1 / 22

Nicolas FISCHBACH シニアマネジャ, IP エンジニアリング/セキュリティ - COLT Telecom

PacSec.JP/core04. Voice over IP (VoIP) セキュリティ. Nicolas FISCHBACH シニアマネジャ, IP エンジニアリング/セキュリティ - COLT Telecom nico@securite.org - http://www.securite.org/nico/ version 1.0. 序論. VoIP と IP 電話 ネットワーク コンバージェンス 電話と IT PoE ( パワー・オーバー・イーサネット ) モビリティとローミング 電気通信事業

trory
Download Presentation

Nicolas FISCHBACH シニアマネジャ, IP エンジニアリング/セキュリティ - COLT Telecom

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. PacSec.JP/core04 Voice over IP (VoIP)セキュリティ Nicolas FISCHBACH シニアマネジャ, IP エンジニアリング/セキュリティ - COLT Telecom nico@securite.org - http://www.securite.org/nico/ version 1.0

  2. 序論 • VoIP と IP電話 • ネットワーク コンバージェンス • 電話とIT • PoE (パワー・オーバー・イーサネット) • モビリティとローミング • 電気通信事業 • スイッチ方式-> パケット方式(IP) • 閉ざされた世界 -> 開かれた世界 • ベンダーと製品化までの時間 • セキュリティとプライバシー • フリーカー(電話ハッカー) • VoIP 対 3G

  3. アーキテクチャ : プロトコル • シグナリング • ユーザロケーション • セッション • セットアップ • ネゴシエーション • 修正 • 終了 • トランスポート • エンコード、トランスポートなど

  4. アーキテクチャ : プロトコル • SIP • IETF - 5060/5061 (TLS) - “HTTP形式、オールインワン型” • 独自の拡張機能 • アーキテクチャになりつつあるプロトコル • “エンド・ツー・エンド” (IP PBX間) • Inter-AS MPLS VPN • 過渡的な信頼 • IM拡張機能(SIMPLE) • H.323 • プロトコル群 • H.235 (セキュリティ)、Q.931+H.245 (管理)、RTP、CODECなど • ASN.1

  5. アーキテクチャ : プロトコル • RTP (リアルタイムプロトコル) • 5004/udp • RTCP • No QoS/帯域幅管理 • パケットリオーダリング(並び替え) • CODECs • 旧: G.711 (PSTN/POTS - 64Kb/s) • 現: G.729 (8Kb/s)

  6. アーキテクチャ : ネットワーク • LAN • イーサネット (ルータとスイッチ) • xDSL/ケーブル/WiFi • VLAN (データ/音声+シグナリング) • WAN • インターネット • VPN • 専用回線 • MPLS(ラベルスイッチング)

  7. アーキテクチャ : ネットワーク • QoS (サービス品質) • 帯域幅 • 待ち時間(150-400ms) とゆらぎ(ジッタ)(<<150ms) • パケットロス (1-3%)

  8. アーキテクチャ : システム • システム • SIPプロキシ • コールマネジャ/IP PBX • ユーザ管理とレポーティング(HTTPなど) • IPでのオフパス • H.323: GK (GateKeeper) • 認証サーバ(Radius) • 課金サーバ(CDR/billing) • DNS、TFTP、 DHCPサーバ

  9. アーキテクチャ : システム • ボイスゲートウェイ(IP-PSTN) • ゲートウェイ制御プロトコル • シグナリング: SS7インターフェース • メディアゲートウェイコントローラ • MG (Megaco/H.248)制御 • SIPインターフェース • シグナリングゲートウェイ • MGC 、SS7間インターフェース • MxUA、SCTP – ISUP、Q.931 • トランスポート • メディアゲートウェイ:音声変換

  10. アーキテクチャ :ファイアウォール/VPN • ファイアウォール • “非ステートフル”フィルタリング • “ステートフル”フィルタリング • アプリケーション層フィルタリング(ALG) • NAT / “ファイアウォール通過” • (H.323 : 2xTCP, 4x dynamic UDP - 1719,1720) • (SIP : 5060/udp) • 暗号化VPN • SSL/TLS • IPsec • どこを暗号化すべきか(LAN-LAN、phone-phoneなど) ? • QoS(サービス品質)への影響 • IPv6はどう変わるか?

  11. アーキテクチャ : 電話 • IP電話 • ソフトフォンかハードフォンか? • “Toaster (編集システム)” • 更新/パッチ • インテリジェンス • ネットワークから取り除かれ端末機器に置かれたインテリジェンス • 電話と他のシステム間のフロー • SIP • RTP • (T)FTP • CRL • その他

  12. アーキテクチャ : 例 PSTN POTS LAN SIP IP PBX IP VPN (MPLS) IP PBX POTS internet GSM VGW SIP voice SIP signaling SIP

  13. その他の電話ネットワーク • POTS/PSTN [TDM] • “ワイヤレス”/DECTフォン • GSM • 衛星 • シグナリング(SS7)

  14. 攻撃 • フリーカー( IP電話ハッカー) • IP知識 • 既知の脆弱性 • Evolution 2600Hz -> ボイスメール/int’l GW -> IPテレフォニー • 内部、それとも外部の脅威 ? • ターゲット:ホームユーザ、企業、政府など ? • プロトコル実装 • PROTOS • 人的要因

  15. 攻撃 : サービス妨害 • サービス妨害(DoS) • ネットワーク • プロトコル(SIP INVITE) • システム/アプリケーション • 電話 • 可用性 (事業継続/災害復旧) • 必須条件:電力 • 選択肢 (ビジネス継続性/障害回復) ? • E911 (法律面と技術面) • GSM • PSTN(公衆交換電話網)からGSMへ

  16. 攻撃 : 詐欺 • Call-IDスプーフィング • ユーザ権利の乗っ取り • 偽装認証サーバ • 影響 • ボイスメールへのアクセス • 付加価値番号 • ソーシャルエンジニアリング • リプレイ攻撃

  17. 攻撃 : 盗聴 • 盗聴 • ディスカッション • “だれがだれと話しているか” • ネットワーク傍受 • サーバ(SIP、CDRなど) • LAN • LANへの物理的アクセス • ARP攻撃 • 非認証デバイス(電話とサーバ) • さまざまな階層(MACアドレス、ユーザ、物理的ポートなど)

  18. 攻撃 : 盗聴 • どこで盗聴するか? • ユーザはどこにいるか ? • ネットワークは混線しているか? • 合法的な盗聴 • CALEA(Communications Assistance for Law Enforcement Act 米国盗聴法) • ETSI(欧州電気通信標準化機構)標準 • アーキテクチャとリスク

  19. 攻撃 : システム • システム • デフォルトで堅牢なシステムはほぼ皆無 • ワーム、エクスプロイト、トロイの木馬

  20. 攻撃 : 電話 • (S)IP電話 • 開始処理 • DHCP、TFTPなど • 物理的アクセス • 隠れ設定テーブル • TCP/IPスタック • ファームウェア/設定 • トロイの木馬/ルートキット

  21. 防御 • シグナリング: SIP • Secure SIP 対 SS7 (物理的セキュリティ) • トランスポート: Secure RTP (MiKEYとともに使用) • ネットワーク: QoS(サービス品質) [LLQ(低遅延キューイング)] (および帯域制限) • ファイアウォール: アプリケーションレベルのフィルタリング • 電話: 署名付きファームウェア • 認証: TLS • サーバによるクライアントの識別 • クライアントによるサーバの識別 • 3つのP : project(計画)、security processes(セキュリティプロセス) およびpolicies(セキュリティポリシー)

  22. 結論 • 結論 • 他のプレゼンテーション • バックボーンおよびインフラセキュリティ • http://www.securite.org/presentations/secip/ • (分散型)サービス妨害 • http://www.securite.org/presentations/ddos/ • 質疑応答 Image: www.shawnsclipart.com/funkycomputercrowd.html

More Related