Nicolas FISCHBACH シニアマネジャ, IP エンジニアリング/セキュリティ - COLT...
description
Transcript of Nicolas FISCHBACH シニアマネジャ, IP エンジニアリング/セキュリティ - COLT...
Nicolas FISCHBACH シニアマネジャ , IP エンジニアリング / セキュリティ - COLT Telecom [email protected] - http://www.securite.org/nico/
version 1.0
Voice over IP (VoIP) セキュリティ
PacS
ec.J
P/c
ore
04
2© 2004 Nicolas FISCHBACH
PacS
ec.J
P/c
ore
04 序論
» VoIP と IP 電話» ネットワーク コンバージェンス
> 電話と IT> PoE ( パワー・オーバー・イーサネット )
» モビリティとローミング» 電気通信事業
> スイッチ方式 -> パケット方式 (IP)> 閉ざされた世界 -> 開かれた世界
» ベンダーと製品化までの時間» セキュリティとプライバシー
> フリーカー(電話ハッカー)> VoIP 対 3G
3© 2004 Nicolas FISCHBACH
PacS
ec.J
P/c
ore
04 アーキテクチャ : プロトコル
» シグナリング> ユーザ ロケーション> セッション
- セットアップ- ネゴシエーション- 修正- 終了
» トランスポート> エンコード、トランスポートなど
4© 2004 Nicolas FISCHBACH
PacS
ec.J
P/c
ore
04 アーキテクチャ : プロトコル
» SIP> IETF - 5060/5061 (TLS) - “HTTP 形式、オールインワン型”> 独自の拡張機能> アーキテクチャになりつつあるプロトコル> “ エンド・ツー・エンド” (IP PBX 間 )
- Inter-AS MPLS VPN- 過渡的な信頼
> IM 拡張機能 (SIMPLE)
» H.323> プロトコル群> H.235 ( セキュリティ ) 、 Q.931+H.245 ( 管
理 ) 、 RTP 、 CODEC など> ASN.1
5© 2004 Nicolas FISCHBACH
PacS
ec.J
P/c
ore
04 アーキテクチャ : プロトコル
» RTP ( リアルタイム プロトコル )> 5004/udp> RTCP> No QoS/ 帯域幅管理> パケット リオーダリング(並び替え)> CODECs
- 旧 : G.711 (PSTN/POTS - 64Kb/s)- 現 : G.729 (8Kb/s)
6© 2004 Nicolas FISCHBACH
PacS
ec.J
P/c
ore
04 アーキテクチャ : ネットワーク
» LAN> イーサネット ( ルータとスイッチ )> xDSL/ ケーブル / WiFi> VLAN ( データ / 音声 + シグナリング )
» WAN> インターネット> VPN
- 専用回線- MPLS (ラベルスイッチング)
7© 2004 Nicolas FISCHBACH
PacS
ec.J
P/c
ore
04 アーキテクチャ : ネットワーク
» QoS ( サービス品質 )> 帯域幅> 待ち時間 (150-400ms) とゆらぎ ( ジッタ )(<<150ms)> パケットロス (1-3%)
8© 2004 Nicolas FISCHBACH
PacS
ec.J
P/c
ore
04 アーキテクチャ : システム
» システム> SIP プロキシ> コールマネジャ / IP PBX
- ユーザ管理とレポーティング (HTTP など )- IP でのオフパス
> H.323: GK (GateKeeper)> 認証サーバ (Radius)> 課金サーバ (CDR/billing)> DNS 、 TFTP 、 DHCP サーバ
9© 2004 Nicolas FISCHBACH
PacS
ec.J
P/c
ore
04 アーキテクチャ : システム
» ボイスゲートウェイ (IP-PSTN)> ゲートウェイ制御プロトコル> シグナリング : SS7 インターフェース
- メディアゲートウェイコントローラ. MG (Megaco/H.248) 制御. SIP インターフェース
- シグナリングゲートウェイ. MGC 、 SS7 間インターフェース. MxUA 、 SCTP – ISUP 、 Q.931
> トランスポート- メディアゲートウェイ : 音声変換
10© 2004 Nicolas FISCHBACH
PacS
ec.J
P/c
ore
04 アーキテクチャ :
ファイアウォール /VPN» ファイアウォール
> “ 非ステートフル”フィルタリング> “ ステートフル” フィルタリング> アプリケーション層フィルタリング (ALG)> NAT / “ ファイアウォール通過”
- (H.323 : 2xTCP, 4x dynamic UDP - 1719,1720)- (SIP : 5060/udp)
» 暗号化 VPN> SSL/TLS> IPsec> どこを暗号化すべきか (LAN-LAN 、 phone-phone など ) ?
» QoS (サービス品質)への影響» IPv6 はどう変わるか ?
11© 2004 Nicolas FISCHBACH
PacS
ec.J
P/c
ore
04 アーキテクチャ : 電話
» IP 電話> ソフトフォンかハードフォンか ?> “Toaster (編集システム)”
- 更新 / パッチ- インテリジェンス
> ネットワークから取り除かれ端末機器に置かれたインテリジェンス
> 電話と他のシステム間のフロー- SIP- RTP- (T)FTP- CRL- その他
12© 2004 Nicolas FISCHBACH
PacS
ec.J
P/c
ore
04 アーキテクチャ : 例
internet
LAN
IP VPN(MPLS)
PSTN
SIP
SIP
POTS
POTS
SIP
IP PBX
VGWGSM
IP PBX
SIP
voice
signaling
13© 2004 Nicolas FISCHBACH
PacS
ec.J
P/c
ore
04 その他の電話ネットワーク
» POTS/PSTN [TDM]
» “ ワイヤレス” /DECT フォン
» GSM
» 衛星
» シグナリング (SS7)
14© 2004 Nicolas FISCHBACH
PacS
ec.J
P/c
ore
04 攻撃
» フリーカー( IP 電話ハッカー)> IP 知識> 既知の脆弱性> Evolution 2600Hz -> ボイスメール / int’l GW -> IP テレ
フォニー> 内部、それとも外部の脅威 ?> ターゲット : ホームユーザ、企業、政府など ?
» プロトコル実装> PROTOS
» 人的要因
15© 2004 Nicolas FISCHBACH
PacS
ec.J
P/c
ore
04 攻撃 : サービス妨害
» サービス妨害 (DoS)> ネットワーク> プロトコル (SIP INVITE)> システム / アプリケーション> 電話
» 可用性 ( 事業継続 /災害復旧 )> 必須条件 : 電力> 選択肢 ( ビジネス継続性 / 障害回復 ) ?> E911 ( 法律面と技術面 )> GSM> PSTN (公衆交換電話網)から GSM へ
16© 2004 Nicolas FISCHBACH
PacS
ec.J
P/c
ore
04 攻撃 : 詐欺
» Call-ID スプーフィング
» ユーザ権利の乗っ取り>偽装認証サーバ
» 影響> ボイスメールへのアクセス>付加価値番号> ソーシャルエンジニアリング> リプレイ攻撃
17© 2004 Nicolas FISCHBACH
PacS
ec.J
P/c
ore
04 攻撃 : 盗聴
» 盗聴> ディスカッション> “ だれがだれと話しているか”
- ネットワーク傍受- サーバ (SIP 、 CDR など )
» LAN> LAN への物理的アクセス> ARP 攻撃> 非認証デバイス ( 電話とサーバ )> さまざまな階層 (MAC アドレス、ユーザ、物理的ポートな
ど )
18© 2004 Nicolas FISCHBACH
PacS
ec.J
P/c
ore
04 攻撃 : 盗聴
» どこで盗聴するか ?> ユーザはどこにいるか ?> ネットワークは混線しているか ?
» 合法的な盗聴> CALEA ( Communications Assistance for Law
Enforcement Act 米国盗聴法)> ETSI (欧州電気通信標準化機構)標準> アーキテクチャとリスク
19© 2004 Nicolas FISCHBACH
PacS
ec.J
P/c
ore
04 攻撃 : システム
» システム> デフォルトで堅牢なシステムはほぼ皆無> ワーム、エクスプロイト、トロイの木馬
20© 2004 Nicolas FISCHBACH
PacS
ec.J
P/c
ore
04 攻撃 : 電話
» (S)IP 電話> 開始処理
- DHCP 、 TFTP など>物理的アクセス
- 隠れ設定テーブル> TCP/IP スタック> ファームウェア /設定> トロイの木馬 / ルートキット
21© 2004 Nicolas FISCHBACH
PacS
ec.J
P/c
ore
04 防御
» シグナリング : SIP> Secure SIP 対 SS7 (物理的セキュリティ )
» トランスポート : Secure RTP (MiKEY とともに使用 )» ネットワーク : QoS (サービス品質) [LLQ (低遅延キューイ
ング) ] (および帯域制限 )» ファイアウォール : アプリケーションレベルのフィルタリング» 電話 : 署名付きファームウェア» 認証 : TLS
> サーバによるクライアントの識別> クライアントによるサーバの識別
» 3 つの P : project (計画)、 security processes (セキュリティプロセス) および policies (セキュリティポリシー)
22© 2004 Nicolas FISCHBACH
PacS
ec.J
P/c
ore
04 結論
» 結論
» 他のプレゼンテーション> バックボーンおよびインフラセキュリティ
- http://www.securite.org/presentations/secip/
> ( 分散型 ) サービス妨害- http://www.securite.org/presentations/ddos/
» 質疑応答
Image: www.shawnsclipart.com/funkycomputercrowd.html