VoIP unsicher? Hype oder Realit¤t?

download VoIP unsicher?  Hype oder Realit¤t?

of 16

  • date post

    12-Jan-2016
  • Category

    Documents

  • view

    24
  • download

    1

Embed Size (px)

description

VoIP unsicher? Hype oder Realität?. Walter Jekat Geschäftsführer NOXS Technology Germany Chief Technology Officer NOXS Europe. Einige (wenige) Worte zu NOXS. Pan-Europäischer Spezialdistributor im IT-Security Bereich Fokus auf innovative Produkte und Dienstleistungen - PowerPoint PPT Presentation

Transcript of VoIP unsicher? Hype oder Realit¤t?

  • VoIP unsicher? Hype oder Realitt?Walter JekatGeschftsfhrer NOXS Technology GermanyChief Technology Officer NOXS Europe

  • Einige (wenige) Worte zu NOXSPan-Europischer Spezialdistributor im IT-Security BereichFokus auf innovative Produkte und DienstleistungenLangjhriger partnerschaftliche Zusammenarbeit mit der NetUSE

  • Die Konvergenz von Voice und DatenInternetVoice NetzwerkDatennetzwerkUnternehmen migrieren Voice von PSTN auf Datennetzwerke um:Neue Applikationen zu untersttzen 72%Offene, erweiterbare Systeme zu implementieren - 59%Unterhaltskosten einzusparen 53%Anschaffungskosten zu minimieren 50%Infonetics report

  • Vorweg: Enduser vs. Enterprise VoIPViele Enduser implementieren unauthorisierte VoIP Clients in FirmennetzenProtokolle wie Skype sind peer-to-peerDer Client transportiert laufend Datenpakete Unbekannter durch das FirmennetzHohe Wahrscheinlichkeit, dass zuknftig Malware und v.a. Adware transportiert werden.Skype = eBay wann kommen Broadcasts und Push Messages?Enduser VoIP hnlich schwierig zu kontrollieren wie Instand Messaging (Port 80 und 443!)Haben Sie eine Firmenregelung?

  • Wachstum des Voice/Daten NetwerksWenige Unternehmen haben heute VoIP bereits eingefhrt

    Riesiges Wachstum in den kommenden zwei Jahren43% werden VOIP in den nchsten 2 Jahren einfhren (Economist Intelligence Unit, 2004)26% der 2000 grssten Unternemen heute und 63% in 2006 (Deloitte & Touche)UK Dept of Trade and Industry, 2005

  • Ist VoIP nicht so sicher wie traditionelle Telefonie?VoIP ist unsicherer25% der befragten denken dass VOIP viel unsicherer istDas sind dopplet so viele wie noch in 2003Gartner Group Client 2002IP-PBXs placed offlineSQL Slammer Attack

    2004 VoIP State of the Market Report, Steven Taylor, Distributed Networking Associates

  • SicherheitsrisikenKlassische IT orientierte Angriffe wie Slammer haben VoIP Infrastrukturen lahmgelegt. (z.B. Sasser und Code Red bei Merrill Lynch)Denial-of-ServicesMan-in-the-middleSniffingVoIP PhreakingBei VoWLAN zustzlich alle WLAN Security ThemenJedes VoIP Gert basiert auf ein (unsicheres) BetriebssystemSPIT (SPAM over IT Telephony)Directory HarvestingMalformed Headers und PacketsBuffer Overflow AttacksRTP Session HijackingSoft Phones als Brckenkopf in das Firmennetzusw.

  • VoIP Sniffing its easyz.B.http://www.irongeek.com/i.php?page=videos/cainvoip1

  • Die ProtokolleZunchst basiert VoIP auf IP mit allen bekannten SchwchenVielzahl von Protokollen und Versionen wurden unter time-to-market Gesichtspunkten entwickelt und implementiert, z.B.:

  • Dynamische PortvergabeVoIP Protokolle benutzen dynamisch und zufllig vergebene Portsz.B.: H.323 benutzt Port 1720 zum Call Setup, zufllig vergebene Ports zur InformationsbertragungPortnummern werden whrend eines Anrufs stndig verndertEine konventionelle Firewall msste tausende von Ports offenhalten.

  • GesprchsqualittFr E-Mail und Webzugriff sind Verzgerungen und Schwankungen von untergeordneter Bedeutung. VoIP ist anders!Latenz:Laufzeit von Endgert zu EndgertEmpfehlung max. 150 msec. in einfacher RichtungRouter, Firewall und VPN oftmals FlaschenhlseJitter:Schwankungen der LaufzeitzeitPakete werden falsch assembliert bzw. verlorenEmpfehlung max. 30 msec.Verschlsselung als Hauptproblem

  • Das NAT ProblemNetwork Address Translation (Adressumsetzung am Gateway auf Netzwerkebene) heute elementare SicherheitsmanahmeVoIP Protokolle verarbeiten IP-Adressen sowohl auf der Anwendungs-, als auch NetzwerkebeneZ.B. wenn ein VoIP Endgert Verkehr von einem Gert hinter einem NAT Gateway erhlt wird erfolglos versucht ber die interne IP Adresse zurckzukommunizierenSIPPhoneSignaling/Registrar192.168.10.1 is registeredas 1-650-628-2000.Copy 192.168.10.1 is 1-650-628-2000 in VoIP user databasePlease register that 192.168.10.1 is 1-650-628-2000

  • VertraulichkeitIn der Regel wird VoIP nicht verschlsseltEingebaute Verschlsselungsmechanismen oft zu langsam und schwierig zu managenVoIP Pakete knnen genau wie Datenpakete gesnifft und durch Unbefugte reassembliert werdenAnruferkennungen leicht flschbarVoIP Voicemails werden als Dateien abgelegt und sind mit normalen Hackermethoden angreifbarWar Dial1-650-628-2000 to1-650-628-2250

  • Unsere EmpfehlungenVoIP implementieren, aber mit BedachtPrfen ob Skype & Co. Erwnscht sindFleiig Hersteller Patches implementierenIm Firmen-LAN VoIP und Datenverkehr ber VLANs trennenFr firmeninterne VoIP Anwendungen mglichst priorisierte VPN Strecken benutzenHardphones tendenziell sichererFirmeninterne Softphones ber VPN Client betreiben

  • Unsere EmpfehlungenBei allen VoIP Gerten Remote Access und Konfigurationsmglichkeiten ( Backdoors!) ausschaltenDefault login and administrator Passwrter abschaltenIT Security Infrastruktur auf VoIP QoS prfen (Verschlsselung in Hardware? DiffServ? Bandbreitenmanagement?)Aktuelle Firewalls/VPNs beginnen VoIP Security zu adressieren (z.B. Check Point, Juniper)Dedizierte VoIP Firewalls (z.B. BorderWare) fr sehr groe Implementationen prfen

  • Habe ich Ihr Interesse geweckt?

    Ich stehe Ihnen fr Gesprche gerne den ganzen Tag (und Nacht) zur VerfgungHerzlichen Dank!