Tutorial - Segurança em ToIP Vulnerabilidades, Prevenção & Reação em ITC Celso Gonzalez Hummel.

Tutorial - Segurança em ToIP Vulnerabilidades, Prevenção & Reação

em ITC

Celso Gonzalez Hummel

2

Evolução do Mercado de Telecomunicações

Voz e Vídeo tornaram-se conteúdo

3

Evolução da Telecom: Dialup

2004

Adapted from Verizon

4

Evolução da Telecom: Voz + Dados

2004


3G/4GWiMaxEV-DOGPRS

Low Kbps

5

Evolução da Telecom: DSL/ISDN

2004


DSLISDN

6

Evolução da Telecom: demanda de +velocidade

2004


DSLISDN

7

Evolução da Telecom: Voz

2004


3G/4GWiMaxEV-DOGPRS

8

Evolução do Wireless (3G, WiFi, WiMax, EV-DO, GPRS): +Altas Velocidades

2004


3G/4GWiMaxEV-DOGPRS

Low Kbps

9

Convergência de Infraestruturas

Redes Legadas tipicamente têm uma infraestrutura separada para conectividade de Telecom, Voz e Internet.

PBX

PSTNInternetWAN

RouterRouter

FirewallSwitch

10


Redes Legadas tipicamente têm uma infraestrutura separada para conectividade de Telecom, Voz e Internet.

PBX

PSTNInternetWAN

RouterRouter

FirewallSwitch

11


Rede modernas convergem serviços de dados, mas ainda carregam voz em uma infraestrutura separada.

PBX

PSTNInternet

Router

Firewall/VPNSwitch

12


IP PBX

Internet

Firewall/VPN/GatewaySwitch

As Redes “Next Generation” estão sendo construídas numa infraestrutura singular para reduzir custos e aumentar a produtividade

13

Comunicação de VozEstrutura e Dinâmica

14

Habilitando Serviços: +Banda, +Segurança e QoS

15

IP Telephony

16

Aplicações Integradas

17

Potencial: IPT integrada aos Processos de negócio

As Redes estão tornando-se cada vez mais complexas

O perímetro de sua rede ultrapassa agora os limites das paredes do seu

prédio.

Expandindo os Horizontes

Mobilidade,ToIP, ToWLAN, escritórios remotos, home offices, estão adicionando

uma nova dimensão.

Expandindo os Horizontes

20

Confidencialidade:

- Será que as minhas ligações estão sendo escutadas?

- Será que os meus créditos podem ser roubados ?

- Será que alguem pode fazer uma ligação no meu lugar ?

- Será que tem alguem fazendo ligações pelo meu PABX ?

Triade da Segurança em ToIP

Triade da Segurança em ToIP

Integridade:Será que as minhas

ligações não estão sendo alteradas ?

Será que estou discando para o número certo ?

Alguem pode estar fazendo se passar por mim ?

“Man In the Middle ?????”

Disponibilidade: Meu sistema de telefonia

está acessível ? Faltou luz e agora ?? A central telefonica é

segura o suficiente ???? Os IP Phones são

seguros, ou podem ser fácilmente derrubados por DoS.

Meu sistema aguenta um SIP Flood ???

21

22

Requisitos para redes ToIP

Desafios SoluçõesSuporte a Protocolos Dinâmicos e Transla-ções

O tráfego ToIP traffic pode ser originado interna ou extramante e pode ser ingresso ou egresso.

Suporte, no gateway (firewall) a Protocolos Dinâmicos, “NAT Consistente” e Translações

Bandwidth Management

VoIP é real-time sendo sensível à latência e jitter.

Suporte a controle granular por tipos de tráfego

Priorização de Tráfego

VoIP deve ser manipulada antes do tráfego “não real-time” como o de e-mail.

Suporte à priorização de tráfego crítico sobre todoas os outros

Segurança

A estrutura de Voz em IP deve ser protegida de ataques DoS, vhishing, e gravações digitais

Máquina de Deep Inspection em real-time com assinaturas desen-volvidas para multimídia e VoIP

Suporte a Protocolos Dinâmicos

Uma infrastrutura ToIP ready

24

Protocolos Dinâmicos

O tráfego standard TCP/IP usa as chamadas “well known ports” para comunicar usando um comportamento client – server bem conhecido.

O tráfego VoIP usa ports dinâmicos, com implementações proprietárias de protocolos e criação de sessão um-a-um.

Protocolos usados em VoIP : SIP H.323 RTSP IGMP

25

Exemplo de Translação VoIP em ADSL

1. Retirar o cabeçalho PPPoE

PPPoE Payload

PPPoE Header

26

Ethernet Payload

PPPoE Header

Ethernet Header


2. É um pacote IP?


27

IP Payload

PPPoE Header

Ethernet Header

IP Header


2. É um pacote IP?

3. Está carregando informação VoIP?


28

H.323 Data

PPPoE Header

Ethernet Header

IP Header

UDP Header


2. É um pacote IP?


4. A qual sessão pertence?

5. Decodificar o acesso do H.323


29

PPPoE Header

Ethernet Header

IP Header

UDP Header

a.b.c.d

a.b.c.d

w.x.y.z


2. É um pacote IP?




6. Traduzir os endereços internos


30

PPPoE Header

Ethernet Header

IP Header

UDP Header

a.b.c.d

a.b.c.d

w.x.y.z


2. É um pacote IP?




6. Traduzir os endereços internos

7. Passar o pacote pela máquina de Inspeção para aPrevenção de Intrusão, ataques, Virus, etc.

Exemplo de Translação ToIP em ADSL

31

Features Avançadas: Segurança em ToIP

Previnir ataques DoS e tráfegos maliciosos nos end-points ToIP.

DoS: SYN ProxyIPS: Bloqueia SIP Malformados

32

Firewall Típico

Traffic Path

INSPECT

Version | Service | Total Length

ID | Flags | Fragment

TTL | Protocol | IP ChecksumSource IP Address

Destination IP AddressIP Options

SourceUDP Port

DestinationUDP Port

UDPLength

UDP Checksum

Source

212.56.32.49

Destination

65.26.42.17

Source Port

823747

Dest Port

80

Sequence

28474

Sequence

2821

Syn state

SYN

IP Option

none

StatefulPacket

Inspection

Firewall SPI

A inspeção Stateful é limitada apenas a portas que podem bloqueadasSem inspeção de dados!

Os pacotes passam sem inspeção de dados!

33

Firewall Traffic Path

INSPECT





SourceUDP Port

DestinationUDP Port

UDPLength

UDP Checksum

UTM Signatures

ATTACK-RESPONSES 14BACKDOOR 58BAD-TRAFFIC 15DDOS 33DNS 19DOS 18EXPLOIT >35FINGER 13FTP 50ICMP 115Instant Messenger 25IMAP 16INFO 7Miscellaneous44MS-SQL 24MS-SQL/SMB 19MULTIMEDIA 6MYSQL 2NETBIOS 25NNTP 2ORACLE 25P2P 51POLICY 21POP2 4POP3 18RPC 124RSERVICES 13SCAN 25SMTP 23SNMP 17TELNET 14TFTP 9VIRUS 3WEB-ATTACKS 47WEB-CGI 312WEB-CLIENT

INSPECT

StatefulPacket

Inspection

Firewall UTM

UTM Inspection inspects all traffic moving through a device – 98% more inspection

Security Prod.

UTMFirewall

Dynamic

Management / Reporting

Reliable

35





SourceUDP Port

DestinationUDP Port

UTM Platform ApproachReal Time Scanning Engine

Real-time Scanning

Inspecting

Protection for ALL Traffic and

ALL Users

Firewall UTM

# of Users Traffic

max

min

max

min

Network Use

Inspection possible

Not inspected

Management and Reporting

Security Integration

Productivity Control

Network Resiliency

Unified Threat Management Firewall

Dynamically Updated

36

Features Avançadas: Bandwidth Management

Reservar largura de banda WAN para tráfegos de VoIP

SIP Banda Garantida em 90%HTTP Best Effort

37

Features Avançadas:802.1p, DSCP e QoS

Reter a marcação QoS através de links VPN / WAN

802.1p 802.1p

DSCP DSCP

Conversão802.1p para DSCP

38

Features Avançadas: VLANs 802.1q

Isola o tráfego VoIP e os end-points de ataques através VLANs

Engineering

VLAN 10

Marketing

VLAN 20

Sales

VLAN 30 VLAN 40

VLAN Trunk

39

Features avançadas:VoIP Call Status

Monitoração das chamadas ativas, logs e relatórios

Call #2Destination 65.23.41.11Protocol SIPBandwidth 64Kbps Time Started 9:15AM

Call #1Destination 14.56.34.99Protocol H.323Bandwidth 128Kbps Time Started 8:07AM

Reação a incidentes e ataques

40

41

Vulnerabilidades

Sistema possui as vulnerabilidades do IP

Requisitos de QoS são afetados por ataques de DoS (Delay, jitter, packet loss, bandwidth)

Método de autenticação com o Gateway fraco

Roubo de senhas e autorizações

Código Malicioso

Inserção / Remoção / Modificação do Streaming de Audio possível

42

Ameaças

Session hijacking (roubo da sessão de voz)

Monitoramento(eavesdropping)

Interrupção do Serviço

Fraude (roubo de serviços), Phishing

Exploração das vulnerabilidades por Hacker interno

Caso Real

Atualmente 70% das quebras de segurança corporativas são geradas internamente.

Perfil do Fraudador*:• 68% estão na Média e Alta Gerências• 80% tem curso superior completo• Predominantemente do Sexo Masculino• Idade média entre 31 e 40 anos*Pesquisa sobre crimes econômicos - PWC 05

Caso Real

Caso Real

11/04/2347

Reação a incidentes: o uso de Forense Digital:

Forense Digital como geradora de melhoria nos processos e prevenção de fraudes Estrutura recorrente de verificação de falhas –

Investigações em “linha de produção” Auditar e investigar a totalidade dos dados em um

universo de máquinas e não apenas amostras Comparar dezenas de máquinas simultaneamente Ampliar a cobertura de investigação sem necessidade

de aumentar o quadro de pessoal

Fases do Processo de Forense Digital:

Processo crucial de geração e custodia de eviendências , necessário para estabelecer a segurança pró-ativa, reação e tratamento adequado a incidentes em TI e ITC.

48

Identificação

Quando um incidente passa a ser tratado como objeto de investigação forense?

Qual tipo de mídia envolvida?

Quem autoriza a investigação?

Coleta

Realização de Clone

Registrar: Quem coletou O que coletou Como foi coletado Onde foi coletado Número de Identificação da

evidência Detalhes do estado em que se

encontra

Análise dos Dados

Recuperação de arquivos apagados

Identificação de áreas sobrescritas

Pesquisa por palavras-chave

Análise de assinaturas

Análise de Hashes

Armazenamento de Evidências

Prioridades

Garantir a rastreabilidade: Todos que manipularam a

evidência desde o término da análise!

Armazenagem em local seguro Garantia de não-contaminação.

Geração de Relatórios/Laudos

• Objetivos do relatório– Ser claro e compreensível aos altos executivos– Descrever o caso detalhadamente– Estar dentro do escopo pedido no início da

investigação– Ser escrito de maneira a não deixar margens a

interpretação

• Conteúdo do relatório– Resumo Executivo– Objetivo– Evidências Analisadas– Informações relevantes encontradas– Conclusão

CONFIDENTIAL© 2005 VOIPSA and SonicWALL54

SonicWALL Security Gateway

WAN

Video Phones

SIP ProxyServer

CallManager

H.323 Gatekeeper

Soft Phones

DMZ

Main Site

Video-conferencing

Digital Surveillance

IP Phones

VoIP over WLAN

Switch / PoE Switch

WLAN AP

Remote Site

Video-conferencing IP Phones

WLAN

Soft Phones

Aplicações e Cenários Voz e Video sobre IP

Stateful Streaming

Traffic Shaping

SIP and H.323

Fácil de Usar / oferecer serviços

55

ToIP e VoWLAN

Wired LAN

Rede com fio

Servidores e Gatekeeper

Access PointPoE Injector

Mobilidade em VoIP

Segurança WiFi

Identificação Positiva do Usuário

Integração Dados/Voz

Segurança contra intrusos e vírus em VoIP

Access Point

Access Point

PDA c/ VoIP

VoIP em WiFi

Firewall, IPS e GAV

56

ToWLAN & Terminais híbridos (SIP, H.323 and Multicast)

Paris Madrid

SIP 9005SIP 9095SIP 5090SIP 3005

VPN Tunnels

Public InternetAccess

H.323: 9120

DMZ

H.323 Gatekeeper

DMZ

SIP Proxy Server

Polycom 9110

H.323: 9150SIP: 9050

Public Internet

IP : 192.168.168.10

IP : 192.168.20.1

IP : 192.168.168.10

SonicPoint172.31.1.1

SIP 9060LANLAN

PRO4060

PRO2040

SIP 5060

SIP 9010SIP 9095SIP 5091SIP 3010

SIP 9015SIP 5092SIP 3015

Sony 9105

Apple IChat Dlink

SIP 9070SIP 5070SIP 9095SIP 3070

SIP 9020H.323: 9120GVC Client

H.323: 9150

Packet81-408-469-4723

Polycom 5140

H.323: 5150SIP 5050

SIP 5025SIP 5080SIP 9091SIP 9095SIP 3025

Sony 5130

Apple IChat Dlink H.323: 9140SIP 9040

H.323: 5145SIP 5045 SIP: 9025 SIP: 9030

SIP: 5035 SIP: 5040

IP : 192.168.10.1

SIP 5010

H.323 GatekeeperSIP Proxy

IP : 216.217.36.156 IP : 66.88.19.125

SIP 5030

IP : 216.217.36.157 IP : 216.217.36.154

IP : 66.88.19.124 IP : 66.88.19.124

HA

SIP: 9027

SIP Proxy Server

IP : 192.168.20.10

IP : 66.88.19.12X

Packet81-408-469-4714

Vonage1-408

5XXX

3XXX

9XXX

57

Questões importantes para implantação segura de ToIP

Foram considerados os impactos de segurança em trafegos VoIP convergentes na sua rede?

Sua estrutura de TI está preparada para suportar protocolos dinâmicos como H.323 e SIP?

Quanto a estrutura de TI e Telecom consegue priorizar largura de banda na rede para as suas aplicações de NEGÓCIO ?

Resumindo

• Proteja seus dados Proteja seus dados dos dos seus funcionários seus funcionários

• Proteja seus Proteja seus funcionáriosfuncionários deles mesmos deles mesmos

• Eduque funcionários Eduque funcionários nas nas ameaças ameaças

• Comunique políticas Comunique políticas e e procedimentos procedimentos

brigadu!!…

Celso HummelGerente RegionalTechBiz Forense Digital

[email protected]

11 81559981

Tutorial - Segurança em ToIP Vulnerabilidades, Prevenção & Reação em ITC Celso Gonzalez Hummel.

Documents

Transcript of Tutorial - Segurança em ToIP Vulnerabilidades, Prevenção & Reação em ITC Celso Gonzalez Hummel.