Halokwadrat Antyfraud Forum - SIP Security

SIP security - czyli jak skutecznie zabezpieczyć VOIP

Michal Podoski, Senior Engineer

Sponsor Prezentacji:

Agenda

1. Headlines

2. SIP – dlaczego?

3. Zagadnienia SIP Security

4. Czego należy się obawiać

5. Jak przeprowadzany jest „typowy atak SIP”

6. Miejsca powstawania luk

7. Powody powstawania luk

8. Rozwiązania

9. HaloKwadrat – Fraud Assassin

1. Headlines







8. Rozwiązania


Headlines

• FBI warning of VoIP attacks

• Sipera raises another $10M to advance UC security

• Verizon beefs up security on wholesale VoIP

• Sipera protecting a million UC devices and counting

• No more Caller ID Spoofing over VoIP

• VoIP hacker sold 10M stolen minutes

• Victim of success: VoIP vulnerability tripled since 2006

• Senate tweaks cybersecurity emergency bill

• Toll fraud and security gaps that can lead to it

• Arrests made in international hacking-fraud ring

• Botnety i chmura obliczeniowa wykorzystywane w atakach na VoIP?

Image: Salvatore Vuono / FreeDigitalPhotos.net

1. Headlines







8. Rozwiązania


SIP – dlaczego?

• 189 dokumentów standaryzujących

• http://www.packetizer.com/ipmc/sip/standards.html

http://www.packetizer.com/ipmc/sip/standards.html

SIP – dlaczego?

• Tekstowy protokół, zbliżony do http, dzięki temu przystępny w analizie

• Wspiera transport UDP, TCP i TLS - przez to musi posiadać nie związany z transportem system utrzymywania stanu sesji

• Skomplikowany we wdrożeniu - patrz ilość standardów

• Masa problemów w interoperacji pomiędzy implementacjami - patrz ilość standardów

• Obsługa poszczególnych roli (MG, Proxy, B2BUA, SBC, SoftSwitch, VAS) w sieciach rozrzucona na wiele urządzeń - patrz interoperacja

1. Headlines







8. Rozwiązania


Zagadnienia SIP Security

abstract: SIP zawierając się w zbiorze systemów telekomunikacyjnych staje się częścią infrastruktury o krytycznej wadze

• Security - zespół procedur zapewniających poprawne działanie systemów

• Niezawodność - wysoka dostępność, redundancja, ciągłość operacji

• Podsłuchiwanie, przechwytywanie i modyfikacja - pakietowe puzzle i człowiek w środku

• Szyfrowanie sygnalizacji i mediów - na papierze, lub jako ostatnia pozycja ToDo List

• Nieautoryzowany dostęp - Web Applications i "default„

Image: jscreationzs / FreeDigitalPhotos.net

Zagadnienia SIP Security

• SIP Fraud

• SPIT - Spam over Internet Telephony

• Vishing - voip phising

Security versus operability

• pogodzenie zabezpieczeń systemów z koniecznością świadczenia usług

Image: jscreationzs / FreeDigitalPhotos.net

1. Headlines







8. Rozwiązania


Czego należy się obawiać

Liczby w US

• 2007 - 2010 - prognoza - 168 milionów linii IP PBX / US

• 2006 - 2010 - prognoza - z 9,9 milionów do 45,8 milionów wzrośnie liczba telefonów IP / US

• 40% spośród powyższych nie ma planu na zabezpiecenie tych systemów / US

• 250 z 299 ankietowanych administratorów IT - określa siebie jako "poniekąd zorientowanych" w zagadnieniach VoIP security /US

dane z press release "US Businesses Lag in Securing VoIP" In-Stat - 2008 rok


Liczby w Europie

• 2005 - 6,5 miliona endpointów IP / EU

• 2006 - 15 milionów endpointów IP / EU

• 2007 - 25,3 milionów endpointów IP / EU

• ... przy penetracji rynku od 2% do 43%

dane z press release "European VoIP — the revolution is underway" TeleGeography - 2008 rok


a u nas?

2005 - 200 tysięcy użytkowników linii VoIP / PL

2009 - 0,5 miliona użytkowników linii VoIP / PL

źródło - UKE Rynek telekomunikacyjny w w Polsce w latach 2005-2009

Instytucje - 2,8% Hardphone, 5% Softphone

źródło – UKE Rynek_telekomunikacyjny_w_Polsce_2010_Klienci_instytucjonalni_27.12.2010


Indywidualni - 2,5% uważa, że korzysta z technologii VoIP, z podziałem na bezpośrednio bez użycia komputera (1,3 %), poprzez komputer (0,9 %) oraz przez karty zdrapki, prepaid, czy numer dostępu (0,3 %)

cyt. "Takie wyniki badania wskazują, że wiele osób nie identyfikuje technologii przekazywania głosu przez „protokół internetowy VoIP” z faktem, iż z technologii tej korzystają komunikatory głosowe."

źródło - UKE Rynek_telekomunikacyjny_w_Polsce_2010_Klienci_indywidualni_27.12.2010

Skąd bierze się taka dysproporcja?


Problem życia codziennego

• już nie chodzi tylko o generowanie ruchu pomiędzy Telco

• SPIT

• zaufanie do mediów przy wykonywaniu codziennych czynności

DoS i DDoS

• skoncentrowane na błędach w działaniu systemów VoIP

• ale i usługowe - np. Call-Center i 10x PRI mp3

• botnet i chmura - idealnym narządziem dla ataków na VoIP

Spoofing

• podstawianie Call-ID

• Multiple Registration, SIP Branch spoofing - podszywanie się pod klienta końcowego

• pozyskiwanie danych poufnych za pośrednictwem podstawionych danych Caller-ID (vishing)


Aktywne metody poszukiwania punktów włamań

• network scanning

• password brute forcing

Finanse

• wykonywanie połączeń korzystnych ze względu na różnice w stawkach wymiany ruchu międzyoperatorskiego

• ale też... tania metoda zgadywania PIN w systemach IVR

"security trough obscurity" - no longer valid

• w przeciwieństwie do PSTN wszystkie opisane metody są praktycznie dostępne dla każdego kto poświęci trochę czasu na przestudiowanie ogólnie dostępnych materiałów


Show me the money - czyli metody, które nie są dostępne dla zwykłego "script kiddie"

• metody wymagające dostępu do laboratorium - np. fuzzing

• fraud schemes

• sysadmin vs. firma profesjonalnie zajmująca się crackingkiem - fikcja?

• PROTOS Test-Suite: c07-sip - security stress testing

PSTN - mnie to nie dotyczy

• luki w zabezpieczeniach SIP przekładają się bezpośrednio na choćby DoS w sieciach PSTN o ograniczonej przepustowości

ad. Headlines

• obawiać się należy systemów SBC, które powstaną jak grzyby po deszczu, oferując rozwiązanie wszystkich problemów

1. Headlines







8. Rozwiązania


Jak przeprowadzany jest „typowy atak SIP”

Co atakujemy?

źródło - Humbug Telecom Labs bazując na Communications Fraud Control Association


Skanujemy

• Whois i Country podstawą sukcesu

• mało jest jeszcze sieci ze sprecyzowanymi publicznie rekordami SRV i NAPTR, więc skanujemy jak leci

Fingerprinting

• często z użyciem informacji plain text / banner grabbing

• w innym wypadku analiza reakcji na znane problemy

Test exploit

• testujemy znane błędy na wykrytym systemie

• zapisujemy dane - numeracje, możliwe interakcje, dopuszczalne metody

• odkładamy na półkę


Porządkowanie po testach

• w przypadkach przejęcia kontroli nad systemem istotne jest pozostawienie minimalnej ilości śladów

• w przypadku ataków zdalnych - wykonujemy je w godzinach "roboczych", by zminimalizować wykrywalność

Playground

• Denial of Service

• nieautoryzowany ruch głosowy SIP z użyciem złamanej autoryzacji lub jej braku

• Directory Exploits - podstawianie rejestracji, przekierowywanie połączeń (multiple REGISTER)

• Added Services - włamania do VM, sciąganie konfiguracji telefonów IP

• Caller-ID spoofing – vishing

• podsłuchiwanie - strumień RTP w środowiskach lokalnych, lub np. SIP Info DTMF dla Rouge SIP Proxy

• SPIT - reklamy over IP :)

1. Headlines







8. Rozwiązania


Miejsca powstawania luk

Startupy

• startujące biznesy

• forum voipfraud.net - pokazuje fraud scheme

Przeniesienie luki w bezpieczeństwie od operatora na obrzeża

• niezabezpieczone CPE

• serwery All-in-One

• fraud z użyciem 2 linii FXO nie jest tak widowiskowy jak 120 równoległych kanałów RTP

Image: renjith krishnan / FreeDigitalPhotos.net

Miejsca powstawania luk

Sprzęt i "default"

• wykorzystujemy jedynie mały procent dostępnych w sprzęcie i oprogramowaniu możliwości

• nieskonfigurowany / źle skonfigurowany sprzęt podstawą luki w bezpieczeństwie

• stare, nie aktualizowane oprogramowanie

Internetworking - łączenie systemów sip

• … a można tylko po adresie IP? - zła polityka podczas zestawiania usług klientom

• zdejmowanie zabezpieczeń na rzecz uruchomienia funkcjonalności


1. Headlines







8. Rozwiązania


Powody powstawania luk

Podejście

• SIP Security jak i każde Security z dziedziny IT to proces a nie produkt

• nie istnieje „magiczny pocisk”, który rozwiąże wszystkie problemy i nie jest nią z pewnością SBC

• ataki to nie tylko miliony pps i tysiące linii logów, to tez przemyślane metody wykorzystywania "złamanych" systemów

Wiedza:

• SIP Security != IP Security

• VoIP Networks != rozszerzenie PSTN

• VoIP networks nie do końca wpasowują sie też w IP networks

• Asterisk nie jest Apache

• SIP Security stawia przed Telco i biznesem nową dziedzinę, zawierającą IP networking, PSTN, Inżynieria OS + zagadnienia typowe dla VoIP

• CVE (Common Vulnerabilities and Exposures), NVD (National Vulnerability Database), NIST – a co to takiego?

Image: Daniel St.Pierre / FreeDigitalPhotos.net

Powody powstawania luk

Cięcie kosztów

• Open Source != free

• tańszy sprzęt - słaby QA, małe community, ale duża ilość wdrożeń = realne zagrożenie

• czy nie zamknęliśmy się z nieskończonej pętli - spadające ceny usług, cięcie kosztów

Nieprzemyślane wdrażanie fukncjanolności w oferowanych produktach?

Logi > /dev/null

• analiza logów odbywa się po "włamaniu"

• lub wcale ...

Image: Daniel St.Pierre / FreeDigitalPhotos.net

1. Headlines







8. Rozwiązania


Rozwiązania

Podstawowy maintenance

• zmiana portów nasłuchu, usunięcie defaultowych kontekstów, firewalling

Podniesienie roli procesu sip security przy wdrożeniach

• aktualnie skupiamy się przede wszystkim na funkcjonalności systemu

• działamy często w bardzo napiętych harmonogramach

• bazujemy na "Data Sheets" produktów, nie testując ich!

Audyty bezpieczeństwa i consulting

• rola administratora bezpieczeństwa

• czy mój sprzęt na pewno pracuje jak powinien?

Polecam artykuł - 9 deadly security gaps (http://www.fiercevoip.com/story/cont-9-deadly-security-gaps/2009-07-30)Image: renjith krishnan / FreeDigitalPhotos.net

http://www.fiercevoip.com/story/cont-9-deadly-security-gaps/2009-07-30

Rozwiązania

Monitoring, analiza i proaktywna polityka bezpieczeństwa (blacklisting)

• blacklisting lokalny - w różnych punktach sieci (Firewall, IDS, SBC, czy w końcu sam SoftSwitch)

• blacklisting zdalny - aplikacje uczące się lub posiadające zdefiniowane typy ataków - trudniejsze do skorumpowania

• systemy NMS, EMS jako podstawa każdego wdrożenia

• gromadzenie każdych logów, ale także metoda ich analizy

• tarpit - dajmy atakującemu odczuć, że go boli

Certyfikacja, albo chociaż on-line test tool, przeprowadzający "well known exploits„


Rozwiązania

Customer education

• konieczność powtórzenia „kuracji antyspamowej”

• niezbędne są narzędzia umożliwiające oznaczenie działania jako niewłaściwe

Community

• przeniesienie AntyFraud forum na kanwę on-line

• wymiana informacji o potencjalnych zagrożeniach, adresach Fraud IP


1. Headlines







8. Rozwiązania


No Silver Bullet - więc co dalej?

Monitoruj ruch na newralgicznych urządzeniach i wykryj fraud zanim będzie cię to sporo kosztowac.

Fraud Assassin - wprowadzenie

•Analiza CDRów “w chumrze”

•Detekcja oszustw w systemach klasy 4 i 5

•Hierarchiczny system zarządzania monitoringiem, notyfikacją i konfiguracją urządzeń

•Bezpieczny system nieodwracalnego anonimozowania danych

•Wieloagentowa analiza czasu rzeczywistego

•Budowanie profili ruchu dla klasy 5tej

Fraud Assassin - przyszłość

Dzisiaj:

•Dostępny tylko dla posiadaczy bram Patton, TelcoBridges

•Dostępny tylko w Polsce

Q3’2011:

•Komercyjny dostęp z wykorzystaniem RADIUS (Asterisk, FreeSwitch, Cisco, Audiocodes,...)

•Kryptograficzne zabezpieczanie i autentykacja pełnych CDRów na potrzeby dowodowe

•Minimum 20 krajów Europy

Fraud Assassin

Dziękujemy!

[email protected]

mailto:[email protected]

Halokwadrat Antyfraud Forum - SIP Security

Technology

Transcript of Halokwadrat Antyfraud Forum - SIP Security