Bezpečnostní problémy VoIP a jejich řešení

Bezpečnostní problémy VoIP a jejich řešení

Bezpečnostní problémy VoIP
a jejich řešení
Miroslav Vozňák – Bakyt Kyrbashov
VŠB - Technical University of Ostrava
Department of Telecommunications
Faculty of Electrical Engineering and Computer Science
17. listopadu 15, 708 33 Ostrava – Poruba
mailto:[email protected]
http://homel.vsb.cz/~voz29
Quality and Security 2008, Praha, 11.3.2008
1
2
3
4
5
ITU-T H.235
Security and Encryption for H.323
• zaručuje autentizaci, důvěru a integritu
• různé bezpečnostní profily
1. základní profil
-symetrické klíče, hash funkce
CryptoToken ve zprávách RAS, H.225, H.245
6
ITU-T H.235
Security and Encryption for H.323
2. podpisový bezpečnostní profil
- nesymetrické šifrování, princip dvou klíčů,
- zpráva je podepsána, RAS, H.225, H.245
- náročnější na výkon, generování a ověřování podpisu
3. profil šifrování hlasu, zaručuje šifrování RTP
7
SIP
Security
- SIP je snadněji analyzovatelný než H.323, textově orientovaný
HTTP Basic Authentication
- sdílené heslo, kódování base64
HTTP Digest Authentication
- sdílené heslo, hashovací funkce MD5
S/MIME
- Secure Multipurpose Internet Mail Extension, využívá normy PKCS-7
(Public-Key Cryptograpy Standards), která umožňuje zprávu zašifrovat i
podepsat, používá se formát application/pkcs7-mime, druhou možností je
formát multipart/signed (obsahuje šifrovaná i nešifrovaná data)
SIPS/TLS
- používá veřejné klíče pro ověření (PKI), end-to-end zabezpečení
8
Transportní protokoly
RTP sám o sobě neobsahuje zabezpečení
SRTP, RFC 3711 z roku 2004
- šifrovací standard AES
- klíč je získán z inicializačního vektoru IV
- master klíč je distribuován přes SDP
9
Zimmermann RTP
- Diffie-Hellmanův algoritmus pro výměnu klíčů, dva různé módy:
3072 bit Diffie - Hellman hodnoty
4096 bit Diffie - Hellman hodnoty
- obsahuje i detekci módu SRTP nebo ZRTP
10
DoS attack
• Implementation flaw DoS - implementační vada,
• Flood DoS – záplavový,
• Application-level DoS – na aplikační úrovni,
• Signaling and transport - signalizační a transportní.
Ochrana proti útokům DoS
• System hardening – posílení systému,
• Strong authentication - silná autentizace,
• Traditional firewall – zmírňuje útoky na jednotlivých úrovních.
11
SPIT
• Call centres – volací centra,
• Call bots – volací roboti,
• Ringtone SPIT - vyzváněcí SPIT.
Ochrana proti SPITu
• platba za volání,
• bílý a černý seznam,
• IVR (Interactive voice response).
Příklady z praxe
java -jar voipbot.jar
a) SPIT:
Send media audio to some SIP user. You need to know the SIP user name and
the IP address where it can be reached (The IP of the phone or of the server
where it is registered (the SIP domain)).
spit (user)@(IP address) (url of the audio.wav)
If you need a url for testing, use this one : http://www.arabji.com/Audio/ahwak.wav
12
java -jar voipbot.jar
b) DOS:
Send INVITE with different transactions to the target (IP phone or SIP
server). To paralyze a SIP server, you may need many bots.
dos (user)@(IP address) (duration of the attack in ms)
dos (IP address) (duration of the attack in ms)
c) SCAN:
Take a list of destinations and send respective INVITE messages to a
SIP server. Depending on the response of the server, a destination is
matched as an existent user or not.
13
d) CRACK:
if by scaning you discover the SIP username of one user, you can try to crack its
password :
crack (username) (local file with the list of passwords) (IP address of the
registrar)
pro http digest je volně na Internetu tool – SIPcrack
- SIPcrack-0.2.tar.gz
- sipdump, zachycení hash-hesla
- sipcrack, pokusí se „uhodnout“ heslo,
SCAPY
- prolomení základních způsobů zabezpečení
- modifikaci obsahu paketů v reálném čase
14
SIPp , DoS útok
- open-source generátor pro SIP
- umožňuje připojit audio
- pro výkonové testy
Jak najít SIP Proxy?
- pomůže DNS, záznamy SRV
- pokud znám E.164, tak je šance, že se přes ENUM dostanu k SIP URI
Jaké je řešení výše zmíněných rizik?
- end-to-end zabezpečení -> TLS
- mezidoménová důvěra – certifikáty pro jednotlivé SIP Proxy, důvěryhodnost
- negativním efektem je omezení otevřenosti IP telefonie
15
Experiment s TLS , Ostrava - Miláno
lab in Ostrava
lab in Milano
Géant2
vliv zabezpečení na kvalitu
VPN using TLS
endpoint for UDP
traffic load and VoIP
traffic
evaluating console
endpoint emulating
VoIP traffic
• Open SSL, Open VPN
• IPerf, UDP generátor
• IxChariot, emulace VoIP
• traffic shaping v Ostravě 6Mbps
Jaký se mění R-faktor hovoru?
16
Výsledky
the absolute aberrance in measurement [%]
G.711Alaw
w/o VPN, w/o traffic
0,09
w/o VPN, w traffic
1,34
w VPN, w/o traffic
0,19
w WPN, w traffic
3,2
total 1,14%
G.729
0,05
1,47
0,88
1,9
Další experiment s TLS,důkladná měření se SIPp, každý test byl opakován
100x, výsledky budou prezentovány na konferenci TNC 2008 v Belgii
17
Děkuji Vám za pozornost
[email protected]
18
Quality and Security 2008, Praha, 11.3.2008