PacSec.JP/core04 Voice over IP (VoIP)セキュリティ Nicolas FISCHBACH シニアマネジャ, IP エンジニアリング/セキュリティ - COLT Telecom [email protected] - http://www.securite.org/nico/ version 1.0 PacSec.JP/core04 序論 » VoIP と IP電話 » ネットワーク コンバージェンス » » » » > 電話とIT > PoE (パワー・オーバー・イーサネット) モビリティとローミング 電気通信事業 > スイッチ方式-> パケット方式(IP) > 閉ざされた世界 -> 開かれた世界 ベンダーと製品化までの時間 セキュリティとプライバシー > フリーカー(電話ハッカー) > VoIP 対 3G © 2004 Nicolas FISCHBACH 2 PacSec.JP/core04 アーキテクチャ : プロトコル » シグナリング > ユーザ ロケーション > セッション - セットアップ ネゴシエーション 修正 終了 » トランスポート > エンコード、トランスポートなど © 2004 Nicolas FISCHBACH 3 PacSec.JP/core04 アーキテクチャ : プロトコル » SIP > IETF - 5060/5061 (TLS) - “HTTP形式、オールインワン型” > 独自の拡張機能 > アーキテクチャになりつつあるプロトコル > “エンド・ツー・エンド” (IP PBX間) - Inter-AS MPLS VPN - 過渡的な信頼 » > IM拡張機能(SIMPLE) H.323 > プロトコル群 > H.235 (セキュリティ)、Q.931+H.245 (管理)、RTP、CODECなど > ASN.1 © 2004 Nicolas FISCHBACH 4 PacSec.JP/core04 アーキテクチャ : プロトコル » RTP (リアルタイム プロトコル) > 5004/udp > RTCP > No QoS/帯域幅管理 > パケット リオーダリング(並び替え) > CODECs - 旧: G.711 (PSTN/POTS - 64Kb/s) - 現: G.729 (8Kb/s) © 2004 Nicolas FISCHBACH 5 PacSec.JP/core04 アーキテクチャ : ネットワーク » LAN > イーサネット (ルータとスイッチ) > xDSL/ケーブル/WiFi > VLAN (データ/音声+シグナリング) » WAN > インターネット > VPN - 専用回線 - MPLS(ラベルスイッチング) © 2004 Nicolas FISCHBACH 6 PacSec.JP/core04 アーキテクチャ : ネットワーク » QoS (サービス品質) > 帯域幅 > 待ち時間(150-400ms) とゆらぎ(ジッタ)(<<150ms) > パケットロス (1-3%) © 2004 Nicolas FISCHBACH 7 PacSec.JP/core04 アーキテクチャ : システム » システム > SIPプロキシ > コールマネジャ/IP PBX - ユーザ管理とレポーティング(HTTPなど) - IPでのオフパス > H.323: GK (GateKeeper) > 認証サーバ(Radius) > 課金サーバ(CDR/billing) > DNS、TFTP、 DHCPサーバ © 2004 Nicolas FISCHBACH 8 PacSec.JP/core04 アーキテクチャ : システム » ボイスゲートウェイ(IP-PSTN) > ゲートウェイ制御プロトコル > シグナリング: SS7インターフェース - メディアゲートウェイコントローラ . MG (Megaco/H.248)制御 . SIPインターフェース - シグナリングゲートウェイ . MGC 、SS7間インターフェース . MxUA、SCTP – ISUP、Q.931 > トランスポート - メディアゲートウェイ:音声変換 © 2004 Nicolas FISCHBACH 9 PacSec.JP/core04 アーキテクチャ : ファイアウォール/VPN » ファイアウォール > “非ステートフル”フィルタリング > “ステートフル”フィルタリング > アプリケーション層フィルタリング(ALG) > NAT / “ファイアウォール通過” - (H.323 : 2xTCP, 4x dynamic UDP - 1719,1720) - (SIP : 5060/udp) » 暗号化VPN » » > SSL/TLS > IPsec > どこを暗号化すべきか(LAN-LAN、phone-phoneなど) ? QoS(サービス品質)への影響 IPv6はどう変わるか? © 2004 Nicolas FISCHBACH 10 PacSec.JP/core04 アーキテクチャ : 電話 » IP電話 > ソフトフォンかハードフォンか? > “Toaster (編集システム)” - 更新/パッチ - インテリジェンス > ネットワークから取り除かれ端末機器に置かれたインテリジェンス > 電話と他のシステム間のフロー - SIP RTP (T)FTP CRL その他 © 2004 Nicolas FISCHBACH 11 PacSec.JP/core04 アーキテクチャ : 例 POTS SIP PSTN LAN IP PBX IP PBX POTS IP VPN (MPLS) GSM VGW internet SIP SIP SIP © 2004 Nicolas FISCHBACH voice signaling 12 PacSec.JP/core04 その他の電話ネットワーク » POTS/PSTN [TDM] » “ワイヤレス”/DECTフォン » GSM » 衛星 » シグナリング(SS7) © 2004 Nicolas FISCHBACH 13 PacSec.JP/core04 攻撃 » フリーカー( IP電話ハッカー) > IP知識 > 既知の脆弱性 > Evolution 2600Hz -> ボイスメール/int’l GW -> IPテレフォニー > 内部、それとも外部の脅威 ? > ターゲット:ホームユーザ、企業、政府など ? » プロトコル実装 > PROTOS » 人的要因 © 2004 Nicolas FISCHBACH 14 PacSec.JP/core04 攻撃 : サービス妨害 » サービス妨害(DoS) > ネットワーク > プロトコル(SIP INVITE) > システム/アプリケーション > 電話 » 可用性 (事業継続/災害復旧) > 必須条件:電力 > 選択肢 (ビジネス継続性/障害回復) ? > E911 (法律面と技術面) > GSM > PSTN(公衆交換電話網)からGSMへ © 2004 Nicolas FISCHBACH 15 PacSec.JP/core04 攻撃 : 詐欺 » Call-IDスプーフィング » ユーザ権利の乗っ取り > 偽装認証サーバ » 影響 > ボイスメールへのアクセス > 付加価値番号 > ソーシャルエンジニアリング > リプレイ攻撃 © 2004 Nicolas FISCHBACH 16 PacSec.JP/core04 攻撃 : 盗聴 » 盗聴 > ディスカッション > “だれがだれと話しているか” - ネットワーク傍受 - サーバ(SIP、CDRなど) » LAN > LANへの物理的アクセス > ARP攻撃 > 非認証デバイス(電話とサーバ) > さまざまな階層(MACアドレス、ユーザ、物理的ポートなど) © 2004 Nicolas FISCHBACH 17 PacSec.JP/core04 攻撃 : 盗聴 » どこで盗聴するか? > ユーザはどこにいるか ? > ネットワークは混線しているか? » 合法的な盗聴 > CALEA(Communications Assistance for Law Enforcement Act 米国盗聴法) > ETSI(欧州電気通信標準化機構)標準 > アーキテクチャとリスク © 2004 Nicolas FISCHBACH 18 PacSec.JP/core04 攻撃 : システム » システム > デフォルトで堅牢なシステムはほぼ皆無 > ワーム、エクスプロイト、トロイの木馬 © 2004 Nicolas FISCHBACH 19 PacSec.JP/core04 攻撃 : 電話 » (S)IP電話 > 開始処理 - DHCP、TFTPなど > 物理的アクセス - 隠れ設定テーブル > TCP/IPスタック > ファームウェア/設定 > トロイの木馬/ルートキット © 2004 Nicolas FISCHBACH 20 PacSec.JP/core04 防御 » シグナリング: SIP » » » » » » > Secure SIP 対 SS7 (物理的セキュリティ) トランスポート: Secure RTP (MiKEYとともに使用) ネットワーク: QoS(サービス品質) [LLQ(低遅延キューイング)] ( および帯域制限) ファイアウォール: アプリケーションレベルのフィルタリング 電話: 署名付きファームウェア 認証: TLS > サーバによるクライアントの識別 > クライアントによるサーバの識別 3つのP : project(計画)、security processes(セキュリティプロ セス) およびpolicies(セキュリティポリシー) © 2004 Nicolas FISCHBACH 21 PacSec.JP/core04 結論 » 結論 » 他のプレゼンテーション > バックボーンおよびインフラセキュリティ - http://www.securite.org/presentations/secip/ > (分散型)サービス妨害 - http://www.securite.org/presentations/ddos/ » 質疑応答 Image: www.shawnsclipart.com/funkycomputercrowd.html © 2004 Nicolas FISCHBACH 22
© Copyright 2024 ExpyDoc