Beijing June 7th Press Meetings - SUCESU-SP

Download Report

Transcript Beijing June 7th Press Meetings - SUCESU-SP

Tutorial - Segurança em ToIP
Vulnerabilidades, Prevenção &
Reação em ITC
Celso Gonzalez Hummel
Evolução do Mercado de
Telecomunicações
Voz e Vídeo tornaram-se conteúdo
2
Evolução da Telecom: Dialup
Adapted from Verizon
2004
3
Evolução da Telecom: Voz + Dados
3G/4G
WiMax
EV-DO
GPRS
Low
Kbps
Adapted from Verizon
2004
4
Evolução da Telecom: DSL/ISDN
DSL
ISDN
Adapted from Verizon
2004
5
Evolução da Telecom:
demanda de +velocidade
DSL
ISDN
Adapted from Verizon
2004
6
Evolução da Telecom: Voz
3G/4G
WiMax
EV-DO
GPRS
Adapted from Verizon
2004
7
Evolução do Wireless (3G, WiFi,
WiMax, EV-DO, GPRS): +Altas
Velocidades
3G/4G
WiMax
EV-DO
GPRS
Low
Kbps
Adapted from Verizon
2004
8
Convergência de Infraestruturas
 Redes Legadas tipicamente têm uma infraestrutura
separada para conectividade de Telecom, Voz e Internet.
Internet
WAN
Router
Switch
9
PSTN
Router
Firewall
PBX
Convergência de Infraestruturas
 Redes Legadas tipicamente têm uma infraestrutura
separada para conectividade de Telecom, Voz e Internet.
Internet
WAN
Router
Switch
10
PSTN
Router
Firewall
PBX
Convergência de Infraestruturas
 Rede modernas convergem serviços de dados, mas ainda
carregam voz em uma infraestrutura separada.
Internet
PSTN
Router
Switch
11
Firewall/VPN
PBX
Convergência de Infraestruturas
 As Redes “Next Generation” estão sendo construídas
numa infraestrutura singular para reduzir custos e
aumentar a produtividade
Internet
Switch
Firewall/VPN/Gateway
IP PBX
12
Comunicação de Voz
Estrutura e Dinâmica
13
Habilitando Serviços: +Banda,
+Segurança e QoS
14
IP Telephony
15
Aplicações Integradas
16
Potencial: IPT integrada aos
Processos de negócio
17
Expandindo os Horizontes
As Redes estão tornando-se cada vez mais
complexas
O perímetro de sua rede ultrapassa agora os
limites das paredes do seu prédio.
Expandindo os Horizontes
Mobilidade,ToIP, ToWLAN, escritórios remotos,
home offices, estão adicionando
uma nova dimensão.
Triade da Segurança em ToIP
 Confidencialidade:
- Será que as minhas ligações estão sendo
escutadas?
- Será que os meus créditos podem ser roubados ?
- Será que alguem pode fazer uma ligação no meu
lugar ?
- Será que tem alguem fazendo ligações pelo meu
PABX ?
20
Triade da Segurança em ToIP
 Integridade:
 Será que as minhas
ligações não estão
sendo alteradas ?
 Será que estou
discando para o
número certo ?
 Alguem pode estar
fazendo se passar por
mim ?
 “Man In the Middle
?????”
21
 Disponibilidade:
 Meu sistema de telefonia
está acessível ?
 Faltou luz e agora ??
 A central telefonica é
segura o suficiente ????
 Os IP Phones são
seguros, ou podem ser
fácilmente derrubados
por DoS.
 Meu sistema aguenta
um SIP Flood ???
Requisitos para redes ToIP
Desafios
Suporte a Protocolos Dinâmicos e Translações
O tráfego ToIP traffic pode ser originado
interna ou extramante e pode ser ingresso
ou egresso.
22
Soluções
Suporte, no gateway (firewall) a
Protocolos Dinâmicos, “NAT
Consistente” e Translações
Bandwidth Management
VoIP é real-time sendo sensível à latência
e jitter.
Suporte a controle granular por
tipos de tráfego
Priorização de Tráfego
VoIP deve ser manipulada antes do
tráfego “não real-time” como o de e-mail.
Suporte à priorização de tráfego
crítico sobre todoas os outros
Segurança
A estrutura de Voz em IP deve ser
protegida de ataques DoS, vhishing, e
gravações digitais
Máquina de Deep Inspection em
real-time com assinaturas desenvolvidas para multimídia e VoIP
Suporte a Protocolos Dinâmicos
Uma infrastrutura ToIP ready
Protocolos Dinâmicos
 O tráfego standard TCP/IP usa as chamadas “well known
ports” para comunicar usando um comportamento client –
server bem conhecido.
 O tráfego VoIP usa ports dinâmicos, com implementações
proprietárias de protocolos e criação de sessão um-a-um.
 Protocolos usados em VoIP :




24
SIP
H.323
RTSP
IGMP
Exemplo de Translação VoIP em ADSL
1. Retirar o cabeçalho PPPoE
PPPoE Header
PPPoE Payload
25
Exemplo de Translação VoIP em ADSL
1. Retirar o cabeçalho PPPoE
PPPoE Header
2. É um pacote IP?
Ethernet Header
Ethernet Payload
26
Exemplo de Translação VoIP em ADSL
1. Retirar o cabeçalho PPPoE
PPPoE Header
2. É um pacote IP?
Ethernet Header
3. Está carregando informação VoIP?
IP Header
IP Payload
27
Exemplo de Translação VoIP em ADSL
1. Retirar o cabeçalho PPPoE
PPPoE Header
2. É um pacote IP?
Ethernet Header
3. Está carregando informação VoIP?
4. A qual sessão pertence?
IP Header
UDP Header
5. Decodificar o acesso do H.323
H.323 Data
28
Exemplo de Translação VoIP em ADSL
1. Retirar o cabeçalho PPPoE
PPPoE Header
2. É um pacote IP?
Ethernet Header
3. Está carregando informação VoIP?
4. A qual sessão pertence?
IP Header
UDP Header
5. Decodificar o acesso do H.323
6. Traduzir os endereços internos
a.b.c.d
a.b.c.d
w.x.y.z
29
Exemplo de Translação ToIP em ADSL
1. Retirar o cabeçalho PPPoE
PPPoE Header
2. É um pacote IP?
Ethernet Header
3. Está carregando informação VoIP?
4. A qual sessão pertence?
IP Header
UDP Header
5. Decodificar o acesso do H.323
6. Traduzir os endereços internos
7. Passar o pacote pela máquina de
Inspeção para a
Prevenção de Intrusão, ataques,
Virus, etc.
30
a.b.c.d
a.b.c.d
w.x.y.z
Features Avançadas:
Segurança em ToIP
 Previnir ataques DoS e tráfegos maliciosos nos end-points
ToIP.
DoS:
IPS:
31
SYN Proxy
Bloqueia SIP Malformados
Firewall SPI
A inspeção Stateful é
limitada apenas a
Version
| Total Length
Source
portas
que| Service
podem
UDP Port
ID | Flags | Fragment
bloqueadas
TTL | Protocol | IP Checksum
Sem inspeção
de
Source IP Address
Destination
dados! Destination IP Address
UDP Port
INSPECT
IP Options
Firewall Típico
Stateful
Packet
Inspection
Os pacotes passam sem
inspeção de dados!
Traffic Path
32
Source
Destination
212.56.32.49
65.26.42.17
Source Port
Dest Port
823747
80
Sequence
Sequence
28474
2821
Syn state
IP Option
SYN
none
Firewall UTM
UTM Signatures
Source
UDP Port
|
|
|
Destination
UDP Port
INSPECT
INSPECT
ATTACK-RESPONSES 14BACKDOOR
58BAD-TRAFFIC 15DDOS 33DNS
19DOS 18EXPLOIT >35FINGER
13FTP 50ICMP
115Instant
Version
Service
Total Length
Messenger 25IMAP 16INFO
7Miscellaneous44MS-SQL
24MSID
Flags Fragment
SQL/SMB 19MULTIMEDIA 6MYSQL
2NETBIOS Protocol
25NNTP 2ORACLE
TTL
IP Checksum
25P2P 51POLICY 21POP2 4POP3
18RPC 124RSERVICES
13SCAN
Source IP Address
25SMTP 23SNMP 17TELNET
Destination
IP Address
14TFTP
9VIRUS 3WEB-ATTACKS
47WEB-CGI 312WEB-CLIENT
|
|
|
IP Options
Stateful
Packet
Inspection
UTMFirewall
Security
Prod.
Reliable
Dynamic
Management / Reporting
Firewall Traffic Path
33
UTM Inspection inspects all traffic
moving through a device – 98%
more inspection
Soluções Proxy Based
The more users and traffic added, the more threats
come through without inspection
Inspection
Inspecting
Stopped
Network Use
max
min
min
Memory
Version | Service | Total Length
ID
|
Flags | Fragment
TTL | Protocol | IP Checksum
Source IP Address
Destination IP Address
max
Proxy solutions
with no scalability
Version | Service | Total Length
ID
|
Flags | Fragment
TTL | Protocol | IP Checksum
Source IP Address
Destination IP Address
Version | Service | Total Length
ID
|
Flags | Fragment
TTL | Protocol | IP Checksum
Source IP Address
Destination IP Address
Memory Full Scanning Stopped
# of Users
Traffic
Inspection possible
Not inspected
34
Firewall UTM
UTM Platform Approach
Real Time Scanning Engine
Inspecting
Network Use
Real-time Scanning
max
max
min
min
Protection
forLength
Version | Service | Total
ID | Flags | Fragment
ALLTTLTraffic
and
| Protocol | IP Checksum
ALLSource
Users
IP Address
estination
UDP Port
Source
UDP Port
Destination IP Address
IP Options
# of Users
Traffic
Unified Threat Management Firewall
Security
Integration
Productivity
Control
Network
Resiliency
Dynamically Updated
Management and Reporting
35
Inspection possible
Not inspected
Features Avançadas:
Bandwidth Management
 Reservar largura de banda WAN para tráfegos de VoIP
SIP
HTTP
36
Banda Garantida em 90%
Best Effort
Features Avançadas:
802.1p, DSCP e QoS
 Reter a marcação QoS através de links VPN / WAN
DSCP
DSCP
Conversão
802.1p para DSCP
802.1p
37
802.1p
Features Avançadas:
VLANs 802.1q
 Isola o tráfego VoIP e os end-points de ataques através VLANs
VLAN Trunk
38
Engineering
Marketing
Sales
VLAN 10
VLAN 20
VLAN 30
VLAN 40
Features avançadas:
VoIP Call Status
 Monitoração das chamadas ativas, logs e relatórios
Call #1
Destination
Protocol
Bandwidth
Time Started
39
14.56.34.99
H.323
128Kbps
8:07AM
Call #2
Destination
Protocol
Bandwidth
Time Started
65.23.41.11
SIP
64Kbps
9:15AM
Reação a incidentes e ataques
40
Vulnerabilidades
 Sistema possui as vulnerabilidades do IP
 Requisitos de QoS são afetados por ataques de DoS
(Delay, jitter, packet loss, bandwidth)
 Método de autenticação com o Gateway fraco
 Roubo de senhas e autorizações
 Código Malicioso

41
Inserção / Remoção / Modificação do Streaming de Audio
possível
Ameaças
 Session hijacking (roubo da sessão de voz)
 Monitoramento(eavesdropping)
 Interrupção do Serviço
 Fraude (roubo de serviços), Phishing
 Exploração das vulnerabilidades por Hacker interno
42
43
Caso Real
Atualmente 70% das quebras de
segurança corporativas são geradas
internamente.
Caso Real
Perfil do Fraudador*:
• 68% estão na Média e Alta Gerências
• 80% tem curso superior completo
• Predominantemente do Sexo Masculino
• Idade média entre 31 e 40 anos
*Pesquisa sobre crimes econômicos - PWC 05
Caso Real
Reação a incidentes:
o uso de Forense Digital:
Forense Digital como geradora de melhoria nos
processos e prevenção de fraudes
 Estrutura recorrente de verificação de falhas –
Investigações em “linha de produção”
 Auditar e investigar a totalidade dos dados em um
universo de máquinas e não apenas amostras
 Comparar dezenas de máquinas simultaneamente
 Ampliar a cobertura de investigação sem necessidade
de aumentar o quadro de pessoal
47
17/07/2015
Fases do Processo de
Forense Digital:
 Processo crucial de geração e custodia de eviendências ,
necessário para estabelecer a segurança pró-ativa, reação
e tratamento adequado a incidentes em TI e ITC.
48
Identificação
 Quando um incidente passa a ser
tratado como objeto de
investigação forense?
 Qual tipo de mídia envolvida?
 Quem autoriza a investigação?
Coleta
 Realização de Clone
 Registrar:





Quem coletou
O que coletou
Como foi coletado
Onde foi coletado
Número de Identificação da
evidência
 Detalhes do estado em que se
encontra
Análise dos Dados
 Recuperação de arquivos
apagados
 Identificação de áreas
sobrescritas
 Pesquisa por palavras-chave
 Análise de assinaturas
 Análise de Hashes
Armazenamento de Evidências
Prioridades
 Garantir a rastreabilidade:
 Todos que manipularam a
evidência desde o término da
análise!
 Armazenagem em local seguro
 Garantia de não-contaminação.
Geração de Relatórios/Laudos
• Objetivos do relatório
– Ser claro e compreensível aos altos executivos
– Descrever o caso detalhadamente
– Estar dentro do escopo pedido no início da
investigação
– Ser escrito de maneira a não deixar margens a
interpretação
• Conteúdo do relatório
– Resumo Executivo
– Objetivo
– Evidências Analisadas
– Informações relevantes encontradas
– Conclusão
Aplicações e Cenários
Voz e Video sobre IP




Main
Site
Stateful Streaming
H.323
Gatekeeper
SIP
Proxy
Server
DMZ
Traffic Shaping
SIP and H.323
SonicWALL
Security
Gateway
WAN
Fácil de Usar /
oferecer serviços
Switch /
PoE Switch
Remote
Site
Soft Phones
Call
Manager
IP Phones
WLAN
Video Phones
WLAN
AP
Videoconferencing
54
CONFIDENTIAL© 2005 VOIPSA and SonicWALL
IP Phones
Soft
Phones
Videoconferencing
VoIP over
WLAN
Digital
Surveillance
ToIP e VoWLAN
Firewall, IPS e GAV
VoIP em
WiFi
Wired LAN
Access Point
Rede com fio
PoE Injector
Servidores e Gatekeeper
55





Access Point
Mobilidade em VoIP
Segurança WiFi
Identificação Positiva do Usuário
Access Point
Integração Dados/Voz
Segurança contra intrusos e vírus em VoIP
PDA
c/ VoIP
ToWLAN & Terminais híbridos
SIP Proxy
H.323 Gatekeeper
H.323: 9150
9XXX
(SIP, H.323 and Multicast)
IP : 216.217.36.156
IP : 66.88.19.125
Public Internet
VPN
Tunnels
IP : 66.88.19.12X
IP : 66.88.19.124
IP : 66.88.19.124
SIP 9020
H.323: 9120
GVC Client
Public
Internet
Access
IP : 216.217.36.157
Paris
IP : 216.217.36.154
SIP 9070
SIP 5070
SIP 9095
SIP 3070
Madrid
HA
DMZ
DMZ
IP : 192.168.10.1
5XXX
SIP Proxy
Server
PRO2040
3XXX
H.323
Gatekeeper
SIP 5010
56
SIP 5030
Dlink
SIP 5025
SIP 5080
SIP 9091
SIP 9095
SIP 3025
SIP: 5035 SIP: 5040 H.323: 5145 H.323: 5150
SIP 5045
SIP 5050
Packet8
Sony 5130
1-408-469-4723
Polycom 5140
SIP
5060
LAN
IP : 192.168.168.10
IP : 192.168.168.10
Apple IChat
IP : 192.168.20.1
SIP Proxy Server
LAN
SonicPoint
172.31.1.1
PRO4060
SIP
9060
IP : 192.168.20.10
Apple IChat SIP: 9027 H.323: 9120 Dlink
Vonage
1-408
SIP 9005
SIP 9095
SIP 5090
SIP 3005
SIP 9010
SIP 9095
SIP 5091
SIP 3010
SIP 9015
SIP 5092
SIP 3015
SIP: 9025 SIP: 9030
H.323: 9140 H.323: 9150
SIP 9040
SIP: 9050
Packet8
1-408-469-4714 Sony 9105
Polycom 9110
Questões importantes para
implantação segura de ToIP
57

Foram considerados os impactos de segurança em trafegos
VoIP convergentes na sua rede?

Sua estrutura de TI está preparada para suportar protocolos
dinâmicos como H.323 e SIP?

Quanto a estrutura de TI e Telecom consegue priorizar largura
de banda na rede para as suas aplicações de NEGÓCIO ?
Resumindo
• Proteja seus dados dos
seus funcionários
• Proteja seus funcionários
deles mesmos
• Eduque funcionários nas
ameaças
• Comunique políticas e
procedimentos
brigadu!!…
Celso Hummel
Gerente Regional
TechBiz Forense Digital
[email protected]
11 81559981