Tutorial - Segurança em ToIP Vulnerabilidades, Prevenção & Reação em ITC Celso Gonzalez Hummel.
Transcript of Tutorial - Segurança em ToIP Vulnerabilidades, Prevenção & Reação em ITC Celso Gonzalez Hummel.
Tutorial - Segurança em ToIP Vulnerabilidades, Prevenção & Reação
em ITC
Celso Gonzalez Hummel
2
Evolução do Mercado de Telecomunicações
Voz e Vídeo tornaram-se conteúdo
3
Evolução da Telecom: Dialup
2004
Adapted from Verizon
4
Evolução da Telecom: Voz + Dados
2004
Adapted from Verizon
3G/4GWiMaxEV-DOGPRS
Low Kbps
5
Evolução da Telecom: DSL/ISDN
2004
Adapted from Verizon
DSLISDN
6
Evolução da Telecom: demanda de +velocidade
2004
Adapted from Verizon
DSLISDN
7
Evolução da Telecom: Voz
2004
Adapted from Verizon
3G/4GWiMaxEV-DOGPRS
8
Evolução do Wireless (3G, WiFi, WiMax, EV-DO, GPRS): +Altas Velocidades
2004
Adapted from Verizon
3G/4GWiMaxEV-DOGPRS
Low Kbps
9
Convergência de Infraestruturas
Redes Legadas tipicamente têm uma infraestrutura separada para conectividade de Telecom, Voz e Internet.
PBX
PSTNInternetWAN
RouterRouter
FirewallSwitch
10
Convergência de Infraestruturas
Redes Legadas tipicamente têm uma infraestrutura separada para conectividade de Telecom, Voz e Internet.
PBX
PSTNInternetWAN
RouterRouter
FirewallSwitch
11
Convergência de Infraestruturas
Rede modernas convergem serviços de dados, mas ainda carregam voz em uma infraestrutura separada.
PBX
PSTNInternet
Router
Firewall/VPNSwitch
12
Convergência de Infraestruturas
IP PBX
Internet
Firewall/VPN/GatewaySwitch
As Redes “Next Generation” estão sendo construídas numa infraestrutura singular para reduzir custos e aumentar a produtividade
13
Comunicação de VozEstrutura e Dinâmica
14
Habilitando Serviços: +Banda, +Segurança e QoS
15
IP Telephony
16
Aplicações Integradas
17
Potencial: IPT integrada aos Processos de negócio
As Redes estão tornando-se cada vez mais complexas
O perímetro de sua rede ultrapassa agora os limites das paredes do seu
prédio.
Expandindo os Horizontes
Mobilidade,ToIP, ToWLAN, escritórios remotos, home offices, estão adicionando
uma nova dimensão.
Expandindo os Horizontes
20
Confidencialidade:
- Será que as minhas ligações estão sendo escutadas?
- Será que os meus créditos podem ser roubados ?
- Será que alguem pode fazer uma ligação no meu lugar ?
- Será que tem alguem fazendo ligações pelo meu PABX ?
Triade da Segurança em ToIP
Triade da Segurança em ToIP
Integridade:Será que as minhas
ligações não estão sendo alteradas ?
Será que estou discando para o número certo ?
Alguem pode estar fazendo se passar por mim ?
“Man In the Middle ?????”
Disponibilidade: Meu sistema de telefonia
está acessível ? Faltou luz e agora ?? A central telefonica é
segura o suficiente ???? Os IP Phones são
seguros, ou podem ser fácilmente derrubados por DoS.
Meu sistema aguenta um SIP Flood ???
21
22
Requisitos para redes ToIP
Desafios SoluçõesSuporte a Protocolos Dinâmicos e Transla-ções
O tráfego ToIP traffic pode ser originado interna ou extramante e pode ser ingresso ou egresso.
Suporte, no gateway (firewall) a Protocolos Dinâmicos, “NAT Consistente” e Translações
Bandwidth Management
VoIP é real-time sendo sensível à latência e jitter.
Suporte a controle granular por tipos de tráfego
Priorização de Tráfego
VoIP deve ser manipulada antes do tráfego “não real-time” como o de e-mail.
Suporte à priorização de tráfego crítico sobre todoas os outros
Segurança
A estrutura de Voz em IP deve ser protegida de ataques DoS, vhishing, e gravações digitais
Máquina de Deep Inspection em real-time com assinaturas desen-volvidas para multimídia e VoIP
Suporte a Protocolos Dinâmicos
Uma infrastrutura ToIP ready
24
Protocolos Dinâmicos
O tráfego standard TCP/IP usa as chamadas “well known ports” para comunicar usando um comportamento client – server bem conhecido.
O tráfego VoIP usa ports dinâmicos, com implementações proprietárias de protocolos e criação de sessão um-a-um.
Protocolos usados em VoIP : SIP H.323 RTSP IGMP
25
Exemplo de Translação VoIP em ADSL
1. Retirar o cabeçalho PPPoE
PPPoE Payload
PPPoE Header
26
Ethernet Payload
PPPoE Header
Ethernet Header
1. Retirar o cabeçalho PPPoE
2. É um pacote IP?
Exemplo de Translação VoIP em ADSL
27
IP Payload
PPPoE Header
Ethernet Header
IP Header
1. Retirar o cabeçalho PPPoE
2. É um pacote IP?
3. Está carregando informação VoIP?
Exemplo de Translação VoIP em ADSL
28
H.323 Data
PPPoE Header
Ethernet Header
IP Header
UDP Header
1. Retirar o cabeçalho PPPoE
2. É um pacote IP?
3. Está carregando informação VoIP?
4. A qual sessão pertence?
5. Decodificar o acesso do H.323
Exemplo de Translação VoIP em ADSL
29
PPPoE Header
Ethernet Header
IP Header
UDP Header
a.b.c.d
a.b.c.d
w.x.y.z
1. Retirar o cabeçalho PPPoE
2. É um pacote IP?
3. Está carregando informação VoIP?
4. A qual sessão pertence?
5. Decodificar o acesso do H.323
6. Traduzir os endereços internos
Exemplo de Translação VoIP em ADSL
30
PPPoE Header
Ethernet Header
IP Header
UDP Header
a.b.c.d
a.b.c.d
w.x.y.z
1. Retirar o cabeçalho PPPoE
2. É um pacote IP?
3. Está carregando informação VoIP?
4. A qual sessão pertence?
5. Decodificar o acesso do H.323
6. Traduzir os endereços internos
7. Passar o pacote pela máquina de Inspeção para aPrevenção de Intrusão, ataques, Virus, etc.
Exemplo de Translação ToIP em ADSL
31
Features Avançadas: Segurança em ToIP
Previnir ataques DoS e tráfegos maliciosos nos end-points ToIP.
DoS: SYN ProxyIPS: Bloqueia SIP Malformados
32
Firewall Típico
Traffic Path
INSPECT
Version | Service | Total Length
ID | Flags | Fragment
TTL | Protocol | IP ChecksumSource IP Address
Destination IP AddressIP Options
SourceUDP Port
DestinationUDP Port
UDPLength
UDP Checksum
Source
212.56.32.49
Destination
65.26.42.17
Source Port
823747
Dest Port
80
Sequence
28474
Sequence
2821
Syn state
SYN
IP Option
none
StatefulPacket
Inspection
Firewall SPI
A inspeção Stateful é limitada apenas a portas que podem bloqueadasSem inspeção de dados!
Os pacotes passam sem inspeção de dados!
33
Firewall Traffic Path
INSPECT
Version | Service | Total Length
ID | Flags | Fragment
TTL | Protocol | IP ChecksumSource IP Address
Destination IP AddressIP Options
SourceUDP Port
DestinationUDP Port
UDPLength
UDP Checksum
UTM Signatures
ATTACK-RESPONSES 14BACKDOOR 58BAD-TRAFFIC 15DDOS 33DNS 19DOS 18EXPLOIT >35FINGER 13FTP 50ICMP 115Instant Messenger 25IMAP 16INFO 7Miscellaneous44MS-SQL 24MS-SQL/SMB 19MULTIMEDIA 6MYSQL 2NETBIOS 25NNTP 2ORACLE 25P2P 51POLICY 21POP2 4POP3 18RPC 124RSERVICES 13SCAN 25SMTP 23SNMP 17TELNET 14TFTP 9VIRUS 3WEB-ATTACKS 47WEB-CGI 312WEB-CLIENT
INSPECT
StatefulPacket
Inspection
Firewall UTM
UTM Inspection inspects all traffic moving through a device – 98% more inspection
Security Prod.
UTMFirewall
Dynamic
Management / Reporting
Reliable
34
Version | Service | Total LengthID | Flags | Fragment
TTL | Protocol | IP ChecksumSource IP Address
Destination IP Address
Version | Service | Total LengthID | Flags | FragmentTTL | Protocol | IP Checksum
Source IP AddressDestination IP Address
Version | Service | Total LengthID | Flags | FragmentTTL | Protocol | IP Checksum
Source IP AddressDestination IP Address
Mem
ory
Memory Full - Scanning Stopped
Inspection StoppedInspecting
# of Users Traffic
max
min
max
min
Network Use
Soluções Proxy Based
Proxy solutions with no scalability
The more users and traffic added, the more threats come through without inspection
Inspection possible
Not inspected
35
Version | Service | Total Length
ID | Flags | Fragment
TTL | Protocol | IP ChecksumSource IP Address
Destination IP AddressIP Options
SourceUDP Port
DestinationUDP Port
UTM Platform ApproachReal Time Scanning Engine
Real-time Scanning
Inspecting
Protection for ALL Traffic and
ALL Users
Firewall UTM
# of Users Traffic
max
min
max
min
Network Use
Inspection possible
Not inspected
Management and Reporting
Security Integration
Productivity Control
Network Resiliency
Unified Threat Management Firewall
Dynamically Updated
36
Features Avançadas: Bandwidth Management
Reservar largura de banda WAN para tráfegos de VoIP
SIP Banda Garantida em 90%HTTP Best Effort
37
Features Avançadas:802.1p, DSCP e QoS
Reter a marcação QoS através de links VPN / WAN
802.1p 802.1p
DSCP DSCP
Conversão802.1p para DSCP
38
Features Avançadas: VLANs 802.1q
Isola o tráfego VoIP e os end-points de ataques através VLANs
Engineering
VLAN 10
Marketing
VLAN 20
Sales
VLAN 30 VLAN 40
VLAN Trunk
39
Features avançadas:VoIP Call Status
Monitoração das chamadas ativas, logs e relatórios
Call #2Destination 65.23.41.11Protocol SIPBandwidth 64Kbps Time Started 9:15AM
Call #1Destination 14.56.34.99Protocol H.323Bandwidth 128Kbps Time Started 8:07AM
Reação a incidentes e ataques
40
41
Vulnerabilidades
Sistema possui as vulnerabilidades do IP
Requisitos de QoS são afetados por ataques de DoS (Delay, jitter, packet loss, bandwidth)
Método de autenticação com o Gateway fraco
Roubo de senhas e autorizações
Código Malicioso
Inserção / Remoção / Modificação do Streaming de Audio possível
42
Ameaças
Session hijacking (roubo da sessão de voz)
Monitoramento(eavesdropping)
Interrupção do Serviço
Fraude (roubo de serviços), Phishing
Exploração das vulnerabilidades por Hacker interno
43
Caso Real
Atualmente 70% das quebras de segurança corporativas são geradas internamente.
Perfil do Fraudador*:• 68% estão na Média e Alta Gerências• 80% tem curso superior completo• Predominantemente do Sexo Masculino• Idade média entre 31 e 40 anos*Pesquisa sobre crimes econômicos - PWC 05
Caso Real
Caso Real
11/04/2347
Reação a incidentes: o uso de Forense Digital:
Forense Digital como geradora de melhoria nos processos e prevenção de fraudes Estrutura recorrente de verificação de falhas –
Investigações em “linha de produção” Auditar e investigar a totalidade dos dados em um
universo de máquinas e não apenas amostras Comparar dezenas de máquinas simultaneamente Ampliar a cobertura de investigação sem necessidade
de aumentar o quadro de pessoal
Fases do Processo de Forense Digital:
Processo crucial de geração e custodia de eviendências , necessário para estabelecer a segurança pró-ativa, reação e tratamento adequado a incidentes em TI e ITC.
48
Identificação
Quando um incidente passa a ser tratado como objeto de investigação forense?
Qual tipo de mídia envolvida?
Quem autoriza a investigação?
Coleta
Realização de Clone
Registrar: Quem coletou O que coletou Como foi coletado Onde foi coletado Número de Identificação da
evidência Detalhes do estado em que se
encontra
Análise dos Dados
Recuperação de arquivos apagados
Identificação de áreas sobrescritas
Pesquisa por palavras-chave
Análise de assinaturas
Análise de Hashes
Armazenamento de Evidências
Prioridades
Garantir a rastreabilidade: Todos que manipularam a
evidência desde o término da análise!
Armazenagem em local seguro Garantia de não-contaminação.
Geração de Relatórios/Laudos
• Objetivos do relatório– Ser claro e compreensível aos altos executivos– Descrever o caso detalhadamente– Estar dentro do escopo pedido no início da
investigação– Ser escrito de maneira a não deixar margens a
interpretação
• Conteúdo do relatório– Resumo Executivo– Objetivo– Evidências Analisadas– Informações relevantes encontradas– Conclusão
CONFIDENTIAL© 2005 VOIPSA and SonicWALL54
SonicWALL Security Gateway
WAN
Video Phones
SIP ProxyServer
CallManager
H.323 Gatekeeper
Soft Phones
DMZ
Main Site
Video-conferencing
Digital Surveillance
IP Phones
VoIP over WLAN
Switch / PoE Switch
WLAN AP
Remote Site
Video-conferencing IP Phones
WLAN
Soft Phones
Aplicações e Cenários Voz e Video sobre IP
Stateful Streaming
Traffic Shaping
SIP and H.323
Fácil de Usar / oferecer serviços
55
ToIP e VoWLAN
Wired LAN
Rede com fio
Servidores e Gatekeeper
Access PointPoE Injector
Mobilidade em VoIP
Segurança WiFi
Identificação Positiva do Usuário
Integração Dados/Voz
Segurança contra intrusos e vírus em VoIP
Access Point
Access Point
PDA c/ VoIP
VoIP em WiFi
Firewall, IPS e GAV
56
ToWLAN & Terminais híbridos (SIP, H.323 and Multicast)
Paris Madrid
SIP 9005SIP 9095SIP 5090SIP 3005
VPN Tunnels
Public InternetAccess
H.323: 9120
DMZ
H.323 Gatekeeper
DMZ
SIP Proxy Server
Polycom 9110
H.323: 9150SIP: 9050
Public Internet
IP : 192.168.168.10
IP : 192.168.20.1
IP : 192.168.168.10
SonicPoint172.31.1.1
SIP 9060LANLAN
PRO4060
PRO2040
SIP 5060
SIP 9010SIP 9095SIP 5091SIP 3010
SIP 9015SIP 5092SIP 3015
Sony 9105
Apple IChat Dlink
SIP 9070SIP 5070SIP 9095SIP 3070
SIP 9020H.323: 9120GVC Client
H.323: 9150
Packet81-408-469-4723
Polycom 5140
H.323: 5150SIP 5050
SIP 5025SIP 5080SIP 9091SIP 9095SIP 3025
Sony 5130
Apple IChat Dlink H.323: 9140SIP 9040
H.323: 5145SIP 5045 SIP: 9025 SIP: 9030
SIP: 5035 SIP: 5040
IP : 192.168.10.1
SIP 5010
H.323 GatekeeperSIP Proxy
IP : 216.217.36.156 IP : 66.88.19.125
SIP 5030
IP : 216.217.36.157 IP : 216.217.36.154
IP : 66.88.19.124 IP : 66.88.19.124
HA
SIP: 9027
SIP Proxy Server
IP : 192.168.20.10
IP : 66.88.19.12X
Packet81-408-469-4714
Vonage1-408
5XXX
3XXX
9XXX
57
Questões importantes para implantação segura de ToIP
Foram considerados os impactos de segurança em trafegos VoIP convergentes na sua rede?
Sua estrutura de TI está preparada para suportar protocolos dinâmicos como H.323 e SIP?
Quanto a estrutura de TI e Telecom consegue priorizar largura de banda na rede para as suas aplicações de NEGÓCIO ?
Resumindo
• Proteja seus dados Proteja seus dados dos dos seus funcionários seus funcionários
• Proteja seus Proteja seus funcionáriosfuncionários deles mesmos deles mesmos
• Eduque funcionários Eduque funcionários nas nas ameaças ameaças
• Comunique políticas Comunique políticas e e procedimentos procedimentos