Abschaltung von ISDN Der BSI-konforme Sprachanschluss · Seite 5 13.02.2019 Abschaltung von ISDN...

06.02.2019 | Essen

Abschaltung von ISDN – Der BSI-konforme

Sprachanschluss

13.02.2019 Abschaltung von ISDN – Der BSI-konforme Sprachanschluss Seite 2

Agenda

1. SBC Grundlagen

2. Wieso EAL 4+ Zertifikat?

3. Architektur des secunet SBC

4. Überblick


Was ist ein Session Border Controller?


Mögliche Angriffsvektoren

Registrierungsflut Eindringlinge

DoS Angriffe

Datendiebstahl

Illegaler Datenverehr


Die Definition: Session Border Controller (SBC)

Ein Session Border Controller (SBC) ist eine Netzwerkkomponente zur sicheren Kopplung von verschiedenen

IP-Telefonnetzen mit unterschiedlichen Sicherheitsanforderungen

Klassisches Einsatzgebiet:

Absicherung IP-basierter Telefonie (VoIP) zur Kontrolle von Mediendaten sowie Aufbau, Vermittlung und Abbau.

Nach § 109 Abs. 1 Telekommunikationsgesetz (TKG) ist der Diensteanbieter verpflichtet, angemessene technische Vorkehrungen oder

sonstige Maßnahmen zum Schutze des Fernmeldegeheimnisses und personenbezogener Daten und der Sicherheit der

Telekommunikations- und Datenverarbeitungssysteme gegen unerlaubte Zugriffe zu treffen. Für den Diensteanbieter hat dies zur Folge,

dass Schutzmaßnahmen sich der dynamischen technischen Entwicklung anpassen müssen.


Agenda

1. SBC Grundlagen



4. Überblick


Produkt Motivation

In Regierungsnetzen werden an Netzübergängen EAL4+-zertifizierte Application

Layer Gateways gefordert.

Die Anbindung an das öffentliche Telefonnetz erfolgt zur Zeit noch über ISDN.

Allerdings ist absehbar, dass auch der Übergang zum öffentlichen Netz in

einigen Jahren per IP/SIP realisiert werden muss. Zu diesem Zweck ist ein

EAL4+-zertifizierter Session Border Controller (SBC) notwendig.

Auch auf Teilnehmerseite sowie zentral werden für SIP-Trunks zwischen einer

IP-TK-Anlage und der zentralen Sprachvermittlung des IVBB mittelfristig

zertifizierte Session Border Controller benötigt (Trennung der Nutzer

untereinander, Trennung Sprachnetz/Datennetz).

– Bundesamt für Sicherheit in der Informationstechnik, 2013

„

“


Sicherheitsvorgaben nach Common Criteria – Grundlagen

Was ist Common Criteria? Die Common Criteria for Information Technology Security Evaluation

(Allgemeine Kriterien für die Bewertung der Sicherheit von Informationstechnologie)

sind ein internationaler Standard zur Prüfung und Bewertung der

Sicherheitseigenschaften von IT-Produkten.

Wie erhält man eine Zertifizierung nach CC? Das Produkt muss zunächst von einer externen akkreditierten Prüfstelle evaluiert

werden und kann dann bei einer Zertifizierungsstelle (in Deutschland das BSI)

vorgelegt und zertifiziert werden

Was ist der Mehrwert des Kunden durch eine Zertifizierung nach CC? Detaillierte Schwachstellenanalyse (ausführliche Dokumentation)

Validiert durch eine vom BSI zugelassene externe Prüfstelle

„doppelte Qualitätskontrolle“

Vertrauen in das evaluierte Produkt


Sicherheitsvorgaben nach Common Criteria – Prozess

Erstellt Security Target und

erforderliche Dokumentation

Ertüchtigt

Entwicklungsumgebung und

führt Herstellertests durch

Evaluiert Security Target und

Dokumentation

Auditiert die

Entwicklungsumgebung und

führt unabhängige Tests durch

Nimmt Prüfberichte ab

Erstellt und veröffentlicht

Zertifikat

Hersteller Prüfstelle Zertifizierungsstelle


Die Common Criteria definieren sieben Sicherheitsstufen

(Evaluation Assurance Level)

Diese Stufen beschreiben die Korrektheit der

Implementierung des betrachteten Systems bzw. die Prüftiefe

Mit steigender Stufe steigen die Anforderungen an die

Tiefe, in der der Hersteller sein Produkt beschreiben muss

und mit dem das Produkt geprüft wird

Die CC Zertifizierung ist nur bis zur Stufe EAL 4 international

anerkannt.

Sicherheitsvorgaben nach Common Criteria – Zertifizierungsstufen


Zeilen: AVA_VAN (Vulnerability Assessment)

Innerhalb der EAL Stufen wird zusätzlich noch in verschiedene Angriffsstärken bzw. Schwachstellen unterteilt

• AVA_VAN 1: Vulnerability survey

• AVA_VAN 2: Vulnerability analysis

• AVA_VAN 3: Focused vulnerability analysis

• AVA_VAN 4: Methodical vulnerability analysis

• AVA_VAN 5: Advanced methodical vulnerability analysis

Spalten: Bedrohungen / Angriffsmuster

Sicherheitsvorgaben nach Common Criteria – Schwachstellenanalyse


Agenda

1. SBC Grundlagen



4. Überblick


SBC allein schon sicher genug? – Sicherheitsfunktion eines SBC

Filtert Audio- und Videopakete nach Inhalt

Untersucht Pakete im Layerbereich 5-7

Hauptsächlich SIP, RTP/SRTP, etc.

Erkennt Angriffe anhand von Blacklists/Whitelists

Regelbasiertes Greylisting (Daten in Quarantäne)

Bricht Verschlüsselung auf (Deep Packet Inspection)

Verfügt zusätzlich über Anomalie Erkennung

Verschleierung der Netz-Typologie

Zentralisiertes Management

Remote konfigurierbar

Echtzeit Monitoring

SBC

Monitor

VoIP-Netz A

Builder

VoIP-Netz B


Filtert Datenpakete nach Absender/Empfänger (Header)


Hauptsächlich IP, TCP, UDP, etc.

Erkennt Angriffe anhand von Blacklists/Whitelists

Regelbasiertes Greylisting (Daten in Quarantäne)

Filtert dynamisch (Stateful Packet Inspection)



SBC allein schon sicher genug? – Sicherheitsfunktion einer Firewall

Paketfilter

Management

Ungesichertes Netzwerk

(Internet)

Geschützte

Systeme


SBC allein schon sicher genug? – Unified Communication Firewall

Filtert alle Pakete nach Header UND Inhalt


Firewall mit integriertem SBC

Vereint Vorteile beider Komponenten in einem

Dadurch sowohl Deep Packet Inspection (DPI)

als auch Stateful Packet Inspection (SPI)



Echtzeit Monitoring

Profitiert zusätzlich von einer DMZ Struktur

SBC in einem isolierten Container auf der Firewall

Firewall

SBC


secunet SBC als Perimeterschutz


Free Call

Transparenz im Netz – ABC Monitor

1

7

Call Dashboard – optimale Analysemöglichkeit im Fehlerfall


Fraud detection – Geografische Darstellung

1

8


ABC Monitor: Vollständiges SIP Lagebild

Alarmierung Netzwerk Troubleshooting

Sicherheitsvorfälle

Ressourcenknappheit

Konfigurierbare Schwellwerte

Reporting Auslastung/Nutzung

Sicherheits-Events

Statistiken

Wartung Fehler Anzeige

Fehler Lokalisierung

Fehler Behebung


Agenda

1. SBC Grundlagen



4. Überblick


Der erste zertifizierte SBC – technische Umsetzung der Anforderungen

Härtung des Betriebssystems

Dynamische Reaktion

Zugriffskontrollen

Netztrennung

Schnelle Wiederherstellungszeit

(Schadensbegrenzung)

Zentrales Monitoring

Zentrales Deployment in großen Netzen

Zertifizierte Plattform

Stateful Paketfilter und Greylisting

DMZ, Usermanagement

Trennung in Wirk- und Management

System

Images und Container, zentrale Vorhaltung

von Konfigurationseinstellungen

Echtzeit Lagebild Monitor

GUI basiertes Management


secunet SBC – Appliance

Hardware

16 GB RAM

240 GB SSD

2x10 GB Fiber, 6x1 GB Fiber

Software

secunet wall

FRAFOS ABC SBC

Betriebssysteme

Gehärtetes Linux OS

Schnittstellen

USB 2.0

USB 3.0

Fiber

LAN


Sicherheit

Layer 2-4 abgedeckt durch Firewall

Layer 5-7 abgedeckt durch SBC

SBC Container arbeitet in einer DMZ

CC EAL 4+ auf höchste Angriffsstufe

getestet (VAN 5)

Doppelte Zertifizierung (zertifizierte

Firewall UND zertifizierter SBC)

secunet SBC – Key Benefits

Administration und

Monitoring

Remote Konfiguration

Firewall Management

SBC Management

Echtzeit Lagebild Monitor

Umfassende Reporting Möglichkeiten


secunet SBC – Vorteile

Unterstützung von Audio und Video Protokollen

Transcoding (G711, G722, Speex, OPUS, etc.)

Ausfallsicherheit durch Hochverfügbarkeit und Georedundanz

Kann als webRTC Gateway fungieren

Kann auf Bedarf verschlüsseln

Unterstützung von IPv4 und IPv6

Features


secunet SBC – Service Level Agreement

Service und Support

Software-Wartung (3 Jahre) – nach Ablauf erweiterbar um weitere 3 Jahre

Telefon-Support 5x10 (3 Jahre) – erweiterbar auf 7x24 in den Pro Tarifen

Wartung & Reparatur

Geräte-Austausch (72 Stunden) – nicht erweiterbar

Geräte-Garantie (3 Jahre) – nach Ablauf erweiterbar um weitere 2 Jahre

Geräte-Reparatur (innerhalb PLC) auf Anfrage immer möglich *PLC: Product Life Cycle


secunet SBC – der erste zertifizierte SBC

EAL 4+ befindet sich noch im Zertifizierungsprozess

Zertifizierungskennung: BSI-DSZ-CC-1089

Umfassender Schutz für VoIP Anlagen

Mehr Schutz durch secunet wall + SBC

Zentrales Management

Zentrales Monitoring aller Calls

Zukunftssicheres Video- und Audio-Gateway

Einfacher Einbau in bestehende Netze

Mustafa Alaa Eddine, B.Sc.

Produktmanager

secunet Security Networks AG

Kurfürstenstraße 58

45138 Essen

Telefon +49 201 5454-0

Telefax +49 201 5454-1000

[email protected]

Abschaltung von ISDN Der BSI-konforme Sprachanschluss · Seite 5 13.02.2019 Abschaltung von ISDN...

Documents

Transcript of Abschaltung von ISDN Der BSI-konforme Sprachanschluss · Seite 5 13.02.2019 Abschaltung von ISDN...