12. téma Bezpečnost IP telefonie i Obsah 1. Taxonomie slabin a útoků 2. Řešení Cisco 3. Útoku na IP telefonii v LAN 1. Taxonomie slabin a útoků Jak to vlastně je ■ Voice/VolP systémy jsou zranitelné: ■ platformy, sítě, protokoly, aplikace-vše je zranitelné ■ k dispozici je množství nástrojů ■ výrobci posilují bezpečnost svých produktů ■ ale během jejich vývoje bezpečnost není hlavní kritérium ■ Naštěstí to není tak strašné, protože ■ IP telefonie je převážně používána uvnitř kampusů ■ omezené stimuly pro útoky ■ Přístup do veřejných sítí je stále založen na tradičních truncích ■ Hlavní zdroj útoků jsou aplikace ■ SIP trunking a UC mohou hrozby navyšovat (TDoS, harrasment, vishing...) 4 Kategorie útoků (https://gforgeinria.fr/docman/view.php/1766/6771/dl.l-full.pdf) sniiality 9 Integrity 9 Availability 9 Protocol 9 Implementation I Configuration Slabiny měřené podle odlišných metodik # Denial of Service # Remote control of device 9 Attack the user # Access to data # Access to services Taxonomie zdroje z předchozího slajdu 0 Social threats [1) % Eavesdropping, hijacking [2] I Denial of Service [3] # Service Abuse [4) # Physical Access [5) # Interruption of Services [6] Taxonomie Vol PSA 6 Jaké porty můžeme skenovat? ■ SIP používá UDP/TCP porty 5060 a 5061 ■ H.323 zařízení používají více portů, včetně TCP 1720, UDP 1719 - H.245-dynamická TCP - H.225.0 - Q.931 - Call Setup - TCP 1720 a RAS - UDP 1719 - Audio Call Control - TCP 1731 - RTCP - a RTP dynamické UDP ■ SCCP telefony (Cisco) používají porty UDP/TCP 2000-2001 ■ Unistim (Nortel) používají UDP/TCP 5000 ■ MGCP zařízení používají UDP 2427 Flooding (záplava, zahlcení) ■ Slabá místa - redukovaný hardware - neautentizované a neautorizované funkce - Útok - záplava pakety (SIP INVITE, OPTIONS...) - falešné pakety RTP - záplava běžných paketů (TCP SYN, ICMP...) ■ Účinek - degradace QoS - výpadek zařízení ■ Nástroje - Scapy, InviteFlood, lAXFlood, UDPFlood, RTPFlood, Sivus ■ Opatření - ochrana zařízení jádra sítě před externími útoky - omezení provozu VolP ve vybraných místech sítě Flood Amplification (zesílení záplavy) ■ Slabá místa - protokoly poskytující funkčnost bez autentizace - protokoly bez navazování spojení (UDP) ■ Útok - použití zdrojové adresy paketu oběti - v rámci dané funkčnosti poskytování více dat než je třeba ■ Účinek - zesilování záplav ■ Nástroje - Scapy, NetSamhain, Nemesis ■ Opatření - použití spojově orientovaných přenosů - autentizace zpráv - omezení provozu VolP ve vybraných místech sítě 9 Fuzzing (z Fuzz - US , polda, chlupatý) ■ Slabá místa - nezralé či slabé implementace protokolového zásobníku ■ Útok - posílání znetvořených zpráv na vstup zařízení ■ Účinek - výpadek koncových zařízení, někdy i jádra sítě - efektivní metoda pro identifikaci softwarových chyb ■ Nástroje - Sulley Fuzzer, ohrwurm (RTP) - PROTOS Suite (SIP, HTTP, SNMP) - NastySIP, Protos suitě, Asteroid, Fuzzy Packet... ■ Opatření - používat odolná a otestovaná zařízení Termín byl poprvé použit v roce1988 prof. Millerem z University of Wisconsin 10 Call Teardown (násilné přerušení spojení) Slabá místa Utok Účinek Nástroje - většina realizací protokolů používá nešifrované přenosy - pakety jsou nešifrované - lze monitorovat signalizační kanály - vkládání zpráv pro rozpojení: BYE (SIP), HANGUP (IAX) - rozpojení - SIP: Teardown, sip-kill, sip-proxykill - IAX: lAXHangup Opatření šifrování přenosů hlasu autentizace signalizace n Funkce fuzz ve SCAPY http://www. secdev. org/projects/scapy/doc/usage. html Python interpret předinstalovaný v Backtracku a Kali Linuxu (ke stažení na http://www.secdev.org/projects/scapy/) »> send(IP(dst="target")/fuzz(UDP()/NTP(version=4)),loop=1) Sent 16 packets. Podobné: nmap, hping, arpscan a tshark (řádkový příkaz Wiresharku). Pomocí SCAPY hledám základ pro BYE »> sip[7] .show () ###[ Ethernet ] ### dst= 00:Oe:08:dd:la:bd src= 00:01:02:la:8d:ab type= 0x800 ###[ IP ]### version^ 4L ihl= 5L tos= 0x0 len= 764 id= 0 flags= DF frag= OL ttl= 54 proto= udp chksum= 0x880e src= 86.64.162.35 dst= 192.168.0.215 options^ 11 ###[ UDP ]### sport= 5060 dport= 5060 len= 744 chksum= Oxbcdc ###[ Raw ]### load= 'SIP/2.0 200 OK\r\nVia: SIP/2.0/UDP 192.168 . 0 . 215 : 5060;b ranch=z9hG4bK-82 6b4f7;rport=50 60\r\nRecord-Route: \r\nFrom: "unob" ;tag=e3 bfc272 9667 92 8foO\r\nTo: ;tag=as48e6f2f4\r\nCall-ID: 92 3cae6e-7b8136c3@192.168.0.215\r\nCSeq: 102 INVITE\r\nUser-Agent: UNOB.C Z\r\nAllow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY\r \nContact: \r\nContent-Type: application/sdp\r \nContent-Length: 240\r\n\r\nv=0\r\no=root 9126 9126 IN IP4 86 . 64.162.35\ r\ns=session\r\nc=IN IP4 86.64.162.35\r\nt=0 0\r\nm=audio 19064 RTP/AVP 0 97 101\r\na=rtpmap:0 PCMU/8000\r\na=rtpmap:97 iLBC/8000\r\na=rtpmap:101 telephone-event/8000\r\na=fmtp:101 0-16\r\na=silenceSupp:off - - - -\r\n' >>> bye=sip[7] >>> raw=bye.getlayer(Raw) »> raw.load="BYE sip: ferda@unob.cz SIP/2.0" + raw.load[14:] >» packet=IP(src="86.64.162.35", dst="192.168.0.215" ) / UDP(sport=5060, dport=5060) / raw >>> send(packet) 13 Directory Enumeration (inventarizace adresáře) Slabá místa Utok Účinek Nástroje Opatření - neautorizované funkčnosti - protokol odpovídá jinak na platná a neplatná usernames - nezašifrované přenosy - aktivní: speciální zprávy - pasivní: odchyt zpráv registračního procesu - prozrazení jmen uživatelů - SIPCrack, enumlAX, SIPSCAN, NeWT Security Scanner, Retina Network Security Scanner, SAINT - šifrování signalizace - protokoly nesmí jinak odpovídat na platná a jinak na neplatná usernames Skenovací nástroje -NeWT Security Scanner enable NeWT Security Scan Tenable eWT Security Scanner J Ut Are your checks up lo date? | ■vS? HellSHWeWTorpufaiasea ffifWdinect foöJ of rhr larril S*turfly;h*tk Tenable NeWT 1*5) Welcome IÜ3 New Scan Task View Reports 15^1 C Other Options Address Book Is* anag Update Plugins See Also NeWT Help # Abo Scan in progress, 44 of 254 host(s) done. 19% Host being scanned Progress □ pen Ports Notes Warnings Holes 192.168,1.1 5% 3 4 0 0 192.168,1.22 1% 3 4 0 0 192.168,1.24 97% 3(99%) 4 0 5 192.168,1.27 72% 4 8 0 0 192.168,1.53 97% 7 9 0 1 192.168,1.23 97% 0 0 0 0 192.168,1.21 95% 5 10 0 0 192.168,1.25 6% 3(94%) 4 0 0 192.168,1.54 95% 3 3 0 0 192.168,1.51 96% 5 13 0 0 Pause; Stop Copyright @ 2003-2005 Tenable Network Security. All rights reserved Skenovací nástroje -Tenable NeWT Security Report i Ten able NeWT Security Report - Microsoft Internet Explorer Rle Bdie ŕls* fawntes Iools delp $BKk - J É B 6 ^'Search Fara-ltes -0 £J» 8 - ^' H tíř * A^fes ft (i It: //£ :£Äljrfi^%Zaii*l%203^ri^jte/TE^ 133029Jfllll .VfewJjfjKBLiSi .h*m#19i.l6e. 127 1 ' ' ■ 11- ...'!.. hnp (an/trft Li Pi.lt 15 "Juru fttp3 Lh Partis open Pli on ID : Í1Z1P O 4 web s era r is running or. inn pert PL on in: tana j* The --rrotr web ier*er trpe 19 : PaJycGin EauidPaint IP relcphanc HTTPd PLgri id : \Q 1 a 7 PiJi^Tl IP ! L1319 C'.:ii.I3V1:í.) U Partia open It is DK-iCilfl to dstermine Bns wcacttrafl ffltantr* rňmijtn ňoFt. DescnpUon: Ttw-jhiimLů hciít jriE.^friTfl an SCMPomtitamp request. Tľtí allows, an attacks* tů kfww Tře d rte Viich if set on- yů\ir rr-EiďiifHi ľha rtidv help hm id defeat all tour uire baled amthenLirdlran protKcJa ^oluLiwi : Nicer-owL the ItHť lime bia mu- PFi|ue*n (1"JJ, rf-iid tne ujLucIiu KMl* timrirtdrnp rcpli-ra pJHii: / cvss B*sd ícm : □ (*V:R/*f:l yftn:NR/:.:N/Ji:lvyi:NVfl:\] CHF: fUF-lll{»-fU?4 PJjnn id ; íd114 áj Tho- íflrrůh» hasris running Pcí>cflrn BaundPaint □> Fh&nt puun id : uaa ui hore í t^í rojte-rc-iD-dca =c-t*pan Vi2 1C3.1 123 an= irJľ.LuE.l.í? : ]Í2.1EŮ.1.2T. PJugji ID ; iJ2£4 t p turn to toe] j My ŕJnnipiJtnr Skenovací nástroje -Retina Network Security Scanner rity Scanner - EVALUATION VERS = File Edit View Tools Help Address: 192.168.1.120 Scan Template: Complete Scar▼ ^Start Audit Tasks £ Start Scan Modify Address Groups rr" Modifv Port Groups ^C1 Modify Audit Groups ^ Manage Credentials I Poris I Audits □ ptions Othei Places i d.co.b, Remediate IJT Reports Ö Options Select Targets Target Type: Job Nar I test Job Name Status Start Time End.. Data Source test Completed 2/22/20061:47:30 PM 2/22. C:\Program Files\eEye Digit... test |Aborted 2/22/20061:55:16PM 2/22. C:\Program FilesteEye Digit... test Aborted 2/22/2006 2:07:42 PM 2/22. C:\Program FilesKeEye Digit... n test Completed 2/22/20061:45:23 PM 12/22. C:\Program FilesKeEye Digit... ■ Ping Response Host Responded Average Ping Response 8 ms Time To Live 64 Traceroute 192.168.1.27 — □ Audits ■ ♦ IP Services ICMP Timestamp Request | Machine Domain Name unknown | OS Detected Cisco 11151 /Arrowpoint 150 load balancer OS Detected Neoware [was HDS] NetOS V. 2.0.1 OS Detected HP ENTRIA C3230A Closed TCP Ports 65532 Filtered TCP Ports 1 ~ Open TCP Ports 2 ~ Closed UDP Ports 1409 Open or Filtered UDP Ports G412G □ Ports TCP: 80 WWW-HTTP ■ World Wide Web HTTP (Hyper Tent Transfer Protocol] TCP: 5060 Unknown Port ■ Processes es: ICMP Timestamp Re Description: Admin Rights Required: ICMP Timestamp request is allowed from arbitrary hosts. No Low For information on how to protect against this vulnerability, upgrade to the full version of Retina. CVE-1999-0524_ 17 Skenovací nástroje - SAINT File Edit View Go Bookmarks Tools Window Help ^ ^ http://domain2:32775/5277c8c9bGc660ee44e658U^ ] ^ 1-'—'y_J Print Reload Stop ^Horne -^Bookmarks ^Red Hat, Inc. Red Hat Network _jSupp Training MINT* Examine. Expose. SAINT data collection Data collection In progress... Maximum concurrent probes = 1 0 Running fping -f hosts_to_fping (maximum 120 seconds) Running dns. saint 192.1 68.1.27 (maximum 45 seconds) • Running ostype. saint 1 92.1 68.1.27 (maximum 120 seconds) • Running tcpscan.saint 1 0008; 1 0202; 1 0203;12754;1 3701; 1 3722; 14247; 151 04,1 6660,20031:20432:21 700,25702,27374,27665,32766,33270,33567,33568,3601 0,36794,41 080:41 523:428 192.1 68.1.27 (maximum 1 250 seconds) Running rpc.saint 1 92.168.1.27 (maximum 45 seconds) ^ Running ddos.saint 192.168.1.27 (maximum 45 seconds) • Running adore, saint 1 92.1 68.1.27 (maximum 45 seconds) • Running udpscan. saint 1-19,53.67-69,111,123.137-139,161 -1 62,177.1434,1812,1900,3401,5060,5135,5632,7777,8999,9900,17185,20-52,54-66,70-110,112-1 22.124-136,140-1 60,163-1 192.168.1.27 (maximum 120 seconds) ^ Processing data • Processing data • Running oracle.saint -u "" 5060:TCP 192.168.1.27 (maximum 45 seconds) • Running proxy, saint http-connect http 1 92.168.1.27 (maximum 45 seconds) • Running Sybase, saint -u sa 5060 TCP 192.168.1.27 (maximum 45 seconds) • Running http. saint -u "" -x 0/cgi-bin/http 192.168.1.27 (maximum 360 seconds) • Running http. saint -u "" -x 0 / http 1 92.168.1.27 (maximum 360 seconds) Running http. saint -u "" -x 0 .■'scripts:''http 192.1 68.1.27 (maximum 360 seconds) • Running tcp_reset. saint 5060:TCP 192.1 68.1.27 (maximum 45 seconds) -isW Transferring data from domain2. Cain Abel: Sniffer, Password cracker http://www.oxid.it/ca_um/ 1 J— -inlxi aiq File View Configure Tools Help /-■-* /*\ + CHHLL CHHLL ISÜ) UV MTLM 5PDDF 5PDDF '<_1 «_r fluTH BE5ET HTLH j+ ® Sä BH _] n ü w s o *3s S IL Decoders Network Sniffer | ^/ Cracker | ^ Traceroute CCDU | ß Wireless Cached Passwords ■gflf Protected Storage LSA Secrets ■■gfl Wireless Passwords IE7 Passwords ■ _3 Windows Mail Passwords ■■■^j Dialup Passwords -I™ Edit Boxes ■■■'ffift Enterprise Manager Credential Manager http://www, oxid.it Press the + button on the toolbar to dump Credential Manager Passwords A A A A A * G711 uLaw, G771 al_aw5 ADPCM, DVI4, LPC, GSM610, Microsoft GSM, L16T G729, Speex, il_B and my understanding is that it is 19 Caller-ID Name Disclosure (získání jména volajícího) ■ Slabá místa - přístup k Caller-ID Útok - falešná identifikace volajícího Účinek - prozrazení jména volajícího ■ Nástroje - www.fakecaller.com, www.iax.ee, www.spoofcard. ■ Opatření - kontrola, jaké jméno je s číslem asociováno Configuration Disclosure: Device (odhaleni zařízení) Slabá místa Utok Účinek ■ Nástroje ■ Opatření - řiditelné rozhraní hardphonů - debugging - port 80, SNMP, debugger - zjištěni - tcpkill - raději obnovu relace než reboot 21 Configuration Disclosure: Infrastructure (odhaleni infrastruktury) ■ Slabá místa - většina hardphonů používá pro bootování FTP nebo TFTP - FTP není bezpečný a TFTP je na tom ještě hůře Útok - rekonstrukce konfigurace Účinek - odhalení citlivé informace (jméno uživatele, heslo, služby, server, brána, registrační server ■ Nástroje - Wireshark, TFTP-Bruteforce, dedukce... ■ Opatření - nepoužívat TFTP, FTP je lepší, ale ne zase tak o tolik © - nepoužívat defaultní jména souborů 22 Útok Účinek Nástroje ■ Opatření Management Interface XSS - zařízení nechrání web s jeho slabinami - lze si zobrazit jeho logy - vložený XSS kód - vykonání kódu Cross-Side-Scripting - jakýkoliv zařízení VolP s uživatelsky konfigurovatelným zobrazováním polí - pokud není potřebné, je třeba webové rozhraní vypnout ■ Slabá místa 23 A řada dalších... ■ odchyt zpráv na médiu ■ falešná komunikace (RTPInsetSound, RTPMixSound, RTPInject) ■ změna komunikace (SteganRTP atd.) IP phone reboot ■ Slabá místa - SCCP běží na TCP, který je citlivý na reset, telefon pak dělá plný reboot Útok - vložení paketu RST do signalizačního kanálu Účinek - služba je během rebootu nedostupná - telefon rebootuje i po záplatě od Cisco ■ Nástroje - tcpkill ■ Opatření - raději obnovu relace než reboot 25 2. Řešení Cisco Vývoj Cisco Unified CallManagera ■ 1998, akvizice mladé společnosti Selsius Systems ■ 2000 verze 3.0 ■ 2001 verze 3.1 ■2004 verze 4.0 a 4.1 ■ 2006 verze 4.2 (Unified) a 5.0 ■ 2007 verze 4.3 (Windows) a 5.0 (Linux) ■ 2007 verzi 6.0 (Linux) ■ 2008 verze 7.0 ■ 2010 verze 8.0.1 Šifrování hlasu od verze 4.0, od verze 5.0 i konfigurační soubory EnlEf prut P d ni meter.: CMiHgvatJvn- Par*n>rt»rNfl^r Prahly a.id Pl-úiir Oj >egn twtp Dar te rŕJjjratĽin * MaxrAjmbaTQf Deuoa LhucH Trjca * DBCPfůi Fliůi^-baal Sarvioss » TFTP EncfwtarJCaťiŕiŕrJťaboŕi ■ PSCFrnr Cikd Cdlhlan-Mcr tn pgvirja Cůriiarjfjn Monitor Durattan T ' jTjď" leairtr-itipr. Phpng Propral 1 [šččp- 12 CteňultDSCP[DOaKiDJ "3 CE3(rracedBn[saj DECPCOiianoj "^J CSSIprecedcncoa) DECPrJilirjDrj) 12U ECCP abled šifrovaný konfigurační soubc Kvalitní algoritmus: AEC-128-CBC Autentizací proti hrozbám • modifikace signalizace mezi telefonem a CCM • útoky typu MITM • útoky na identitu zařízení a serverů Kvalitní algoritmus: HMAC-SHA-1 • podpis obrazů firmware od CCM 3.3(3) • podpis konfiguračních souborů od CCM 4.0 Certifikáty • nesmazatelné tovární certifikáty telefonů • lokálně významné certifikáty • certifikáty telefonů jako proxy funkce - vytváří seznamy CTL • certifikát HTTPS zajišťující autentizaci mezi MS a prohlížečem klienta • sebou podepisovaný certifikát CCM; součást identifikace serveru • certifikát bezpečného řešení náhrady výpadku spojení mezi telefonem a CCM Kvalitní algoritmus pro podpis: RSA Použité kryptografické algoritmy TLS (Transport Layer Security) mezi CCM a IP telefony: • RSA pro podpisy • HMAC-SHA-1 pro autentizaci • AES-128-CBC pro šifrování AES-128-CM pro šifrování SRTP (Secure RTP) mezi IP telefony: • HMAC-SHA-1 pro autentizaci Co není zapotřebí - je třeba vypnout ■ vypnutí nastavení přístupu ■ vypnutí nastavení PC Portu ■ vypnutí přístupu k PC Voice VLAN ■ vypnutí nastavení gratuitous ARP " falešné ARP odpovědi, generuje je např. ettercap či dsniff ■ vypnutí webového přístupu Zodolnění sítě pro hlasovou službu • Oddělení hlasových a datových VLAN a nastavení ACL pro každou VLAN • Ochrana jednotlivých portů povolením MAC adres před tzv. IP a MAC spoofingem • Ochrana před P2P provozem a hrami pomocí tzv. scavenger-class provozu (mapuje se do DSCP CS1) • Ochrana před útokem MITM neautorizovanými DHCP odpověďmi (DHCP Snooping) • Ochrana před útokem MITM falešnými ARP odpověďmi Zodolnění IP telefonu Podepsané konfigurační soubory a firmware, vypnutí všeho zbytného -► -► 5 b oj re shell Information Secure Shell User SBcurg shell Password! — Product Specific Configuration- £1 Disable Speakerphone Fl Disable Speakeiphone and HEadset PC Purt * 5 Ettings access * Gratuitous ARP * PC Vmce VLůM ŮCCS5E Web Aecbee " span to PC Part ** Larjaina Display *" Disabled d Restricted d [Disabled- J Dizahlsd i Disabled * Disabled 1 Disabled -I Windows: 80 % útoků vede přes IIS _(verze 4.3)_ Lib ft-Jn in i bervlcje Prrjpu Ui_i tLocnl Camputs') Ganw-al | Log Qn | Recuvery | Dependences | Servlca narna: IISADMiN QoTci-pbDn JAIúvjů acknhtstrjtiůn ůl Wůh ind FTP iůr-.Mijaa tkiiúugl-i Put, tD íHC-zutabfc-: p WIN NT V5jí3b=ni3GMrTohr;i¥^rnjrinlD.cí(c Start up hrpe- Strvcjc stůlui: f Slůpped ňl-ait | ji. j. li V nu ca-, specifjí tht st-ait ps-a-nclens Ihrt apprť when jjdu rt-ait Unc 3 chvící fram herc Starr párdrrjatere: OK Cancd Problém web přístupu k IP telefonu Mnoho cenných informací a vypnout to jen tak nejde (ztráta aplikací na bázi XML) Ciiíd Stihni Netmirk Cunfiguriitioii Cíím Syaems. Lll. D? rii*me CP-ľMO *Er0M0!)4C25E7O "> DHCTEpftof W27.15J .vťi-\u:k ĽuĽf. ují utLuci BOOTFEeiw No Títrwcnt Siidiťíi MAC AdfreH MBCrí4C35E10 ÍLhernet TTixt TŤamt SEPOO[HB4CÍ£E70 Port L iNetworkJ Port 2 (Access) 10.37-13^7 Port l (Phr-ňD SobiuptMod; ÍH 155.155 0 Uíwiťe Log? TFTF Smetl UU7.UJ1 TVbuí Display Dtf&uk Rouitr W27.15J i läack Statosbci i ACL umožňující komunikaci mezi IP telefonem a serverem pouze přes port 80. Aktivace potřebných služeb (verze 5.0) CISCO Cisco Unified Serviceability For Cisco Unified Communications Solutions A=-~i Iraoe r Tools r Service Activation Set to Default 1£% Refresh 1^ 5tatus ^Status : Ready - Select Server- Server* Check All Services 10.1.1.1 GO CM Service s J Service N-ume J Activation St F Cisco CallManager Activated Cisco TFtp Activated □ Cisco Messaging Interface Deactivated Cisco Unified Mobile Voice Access Service Activated E Cisco IP Voice Media Streaming App Activated W Cisco CTIManager Activated ' Komunikace s aplikacemi přes CTI, TAPI, JTAPI - šifrovaná a autentizovaná za pomocí certifikátu Nové bezpečnostní vlastnosti Call Manageru 5.0 (r. 2006) • TLS pro autentizaci a šifrování přenosu s SIP telefony • SRTP pro komunikaci mezi SIP telefony a s bránou MGCP • IPSec pro tunelování k branám s lOSem • SSL pro dotazy na adresář LDAP • HTTPS rozhraní místo HTTP; možnost generovat a rušit certifikáty • hostující firewall • Automaticky instalovaný Cisco Security Agent • rychlé resety hesla (rychlý - bez obtěžování admina, bezpečný - bez přerušení služeb) • bezpečnostní profily telefonu s protokolem SIP, SCCP či trunkem • příjem dátumu a času od NTP serveru a jejich další výdej • rozdělení uživatelů do základní a pokročilé skupiny • různé administrátorské účty zaručující pružnost řízení přístupu • vypnutí po třiceti minutách pasivity Klíčové nové či vylepšené bezpečnostní vlastnosti verze 7.1(2) • auditní logy • H.235 (např. MIKEY pro klíčový management SRTP) • 802.1 x EAP-FAST/TLS (RFC 4851) místo EAP-MD5 (RFC 3847) • Trusted Relay Point Auditní logy ■-ii.il-. CISCO Cisco Unified CM Administration For Cisco Unified Communications Solutions System ^ Call Routing *- Medio Resources Voice Mau ▼ Device ▼ Application t User Management Role Configuration |-Role Information- Application* Cisco Call Manager Serviceability Name* (standard Audit Log Administration! Description Service-ability Audit Log Administration ■-Resource Access Information- Alarm Configuration: web page Alarm Definition wet> page Audit Configuration Audit Trace CDR Management Privilege □ read update n resd n update □ read □ update 0 read 0 update 0 read 0 update □ read □ update novinka pro externisty H.235 (CUCM se da nastavit jako pass-through) Gateway Configuration Icrc I < None -- j Save ^ delete [Q Copy ®j) Reset £ Apply Con fa cQa Add New Lo cati on * | Hub_Nc AAR Group Tunneled Protocol* QSIG Variant* ASN.l ROSE DID Encoding* Use Trusted Relay Point* Signaling Port* TJ None No Changes "3 No Changes Default ~3 11 1720 E Media Termination Point Required Retry Video Call As Audio P Wait for Far End H.245 Terminal Capability Set l"~ Path Replacement Support I- Transmit UTF-3 for Calling Party Name E SRTP Allowed - When this Flag is checked, IPSec needs to be configured in the network to provide end to end seci infjflUllitiufT-—~—" P H.235 Pass Through Allowed p Multilevel Precedence and Preemption (MLPP) Information- 802.1 x EAP-FAST/TLS 23 54 01/21/09 1000 Status Messages 23:54:08 802.lXAuthentication: Successful - EAP-TLS Viewéfô K - Clear | " Exit j TLS zabezpečuje šifrování, autentizaci a kompresi, autentizace může být i vzájemná, nejen klienta vůči serveru Trusted Relay Point (trusted VLAN traversal) < None > <■ None > < None > Default Default Location* |siteA AAR Group User Locale Network Locale Built In Bridge* Privacy* Device Mobility Mode* Owner User ID Phone Load Name Join Across Lines Use Trusted Relay Point* BLF Audible Alert Setting (Phone Idle)* BLF Audible Alert Sfittinn fPhnnp Default _ Current Device Mobility Settings <■ None > Default On Default Default 3 "3 "3 3 3 3 r I View 3 "3 3] "3 "3 Virtuální směrovače propojují datovou a hlasovou VLAN Data-VRF export Data-VRF import Services-VRF I Voice-VRF export Voice-VRF import Services-VRF ! Services-VRF export Service-VRF import Data-VRF import Voice-VRF Nové či vylepšené bezpečnostní vlastnosti verze 8.0.1 ■ bezpečnostní monitoring a záznamy ■ podpora HTTPS pro telefonní služby ■ vylepšení kreditních služeb ■ VPN klienti pro IP telefony ■ bezpečnost ve výchozím nastavení (Security by Default) Bezpečnostní monitoring a záznamy • příposlechy • problémy se šifrováním, zvláště u více proudů • použití Trusted Relay Pointu Podpora HTTPS Extension Mobility a to nově i mezi klastry Service Information b M Service Name* ASCII Service Nanrie*[ijij Service Description Service URL EM http: //l 0,89.32,3 6: e 0 SÜ/e m a p p/E MApp Servl et?device Secure-Service URL https://10.89.62.36:3080/ernapp/EHAppServletľdevicť Service Category Service Type* Service Vendor Service Version PI Enable Enterprise Subscription XML S ervice Standard IP Phone Service Vylepšení kreditních služeb VPN klienti pro IP telefony - tři způsoby směrovač - směrovač doma je ho třeba konfigurovat a spravovat telefon doma s TLS + SRTP- AS A phone-proxy - mohu jen telefonovat • SSL VPN (nové) mohu volat z domu a užívat si všech služeb bez omezení Nastavení SSL VPN na telefonu 17 25 11/04/09 Network Configuration 81135144 i |PC Port Configuration Auto Negotiate I g PC VLAN Select Network Setting VPN Connected Exit rn 21:27 10/20/09 1010 ± VPN Configuration Concentrator 3 I Authentication Mode Username and Password I Encryption Method AES256-SHA Nastaveni parametrů SSL VPN na CUCM r-VPN Parameters f Parameter Name Parameter Value Suggested Value Enable Auto Network Detect * False V False MTU * 1290 1290 Keep Alive * 60 60 Fail to Connect * 30 30 Client Authentication Method * User And Password V User And Password Enable Password Persistence * False V False Enable Host ID Check * True V True Security by Default ■ hlavní komponentou koncepce „Security by Default" je nová služba Trust Verification Service (TVS) s otevřeným portem 2445 ■ nový parametr „Rollback Enterprice Parameter" když je nastaven, stáhne se ITL soubor s prázdným TVS a certifikátem TFTP ■ k dispozici je seznam telefonů, které podporují defaultně bezpečnost ■ kdykoliv možná obnova certifikátů přes TFTP ■ oddělení certifikátů pro podepisování/šifrování a podporu HTTPS, pro interní a externí použití atd. Na počátku dostane klient ITL soubor (Initial Trust List), počáteční náhražek admin: show itl Length of ITL file: 3564 Tha ITL File was last modified on Wad Sep 21 12:40:04 EDT 2011 Parse ITL File VĚťůiúň: 1.2 HeaderLengtb: 292 (BYTES) BYTEPOS TAG 3 STGNERID 4 5IGNERNAME 5 5ERIALNUMBER 5 CANÄME 7 SIGNATUREINFO 3 DIGESTALGORTITHM 9 SIGNATUREA1G0INFQ 10 SIGNATUREÄ1G0RTITEM 11 SIGNATUREMODULUS ,cnf.xml.finc.sgn m 2. SEP,cnf,xml.enc.sgn _ CUCM TFTP ^ ^ Cisco IP Phone 55 Trust Verification Service pro EP Proč certifikáty nejsou v paměti telefonu, jako jsou v prohlížečích? 57 Generování CSR (Certificate Signing Request) pro CAPF Certificate Authority Proxy Function) Generate Certificate Signing Request ifjj OflrwrfltS CSR f1^ Close *^ Warring: Generating a new CSR will overwrite the existing CSR Generate Certlřkate Signing Request CřrtifiriÉt* warn** ['ír?l^""^I~ 13 -[tomcat ID Gsnftrats CSR Clo q TVS (^) *■ indicates requirsd item, ipsec allManacer 58 Žádost o certifikát na tomcat S I Generate CSR Close r Status ® Sutcasss Crrtifitatt Signing Request Generated -'Generate Certificate Signing Request - Generate CSR | Close | *- indicates required item. -----BEGIN CERTIFICATE REQUEST..... MMIB<3zCCMJwCAQftwZ jEWMBQGA1UEC hMNY 21zXI8gc 31zdGVtc z ELMAkGA11) ECBMCbmMxDDftKBgNVBA c T A3 JO c DELMAkGAl UE BhMCWMxF j AUBgNVBAMT DUNBUEY t Hz Jh ^output omitted^ a C Ft NeOY 4 Vb i 4 d 310 hp FAedwEB oW jV SbwJeIns 7JapVglqldrgVrqJe1ej FoogMu GrUadEElQS— -----END CERTIFICATE REQUEST----- 59 Stažení certifikátu Upload Certificate Upload Fila [^00» rStatus- Í^T) Status: Ready rUplcad Certificate- 31 CartifiHts Mams* | tcmcat-trjst Root Certifica(* Description | http S qľfl CírttfisatÄ Upload File [C:\DonimertlsandSeHwsr\akbehl\Mv DammertlsVLA-Roůtc aj Browne. - Upload File j Close | *- indicate* required item. Nastavení Secure LDAP rLDAP Server Information číslo portu a SSL 61 Kdy TLS a kdy IPSec? 62 CUCM je ale na PC, tak co s tím? 63 K CUCM připojíme firewall Cisco ASA Firewall Cisco IP Phone CUCM TLS H.323 Gateway or Gatekeeper SRTP VPN iPSec Tunnel 5cv 64 Obrana proti SPIT (SPam over Internet Telephony) Použití MCID (Malicious Call Identification Service) Auditní logy n],,\\n Cisco Unified Serviceability ílíto pnr Cj1L(] u,iiriĽif Cnraimuni Ľdtioiii Solution! utfH Loa CciliQUľotKin rt S Y i v á t* n i ■'Iiicn Unified SnrvJDBohKY Čí" íl i-l-H n-.i n ■! ■ ■ É ^ Saws $ SeUaDetauH štítni- Effect Server Sarwf* 110J87.B 1.2DD r Appl7 to All Nödas Applk*t"iii Audit Lvg Settling Fitter Pettings P EťiBMe Audit La a P fnabto Puryinfl P ťn^We Loo Ratabon Remote -SvslQfl ~3_GöJ ♦lammurp Mo, cf riles 3^0 WsMimum file fhBJ* [j ^3 □atíbii e Audit Lou Filter Settings P Enable Audit Lao □u1[>uL Spiling-, J_ľ_ mm Debug Audit Level JAdtnimstratwe Tasks t| Pouziti OpenSSO (je pouzit ForgeRock Open AM) Client Policy Anenl OpenSSO Enterprise 1. HTTPS (request to access Client resource) !q access Cl ienl resw rce} ^ J. HTTPS (redirect to OpenSSO) 3. HTTPS (request I 4. HTTPS (Login wilhciedenlials) 5- HTTPS (Login J &. Redirect user to F 'olicy Agent wilh SSO Token 9. HTTPS (Requesl lo access Client resource with SSQ Tflken) 10, Validate SSO Token 12. Access Granted 11, SSO Token validated Database t>. Validate user 7. User validated Autentizace na hodinu Ubm: arnAdmln Sew: vr3|lnK.\ra|ö*c(m E ÜpenSSO Java ^un'W^innl*™, Inc. Edit Ccndltlan - Actlv* SisSion Tim» BajfiklD. Pfllij&y j " taflcates ragüliedllpld "iiriiue: 1 CUCMU-E:t;r * hl.IHtllHIin SeHlON Tllllfl FjlHhlliB«|t 1 SO * Thiiiki.Uc Session: f No 69 Video novinek ve verzi 9.0 http://www.sunsetlearningxom/training-resources/sli-blogs/whats-n^ cisco-unified-communications-manager-9-0-video/ What's New in Cisco Unified Communications Manager 9.0 www.sunsetLearning.com I 888.8B8.5251 Poslední verze 10.5 111111 j 11 CISCO v mixed módu (local + LDAP) autoregistrace Release Notes for Cisco Unified Communications Manager, Release 10.5(1) First Published: May 07. 2014 Mixed mode u CTL klienta Cisco CTL Client -lni )i|iii|i> CISCO Llij^e-i Security Mode | í? Sri Cjsco United CallManager dusts ia Mixed Maria /anapef duste* iD.NmySecuie Mode T U&drieCTLFle Dostupné eTokeny ■ Safenet ■ Activldentity Kontrola certifikátu eTokenu H111 (vS-D Cisco C7X Client Saeuily Tok*n Inhumation j CISCO Issuei Hame. /aid Frwn: E spil e: an Help |flr-,,SAST'ADN5c33aa14 "t*j-ÍPCBLJ;o«"Di frZrŤ^r^ j |':': ■ I: Cancel Adď 74 Seznam certifikátů klienta CTL T L tllltírt Vi.U Cisco CZZ CUent • i! i ■ 111 ■ CISCO CTL E nine; | Typa I HtMtnanWIP.Adtfr [ lisuat Name CAPF 1 (187.01.200 CCM+TFTP 10.87.01.200 Secutfy Token —WoHostname. Ctí =CAPF-a?ecSe40,O U-UCP; CN ^/LCUCW BG2P.OU-UCP;. ĺ : i=L i. ĺ ■ j MaťiLdac!ui