Upload
others
View
4
Download
0
Embed Size (px)
Citation preview
2
Über den AutorJonas Vogt
cand. M.Sc. Kommunikationsinfromatik
Hochschule für Technik und Wirtschaft des Saarlandes
Betätigungsfelder:Netzwerk, VoIP, Security
5
Warum Sicherheit bei VoIP?
• Vertraulichkeit – Schutz gegen das Mithören
• Authentifizierung– Mit wem spreche ich?
• Autorisierung– Darf jemand eine Anruf tätigen?
8
Singnalisierung
• Secure SIP (RFC 3261)– Anforderung einer verschlüsselten
Signalisierung
Beispiel:INVITE sips:[email protected];transport=tcp SIP/2.0VIA: SIP/2.0/TLS
9
Singnalisierung
• DTLS (RFC 4347)– Ziel: ‚TLS over Datagram‘– Probleme:
• Loss-Insensitive Messaging• Providing Reliability for Handshake• DOS Attacke
– Cookie
10
Signalisierung
• DTLS Handshake– Vor dem Handshake
• Server sendet Cookie• Client sendet Cookie zurück
– Beweis: Client kann an der angegeben Adresse Paketeempfangen
11
Media
• SRTP (RFC 3550/RFC 3551)– Verschlüsselte Verbindung für Mediendaten
• AES-CM, AES-F8– Beinhaltet nicht den Schlüsselaustausch/die
Schlüsselerzeugung
16
Media - Key Exchange
ZusammenfassungMethode Signaling
confidentialityrequired
Forking Mediabefore SDP
answer
Shared-Keyconferencing
PKIrequired
MIKEY-PSK No No Yes Yes No
MIKEY-RSA No No Yes Yes Yes
MIKEY-DH No No No No Yes
MIKEY-RSA-R No Yes No Yes Yes
SDES Yes Yes No Yes No
ZRTP No Yes Yes No No
DTLS No Yes Yes No No
18
Was ist zu beachten? (1/3)
• Angriffsszenarien– Eavdropping– Accounting
• Infrastruktur– gesicherter Serverraum
• Server• Netzwerkkomponenten
– Verkabelung– Support– PKI
19
Was ist zu beachten? (2/3)
• Netzwerk– Logische Netzsegmentierung
• VLAN• NAT• Firewalls
– QoS– Netzwerkmanagement
• Überwachung– Intrusion Detection / Prevention– SNMP / Syslog
20
Was ist zu beachten? (3/3)
• CallServer– Härtung des Servers– sichere Konfiguration
• Telefone– sichere Konfiguration
• Tests– Penetration und Schwachstellen– Konfigurationen– Standards
24
VergleichAlcatel Cisco Siemens OpenSER/
Snom802.1X MD5 MD5 TLS -Authen. gegen die TK
- (MAC) Zertifikate Zertifikate ?
Signalisierungs-Sicherheit
IPSec IPSec, TLS SIPS, TLS SIPS, TLS
Media-Sicherheit
SRTP SRTP SRTP SRTP
Media-Key-Exchange
? Proprietär, über Signalisierung
MIKEY-RSA(?) SDES
?
26
Fazit
• Sicherheit ist möglich!• Sicherheit Benutzerfreundlichkeit• relativ hohe Kosten• hoher administrativer Overhead
• sehr gute Ende-zu-Ende Sicherheit– höher als bei Analog oder ISDN
• Weitere Standardisierung nötig– Anbieter müssen sich an Standards halten