Comunicaciones Unificadas Seguras

Transcripción

1 Gracias! 1 Comunicaciones Unificadas Seguras Pablo S. Marrone Consulting Systems Engineer CCIE # 9899 pmarrone@cisco.com 2

2 Agenda Expocomm 2005 Llamada básica vs. Servicios Avanzados Qué protocolo usar? Flujos de llamada Arquitecturas Video Telefonía Bonus Track: Seguridad 3 Agenda Expocomm 2006 Valor de las Comunicaciones Unificadas Seguridad de las Comunicaciones Unificadas 4

3 Telefonía tradicional PBX Software Software de aplicaciones Matriz de conmutación TDM Troncales Extensiones 5 Telefonía IP..un cambio de paradigma PBX Software Software de Aplicaciones Matriz de conmutación Troncales Extensiones 6

4 Comienza la Innovación: 1997 Telefonía como servicio de la red El primer Teléfono IP fué desarrollado por Selsius Systems Funcionalidades de Telefonía Básica, Servicios Centrex Importancia de la red: DHCP, TFTP, QoS/COS, NTP Potencialmente atacable 7 La Innovación ha Creado Complejidad 5 Correos de Voz! Meetings todo el día Tenés un minuto? Estás? DING-DONG!! 20 s! 15 Adjuntos!! Mucha Información Muchos dispositivos En cualquier lugar/momento Límites Tecnológicos Soluciones Incompatibles Accesos distintos Pérdida de productividad 8

5 Solución: Unificación de las Comunicaciones Control de la Información Dónde estoy Cuándo estoy accesible? Soluciones Tecnológicas Dispositivos trabajando juntos Acceso simple a servicios 9 El camino hacia las Comunicaciones Unificadas Comunicaciones IP - Adopción Fase 1: Moviendo la Inteligencia a la red IP Convergencia de Medios ReducirOPEX All Communications Over IP Integrated Wiring Plants Toll Bypass Movement

6 Comunicaciones IP - Adopción El camino hacia las Comunicaciones Unificadas Fase 2: Extendiendo la Inteligencia a todos los productos Media Convergence OPEX Reduction Movement Convergencia de Servicios Simplificación de la Red Seguridad Integrada Call Control Centralizado Movilidad del Usuario Virtualización El camino hacia las Comunicaciones Unificadas Comunicaciones IP - Adopción Fase 3: Integrando Aplicaciones basadasen Standards Media Convergence OPEX Reduction Movement Service Convergence Network Simplification Virtualization Convergencia de la Experiencia Comunicacional Nuevas Capacidades Servicios Personalizados Contexto y Presencia Rich Communications Aplicaciones

7 Comunicaciones Unificadas en Acción Independencia de lugar y dispositivo 2004 Results Teléfonos Duales Call Control Unico Voz/Video Llamadas encriptadas 13 Tendencias: el Cliente Unificado Voz, Video, y Presencia Dispositivo Preferido Voice Mail Playback Listade contactos Unified Personal Communicator Document Sharing Conferencias Serviciosde Directorio Logs Movilidad 14

8 Comunicaciones Unificadas Plataforma abierta, distribuida y extensible para comunicaciones de tiempo real basadas en la inteligencia de la RED: Inteligencia en el Procesamiento de las LLamadas Inteligencia en la determinación de PRESENCIA Inteligencia en la determinación de LUGAR o CONTEXTO Desafíos la afectan las vulnerabilidades ya conocidas de la red? produce nuevas vulnerabilidades? cuáles son las mejores medidas de protección? 15 Seguridad en las Comunicaciones Unificadas Se requiere una estrategia extremo a extremo Internet Aplicaciones Red Desktops Objetivos Messaging Proteger los terminales Proteger los servers Gateway Application IP Phone Proteger las aplicaciones Call Control 16

9 Identificar Vulnerabilidades Problemas de seguridad de los protocolos utilizados Problemas de seguridad de las aplicaciones Problemas de seguridad de los sistemas operativos Escuchas indebidas, replicación de paquetes Spoofing Componentes o usuarios no autorizados Acceso a datos del sistema Robo de Servicio Man in the Middle DOS y DDOS 17 Seguridad en el proceso de booting Problemas de seguridad de los protocolos utilizados Spoofing Imágenes de Firmware Firmadas Private Key del fabricante Intangibilidad del firmware Acceso a datos del sistema DOS y DDOS Call Control Archivos de Configuración Firmados y Encriptados Intangibilidad de la configuración config file X XX 18

10 Protección adicional de los terminales Deshabilitar PC port Comandos de ajustes Acceso Web IP address/mask Default gateway DHCP server DNS server TFTP server Cisco CallManager(s) Directory server Logon server XML server Puedo averiguar muchos detalles de una red simplemente a través de un teléfono! 19 Seguridad en DHCP (DHCP Snooping) Correlaciona la IP address a la MAC address Define qué ports pueden hacer DHCP Reply Limita la tasa de mensajes DHCP aa-aa-aa-aa-aa-aa Problemas de seguridad de los protocolos utilizados Spoofing DHCP Server bb-bb-bb-bb-bb-bb DHCP-S: Nope! DHCP Reply aa-aa-aa-aa-aa-aa 1/ bb-bb-bb-bb-bb-bb 1/ cc-cc-cc-cc-cc-cc 1/2 DHCP Reply X DHCP Request DHCP Snooping Table: IP Address MAC Address Port VLAN ID Lease Time cc-cc-cc-cc-cc-cc dd-dd-dd-dd-dd-dd 20

11 Seguridad en DHCP (Port Security) Evita la aniquilación del pool de DHCP Restringe el número de MAC addresses en un port No permite un lease de más IP addresses que las MAC addresses permitidas en el port CAM Table aa-aa-aa-aa-aa-aa 1/0 bb-bb-bb-bb-bb-bb 1/1 dd-dd-dd-dd-dd-dd 1/2 cc-cc-cc-cc-cc-cc 1/2 CAM = Content Addressable Memory The CAM table stores information such as MAC addresses available on physical ports with their associated VLAN parameters aa-aa-aa-aa-aa-aa DHCP Request DHCP Server bb-bb-bb-bb-bb-bb Port-S: Nope! X DHCP Reply cc-cc-cc-cc-cc-cc dd-dd-dd-dd-dd-dd 21 Prevención de ataques Man-in-the-Middle Inspección del tráfico ARP / GARP para evitar violaciones (DAI) Aprovecha la información del DHCP Snooping Examinar cada paquete y analizar dirección fuente (IP Source Guard) Acciones: Posibilida de descartar los paquetes o deshabilitar el port aa-aa-aa-aa-aa-aa DAI: No, you re not! DAI Off On ISG: I don t think so! aa-aa-aa-aa-aa-aa 1/ bb-bb-bb-bb-bb-bb 1/ dd-dd-dd-dd-dd-dd 1/ bb-bb-bb-bb-bb-bb ARP Cache cc bb cc dd GARP: I m Static cc-cc-cc-cc-cc-cc X X TCP: I m DHCP dd-dd-dd-dd-dd-dd ARP Cache cc aa cc dd 22

12 Seguridad en el acceso remoto Autenticación del Server Segurizar la comunicación entre el browser y el IIS server Páginas de aministración bajo https Páginas de usuario bajo https Necesidad de un certificado en el server Problemas de seguridad de los protocolos utilizados Escuchas indebidas, replicación de paquetes Spoofing Acceso a datos del sistema Man in the Middle 23 Seguridad en protocolos de Telefonía H.323 MGCP SIP Seguridad definida en H.235. autenticación, privacidad e integridad IPSEC Autenticación y autorización embebidos Encripción del payload y parte de los headers IPSEC opcional Feature Rich Endpoint Protocols TLS (RFC 2246: RSA signatures, HMAC-SHA-1 auth tags, AES-128-CBC encryption) RTP (VOZ) Problemas de seguridad de los protocolos utilizados SRTP (RFC 3711, HMAC-SHA-1 auth tags, AES-128-CM encryption) 24

13 Seguridad en protocolos de Telefonía: Señalización y Voz CALL CONTROL MGCP GW IPSec SRTP IPSec TLS TLS WAN Supervivencia MGCP GW SRTP TLS SRTP TLS SRTP 25 Seguridad a demanda Call Control Transferencia Teléfono Seguro Voz Encriptada Voz No Encriptada Gateway Seguro Teléfono sin seguridad 26

14 Ataques al Sistema Operativo Sistema Operativo robustizado (hardened) Deshabilitar servicios innecesarios Sintonizar settings de registry Deshabilitar usuarios innecesarios Seguir las especificaciones de Microsoft, CERT, STIGs, etc Política agresiva de patches y hot fixes Política de antivirus HIPS: protección del día cero Organizaciones independientes Secunia.org Problemas de seguridad de los sistemas operativos Componentes o usuarios no autorizados Acceso a datos del sistema DOS y DDOS 27 Consideraciones de Performance Impacto sobre la plataforma de Call Control Un teléfono corriendo TLS consume algo más de CPU que una llamada común Un teléfono corriendo TLS consume algo más de memoria que una llamada común La señalización necesaria requiere más ancho de banda El protocolo SRTP agrega 15 microseconds de latencia a los paquetes, y 4 bytes de longitud 28

15 TLS: Transport Layer Security Conocido como SSL: Secure Sockets Layer 3.0 Supporta cualquier protocolo HTTP SCCP FTP LDAP TLS TCP IP El intercambio bidireccional de certificados brinda Identidad HMAC provee Integridad La encripción brinda Privacidad 29 SRTP: Secure RTP IETF RFC3711 para transporte de streams seguros Usa AES-128 for authenticación and encripción Alta performance, bajo overhead V P X CC M PT sequence number timestamp synchronization source (SSRC) identifier contributing sources (CCRC) identifiers RTP extension (optional) RTP payload SRTP MKI -- 0 bytes for voice Authentication tag -- 4 bytes for voice Porción Encriptada Porción Autenticada 30

16 Comparasión de SRTP con GRE y IPSec (G.729) (1) Original packet 60 bytes IP Hdr UDP RTP Payload (2) With SRTP 64 byes IP Hdr UDP RTP Payload (3) With IP GRE 84 Bytes GRE IP Hdr GRE IP Hdr UDP RTP Payload (4) IPSec ESP Tunnel Mode 136 Bytes IPSec Hdr ESP Hdr ESP IV GRE IP Hdr GRE IP Hdr UDP RTP Payload ESP Pad/NH ESP Auth Consumo de Ancho de Banda G.729A with IPSec/GRE G.729A with GRE G.729A SRTP G.729A normal L3 Bandwidth Use per Call (K) G.711 with IPSec/GRE G.711 with GRE G.711 SRTP G.711 normal

17 Ataques Comunes sobre Windows 80% de los ataques contra windows apuntan al IIS!!! Apagar IIS & WWW en los servers que no lo requieran DHCP puede estar en la infraestructura Desplegar DHCP cerca de los endpoints Las app XML requieren datos de Internet Offload de apps XML a un server dedicado 33 Detener los ataques en los bordes de la red Escuchas indebidas, replicación de paquetes Spoofing Componentes o usuarios no autorizados Acceso a datos del sistema Robo de Servicio Man in the Middle DOS y DDOS Telephony Servers Los teléfonos sólo requiren RTP entre ellos, y una pequeña fracción de TCP/UDP contra el call control No hay motivos para que los teléfonos envíen TCP o ICMP entre ellos Limitar el tráfico en las VLANS de acuerdo a estos criterios (VACLs) 34

18 Ignorar los Gratuitous ARP Evitar que el teléfono acepte los gratuitous ARPs I m not listening I m Seguridad de la VLAN de Voz Evitar que los paquetes de la VLAN de voz lleguen a la PC Evita que pueda hacerse una escucha maliciosa Es necesario para troubleshooting? Usar Span IP Subnet B Phone VLAN = 200 IP Subnet A PC VLAN = 3 Voice VLAN Data VLAN 36

19 Autenticación y Encripción: Necesidad de Certificados X.509v3 CTL Client CAPF Cada dispositivo posee un certificado firmado por una CA Así comunican su clave pública Cada enpoint tiene una lista (CTL) de elementos en quienes debe confiar, y especificación de su rol Esta lista debe haber sido comunicada en forma segura En quién confío? Quién soy? 37 SRTP: Transporte seguro de la Voz SRTP es el transporte autenticado y encriptado de la voz IETF RFC3711 Autenticación por HMAC- SHA-1 Encripción con AES-128- CM Claves provistas por el call control y enviadas sobre TLS a los endpoints Compatible con CRTP CTL Client 38

20 Autenticación y Encripción en acción Gateway Call Control Mensajería TLS IPSec SRTP 39 Seguridad en los mensajes Necesidad de encriptar sobre los sistemas de vmail Políticas de forwarding: hacia otras casillas, hacia fuera del sistema Definición de punto de acceso a los mensajes (teléfono, web o ambos) 40

21 Robo de Servicio Escenario 1: Transferencia del Vmail Escenario 2: Call Forward All Voic , transferencia a 9011xxxxxxxxx International, Premium Local PSTN llamame a la oficina aún en vacaciones! Forward All Local Int l Escenario 3: Ingeniería Social Escenario 4: Agente Interno International, Premium International, Premium Te transfiero! Por Favor, me transfiere al 9011? Local PSTN Local 41 Control del Robo de Servicio Verificar el dial plan Permisos para CFW ALL Permisos del voic Conferencias: se acaban cuando cuelga el originador? Transferencias externo a externo FAC: códigos de acceso forzados 42

22 Cuánta seguridad es necesaria? Costo Complejidad Horas Hombre Bronze Default, Easy, No-Brainer Basic Layer 3 ACLs Standard OS Hardening Unmanaged HIDS Antivirus HTTPS SLDAP Signed Firmware and Configs Phone Security Settings Rate Limiting Silver Moderate, Reasonable Simple Firewalls Network elements integrated Security VPN SOHO/Mobile Optional OS Hardening Managed CSA/VMS Directory Integration TLS / SRTP to Phones IPSec / SRTP to Gateways Gold New, Hard, Not Integrated Complex Firewalls NAC / 802.1X Network Anomaly Detection Security Info Management 43 Para Terminar La seguridad se construye en capas Debe estar presente en cada elemento de la red Debe ser concebida junto con el diseño de la infraestructura La concepción de la seguridad debe ser previa al despliegue del servicio Las redes de Comunicaciones Unificadas pueden hacerse tan seguras como se quiera 44

23 45 Gracias! G R A C I A S! pmarrone@cisco.com 46

24 Material Adicional NetworkWorldFusion: Breaking Through IP Telephony US DoD PBX1 and PBX2 Accreditation NIST: Security Considerations for VoIP Systems eweek: VoIP Is As Secure As You Make It Ziff Davis: Securing Your Network for VoIP aecd801e6159.pdf Converge!: Enterprise Security An Enabler of VoIP 47 Material Adicional VTG VP Discusses Cisco's Leadership in Protecting IPT CallManager and IP Telephony Design Guides SAFE Security Blueprints Cisco IP Telephony Security Collateral X and IPT Positioning Paper Cisco Internal Contact Your Local Account Team 48

25 Material Adicional Cisco CallManager Security, Virus Protection Guides, and TCP / UDP Port Lists sec_vir/index.htm Configuring IPSec Between a Microsoft Windows s_configuration_example09186a00800b12b5.shtml#intro Proxy EAPOL-Logoff Release Note /english/ipp7960/relnotes/72_200rn.htm#wp Signed Firmware Release Note ease_note09186a00801c7164.html 49 Material Adicional Cisco CallManager Fundamentals, 2 nd Edition John Alexander, Chris Pearce, Anne Smith, Delon Whetten ISBN: ; Published: Sep 22, 2005; Copyright 2006 Cisco IP Telephony: Planning, Design, Implementation, Operation, and Optimization Salman Asadullah, Ramesh Kaza ISBN: ; Published: Feb 23, 2005; Copyright 2005 Cisco CallManager Best Practices: A Cisco AVVID Solution Salvatore Collora, Ed Leonhardt, Anne Smith ISBN: ; Published: Jun 28, 2004; Copyright 2004 The Complete Cisco VPN Configuration Guide Richard Deal ISBN: ; Published: Dec 15, 2005; Copyright