richard dodsworth kỹ sư tư vấn, thoại cisco systems, châu ... · 10.1.1.4...
TRANSCRIPT
1© 2004 Cisco Systems, Inc. All rights reserved.
Bảo vệ thoại IP
Richard DodsworthKỹ sư tư vấn, thoại
Cisco Systems, Châu Á – Thái Bình dươ[email protected]
Đại úy Crunch Cereal (ngũ cốc giòn) và An ninh Thoại
222© 2004 Cisco Systems, Inc. All rights reserved.
• Thuật ngữ Phreaking được sinh ra
• Câu lạc bộ 2600 được thành lập
• Blue Box được phát triển
• Các cuộc gọi miễn phí bịchiếm để ăn trộm cước
John T. Dryerhttp://www.webcrunchers.com/crunch
333© 2004 Cisco Systems, Inc. All rights reserved.
Giờ đây chúng ta lo lắng về điều gì?
• Trộm cước – giống trong thoại truyền thông
• Nghe trộmVới TDM: cần có kiến thức và truy nhập đến đôi dây nhất định.Với VoIP: Mọi nơi trên miền quảng bá
• DoS, sâu và virus hợp phápNhững cuộc tấn công có mục tiêu hay vô danh chống lại WindowsNhững điểm yếu của TCP, lợi dụng L2/L3
• Cài các thiết bị giả
• Thăm dò trước
• Người trung gian
• Đánh lừa và Bỏ đói DHCP
• Các điểm yếu TCP khác nhau
• Blue-Bugging (tấn công quan Bluetooth)
• VOMIT, SPIT, DoVS, etc…
444© 2004 Cisco Systems, Inc. All rights reserved.
Chương trình
• Tình trạng an toàn mạng
• Bảo vệ hạ tầng
• Bảo vệ điểm cuối
• Bảo vệ ứng dụng mạng
• Gia cố ứng dụng thoại
• Kết luận
555© 2004 Cisco Systems, Inc. All rights reserved.
Tình trạng An toàn Mạng
Những cuộc tấn công an ninh đã tiến hóa rất nhanh chóng
666© 2004 Cisco Systems, Inc. All rights reserved.
Tốc độlan tràn
và tạo thành
Tính phức tạpCủa cuộc tấn công
1993 1995 1997 1999 2001 2002 2003
Mở mặc định Tấn công “pha trộn”
Tính phức tạp và số lượng ứng dụng bị tiếp xúc
100 mã nguồn điểm yếu, hơn một triệu người dùng internet bằng CLI
Hơn 4000 điểm yếu GUI, WYSIWYGhơn 600 triệu người dùng internet
Cơ hội lợi dụng
777© 2004 Cisco Systems, Inc. All rights reserved.
SAFE: Bảo vệ theo chiều sâu
ThiThiếết kt kếế an ninh an ninh ““Thông lThông lệệ ttốối i ưưuu”” cho cho tritriểển khai an ninh mn khai an ninh mạạng tng tíích hch hợợpp
Có các bản thiết kế cho:• Doanh nghiệp
• Doanh nghiệp nhỏ
• IPSec VPNs
• Thoại
• Vô tuyến
• Thương mại điện tử(với an ninh thông tin)
© 20 02 , Cisco Sys te m s, Inc. All rig hts r ese rved . 34
888© 2004 Cisco Systems, Inc. All rights reserved.
Bảo an Hạ tầng
999© 2004 Cisco Systems, Inc. All rights reserved.
Nền tảng của mọi triển khai an ninh là có hạ tầng an toàn hỗ trợ
Nền tảng của mọi triển khai, của mọi ứng dụng là cóhạ tầng an toàn hỗ trợ
Hạ tầng – An ninh vật lý
101010© 2004 Cisco Systems, Inc. All rights reserved.
• CallManager, điện thoại được cấp nguồn từ thiết bị chuyển mạch, các gateway và bộ định tuyến ở giữa cần có bộ lưu điện
• CallManger cần được đặt tại vị trí an toàn; truy nhập vật lý cónghĩa là truy nhập được đến cấu hình hệ thống và kế hoạch quay số
• Điện thoại có cổng chuyển mạch cho PC, nếu quý vị không dùng hãy tắt chúng
Nếu chúng còn được sử dụng, hãy dùng VVID để phân cách VLAN thoại/dữ liệu
Nếu không, chúng cung cấp truy nhập cho VLAN thoại
• Các nhóm/CM dự phòng và gateway cần được đặt tại một vị tríriêng biệt về mặt vật lý hay kết nối vào mạng trên những tuyến cách biệt.
111111© 2004 Cisco Systems, Inc. All rights reserved.
Chặn truy nhập PC tới VLAN thoại
• Chặn các gói 802.1q được dán nhãn VLAN thoại được gửi đến hay nhận từ cổng PC trên điện thoại
• Chặn việc đánh hơi nguy hiểm các luồng thoại từ cổng PC của điện thoại
• Còn chặn việc cố ý đánh hơi trong khi xử lý sự cố hay giám sát.
• Có những phương pháp đánh hơi tốt hơn như tính năng SPAN hay R-SPAN của tổng đài Catalyst
IP Subnet APC VLAN = 3
IP Subnet BPhone VLAN = 200
VLAN thoại
Ngăn chặn thành công VOMIT (Thoại qua điện thoại IP bị đặt cấu hình sai)
VLAN dữ liệu
121212© 2004 Cisco Systems, Inc. All rights reserved.
Hạ tầng chuyển mạch để giảm nhẹ VOMIT
• Phần lớn các thiết bị điện thoại IP không hỗ trợ bảo mật
Phân khoảng thoại-dữ liệu và hạ tầng chuyển mạch sẽ làm giảm đáng kể xác suất nghe trộm bằng các công cụ như VOMIT
Vomit
Hub
PC-BasedIP Phone
Hacker
131313© 2004 Cisco Systems, Inc. All rights reserved.
Nền tảng: Giảm nhẹ tấn công lớp 2
• Hạn chế MAC, kiểm soát ARP
• Hạn chế/intelligence DHCP
• Hạn chế địa chỉ IP
• Lọc Lớp 2, QoS (+trust), 802.1x, ARPwatch
Dug Song, Tác giả của dsniff
www.monkey.org/~dugsong/dsniffhttp://ettercap.sourceforge.net/
141414© 2004 Cisco Systems, Inc. All rights reserved.
Phòng ngừa lừa đảo và làm kiệt DHCP
DHCP Request
10.1.1.1
DHCP Reply
aa-aa-aa-aa-aa-aa
DHCP-S: Nope!
10.1.1.1 aa-aa-aa-aa-aa-aa 1/010.1.1.2 bb-bb-bb-bb-bb-bb 1/110.1.1.3 cc-cc-cc-cc-cc-cc 1/2
10.1.1.3cc-cc-cc-cc-cc-cc
X
DHCP Reply
DHCP Server10.1.1.2
bb-bb-bb-bb-bb-bb
• Do thám DHCP tạo ra sự liên kết của địa chỉ IP với địa chỉ MAC• Định nghĩa các cổng có thể Trả lời DCHP• Hạn chế tốc độ các bản tin DHCP• Tái thiết lập các tuyến bị mất
dd-dd-dd-dd-dd-dd
151515© 2004 Cisco Systems, Inc. All rights reserved.
Ngăn chặn tấn công dạng Người trung gian
10.1.1.1 aa-aa-aa-aa-aa-aa 1/010.1.1.2 bb-bb-bb-bb-bb-bb 1/110.1.1.4 dd-dd-dd-dd-dd-dd 1/3
• Xây dựng trên Bảng gắn kết DHCP• Thanh tra ARP động theo dõi sự xâm phạm ARP/GARP• Bảo vệ nguồn IP kiểm tra từng gói tin• Sẽ tránh xa gói tin hay tắt cổng
NGĂN CHẶN THÀNH CÔNG ETTERCAP, DSNIFF
GARP:I’m 10.1.1.2
GARP:I’m 10.1.1.1
TCP:I’m 10.1.1.2
10.1.1.1 10.1.1.2ISG: I Don’tThink So!
aa-aa-aa-aa-aa-aabb-bb-bb-bb-bb-bb
DAI: No, You’re Not!
10.1.1.3cc-cc-cc-cc-cc-cc
10.1.1.4dd-dd-dd-dd-dd-dd
Static DHCP
XARP Cache10.1.1.2 bb10.1.1.3 cc10.1.1.4 dd
ARP Cache10.1.1.1 aa10.1.1.3 cc10.1.1.4 dd
10.1.1.2 cc10.1.1.1 cc
X
DAI OffDAI On
161616© 2004 Cisco Systems, Inc. All rights reserved.
Ma trận các tính năng an ninh (1/2)
12.1(19)EW2N/A12.2(18)SXD218.3(1)1Bảo vệ nguồn IP
DAI
Do thám DHCP
An ninh cổng động
Tính năng/Nền
8.3(1)
8.3(1)
7.6(1)
6500/Catalyst OS
12.2(18)SXD2
12.2(18)SXD2
12.1(13)E
6500/Cisco IOS®
12.1(19)EW2N/A
12.1(12c)EW2N/A
12.1(13)EW5.1(1)
4500/Cisco IOS4500/Catalyst OS
GHI CHÚ: Hiện chưa có kế hoạch hỗ trợ các tính năng này cho Nền thiết bị Catalyst 4000/4500 Platform chạy CatOS, hay nền 5500, 5000, 2900, 1900, hay bất kè nền nào khác
1. Yêu cầu Sup7202. Nền thiết bị Catalyst 4500/Cisco dựa trên IOS yêu cầu Sup2+, Sup3,
Sup4, hay Sup 5 trên các giá máy Catalyst 4006, 4503, 4506, và 4507R
171717© 2004 Cisco Systems, Inc. All rights reserved.
Ma trận các tính năng an ninh (2/2)
N/AN/AN/A12.2(25)SE312.2(20)SE3Bảo vệ nguồn IP
DAI
Do thám DHCP
An ninh cổng động
Tính năng/Nền
N/A
N/A
12.0(5.2)WC1
2950 SI
N/AN/A12.2(25)SE312.2(20)SE3
12.1(19)EA112.1(19)EA112.1(19)EA112.1(19)EA1
12.0(5.2)WC112.1(11)AX12.1(4)EA112.1(11)AX
2950 EI2970 EI3550/35603750
1. Cả trong IP Base (trước là SMI) và Dịch vụ IP (trước là EMI)
GHI CHÚ: Hiện chưa có kế hoạch hỗ trợ các tính năng này cho Nền thiết bị Catalyst 4000/4500 Platform chạy CatOS, hay nền 5500, 5000, 2900, 1900, hay bất kè nền nào khác
181818© 2004 Cisco Systems, Inc. All rights reserved.
Phân cách thoại và dữ liệu tới Lớp 7
• Triển khai tường lửa trạng thái để làm trung gian cho tương tác giữa vùng thoại-dữ liệu
Cung cấp truy nhập chọn lọc động và giảm nhẹ các cuộc tấn công bỏ đói kết nối TCP, làm lụt UDP và lừa đảo
Phía trước các dịch vụ thoại, hiện đã khả thi trong mạng campus
Chìa khóa là việc sắp đặt thoại và các dịch vụ liên quan
Hãy bảo đảm rằng nhà cung cấp tường lửa trạng thái màquý vị lựa chọn có hỗ trợ thanh tra theo trạng thái các giao thức thoại mà quý vị dự định triển khai
Vùng dữ liệuVùng thoại
Proxy Server
Quản lý xử lý cuộc gọi
Hệ thống người dùng
Máy chủ thư thoại Máy chủ E-Mail
Gateway thoại Hệ thống người dùng Máy chủCông ty
191919© 2004 Cisco Systems, Inc. All rights reserved.
Bảo vệ các điểm cuối
202020© 2004 Cisco Systems, Inc. All rights reserved.
Gia cường điện thoại• Firmware được ký
– Được bảo đảm từ Cisco– Chữ ký duy nhất cho từng
kiểu điện thoại– Không thể phá vỡ các tính
năng an ninh!
• File cấu hình được ký– Điện thoại IP
• Các lựa chọn có thể đặt cấu hình:
– Tắt cổng PC, Nút “Setting”, Truy nhập Web, điện thoại loa ngoài
– Bỏ qua ARP vô cớ (GARP)– Chặn VLAN thoại ra khỏi
cổng PC
MỚI!MỚI!
212121© 2004 Cisco Systems, Inc. All rights reserved.
Các mở rộng an ninhTin tưởng và Nhận dạng và Kết nối an toàn
• Cấu hình và Quản lý an ninh cho một số điểm cuối được lựa chọn.
Các phiên bản phần mềm được bảo vệ RSA MD5 SHA đảm bảo
Nguồn là đáng tin cậy
Nội dung không thây đổi
Cấu hình mã hóa và lưu lượng điều khiển TLS (SSL v3.0)
Liên lạc riêng giữa các thiết bị được tin cậy
Cấu hình
21© 2003, Cisco Systems, Inc. All rights reserved.
222222© 2004 Cisco Systems, Inc. All rights reserved.
Chặn bản sao phần mềm lừa đảo xâm nhập điện thoại
• Bản sao firmware được kýĐược Cisco bảo đảmChữ ký duy nhất cho từng kiểu điện thoạiKhông thể phá vỡ các tính năng an ninh!CCM 3.3(3)
• Các file cấu hình được kýĐiện thoại IP của CiscoCCM 4.0+
Cisco CallManager7912
XXX
232323© 2004 Cisco Systems, Inc. All rights reserved.
Điện thoại cần bỏ qua ARP vô cớ
• Chặn việc điện thoại nhận ARP vô cớ (GARP)
• Ngăn chặn các thiết bị ác ý khỏi việc làm giả định dạng của một thiết bị khác (bộ định tuyến mặc định) để trở thành người trung gian
• Không thực sự là bỏ qua; chỉ cập nhật ARP cache
• Có thể dẫn đến tấn công DoS – “Tôi có địa chỉ của anh”Nên làm việc này ở lớp hai
I’m 10.1.1.2
10.1.1.1 10.1.1.2
I’m 10.1.1.1
Tôi không nghe
Đúng không?Tôi sẽ có một địa chỉ mới.
10.1.1.3
Gia cường Hệ điều hành
242424© 2004 Cisco Systems, Inc. All rights reserved.
• Hệ điều hành Win2K được cung cấp theo mặc định, vàcó thể tải về từ Cisco Connection Online
Các phiên bản trở nên an toàn hơnĐã thêm URLScan từ Microsoft
• Chính sách vá an ninh và sửa chữa nóng tích cực⎯ Thiết yếu: Được kiểm tra và đưa lên CCO trong vòng 24 giờ⎯ Khác: Được tổng hợp và đưa lên CCO một lần một tháng⎯ E-mail thông báo cho quý vị khi nào các bản vá sẵn sàng
(http://www.cisco.com/warp/public/779/largeent/software_patch.html)
Bản vá cho Blaster có trên CCO 3 tuần trước khi virus này tấn công !Bản vá cho Sasser có trên CCO hai tuần trước khi virus này tấn công!
• Cài đặt Trend Micro Server Protect 5.0, McAfee 4.5, 7.0 và 7.1 hay Symantec 7.6, 8.0 Anti-Virus Protection
Bỏ chức năng quét tìm (heuristic scanning) – nếu không các trang web có thể không làm việc!
252525© 2004 Cisco Systems, Inc. All rights reserved.
Phòng ngừa xâm nhập trên máyTác tử an ninh của Cisco
• Theo chính sách, không theo chữ ký
• Không cập nhật• Bảo vệ “Ngày đầu tiên”
Các chính sách sẵn có ngăn chặn Slammer, Nimda vàCode Red
• Sẵn có cho tất cả các ứng dụng điện thoại
Headless bundledManaged optional Bảo vệ máy chủ CSA:
• Bảo vệ chống thâm nhập trên máy
• Bảo vệ chống tràn bộ nhớ• Bảo vệ chống sâu mạng• Gia cường hệ điều hành• Bảo vệ máy chủ Web
262626© 2004 Cisco Systems, Inc. All rights reserved.
Bảo an Ứng dụng Mạng
272727© 2004 Cisco Systems, Inc. All rights reserved.
Nhận thực và Mã hóa
• Nhận thực điểm cuối- Ngăn chặn những điểm cuối không mong muốn kết nối tới máy chủ và gateway
-Ngăn chặn các máy chủ lừa đảo giả trang trên mạng
• Mã hóa- Giao thức điều khiển
- Giao thức truyền thông tin giữa các điểm cuối
282828© 2004 Cisco Systems, Inc. All rights reserved.
Các chứng chỉ X.509v3
CAPF• Mỗi thiết bị có một chứng chỉduy nhất
• Cách thức thiết bị quảng báChìa khóa công cộng của mình
• Được Tổ chức cấp chứng chỉ được tin cậy ký để tạo ra tính hợp lệ
• Có từ các nguồn khác nhauCCM— Tự ký
7911/7941/7961/7970—MICs do Cisco cài đặt
7940/60—LSCs từ CAPF
292929© 2004 Cisco Systems, Inc. All rights reserved.
Danh sách chứng chỉ tin cậy
• Danh sách chứng chỉ tin cậy chứa đựng danh mục các thiết bị được tin cậy -CCM, TFTP, CAPF
• Tương tự như CA gốc được tin cậy trong IE
• Do CTL tạo ra
• Tải vệ điện thoại trong thời gian TFTP
• Tất cả điện thoại trong nhóm có cùng file CTL
• CCM có một file CTL động
Được tải trong khi đăng ký TLS
Chứa đựng cơ sở dữ liệu OpenSSL
CAPFCTL Client
303030© 2004 Cisco Systems, Inc. All rights reserved.
TLS: An ninh lớp truyền tải
Cisco sử dụng TLS để bảo an báo hiệu CTL Clientgiữa CCM và Điện thoại IP
• Trao đổi hai chiều các chứng chỉ để nhận thực lẫn nhau
• Các chữ ký RSA
• Nhãn nhận thực HMAC-SHA-1 bảo đảm tính toàn vẹn của gói tin
• Mã hóa AES-128-CBC bảo vệchìa khóa phiên, tông DTMF vàcác dữ liệu khác*
* 7911/794x/796x/797x Chỉ vào thời điểm này
313131© 2004 Cisco Systems, Inc. All rights reserved.
SRTP: RTP An toàn
• SRTP là việc truyền tải cho các phương tiện đã được nhận thực và đã được mã hóa
• IETF RFC3711• Sử dụng HMAC-SHA-1 cho
nhận thực và AES-128 CM để mã hóa
• Chìa khóa được tạo trong CCM – và gửi đến điện thoại qua TLS
• Hiện nay được hỗ trợ trong 7911/794x/796x/797x
• Theo thời gian, SRTP sẽ được triển khai trong nhiều loại điện thoại, gateway và ứng dụng
CTL Client
Các gói tin SRTP tạo thêm 15 micro giây trễ và lớn hơn các gói tin RTP từ 4 đến 7
byte
323232© 2004 Cisco Systems, Inc. All rights reserved.
Nhận thực và Mã hóa theo chứng chỉ mở rộng trong CallManager
IPSec & SRTP đến MGCP Gateways H.323 Gateways
H.323 ICT
Trung kế SIP (chỉcó TLS)
TLS và SRTP được hỗ trợcho Unity 4.0(5)
IPCC 7.0
CTI (CM 5.0)
Hỗ trợ hoàn toàn TLS vàSRTP trong 7911 / 794x /
796x / 797x TLSIPSecSRTP
333333© 2004 Cisco Systems, Inc. All rights reserved.
Gia cường Ứng dụng Thoại
343434© 2004 Cisco Systems, Inc. All rights reserved.
Bảo an truy nhập quản trị từ xa
• CCM 4.1 và mới hơn
• Tất cả các trang web người dùng và quản trị Cisco CallManager trên HTTPS
Tên người dùng vàmật khẩu
Thay đổi cấu hình
Khả năng phục vụ
Quay số, Chuyển cuộc gọi
• Tìm kiếm Backend LDAP qua SSL
353535© 2004 Cisco Systems, Inc. All rights reserved.
Trộm cước 3:Thiết kế xã hội
Local PSTN
Vui lòng chuyển tôi sang số lẻ 9011
Quốc tế,Premium
Trộm cước 1:
Chuyển từ thư thoại
Local PSTN
Quốc tế, Premium
Thư thoại, chuyển tôi sang 9011xxxxxxxxx
Trộm cước 2:Chuyển tất cả cuộc gọi
Nội hạt
Int’l
Gọi tôi theo số cơ quan khi tôi đi nghỉ!
Chuyển hết
Trộm cước 4:Tay trong
Local
Tôi sẽchuyển cho anh!
Quốc tế, Premium
Lợi dụng trộm cước
363636© 2004 Cisco Systems, Inc. All rights reserved.
Phòng ngừa trộm cước người dùng
• Bảo vệ chống chuyển cuộc gọi, chuyển cuộc gọi từ xa và chuyển giữa các trung kế
• Phân vùng và không gian tìm kiếm gọi hạn chế một số điện thoại chỉ được truy nhập tới một phần nhất định của kế hoạch quay số
• Các bộ lọc quay số kiểm soát truy nhập đến các số điện thoại có thểbị lợi dụng như 900
• Các cuộc gọi hội nghị bất thường có thể bị đánh rớt theo lựa chọn khi người khởi tạo bỏ máy
• Mã nhận thực bắt buộc hay mã client matter phòng ngừa các cuộc gọi phi nhận thực và cung cấp một cơ chế cho tính cước và theo dõi
373737© 2004 Cisco Systems, Inc. All rights reserved.
Kết luận
383838© 2004 Cisco Systems, Inc. All rights reserved.
An ninh là sự cân đối giữa rủi ro và chi phí
SYSLOG
IPSec/SRTP đến GatewaysThiết lập an ninh cho điện thoại
SCCP-S/SRTP đến điện thoạiCấu hình và Firmware được ký
Cisco Anomaly Detector XTCSA/VMS được quản lýSLDAP
Cisco Guard XTGia cường OS lựa chọnHTTPS, Secure VNC
CW-SIMS/MARSVPN—SOHO/Di độngAnti-Virus
NIDSAn ninh tích hợp cho CatalystCSA không được quản lý
NAC/802.1XHạn chế tốc độGia cường OS tiêu chuẩn
Tường lửa tiên tiếnTường lửa cơ bảnACL’s lớp 3 cơ bản
VàngMới, Không tích hợp với thoại,
chưa được kiểm tra
BạcTrung bình, Hợp lý
ĐồngMặc định, Dễ dùng
Chi phí – Sự phức tạp –Nhân công – Tiền
Thông tin thêm = http://www.cisco.com/go/ipcsecurity.
393939© 2004 Cisco Systems, Inc. All rights reserved.
VVT-20039833_05_2004_c2 404040© 2004 Cisco Systems, Inc. All rights reserved.