Bezpečnostní problémy VoIP a jejich řešení
Transkript
Bezpečnostní problémy VoIP a jejich řešení
Bezpečnostní problémy VoIP a jejich řešení Miroslav Vozňák – Bakyt Kyrbashov VŠB - Technical University of Ostrava Department of Telecommunications Faculty of Electrical Engineering and Computer Science 17. listopadu 15, 708 33 Ostrava – Poruba mailto:[email protected] http://homel.vsb.cz/~voz29 Quality and Security 2008, Praha, 11.3.2008 1 2 3 4 5 ITU-T H.235 Security and Encryption for H.323 • zaručuje autentizaci, důvěru a integritu • různé bezpečnostní profily 1. základní profil -symetrické klíče, hash funkce CryptoToken ve zprávách RAS, H.225, H.245 6 ITU-T H.235 Security and Encryption for H.323 2. podpisový bezpečnostní profil - nesymetrické šifrování, princip dvou klíčů, - zpráva je podepsána, RAS, H.225, H.245 - náročnější na výkon, generování a ověřování podpisu 3. profil šifrování hlasu, zaručuje šifrování RTP 7 SIP Security - SIP je snadněji analyzovatelný než H.323, textově orientovaný HTTP Basic Authentication - sdílené heslo, kódování base64 HTTP Digest Authentication - sdílené heslo, hashovací funkce MD5 S/MIME - Secure Multipurpose Internet Mail Extension, využívá normy PKCS-7 (Public-Key Cryptograpy Standards), která umožňuje zprávu zašifrovat i podepsat, používá se formát application/pkcs7-mime, druhou možností je formát multipart/signed (obsahuje šifrovaná i nešifrovaná data) SIPS/TLS - používá veřejné klíče pro ověření (PKI), end-to-end zabezpečení 8 Transportní protokoly RTP sám o sobě neobsahuje zabezpečení SRTP, RFC 3711 z roku 2004 - šifrovací standard AES - klíč je získán z inicializačního vektoru IV - master klíč je distribuován přes SDP 9 Zimmermann RTP - Diffie-Hellmanův algoritmus pro výměnu klíčů, dva různé módy: 3072 bit Diffie - Hellman hodnoty 4096 bit Diffie - Hellman hodnoty - obsahuje i detekci módu SRTP nebo ZRTP 10 DoS attack • Implementation flaw DoS - implementační vada, • Flood DoS – záplavový, • Application-level DoS – na aplikační úrovni, • Signaling and transport - signalizační a transportní. Ochrana proti útokům DoS • System hardening – posílení systému, • Strong authentication - silná autentizace, • Traditional firewall – zmírňuje útoky na jednotlivých úrovních. 11 SPIT • Call centres – volací centra, • Call bots – volací roboti, • Ringtone SPIT - vyzváněcí SPIT. Ochrana proti SPITu • platba za volání, • bílý a černý seznam, • IVR (Interactive voice response). Příklady z praxe java -jar voipbot.jar a) SPIT: Send media audio to some SIP user. You need to know the SIP user name and the IP address where it can be reached (The IP of the phone or of the server where it is registered (the SIP domain)). spit (user)@(IP address) (url of the audio.wav) If you need a url for testing, use this one : http://www.arabji.com/Audio/ahwak.wav 12 java -jar voipbot.jar b) DOS: Send INVITE with different transactions to the target (IP phone or SIP server). To paralyze a SIP server, you may need many bots. dos (user)@(IP address) (duration of the attack in ms) dos (IP address) (duration of the attack in ms) c) SCAN: Take a list of destinations and send respective INVITE messages to a SIP server. Depending on the response of the server, a destination is matched as an existent user or not. 13 d) CRACK: if by scaning you discover the SIP username of one user, you can try to crack its password : crack (username) (local file with the list of passwords) (IP address of the registrar) pro http digest je volně na Internetu tool – SIPcrack - SIPcrack-0.2.tar.gz - sipdump, zachycení hash-hesla - sipcrack, pokusí se „uhodnout“ heslo, SCAPY - prolomení základních způsobů zabezpečení - modifikaci obsahu paketů v reálném čase 14 SIPp , DoS útok - open-source generátor pro SIP - umožňuje připojit audio - pro výkonové testy Jak najít SIP Proxy? - pomůže DNS, záznamy SRV - pokud znám E.164, tak je šance, že se přes ENUM dostanu k SIP URI Jaké je řešení výše zmíněných rizik? - end-to-end zabezpečení -> TLS - mezidoménová důvěra – certifikáty pro jednotlivé SIP Proxy, důvěryhodnost - negativním efektem je omezení otevřenosti IP telefonie 15 Experiment s TLS , Ostrava - Miláno lab in Ostrava lab in Milano Géant2 vliv zabezpečení na kvalitu VPN using TLS endpoint for UDP traffic load and VoIP traffic evaluating console endpoint emulating VoIP traffic • Open SSL, Open VPN • IPerf, UDP generátor • IxChariot, emulace VoIP • traffic shaping v Ostravě 6Mbps Jaký se mění R-faktor hovoru? 16 Výsledky the absolute aberrance in measurement [%] G.711Alaw w/o VPN, w/o traffic 0,09 w/o VPN, w traffic 1,34 w VPN, w/o traffic 0,19 w WPN, w traffic 3,2 total 1,14% G.729 0,05 1,47 0,88 1,9 Další experiment s TLS,důkladná měření se SIPp, každý test byl opakován 100x, výsledky budou prezentovány na konferenci TNC 2008 v Belgii 17 Děkuji Vám za pozornost [email protected] 18 Quality and Security 2008, Praha, 11.3.2008