5. • Что такое DoS?
• Какие ресурсы могут быть атакованы
• Как минимизировать риск
DOS атаки – наиболее опасны и просты
6. DoS (от англ. Denial of Service — отказ в обслуживании)
Нехватка ресурсов может стать причиной отказа в работе любого
оборудования, в том числе телефонов и кодеков.
Проблемы могут возникнуть в случает перегрузки CPU, оперативной
памяти, отсутствия свободного дискового пространства, полосы
пропускания и т.д.
Наихудшая ситуация – когда оборудование оказывается не
работоспособно до перезагрузки, поэтому нехватка свободных
циклов CPU обычно приводит к срабатыванию сторожевого сервиса
(watchdog), который перегружает систему
7. Зачем они это делают?
Аспирант:
С целью
обучения – мне
интересно
посмотреть как
поведет себя
сеть при работе
моего сканера, с
использованием
не стандартных
пакетов.
Исследователь
уязвимостей:
Я делаю это что
бы заставить
производителя
закрыть все
возможные
уязвимости.
Недовольный
работник:
С помощью DoS
я предотвращаю
логирование
изменений,
которые я
сделал на
сервере
биллинга
Финансовые
возможности:
Я провела DoS
атаку на сеть
моего сервис
провайдера, что
бы выставить
ему штрафные
санкции
вследствие
потери
гарантированног
о им SLA.
Месть:
Этот интернет
магазин
(компания) нас
надувает – я
сделаю их сайт,
сервис
недоступным.
8. Cisco SX20 – современный высокопроизводительный
телепрезенс кодек с поддержкой кодирования/декодирования
потоков h264 1080p60 битрейта вплоть до 6Mbps
14. Атака на сетевые сервисы и
протоколы (стандартные и
специфичные для Cisco)
CDP, UDP, DNS, TCP, SNMP..
• Насколько надежен CDP стек
относительно других протоколов?
Сегодня не известно реальных уязвимостей
протокола, однако известны уязвимости,
вызванные ошибками при его имплементации
• Однако CDP:
Включен по умолчанию
Не защищен щифрованием
Может привести к утечкам информации о
сетевой топологии, iинтерфейсах, версиях ПО и
т.д.
Формирует таблицы, которые могут быть
прочитаны из SNMP или telnet сессий, даже если
CDP не включен на “Публичных” интерфейсах
15. • DoS уязвимость, позволяющая не
аутентифицированному
удаленному злоумышленнику
вызвать не хватку CPU ресурсов.
• Уязвимость связана с перегрузкой
системы, вследствие приема
большого числа пакетов на не
используемые UDP порты, чем
может быть вызвана не
доступность графического
интерфейса пользователя (GUI) и
отказ голосовых сервисов.
Атака на UDP порты
CPU
iptables hashlimit of 4000:25/second:all
For ephemeral UDP port ranges 32768:61000 and 24576:32767Решение:
16. • TCP SYN Attacks
Атака основывается на уязвимости ограничения ресурсов операционной
системы для полуоткрытых соединений
• TCP Reset Attacks
Атака TCP Reset, «фальшивые TCP Reset», «сбросы TCP», «спуфинг пакетов
TCP reset» — способ манипулирования интернет-соединениями
• TCP ACK Attacks (ACK-Storm DOS attack)
Атака на уязвимости TCP протокола
17. Атака методом усиления или отражения
(amplification, reflection) с помощью видеосистем
Потенциально может быть проведена с использованием любого IP
протокола в котором относительно небольшой запрос вызывает ответ
большего размера.
Было проведено большое количество атак с использованием
сервисов DNS, NTP, SNMP и т.д.
Одна из самых известных SNMP атак, например, проведена хакерской
группировкой «TEAMPOISON» и заключалась в отсылке SNMP GetBulk
запроса на публично доступные устройства с включенными SNMP
сервисами. Ответы, по объему трафика превзошли в 1700 раз,
инициировшие их запросы. Атакующие использовали в качестве
исходящего порта – порт 80, и ответы, в свою очередь, были посланы
на порт 80, что вызвало отказ в обслуживании http сервиса жертвы.
19. Как предотвратить использование SNMP сервисов
публичных видеосистем злоумышленниками
1. Блокировать любой не аутентифицированный доступ к SNMP (порт 161
UDP)
2. Использовать CommunityName отличный от “public”, желательно такой,
который не может быть просто подобран
3. Отключить SNMP сервис, если он не используется (SNMP использовался
TMS для мониторинга и получения статуса MXP-кодеков. Для современной
линейки видеосистем и серверов в нем нет необходимости.)
4. SNMP нужен для правильной работы Collaboration Prime Assurance
20. V
i
c
t
i
m
V
i
c
t
i
To: 1.1.1.255
From: 9.9.9.9
Echo Request
Ха-ХА на
самом
деле я не
9.9.9.9!
Router
Device
1.1.1.2
Жертва
9.9.9.9
Device
1.1.1.3
Device
1.1.1.4
Device
1.1.1.5
Device
1.1.1.6
Device
1.1.1.7
Device
1.1.1.8
Device
1.1.1.9
Device
1.1.1.254
V
i
c
t
i
To:
9.9.9.9
To:
9.9.9.9
To:
9.9.9.9
Каждое
устройство
отвечает на
адрес
жертвы
Echo
Reply!
Echo
Reply!
Echo
Reply!
Атака на протоколы методом усиления- SMURF
21. Атака на протоколы управления
(telnet, ssh, http, https; логины и пароли по умолчанию (admin и root))
http://www.polycom.co.uk/content/dam/polycom/common/documents/brochures/hdx-3112-security-
fixes-br-enus.pdf
Уязвимость телнет сервера, позволяющая получить доступ к командной строке не
авторизованному пользователю - http://www.exploit-db.com/exploits/24494/
Эскалация привилегий пользователя сессии командной строки (Command Shell)
Polycom Recommended Mitigation: Блокирование к telnet, до модернизации ПО на версию с
внесенными исправлениями
Многочисленные уязвимости продуктов Polycom http://www.iss.net/threats/advise130.html
http://www.cisco.com/c/en/us/support/docs/csa/cisco-sa-20101206-cuvc.html
Многочисленные уязвимости в старых Cisco UVC ВКС (OEM) серверах –
Не изменяемые, системные учетные записи и пароли, возможность встраивания командных
конструкций в запросы Web сервера, применение не стойкий к взлому алгоритмов при
кодировании файла с пользовательскими аккаунтами и паролями.
Cisco Recommendation: Выключение не используемых сервисов, предоставление доступа к
Web сервисам только для доверенных (аутентифицированных) хостов.
25. DOS атака может быть использована в составе более
сложных и комплексных атак на VoIP и другие сервисы, но и
сама по себе опасна.
https://www.youtube.com/watch?v=VfJ1tTGjyS0
26. Интернет
Схема атаки
Публичный WiFi
Общее
пространство
публичных IP
адресов
Смотрим под каким IP
мы видны в Internet,
сканируем соседние
адреса на предмет
открытых VoIP
сервисов
NAT
IP1:5060 (UDP)
IP2:5060 (UDP)
Делаем тестовый
вызов (SIP Invite).
В нужный момент –
организуем SIP invite
шторм.
29. Nmap • Сканер сети и тестирование защищенности/ сканер
портов
Amap • Сканирование IP портов для обнаружения сервисов
• Обнаружение сервисов на не стандартных портах
Xprobe
• Удаленное определение ОС через ICMP
Сканирование портов и сервисов
30. Сканирование Nmap (Zenmap)
Starting Nmap 6.47 ( http://nmap.org ) at 2014-09-30 12:57 MSK
NSE: Loaded 118 scripts for scanning.
NSE: Script Pre-scanning.
Initiating Ping Scan at 12:57
Scanning 10.62.16.42 [4 ports]
Completed Ping Scan at 12:57, 0.01s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 12:57
Completed Parallel DNS resolution of 1 host. at 12:57, 0.23s elapsed
Initiating SYN Stealth Scan at 12:57
Scanning 10.62.16.42 [1000 ports]
Discovered open port 22/tcp on 10.62.16.42
Discovered open port 554/tcp on 10.62.16.42
Discovered open port 80/tcp on 10.62.16.42
Discovered open port 443/tcp on 10.62.16.42
Discovered open port 23/tcp on 10.62.16.42
Discovered open port 1755/tcp on 10.62.16.42
Discovered open port 5060/tcp on 10.62.16.42
Discovered open port 5061/tcp on 10.62.16.42
Completed SYN Stealth Scan at 12:57, 0.47s elapsed (1000 total ports)
ARP
BFD
BGP
CIFS
DHCP
DNS
FTP
GRE
H.323
HTTP
ICMPv4
ICMPv6
IGMP
PIM
IKEv2
IPSec
IPv4
IPv6
RTP
SIP
IS-IS
L2TP
LDP
MGCP
MIPv6
NetBios
NHRP
XML
NTP Client
NTP Server
OSPFv2
OSPFv3
PPPoE
TACACS+
TLS 1.0/1.1
TLS 1.2
SNMPv2c
SNMPv3
EAPOL/EAP
H264-RTP
LDAPv3
XML File
SSH1
SSH2
RSVP
TCPv4
TCPv6
Telnet
X.509
RTSP
SCTP
SMB2
SMTP
RIP
SOAP
LDAPv3
31. Discovered open port 161/udp on 10.62.16.42
Discovered open port 123/udp on 10.62.16.42
Completed UDP Scan at 13:13, 992.52s elapsed (1000 total ports)
Scanning 26 services on 10.62.16.42
Discovered open port 5060/udp on 10.62.16.42
Discovered open|filtered port 5060/udp on 10.62.16.42 is actually open
22/tcp open ssh OpenSSH 6.5 (protocol 2.0)
ssh-hostkey:
1024 da:37:da:6e:88:48:ef:5f:71:5d:9e:e3:4e:6e:9a:27 (DSA)
23/tcp open telnet Linux telnetd
Сканирование Nmap UDP и известных сервисов
32. Сканирование Nmap портов 80, 443 - http, https
80/tcp open http nginx 1.5.8
http-favicon: Unknown favicon MD5: E19FDB47503248CA528DCCE82458B722
http-methods: No Allow or Public header in OPTIONS response (status code 302)
http-robots.txt: 1 disallowed entry
http-title: Cisco Codec: Sergey Yutsaytis Office EX60 EMEA ...
Requested resource was http://10.62.16.42/web/signin
443/tcp open http nginx 1.5.8
http-methods: No Allow or Public header in OPTIONS response (status code 400)
http-title: 400 The plain HTTP request was sent to HTTPS port
ssl-cert: Subject: commonName=Sergey-Yutsaytis-Office-EX60-
EMEA/organizationName=TemporaryDefaultCertificate
Issuer: commonName=Sergey-Yutsaytis-Office-EX60-
EMEA/organizationName=TemporaryDefaultCertificate
Public Key type: rsa
Public Key bits: 2048
Not valid before: 2014-07-08T07:10:38+00:00
Not valid after: 2034-07-03T07:10:38+00:00
MD5: 0853 8fc3 7d8a 29bd 5708 1aac 6a7c 5416
SHA-1: c895 79eb 36ef cad8 f7d8 0c21 5bcf 1cfd 45b9 aaf4
35. Версия ПО TC6.0 -январь 2013
SIP > ListenPort.
SIP ListenPort
Turn on or off the listening for incoming
connections on the SIP TCP/UDP ports. If
turned off the endpoint must be registered
with a SIP registrar to be reachable.
Requires user role: ADMIN
Value space: <On/Off>
On: Listening for incoming connections on
the SIP TCP/UDP ports is turned on.
Off: Listening for incoming connections
on the SIP TCP/UDP ports is turned off.
Example: SIP ListenPort: On
36. Типовые атаки на VoIP сервисы
«Классические» DOS атаки
DOS атаки уровня приложения ( SIP, h323 )
«Монетизируемые» атаки:
получения доступа–
Исходящие звонки на платные линии, продажа линии
Спам-
SPIT – spam over Internet telephony, VAM (voice/VoIP spam),
голосовой фишинг
Прослушка – подмена DNS, подмен arp записи (arp
spoofing), перехват SIP сессии (SIP registration hijacking)
37. К сожалению, защищенный режим не возможно включить одной
кнопкой, так же как не существует единого сценария..
38. http://www.cisco.com/c/en/us/td/docs/voice_ip_comm/uc_system/design/guides/v
ideodg/vidguide/security.html
1. Ограничить доступ к сети и сетевой инфраструктуре (VLAN, VLAN access
control, 802.1Q и 802.1p, VLAN access control lists (VACLs))
2. Защищенная конфигурация устройств – использовать только защищённые
протоколы управления и администрирования (ssh, https), трудноподбираемые
административные и root пароли, ограничить физический доступ к устройствам и
устройств в зависимости от ассоциированных пользователей, использовать
шифрование сигнализации и медиа (В России не всегда возможно)
3. Интернет коммуникации осуществлять только через сервера VCS-E или
Expressway-E, желательно, защищенные NGFW (Next-Generation Firewall).
4. Своевременно обновлять ПО на серверах и терминалах
Все пользователи VCS могут обновиться до версии X8.2 не зависимо от наличия
сервисного контракта
http://www.cisco.com/c/en/us/support/docs/csa/cisco-sa-20141015-vcs.html
Основные рекомендации и документы:
42. Использовать зональные политики регистрации,
аутентификации и шифрования
Политика аутентификации применяется VCS на
уровнях зоны и сабзоны. DNS и ENUM зоны не
принимают сообщений, поэтому не конфигурируемы.
Рекомендуется устанавливать Default SubZone
Registration Policy в «Deny». В этом случае необходимо
прописать правила для сконфигурированной локальной
сабзоны.
43. Политика шифрования для Default Zone
Установкой Default Zone Access Rule в «Yes» можно включить проверку
Subject Common Name и Subject Alternative Names сертификатов удаленных
систем на предмет совпадения имен. Вы можете разрешать или запрещать
доступ в зависимости от результатов.
Установка Media Encryption Mode в положение отличное от Auto (по
умолчанию) - Force Encrypted, Force Unencrypted, Best Effort. форсирует
замыкание трафика на VCS.
45. Использование Call Policy и CPL
Call Policy – правила обработки, выполняющиеся для каждого соединения,
позволяющие на основании информации о источнике и вызываемом адресе:
Проксировать вызов по назначению
Перевести/ разветвить вызов на другой адрес/набор адресов
Отклонить вызов
46. Использование Call Policy для предотвращения
доступа к PSTN (Toll Fraud)
Использование Call Policy для предотвращения
доступа к определенным адресам
47. Отключение анонимного вызова
SIP cервер, в случае ошибки запроса на соединение, отправляет одно из
следующих сообщений:
401 Unauthorized — несанкционированный доступ (только серверы
регистрации);
404 Not Found — пользователь не найден;
404 Unknown user account — неизвестный логин и пароль;
407 Proxy Authentication Required — требуется авторизация для прокси-
сервера.
Сканеры, определяющие расширения, анализируют эти ответы и таким
образом выясняют, какие расширения доступны, впоследствии взломщик
может попробовать подобрать к ним пароль, что, кстати, может заметно
нагрузить сервер.
$ ./svwar.py -force -e100-1000 192.168.1.1 m REGISTER
Но можно усложнить злоумышленнику задачу, заставив сервер выдавать
одну и ту же ошибку (401 Unauthorized или 403) во всех случаях.
48. <?xml version="1.0" encoding="UTF-8"?>
<cpl xmlns="urn:ietf:params:xml:ns:cpl" xmlns:taa="http://www.tandberg.net/cpl-
extensions" xmlns:xsi="http://www.w3.org/2001/XMLSchema-
instance" xsi:schemaLocation="urn:ietf:params:xml:ns:cpl cpl.xsd">
<taa:routed>
<!-- This CPL is intended to block scans / call attempts from asterisk@.* and 100@1.1.1.1 --
>
<!-- changes / addons might be needed in your setup -->
<taa:rule-switch>
<taa:rule unauthenticated-origin="asterisk@.*" destination=".*"><reject
status="403"/></taa:rule>
<taa:rule unauthenticated-origin="100@VCSEIP" destination=".*"><reject
status="403"/></taa:rule>
<taa:rule origin="asterisk@.*" destination=".*"><reject status="403" /></taa:rule>
<taa:rule origin="100@VCSEIP" destination=".*"><reject status="403" /></taa:rule>
</taa:rule-switch>
</taa:routed>
</cpl>
Использование CPL для болокирования не
аутентифицированных вызовов (сканирования)
49. Защита от атак VCS Expressway
Встроенный Firewall Expressway
Динамические системные правила-
Правила обеспечивающие поддержание установленных соединений/сессий,
автоматическое блокирование атак, и правил loopback интерфейса
Не конфигурируемые правила – правила необходимые для работы системных протоколов
(SNMP, h323 и т.д.)
Пользовательские правила – все правила конфигурируемые вручную. Последнее в цепочке
– разрешить весь трафик на интерфейс VCS LAN1 и LAN2
Можно использовать для:
Запрещать или разрешать трафик определённого типа в зависимости от принадлежности
к той или иной сети IP.
Запрещать или разрешать известные сервисы.
Задать разные правила обработки трафика для внутреннего и внешнего интерфейсов
VCS
Примечание: Трафик, являющийся ответом на установленные соединения всегда
разрешен.
52. Мифы
Это никому не нужно, поэтому этого
никогда не произойдет
Для проведения атак необходимы
труднодоступные (дорогостоящие)
инструменты, высокопроизводительное
оборудование, высокоскоростной канал
Телекоммуникационное оборудование
всегда хорошо защищено
Что бы прослушать VoIP переговоры
необходим физический доступ к линии,
сети, коммутатору.
53. При подготовки презентации использованы материалы:
http://www.securitylab.ru
http://xakep.ru/
http://www.cisco.com/c/en/us/td/docs/voice_ip_comm/uc_sys
tem/design/guides/videodg/vidguide/security.html