positive hack days. Гурзов. Легенды и мифы безопасности voip
DESCRIPTION
Интегрированные услуги операторов связи и технологии Unified Communications обещают быструю окупаемость и серьезные удобства. Однако практика показывает, что сервисы VOIP и IPPBX могут доставить массу проблем, прежде всего связных с информационной безопасностью и фродом. С какими проблемами информационная безопасность компании можно столкнуться при использовании Unified Communications? Взломать VOIP/PBX/MGW за 60 секунд: возможно ли? Планируется обсуждение эффективных методов обеспечения безопасности Unified Communications.TRANSCRIPT
Легенды и мифы безопасности
VoIP
Гурзов Константин
Руководитель отдела поддержки продаж
VoIP - лакомый кусочек!
VoIP
Доступ в сеть предприятия
Управление вызовами (фрод)
Искажение и подмена информации
Прослушивание вызовов
Хищение персональных данных
И многое другое…
Компоненты VoIP-инфраструктуры
ТРАНСПОРТ
СЕРВЕРЫ ПРИЛОЖЕНИЙ
УПРАВЛЕНИЕ
ОКОНЕЧНЫЕ УСТРОЙСТВА ПОГРАНИЧНЫЕ
УСТРОЙСТВА
PSTN
IP-СЕТИ
INTERNET
ЛВС ФИЛИАЛЫ
Компьютер нарушителя
Гостевая Wi-Fi сеть
Сегмент VoIP – это объединенный ЛВС ряд специализированных платформ и сетевых
устройств,объединение различных сетей и технологий
Все угрозы ЛВС актуальны и в VoIP
Пароли по умолчанию
Веб-интерфейсы управления
Уязвимости программного обеспечения
Прослушивание трафика
Блокирование учетных записей
Пароли по умолчанию
Известные угрозы– прежние способы борьбы
Примеры рассчитанных метрик на основе "живых" данных при проведении внутренних аудитов ИБ специалистами компании Positive Technologies, 2009 г.
Около 50% всех сетевых устройств имеют либо стандартные, либо легко подбираемые пароли
Оконечные устройства•Стандартный PIN-код для CISCO IP PHONE - «**#*»
SIP шлюзы•Стандартный пароль для Asterisk - «admin» влечет:
Отказ в обслуживании Прослушивание Нарушение целостности Toll Fraud
Примеры
Перенастройка
Зеркалирование
Прослушивание
Веб-интерфейсы управления•SQL Injection•Сross Site Scripting•DoS•И т.д.
Известные угрозы – прежние способы борьбы
Получение доступа к веб-интерфейсам управления ваших устройств гарантирует успешность атак на эти
устройства
CISCO Call Manager• CVE-2010-3039 повышение привилегий• CVE-2007-4633 XSS• CVE-2007-4634 SQL Injection• CVE-2008-0026 SQL Injection
Asterisk GUI• CVE-2008-1390 CVSS Base Score 9,3
Примеры
Вероятность обнаружения уязвимостей различной степени риска на основе анализа 5560 сайтов специалистами компании Positive Technologies, 2009 г.
Известные угрозы – прежние способы борьбы
Уязвимости программного обеспечения
Выполнение произвольного кода из сети в CISCO Call Manager 6
Уязвимость позволяет атакующему выполнить
произвольный код
Известные угрозы – прежние способы борьбы
Уязвимости программного обеспечения
Отказ в обслуживании в CISCO Call Manager 6
Уязвимость позволяет атакующему вызвать отказ в обслуживании
Недоступность и ограничение сервисов•Веб-интерфейсы с наличием уязвимостей•Слабая парольная политика
Известные угрозы – прежние способы борьбы
Любое VoIP-устройство является элементом сети Ethernet, поэтому к нему применимо большинство
типов сетевых атак
Прослушивание трафика•Слабозащищенные Wireless-сети•Реализация атаки «Man in the middle»•Десятки специализированных приложений для
прослушивания VoIP-телефонии. Например, Cain&Abel (www.oxid.it), UCSniff (http://ucsniff.sourceforge.net)
Известные угрозы – прежние способы борьбы
Прослушивание трафика ведет к нарушению конфиденциальности информации и хищению
персональных данных
Примеры реальных атак
Перепродажа трафика
Прослушивание переговоров
Захват корпоративной сети
Перепродажа трафика (фрод)
PSTN
VOIP ПРОВАЙДЕРКОМПАНИЯ «А»
IP PBX 2
IP PBX 1Компания «Клиент»
SIP trunk
H.323, SIP
Гостевая Wi-Fi сеть
Компьютер нарушителяIP PBX 1 – IP PBX клиента компании «А»
IP PBX 2 – IP PBX злоумышленника
1. Отсутствие списков доступа на устройствах2. Слабая парольная политика в рамках устройств и ПО3. Низкий уровень защищенности в целом именно VoIP-
инфраструктуры4. Биллинг 1 раз в месяц
Перепродажа трафика (фрод) – действия нарушителя
PSTN
VOIP ПРОВАЙДЕРКОМПАНИЯ «А»
IP PBX 2
IP PBX 1Компания «Клиент»
SIP trunk
H.323, SIP
Гостевая Wi-Fi сеть
Компьютер нарушителя
1. Сканирует сеть и находит IP PBX 1.
2. Обеспечивает PSTN присоединение IP PBX 2 через IP PBX 1.
3. Пробрасывает дорогостоящие МГ/МН вызовы через «А» в PSTN.
1
2
3Оператор «А» неспособен четко разделить зоны ответственности между собой и своим клиентом,
поэтому он платит всегда
Перепродажа трафика (фрод) – можно избежать если бы
оператор:
настроил списки доступа на внешних интерфейсах клиентских IP PBX-ов;
убедился, что звонки, пришедшие через SIP-транк не маршрутизируются обратно;
блокировал МГ/МН вызовы, если они не используются;
распространил парольную политику и на VoIP-сервисы;
предложил своему клиенту услугу анализа защищенности его оборудования.
PSTN
IP PBX
Компания «А»
ТОПТОП
Вне офиса Компании «А»
Компьютер нарушителя
WEP
Прослушивание переговоров
1. Использование Wireless-сетей2. Слабые алгоритмы шифрования3. Отсутствие списков доступа4. Слабая парольная политика
Захват корпоративной сети
PSTN
IP PBX
Компания «А»
ТОПТОП
Вне офиса Компании «А»
Компьютер нарушителя
WEP
КЛВС
SQL injectionCVE-2008-0026
5. Отсутствие управления изменениями
Захват корпоративной сети – действия нарушителя
PSTN
IP PBX
Компания «А»
ТОПТОП
Вне офиса Компании «А»
Компьютер нарушителя
WEP
КЛВС
SQL injectionCVE-2008-0026
2
3
1. Получает доступ к корпоративной сети через Wi-Fi
2. Находит в сети по типовому отклику CISCO Call Managera) использует SQLi, реализующую CVE-2008-0026
b) получает ХЭШи паролей пользователей, эквивалентно запросу
c) восстанавливает пароли из ХЭШей
3. Один из восстановленных паролейявляется паролем Admin для всех CISCO КЛВС
runsql select user,password from applicationuser
https://www.example.org/ccmuser/personaladdressbookEdit.do?key='+UNION+ALL+SELECT+'','','',user,'',password+from+applicationuser;--
1
Через VoIP-сервисы возможно захватить всю КЛВС
Выводы
1. Инфраструктура VoIP подвержена тем же самым угрозам ИБ, что и обычная корпоративная ЛВС
2. Уязвимости VoIP-сервисов уязвимости КЛВС
3. Способы создания защищенной инфраструктуры в VoIP такие же как и в обычной корпоративной ЛВС
Советы по создание безопасной инфраструктуры
Совет 1: организуйте у себя в VoIP-инф-ре контроль изменений и контроль обновлений.
Совет 2: распространите парольную политику на VoIP-сервисы, используйте стойкие крипто алгоритмы.
Совет 3: используйте систему контроля защищенности и соответствия стандартам для недопущения инцидентов.
Совет 4: предложите клиентам услуги по мониторингу уровня ИБ их оборудования в качестве VAS.
Совет 5: смотрите шире на ИБ своей инфраструктуры, ведь ваша IT-инфраструктура не ограничивается рабочими местами и электронной почтой.