Sécurité desSécurité des Communications...
Transcript of Sécurité desSécurité des Communications...
Sécurité desSécurité des Communications unifiées
Christophe Sarrazini@ [email protected]
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 1
Sommaire
• Introduction• La sécurité de bout en bout• La sécurité de bout en bout
• protection de l’infrastructure de communications unifiées• Protection du vlan voix• port security• port security• DHCP snooping et DAI• Choix et positionnement des FW• Authentifier les accèsAuthentifier les accès
Confidentialité des échanges• Gestion des certificats • Authentification et Encryptionu e ca o e c yp o• Les passerelles• Firewalls et Encryption• Cisco Unified Phone Proxyy• protection des applications• protections du Call Manager• protections des usages de la téléphonie
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 22
• Messagerie, Mobile communicator• Conclusion
Qu’est ce qui pourrait nous inquiéter ?q
• Les écoutes– Avec la téléphonie traditionnelle il fallait un accès au câble et éventuellement un
analyseur– Avec la Voix sur IP : l’accès physique n’est plus nécessaireAvec la Voix sur IP : l accès physique n est plus nécessaire
• Les attaques de type Déni de Service, les vers réseau et les derniers virus à la mode– Attaques ciblés ou aveugles contre les systèmes ou le réseau– Vulnérabilités TCP/IP, attaques de niveau 2 et 3
• Abus, fraude – similaire à un PABX
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 33
Self Defending Network
Disable Unused ServicesHost IDS Attack MitigationOut-of-Band Mgmt
Authentication
SIPCallManagers
Host IDS Attack MitigationHost Virus Scanning
App Hardening, e.g. Toll-FraudSSH / SSL / HTTPsStrong Passwords
Authentication, Authorization
and Accounting
AE-Mail V-MailSIP
Proxy ACSCallManagers
Private VLANsPort Security
Stateful FilteringBasic Layer 7 Filtering
ISP
Host DoS MitigationSpoof Mitigation V3PN
Cisco Auto SecureEasy VPN Remote
Spoof Mitigation
ISPTo PSTN
(WAN backup,local calls)
V
ALGs
WAN ACLs
Spoof MitigationVLANsRFC-2827 Inter-VLAN Filtering
VLANs with VACLsDynamic ARP Inspection
) ALGs
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 44
gNIDS for focused Layer 4-7 analysis
BlockGARP & 802.1q
Sommaire
• Introduction • La sécurité de bout en bout• La sécurité de bout en bout
• protection de l’infrastructure de communications unifiées• Protection du vlan voix• port security• port security• DHCP snooping et DAI• Choix et positionnement des FW• Authentifier les accèsAuthentifier les accès
Confidentialité des échanges• Gestion des certificats • Authentification et Encryptionu e ca o e c yp o• Les passerelles• Firewalls et Encryption• Cisco Unified Phone Proxyy• protection des applications• protections du Call Manager• protections des usages de la téléphonie
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 55
• Messagerie, Mobile communicator• Conclusion
Protéger le vlan voix
Cluster
VLAN Access Control Lists (VACLs)
• Les téléphones envoient la signalisation uniquement au serveur et des flux RTP vers les autres postes
• Aucune raison d’envoyer du TCP d l’ICMPTCP ou de l’ICMP aux autres postes
Positionner une VACL pour• Positionner une VACL pour limiter le trafic à UDP vers les autres téléphones permet de stopper les
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 66
permet de stopper les attaques ICMP et TCP
Interface Web des téléphonesp
L’interface WebIP dd / kIP address/maskDefault gatewayDHCP serverDHCP serverDNS serverTFTP serverCisco CallManager(s)Directory serverLogon serverLogon serverXML serverSi on désire en savoir plus sur l’infrastrucure voix, une simple S o dés e e sa o p us su as ucu e o , u e s p econnexion sur un téléphone permet d’en apprendre beaucoup.Mais, désactiver le serveur Web désactive les services XML, alors : utiliser des ACLs pour limiter le port 80 aux communications entre
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 77
p ple téléphone et le serveur.
Port security - IntroductionCorruption de l’étanchéité des VLANsp
00:0e:00:aa:aa:aa00:0e:00:bb:bb:bb Seulement 2Seulement 2
adresses MAC autorisées sur le port: 3 eme
bloquée132 000 bloquée132,000 Bogus MACs
MENACE:MENACE:Outils de création de trames provenant d’un grand nombre d’adresses MAC différentes.
CONTRE MESURE:Utiliser la fonction ‘port security’
li it ttLe but étant de remplir la table CAM du commutateur afin que celui ci revienne à un mode Hub.
pour limiter ces attaques.Permet de bloquer le port ainsi que d’envoyer un notification (traps SNMP)
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 88
Permet d’écouter l’ensemble du trafic réseau.
(traps SNMP)
DHCP Snooping Protection contre les serveurs DHCP Pirates
La fonction DHCP Snooping permet la création de 2 type de ports: ‘TRUSTED’ et ‘UNTRUSTED’TRUSTED et UNTRUSTED
Untrusted Untrusted
Serveur DHCP
Client DHCP
Ne peut pas envoyer un ‘DHCP Offer’
TrustedUntrusted
Serveur Client DHCP DHCPDHCP
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 99
Peut envoyer un ‘DHCP Offer’
DHCP snooping Apprentissage dynamiquepp g y q
DHCP Snooping permet la création d’une table de correspondance: Adresse IP address (reçue par DHCP) vers adresse MAC Adresse IP address (reçue par DHCP) vers adresse MAC
DHCP Snooping Database EntryMAC Address IP Address Lease Time Binding Type VLAN Number
DHCP SnoopingBinding Database
Serveur DHCP
Client DHCP
Cette database sera utilisée
DHCP
Client
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 1010
par d’autres fonctions, ex: Dynamic ARP Inspection (DAI)…
DHCP
Attaque ARP en Action
Attaquant empoisonne q ples tables ARP.
10.1.1.1MAC A
10.1.1.2 est à 10.1.1.2 est à présent MAC XXprésent MAC XX
GARP 10.1.1.1 GARP 10.1.1.1 annoncant annoncant
10.1.1.2/MAC XX10.1.1.2/MAC XXGARP 10.1.1.2 GARP 10.1.1.2
annoncantannoncant10.1.1.1/MAC XX10.1.1.1/MAC XX10.1.1.1/MAC XX10.1.1.1/MAC XX
10.1.1.2MAC B
10.1.1.3MAC XX
10.1.1.1 est à 10.1.1.1 est à présent MAC XXprésent MAC XX
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 1111
pp
Attaque ARP en Action
Le trafic dans les 2 sens est
q
redirigé vers l’attaquant qui le reroute
10.1.1.2 est à 10.1.1.2 est à présent MAC xxprésent MAC xx10.1.1.1
MAC A
Envoie/ReçoitEnvoie/ReçoitTrafic versTrafic vers
10.1.1.1 MAC xx10.1.1.1 MAC xx
Envoie/ReçoitEnvoie/ReçoitTrafic versTrafic vers
10.1.1.2 MAC xx10.1.1.2 MAC xx10.1.1.1 MAC xx10.1.1.1 MAC xx
10.1.1.2MAC B
10.1.1.3MAC xx
10.1.1.1 est à 10.1.1.1 est à présent MAC xxprésent MAC xx
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 1212
Ecoute de la conversation téléphonique
Dynamic ARP InspectionPrévention du ARP spoofing
J i Commutateur avec DAI bloque le
message ARP
Je suis 10.1.1.1 Je suis
10.1.1.2
CONTRE MESURE:Le commutateur fait l’apprentissageMENACE Le commutateur fait l apprentissage par ‘DHCP snooping’ des correspondances MAC/IP sur chaque port.
MENACE:Outils permettant de générer des messages ARP pour usurper une identité:
Le commutateur analyse les réponses ARP et GARP et bloque tout paquet anormal.
usurper une identité:Réponses ARPGratuitous ARP (GARP)
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 1313
Entrées ARP: configuration statique des MAC/IP
Sécurité intégré au téléphonesg p
Firmwares signésFichiers config signésDisable
PC tPC portSettings buttonSpeakerphonep pWeb access
Désactiver l’écoute desG
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 1414
Messages GARP sur le téléphone
Positionner les Firewalls
Pourquoi un Firewall ?
Inspection Statefull des protocoles qui utilisent
Pourquoi un Firewall ?
Inspection Statefull des protocoles qui utilisent un range de ports éphémères
Sinon obligation d’ouvrir via une ACL statique un range complet de ports UDP
Gestion des protocoles de communication sur IP à travers une fonction NATIP à travers une fonction NAT
LLQ et Rate Limiting sont disponibles sur les gammes PIX® & ASAg
Attention à bien dimensionner les Firewall : pas plus de 60% de CPU, nbr de connexions
d
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 1515
par secondes.
Caractéristiques des flux VoIP
La VoIP utilise un ensemble de protocoles dynamiquesdynamiques
- SIP, MGCP, H.323, SCCP (Skinny) signaling- SDP H 225 H 245 capabilities exchangeSDP, H.225, H.245 capabilities exchange- RTP / RTCP audio / media
RTP / RTCP utilisent des ports dynamiques– Ports UDP 16384 à 32767
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 1616
Exemple Call Flow 323
GatekeeperGatekeeper
PSTN PSTN
H.323 VoIP NetworkH.323 VoIP Network
Calling Party Called Party
Setup
Call Proceeding
AlertingH.225 (TCP Port 1720) Connect(TCP Port 1720)
Capabilities Exchange
Open Logical Channel
SignalingSignaling
H.245 (Dynamic TCP Ports)
p g
Open Logical Channel Acknowledge
MediaMedia
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 1717
RTP / RTCP StreamRTP / RTCP StreamRTP / RTCP StreamRTP / RTCP StreamMedia (UDP) MediaMedia
Format d’un message H.323
value RasMessage = registrationRequest {requestSeqNum 3923protocolIdentifier { 0 0 8 2250 0 2 }discoveryComplete FALSEcallSignalAddress g{}rasAddress {
141.245.43.3:54338Adresse IP : Port transporté dans{
ipAddress {ip '8DF52B03'Hport 54338
la signalisation H.323
port 54338}
} Attention en cas de NAT le FWd it t l t ôlterminalType
{mc FALSEundefinedNode FALSE
doit supporter le protocôledans sa fonction NAT
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 1818
}gatekeeperIdentifier {"Bxl-GK"}endpointVendor
Cheminement des flux
Cluster de Call ManagerCall Manager
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 1919
Etablissement d’un appel
Cluster de Call Manager
pp
Call Manager
RTP
Etablissement de l’appel (SIP/SCCP/H323)
Communication (RTP)
SIP SCCP H323 RTP
TCP 5060 TCP 2000 TCP 1720 UDP 16384 -32767
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 2020
32767
Call Setup à travers un Firewallp
SignalisationFlux RTP
Flux RTP
UDP 17000UDP 17001
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 2121
Attention aux architectures asymétriquesy q
SignalisationFl RTP
Cluster de
VLAN 1 Flux RTP
UDP 17002UDP 17003Call Manager
UDP 17003
VLAN 10
RTP
UDP 17001UDP 17004
VLAN 2
Pas de signalisation entre
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 2222
Pas de signalisation entreLes vlans utilisateurs
Attention aux architectures asymétriquesy q
SignalisationFl RTP
Cluster de
VLAN 1 Flux RTP
UDP 17002UDP 17003Call Manager
Bloquage d t UDP
UDP 17003
VLAN 10
des ports UDP
UDP 17001UDP 17004
VLAN 2
Approche traditionnelle
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 2323
Approche traditionnelle
Attention aux architectures asymétriquesy q
SignalisationFl RTP
Cluster de
VLAN 1 Flux RTP
UDP 17002UDP 17003Call Manager
Bloquage d t UDP
UDP 17003
Outside : sécurité 0
VLAN 10
des ports UDPDans un sens
Inside séc rité 100
UDP 17001UDP 17004
Inside : sécurité 100
VLAN 2
Gestion des niveaux
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 2424
Gestion des niveaux de sécurité dans le Firewall
Attention aux architectures asymétriquesy q
SignalisationFl RTP
Cluster de
VLAN 1 Flux RTP
UDP 17002UDP 17002Call Manager
Ouverture desP t UDP l
UDP 17002
Outside : sécurité 0
VLAN 10
Ports UDP pour leFlux retour
Inside séc rité 100
UDP 17001UDP 17001
Inside : sécurité 100
VLAN 2
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 2525
Solution Cisco : utilisation de portssymétriques dans les communications RTP
Positionnement d’un Firewall
Cluster de
VLAN 1
Call ManagerVLAN 3
VLAN 10
VLAN 2
VLAN 4
Firewall entre le réseau Data
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 2626
Firewall entre le réseau Dataet le réseau voix
Positionnement de plusieurs FWp
Cluster de
VLAN 1
Call ManagerVLAN 2
VLAN 10
VLAN 3
VLAN 4
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 2727
Plusieurs Firewall entreLes réseaux data et les réseaux voix
Exemple avec un site distantp
SignalisationFl RTP
Cluster de Site central
Flux RTPSite distant
Call ManagerVLAN 1
WANRTP
VLAN 2
WANRTP
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 2828
Solution Cisco : utilisation de portssymétriques dans les communications RTP
Authentification 802.1x
PC VLAN = 10(PVID)
Phone VLAN = 110(VVID) (PVID)(VVID)
Desktop PCTrunk 802 1QTrunk 802 1Q VLAN natifVLAN natif
Téléphone
Trunk 802.1QCDP
Trunk 802.1QCDP
VLAN natif802.1x
VLAN natif802.1x
802.1x peut être configuré sur le port du commutateur
Le PC est authentifié avant l’accès au VLAN data
Le téléphone IP est authorisé par CDP sur le VLAN voix
Ceci permet la mutualisation des 2 vlans voix/données et l’ th tifi ti 802 1 d l’ tili t PC ê
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 2929
l’authentification 802.1x de l’utilisateur PC sur un même port physique
802.1x et Téléphonie sur IPProblématique: déconnexion du poste
1 Port authentifié
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 3030
802.1x et Téléphonie sur IPProblématique: déconnexion du posteq p
2 PC deconnecté
√?X √?3 Port toujours autorisé
Si le PC est deconnecté, le commutateur ,ne détecte pas la disparition
Le port est à présent accessible sans authentification!
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 3131
802.1x et Téléphonie sur IPSolution
2 PC deconnecté
X XX3 Message EAPOL-Logoff
X
Si le PC est deconnecté, le téléphone IP le détecte Il transmet un message pour terminer la session 802 1x auIl transmet un message pour terminer la session 802.1x au commutateur en se faisant passer pour le PC
SA = adresse MAC du PCDA = 01 80 C2 00 00 03 (802 1x PAE group address)DA = 01-80-C2-00-00-03 (802.1x PAE group address)
Deux fonctions sont implémentées dans les téléphones IP CiscoApprentissage de l’adresse MAC du/des clients 802.1x
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 3232
Emission du message de logoff
802.1x et Téléphonie sur IPClient 802.1x
√√Authenfication 802.1x
Vérifier le comportement du supplicant 802.1x utiliséPar défaut certains supplicants (ex: Microsoft) ne déclenchent pas l’authentification 802 1x (EAPOL-start)pas l authentification 802.1x (EAPOL-start)Dans ce cas, il faut changer la configuration du supplicant (par la clé de registre “SupplicantMode” chez Microsoft)
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 3333
802.1x et téléphonieMDA (MultiDomain Authentication)( )
Téléphone
Desktop PCAuthentification 802.1x
Authentification 802.1x
Authentification802.1x
Authentification802.1x
Téléphone
Support d’une authentification « voice domain» et « data domain» sur le même port
802.1x802.1x 802.1x802.1x
même port
La partie « data domain » reste identique
La partie « voice domain »: Switch(config)# interface gigabitethernet3/0/1pPas d’assignement dynamique de VLANSupport de 802.1x ou Mac Authentication BypassUne seule MAC est autorisée
( g) g gSwitch(config-if)# dot1x port-control autoSwitch(config-if)# dot1x host-mode multi-domainSwitch(config-if)# switchport voice vlan 101
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 3434
Une seule MAC est autoriséeSwitch(config-if)# end
802.1x et MDAVérification – AAA, téléphonep
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 3535
802.1x et MDAVérification - Switch
Dot1x Authenticator Client ListDot1x Authenticator Client List-------------------------------Domain = DATASupplicant = 000d.6038.dbe3pp
Auth SM State = AUTHENTICATEDAuth BEND SM State = IDLE
Port Status = AUTHORIZEDAuthentication Method = Dot1xAuthentication Method = Dot1xAuthorized By = Authentication ServerVlan Policy = 50
Domain = VOICESupplicant = 0017.593f.533e
Auth SM State = AUTHENTICATEDA th BEND SM State IDLEAuth BEND SM State = IDLE
Port Status = AUTHORIZEDAuthentication Method = Dot1xAuthorized By = Authentication Server
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 3636
y
Futur :Intéraction Téléphones / ACS / CCM
Cisco ACS
1. Le téléphone envoie un requete CDP / ACS LLDP, elle est ignorée par le switch
2. Le téléphone envoie ses credentials TLS et l’ACS valide le certificat
CS CC3. L’ACS interroge le CCM pour authorisation.
4. L’ACS renvoie l’authorisation avec éventuellement un nouveau VLAN ID802 1X
Binding
E0/1 AA V20
Voice VLAN
éventuellement un nouveau VLAN ID.5. Le switch authentifie le poste et
enregistre l’addresse dans sa table.6. L’ACS et le téléphone negotient les
802.1X
VLANUnAuthAuth
6. L ACS et le téléphone negotient les credentials FAST (PAC)a
• FAST n’est pas transmise au CCM• Si les crédentials FAST expirent on
tili d TLSutilise de nouveau TLS7. Le téléphone relance CDP / LLDP
et envoie une requete DHCPMAC - AA
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 3737
IP – 20.2
Sommaire
• Introduction • La sécurité de bout en bout• La sécurité de bout en bout
• protection de l’infrastructure de communications unifiées• Protection du vlan voix• port security• port security• DHCP snooping et DAI• Choix et positionnement des FW• Authentifier les accèsAuthentifier les accès
Confidentialité des échanges• Gestion des certificats • Authentification et Encryptionu e ca o e c yp o• Les passerelles• Firewalls et Encryption• Cisco Unified Phone Proxyy• protection des applications• protections du Call Manager• protections des usages de la téléphonie
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 3838
• Messagerie, Mobile communicator• Conclusion
Sécurité des communications : Architecture X509v3
Chaque élément du système possède son
V3Versionsystème possède son propre certificatLes CallManager sont proxy de ces certificats
CN = VeriSign Class 1 CA Individual Subscriber-Persona Not Validated
OU = www.verisign.com/repository/RPA Incorp. By Ref.,LIAB.LTD(c)98Issuer
md5RSASignature Algorithm
5B74 F440 66CC 70CD B972 4C5B 7E20 68D1Serial Number
certificatsLes certificats sont signés avec une clé racine fournie par Cisco (USB etoken)
Thursday, June 22, 2000 8:00:00 PMValid From
OU = VeriSign Trust Network
O = VeriSign, Inc.
Cisco (USB etoken)Ou les certificats peuvent être signé par une autorité de certification tierce
CN = Joshua McCloud
OU = Digital ID Class 1 - Microsoft Full Service
OU = Persona Not Validated
Subject
Saturday, June 23, 2001 7:59:59 PMValid To
certification tierce (support des serveurs de certificats Microsoft ou Keon)
OU Persona Not Validated
OU = www.verisign.com/repository/RPA Incorp. by Ref.,LIAB.LTD(c)98
OU = VeriSign Trust Network
O = VeriSign, Inc.
Digital)Aucune clé privée n’est transportée sur le réseau (le couple clé privée / clée
bli t dé i é
7A52 28D0 1A0C FFD6 859A…Thumbprint
3481 8B02 9181 01AC AF8B…Public Key
DigitalID
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 3939
publique est dérivé dans le téléphone
Chaque élément dispose d’une paire de clés RSA et de certificats X509
Certificats:• Call Manager : self-signed• Téléphones : MIC ou LSC
Manufacturing Installed Certificate “MIC”Installé dans la mémoire permanente des téléphonesSigné par le CA Cisco
L ll Si ifi t C tifi t (LSC)Locally Significant Certificate (LSC)Installé par l’autorité de certification localePrioritaire par rapport au “MIC”Peut-être effacé par un “factory reset”
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 4040
p y
Trusted CertificatesCertificate Trust List : CTL
Liste des équipements (certificats) qui sontListe des équipements (certificats) qui sont fiables sur le réseau.
Remplace la traditionnelle CRLLi t bl h à l l d’ li t iListe blanche à la place d’une liste noire.Objectif : gagner en performances et évolutivité
certificatsLes téléphones doivent avoir confiance aux CCM, serveurs TFTP, passerelles ….
Créé par le client CTL sur la station pd’administrationSigné par USB crypto Token ou CA de l’Entreprise
CTL
Chargé dans le téléphone au premier boot.Rechargé en cas de mise à jour à chaque boot.
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 4141
Protection de la signalisation TLS: Transport Layer Security
Supporte une multitude d’applications • Besoin d’une méthode sécurisée
p y y
TLSHTTP SCCP SIP LDAP
Supporte une multitude d applications Besoin d une méthode sécurisée pour échanger un secret partagé• Bi-directional PKI pour
l’authentification mutuelle
IPTCPTLS l authentification mutuelle
• Echange secret partagé RSA
• Computes Hashed Message A th ti ti C d (HMAC)Authentication Code (HMAC)
• Hash MD5 ou SHA1
Crypto conventionnelle en• Bi-directional PKI pour l’Authentification• Crypto conventionnelle en utilisant un secret partagé• DES, 3DES, AES
RC2 RC4
p
• Intégrité HMAC
• Encryption pour Confidentialité• RC2, RC4• IDEA
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 4242
SRTP: Secure RTP
• RFC 3711 pour le transport sécurisé• Utilise AES-128 pour l’authentification et l’encryption• Performant, faible overhead
timestampPV X CC M PT sequence number
synchronization source (SSRC) identifiercontributing sources (CCRC) identifiers
…RTP extension (optional)
RTP payloadSRTP MKI -- 0 bytes for voice
Partie Authentifiée
Authentication tag -- 4 bytes for voice
P ti E té
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 4343
Partie AuthentifiéePartie Encryptée
CCM 5.x et l’encryptionyp
IPSec et SRTP vers les passerelles MGCP et
TLS et SRTPPour les Applicationspasserelles MGCP et
H323
TLS sur les trunks SIP
pp• Unity® 4.0(5)+• IPCC 7.0• CTI
SCCP TLS et SRTP Supportés sur7911/7940/7960/7941/7961/7970/7971
TLS sur les trunks SIP CTI
TLSIPSecSRTP
SIP TLS et SRTP Supportés pour7911/7941/7961/7970/7971
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 4444
SRTPInteropérabilité complète entre Secure SCCP et Secure SIP
Appels sécurisés IPSec et SRTP via une passerelle IP-to-IP
Cisco CallManagerCisco CallManager
p
Cisco CallManagerCisco CallManagerTunnel IPSecTunnel IPSec
Passerelle IP-to-IP
SBC
Appel encrypté SRTP
Signalisation via IPSec / appels via SRTP
F ti l ll IP IPFonctionne avec ou sans la passerelle IP-IP– Echange transparent des clés à travers la passerelle IP-to-IP – Fonctionne dans les modes flow-through et flow-around
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 4545
RTP/SRTP Mode mixte
Transfert d’un appelCisco CallManager
Secure IP Phone
Secure GatewayEncrypted Media
Call TransferCall Transfer
Non-Secure IP Phone
Musique d’attente:
Secure
MOH
No Encryption
Musique d attente:
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 4646
Secure Gateway
Unencrypted MediaCapability
Encryption des communications et FWyp
??Flux Rtp
Signalisation Trafic inconnu
Contrainte–Impossible d’inspecter la signalisation et donc d’ouvrir dynamiquement le port RTP
Symétrie des ports pour RTP
inconnu= Drop!
y p p–Pour PIX et ASA lorsqu’un paquet UDP arrive sur l’interface la plus sécurisé le flux retour est autorisé. –Symétrie des ports UDP S/D
code PIX/ASA 8.0
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 4747
–Fonction TLS proxy
Travaux en cours–STUN, ICE, midcom
ASA TLS Proxy CM
ASA8 0y
CM 5.1(1)
8.0
Secure RTPMedia
DecryptedEncrypted Encrypted
L’ ASA dispose d’un certificat X.509, est dans la CTL, et dispose d’une copie
Signalisation
DecryptedEncrypted Encrypted
L ASA dispose d un certificat X.509, est dans la CTL, et dispose d une copie de la CTL.La signalisation est établie à travers deux sessions TLS (CM-proxy, proxy-téléphone)L’ASA t i i bl d’i t l i li ti ’il dé téL’ASA est ainsi capable d’inspecter la signalisation qu’il a décryptéeLe FW doit être en coupure de la signalisationFonctionne avec SCCP et SIP
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 4848
Supporte l’authentification et l’encryption
Client CTLAjout d’une entrée pour
ASAASA
Nouvelle option
CTL sur la flash deflash de
ASA
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 4949
Architecture future : dialogue CCM-FW g
le CCM et le FW s’accordent sur les ports et les adresses IP à utiliser :ports et les adresses IP à utiliser :
La signalisation n’a plus besoin de passer par le FW.Fonctionne avec les flux encryptés ouFonctionne avec les flux encryptés ou pas.
Signalisation
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 5050
gFlux RTP ou SRTP
Media ResourceControl
Cisco Unified Phone Proxyy
Trusted / Inside / Un secured Un trusted / Outside / SecuredTrusted / Inside / Un-securedSouth
Un-trusted / Outside / SecuredNorth
7941 ou 7961 ou 7970 ou 7971
Home
Internet
Router w NAT
Supervision PC
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 5151
Management Console : configuration des utilisateursg
Specifies the TFTP
Les utilisateurs sont gérés indépendamment du Callmanager Les utilisateurs sont associés au SID d’un téléphone.Les noms d’utilisateurs doivent être uniques, idem pour les SIDsLes noms d utilisateurs doivent être uniques, idem pour les SIDsSous le nom du CCM le serveur TFTP du cluster est configuréPossibilité d’importer la base des utilisateurs (CSV, XML)
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 5252
Portail utilisateurs
Les utilisateurs doivent s’authentifier sur le fproxy pour activer leur profile.
L’adresse source du PC est automatiquement utilisée.Considère le téléphone et le PC derrière un
t NAT ( è @ l d )routeur NAT (mème @ pour les deux)This assumes that a NAT router fronts the user and the address of the P.C. & phone are the same.M b ll iddMay be manually overridden.Administrator also has ability to enable/disable a user.Behind NAT, only a single phone can be
t dsupported
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 5353
Media Flows
North/SecuredSouth/Unsecured
SRTP
SRTPRTP
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 5454
Redundant Topology Phones CM p gy
Inside /South Outside /North
preference is based on static load balancing
Inside /South Outside /North
PrimaryCM 1CM 1
Cluster
If the phone is registered to its primary PP, the PP registers to the primary
Primaryregisters to the primary
CM.
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 5555
Sommaire
• Introduction • La sécurité de bout en bout• La sécurité de bout en bout
• protection de l’infrastructure de communications unifiées• Protection du vlan voix• port security• port security• DHCP snooping et DAI• Choix et positionnement des FW• Authentifier les accèsAuthentifier les accès
Confidentialité des échanges• Gestion des certificats • Authentification et Encryptionu e ca o e c yp o• Les passerelles• Firewalls et Encryption• Cisco Unified Phone Proxyy• protection des applications• protections du Call Manager• protections des usages de la téléphonie
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 5656
• Messagerie, Mobile communicator• Conclusion
CallManager 5.0 Appliance Model Security
• Le modèle Appliance interdit tout accès à l’OS et aux applications
I t ll ti d i i é Ci i t• Installation des images signées pas Cisco uniquement
SSH / SFTP / SNMPv3 / Security Passphrase / Password Recovery
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 5757
Login des évènements de sécurité
Secure Remote Access CallManager 5.xg
Bouton Log Off sur la page webBouton Log Off sur la page web
Déconnexion au bout de 30 minute d’inactivitéd inactivité
HTTPS pour l’accès aux pages webweb
Accès à l’annuaire possible via secure LDAPsecure LDAP
Profiles de sécurité pour les paramètres communs à pousserparamètres communs à pousser dans les postes.
Plusieurs niveaux de Passwords
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 5858
Plusieurs niveaux de Passwords
Host-Based Intrusion PreventionCisco Security Agenty g
Disponible pour toutes les applications de téléphonieapplications de téléphonie
- En bundle pré-configuré- Administration centralisée en option
Policy-Based, pas de signaturesPolicy Based, pas de signaturesZero UpdatesProtection “Day Zero”
Efficace contre les précédentes attaquesA bloqué Slammer nimda & codeA bloqué Slammer, nimda & code red avec ses rêgles par defaut
Protection des serveurs via CSA :• Host-based Intrusion Protection• Buffer Overflow Protection• Network Worm Protection• Operating System Hardening
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 5959
• Operating System Hardening• Web Server Protection• Security for other applications
Cisco Security Agenty g
Cisco Security Agent est intégré au Callmanager 5.x
Pas de configuration nécessaire
Start et Stop du centre de contrôl ou de l’interface CLI
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 6060
Securisation de TFTP
Cisco CallManager
Image firmware signée Introduit dans le CCM 3.3(3)( )
Fichiers config signés
Introduit dans le CCM 4.0
Encr pted config Files
XX
Encrypted config Files
Introduduit dans le CCM 5.0XX
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 6161
Protection des usages de la téléphonieg p
Protection contre les renvois d’appels et les transferts trunk-to-trunk
Limitations Partitions et Calling Search Spaces g p
Filtrage des numéros accèssibles par les utilisateurs (ex. 00, 0800 ..)
Dial plan filters control access to exploitive phone numbers, such as 00
Utilisation de codes d’authentification pour l’utilisation des numéros bloqués avec mécanisme de tracking et billing
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 6262
Protection de la messagerieg
Encryption des messagesEncryption des messages vocauxEn cas de forward à l’extérieur d l’ t i d ide l’entreprise du message via outlook, un message indiquant que le contenu est inaccessible est envoyéinaccessible est envoyé.Lotus Notes interdit le Forward des messages à l’extérieurLes messages cryptés sont uniquement accessible via un téléphone Cisco connecté àtéléphone Cisco connecté à unity.
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 6363
Cisco unifiedMobile Communicator
ENTERPRISEDMZ
rew
all
rew
all
CUMC EnterpriseServer
OLWP/SSLMobile
Net ork E h
WebDAV
U i
Out
er F
i
Inne
r Fir
JTAPI(Call Logs only)
OLWP/SSL
CUMCProxy Server
Network Exchange
LDAP
Unity
AD
Data channelGPRS or faster
LDAP
Cisco UnifiedCallManager
CUMC Clients
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 6464
La Sécurité est une question d’évaluation entre le risque et coutq
Cost—Complexity—Manpower—Overhead
BronzeD f lt E N B i
SilverM d t R bl
GoldN H d N t I t t dDefault, Easy, No-Brainer Moderate, Reasonable New, Hard, Not Integrated
Basic Layer 3 ACLs Simple Firewalls Complex Firewalls
Standard OS Hardening Rate Limiting NAC / 802.1Xg g
Unmanaged CSA Catalyst® Integrated Security Network Anomaly Detection
Antivirus VPN—SOHO/Mobile Security Info Management
HTTPS Optional OS Hardening
SLDAP Managed CSA/VMS
Signed Firmware and Configs Directory Integration
Phone Security Settings TLS / SRTP to Phones
IPS / SRTP G
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 6565
IPSec / SRTP to Gateways
Retrouvez chaque mois l’actualité Cisco sur CiscoMag, la newsletter de Cisco FranceAbonnement : www.cisco.fr/go/ciscomag
Séminaire solutions :Séminaire solutions :Le réseau de CampusJeudi 24 mai 2007 en matinée à l’Institut Océanographique Parisl Institut Océanographique - Paris
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 6666
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 6767