VoIP unsicher? Hype oder Realität?

Werbung
VoIP unsicher?
Hype oder Realität?
Walter Jekat
Geschäftsführer NOXS Technology Germany
Chief Technology Officer NOXS Europe
Einige (wenige) Worte zu
NOXS
• Pan-Europäischer Spezialdistributor im
IT-Security Bereich
• Fokus auf innovative Produkte und
Dienstleistungen
• Langjähriger partnerschaftliche
Zusammenarbeit mit der NetUSE
Die Konvergenz von Voice
und Daten
Datennetzwerk
Internet
Voice Netzwerk
Unternehmen migrieren Voice von PSTN auf
Datennetzwerke um:
•Neue Applikationen zu unterstützen – 72%
•Offene, erweiterbare Systeme zu implementieren - 59%
•Unterhaltskosten einzusparen – 53%
•Anschaffungskosten zu minimieren – 50%
Infonetics report
Vorweg: Enduser vs.
Enterprise VoIP
• Viele Enduser implementieren unauthorisierte VoIP
Clients in Firmennetzen
• Protokolle wie Skype sind peer-to-peer
• Der Client transportiert laufend Datenpakete
Unbekannter durch das Firmennetz
• Hohe Wahrscheinlichkeit, dass zukünftig Malware und
v.a. Adware transportiert werden.
• Skype = eBay  wann kommen Broadcasts und Push
Messages?
• Enduser VoIP ähnlich schwierig zu kontrollieren wie
Instand Messaging (Port 80 und 443!)
• Haben Sie eine Firmenregelung?
Wachstum des Voice/Daten
Netwerks
• Wenige Unternehmen
haben heute VoIP
bereits eingeführt
• Riesiges Wachstum in
den kommenden zwei
Jahren
– 43% werden VOIP in den
nächsten 2 Jahren
einführen (Economist
Intelligence Unit, 2004)
– 26% der 2000 grössten
Unternemen heute und
63% in 2006 (Deloitte &
Touche)
South
Korea
UK
25
20
Japan
15
France
10
USA
5
Canada
0
VoIP Adoption
Rate
Australia
Germany
UK Dept of Trade and Industry, 2005
Ist VoIP nicht so sicher wie
traditionelle Telefonie?
• VoIP ist unsicherer
– 25% der befragten denken
dass VOIP “viel unsicherer
ist”
– Das sind dopplet so viele
wie noch in 2003
• Gartner Group Client –
2002
– IP-PBXs placed offline
– SQL Slammer Attack
70
60
50
40
30
Nicht so
sicher
genauso
sicher
sicherer
20
10
0
2004 VoIP State of the Market Report,
Steven Taylor, Distributed Networking
Associates
Sicherheitsrisiken
• Klassische IT orientierte Angriffe wie Slammer haben VoIP Infrastrukturen
lahmgelegt. (z.B. Sasser und Code Red bei Merrill Lynch)
• Denial-of-Services
• Man-in-the-middle
• Sniffing
• VoIP Phreaking
• Bei „VoWLAN“ zusätzlich alle WLAN Security Themen
• Jedes VoIP Gerät basiert auf ein (unsicheres) Betriebssystem
• SPIT (SPAM over IT Telephony)
• Directory Harvesting
• Malformed Headers und Packets
• Buffer Overflow Attacks
• RTP Session Hijacking
• Soft Phones als Brückenkopf in das Firmennetz
• usw.
VoIP Sniffing – it‘s easy
z.B.
http://www.irongeek.com/i.php?page=videos/cainvoip1
Die Protokolle
• Zunächst basiert VoIP auf IP mit allen bekannten
Schwächen
• Vielzahl von Protokollen und Versionen wurden unter
time-to-market Gesichtspunkten entwickelt und
implementiert, z.B.:
Dynamische Portvergabe
• VoIP Protokolle benutzen dynamisch und
zufällig vergebene Ports
• z.B.: H.323 benutzt Port 1720 zum Call
Setup, zufällig vergebene Ports zur
Informationsübertragung
• Portnummern werden während eines Anrufs
ständig verändert
• Eine konventionelle Firewall müsste tausende
von Ports offenhalten.
Gesprächsqualität
• Für E-Mail und Webzugriff sind Verzögerungen und
Schwankungen von untergeordneter Bedeutung.
VoIP ist anders!
• Latenz:
– Laufzeit von Endgerät zu Endgerät
– Empfehlung max. 150 msec. in einfacher Richtung
– Router, Firewall und VPN oftmals Flaschenhälse
• Jitter:
– Schwankungen der Laufzeitzeit
– Pakete werden falsch assembliert bzw. verloren
– Empfehlung max. 30 msec.
– Verschlüsselung als Hauptproblem
Das NAT Problem
• Network Address Translation (Adressumsetzung
am Gateway auf Netzwerkebene) heute elementare
Sicherheitsmaßnahme
• VoIP Protokolle verarbeiten IP-Adressen sowohl
auf der Anwendungs-, als auch Netzwerkebene
• Z.B. wenn ein VoIP Endgerät Verkehr von einem
Gerät hinter einem NAT Gateway erhält wird
erfolglos versucht über die interne IP Adresse
zurückzukommunizieren
Signaling/Registrar
SIP
Phone
“Please register that
192.168.10.1 is
1-650-628-2000”
Copy 192.168.10.1 is 1650-628-2000 in VoIP user
database
“192.168.10.1 is registered
as 1-650-628-2000.”
Vertraulichkeit
• In der Regel wird VoIP nicht verschlüsselt
• Eingebaute Verschlüsselungsmechanismen oft zu
langsam und schwierig zu managen
• VoIP Pakete können genau wie Datenpakete gesnifft
und durch Unbefugte reassembliert werden
• Anruferkennungen leicht fälschbar
• VoIP Voicemails werden als Dateien abgelegt und
sind mit „normalen“ Hackermethoden angreifbar
“War Dial
1-650-628-2000 to
1-650-628-2250”
Unsere Empfehlungen
•
•
•
•
VoIP implementieren, aber mit Bedacht
Prüfen ob Skype & Co. Erwünscht sind
Fleißig Hersteller Patches implementieren
Im Firmen-LAN VoIP und Datenverkehr über
VLANs trennen
• Für firmeninterne VoIP Anwendungen möglichst
priorisierte VPN Strecken benutzen
• Hardphones tendenziell sicherer
• Firmeninterne Softphones über VPN Client
betreiben
Unsere Empfehlungen
• Bei allen VoIP Geräten Remote Access und
Konfigurationsmöglichkeiten ( Backdoors!)
ausschalten
• Default login and administrator Passwörter
abschalten
• IT Security Infrastruktur auf VoIP QoS prüfen
(Verschlüsselung in Hardware? DiffServ?
Bandbreitenmanagement?)
• Aktuelle Firewalls/VPNs beginnen VoIP Security
zu adressieren (z.B. Check Point, Juniper)
• Dedizierte VoIP Firewalls (z.B. BorderWare) für
sehr große Implementationen prüfen
Habe ich Ihr Interesse
geweckt?
• Ich stehe Ihnen für Gespräche gerne
den ganzen Tag (und Nacht) zur
Verfügung
• Herzlichen Dank!
Herunterladen
Explore flashcards