Tutorial - Segurança em ToIP Vulnerabilidades, Prevenção & Reação em ITC Celso Gonzalez Hummel.

Apresentação em tema: "Tutorial - Segurança em ToIP Vulnerabilidades, Prevenção & Reação em ITC Celso Gonzalez Hummel."— Transcrição da apresentação:

1 Tutorial - Segurança em ToIP Vulnerabilidades, Prevenção & Reação em ITC Celso Gonzalez Hummel

2 2 Evolução do Mercado de Telecomunicações Voz e Vídeo tornaram-se conteúdo

3 3 Evolução da Telecom: Dialup 2004 Adapted from Verizon

4 4 Evolução da Telecom: Voz + Dados 2004 Adapted from Verizon 3G/4G WiMax EV-DO GPRS Low Kbps

5 5 Evolução da Telecom: DSL/ISDN 2004 Adapted from Verizon DSL ISDN

6 6 Evolução da Telecom: demanda de +velocidade 2004 Adapted from Verizon DSL ISDN

7 7 Evolução da Telecom: Voz 2004 Adapted from Verizon 3G/4G WiMax EV-DO GPRS

8 8 Evolução do Wireless (3G, WiFi, WiMax, EV-DO, GPRS): +Altas Velocidades 2004 Adapted from Verizon 3G/4G WiMax EV-DO GPRS Low Kbps

9 9 Convergência de Infraestruturas  Redes Legadas tipicamente têm uma infraestrutura separada para conectividade de Telecom, Voz e Internet. PBX PSTNInternetWAN Router Firewall Switch

10 10 Convergência de Infraestruturas  Redes Legadas tipicamente têm uma infraestrutura separada para conectividade de Telecom, Voz e Internet. PBX PSTNInternetWAN Router Firewall Switch

11 11 Convergência de Infraestruturas  Rede modernas convergem serviços de dados, mas ainda carregam voz em uma infraestrutura separada. PBX PSTNInternet Router Firewall/VPN Switch

12 12 Convergência de Infraestruturas IP PBX Internet Firewall/VPN/Gateway Switch  As Redes “Next Generation” estão sendo construídas numa infraestrutura singular para reduzir custos e aumentar a produtividade

13 13 Comunicação de Voz Estrutura e Dinâmica

14 14 Habilitando Serviços: +Banda, +Segurança e QoS

15 15 IP Telephony

16 16 Aplicações Integradas

17 17 Potencial: IPT integrada aos Processos de negócio

18 As Redes estão tornando-se cada vez mais complexas O perímetro de sua rede ultrapassa agora os limites das paredes do seu prédio. Expandindo os Horizontes

19 Mobilidade,ToIP, ToWLAN, escritórios remotos, home offices, estão adicionando uma nova dimensão. Expandindo os Horizontes

20 20  Confidencialidade: - Será que as minhas ligações estão sendo escutadas? - Será que os meus créditos podem ser roubados ? - Será que alguem pode fazer uma ligação no meu lugar ? - Será que tem alguem fazendo ligações pelo meu PABX ? Triade da Segurança em ToIP

21  Integridade:  Será que as minhas ligações não estão sendo alteradas ?  Será que estou discando para o número certo ?  Alguem pode estar fazendo se passar por mim ?  “Man In the Middle ?????”  Disponibilidade:  Meu sistema de telefonia está acessível ?  Faltou luz e agora ??  A central telefonica é segura o suficiente ????  Os IP Phones são seguros, ou podem ser fácilmente derrubados por DoS.  Meu sistema aguenta um SIP Flood ??? 21

22 22 Requisitos para redes ToIP Desafios Soluções Suporte a Protocolos Dinâmicos e Transla- ções O tráfego ToIP traffic pode ser originado interna ou extramante e pode ser ingresso ou egresso. Suporte, no gateway (firewall) a Protocolos Dinâmicos, “NAT Consistente” e Translações Bandwidth Management VoIP é real-time sendo sensível à latência e jitter. Suporte a controle granular por tipos de tráfego Priorização de Tráfego VoIP deve ser manipulada antes do tráfego “não real-time” como o de e-mail. Suporte à priorização de tráfego crítico sobre todoas os outros Segurança A estrutura de Voz em IP deve ser protegida de ataques DoS, vhishing, e gravações digitais Máquina de Deep Inspection em real-time com assinaturas desen- volvidas para multimídia e VoIP

23 Suporte a Protocolos Dinâmicos Uma infrastrutura ToIP ready

24 24 Protocolos Dinâmicos  O tráfego standard TCP/IP usa as chamadas “well known ports” para comunicar usando um comportamento client – server bem conhecido.  O tráfego VoIP usa ports dinâmicos, com implementações proprietárias de protocolos e criação de sessão um-a-um.  Protocolos usados em VoIP :  SIP  H.323  RTSP  IGMP

25 25 Exemplo de Translação VoIP em ADSL 1.Retirar o cabeçalho PPPoE PPPoE Payload PPPoE Header

26 26 Ethernet Payload PPPoE Header Ethernet Header 1.Retirar o cabeçalho PPPoE 2.É um pacote IP? Exemplo de Translação VoIP em ADSL

27 27 IP Payload PPPoE Header Ethernet Header IP Header 1.Retirar o cabeçalho PPPoE 2.É um pacote IP? 3.Está carregando informação VoIP? Exemplo de Translação VoIP em ADSL

28 28 H.323 Data PPPoE Header Ethernet Header IP Header UDP Header 1.Retirar o cabeçalho PPPoE 2.É um pacote IP? 3.Está carregando informação VoIP? 4.A qual sessão pertence? 5.Decodificar o acesso do H.323 Exemplo de Translação VoIP em ADSL

29 29 PPPoE Header Ethernet Header IP Header UDP Header a.b.c.d w.x.y.z 1.Retirar o cabeçalho PPPoE 2.É um pacote IP? 3.Está carregando informação VoIP? 4.A qual sessão pertence? 5.Decodificar o acesso do H.323 6.Traduzir os endereços internos Exemplo de Translação VoIP em ADSL

30 30 PPPoE Header Ethernet Header IP Header UDP Header a.b.c.d w.x.y.z 1.Retirar o cabeçalho PPPoE 2.É um pacote IP? 3.Está carregando informação VoIP? 4.A qual sessão pertence? 5.Decodificar o acesso do H.323 6.Traduzir os endereços internos 7.Passar o pacote pela máquina de Inspeção para a Prevenção de Intrusão, ataques, Virus, etc. Exemplo de Translação ToIP em ADSL

31 31 Features Avançadas: Segurança em ToIP  Previnir ataques DoS e tráfegos maliciosos nos end-points ToIP. DoS: SYN Proxy IPS: Bloqueia SIP Malformados

32 32 Firewall Típico Traffic Path INSPECT Version | Service | Total Length ID | Flags | Fragment TTL | Protocol | IP Checksum Source IP Address Destination IP Address IP Options Source UDP Port Destination UDP Port UDP Length UDP Checksum DATA Source 212.56.32.49 Destination 65.26.42.17 Source Port 823747 Dest Port 80 Sequence 28474 Sequence 2821 Syn state SYN IP Option none Stateful Packet Inspection Firewall SPI A inspeção Stateful é limitada apenas a portas que podem bloqueadas Sem inspeção de dados! Os pacotes passam sem inspeção de dados!

33 33 Firewall Traffic Path INSPECT Version | Service | Total Length ID | Flags | Fragment TTL | Protocol | IP Checksum Source IP Address Destination IP Address IP Options Source UDP Port Destination UDP Port UDP Length UDP Checksum DATA UTM Signatures ATTACK-RESPONSES 14BACKDOOR 58BAD-TRAFFIC 15DDOS 33DNS 19DOS 18EXPLOIT >35FINGER 13FTP 50ICMP 115Instant Messenger 25IMAP 16INFO 7Miscellaneous44MS-SQL 24MS- SQL/SMB 19MULTIMEDIA 6MYSQL 2NETBIOS 25NNTP 2ORACLE 25P2P 51POLICY 21POP2 4POP3 18RPC 124RSERVICES 13SCAN 25SMTP 23SNMP 17TELNET 14TFTP 9VIRUS 3WEB-ATTACKS 47WEB-CGI 312WEB-CLIENT INSPECT Stateful Packet Inspection Firewall UTM UTM Inspection inspects all traffic moving through a device – 98% more inspection Security Prod. UTMFirewall Dynamic Management / Reporting Reliable

34 34 Version | Service | Total Length ID | Flags | Fragment TTL | Protocol | IP Checksum Source IP Address Destination IP Address DATA Version | Service | Total Length ID | Flags | Fragment TTL | Protocol | IP Checksum Source IP Address Destination IP Address DATA Version | Service | Total Length ID | Flags | Fragment TTL | Protocol | IP Checksum Source IP Address Destination IP Address DATA Memory Memory Full - Scanning Stopped Inspection StoppedInspecting # of UsersTraffic max min max min Network Use Soluções Proxy Based Proxy solutions with no scalability The more users and traffic added, the more threats come through without inspection Inspection possible Not inspected

35 35 Version | Service | Total Length ID | Flags | Fragment TTL | Protocol | IP Checksum Source IP Address Destination IP Address IP Options Source UDP Port Destination UDP Port UDP Length UDP Checksum DATA Version | Service | Total Length ID | Flags | Fragment TTL | Protocol | IP Checksum Source IP Address Destination IP Address IP Options Source UDP Port Destination UDP Port UDP Length UDP Checksum DATA UTM Platform Approach Real Time Scanning Engine Real-time Scanning Inspecting Protection for ALL Traffic and ALL Users Firewall UTM # of UsersTraffic max min max min Network Use Inspection possible Not inspected Management and Reporting Security Integration Productivity Control Network Resiliency Unified Threat Management Firewall Dynamically Updated

36 36 Features Avançadas: Bandwidth Management  Reservar largura de banda WAN para tráfegos de VoIP SIPBanda Garantida em 90% HTTPBest Effort

37 37 Features Avançadas: 802.1p, DSCP e QoS  Reter a marcação QoS através de links VPN / WAN 802.1p DSCP Conversão 802.1p para DSCP

38 38 Features Avançadas: VLANs 802.1q  Isola o tráfego VoIP e os end-points de ataques através VLANs Engineering VLAN 10 Marketing VLAN 20 Sales VLAN 30 VLAN 40 VLAN Trunk

39 39 Features avançadas: VoIP Call Status  Monitoração das chamadas ativas, logs e relatórios Call #2 Destination65.23.41.11 ProtocolSIP Bandwidth64Kbps Time Started 9:15AM Call #1 Destination14.56.34.99 ProtocolH.323 Bandwidth128Kbps Time Started 8:07AM

40 Reação a incidentes e ataques 40

41 41 Vulnerabilidades  Sistema possui as vulnerabilidades do IP  Requisitos de QoS são afetados por ataques de DoS (Delay, jitter, packet loss, bandwidth)  Método de autenticação com o Gateway fraco  Roubo de senhas e autorizações  Código Malicioso  Inserção / Remoção / Modificação do Streaming de Audio possível

42 42 Ameaças  Session hijacking (roubo da sessão de voz)  Monitoramento(eavesdropping)  Interrupção do Serviço  Fraude (roubo de serviços), Phishing  Exploração das vulnerabilidades por Hacker interno

43 43

44 Caso Real Atualmente 70% das quebras de segurança corporativas são geradas internamente.

45 Perfil do Fraudador*: 68% estão na Média e Alta Gerências 80% tem curso superior completo Predominantemente do Sexo Masculino Idade média entre 31 e 40 anos *Pesquisa sobre crimes econômicos - PWC 05

46

47 13/4/2015 47 Reação a incidentes: o uso de Forense Digital: Forense Digital como geradora de melhoria nos processos e prevenção de fraudes  Estrutura recorrente de verificação de falhas – Investigações em “linha de produção”  Auditar e investigar a totalidade dos dados em um universo de máquinas e não apenas amostras  Comparar dezenas de máquinas simultaneamente  Ampliar a cobertura de investigação sem necessidade de aumentar o quadro de pessoal

48 Fases do Processo de Forense Digital:  Processo crucial de geração e custodia de eviendências, necessário para estabelecer a segurança pró-ativa, reação e tratamento adequado a incidentes em TI e ITC. 48

49 Identificação  Quando um incidente passa a ser tratado como objeto de investigação forense?  Qual tipo de mídia envolvida?  Quem autoriza a investigação?

50 Coleta  Realização de Clone  Registrar:  Quem coletou  O que coletou  Como foi coletado  Onde foi coletado  Número de Identificação da evidência  Detalhes do estado em que se encontra

51 Análise dos Dados  Recuperação de arquivos apagados  Identificação de áreas sobrescritas  Pesquisa por palavras-chave  Análise de assinaturas  Análise de Hashes

52 Armazenamento de Evidências Prioridades  Garantir a rastreabilidade:  Todos que manipularam a evidência desde o término da análise!  Armazenagem em local seguro  Garantia de não-contaminação.

53 Geração de Relatórios/Laudos Objetivos do relatório –Ser claro e compreensível aos altos executivos –Descrever o caso detalhadamente –Estar dentro do escopo pedido no início da investigação –Ser escrito de maneira a não deixar margens a interpretação Conteúdo do relatório –Resumo Executivo –Objetivo –Evidências Analisadas –Informações relevantes encontradas –Conclusão

54 CONFIDENTIAL© 2005 VOIPSA and SonicWALL 54 SonicWALL Security Gateway WAN Video Phones SIP Proxy Server Call Manager H.323 Gatekeeper Soft Phones DMZ Main Site Video- conferencing Digital Surveillance IP Phones VoIP over WLAN Switch / PoE Switch WLAN AP Remote Site Video- conferencing IP Phones WLAN Soft Phones Aplicações e Cenários Voz e Video sobre IP  Stateful Streaming  Traffic Shaping  SIP and H.323  Fácil de Usar / oferecer serviços

55 55 ToIP e VoWLAN Wired LAN Rede com fio Servidores e Gatekeeper Access Point PoE Injector  Mobilidade em VoIP  Segurança WiFi  Identificação Positiva do Usuário  Integração Dados/Voz  Segurança contra intrusos e vírus em VoIP Access Point PDA c/ VoIP VoIP em WiFi Firewall, IPS e GAV

56 56 ToWLAN & Terminais híbridos (SIP, H.323 and Multicast) Paris Madrid SIP 9005 SIP 9095 SIP 5090 SIP 3005 VPN Tunnels Public Internet Access H.323: 9120 DMZ H.323 Gatekeeper DMZ SIP Proxy Server Polycom 9110 H.323: 9150 SIP: 9050 Public Internet IP : 192.168.168.10 IP : 192.168.20.1 IP : 192.168.168.10 SonicPoint 172.31.1.1 SIP 9060 LAN PRO4060 PRO2040 SIP 5060 SIP 9010 SIP 9095 SIP 5091 SIP 3010 SIP 9015 SIP 5092 SIP 3015 Sony 9105 Apple IChatDlink SIP 9070 SIP 5070 SIP 9095 SIP 3070 SIP 9020 H.323: 9120 GVC Client H.323: 9150 Packet8 1-408-469-4723 Polycom 5140 H.323: 5150 SIP 5050 SIP 5025 SIP 5080 SIP 9091 SIP 9095 SIP 3025 Sony 5130 Apple IChatDlinkH.323: 9140 SIP 9040 H.323: 5145 SIP 5045 SIP: 9025SIP: 9030 SIP: 5035SIP: 5040 IP : 192.168.10.1 SIP 5010 H.323 GatekeeperSIP Proxy IP : 216.217.36.156IP : 66.88.19.125 SIP 5030 IP : 216.217.36.157IP : 216.217.36.154 IP : 66.88.19.124 HA SIP: 9027 SIP Proxy Server IP : 192.168.20.10 IP : 66.88.19.12X Packet8 1-408-469-4714 Vonage 1-408 5XXX 3XXX 9XXX

57 57 Questões importantes para implantação segura de ToIP  Foram considerados os impactos de segurança em trafegos VoIP convergentes na sua rede?  Sua estrutura de TI está preparada para suportar protocolos dinâmicos como H.323 e SIP?  Quanto a estrutura de TI e Telecom consegue priorizar largura de banda na rede para as suas aplicações de NEGÓCIO ?

58 Resumindo Proteja seus dados dos seus funcionários Proteja seus dados dos seus funcionários Proteja seus funcionários deles mesmos Proteja seus funcionários deles mesmos Eduque funcionários nas ameaças Eduque funcionários nas ameaças Comunique políticas e procedimentos Comunique políticas e procedimentos

59 brigadu!!… Celso Hummel Gerente Regional TechBiz Forense Digital Celso.hummel@techbiz.com.br 11 81559981