close

Вход

Забыли?

вход по аккаунту

- Cisco Connect

код для вставкиСкачать
Основные уязвимости и методы защиты
оборудования и ПО
видеоконференцсвязи
Консультант по технологиям для совместной работы
Сергей Юцайтис
11/26/14
© 2014 Cisco and/or its affiliates. All rights reserved.
Почему я обеспокоился
вопросами безопасности? = >
Cisco Connect 2014 - Киев
DOS атаки – наиболее опасны и просты
•  Что такое DoS?
•  Какие ресурсы могут быть атакованы
•  Как минимизировать риск
DoS (от англ. Denial of Service — отказ в обслуживании)
Нехватка ресурсов может стать причиной отказа в работе любого
оборудования, в том числе телефонов и кодеков.
Проблемы могут возникнуть в случает перегрузки CPU, оперативной
памяти, отсутствия свободного дискового пространства, полосы
пропускания и т.д.
Наихудшая ситуация – когда оборудование оказывается не
работоспособно до перезагрузки, поэтому нехватка свободных
циклов CPU обычно приводит к срабатыванию сторожевого сервиса
(watchdog), который перегружает систему
Зачем они это делают?
Аспирант:
С целью
обучения – мне
интересно
посмотреть как
поведет себя
сеть при работе
моего сканера, с
использованием
не стандартных
пакетов.
Исследователь
уязвимостей:
Я делаю это что
бы заставить
производителя
закрыть все
возможные
уязвимости.
Недовольный
работник:
С помощью DoS
я предотвращаю
логирование
изменений,
которые я
сделал на
сервере
биллинга
Финансовые
возможности:
Я провела DoS
атаку на сеть
моего сервис
провайдера, что
бы выставить
ему штрафные
санкции
вследствие
потери
гарантированног
о им SLA.
Месть:
Этот интернет
магазин
(компания) нас
надувает – я
сделаю их сайт,
сервис
недоступным.
Cisco SX20 – современный высокопроизводительный
телепрезенс кодек с поддержкой кодирования/декодирования
потоков h264 1080p60 битрейта вплоть до 6Mbps
Cisco SX20 – построен на базе SoC Ti - Netra
RAM
FLASH
Netra
Input / Output
HWmon
Архитектура Netra
TI Netra Chip
ARM Cortex
A8 subsystem
(appl+ GUI +
linux+
Vcontroller)
DSP
subsystem
(audio)
Video /
Display I/O
VPSS
(scale/
compose)
HD VICP
(Vcodec)
3xIVA HD
H264
dec/enc)
Bus / SCR
Peripherals / Connectivity / System / Storage
Для выполнения вычислений общего назначения Netra
использует CPU архитектуры Cortex A8
Сервисы запущенные по умолчанию
Source Direc*on Port Protocol Service Codec Inbound 21 TCP FTP Codec Inbound 22 TCP SSH Codec Inbound 23 TCP Telnet Codec Outbound 53 TCP DNS Codec Outbound 69 UDP CUCM File sharing Codec Outbound 68 TCP DHCP Codec Outbound 123 UDP NTP Codec Outbound 161 UDP SNMP Codec Outbound 514 UDP Syslog Codec Inbound 80 HTTP HTTP Codec Inbound 443 HTTPS HTTPS Codec Outbound 1719 UDP Gatekeeper RAS Codec Inbound 1720 TCP Gatekeeper Q.931 Codec Inbound/Outbound 5060 TCP/UDP SIP Listen port Codec Inbound/Outbound 5061 TCP SIP TLS Codec Inbound/Outbound 2326-­‐2487 UDP RTP / RTCP Codec Inbound/Outbound 5555-­‐6555 TCP H.245 (H.323) Codec Inbound/Outbound 11000-­‐20999 UDP RTP / RTCP Сетевые сервисы
Systemtools network netstat
CDP, UDP, DNS, TCP, SNMP..
Атака на сетевые сервисы и
протоколы (стандартные и
специфичные для Cisco)
•  Насколько надежен CDP стек
относительно других протоколов?
Сегодня не известно реальных уязвимостей
протокола, однако известны уязвимости,
вызванные ошибками при его имплементации
•  Однако CDP:
Включен по умолчанию
Не защищен щифрованием
Может привести к утечкам информации о
сетевой топологии, iинтерфейсах, версиях ПО и
т.д.
Формирует таблицы, которые могут быть
прочитаны из SNMP или telnet сессий, даже если
CDP не включен на “Публичных” интерфейсах
Атака на UDP порты
•  DoS уязвимость, позволяющая не
аутентифицированному
удаленному злоумышленнику
вызвать не хватку CPU ресурсов.
•  Уязвимость связана с перегрузкой
системы, вследствие приема
большого числа пакетов на не
используемые UDP порты, чем
может быть вызвана не
доступность графического
интерфейса пользователя (GUI) и
отказ голосовых сервисов.
iptables hashlimit of 4000:25/second:all
CPU
Решение: For ephemeral UDP port ranges 32768:61000 and 24576:32767
Атака на уязвимости TCP протокола
•  TCP SYN Attacks
Атака основывается на уязвимости ограничения ресурсов операционной
системы для полуоткрытых соединений
•  TCP Reset Attacks
Атака TCP Reset, «фальшивые TCP Reset», «сбросы TCP», «спуфинг пакетов
TCP reset» — способ манипулирования интернет-соединениями
•  TCP ACK Attacks (ACK-Storm DOS attack)
Атака методом усиления или отражения
(amplification, reflection) с помощью видеосистем
Потенциально может быть проведена с использованием любого IP
протокола в котором относительно небольшой запрос вызывает ответ
большего размера.
Было проведено большое количество атак с использованием
сервисов DNS, NTP, SNMP и т.д.
Одна из самых известных SNMP атак, например, проведена хакерской
группировкой «TEAMPOISON» и заключалась в отсылке SNMP
GetBulk запроса на публично доступные устройства с включенными
SNMP сервисами. Ответы, по объему трафика превзошли в 1700 раз,
инициировшие их запросы. Атакующие использовали в качестве
исходящего порта – порт 80, и ответы, в свою очередь, были посланы
на порт 80, что вызвало отказ в обслуживании http сервиса жертвы.
snmp service attack
10:54:14.825699 IP (tos 0x0, ttl 51, id 51737, offset 0, flags [+], proto UDP (17), length 1500) 144.41.13.241.161 > 70.42.74.x.1050: UDP, length 1514
0x0000: 4500 05dc ca19 2000 3311 6998 9029 0df1 E.......3.i..)..
0x0010: 462a 4a1b 00a1 041a 05f2 98d2 3082 0042 F*J.........0..B
0x0020: 0201 0004 0670 7562 6c69 63a2 8200 3302 .....public...3.
0x0030: 041a 9ea8 6002 0100 0201 0030 8200 2330 ....`......0..#0
0x0040: 8200 1f06 082b 0601 0201 0105 0004 1355 .....+.........U
0x0050: 484f
HO
англ. Simple Network Management
Protocol — простой протокол сетевого
управления) — стандартный интернетпротокол для управления устройствами в
IP-сетях на основе архитектур TCP/UDP
10:54:14.830576 IP (tos 0x0, ttl 51, id 51738, offset 0, flags [+], proto UDP (17), length 1500) 144.41.13.241.161 > 70.42.74.x.1050: UDP, length 1514
0x0000: 4500 05dc ca1a 2000 3311 6997 9029 0df1 E.......3.i..)..
0x0010: 462a 4a1b 00a1 041a 05f2 98d2 3082 0042 F*J.........0..B
0x0020: 0201 0004 0670 7562 6c69 63a2 8200 3302 .....public...3.
0x0030: 041a 9ea8 6002 0100 0201 0030 8200 2330 ....`......0..#0
0x0040: 8200 1f06 082b 0601 0201 0105 0004 1355 .....+.........U
0x0050: 484f
HO
10:54:14.833126 IP (tos 0x0, ttl 51, id 51739, offset 0, flags [+], proto UDP (17), length 1500) 144.41.13.241.161 > 70.42.74.x.1050: UDP, length 1514
0x0000: 4500 05dc ca1b 2000 3311 6996 9029 0df1 E.......3.i..)..
0x0010: 462a 4a1b 00a1 041a 05f2 98d2 3082 0042 F*J.........0..B
0x0020: 0201 0004 0670 7562 6c69 63a2 8200 3302 .....public...3.
0x0030: 041a 9ea8 6002 0100 0201 0030 8200 2330 ....`......0..#0
0x0040: 8200 1f06 082b 0601 0201 0105 0004 1355 .....+.........U
0x0050: 484f
HO
SNMP включен по умолчанию
на терминалах ВКС от Cisco
Как предотвратить использование SNMP сервисов
публичных видеосистем злоумышленниками
1. 
2. 
3. 
4. 
Блокировать любой не аутентифицированный доступ к SNMP (порт 161
UDP)
Использовать CommunityName отличный от “public”, желательно такой,
который не может быть просто подобран
Отключить SNMP сервис, если он не используется (SNMP использовался
TMS для мониторинга и получения статуса MXP-кодеков. Для современной
линейки видеосистем и серверов в нем нет необходимости.)
SNMP нужен для правильной работы Collaboration Prime Assurance
Атака на протоколы методом усиления- SMURF
Router
To: 1.1.1.255
From: 9.9.9.9
Echo Request
Ха-ХА на
самом
деле я не
9.9.9.9!
Device
1.1.1.2
Device
1.1.1.3
Device
1.1.1.4
To:
9.9.9.9
To:
.9
9.9.9
Device
1.1.1.6
Device
1.1.1.7
Device
1.1.1.8
Device
1.1.1.9
To:
9.9.9.9
Echo
Reply!
Echo
Reply!
To:
9.9.9.9
To:
9.9.9.9
To:
9.9.9.9
T
Echo Ec 9.9.o9.:9
ho
Reply! Re
p
Echo
ly!Echo
Rep
Reply!
ly!
Жертва
9.9.9.9
Device
1.1.1.254
Каждое
устройство
отвечает на
адрес
жертвы
To:
9.9.9.9
Echo
Reply!
o
Ech y!
l
Rep
Device
1.1.1.5
Атака на протоколы управления
(telnet, ssh, http, https; логины и пароли по умолчанию (admin и root))
http://www.polycom.co.uk/content/dam/polycom/common/documents/brochures/hdx-3112-securityfixes-br-enus.pdf
Уязвимость телнет сервера, позволяющая получить доступ к командной строке не
авторизованному пользователю - http://www.exploit-db.com/exploits/24494/
Эскалация привилегий пользователя сессии командной строки (Command Shell)
Polycom Recommended Mitigation: Блокирование к telnet, до модернизации ПО на версию с
внесенными исправлениями
Многочисленные уязвимости продуктов Polycom http://www.iss.net/threats/advise130.html
http://www.cisco.com/c/en/us/support/docs/csa/cisco-sa-20101206-cuvc.html
Многочисленные уязвимости в старых Cisco UVC ВКС (OEM) серверах –
Не изменяемые, системные учетные записи и пароли, возможность встраивания командных
конструкций в запросы Web сервера, применение не стойкий к взлому алгоритмов при
кодировании файла с пользовательскими аккаунтами и паролями.
Cisco Recommendation: Выключение не используемых сервисов, предоставление доступа к
Web сервисам только для доверенных (аутентифицированных) хостов.
Атака на VoIP сервисы
Установление
соединения в h323, под
управлением Gatekeeper
Установление соединения в SIP – запрос соединения
на ip адрес терминала
DOS атака может быть использована в составе более
сложных и комплексных атак на VoIP и другие сервисы, но и
сама по себе опасна.
https://www.youtube.com/watch?v=VfJ1tTGjyS0
Схема атаки
Интернет
Общее
пространство
публичных IP
адресов
IP1:5060 (UDP)
Смотрим под каким IP
мы видны в Internet,
сканируем соседние
адреса на предмет
открытых VoIP сервисов
IP2:5060 (UDP)
NAT
Делаем тестовый
вызов (SIP Invite).
В нужный момент –
организуем SIP invite
шторм.
Публичный WiFi
Тестирование уязвимостей
AppScan
ise
ost
h
o suit
h
s
on,
© Copyright IBM Corporation 2012
IBM Corporation
Software Group
Route 100
Somers, NY 10589
Produced in the United States of America
Обнаружение
уязвимостей протоколов
June 2012
IBM, the IBM logo,на
ibm.com,
AppScan, Proventia, and Rational are
Скрипты
высокоуровневых
языках
trademarks of International Business Machines Corp., registered in
many jurisdictions worldwide. Other product and service names might be
программирования
trademarks of IBM or other companies. A current list of IBM trademarks
is available on the web at “Copyright and trademark information” at
Perl
Подсеть из 256 адресов svmap из набора инструментов
SIPVicious сканирует за 2-3 секунды.
| SIP Device
| User Agent
--------------------------------------------------------------------| 10.100.1.82:5060 | unknown
| 10.100.1.128:5060 | TANDBERG/521 (TC7.2.0.aea6651)
| 10.100.1.165:5060 | TANDBERG/520 (TC7.1.2.a996098)
| 10.100.1.62:56968 | unknown
| 10.100.1.228:5060 | unknown
| 10.100.1.64:5060 | TANDBERG/4129 (X8.1)
| 10.100.1.32:58270 | unknown
| 10.100.1.104:5060 | TANDBERG/521 (TC7.2.0.aea6651)
| 10.100.1.61:5060 | unknown
| 10.100.1.250:64580 | Cisco-SIPGateway/IOS-12.x
| 10.100.1.63:5060 | TANDBERG/4129 (X8.1)
| 10.100.1.62:35935 | unknown
| 10.100.1.31:5060 | unknown
| 10.100.1.125:5060 | TANDBERG/520 (TC7.1.4.908e4a9)
| 10.100.1.67:5060 | TANDBERG/4129 (X8.1.1)
| 10.100.1.36:5060 | MediaSense/10.x
Сканирование портов и сервисов
Nmap
•  Сканер сети и тестирование защищенности/ сканер
портов
Amap
•  Сканирование IP портов для обнаружения сервисов
•  Обнаружение сервисов на не стандартных портах
Xprobe
•  Удаленное определение ОС через ICMP
Сканирование Nmap (Zenmap)
ARP
BFD
BGP
CIFS
DHCP
DNS
FTP
GRE
H.323
HTTP
ICMPv4
ICMPv6
IGMP
PIM
Starting Nmap 6.47 ( http://nmap.org ) at 2014-09-30 12:57 MSK
NSE: Loaded 118 scripts for scanning.
NSE: Script Pre-scanning.
Initiating Ping Scan at 12:57
Scanning 10.62.16.42 [4 ports]
Completed Ping Scan at 12:57, 0.01s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 12:57
Completed Parallel DNS resolution of 1 host. at 12:57, 0.23s elapsed
Initiating SYN Stealth Scan at 12:57
Scanning 10.62.16.42 [1000 ports]
Discovered open port 22/tcp on 10.62.16.42
Discovered open port 554/tcp on 10.62.16.42
Discovered open port 80/tcp on 10.62.16.42
Discovered open port 443/tcp on 10.62.16.42
Discovered open port 23/tcp on 10.62.16.42
Discovered open port 1755/tcp on 10.62.16.42
Discovered open port 5060/tcp on 10.62.16.42
Discovered open port 5061/tcp on 10.62.16.42
Completed SYN Stealth Scan at 12:57, 0.47s elapsed (1000 total ports)
IKEv2
IPSec
IPv4
IPv6
RTP
SIP
IS-IS
L2TP
LDP
MGCP
MIPv6
NetBios
NHRP
XML
NTP Client
NTP Server
OSPFv2
OSPFv3
PPPoE
TACACS+
TLS 1.0/1.1
TLS 1.2
SNMPv2c
SNMPv3
EAPOL/EAP
H264-RTP
LDAPv3
XML File
SSH1
SSH2
RSVP
TCPv4
TCPv6
Telnet
X.509
RTSP
SCTP
SMB2
SMTP
RIP
SOAP
LDAPv3
Сканирование Nmap UDP и известных сервисов
Discovered open port 161/udp on 10.62.16.42
Discovered open port 123/udp on 10.62.16.42
Completed UDP Scan at 13:13, 992.52s elapsed (1000 total ports)
Scanning 26 services on 10.62.16.42
Discovered open port 5060/udp on 10.62.16.42
Discovered open|filtered port 5060/udp on 10.62.16.42 is actually open
22/tcp open
ssh
OpenSSH 6.5 (protocol 2.0)
ssh-hostkey:
1024 da:37:da:6e:88:48:ef:5f:71:5d:9e:e3:4e:6e:9a:27 (DSA)
23/tcp open
telnet
Linux telnetd
Сканирование Nmap портов 80, 443 - http, https
80/tcp open
http
nginx 1.5.8
http-favicon: Unknown favicon MD5: E19FDB47503248CA528DCCE82458B722
http-methods: No Allow or Public header in OPTIONS response (status code 302)
http-robots.txt: 1 disallowed entry
http-title:
Cisco Codec:
Sergey Yutsaytis Office EX60 EMEA ...
Requested resource was http://10.62.16.42/web/signin
443/tcp open
http
nginx 1.5.8
http-methods: No Allow or Public header in OPTIONS response (status code 400)
http-title: 400 The plain HTTP request was sent to HTTPS port
ssl-cert: Subject: commonName=Sergey-Yutsaytis-Office-EX60-EMEA/
organizationName=TemporaryDefaultCertificate
Issuer: commonName=Sergey-Yutsaytis-Office-EX60-EMEA/
organizationName=TemporaryDefaultCertificate
Public Key type: rsa
Public Key bits: 2048
Not valid before: 2014-07-08T07:10:38+00:00
Not valid after: 2034-07-03T07:10:38+00:00
MD5: 0853 8fc3 7d8a 29bd 5708 1aac 6a7c 5416
SHA-1: c895 79eb 36ef cad8 f7d8 0c21 5bcf 1cfd 45b9 aaf4
554/tcp open
rtsp?
|_rtsp-methods: ERROR: Script execution failed (use -d to debug)
1755/tcp open
tcpwrapped
5060/tcp open
sip
Tandberg-521 VoIP server TC7.2.0.aea6651
5061/tcp open
ssl/sip-tls?
67/udp open|filtered dhcps
68/udp open|filtered dhcpc
123/udp open
ntp
NTP v4
| ntp-info:
|_ receive time stamp: 2014-09-30T09:15:41
161/udp open
snmp
net-snmp
|_snmp-hh3c-logins: TIMEOUT
|_snmp-win32-shares: TIMEOUT
643/udp open|filtered sanity
776/udp open|filtered wpages
2223/udp open|filtered rockwell-csp2
5060/udp open
sip
TANDBERG/521 (TC7.2.0.aea6651) (Status: 200 OK)
16970/udp open|filtered unknown
20465/udp open|filtered unknown
21476/udp open|filtered unknown
25337/udp open|filtered unknown
29078/udp open|filtered unknown
35777/udp open|filtered unknown
41971/udp open|filtered unknown
50708/udp open|filtered unknown
54925/udp open|filtered unknown
61142/udp open|filtered unknown
Device type: general purpose
Running: Linux 2.6.X|3.X
OS CPE: cpe:/o:linux:linux_kernel:2.6 cpe:/o:linux:linux_kernel:3
OS details: Linux 2.6.32 - 3.10
Uptime guess: 0.091 days (since Tue Sep 30 11:04:44 2014)
Network Distance: 2 hops
TCP Sequence Prediction: Difficulty=263 (Good luck!)
IP ID Sequence Generation: All zeros
Service Info: OS: Linux; Device: VoIP adapter; CPE: cpe:/o:linux:linux_kernel
TRACEROUTE (using port 135/tcp)
HOP RTT ADDRESS
11/26/14
© 2014 Cisco and/or its affiliates. All rights reserved.
1 2.50 ms msc-wan-gw2-gig0-0-300.cisco.com (10.149.144.3)
2 4.43 ms 10.62.16.42
33
http://startrinity.com/VoIP/SipTester/SipTester.aspx
Версия ПО TC6.0 -январь 2013
SIP > ListenPort.
SIP ListenPort
Turn on or off the listening for incoming
connections on the SIP TCP/UDP ports. If
turned off the endpoint must be registered
with a SIP registrar to be reachable.
Requires user role: ADMIN
Value space: <On/Off>
On: Listening for incoming connections on
the SIP TCP/UDP ports is turned on.
Off: Listening for incoming connections
on the SIP TCP/UDP ports is turned off.
Example: SIP ListenPort: On
Типовые атаки на VoIP сервисы
«Классические» DOS атаки
DOS атаки уровня приложения ( SIP, h323 )
«Монетизируемые» атаки:
получения доступа–
Исходящие звонки на платные линии, продажа линии
СпамSPIT – spam over Internet telephony, VAM (voice/VoIP spam),
голосовой фишинг
Прослушка – подмена DNS, подмен arp записи (arp
spoofing), перехват SIP сессии (SIP registration hijacking)
К сожалению, защищенный режим не возможно включить одной
кнопкой, так же как не существует единого сценария..
Основные рекомендации и документы:
http://www.cisco.com/c/en/us/td/docs/voice_ip_comm/uc_system/design/guides/
videodg/vidguide/security.html
1. Ограничить доступ к сети и сетевой инфраструктуре (VLAN, VLAN access
control, 802.1Q и 802.1p, VLAN access control lists (VACLs))
2. Защищенная конфигурация устройств – использовать только защищённые
протоколы управления и администрирования (ssh, https), трудноподбираемые
административные и root пароли, ограничить физический доступ к устройствам и
устройств в зависимости от ассоциированных пользователей, использовать
шифрование сигнализации и медиа (В России не всегда возможно)
3. Интернет коммуникации осуществлять только через сервера VCS-E или
Expressway-E, желательно, защищенные NGFW (Next-Generation Firewall).
4. Своевременно обновлять ПО на серверах и терминалах
Все пользователи VCS могут обновиться до версии X8.2 не зависимо от наличия
сервисного контракта
http://www.cisco.com/c/en/us/support/docs/csa/cisco-sa-20141015-vcs.html
Шифрование голоса и видео c VCS
Внутри сети
(Intranet)
DMZ
Снаружи сети
(Публичный
интернет)
SIP Signaling
Media
«End to End»
шифрование
Expressway
шифрование
11/26/14
SIP Signaling
TLS
Media
SRTP
SIP Signaling
Media
TLS
TCP
TCP
RTP
© 2014 Cisco and/or its affiliates. All rights reserved.
TLS
TLS
SRTP
SRTP
TLS
TLS
SRTP
SRTP
39
Collab_Edge_Security_Design_V0.2_05272014
1. 
Рекомендуется устанавливать VCS за NAT роутером в DMZ.
(Публичный firewall можно использовать для блокирования
трафика на порты управления, вместо того чтобы делать это
встроенным firewall VCS –iptables )
Обязательно использовать аутентификацию
устройств/соединений
Использовать зональные политики регистрации,
аутентификации и шифрования
Политика аутентификации применяется VCS на уровнях
зоны и сабзоны. DNS и ENUM зоны не принимают
сообщений, поэтому не конфигурируемы.
Рекомендуется устанавливать Default SubZone
Registration Policy в «Deny». В этом случае необходимо
прописать правила для сконфигурированной локальной
сабзоны.
Политика шифрования для Default Zone
Установкой Default Zone Access Rule в «Yes» можно включить проверку
Subject Common Name и Subject Alternative Names сертификатов удаленных
систем на предмет совпадения имен. Вы можете разрешать или запрещать
доступ в зависимости от результатов.
Установка Media Encryption Mode в положение отличное от Auto (по
умолчанию) - Force Encrypted, Force Unencrypted, Best Effort. форсирует
замыкание трафика на VCS.
Использование политик запрета регистрации
(Allow List, Deny List)
Использование Call Policy и CPL
Call Policy – правила обработки, выполняющиеся для каждого соединения,
позволяющие на основании информации о источнике и вызываемом адресе:
Проксировать вызов по назначению
Перевести/ разветвить вызов на другой адрес/набор адресов
Отклонить вызов
Использование Call Policy для предотвращения
доступа к PSTN (Toll Fraud)
Использование Call Policy для предотвращения
доступа к определенным адресам
Отключение анонимного вызова
SIP cервер, в случае ошибки запроса на соединение, отправляет одно из
следующих сообщений:
401 Unauthorized — несанкционированный доступ (только серверы
регистрации);
404 Not Found — пользователь не найден;
404 Unknown user account — неизвестный логин и пароль;
407 Proxy Authentication Required — требуется авторизация для проксисервера.
Сканеры, определяющие расширения, анализируют эти ответы и таким
образом выясняют, какие расширения доступны, впоследствии взломщик
может попробовать подобрать к ним пароль, что, кстати, может заметно
нагрузить сервер.
$ ./svwar.py -force -e100-1000 192.168.1.1 m REGISTER
Но можно усложнить злоумышленнику задачу, заставив сервер выдавать
одну и ту же ошибку (401 Unauthorized или 403) во всех случаях.
Использование CPL для блокирования не
аутентифицированных вызовов (сканирования)
<?xml version="1.0" encoding="UTF-8"?>
<cpl xmlns="urn:ietf:params:xml:ns:cpl" xmlns:taa="
http://www.tandberg.net/cpl-extensions" xmlns:xsi="http://www.w3.org/2001/XMLSchemainstance" xsi:schemaLocation="urn:ietf:params:xml:ns:cpl cpl.xsd">
<taa:routed>
<!-- This CPL is intended to block scans / call attempts from xaker@.* and [email protected] -->
<!-- changes / addons might be needed in your setup -->
<taa:rule-switch>
<taa:rule unauthenticated-origin=”xaker@.*" destination=".*"><reject status="403"/></
taa:rule>
<taa:rule unauthenticated-origin="[email protected]" destination=".*"><reject status="403"/></
taa:rule>
<taa:rule origin=”xaker@.*" destination=".*"><reject status="403" /></taa:rule>
<taa:rule origin="[email protected]" destination=".*"><reject status="403" /></taa:rule>
</taa:rule-switch>
</taa:routed>
</cpl>
Защита от атак VCS Expressway
Встроенный Firewall Expressway
Динамические системные правила-
Правила обеспечивающие поддержание установленных соединений/сессий,
автоматическое блокирование атак, и правил loopback интерфейса
Не конфигурируемые правила – правила необходимые для работы системных протоколов
(SNMP, h323 и т.д.)
Пользовательские правила – все правила конфигурируемые вручную. Последнее в цепочке
– разрешить весь трафик на интерфейс VCS LAN1 и LAN2
Можно использовать для:
§ Запрещать или разрешать трафик определённого типа в зависимости от принадлежности к
той или иной сети IP.
§ Запрещать или разрешать известные сервисы.
§ Задать разные правила обработки трафика для внутреннего и внешнего интерфейсов VCS
Примечание: Трафик, являющийся ответом на установленные соединения всегда
разрешен.
Система автоматической защиты от атак – набор
категорий пре-конфигурирован
Правила безопасности для административного
аккаунта
Мифы
Это никому не нужно, поэтому этого
никогда не произойдет
Для проведения атак необходимы
труднодоступные (дорогостоящие)
инструменты, высокопроизводительное
оборудование, высокоскоростной канал
Телекоммуникационное оборудование
всегда хорошо защищено
Что бы прослушать VoIP переговоры
необходим физический доступ к линии,
сети, коммутатору.
При подготовки презентации использованы материалы:
http://www.securitylab.ru
http://xakep.ru/
http://www.cisco.com/c/en/us/td/docs/voice_ip_comm/
uc_system/design/guides/videodg/vidguide/security.html
Ждем ваших сообщений с хештегом
#CiscoConnectRu
Спасибо за внимание!
Пожалуйста, используйте код для
оценки доклада
3858
Ваше мнение очень важно для нас
CiscoRu
11/26/14
Cisco
© 2014 Cisco and/or its affiliates. All rights reserved.
CiscoRussia
1/--страниц
Пожаловаться на содержимое документа