IP Telephony Security

Transcript

1 Le soluzioni di sicurezza informatica di NextiraOne Febbraio 2007 IP Telephony Security Converging Networks, Converging Troubles

2 Agenda L approccio alla security NextiraOne Converging Network Layered Threats & Security SIP Protocol Attacchi al protocollo SIP Countermeasures Caso di Successo Scenari futuri 2 - NextiraOne Italy Febbraio 2007

3 Agenda L approccio alla security NextiraOne Converging Network Layered Threats & Security SIP Protocol Attacchi al protocollo SIP Countermeasures Caso di Successo Scenari futuri 3 - NextiraOne Italy Febbraio 2007

4 L approccio alla security 4 - NextiraOne Italy Febbraio 2007

5 L approccio alla security Aspetti Strategici Obiettivi Aziendali Budget Aziendali Aspetti Economici Analisi Costi Valutazione Impatto Analisi Rischi 360 Aspetti Legali Leggi e normative esistenti nazionali e internazionali Aspetti Tecnici Sicurezza Fisica Sicurezza Logica Aspetti Organizzativi Creazione del Risk MNG.Team Definizione dei ruoli Procedure 5 - NextiraOne Italy Febbraio 2007

6 Agenda L approccio alla security NextiraOne Converging Network Layered Threats & Security SIP Protocol Attacchi al protocollo SIP Countermeasures Caso di Successo Scenari futuri 6 - NextiraOne Italy Febbraio 2007

7 Converging Network Vantaggi IP Telephony Cost saving (singola chiamata costa meno: tariffe basse, e chiamate tra medesima organizzazione gratuite); Cost effective (si consolida voce e data in unico network, si smantella rete tradizionale voce, si gestisce unica rete); VAS Servizi a valore aggiunto (unified messaging, teleconferenza etc.); Portability, accessibility, mobility; Segnale digitale potenzialmente migliore (trade-off); VoIP: la voce diventa solo un altro servizio IT; 7 - NextiraOne Italy Febbraio 2007

8 Converging Networks Cost saving Cost effective VAS Portability Accessibility Secure Service Zone 8 - NextiraOne Italy Febbraio 2007

9 Converging Networks approccio sistematico 9 - NextiraOne Italy Febbraio 2007

10 Converging Networks scenario di riferimento Focus su riduzione e razionalizzazione dei costi Acquisizioni, fusioni e difficoltà di controllo degli asset Differenti sistemi tecnologici e gestionali (ambienti eterogenei) che interagiscono Crescente complessità dei sistemi gestiti Vita media degli asset in continua diminuzione Turnover dei collaboratori interni/esterni (perdita know-how) Aumento complessità dei sistemi di back-end a supporto del business Gestione di molteplici fornitori Gestione di contratti esternalizzati Difficoltà nel reperire o aggregare le informazioni 10 - NextiraOne Italy Febbraio 2007

11 Converging Networks Cost Savings OPEX Riduzione/abbattimento costi per canoni linee Riduzione costi di gestione/manutenzione Ottimizzazione organizzative (IT staff) Benefici architetturali Gestione centralizzata completa end-to-end Semplificazione del Remote Management Flessibilità e scalabiltà dell infrastruttura Architettura aperta e integrabile con servizi IP (SIP, XML etcc..) Productivity Improvements Mobilità/raggiungibilità VAS (Servizi Directory, XML Applications etc.) Ridurre al MIN CAPEX Network ready (Bandwidth, QoS) Alta disponibilità end-to-end di network Staff IT Data dedicato drivers constraints 11 - NextiraOne Italy Febbraio 2007

12 Converging Network Allora tutti sono passati al VoIP?? Non ancora, e la maggior preoccupazione riguarda proprio gli aspetti di sicurezza delle tecnologie di IP Telephony; Si pretende la medesima sicurezza delle reti voce tradizionali private e pubbliche (PSTN); survaivability, availability IP 15% of all voice traffic is transmitted with VoIP technology (IDC 2005) estimated 10 million IP Phones in circulation by 2007 (InStat/MDR) 12 - NextiraOne Italy Febbraio 2007

13 Converging Network converging troubles Nel 2004 il Cert ha dato notifica di una vulnerabilità per il protocollo H.323 (Advisory CA Multiple H.323 Message Vulnerabilities); Apparati vulnerabili 13 - NextiraOne Italy Febbraio 2007

14 Converging Network converging troubles 2 Tipica Vulnerabilità SIP SIP-notify-message-spoof (21260) Medium Risk Description: Multiple VoIP phones could allow a remote attacker to spoof SIP-Notify-Message packets caused by a vulnerability in the processing of specific Session Initiation Protocol (SIP) messages. Cisco 7940/7960 and Grandstream BT 100 are affected. The Cisco SIP implementation fails to properly validate the 'Call-ID' tag and the 'branch' parameters of the received NOTIFY message for ensuring the validity of the subscription. A remote attacker could exploit this vulnerability by sending a spoofed SIP-Notify-Message packet to allow the attacker to modify the Message Waiting status on the targeted user's phone. Platforms Affected: Cisco Systems, Inc.: Cisco series Any version Grandstream Networks: Grandstream BT 100 Any version Remedy: No remedy available as of Feb Consequences: Gain Access 14 - NextiraOne Italy Febbraio 2007

15 Converging Network converging troubles 3 Tipici controlli di strutture IPS SIP_Blank_Header_Value SIP_Contact_Overflow SIP_Content_Length_Mismatch SIP_Incomplete_Message SIP_Invalid_Auth_Response SIP_Invalid_To SIP_Large_Content_Length SIP_Large_Max_Forwards SIP_Long_Header_Name SIP_Long_Header_Value SIP_Long_Method_Name SIP_Long_Request_URI SIP_Long_Via_Host SIP_Message_Termination_Incorrect SIP_Proxy_Overflow SIP_Request_Invalid_Characters SIP_Response_Invalid_Characters SIP_Unknown_Method_Name SIP_Unknown_Via_Parameter SIP_Version_Not NextiraOne Italy Febbraio 2007

16 Converging Network VoIP: a NETWORK TIME-CRITICAL SERVICE Maggior fraintendimento: si tratta VoIP security come tutti gli altri network services; Maggior limite: VoIP security è trade-off fra livello di sicurezza e QoS Maggior necessità: VELOCITA VOIP QoS Delay Latency Jittering Packet loss Echo effect TIMING PSTN: 150 ms International call 400 ms (limite max) Encoding = 30 ms data traveling = 100 ms security = 20 ms DATA LOSS G.729 max % = 2% In generale < 3% 16 - NextiraOne Italy Febbraio 2007

17 Agenda L approccio alla security NextiraOne Converging Network Layered Threats & Security SIP Protocol Attacchi al protocollo SIP Countermeasures Caso di Successo Scenari futuri 17 - NextiraOne Italy Febbraio 2007

18 CIA TRIAD Classificazione delle minacce in base a caratteristiche del prodotto o servizio Confidentiality Secrecy Integrity Accountability Availability MINACCE Alle procedure ed alla policy di sicurezza PWD policy, default config agli OSs sottostanti e al firmware delle appliances BO, default config, Malware (Worms), DOS Crash ai servizi di supporto all architettura VoIP DHCP, DNS, SQL Injection al network ed alle infrastrutture Syn flooding alle implementazioni dei protocolli VoIP agli applicativi ed agli apparati VoIP 18 - NextiraOne Italy Febbraio 2007

19 Attacchi agli apparati VoIP Googole hack: info da un telefono Cisco 7xxx gooogle search: Inurl: networkconfiguration cisco Cisco 7960G telnet attack 19 - NextiraOne Italy Febbraio 2007

20 Attacchi agli apparati VoIP VULNERABILITA NOTE Il network VoIP può essere potenzialmente bloccato da ogni attacco DOS ad apparati di rete che soffrono tale vulnerabilità (soggetti IOS Cisco); Le versioni del Call Manager Cisco che girano su Windows sono vulnerabili ai medesimi attacchi di BOF e di malware del sistema operativo sottostante (es. Nimda); SECURITY BY DEFAULT Molti device VoIP non sono sicuri out-of-the-box! VoIP Phones hanno in default config molti servizi attivi => porte TCP ed UDP aperte!! Alcuni di questi servizi presentano configurazione che non prevede pwd per accesso, o pwd non strong; 20 - NextiraOne Italy Febbraio 2007

21 Agenda L approccio alla security NextiraOne Converging Network Layered Threats & Security SIP Protocol Attacchi al protocollo SIP Countermeasures Caso di Successo Scenari futuri 21 - NextiraOne Italy Febbraio 2007

22 SIP Description & security considerations RFC3261 SIP: application-layer protocol IETF session/call control; può generare, modificare, e terminare una multimedia sessions; Protocollo text-based UTF-8 charset: SIP message è in ascii 128; SIP message è alternativamente una richiesta da un client o una risposta da un server; Protocolli utilizzati: Codecs per effettuare encodeing & compress del media stream; Session Description Protocol (SDP) per la descrizione della multimedia sessions, definisce e scambia parametri della comunicazione tra endpoints; Real-Time Transport Protocol (RTP) per il trasporto dello stream, incapsula audio stream; Real Time Control Protocol (RTCP) per il controllo dello stream RTP; UDP per il trasporto dei protocolli superiori; Componenti: USER AGENT (UA) endpoint (Phone, SoftPhone, IVR, Voice Mail etc.): inizia SIP call e genera SIP request, riceve Sip call e genera SIP response; SIP REGISTRAR: vi si registrano UA per ricevere le chiamate; SIP PROXY: permette ad UA di localizzarsi reciprocamente; LOCATION SERVER: repository; contattato da Registrar per rendere nota posizione di OU; 22 - NextiraOne Italy Febbraio 2007

23 SIP Evaluation SIP VULNERABILITY: Maturity: standard relativamente nuovo; Complexity: alta; UTF-8: SIPtext messages semplici da intercettare; Standard povero nelle misure di sicurezza intrinseche; Implementazioni povere sulla sicurezza; NORMAL REGISTRATION LOCATE Use Expires: 3600 REGISTER Expires: OK NextiraOne Italy Febbraio 2007

24 SIP NAT Known Issues SIP SIGNALING & MEDIA TRAVERSAL ISSUES: CON FIREWALL E NAT TRADIZIONALE Su canale sottoposto a NAT il SIP PROXY non riesce a comunicare al SIP CLIENT (UA) i messaggi di segnalazione (SIP INVITE con IP addr. privato non routabile); Dynamic port mapping: lo stream non raggiunge i client; RTCP (port RTP+1) non riesce ad operare; Il canale aperto sul FW va rapidamente in timeout, la sessione viene chiusa e la comunicazione interrotta; SIP SIGNALLING NAT fw NAT fw CALL START PRIVATE NETWORK RTP MEDIA STREAM PRIVATE NETWORK 24 - NextiraOne Italy Febbraio 2007

25 Agenda L approccio alla security NextiraOne Converging Network Layered Threats & Security SIP Protocol Attacchi al protocollo SIP Countermeasures Caso di Successo Scenari futuri 25 - NextiraOne Italy Febbraio 2007

26 SIP Protocol Attack FUZZING = Functional Protocol Testing Si forgiano specifici pacchetti il cui fine è verificare nelle sue condizioni limite il comportamento del protocollo; si procede fuori specifica fino al crash. Tali pacchetti vengono inviati agli applicativi coinvolti, e si analizza il comportamento degli stessi ricercando anomalie; PROTOS = Univerisy Oulu Finland; SIP PROTOCOL ATTACK: Registration Hijacking Proxy impersonation Message Tampering Session Tear Down DOS 26 - NextiraOne Italy Febbraio 2007

27 Simple RTP DOS RTP Real-Time Transport Protocol: fornisce servizio di trasporto di media real-time in modo non garantito. Una sessione RTP prevede l associazione tra i partecipanti alla comunicazione, ed i partecipanti alla sessione condividono i seguenti parametri: IP addr, port number, payload format, media codec; I partecipanti alla sessione convengono sui parametri da utilizzare tramite il protocollo di segnalazione SIP (Session Initiation Protocol), o RTSP (Real Time Streaming Protocol), con SDP (Session Description Protocol); Molti service provider forniscono servizi di streaming: i server spesso processano in automatico la segnalazione SIP ed effettuano il media session setup, accettando l esecuzione di comandi SIP; L autenticazione (IVR, Voice Mail Servers, PSTN gateway) avviene speso a livello applicativo (richiesta pin) quando la sessione RTP è già stata instaurata, e l attacco è già divenuto possibile; SIP non verifica che il parametro mittente presente nel body SDP corrisponda ad IP sorgente di segnalazione; Flood di RTP stream verso il bersaglio!! Public Streaming Server Attacker Target Call setup phase RTP stream CIA: A 27 - NextiraOne Italy Febbraio 2007

28 Simple SIP attack REGISTRATION HIJACKING Rouge UA: Attacker in LAN impersona UA legittimo presso Registrar, e sostituisce i dati corretti con i propri spoofati Tutte le chiamate in ingresso vengono dirottate vereso l Attacker REGISTRAR VULNERABILITY: in configurazione di default non richiede challenge a registrazione, né a successive modifiche di registration data; al massimo si richiede semplice PWD!! Non c è in SIP il controllo tra IP Sender e SDP mesage IP phone endpoint!! Man-in-the-middle-attack CIA: CIA 28 - NextiraOne Italy Febbraio 2007

29 Simple SIP attack PROXY IMPERSONATION Rouge PROXY: Attacker fornisce nella LAN un servizio illegittimo di SIP Proxy; 2 phase attack: A) network service dos & network service replacement B) intercettazione comunicazioni Tecniche per indurre in errore UA: DNS cache pollution, ARP poisoning etc. Tutte le chiamate in ingresso vengono dirottate verso Attacker, che può intercettarle, dirottarle, manipolarle, bloccarle, registrarle etc. CIA: CIA 29 - NextiraOne Italy Febbraio 2007

30 Simple SIP attack but MOST of all, DOS ATTACKS!!! SIP MESSAGES Session tear down: con SIP CANCEL e BYE message agli UA SIP flooding RE-INVITE agli UA; SIP flooding INVITE al broadcast address; INVITE sip:bob@ OK CANCEL BYE sip:bob@ sip:bob@ SECONDO PRIMO ATTACCO 30 - NextiraOne Italy Febbraio 2007

31 SIP Threat Considerations La maggior parte degli attacchi ad un network SIP sono rivolti alla disponibilità del servizio (AVAILABILITY); In seconda istanza sono rivolti ad una violazione della confidenzialità (CONFIDENTIALITY); Il motivo prevalente continua però ad essere la frode (chiamata non legittima a carico di terzi); SIP PROXY possono manifestare indisponibilità o intermittenza del servizio se sottoposti ad attacchi specifici al protocollo di segnalazione con ampiezza di banda inferiore ad 1Mbps; Packet-rate ha maggior importanza di bandwidth Va considerato un DOS anche la semplice degradazione temporanea della qualità della voce, o un delay prossimo al massimo tollerabile; 31 - NextiraOne Italy Febbraio 2007

32 Agenda L approccio alla security NextiraOne Converging Network Layered Threats & Security SIP Protocol Attacchi al protocollo SIP Countermeasures Caso di Successo Scenari futuri 32 - NextiraOne Italy Febbraio 2007

33 Layered Threats & Security APPROCCIO ALLA SICUREZZA GLOBALE Policies & Procedures Phisical Security Network Security Service Security Perimeter Security System Security Endpoint Security VoIP Security SIP RTCP RTP UDP IP DOS Attack Buffer Overflows IP Spoofing Malware (Virus, Worm, Trojan) Peer-to-Peer Istant messaging VoIP 33 - NextiraOne Italy Febbraio 2007

34 VoIP Countermeasures LAYERED SECURITY IDP : piccolissimi pacchetti non ispezionabili senza decadimento delle prestazioni Specific VoIP Intrusion Prevention Application Layer Gateway (ALG): based on the session & call state; VoIP Aware FW: ispezione nel protocollo, analisi di conformità protocollare (ricerca anomalie, contro fuzzing ) analisi dei comandi Applicare tempestivamente patches da Vendor sugli apparati coinvolti; 34 - NextiraOne Italy Febbraio 2007

35 SIP Protocol Countermeasures SIP INVITE BYE CANCEL REGISTER PROTOCOL AUTHENTICATION L3 L7 IPSec per signaling data fra VPN e SIP domain diversi TLS CI, per PROXY REGISTRAR per signaling data, ma con TCP SRTP CI, message auth ed encryption per media data, protezione da reply attack, S/MIME per SIP, ma richiede PKI HTTP DIGEST AUTHENTICATION per authentication di signaling data DOS Proxying RTP data, analisi di traffico di segnalazione Corretta gestione del NAT SIP traversal 35 - NextiraOne Italy Febbraio 2007

36 VoIP Countermeasures BEST PRACTICES for LAN DESIGN VLAN segmentation But still not secure to sniffing: detection of Arp spoofing attack (Ettercap) Rouge DHCP detection AUTHENTICATION 802.1x for IP-Phones AUDITING Ricerca sistematica di interfacce in promiscuous mode Traffic Shaping con ToS - Diffserv 36 - NextiraOne Italy Febbraio 2007

37 VoIP ENCRYPTION ENCRYPTION non può essere pensta punto-a-punto Apparati intermedi devono poter trattare SIP MESSAGE IPSec ESP Collo di bottiglia : algoritmo di encryption Algoritmo di scheduling di crypto-engine Buffer con scheduling FIFO senza possibilità di prioritizzazione Crypto-engine spesso NON SUPPORTANO QoS IPSec incompatibile con NAT DATO EMPIRICO CISCO: Codec G IPSec ESP 3DES = raddoppia banda necessaria 20 => 40 kbps SIGNALLING S/MIME per end-to-end SIPS con TLS per hop-by-hop MEDIA IPSec SRTP 37 - NextiraOne Italy Febbraio 2007

38 VoIP Encryption Zfone Approccio Zimmermann = portare encryption su endpoint Non basato su PKI, su CA o su modelli di trust; Non necessita di sistemi di gestione delle chiavi; Non si affida alla segnalazione SIP per lo scambio delle chiavi; Si effettua key agreement e management su RTP, operando estensione di RTP con Diffie-Hellmann 38 - NextiraOne Italy Febbraio 2007

39 SIP: Soluzioni al NAT traversal VoIP & NAT: IETF Voip STUN signalling - Simple deve Traversal poter attraversare of UDP il NAT Trough fw NAT STUN VoIP: server address in INFO public (IP space; addr e numero di porta dei partecipanti alla conversazione telefonica) sono contenute in SDP! NAT non può IETF operare!! TURN Traversal Using Relay NAT Non ancora standard, e non open; ALG deve poter modificare il messaggio SIP; ALG è SIP fw capace di operare col protocollo: riconosce segnalazione e apre dinamicamente pinhole per la sessione; 39 - NextiraOne Italy Febbraio 2007

40 Agenda L approccio alla security NextiraOne Converging Network Layered Threats & Security SIP Protocol Attacchi al protocollo SIP Countermeasures Caso di Successo Scenari futuri 40 - NextiraOne Italy Febbraio 2007

41 Caso di Successo: Contact Center CONTACT CENTER per primario Istituto di credito italiano IL PABX utilizzato è l Alcatel OmniPBX Enterprise, il sw di contact center basato su suite Genesys; Confidenzialità: SRTP con AES 128 bit; encryption supportata su Alcatel IP Touch Phones e sui Gateway End-point LAN Caller authentication: 802.1x con RADIUS, EAP/MD5; IP WAN Link: ADSL normale!! IP PABX? 41 - NextiraOne Italy Febbraio 2007

42 Agenda L approccio alla security NextiraOne Converging Network Layered Threats & Security SIP Protocol Attacchi al protocollo SIP Countermeasures Caso di Successo Scenari futuri 42 - NextiraOne Italy Febbraio 2007

43 Skype: servizi e prodotti Sistema Telefonico VoIP Gratuito : Telefonate gratuite verso altri client Skype utilizzando le tecnologie VoIP I costi sostenuti dall utente sono relativi alla sola connettività Internet Servizi di Skype Comunicazione tra peers Sistema proprietario VoIP e video calling basato su internet H24 network Istant messaging e file transfer Overlay network (Skype Net) 43 - NextiraOne Italy Febbraio 2007

44 Scenari futuri: Si ritiene che già oggi intere botnet siano sotto controllo di malintenzionati tramite l uso di Skype e Vonage Oggi si possono sfruttare le debolezze degli applicativi VoIP per usare i network VoIP per controllare macchine compromesse ed usare il network stesso per rimanere anonimi; se il traffico di controllo è inserito nello stream VoIP tracciare l origine dell attacco per la successiva analisi forense è ancora più arduo; Gli apparati VoIP (soprattutto gli HW Phone) integreranno a breve framework applicativi sempre più sofisticati (java virtual machine); Come per i terminali mobili, la presenza di malware per gli apparati VoiP è solo una questione di tempo 44 - NextiraOne Italy Febbraio 2007

45 Thank You Simone Posti Senior Consultant, Product Manager, PreSales Security Focal Point NextiraOne Italia Mobile