.168.1.27 (maximum 360 seconds) Running http. saint -u "" -x 0 .■'scripts:''http 192.1 68.1.27 (maximum 360 seconds) • Running tcp_reset. saint 5060:TCP 192.1 68.1.27 (maximum 45 seconds) -isW Transferring datafrom domain2.. 17 Cain Abel: Sniffer, Password cracker http://www.oxid.it/ca_um/ File View Configure Tools Help ♦ CHRLL EHRLl NTLM SPDDF 5PQDF AUTH RESET NTLtl B 64 m M m O 31 © Of XL Decoders | j1 Network | __> Sniffer | J Cracker | $ Traceroute | __j CCDU | Wireless Cached Passwords ■fm Protected Storage $ LSA Secrets _>8 Wireless Passwords ^ IE7 Passwords Hj3 Windows Mail Passwords .• g) Dialup Passwords F»» Edit Boxes Enterprise Manager -f* Credential Manager Press the + button on the toolbar to dump Credential Manager Passwords J ffifr Credential Manager |" http://www.oxid.it 21 G711 uLaw, G771 aLaw, ADPCm' DVI4, LPC, GSM610, Microsoft GSM, L16T G729, Speex, il_B and my understanding is that it is Caller-ID Name Disclosure (získání jména volajícího) ■ Slabá místa Útok Účinek ■ Nástroje ■ Opatření - přístup k Caller-ID - falešná identifikace volajícího - prozrazení jména volajícího -www.fakecaller.com, www.iax.ee, www.spoofcard. - kontrola, jaké jméno je s číslem asociováno Configuration Disclosure: Device (odhaleni zařízení) Slabá místa Utok Účinek ■ Nástroje ■ Opatření - řiditelné rozhraní hardphonů - debugging - port 80, SNMP, debugger - zjištěni - tcpkill - raději obnovu relace než reboot 20 Configuration Disclosure: Infrastructure (odhaleni infrastruktury) ■ Slabá místa - většina hardphonů používá pro bootování FTP nebo TFTP - FTP není bezpečný a TFTP je na tom ještě hůře Útok - rekonstrukce konfigurace Účinek - odhalení citlivé informace (jméno uživatele, heslo, služby, server, brána, registrační server ■ Nástroje - Wireshark, TFTP-Bruteforce, dedukce... ■ Opatření - nepoužívat TFTP, FTP je lepší, ale ne zase tak o tolik © - nepoužívat defaultní jména souborů 21 Útok Účinek Nástroje ■ Opatření Management Interface XSS - zařízení nechrání web s jeho slabinami - lze si zobrazit jeho logy - vložený XSS kód - vykonání kódu Cross-Side-Scripting -jakýkoliv zařízení VolP s uživatelsky konfigurovatelným zobrazováním polí - pokud není potřebné, je třeba webové rozhraní vypnout ■ Slabá místa 22 A řada dalších... ■ odchyt zpráv na médiu ■ falešná komunikace (RTPInsetSound, RTPMixSound, RTPInject) ■ změna komunikace (SteganRTP atd.) IP phone reboot ■ Slabá místa - SCCP běží na TCP, který je citlivý na reset, telefon pak dělá plný reboot Útok - vložení paketu RST do signalizačního kanálu Účinek - služba je během rebootu nedostupná - telefon rebootuje i po záplatě od Cisco ■ Nástroje - tcpkill ■ Opatření - raději obnovu relace než reboot 24 2. Řešení Cisco Vývoj Cisco Unified CallManagera ■ 1998, akvizice mladé společnosti Selsius Systems ■ 2000 verze 3.0 ■ 2001 verze 3.1 ■ 2004 verze 4.0 a 4.1 ■ 2006 verze 4.2 (Unified) a 5.0 ■ 2007 verze 4.3 (Windows) a 5.0 (Linux) ■ 2007 verzi 6.0 (Linux) ■ 2008 verze 7.0 ■ 2010 verze 8.0.1 Šifrování hlasu od verze 4.0, od verze 5.0 i konfigurační soubory EnlEf prut Pflrflrrwtírj CwifJrj _-alJifi naň fluip Davte rŕi_jrjtĽin * MaxPXjmbaTQf Dŕtica LhneH Trjoa * DBCPfůi Fliůi^-baal Sarvioss ' p fůr more lionifliraoňf* TFTP Er_rwtadCůňri_jťabori ■ fŤřuB PSCFrnr Clkd CaMHan-Mcr tn Pari-a [!______* Cometonn Monitor Durattcin T ' jľjjj- CS5(t«íBdn>:g iJĽlS^P DHCTEpftof W27.15J .vťi-\u:k Luif-UJidtLuci BOOTFEeiw No Títrwcnt Siidiťíi MAC Adfress MB0Í4C35EHJ TTixt TŤamt SEPOO[HB4CÍ£E70 Port L iNetworkJ Port 2 (Access) 10.37-13^7 Port l (Phr-ňD SobiuptMod; ÍH 155.155 0 Uíwiťe Log? TFTF Smetl UU7.UJ1 TVbuí Display Dtfauk Rouitr W27.15J i läack Statosbci i ACL umožňující komunikaci mezi IP telefonem a serverem pouze přes port 80. Aktivace potřebných služeb (verze 5.0) CISCO Cisco Unified Serviceability For Cíeco Unified Communications Solutions A=-~i Iraoe r Tools r Service Activation Set to Default Refresh 5tatus ^Status : Ready - Select Server- Server* Check All Services 10.1.1.1 Go CM Service S-tfrvi-c-tf Ndme F Cisco CallManager Activated Cisco TFtp Activated □ Cisco Messaging Interface Deactivated Cisco Unified Mobile Voice Access Service Activated E Cisco IP Voice Media Streaming App Activated W Cisco CTIManager Activated Komunikace s aplikacemi přes CTI, TAPI, JTAPI - šifrovaná a autentizovaná za pomocí certifikátu Nové bezpečnostní vlastnosti Call Manageru 5.0 (r. 2006) • TLS pro autentizaci a šifrování přenosu s SIP telefony • SRTP pro komunikaci mezi SIP telefony a s bránou MGCP • IPSec pro tunelování k branám s lOSem • SSL pro dotazy na adresář LDAP • HTTPS rozhraní místo HTTP; možnost generovat a rušit certifikáty • hostující firewall •Automaticky instalovaný Cisco Security Agent • rychlé resety hesla (rychlý - bez obtěžování admina, bezpečný - bez přerušení služeb) • bezpečnostní profily telefonu s protokolem SIP, SCCP či trunkem • příjem dátumu a času od NTP serveru a jejich další výdej • rozdělení uživatelů do základní a pokročilé skupiny • různé administrátorské účty zaručující pružnost řízení přístupu • vypnutí po třiceti minutách pasivity Klíčové nové či vylepšené bezpečnostní vlastnosti verze 7. • auditní logy • H.235 (např. MIKEY pro klíčový management SRTP) • 802.1x EAP-FAST/TLS (RFC 4851) místo EAP-MD5 (RFC 3847) • Trusted Relay Point Auditní logy ■-ii.il-. CISCO Cisco Unified CM Administration For Cisco Unified Communications Solutions System ^ Call Routing *- Media Resources Voice Mau ▼ Device ▼ Application t User Management Kule Lunfiguratiun nRole Information- Application* Cisco Call Manager Serviceability Name* (standard Audit Log Administration! Description Serviceability Audit Log Administration ■-Resource Access Information- Alarm Configuration web page Alarm Definition wet> page Audit Configuration Audit Trace CDR Management Privilege □ read update n resd n update □ read □ update 0 read 0 update 0 read 0 update □ read □ update novinka pro externisty H.235 (CUCM se da nastavit jako pass-through) Gateway Configuration Icrc I < None -- j Save ^ delete [Q Copy ©j) Reset £ ApplyConfa c[]a Add New Lo cati on * | Hub_Nc AAR Group Tunneled Protocul* QSIG Variant* ASN.l ROSE DID Encoding* Use Trusted Relay Point* Signaling Port* TJ None No Changes "3 No Changes Default ~3 11 1720 E Media Termination Point Required Retry Video Call As Audio P Wait for Far End H.245 Terminal Capability Set l"~ Path Replacement Support V Transmit UTF-3 for Calling Party Name E SRTP Allowed - When this Flag is checked, IPSec needs to be configured in the network to provide end to end seci infjflUllitiufT-—~—" P H.235 Pass Through Allowed p Multilevel Precedence and Preemption (MLPP) Information- 802.1 x EAP-FAST/TLS §323 54 01/21/09 1000 Status Messages 23:54:08 802.1X Authentication: Successful - EAP-TLS ___ TLS zabezpečuje šifrování, autentizaci a kompresi, autentizace může být i vzájemná, nejen klienta vůči serveru Trusted Relay Point (trusted VLAN traversal) Location AAR Group User Locale Network Locale Built In Bridge* Privacy* Device Mobility Mode* Owner User ID Phone Load Name Join Across Lines Use Trusted Relay Point* BLF Audible Alert Setting (Phone Idle)* BLF Audible Alert \ site A Default _ Current Device Mobility Settings < None > <■ None > < None > Default Default <■ None > Default On Default Default 3 "3 "3 3 3 3 r I View 3 "3 3] "3 "3 Virtuální směrovače propojují datovou a hlasovou VLAN export Data-VRF import Services-VRF foice-VRF import Services-VRF export Service-VRF import Data-VRF import Voice-VRF Nové či vylepšené bezpečnostní vlastnosti verze 8.0.1 ■ bezpečnostní monitoring a záznamy ■ podpora HTTPS pro telefonní služby ■ vylepšení kreditních služeb ■ VPN klienti pro IP telefony ■ bezpečnost ve výchozím nastavení (Security by Default) Bezpečnostní monitoring a záznamy • příposlechy • problémy se šifrováním, zvláště u více proudů • použití Trusted Relay Pointu Podpora HTTPS Extension Mobility a to nově i mezi klastry Service Information b M Service Name* ASCII Service Narne*[ijij Service Description Service URL EM http: //l 0 ,B9.82 ■ 3 6: B 0 3 O/e m a p p/E MApp S e rv I et?devi ce Secure-Service URL https://10.89.62.36:3080/ernapp/EHAppServlet?devicť Service Category Service Type* Service Vendor Service Version PI Enable □ Enterprise Subscription XML S ervice Standard IP Phone Service Vylepšení kreditních služeb oo ip Gornnuftcator n _ • . 09 32 08 07.09 1007 iChangc Credential User ID: VPN klienti pro IP telefony - tři způsoby směrovač - směrovač doma je ho třeba konfigurovat a spravovat telefon doma s TLS + SRTP- AS A phone-proxy - mohu jen telefonovat •SSLVPN (nové) mohu volat z domu a užívat si všech služeb bez omezení Nastavení SSL VPN na telefonu 17 25 11/04/09 Network Configuration 81135144 i |PC Port Configuration Auto Negotiate I g PC VLAN Select Network Setting VPN Connected Exit 21:27 10/20/09 fa VPN Configuration 1010 Q Concentrator 3 Authentication Mode Username and Password Nastaveni parametrů SSL VPN na CUCM r-VPN Parameters f Parameter Name Parameter Value Suggested Value Enable Auto Network Detect * False V False MTU * 1290 1290 Keep Alive * 60 60 Fail to Connect * 30 30 Client Authentication Method * User And Password V User And Password Enable Password Persistence * False V False Enable Host ID Check * True V True Security by Default Oddělení certifikátů pro podepisování/šifrování a podporu HTTPS, pro interní a externí použití atd. Otázka Jaký je základní princip ochrany sítě vybavené IP telefony? Řešení: komplexní ochrana Odposlech X X X X X X Zahlcení X x X x x Vložení * X x X x x Útok na aplikace X x X x X Útok na Soft klienta * X x X x x Krádeže X X X X X X 3. Útoku na IP telefon v LAN Příklady útoků na IP telefonii v sítích Cisco ■ Přeplnění tabulky CAM u Cisco sítí ■ Utok vygenerováním falešných BPDU ■ Utok pomocí odchycené MAC adresy ■ Neautorizované DHCP a ARP odpovědi 55 Tabulka CAM Jak se s tabulkou CAM (Content-Addressable Memory) pracuje ukazuje následující slajd. Tabulka CAM registruje MAC adresy přiřazené ke konkrétním portům. PC s MAC adresou A a C jsou registrovány v tabulce CAM, PC s MAC B ne. Pokud posílá PC A rámec PC B, je rozeslán všem koncovým stanicím připojeným k přepínači (1). Pokud ale přijde první rámec z cílové stanice B, je tato zaznamenána do tabulky CAM (2). Od této doby jsou rámce pro stanici B posílány přímo na ni. Pokud ale začne útočník generovat jeden rámec za druhým s vymyšlenými MAC adresami odesilatele, je schopen brzy z tabulky CAM vytlačit relevantní údaje a pak se rámce rozhlašují způsobem 1. Je zřejmé, že tabulka CAM je nejslabším místem přístupových sítí. 56 Přeplnění tabulky CAM u Cisco sítí Falešný kořen stromu Pro volbu falešného kořene stromu (topologicky kostra grafu) stačí vygenerovat rámec BPDU s nejmenší hodnotou priority v síti a tím přinutit ostatní přepínače k tomu, aby zvolily ten, u kterého je připojen útočník, za kořen stromu. Obrana je jednoduchá-zakázat takové BPDU na jiných portech než k relevantním přepínačům či definovat kořen: SI(config)#spanning-tree vlan 1-1000 root primáry 58 Utok vygenerováním falešných BPDU Root Bridge Network Attack Host Root Bl id?e Network Attack Host 59 Utok s využitím falešné MAC adresy (1) Přepínač má přehled o koncových stanicích. (2) PC s MAC B se ohlašuje s falešnou adresou A jako adresou odesilatele. (3) Rámce určené pro PC A tečou k PC B. (4) Rámec odesílaný uzlem A vše napravuje, možná jen dočasně. Jak se tomuto útoku bránit? Definovat bezpečnost na portu pomocí příkazu je u rozsáhlejších LAN problematické a tak je vhodnější použití složitějšího prostředku a to VLAN. 60 Utok pomocí odchycené MAC adresy MAC A MAC A MAC B Port 3 O™* i d™» 3 Pol t mac Port mac Poit mac Wpro A Pott mac 1 a 1 a 1 1 a 2 B 3 c 3 B 3 c 2 a,B 3 c 3 B 3 c MAC C MAC C MAC C MAC C 61 DHCP snooping binding Je třeba zajistit, aby DHCP odpovědi (DHCPOffer, DHCPAck nebo DHCPNak) přicházely pouze od relevantního DHCP serveru. To je zajištěno pomocí tzv. DHCP snooping binding tabulky obsahující MAC adresu, IP adresu, lease time, binding type, číslo VLAN a specifikace nechráněného rozhraní. Dynamic ARP Inspection (DAI, také ARP poisoning, ARP Poison Routing) j e zase bezpečnostní vlastnost, která má pod dohledem výskyt ARP paketů v síti. DAI umožňuje správci sítě logovat a rušit ARP pakety s neoprávněnou MAC adresou. Cílem je zabránit útoku typu „man-in-the-middle" (MitM). Útok typu MitM je založen na používání tzv. „nevyžádaných" ARP paketů zvaných gratuitous ARP packets. Jedná o pakety, kterými stanice oznamuje vazbu mezi IP a MAC adresou (ARP Reply), aniž by obdržela požadavek na vyslání takové informace (ARP Request). Stanice většinou nevyžádaný ARP paket přijme a informace z něj si zapíše do ARP cache a používaje. Útočník může například pomocí gratuitous ARP podstrčit stanicím svou MAC adresu místo MAC adresy síťové brány. Stanice pak posílají data do jiných podsítí přes počítač útočníka, který je odposlouchává. Obranou je Dynamic ARP Inspection (DAI), které využívá tabulku, vybudovanou při DHCP Snoopingu. Neboli pokud počítač s MAC adresou dd-dd-dd-dd-dd-dd začne posílat falešné DHCP odpovědi, přepínač je nepřijme, protože nejde o důvěryhodný zdroj DHCP informace. Navíc si buduje tabulku DAI, pomocí které kontroluje ARP odpovědi. Pokud útočník z počítače s MAC adresou cc-cc-cc-cc-cc-cc začne posílat ARP odpovědi, nebude mu věřeno. 62 Neautorizované DHCP a ARP odpovědi 10.1.1.1 aa-aa-aa-aa-aa-aa DAI 10.1.1.2 bb-bb-bb-bb-bb-bb ARP Ca she 10.1.1.2 bb 10.1.1.3 cc 10.1.1.4 dd # ARP Cashe 10.1.1.1 aa 10.1.1.3 cc 10.1.1.4 dd Static 10.1.1.3 cc-cc-cc-cc-cc-cc DHCP 10.1.1.4 d(l-(l(I-(l(l-(l(l-(l(l-d(l 63 Oddělení hlasových a datových VLAN 64 Pokyny ke zkoušce Pozor na http://www.voiptroubleshooter.com/diagnosis/