richard dodsworth kỹ sư tư vấn, thoại cisco systems, châu ... · 10.1.1.4...

1© 2004 Cisco Systems, Inc. All rights reserved.

Bảo vệ thoại IP

Richard DodsworthKỹ sư tư vấn, thoại

Cisco Systems, Châu Á – Thái Bình dươ[email protected]

Đại úy Crunch Cereal (ngũ cốc giòn) và An ninh Thoại


• Thuật ngữ Phreaking được sinh ra

• Câu lạc bộ 2600 được thành lập

• Blue Box được phát triển

• Các cuộc gọi miễn phí bịchiếm để ăn trộm cước

John T. Dryerhttp://www.webcrunchers.com/crunch


Giờ đây chúng ta lo lắng về điều gì?

• Trộm cước – giống trong thoại truyền thông

• Nghe trộmVới TDM: cần có kiến thức và truy nhập đến đôi dây nhất định.Với VoIP: Mọi nơi trên miền quảng bá

• DoS, sâu và virus hợp phápNhững cuộc tấn công có mục tiêu hay vô danh chống lại WindowsNhững điểm yếu của TCP, lợi dụng L2/L3

• Cài các thiết bị giả

• Thăm dò trước

• Người trung gian

• Đánh lừa và Bỏ đói DHCP

• Các điểm yếu TCP khác nhau

• Blue-Bugging (tấn công quan Bluetooth)

• VOMIT, SPIT, DoVS, etc…


Chương trình

• Tình trạng an toàn mạng

• Bảo vệ hạ tầng

• Bảo vệ điểm cuối

• Bảo vệ ứng dụng mạng

• Gia cố ứng dụng thoại

• Kết luận


Tình trạng An toàn Mạng

Những cuộc tấn công an ninh đã tiến hóa rất nhanh chóng


Tốc độlan tràn

và tạo thành

Tính phức tạpCủa cuộc tấn công

1993 1995 1997 1999 2001 2002 2003

Mở mặc định Tấn công “pha trộn”

Tính phức tạp và số lượng ứng dụng bị tiếp xúc

100 mã nguồn điểm yếu, hơn một triệu người dùng internet bằng CLI

Hơn 4000 điểm yếu GUI, WYSIWYGhơn 600 triệu người dùng internet

Cơ hội lợi dụng


SAFE: Bảo vệ theo chiều sâu

ThiThiếết kt kếế an ninh an ninh ““Thông lThông lệệ ttốối i ưưuu”” cho cho tritriểển khai an ninh mn khai an ninh mạạng tng tíích hch hợợpp

Có các bản thiết kế cho:• Doanh nghiệp

• Doanh nghiệp nhỏ

• IPSec VPNs

• Thoại

• Vô tuyến

• Thương mại điện tử(với an ninh thông tin)

© 20 02 , Cisco Sys te m s, Inc. All rig hts r ese rved . 34


Bảo an Hạ tầng


Nền tảng của mọi triển khai an ninh là có hạ tầng an toàn hỗ trợ

Nền tảng của mọi triển khai, của mọi ứng dụng là cóhạ tầng an toàn hỗ trợ

Hạ tầng – An ninh vật lý


• CallManager, điện thoại được cấp nguồn từ thiết bị chuyển mạch, các gateway và bộ định tuyến ở giữa cần có bộ lưu điện

• CallManger cần được đặt tại vị trí an toàn; truy nhập vật lý cónghĩa là truy nhập được đến cấu hình hệ thống và kế hoạch quay số

• Điện thoại có cổng chuyển mạch cho PC, nếu quý vị không dùng hãy tắt chúng

Nếu chúng còn được sử dụng, hãy dùng VVID để phân cách VLAN thoại/dữ liệu

Nếu không, chúng cung cấp truy nhập cho VLAN thoại

• Các nhóm/CM dự phòng và gateway cần được đặt tại một vị tríriêng biệt về mặt vật lý hay kết nối vào mạng trên những tuyến cách biệt.


Chặn truy nhập PC tới VLAN thoại

• Chặn các gói 802.1q được dán nhãn VLAN thoại được gửi đến hay nhận từ cổng PC trên điện thoại

• Chặn việc đánh hơi nguy hiểm các luồng thoại từ cổng PC của điện thoại

• Còn chặn việc cố ý đánh hơi trong khi xử lý sự cố hay giám sát.

• Có những phương pháp đánh hơi tốt hơn như tính năng SPAN hay R-SPAN của tổng đài Catalyst

IP Subnet APC VLAN = 3

IP Subnet BPhone VLAN = 200

VLAN thoại

Ngăn chặn thành công VOMIT (Thoại qua điện thoại IP bị đặt cấu hình sai)

VLAN dữ liệu


Hạ tầng chuyển mạch để giảm nhẹ VOMIT

• Phần lớn các thiết bị điện thoại IP không hỗ trợ bảo mật

Phân khoảng thoại-dữ liệu và hạ tầng chuyển mạch sẽ làm giảm đáng kể xác suất nghe trộm bằng các công cụ như VOMIT

Vomit

Hub

PC-BasedIP Phone

Hacker


Nền tảng: Giảm nhẹ tấn công lớp 2

• Hạn chế MAC, kiểm soát ARP

• Hạn chế/intelligence DHCP

• Hạn chế địa chỉ IP

• Lọc Lớp 2, QoS (+trust), 802.1x, ARPwatch

Dug Song, Tác giả của dsniff

www.monkey.org/~dugsong/dsniffhttp://ettercap.sourceforge.net/

http://ettercap.sourceforge.net/


Phòng ngừa lừa đảo và làm kiệt DHCP

DHCP Request

10.1.1.1

DHCP Reply

aa-aa-aa-aa-aa-aa

DHCP-S: Nope!

10.1.1.1 aa-aa-aa-aa-aa-aa 1/010.1.1.2 bb-bb-bb-bb-bb-bb 1/110.1.1.3 cc-cc-cc-cc-cc-cc 1/2

10.1.1.3cc-cc-cc-cc-cc-cc

X

DHCP Reply

DHCP Server10.1.1.2

bb-bb-bb-bb-bb-bb

• Do thám DHCP tạo ra sự liên kết của địa chỉ IP với địa chỉ MAC• Định nghĩa các cổng có thể Trả lời DCHP• Hạn chế tốc độ các bản tin DHCP• Tái thiết lập các tuyến bị mất

dd-dd-dd-dd-dd-dd


Ngăn chặn tấn công dạng Người trung gian

10.1.1.1 aa-aa-aa-aa-aa-aa 1/010.1.1.2 bb-bb-bb-bb-bb-bb 1/110.1.1.4 dd-dd-dd-dd-dd-dd 1/3

• Xây dựng trên Bảng gắn kết DHCP• Thanh tra ARP động theo dõi sự xâm phạm ARP/GARP• Bảo vệ nguồn IP kiểm tra từng gói tin• Sẽ tránh xa gói tin hay tắt cổng

NGĂN CHẶN THÀNH CÔNG ETTERCAP, DSNIFF

GARP:I’m 10.1.1.2

GARP:I’m 10.1.1.1

TCP:I’m 10.1.1.2

10.1.1.1 10.1.1.2ISG: I Don’tThink So!

aa-aa-aa-aa-aa-aabb-bb-bb-bb-bb-bb

DAI: No, You’re Not!

10.1.1.3cc-cc-cc-cc-cc-cc

10.1.1.4dd-dd-dd-dd-dd-dd

Static DHCP

XARP Cache10.1.1.2 bb10.1.1.3 cc10.1.1.4 dd

ARP Cache10.1.1.1 aa10.1.1.3 cc10.1.1.4 dd

10.1.1.2 cc10.1.1.1 cc

X

DAI OffDAI On


Ma trận các tính năng an ninh (1/2)

12.1(19)EW2N/A12.2(18)SXD218.3(1)1Bảo vệ nguồn IP

DAI

Do thám DHCP

An ninh cổng động

Tính năng/Nền

8.3(1)

8.3(1)

7.6(1)

6500/Catalyst OS

12.2(18)SXD2

12.2(18)SXD2

12.1(13)E

6500/Cisco IOS®

12.1(19)EW2N/A

12.1(12c)EW2N/A

12.1(13)EW5.1(1)

4500/Cisco IOS4500/Catalyst OS

GHI CHÚ: Hiện chưa có kế hoạch hỗ trợ các tính năng này cho Nền thiết bị Catalyst 4000/4500 Platform chạy CatOS, hay nền 5500, 5000, 2900, 1900, hay bất kè nền nào khác

1. Yêu cầu Sup7202. Nền thiết bị Catalyst 4500/Cisco dựa trên IOS yêu cầu Sup2+, Sup3,

Sup4, hay Sup 5 trên các giá máy Catalyst 4006, 4503, 4506, và 4507R


Ma trận các tính năng an ninh (2/2)

N/AN/AN/A12.2(25)SE312.2(20)SE3Bảo vệ nguồn IP

DAI

Do thám DHCP

An ninh cổng động

Tính năng/Nền

N/A

N/A

12.0(5.2)WC1

2950 SI

N/AN/A12.2(25)SE312.2(20)SE3

12.1(19)EA112.1(19)EA112.1(19)EA112.1(19)EA1

12.0(5.2)WC112.1(11)AX12.1(4)EA112.1(11)AX

2950 EI2970 EI3550/35603750

1. Cả trong IP Base (trước là SMI) và Dịch vụ IP (trước là EMI)

GHI CHÚ: Hiện chưa có kế hoạch hỗ trợ các tính năng này cho Nền thiết bị Catalyst 4000/4500 Platform chạy CatOS, hay nền 5500, 5000, 2900, 1900, hay bất kè nền nào khác


Phân cách thoại và dữ liệu tới Lớp 7

• Triển khai tường lửa trạng thái để làm trung gian cho tương tác giữa vùng thoại-dữ liệu

Cung cấp truy nhập chọn lọc động và giảm nhẹ các cuộc tấn công bỏ đói kết nối TCP, làm lụt UDP và lừa đảo

Phía trước các dịch vụ thoại, hiện đã khả thi trong mạng campus

Chìa khóa là việc sắp đặt thoại và các dịch vụ liên quan

Hãy bảo đảm rằng nhà cung cấp tường lửa trạng thái màquý vị lựa chọn có hỗ trợ thanh tra theo trạng thái các giao thức thoại mà quý vị dự định triển khai

Vùng dữ liệuVùng thoại

Proxy Server

Quản lý xử lý cuộc gọi

Hệ thống người dùng

Máy chủ thư thoại Máy chủ E-Mail

Gateway thoại Hệ thống người dùng Máy chủCông ty


Bảo vệ các điểm cuối


Gia cường điện thoại• Firmware được ký

– Được bảo đảm từ Cisco– Chữ ký duy nhất cho từng

kiểu điện thoại– Không thể phá vỡ các tính

năng an ninh!

• File cấu hình được ký– Điện thoại IP

• Các lựa chọn có thể đặt cấu hình:

– Tắt cổng PC, Nút “Setting”, Truy nhập Web, điện thoại loa ngoài

– Bỏ qua ARP vô cớ (GARP)– Chặn VLAN thoại ra khỏi

cổng PC

MỚI!MỚI!


Các mở rộng an ninhTin tưởng và Nhận dạng và Kết nối an toàn

• Cấu hình và Quản lý an ninh cho một số điểm cuối được lựa chọn.

Các phiên bản phần mềm được bảo vệ RSA MD5 SHA đảm bảo

Nguồn là đáng tin cậy

Nội dung không thây đổi

Cấu hình mã hóa và lưu lượng điều khiển TLS (SSL v3.0)

Liên lạc riêng giữa các thiết bị được tin cậy

Cấu hình

21© 2003, Cisco Systems, Inc. All rights reserved.


Chặn bản sao phần mềm lừa đảo xâm nhập điện thoại

• Bản sao firmware được kýĐược Cisco bảo đảmChữ ký duy nhất cho từng kiểu điện thoạiKhông thể phá vỡ các tính năng an ninh!CCM 3.3(3)

• Các file cấu hình được kýĐiện thoại IP của CiscoCCM 4.0+

Cisco CallManager7912

XXX


Điện thoại cần bỏ qua ARP vô cớ

• Chặn việc điện thoại nhận ARP vô cớ (GARP)

• Ngăn chặn các thiết bị ác ý khỏi việc làm giả định dạng của một thiết bị khác (bộ định tuyến mặc định) để trở thành người trung gian

• Không thực sự là bỏ qua; chỉ cập nhật ARP cache

• Có thể dẫn đến tấn công DoS – “Tôi có địa chỉ của anh”Nên làm việc này ở lớp hai

I’m 10.1.1.2

10.1.1.1 10.1.1.2

I’m 10.1.1.1

Tôi không nghe

Đúng không?Tôi sẽ có một địa chỉ mới.

10.1.1.3

Gia cường Hệ điều hành


• Hệ điều hành Win2K được cung cấp theo mặc định, vàcó thể tải về từ Cisco Connection Online

Các phiên bản trở nên an toàn hơnĐã thêm URLScan từ Microsoft

• Chính sách vá an ninh và sửa chữa nóng tích cực⎯ Thiết yếu: Được kiểm tra và đưa lên CCO trong vòng 24 giờ⎯ Khác: Được tổng hợp và đưa lên CCO một lần một tháng⎯ E-mail thông báo cho quý vị khi nào các bản vá sẵn sàng

(http://www.cisco.com/warp/public/779/largeent/software_patch.html)

Bản vá cho Blaster có trên CCO 3 tuần trước khi virus này tấn công !Bản vá cho Sasser có trên CCO hai tuần trước khi virus này tấn công!

• Cài đặt Trend Micro Server Protect 5.0, McAfee 4.5, 7.0 và 7.1 hay Symantec 7.6, 8.0 Anti-Virus Protection

Bỏ chức năng quét tìm (heuristic scanning) – nếu không các trang web có thể không làm việc!

http://www.cisco.com/warp/public/779/largeent/software_patch.html


Phòng ngừa xâm nhập trên máyTác tử an ninh của Cisco

• Theo chính sách, không theo chữ ký

• Không cập nhật• Bảo vệ “Ngày đầu tiên”

Các chính sách sẵn có ngăn chặn Slammer, Nimda vàCode Red

• Sẵn có cho tất cả các ứng dụng điện thoại

Headless bundledManaged optional Bảo vệ máy chủ CSA:

• Bảo vệ chống thâm nhập trên máy

• Bảo vệ chống tràn bộ nhớ• Bảo vệ chống sâu mạng• Gia cường hệ điều hành• Bảo vệ máy chủ Web


Bảo an Ứng dụng Mạng


Nhận thực và Mã hóa

• Nhận thực điểm cuối- Ngăn chặn những điểm cuối không mong muốn kết nối tới máy chủ và gateway

-Ngăn chặn các máy chủ lừa đảo giả trang trên mạng

• Mã hóa- Giao thức điều khiển

- Giao thức truyền thông tin giữa các điểm cuối


Các chứng chỉ X.509v3

CAPF• Mỗi thiết bị có một chứng chỉduy nhất

• Cách thức thiết bị quảng báChìa khóa công cộng của mình

• Được Tổ chức cấp chứng chỉ được tin cậy ký để tạo ra tính hợp lệ

• Có từ các nguồn khác nhauCCM— Tự ký

7911/7941/7961/7970—MICs do Cisco cài đặt

7940/60—LSCs từ CAPF


Danh sách chứng chỉ tin cậy

• Danh sách chứng chỉ tin cậy chứa đựng danh mục các thiết bị được tin cậy -CCM, TFTP, CAPF

• Tương tự như CA gốc được tin cậy trong IE

• Do CTL tạo ra

• Tải vệ điện thoại trong thời gian TFTP

• Tất cả điện thoại trong nhóm có cùng file CTL

• CCM có một file CTL động

Được tải trong khi đăng ký TLS

Chứa đựng cơ sở dữ liệu OpenSSL

CAPFCTL Client


TLS: An ninh lớp truyền tải

Cisco sử dụng TLS để bảo an báo hiệu CTL Clientgiữa CCM và Điện thoại IP

• Trao đổi hai chiều các chứng chỉ để nhận thực lẫn nhau

• Các chữ ký RSA

• Nhãn nhận thực HMAC-SHA-1 bảo đảm tính toàn vẹn của gói tin

• Mã hóa AES-128-CBC bảo vệchìa khóa phiên, tông DTMF vàcác dữ liệu khác*

* 7911/794x/796x/797x Chỉ vào thời điểm này


SRTP: RTP An toàn

• SRTP là việc truyền tải cho các phương tiện đã được nhận thực và đã được mã hóa

• IETF RFC3711• Sử dụng HMAC-SHA-1 cho

nhận thực và AES-128 CM để mã hóa

• Chìa khóa được tạo trong CCM – và gửi đến điện thoại qua TLS

• Hiện nay được hỗ trợ trong 7911/794x/796x/797x

• Theo thời gian, SRTP sẽ được triển khai trong nhiều loại điện thoại, gateway và ứng dụng

CTL Client

Các gói tin SRTP tạo thêm 15 micro giây trễ và lớn hơn các gói tin RTP từ 4 đến 7

byte


Nhận thực và Mã hóa theo chứng chỉ mở rộng trong CallManager

IPSec & SRTP đến MGCP Gateways H.323 Gateways

H.323 ICT

Trung kế SIP (chỉcó TLS)

TLS và SRTP được hỗ trợcho Unity 4.0(5)

IPCC 7.0

CTI (CM 5.0)

Hỗ trợ hoàn toàn TLS vàSRTP trong 7911 / 794x /

796x / 797x TLSIPSecSRTP


Gia cường Ứng dụng Thoại


Bảo an truy nhập quản trị từ xa

• CCM 4.1 và mới hơn

• Tất cả các trang web người dùng và quản trị Cisco CallManager trên HTTPS

Tên người dùng vàmật khẩu

Thay đổi cấu hình

Khả năng phục vụ

Quay số, Chuyển cuộc gọi

• Tìm kiếm Backend LDAP qua SSL


Trộm cước 3:Thiết kế xã hội

Local PSTN

Vui lòng chuyển tôi sang số lẻ 9011

Quốc tế,Premium

Trộm cước 1:

Chuyển từ thư thoại

Local PSTN

Quốc tế, Premium

Thư thoại, chuyển tôi sang 9011xxxxxxxxx

Trộm cước 2:Chuyển tất cả cuộc gọi

Nội hạt

Int’l

Gọi tôi theo số cơ quan khi tôi đi nghỉ!

Chuyển hết

Trộm cước 4:Tay trong

Local

Tôi sẽchuyển cho anh!

Quốc tế, Premium

Lợi dụng trộm cước


Phòng ngừa trộm cước người dùng

• Bảo vệ chống chuyển cuộc gọi, chuyển cuộc gọi từ xa và chuyển giữa các trung kế

• Phân vùng và không gian tìm kiếm gọi hạn chế một số điện thoại chỉ được truy nhập tới một phần nhất định của kế hoạch quay số

• Các bộ lọc quay số kiểm soát truy nhập đến các số điện thoại có thểbị lợi dụng như 900

• Các cuộc gọi hội nghị bất thường có thể bị đánh rớt theo lựa chọn khi người khởi tạo bỏ máy

• Mã nhận thực bắt buộc hay mã client matter phòng ngừa các cuộc gọi phi nhận thực và cung cấp một cơ chế cho tính cước và theo dõi


Kết luận


An ninh là sự cân đối giữa rủi ro và chi phí

SYSLOG

IPSec/SRTP đến GatewaysThiết lập an ninh cho điện thoại

SCCP-S/SRTP đến điện thoạiCấu hình và Firmware được ký

Cisco Anomaly Detector XTCSA/VMS được quản lýSLDAP

Cisco Guard XTGia cường OS lựa chọnHTTPS, Secure VNC

CW-SIMS/MARSVPN—SOHO/Di độngAnti-Virus

NIDSAn ninh tích hợp cho CatalystCSA không được quản lý

NAC/802.1XHạn chế tốc độGia cường OS tiêu chuẩn

Tường lửa tiên tiếnTường lửa cơ bảnACL’s lớp 3 cơ bản

VàngMới, Không tích hợp với thoại,

chưa được kiểm tra

BạcTrung bình, Hợp lý

ĐồngMặc định, Dễ dùng

Chi phí – Sự phức tạp –Nhân công – Tiền

Thông tin thêm = http://www.cisco.com/go/ipcsecurity.


http://www.cisco.com/go/ipcsecurity

richard dodsworth kỹ sư tư vấn, thoại cisco systems, châu ... · 10.1.1.4...

Documents