Young Enterprise Day – Adatvédelem a VoIP hálózatban
•Als PPTX, PDF herunterladen•
0 gefällt mir•264 views
Németh Dénes előadása a Young Enterprise Day rendezvényen.
Empfohlen
Weitere ähnliche Inhalte
Ähnlich wie Young Enterprise Day – Adatvédelem a VoIP hálózatban
Ähnlich wie Young Enterprise Day – Adatvédelem a VoIP hálózatban (18)
Mehr von Young BTS Kommunikációs rendszerek
Mehr von Young BTS Kommunikációs rendszerek (12)
Young Enterprise Day – Adatvédelem a VoIP hálózatban
- 1. Adatvédelem a VoIP hálózatban Tűzfalak mögött... biztonságban?
- 2. A biztonságról… „ a lánc erősségét a leggyengébb láncszem határozza meg!” 2
- 4. Kockázati forrás is lehet 4 • IP telefonok megjelenése • Előny: - Strukturált kábelezésen keresztül használható - Zöldmezős beruházásnál rentábilisabb - Telephelyek ingyenes összeköttetése a meglévő IP-s kapcsolaton keresztül • Hátrány: Biztonsági kockázat! 4
- 5. LAN kockázatok 5 • A hálózati eszközök nem menedzselhetőek • Biztonsági beállítások hiánya • A telefonközpont közvetlenül az internetre kapcsolódik, és elfogad direkt IP hívásokat • Az IP telefonok egy hálózaton a számítógépekkel • Titkosítás hiánya Eredmény: Lehallgathatóvá válnak a telefonbeszélgetések!
- 6. Demó hálózat felépítése 6 Catalyst 2960 SERIES SYST RPS MASTR STAT DUPLX SPEED MODE 1 2 13X 14X 13 14 15 16 17 18 19 20 21 22 23X 24X 23 24 1X 2X 1 2 3 4 5 6 7 8 9 10 11X 12X 11 12 IPIP tteleefoln evezférolő nközpont
- 7. Előkészítő lépések – 1. 7 #1 Monitorozás
- 8. Előkészítő lépések – 2. 8 #2 Nyitott portok keresése
- 9. Előkészítő lépések – 3. 9 #3 ARP poisoning
- 10. Sikeres támadás 10 Catalyst 2960 SERIES SYST RPS MASTR STAT DUPLX SPEED MODE 1 2 13X 14X 13 14 15 16 17 18 19 20 21 22 23X 24X 23 24 1X 2X 1 2 3 4 5 6 7 8 9 10 11X 12X 11 12 ASTERISK IP alközpont
- 12. ARP poisoning 12
- 13. Hogyan védekezzünk 13 • Az IP telefonok forgalmát különítsük el a belső hálózattól • Az IP alközpontot tűzfal mögé telepítsük! • SIP TLS és SRTP támogatott eszközök használata • Folyamatosan figyeljük a hálózatunkat • Védjük meg a hálózatunkat!
- 14. Session Border Controller 14
- 15. Az SBC felhasználása I. 1. Biztonság • DoS védelem • Topológia elrejtése • Védelem módosított csomagokkal szemben • Titkosítás 2. Kapcsolat • NAT is helyettesíthető • SIP normalizálása • VPN kapcsolat • Protokoll transzláció 15
- 16. Az SBC felhasználása II. 3. QoS • Forgalom szabályozása • Erőforrás allokáció • CAC – SIP erőforrás foglalás 4. Szabályozás • Vészhívás biztosítása • Törvényes adatmentés 16
- 17. Az SBC felhasználása III. 5. Szolgáltatások • DTMF átvitel biztosítása a hálózatok közt • Média transzkódolás elvégzése • Hangok és hangbemondások bejátszása • Adat- és faxátvitel „közvetítése” • Hang- és videóhívások támogatása 17
- 18. Patton SmartNode 5480 - SBC IP access router / routing • DHCP kliens és szerver • RIP v1/v2 • BGP • Tűzfal • NAT / NAPT • Access Control List • VRRP • Policy Based Routing • DMZ • IP Sec VPN 64 egyidejű VoIP beszédcsatorna • VoIP transzkódolás • SIPv2 jelzésváltás • H.323v4 18
- 19. Patton SmartNode 5480 - SBC • QoS • Hang priorizálása • Traffic management • Shaping • Policing • VLAN tagek módosítása • IEEE 802.1p • IEEE 802.1Q • DownStreamQoS™ • ToS • Diffserv 19
Hinweis der Redaktion
- Az NSA feltűnés nélkül megfigyelhet bárkit Kép az ügynökség kémkedési technikákat ismertető belső katalógusából. NSA rendelkezik beépíthető egységekkel számítógép- és hálózati technológiák előállítóinak (többek között a Cisco, Dell, Juniper, Hewlett-Packard, valamint a kínai Huawei) berendezéseihez Ezekre dollár milliókat költöttek, és költenek, hogy betegyék a Trójai falovat
- Ha megkérdezünk egy vállalati vezetőt, akkor Úgysem törnek be hozzánk, mert kis cég vagyunk Ha veszek egy tűzfalat, akkor meg vagyok védve a támadásoktól Minek fejlesszek új eszközökbe, működik a hálóm nem? Válasz: Sosem tudhatjuk, hogy mikor törnek be hozzánk Lehet, hogy a laptop már meg van fertőzve? Nem védjük a hálózatot belső támadások ellen Lehet hogy bent is van már a Trójai faló a hálózatban, úgy hogy senki sem tud róla IGEN:……
- Könnyít az életünkön
- A tűzfal mögött találhatóak: Szerverek IP telefonok PC-k Laptopok IP telefon vezérlő Laborunkban összeraktam egy tipikus hálózatot ami jelenleg Magyarországon megtalálható kisebb és nagyobb cégeknél Központban egy CISCO 2960 LAN BASE switch, mely csak egy IP cimet kapott, más konfigurácót nem állítottam be, ahogy ez rendhagyóan máshol van konfigurálva 2 db IP telefon + egy IP telefon vezérlő kapcsóldik a switchre, a laptoppal szimulálom a támadó eszközét
- Hogy is kezdődne a hackelés Céges adatokhoz szeretne a támadó hozzáférni távolról, ezért megkéri a helyieket, hogy csatlakozzon a hálózathoz Vagy a magára hagyott hacker a szobában található swichre rákapcsolódik esetben már kapott ip cimet, és azonnal tudja használni a hálóztot Esetben figyelni kell a hálózat forgalmát, és elég gyorsan találni fog egy szabad IP címet magának
- Folytatás: IP cimet megkapta, fel kell deríteni a hálózatot, előszőr IP scan-t kell végrehajtani, ha szerencséje van a támadónak, akkor nem csak a hálózati eszköz gyártóit, hanem belső DNS vagy WINS felderítések segítségével a hostok neveit is kiderítheti. Ezek után a felderített hostok portjait kell végig nézni pl.: telnet 23-as port, belső web szerver 80-as port, 5060 SÍP port. Ha ilyen portokat lát nyitva, akkor 99%-ban IP telefonálásra alkalmaz eszközt derített fel a scannelés
- Korábban amikor az IPv4-et stanardizálódtak még nem létezett load balancing a szerverek között, hanem GARP csomagot küldtek a szerverek, vagy a hálózati kapcsolók, ha a főirány leszakadt a hálózatról, és így a SAJÁT MAC címét küldték el a többi host számára a hálózaton. A támadás így az alábbiak szerint történik: Telefonoknak a támadó behazudja, hogy a IP telefonközpont MAC cime megváltozott, az új MAC cím a laptopé, Tájékoztatja a Telefonokközpontnak a támadó, hogy az IP telefonok MAC cime megváltozott, az új MAC cím a laptopé
- A támadó minden általa kiválasztott eszközt megfertőzött Támadás elindult, a felhasználók egy kis döccenést vettek észre a hálózaton, minden működik ugyanúgy tovább, mint ezelőtt A támadó laptopja hálózati kártyájától, és CPU-jától függ a hálózat kapacitása, egy Core i5 120-e ft-os árkategóriáju elégséges 50 M átforgatásához magán észrevétlenül. Idő kérdése csak, hogy elkapja a támadó: Milyen web oldalkon járunk Milyen képeket nézegetünk Milyen jelszavakat használunk, amennyiben nem titkosított
- Ne kizárólag készülékre gondoljunk, ugyanez fennáll trönkre. Felsoroltakon kívül: VPN, reverse proxy, „okos” tűzfal, SBC
- Munkamenet Határvonalának Felügyelete az átviteli csatorna menedzselésével Szolgáltatók használták a saját hálózatuk „leválasztásához” Ma már végfelhasználóknál a saját hálózat leválasztása a szolgáltatóétól
- SIP normalizálása – SIP üzenet / fejrész manipulálása Network Address Translation Network Address and Port Translation
- Call Admission Control – csatornafoglalás Erőforrás foglalás – QoS foglalás
- Egy lehetséges megoldás, amennyiben kevés lenne ennek az eszköznek a tudása rendelkezésünkre állnak más gyártók eszközei is. Tűzfal = audió forgalom tűzfalazása
- DownStreamQoS™ Akadályozza az egyéb forgalmak letöltését a hangforgalom javára