4. Kockázati forrás is lehet
4
• IP telefonok megjelenése
• Előny:
- Strukturált kábelezésen keresztül használható
- Zöldmezős beruházásnál rentábilisabb
- Telephelyek ingyenes összeköttetése a meglévő IP-s
kapcsolaton keresztül
• Hátrány: Biztonsági kockázat!
4
5. LAN kockázatok
5
• A hálózati eszközök nem menedzselhetőek
• Biztonsági beállítások hiánya
• A telefonközpont közvetlenül az internetre kapcsolódik, és elfogad direkt IP
hívásokat
• Az IP telefonok egy hálózaton a számítógépekkel
• Titkosítás hiánya
Eredmény:
Lehallgathatóvá válnak a telefonbeszélgetések!
13. Hogyan védekezzünk
13
• Az IP telefonok forgalmát különítsük el
a belső hálózattól
• Az IP alközpontot tűzfal mögé
telepítsük!
• SIP TLS és SRTP támogatott eszközök
használata
• Folyamatosan figyeljük a hálózatunkat
• Védjük meg a hálózatunkat!
17. Az SBC felhasználása III.
5. Szolgáltatások
• DTMF átvitel biztosítása a
hálózatok közt
• Média transzkódolás elvégzése
• Hangok és hangbemondások
bejátszása
• Adat- és faxátvitel
„közvetítése”
• Hang- és videóhívások
támogatása
17
18. Patton SmartNode 5480 - SBC
IP access router / routing
• DHCP kliens és szerver
• RIP v1/v2
• BGP
• Tűzfal
• NAT / NAPT
• Access Control List
• VRRP
• Policy Based Routing
• DMZ
• IP Sec VPN
64 egyidejű VoIP beszédcsatorna
• VoIP transzkódolás
• SIPv2 jelzésváltás
• H.323v4
18
Az NSA feltűnés nélkül megfigyelhet bárkit
Kép az ügynökség kémkedési technikákat ismertető belső katalógusából.
NSA rendelkezik beépíthető egységekkel számítógép- és hálózati technológiák előállítóinak (többek között a Cisco, Dell, Juniper, Hewlett-Packard, valamint a kínai Huawei) berendezéseihez
Ezekre dollár milliókat költöttek, és költenek, hogy betegyék a Trójai falovat
Ha megkérdezünk egy vállalati vezetőt, akkor
Úgysem törnek be hozzánk, mert kis cég vagyunk
Ha veszek egy tűzfalat, akkor meg vagyok védve a támadásoktól
Minek fejlesszek új eszközökbe, működik a hálóm nem?
Válasz:
Sosem tudhatjuk, hogy mikor törnek be hozzánk
Lehet, hogy a laptop már meg van fertőzve?
Nem védjük a hálózatot belső támadások ellen
Lehet hogy bent is van már a Trójai faló a hálózatban, úgy hogy senki sem tud róla IGEN:……
Könnyít az életünkön
A tűzfal mögött találhatóak:
Szerverek
IP telefonok
PC-k
Laptopok
IP telefon vezérlő
Laborunkban összeraktam egy tipikus hálózatot ami jelenleg Magyarországon megtalálható kisebb és nagyobb cégeknél
Központban egy CISCO 2960 LAN BASE switch, mely csak egy IP cimet kapott, más konfigurácót nem állítottam be, ahogy ez rendhagyóan máshol van konfigurálva
2 db IP telefon + egy IP telefon vezérlő kapcsóldik a switchre, a laptoppal szimulálom a támadó eszközét
Hogy is kezdődne a hackelés
Céges adatokhoz szeretne a támadó hozzáférni távolról, ezért megkéri a helyieket, hogy csatlakozzon a hálózathoz
Vagy a magára hagyott hacker a szobában található swichre rákapcsolódik
esetben már kapott ip cimet, és azonnal tudja használni a hálóztot
Esetben figyelni kell a hálózat forgalmát, és elég gyorsan találni fog egy szabad IP címet magának
Folytatás:
IP cimet megkapta, fel kell deríteni a hálózatot, előszőr IP scan-t kell végrehajtani, ha szerencséje van a támadónak, akkor nem csak a hálózati eszköz gyártóit, hanem belső DNS vagy WINS felderítések segítségével a hostok neveit is kiderítheti. Ezek után a felderített hostok portjait kell végig nézni pl.: telnet 23-as port, belső web szerver 80-as port, 5060 SÍP port.
Ha ilyen portokat lát nyitva, akkor 99%-ban IP telefonálásra alkalmaz eszközt derített fel a scannelés
Korábban amikor az IPv4-et stanardizálódtak még nem létezett load balancing a szerverek között, hanem GARP csomagot küldtek a szerverek, vagy a hálózati kapcsolók, ha a főirány leszakadt a hálózatról, és így a SAJÁT MAC címét küldték el a többi host számára a hálózaton.
A támadás így az alábbiak szerint történik:
Telefonoknak a támadó behazudja, hogy a IP telefonközpont MAC cime megváltozott, az új MAC cím a laptopé,
Tájékoztatja a Telefonokközpontnak a támadó, hogy az IP telefonok MAC cime megváltozott, az új MAC cím a laptopé
A támadó minden általa kiválasztott eszközt megfertőzött
Támadás elindult, a felhasználók egy kis döccenést vettek észre a hálózaton, minden működik ugyanúgy tovább, mint ezelőtt
A támadó laptopja hálózati kártyájától, és CPU-jától függ a hálózat kapacitása, egy Core i5 120-e ft-os árkategóriáju elégséges 50 M átforgatásához magán észrevétlenül.
Idő kérdése csak, hogy elkapja a támadó:
Milyen web oldalkon járunk
Milyen képeket nézegetünk
Milyen jelszavakat használunk, amennyiben nem titkosított
Ne kizárólag készülékre gondoljunk, ugyanez fennáll trönkre.
Felsoroltakon kívül: VPN, reverse proxy, „okos” tűzfal, SBC
Munkamenet Határvonalának Felügyelete az átviteli csatorna menedzselésével
Szolgáltatók használták a saját hálózatuk „leválasztásához”
Ma már végfelhasználóknál a saját hálózat leválasztása a szolgáltatóétól
SIP normalizálása – SIP üzenet / fejrész manipulálása
Network Address Translation
Network Address and Port Translation
Call Admission Control – csatornafoglalás
Erőforrás foglalás – QoS foglalás
Egy lehetséges megoldás, amennyiben kevés lenne ennek az eszköznek a tudása rendelkezésünkre állnak más gyártók eszközei is.
Tűzfal = audió forgalom tűzfalazása
DownStreamQoS™
Akadályozza az egyéb forgalmak letöltését a hangforgalom javára