Halokwadrat Antyfraud Forum - SIP Security
-
Upload
michalpodoski -
Category
Technology
-
view
520 -
download
1
Transcript of Halokwadrat Antyfraud Forum - SIP Security
SIP security - czyli jak skutecznie zabezpieczyć VOIP
Michal Podoski, Senior Engineer
Sponsor Prezentacji:
Agenda
1. Headlines
2. SIP – dlaczego?
3. Zagadnienia SIP Security
4. Czego należy się obawiać
5. Jak przeprowadzany jest „typowy atak SIP”
6. Miejsca powstawania luk
7. Powody powstawania luk
8. Rozwiązania
9. HaloKwadrat – Fraud Assassin
1. Headlines
2. SIP – dlaczego?
3. Zagadnienia SIP Security
4. Czego należy się obawiać
5. Jak przeprowadzany jest „typowy atak SIP”
6. Miejsca powstawania luk
7. Powody powstawania luk
8. Rozwiązania
9. HaloKwadrat – Fraud Assassin
Headlines
• FBI warning of VoIP attacks
• Sipera raises another $10M to advance UC security
• Verizon beefs up security on wholesale VoIP
• Sipera protecting a million UC devices and counting
• No more Caller ID Spoofing over VoIP
• VoIP hacker sold 10M stolen minutes
• Victim of success: VoIP vulnerability tripled since 2006
• Senate tweaks cybersecurity emergency bill
• Toll fraud and security gaps that can lead to it
• Arrests made in international hacking-fraud ring
• Botnety i chmura obliczeniowa wykorzystywane w atakach na VoIP?
Image: Salvatore Vuono / FreeDigitalPhotos.net
1. Headlines
2. SIP – dlaczego?
3. Zagadnienia SIP Security
4. Czego należy się obawiać
5. Jak przeprowadzany jest „typowy atak SIP”
6. Miejsca powstawania luk
7. Powody powstawania luk
8. Rozwiązania
9. HaloKwadrat – Fraud Assassin
SIP – dlaczego?
• 189 dokumentów standaryzujących
• http://www.packetizer.com/ipmc/sip/standards.html
SIP – dlaczego?
• Tekstowy protokół, zbliżony do http, dzięki temu przystępny w analizie
• Wspiera transport UDP, TCP i TLS - przez to musi posiadać nie związany z transportem system utrzymywania stanu sesji
• Skomplikowany we wdrożeniu - patrz ilość standardów
• Masa problemów w interoperacji pomiędzy implementacjami - patrz ilość standardów
• Obsługa poszczególnych roli (MG, Proxy, B2BUA, SBC, SoftSwitch, VAS) w sieciach rozrzucona na wiele urządzeń - patrz interoperacja
1. Headlines
2. SIP – dlaczego?
3. Zagadnienia SIP Security
4. Czego należy się obawiać
5. Jak przeprowadzany jest „typowy atak SIP”
6. Miejsca powstawania luk
7. Powody powstawania luk
8. Rozwiązania
9. HaloKwadrat – Fraud Assassin
Zagadnienia SIP Security
abstract: SIP zawierając się w zbiorze systemów telekomunikacyjnych staje się częścią infrastruktury o krytycznej wadze
• Security - zespół procedur zapewniających poprawne działanie systemów
• Niezawodność - wysoka dostępność, redundancja, ciągłość operacji
• Podsłuchiwanie, przechwytywanie i modyfikacja - pakietowe puzzle i człowiek w środku
• Szyfrowanie sygnalizacji i mediów - na papierze, lub jako ostatnia pozycja ToDo List
• Nieautoryzowany dostęp - Web Applications i "default„
Image: jscreationzs / FreeDigitalPhotos.net
Zagadnienia SIP Security
• SIP Fraud
• SPIT - Spam over Internet Telephony
• Vishing - voip phising
Security versus operability
• pogodzenie zabezpieczeń systemów z koniecznością świadczenia usług
Image: jscreationzs / FreeDigitalPhotos.net
1. Headlines
2. SIP – dlaczego?
3. Zagadnienia SIP Security
4. Czego należy się obawiać
5. Jak przeprowadzany jest „typowy atak SIP”
6. Miejsca powstawania luk
7. Powody powstawania luk
8. Rozwiązania
9. HaloKwadrat – Fraud Assassin
Czego należy się obawiać
Liczby w US
• 2007 - 2010 - prognoza - 168 milionów linii IP PBX / US
• 2006 - 2010 - prognoza - z 9,9 milionów do 45,8 milionów wzrośnie liczba telefonów IP / US
• 40% spośród powyższych nie ma planu na zabezpiecenie tych systemów / US
• 250 z 299 ankietowanych administratorów IT - określa siebie jako "poniekąd zorientowanych" w zagadnieniach VoIP security /US
dane z press release "US Businesses Lag in Securing VoIP" In-Stat - 2008 rok
Czego należy się obawiać
Liczby w Europie
• 2005 - 6,5 miliona endpointów IP / EU
• 2006 - 15 milionów endpointów IP / EU
• 2007 - 25,3 milionów endpointów IP / EU
• ... przy penetracji rynku od 2% do 43%
dane z press release "European VoIP — the revolution is underway" TeleGeography - 2008 rok
Czego należy się obawiać
a u nas?
2005 - 200 tysięcy użytkowników linii VoIP / PL
2009 - 0,5 miliona użytkowników linii VoIP / PL
źródło - UKE Rynek telekomunikacyjny w w Polsce w latach 2005-2009
Instytucje - 2,8% Hardphone, 5% Softphone
źródło – UKE Rynek_telekomunikacyjny_w_Polsce_2010_Klienci_instytucjonalni_27.12.2010
Czego należy się obawiać
Indywidualni - 2,5% uważa, że korzysta z technologii VoIP, z podziałem na bezpośrednio bez użycia komputera (1,3 %), poprzez komputer (0,9 %) oraz przez karty zdrapki, prepaid, czy numer dostępu (0,3 %)
cyt. "Takie wyniki badania wskazują, że wiele osób nie identyfikuje technologii przekazywania głosu przez „protokół internetowy VoIP” z faktem, iż z technologii tej korzystają komunikatory głosowe."
źródło - UKE Rynek_telekomunikacyjny_w_Polsce_2010_Klienci_indywidualni_27.12.2010
Skąd bierze się taka dysproporcja?
Czego należy się obawiać
Problem życia codziennego
• już nie chodzi tylko o generowanie ruchu pomiędzy Telco
• SPIT
• zaufanie do mediów przy wykonywaniu codziennych czynności
DoS i DDoS
• skoncentrowane na błędach w działaniu systemów VoIP
• ale i usługowe - np. Call-Center i 10x PRI mp3
• botnet i chmura - idealnym narządziem dla ataków na VoIP
Spoofing
• podstawianie Call-ID
• Multiple Registration, SIP Branch spoofing - podszywanie się pod klienta końcowego
• pozyskiwanie danych poufnych za pośrednictwem podstawionych danych Caller-ID (vishing)
Czego należy się obawiać
Aktywne metody poszukiwania punktów włamań
• network scanning
• password brute forcing
Finanse
• wykonywanie połączeń korzystnych ze względu na różnice w stawkach wymiany ruchu międzyoperatorskiego
• ale też... tania metoda zgadywania PIN w systemach IVR
"security trough obscurity" - no longer valid
• w przeciwieństwie do PSTN wszystkie opisane metody są praktycznie dostępne dla każdego kto poświęci trochę czasu na przestudiowanie ogólnie dostępnych materiałów
Czego należy się obawiać
Show me the money - czyli metody, które nie są dostępne dla zwykłego "script kiddie"
• metody wymagające dostępu do laboratorium - np. fuzzing
• fraud schemes
• sysadmin vs. firma profesjonalnie zajmująca się crackingkiem - fikcja?
• PROTOS Test-Suite: c07-sip - security stress testing
PSTN - mnie to nie dotyczy
• luki w zabezpieczeniach SIP przekładają się bezpośrednio na choćby DoS w sieciach PSTN o ograniczonej przepustowości
ad. Headlines
• obawiać się należy systemów SBC, które powstaną jak grzyby po deszczu, oferując rozwiązanie wszystkich problemów
1. Headlines
2. SIP – dlaczego?
3. Zagadnienia SIP Security
4. Czego należy się obawiać
5. Jak przeprowadzany jest „typowy atak SIP”
6. Miejsca powstawania luk
7. Powody powstawania luk
8. Rozwiązania
9. HaloKwadrat – Fraud Assassin
Jak przeprowadzany jest „typowy atak SIP”
Co atakujemy?
źródło - Humbug Telecom Labs bazując na Communications Fraud Control Association
Jak przeprowadzany jest „typowy atak SIP”
Skanujemy
• Whois i Country podstawą sukcesu
• mało jest jeszcze sieci ze sprecyzowanymi publicznie rekordami SRV i NAPTR, więc skanujemy jak leci
Fingerprinting
• często z użyciem informacji plain text / banner grabbing
• w innym wypadku analiza reakcji na znane problemy
Test exploit
• testujemy znane błędy na wykrytym systemie
• zapisujemy dane - numeracje, możliwe interakcje, dopuszczalne metody
• odkładamy na półkę
Jak przeprowadzany jest „typowy atak SIP”
Porządkowanie po testach
• w przypadkach przejęcia kontroli nad systemem istotne jest pozostawienie minimalnej ilości śladów
• w przypadku ataków zdalnych - wykonujemy je w godzinach "roboczych", by zminimalizować wykrywalność
Playground
• Denial of Service
• nieautoryzowany ruch głosowy SIP z użyciem złamanej autoryzacji lub jej braku
• Directory Exploits - podstawianie rejestracji, przekierowywanie połączeń (multiple REGISTER)
• Added Services - włamania do VM, sciąganie konfiguracji telefonów IP
• Caller-ID spoofing – vishing
• podsłuchiwanie - strumień RTP w środowiskach lokalnych, lub np. SIP Info DTMF dla Rouge SIP Proxy
• SPIT - reklamy over IP :)
1. Headlines
2. SIP – dlaczego?
3. Zagadnienia SIP Security
4. Czego należy się obawiać
5. Jak przeprowadzany jest „typowy atak SIP”
6. Miejsca powstawania luk
7. Powody powstawania luk
8. Rozwiązania
9. HaloKwadrat – Fraud Assassin
Miejsca powstawania luk
Startupy
• startujące biznesy
• forum voipfraud.net - pokazuje fraud scheme
Przeniesienie luki w bezpieczeństwie od operatora na obrzeża
• niezabezpieczone CPE
• serwery All-in-One
• fraud z użyciem 2 linii FXO nie jest tak widowiskowy jak 120 równoległych kanałów RTP
Image: renjith krishnan / FreeDigitalPhotos.net
Miejsca powstawania luk
Sprzęt i "default"
• wykorzystujemy jedynie mały procent dostępnych w sprzęcie i oprogramowaniu możliwości
• nieskonfigurowany / źle skonfigurowany sprzęt podstawą luki w bezpieczeństwie
• stare, nie aktualizowane oprogramowanie
Internetworking - łączenie systemów sip
• … a można tylko po adresie IP? - zła polityka podczas zestawiania usług klientom
• zdejmowanie zabezpieczeń na rzecz uruchomienia funkcjonalności
Image: renjith krishnan / FreeDigitalPhotos.net
1. Headlines
2. SIP – dlaczego?
3. Zagadnienia SIP Security
4. Czego należy się obawiać
5. Jak przeprowadzany jest „typowy atak SIP”
6. Miejsca powstawania luk
7. Powody powstawania luk
8. Rozwiązania
9. HaloKwadrat – Fraud Assassin
Powody powstawania luk
Podejście
• SIP Security jak i każde Security z dziedziny IT to proces a nie produkt
• nie istnieje „magiczny pocisk”, który rozwiąże wszystkie problemy i nie jest nią z pewnością SBC
• ataki to nie tylko miliony pps i tysiące linii logów, to tez przemyślane metody wykorzystywania "złamanych" systemów
Wiedza:
• SIP Security != IP Security
• VoIP Networks != rozszerzenie PSTN
• VoIP networks nie do końca wpasowują sie też w IP networks
• Asterisk nie jest Apache
• SIP Security stawia przed Telco i biznesem nową dziedzinę, zawierającą IP networking, PSTN, Inżynieria OS + zagadnienia typowe dla VoIP
• CVE (Common Vulnerabilities and Exposures), NVD (National Vulnerability Database), NIST – a co to takiego?
Image: Daniel St.Pierre / FreeDigitalPhotos.net
Powody powstawania luk
Cięcie kosztów
• Open Source != free
• tańszy sprzęt - słaby QA, małe community, ale duża ilość wdrożeń = realne zagrożenie
• czy nie zamknęliśmy się z nieskończonej pętli - spadające ceny usług, cięcie kosztów
Nieprzemyślane wdrażanie fukncjanolności w oferowanych produktach?
Logi > /dev/null
• analiza logów odbywa się po "włamaniu"
• lub wcale ...
Image: Daniel St.Pierre / FreeDigitalPhotos.net
1. Headlines
2. SIP – dlaczego?
3. Zagadnienia SIP Security
4. Czego należy się obawiać
5. Jak przeprowadzany jest „typowy atak SIP”
6. Miejsca powstawania luk
7. Powody powstawania luk
8. Rozwiązania
9. HaloKwadrat – Fraud Assassin
Rozwiązania
Podstawowy maintenance
• zmiana portów nasłuchu, usunięcie defaultowych kontekstów, firewalling
Podniesienie roli procesu sip security przy wdrożeniach
• aktualnie skupiamy się przede wszystkim na funkcjonalności systemu
• działamy często w bardzo napiętych harmonogramach
• bazujemy na "Data Sheets" produktów, nie testując ich!
Audyty bezpieczeństwa i consulting
• rola administratora bezpieczeństwa
• czy mój sprzęt na pewno pracuje jak powinien?
Polecam artykuł - 9 deadly security gaps (http://www.fiercevoip.com/story/cont-9-deadly-security-gaps/2009-07-30)Image: renjith krishnan / FreeDigitalPhotos.net
Rozwiązania
Monitoring, analiza i proaktywna polityka bezpieczeństwa (blacklisting)
• blacklisting lokalny - w różnych punktach sieci (Firewall, IDS, SBC, czy w końcu sam SoftSwitch)
• blacklisting zdalny - aplikacje uczące się lub posiadające zdefiniowane typy ataków - trudniejsze do skorumpowania
• systemy NMS, EMS jako podstawa każdego wdrożenia
• gromadzenie każdych logów, ale także metoda ich analizy
• tarpit - dajmy atakującemu odczuć, że go boli
Certyfikacja, albo chociaż on-line test tool, przeprowadzający "well known exploits„
Image: renjith krishnan / FreeDigitalPhotos.net
Rozwiązania
Customer education
• konieczność powtórzenia „kuracji antyspamowej”
• niezbędne są narzędzia umożliwiające oznaczenie działania jako niewłaściwe
Community
• przeniesienie AntyFraud forum na kanwę on-line
• wymiana informacji o potencjalnych zagrożeniach, adresach Fraud IP
Image: renjith krishnan / FreeDigitalPhotos.net
1. Headlines
2. SIP – dlaczego?
3. Zagadnienia SIP Security
4. Czego należy się obawiać
5. Jak przeprowadzany jest „typowy atak SIP”
6. Miejsca powstawania luk
7. Powody powstawania luk
8. Rozwiązania
9. HaloKwadrat – Fraud Assassin
No Silver Bullet - więc co dalej?
Monitoruj ruch na newralgicznych urządzeniach i wykryj fraud zanim będzie cię to sporo kosztowac.
Fraud Assassin - wprowadzenie
•Analiza CDRów “w chumrze”
•Detekcja oszustw w systemach klasy 4 i 5
•Hierarchiczny system zarządzania monitoringiem, notyfikacją i konfiguracją urządzeń
•Bezpieczny system nieodwracalnego anonimozowania danych
•Wieloagentowa analiza czasu rzeczywistego
•Budowanie profili ruchu dla klasy 5tej
Fraud Assassin - przyszłość
Dzisiaj:
•Dostępny tylko dla posiadaczy bram Patton, TelcoBridges
•Dostępny tylko w Polsce
Q3’2011:
•Komercyjny dostęp z wykorzystaniem RADIUS (Asterisk, FreeSwitch, Cisco, Audiocodes,...)
•Kryptograficzne zabezpieczanie i autentykacja pełnych CDRów na potrzeby dowodowe
•Minimum 20 krajów Europy
Fraud Assassin