Интегрированные услуги операторов связи и технологии Unified Communications обещают быструю окупаемость и серьезные удобства. Однако практика показывает, что сервисы VOIP и IPPBX могут доставить массу проблем, прежде всего связных с информационной безопасностью и фродом. С какими проблемами информационная безопасность компании можно столкнуться при использовании Unified Communications? Взломать VOIP/PBX/MGW за 60 секунд: возможно ли? Планируется обсуждение эффективных методов обеспечения безопасности Unified Communications.

1. IP Телефония – опасно ли это? Михаил Кадер mkader@cisco.com security-request@cisco.com

2. Вопрос:Насколько безопасна IP-телефония? Ответ:НЕИЗВЕСТНО

3. Вопрос:Возможно ли создать решение защищенной IP-телефонии? Ответ:Попробуем! ;-)

4. Взломтрадиционной телефонии Боцманская дудка «Cap’n Crunch» Продавалась в коробках с хлопьями «Captain Crunch»в 1964 г. Первая фрикинг-атака, разработанная Джоном Дрейпером Дудка подает сигнал с частотой 2600 Гц. Такой же сигнал использовался в AT&T как сигнал готовности к новому вызову Позволила раскрыть несколько других сигналов AT&T Дрейпер был осужден на 5 лет лишения свободы условно, затем стал работать вместе с Джобсом, Возняком и Гейтсом http://en.wikipedia.org/wiki/John_Draper

5. Типовая инфраструктураUC процессоры ЦОД Сервер присутствия (Presence) CUCM Большое отделение CiscoUnity® Головной офис Среднее отделение Wireless

6. Типовая инфраструктураС UC коммутационной матрицей ЦОД Сервер присутствия (Presence) CUCM Большое отделение CiscoUnity Головной офис Среднее отделение Wireless IP сеть VPN Домашний офис

7. Типовая инфраструктурас транковыми интерфейсами SP VoIP ТФОП CUBE CUBE ЦОД Сервер присутствия (Presence) Большое отделение CUCM CiscoUnity Головной офис Среднее отделение Wireless IP сеть VPN Домашний офис

8. SP VoIP ТФОП CUBE CUBE Типовая инфраструктурас абонентскими интерфейсами ЦОД Сервер присутствия (Presence) CUCM Большое отделение CiscoUnity Головной офис Среднее отделение Wireless Network IP сеть VPN Домашний офис

9. 5 главных модулей Управление звонками и конференцсвязью IP-телефоны, Desktop IP Phone и видеоустройства Локальная инфраструктура Защита голосового и видео трафика и сигнализации при передаче по ЛВС Глобальная инфраструктура (WAN/Интернет) Защита голосового и видео трафика и сигнализации при передачи по глобальным сетям Голосовыеи видео приложения Unity voice mail, IVR, IPCC…

10. Взлом IP-телефонии Утилита VOMIT уже давно известна Прослушивание – ettercap, dsniff, Cain&Abel Телефонное мошенничество Звонки на платные номера Бесплатные звонки по всему миру На звонки с номеров из другой страны не распространяется местное законодательство Взлом серверов обработки вызовов и приложений Атаки типа “отказа в обслуживании” Спам типов SPIT / SPIM: реклама или вредоносный код

11. Угрозы для оконечных устройств IP-телефонии Разведка DoS – переполнение DHCP-пула, лавины пакетов, и т.п. Прослушивание / атаки типа «Man-in-the-middle» Направленные атаки – спам SPIT, подмена абонента и т.п.

12. GARP: I’m 10.1.1.2 GARP: Я - 10.1.1.1 10.1.1.2 10.1.1.1 bb-bb-bb-bb-bb-bb aa-aa-aa-aa-aa-aa Кэш ARP 10.1.1.2 bb 10.1.1.3 cc 10.1.1.4 dd Кэш ARP 10.1.1.1 aa 10.1.1.3 cc 10.1.1.4 dd 10.1.1.2 cc 10.1.1.1 cc 10.1.1.3 10.1.1.4 cc-cc-cc-cc-cc-cc dd-dd-dd-dd-dd-dd Прослушивание/атаки типа «Man-in-the-Middle» Утилиты ettercap, dsniff, Cain&Abel и подобные им есть на cnet ettercap позволяет выделять из трафика Имена пользователейи пароли Номера, имена владельцев и PIN-коды кредитных карт Сообщения эл. почты – изменять текст Telnet – изменять текст Голос – преобразовывать RTP в WAV

13. IP-атакимогут вызвать отказ в обслуживании Smurf, TCP Reset, ICMP Redirect и т.п. По мере развития конвергенции все труднее внедрять отдельные сети VLAN, Программные телефоны, XML-приложения, VTA, контроль присутствия Списки контроля доступа VLAN (VACL) Телефонам необходимо взаимодействовать друг с другом по RTP и взаимодействовать с серверами по нескольким протоколам стека TCP/UDP Телефонам не нужно взаимодействовать по TCP и обмениваться ICMP-сообщениями Остановите TCP-и ICMP- атаки на телефоны! Серверы телефонии

14. Угрозы для серверов IP-телефонии Интернет-черви, вирусы, троянские программы Направленные сканирования DoS и DDoS Нарушение полномочий доступа Несанкционированное изменение конфигурации

15. Телефонное мошенничество

16. Угрозы приложениям IP-телефонии Обман пользователей – фишинг/ фарминг Перехват (или подбор) реквизитов входа Использование ошибок в программах – нестандартные воздействия на приложения и протоколы Мошенничество при платных звонках Пересылка конфиденциальных сообщений

17. SPIT: спам по IP-телефонии Нежелательные звонки, подмена абонента и т.п. Мы получаем спам по электронной почте Реклама и вредоносный спам Чем отличается VoIP? Графические дисплеи Бесплатная процедура перебора номеров Технически легкий массовый обзвон Подмена абонента или атака на сигнальный протокол – SIP, SCCP, …

18. Пример SPIT Заставить телефон звонить каждые 5 минут Или заставить все телефоны звонить каждые 5 минут Частота слишком низка для введения ограничений Но ее хватит, чтобы свести с ума пользователей !!! ЗВОНОК !!! ЗВОНОК !!! ЗВОНОК !!!

19. Пример SPIT Подмена абонента Это же руководитель компании!!! Вы выиграли бесплатную поездку на Канарские острова!!!

20. Основные типы атак и атакуемые объекты Несанкционированное прослушивание, Прослушивание и запись данных без санкции. Отказ в обслуживании (DoS) или распределенный отказ в обслуживании (DDoS), Заимствование прав, Попытка получить доступ к администрированию системы или информации под чужими правами. Приложения UC, Систем голосовой почты, сервера представлений и т.д. Программные клиенты, Все программные телефоны, клиенты IM. Мошенничество. Несанкционированные вызовы (междугородние, международные).

21. SP VoIP ТФОП CUBE CUBE Что защищать?Все возможные точки ЦОД Сервер присутствия (Presence) Большое отделение CUCM CiscoUnity Головной офис Среднее отделение Wireless IP сеть VPN Домашний офис

22. Голос – это данные, но какие? Определите приоритет голоса среди других Ваших бизнес-приложений Оцените насколько Ваша текущая политика безопасности подходит для системы унифицированных коммуникаций Банковские приложения Oracle и др. БД Дилинг Голос? Биллинг АТМ-терминалы Web приложения E-Mail Directory

23. Безопасность – баланс между рисками и затратами Затраты—Сложность—Ресурсы—Нагрузка Межсетевые экраны с расширенным контролем голосовых потоков Межсетевые экраны с контролем состояния Базовые Layer 3 ACLs NAC / 802.1X Ограничение скорости Раздельные VLAN для голоса и данных TLS / SRTP к телефонам Limit MAC Address Learning Серверный МСЭ IPSec/TLS & SRTP к шлюзам Динамическая инспекция ARP Антивирус TLS/SRTP к приложениям IP Source Guard Отключение Gratuitous ARP Зашифрованный конфигурационный файл Динамическая безопасность портов Smart Ports (Auto QoS) Расширенная защита ОС DHCP Snooping Подписанные прошивки и файлы конфигурации Серверный МСЭ Защита от телефонного мошенничества Телефонный прокси Защита от атак Рекомендованные патчи Trusted Relay Point

24. Вопросы? Дополнительные вопросы Вы можете задать по электронной почтеsecurity-request@cisco.com