VoIP. VoIP biztonság

Hasonló dokumentumok
VoIP biztonság. BME - TMIT Médiabiztonság feher.gabor@tmit.bme.hu

Előnyei. Helyi hálózatok tervezése és üzemeltetése 2

IP alapú távközlés. Virtuális magánhálózatok (VPN)


Sapientia Egyetem, Matematika-Informatika Tanszék.

ICE, STUN, TURN. Mészáros Mihály. A jég(ice), a kanyar (TURN), a bódulat (STUN) és a kijózanító tűzfal (Firewall) NIIF Intézet NETWORKSHOP 2016

IP Telefónia és Biztonság

Titkosítás NetWare környezetben

Fábián Zoltán Hálózatok elmélet

Networkshop 2014 (április ) 1.

Hálózatok építése és üzemeltetése. Hálózatbiztonság 1.

SIP. Jelzés a telefóniában. Session Initiation Protocol

Az intézményi hálózathoz való hozzáférés szabályozása

VoIP Megoldások. Készítette: Lipcsei János

A tűzfal mögötti adatvédelem. Kalmár István ICT technológia szakértő

VoIP (Voice over IP)

4. Az alkalmazások hatása a hálózat tervezésre

VoIP technológiák összehasonlítása (H.323, SIP)

Hálózatok építése és üzemeltetése. Hálózatbiztonság 2.

Ethernet/IP címzés - gyakorlat

INFOKOMMUNIKÁCIÓS SZOLGÁLTATÁSOK ÉS ALKALMAZÁSOK

Alkalmazás rétegbeli protokollok:

Virtuális magánházlózatok / VPN

S, mint secure. Nagy Attila Gábor Wildom Kft.

Biztonság a glite-ban

Tűzfalak működése és összehasonlításuk

Építsünk IP telefont!

Beállítások 1. Töltse be a Planet_NET.pkt állományt a szimulációs programba! A teszthálózat már tartalmazza a vállalat

Eduroam változások - fejlesztések, fejlődések. Mohácsi János NIIF Intézet HBONE Workshop 2015

IP alapú távközlés. Voice over IP (VoIP)

vezeték nélküli Turi János Mérnök tanácsadó Cisco Systems Magyarország Kft.

Mosolygó Ferenc. Értékesítési Konzultáns.

VoIP Peering technológiák

E mail titkosítás az üzleti életben ma már követelmény! Ön szerint ki tudja elolvasni bizalmas leveleinket?

Két típusú összeköttetés PVC Permanent Virtual Circuits Szolgáltató hozza létre Operátor manuálisan hozza létre a végpontok között (PVI,PCI)

Multiprotocol encapsulation (RFC1483) - IETF Classical IP over ATM (RFC1577) - IETF LAN Emulation (LANE) - ATM Forum Multiprotocol over ATM (MPOA) -

13. gyakorlat Deák Kristóf

IT BIZTONSÁGTECHNIKA. Tanúsítványok. Nagy-Löki Balázs MCP, MCSA, MCSE, MCTS, MCITP. Készítette:

Asterisk VoIP bevezetése, üzemeltetése. Vass Attila Infobex Kft

Cisco ISE megoldások. Balatonalmádi, február 27. Détári Gábor, senior rendszermérnök

IP alapú kommunikáció. 11. Előadás Hálózat Monitoring/Hálózat Manadgement Kovács Ákos

Az adatfeldolgozás és adatátvitel biztonsága. Az adatfeldolgozás biztonsága. Adatbiztonság. Automatikus adatazonosítás, adattovábbítás, adatbiztonság

Az adott eszköz IP címét viszont az adott hálózat üzemeltetői határozzákmeg.

VIRTUÁLIS LAN ÉS VPN

WebEC kliens számítógép telepítése és szükséges feltételek beállítása, az alábbi ellenőrző lista alapján történik.

Infokommunikációs szolgáltatások és alkalmazások

Számítógépes Hálózatok Felhasználói réteg DNS, , http, P2P

Felhasználói réteg. Számítógépes Hálózatok Domain Name System (DNS) DNS. Domain Name System

Hálózatok építése, konfigurálása és működtetése EAP - RADIUS

Mobile network offloading. Ratkóczy Péter Konvergens hálózatok és szolgáltatások (VITMM156) 2014 tavasz

IP TELEFÓNIA ÉS BIZTONSÁG

Izsó Krisztián Péti Zoltán. Cisco Identity Services Engine

Technikai tudnivalók a Saxo Trader Letöltéséhez tűzfalon vagy proxy szerveren keresztül

A 35/2016. (VIII. 31.) NFM rendelet szakmai és vizsgakövetelménye alapján.

A Cisco IP telefónia újdonságai

Fábián Zoltán Hálózatok elmélet

Forgalmi grafikák és statisztika MRTG-vel

Számítógép hálózatok

A WiFi hálózatok technikai háttere

Biztonságos mobilalkalmazás-fejlesztés a gyakorlatban. A CryptTalk fejlesztése során alkalmazott módszerek. Dr. Barabás Péter Arenim Technologies

eduroam konfiguráció workshop Mohácsi János NIIF Intézet

Az alábbi állítások közül melyek a forgalomirányító feladatai és előnyei?

Eduroam Az NIIF tervei

Dr. Beinschróth József Kriptográfiai alkalmazások, rejtjelezések, digitális aláírás

TELE-OPERATOR UTS v.14 Field IPTV műszer. Adatlap

Fábián Zoltán Hálózatok elmélet

A hang és az adatkommunikáció nagyágyúi május 17.

IT hálózat biztonság. A WiFi hálózatok biztonsága

5.1 Környezet Hálózati topológia

Építsünk IP telefont!

Számítógépes Hálózatok ősz Hálózati réteg IP címzés, ARP, Circuit Switching, Packet Switching

A 35/2016. (VIII. 31.) NFM rendelet szakmai és vizsgakövetelménye alapján.

Infokommunikációs alkalmazásfejlesztő. Informatikai alkalmazásfejlesztő


Tartalom. Történeti áttekintés. Történeti áttekintés Architektúra DCOM vs CORBA. Szoftvertechnológia

Hálózati architektúrák laborgyakorlat

Hálózati architektúrák laborgyakorlat

Hálózati architektúrák és Protokollok GI Kocsis Gergely

Használati útmutató a Székács Elemér Szakközépiskola WLAN hálózatához

TRBOnet Térinformatikai terminál és diszpécseri konzol

Internet Protokoll 6-os verzió. Varga Tamás

G Data MasterAdmin 9 0 _ 09 _ _ # r_ e p a P ch e T 1

IP biztonság 2. rész

Tájékoztató. Használható segédeszköz: -

A készülék fő egységei X1 X1 (kizárólag vezeték nélküli kamera esetében X1 X1 X1 X1 X1

Bevezető. PoC kit felépítése. NX appliance. SPAN-Proxy

Fábián Zoltán Hálózatok elmélet

Adat és információvédelem Informatikai biztonság. Dr. Beinschróth József CISA

Jogában áll belépni?!

Mérési útmutató a Secure Shell (SSH) controll és audit című méréshez

Alapfogalmak. Biztonság. Biztonsági támadások Biztonsági célok

SSL elemei. Az SSL illeszkedése az internet protokoll-architektúrájába

MOTIware IMS MediaGateway megvalósítása. Új generációs multimédiás szolgáltatások IMS alapokon

Tartalom. 8.1 ISP biztonsági megfontolások 8.2 ISP felelősség 8.3 Szolgáltatói szerződés 8.4 Biztonsági mentések és katasztrófahelyzet helyreállítás

CISCO gyakorlati segédlet. Összeállította: Balogh Zoltán

Hibrid Cloud az új Oracle Enterprise Manager Cloud Control 13c-vel

Cisco Catalyst 3500XL switch segédlet

Testnevelési Egyetem VPN beállítása és használata

Tanúsítványkérelem készítése, tanúsítvány telepítése Microsoft Internet Information szerveren

Adatbázis kezelő szoftverek biztonsága. Vasi Sándor G-3S

Átírás:

VoIP VoIP biztonság

VoIP támadások Támadás a VoIP szoftveren keresztül OS támadása Windows és Linux/UNIX alapok - szerverek Hardphone hibák Konfigurációs hibák kihasználása Gyenge jelszavak SNMP hozzáférés TFTP boot VOMIT: voice over misconfigured internet telephones Támadás a VoIP hálózaton keresztül Layer 2 támadások ARP támadás Gratuitous ARP -> MiM DHCP támadás (rouge DHCP, DHCP starvation) Layer3 támadások DDoS TCP/UDP támadások Lehallgatás 2

VoIP támadások 2. Támadás VoIP protokollon keresztül Nem specifikált működés DoS Hamisított SIP H.323 üzenetek CANCEL vagy BYE ICMP port unreachable üzenet küldése Hívásrablás SIP üzenet, hogy a másik fél mozog 3

VoIP telefon tanúsítványok Tanúsítványok (Cisco) Certificate Trust List (CTL) A megbízható kiszolgálók tanúsítványának listája Identity, PK, role Boot idején töltődik le. (tyúk-tojás) Az adminisztrátor írja alá Saját PKI Cisco aláírás etoken segítségével A telefon is azonosítja magát MIC (7970): Manufacturing Installed Certificate (Cisco root CA) LSC (7960/7940): Locally Significant Certificate CAPF által telepített Jelszó, pin kód 4

VoIP telefon védelem Firmware védelme (Cisco) A firmware boot idején töltődhet le. A firmware-t a tftp szerver szolgáltatja. Hitelesített firmware A firmware a Cisco-tól származik (Cisco root aláírás) Egy adott verziótól már csak ezt lehet használni Konfiguráció védelme (Cisco) Konfiguráció hitelesítése Tanúsítványok használata TLS védett kapcsolatok CCM: Cisco Call Manager (most Unity) CAPF: Certificate Authority Proxy Function 5

VoIP hálózat védelem Layer 2 MAC flooding (lehallgatás): MAC limit, 802.1X Rouge DHCP, starvation: DHCP snooping: Kliens proton nincs DHCP szerver (uplink is lehet megbízható) DHCP starvation: DHCP limit, 802.1X A DHCP szervernek közel kell lennie a kliensekhez Gratuitous ARP: Dynamic ARP inspection: Minden nem DHCP által rendelt MAC:IP páros blokkolása (IP is: IP Source Guard) Ignore Gratuitous ARP: A telefon nem frissíti az ARP cache-t VLAN Hang és adat LAN elválasztása Layer 3 Tűzfalak alkalmazása Alkalmazás proxy a VoIP protokoll értelmezésével Médiafolyamok számára az UDP csatornák felnyitása és zárása Titkosított adatok??? DoS Egyidejű kérések számának maximálása (rate limit) 6

VoIP forgalom védelme Hangátvitel védelme Tartalom titkosítás Egyedi algoritmusok IPSec, DTLS Datagram Transport Layer Security DTLS esetén meg kell oldani az újraküldéseket, időzítéseket, mivel UDP felett megy SRTP MIKEY (DH is), SDescription, ZRTP, (DTLS-SRTP) 7

Session Initiation Protocol Alapelemek Redirect Server Proxy Server Registrar Server Gateway Enddpoint UAC/UAS NAT Enddpoint UAC/UAS PSTN 8

SIP és NAT 9

VoIP és Firewall/NAT Private Public SIP Proxy Private SIP Signaling Jelzés probléma SIP Phone A SIP proxy nem tud kommunikálni a kliensekkel A felnyitott portok ha nincs forgalom, akkor megszűnnek Média probléma Firewall Firewall A SIP INVITE ban küldött cím csak lokális SDP nem tudja leírni a médiaforgalom címét Az inicializálásnak a privát -> publikus irányba kell történnie RTCP = RTP + 1 A felnyitott portok ha nincs forgalom, akkor megszűnnek SIP Phone 10

NAT Full Cone NAT A belső cím:port 1:1 ben külső cím:port ra irányítva Visszafelé irányban is így működik, tetszőleges küldő/port lehet Restricted Cone NAT Hasonló a Full Cone hoz, de visszafelé irányban az IP cím korlátozva van az eredeti címzettre (a port nem) Port Restricted Cone NAT Hasonló a Rescrited Cone hoz, de a port is korlátozva van az eredetileg megcímzett portra. Symmetric NAT Hasonló a Port Restricted Cone hoz, de itt minden új kapcsolathoz új külső IP:port lesz rendelve 11

Full cone 12

Restricted cone 13

Port restricted cone 14

Symmetric NAT 15

NAT/Tűzfal átjárás A hívó fél nem ismeri a saját publikus címét Esetleg nem tudja, hogy NAT mögött van A hívott felet nem érik el a jelzésüzenetek/médiaforgalom Dedikált jelzésport SIP: 5060 Szimmetrikus RTP A küldésre/vételre használt port megegyezik 16

IGD Internet Gateway Device (IGD) Protocol UPnP fórum Képességek Külső cím megmutatása Portok felsorolása, új port nyitás, zárás Kérésre nyit egy portot, amin be lehet jönni Problémák Nem minden NAT és OS támogatja Feltételezzük, hogy a lokális hálózat biztonságos Nem feltételezhető! Léteznek hasonló protokollok is Realm-Specific IP (RSIP), Middlebox Communications (MIDCOM), NAT Port Mapping Protocol (NAT PMP) 17

STUN Simple Traversal of UDP Through NATs A VoIP kliensnek tudnia kellene a saját NAT címét! (+port) NAT Probe: A külső cím lekérdezése Egy külső, publikus szerver megmondja, hogy mit lát küldő címnek 18

STUN felderítés 19

STUN és VoIP Hívásfelépítés előtt STUN teszt ugyanarról a cím:port ról, mint ahonnan a kapcsolat fel fog épülni. Megtudom a szükséges IP címeket/portokat Megtudom a NAT típusát Feltételek Szimmetrikus NAT esetén nem működik! A célcím és STUN szerver cím különbözik -> különböző NAT publikus címek a NAT táblában Szerencsére a legtöbb SOHO NAT nem szimmetrikus Működik, ha a VoIP szoftver ugyanazon a porton fogad és küld adatokat A másik féllel a NAT címét kell közölni A NAT probe után hamarosan indítani kell a kommunikációt, nehogy más címre álljon a NAT 20

UDP hole punching Egy külső szerver visszaküldi az IP címeket és portokat (belső és külső is) a kommunikáló feleknek Aktív kapcsolat kell a hoszt és a külső szerver között, amin keresztül a hoszt adatot tud fogadni A felek mindkét címen próbálkoznak NATon belüli és kívüli kapcsolatok is lehetnek Amennyiben Full Cone akkor tud működni Restricted Cone esetben is működhet, ha elérik egymást a gépek 21

UDP hole punching 22

TURN Traversal Using Relay NAT Egy külső szerver továbbítja a csomagokat Ehhez mindkét fél csatlakozik, az adatokat ide címzik Mivel mindkét fél eléri a TURN szervert, a visszirányú kapcsolaton megkapják a másik fél által küldött adatokat is Költséges Hosszú utak (idő) Terhelt szerver Csak végső esetben! 23

ICE Interactive Connectivity Establishment STUN és TURN használata Potenciális IP címek gyűjtése Lokális Server reflexive Realyed Prioritás Kapcsolatépítés előtt a címek tesztelése (STUN) Peer reflexive címek A címek tesztelése közben keletkező új címek (szimmetrikus NAT) A legjobb kapcsolat használata 24

ICE címgyűjtés Relay címhez üzenet Egyben STUN szerver Megmondja a reflexív címet 25

Session Border Controller - SBC A hálózat határain helyezkednek el Biztonságot is nyújt Minden forgalom rajta megy keresztül (jelzés + média) Mintha mindkét fél az SBC-n lenne (back-to-back user agent) Átkódolhatja a forgalmat (jelzés + média) Titkosítás? 26

VoIP jelzések védelme Titkosított és hitelesített jelzés üzenetek TLS (Pl.: SIPS), DTLS és IPSec PKI-n alapul Széles körben támogatott (TLS és IPSec) De csak szakaszok védelme megoldott! A hangforgalom titkosításához ez kevés lehet A titkosító kulcsot e2e kéne egyeztetni SDescriptions nem az igazi, itt a kulcs az üzenetben van és a TLS az üzenettel együtt titkosítja S/MIME PKI-n alapul Csak az SDP van titkosítva E2e biztonság a forgalom számára De nincs visszajátszás elleni védelem! Nem lehet teljesen e2e titkosítás, mert néhány mezőnek láthatónak kell lennie! A SIP proxyk megváltoztathatják az üzeneteket 27

Hamis SIP üzenetek From, via mezők hamisítása INVITE sip:bob@atlanta.com SIP/2.0 Via: SIP/2.0/UDP evilsite.com To: Bob sip:bob@atlanta.com From: Alice <sip:lice@atlanta.com> Call-ID: ae4356ef781a Cseq: 100 INVITE 28

SIP Authentication A felhasználó hitelesítése HTTP digest (RFC 3261) Közös titok a felhasználónál és hitelesítőnél TLS S/MIME 29

SIP Authentication HTTP digest A proxy szerver kér hitelesítést INVITE vagy REGISTER üzenetnél Kihívás alapú: (tartomány, nonce, hash algoritmus) A kihívás a hitelesítés kéréssel együtt érkezik A felhasználó is küldhet saját nonce értéket Csak a kérdés van hitelesítve, más mezőt nem titkosít/hitelesít 30

SIP Authentication HTTP digest 2. Regisztrációval User Agent Proxy Server REGISTER (without credentials) 407 Proxy Authentication Required REGISTER (password encrypted with key) 200 OK 31

SIP Authentication HTTP digest 3. INVITE üzenetnél User Agent Proxy Server INVITE x@y (without credentials) 407 Proxy Authentication Required ACK INVITE x@y (with encrypted password) Itt megy ki az INVITE 100 Trying 32

SIPS Authentication Hasonlóan a HTTP-HTTPS-hez,TLS használata A szerverek egymás között és a távoli végponton is TLS felett alakítanak ki kapcsolatot Elvileg ha nem tud kialakítani kapcsolatot, akkor nem épül fel Hop by hop titkosítás 33

SIP Authentication S/MIME RFC 3261: Az SIP fejléceket megismétli a törzsben, MIME formátumban, titkosítva Digitális aláírással (PKI) Gond, hogy bizonyos mezők megváltozhatnak a továbbító proxyk miatt Nehezen ellenőrizhető, hogy ez legitim vagy támadó változás RFC 3893: Authenticated Identity Body (AIB) SIP válasz is használhatja PKI miatt gondok lehetnek 34

SIP Identity RFC 4474: Identity + Indetity info fejlécek HTTPS vagy SIPS URI, az identitást lehet ellenőrizni segítségével Csak SIP kérések Digitális aláírással Az AIB továbbvitele, így az AIB nincs is elterjedve 35

P-Asserted-Identity (PAI) SIP hálózatban, ahol megbízható az együttműködés A Proxy elhelyezi a felhasználó azonosítóját a továbbított üzenetekben Kivéve, ha az üzenet nem megbízható félnek megy Kivéve, ha a felhasználó annak eltávolítását kéri SIP URI és opcionális display name 36

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés