Introduction to Sercurity of VOIP

Slides:



Advertisements
Similar presentations
课程名称 培训目标 学完本课程后,您应该能: 区分AP技术 描述CAPWAP隧道协议 华为技术有限公司 版权所有 未经许可不得扩散.
Advertisements

電子商務安全防護 線上交易安全機制.
第一章 概 述.
网络安全协议 Network Security Protocols
實驗 9: 無線安全網路之建設.
计算机网络教程(第 2 版) 第 7 章 网络互连 课件制作人:谢希仁.
基隆市校園寬頻有線及無線網路環境 (NGN) 語音交換伺服器暨週邊設備建置簡報 瑪凱電信 VoIP 事業部 經理 何茂誠
企業如何建置安全的作業系統 Windows XP 網路安全
電子資料保護 吳啟文 100年6月7日.
06資訊安全-加解密.
第2章 计算机网络的协议与体系结构 2.1 计算机网络体系结构的形成 2.2 协议与划分层次 2.3 计算机网络的原理体系结构
计算机网络.
计算机网络 暨南大学计算机科学系 学年 第一学期.
第1章 概述.
VOIP應用 與進度推廣 臺東大學電算中心 洪守成.
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
無線寬頻分享器設定範例 銜接硬體線路 推斷無線基地台的IP 設定無線基地台 相關觀念解釋.
Mobile IP Mar.14,’03 B 黃品甄 B 范哲瑋.
SIP 体系架构.
密碼學簡介與簡單生活應用 Introduction to Cryptography & Simple Applications in Life 2010 Spring ADSP 05/07.
資訊安全-資料加解密 主講:陳建民.
第9章 電子商務安全防範.
指導教授:陳偉業 老師 碩專資管二甲 N 林士淵 富強鑫公司 資訊工程師 2006/12/23
David liang 数据通信安全教程 防火墙技术及应用 David liang
通訊協定 OSI分層模式 與 TCP/IP協定
(C) Active Network CO., Ltd
TCP協定 (傳輸層).
資電學院 計算機概論 F7810 第十七章 資訊安全 陳邦治編著 旗標出版社.
Different Codec Technologies
教育部資通訊人才培育先導型計畫 寬頻有線教學推動聯盟中心 第九章 VoIP網路安全防護.
2018/11/22 SIP to Freshman.
P2P通信之 ——UDP穿越NAT方案的讨论
大连理工大学网络中心 冯刚 基于IPv6的SIP移动性研究 大连理工大学网络中心 冯刚 CERNET 2005 DaLian.
SIP协议 翁彦
第9章 虛擬私人網路VPN.
行動與無線通訊 第ㄧ章 無線通訊網路 陳育良.
TCP/IP Protocol Suite TCP/IP協定 第二組 投影片製作by簡嘉宏 綦凱宏 林睿敏 滕孟哲.
A VoLTE Traffic Classification Method in LTE Network
马昌社 华南师范大学计算机学院 网络安全—Web安全 马昌社 华南师范大学计算机学院
VoIP integrate compuse PSTN-PBX with SIP/ENUM/IVR
實驗 一 : RTP 實驗目的 實作部分 了解如何利用RTP在網路上傳送語音封包 加深對RTP、RTCP封包的基本格式的認識
VoIPv6呼叫實驗 想法:對於通話流量,能夠P2P,就不要做RTP PROXY。 目的:
第九章 IPSec VPN技术.
什麼是網際網路? 面臨攻擊的網路 網路邊際 總結 網路核心
Echo Server/Client Speaker:Fang.
「寬頻匯流網路管理」教材 模組四: 第一章 網路管理架構
網路安全期末報告─SSL/TLS 指導教授:梁明章 報告學生:A 徐英智.
第12章 远程访问、NAT技术.
IPsec封装安全有效载荷.
網路安全技術 OSI七層 學生:A 郭瀝婷 指導教授:梁明章.
Understanding H.323 Gatekeepers
SIP与H.323互通的研究 研究生选题报告 Research on Interworking between SIP and H.323
Breaking and Fixing Authentication over TLS
3.1 通訊協定 3.2 開放系統參考模式(OSI) 3.3 公眾數據網路 3.4 TCP/IP通訊協定
傳輸控制協議 /互聯網協議 TCP/IP.
Speaker: 碩專一甲 陳芸仙 N 服務單位: 高雄市立裕誠幼稚園
Source: Journal of Network and Computer Applications, Vol. 125, No
期未報告:公眾無線網路的架構,比較 通訊所 鍾國麟 主要的內容還是S.Y.
密碼學 Chapter 4 基於電腦的非對稱性金鑰密碼學演算法
Speaker : Chang Kai-Jia Date : 2010/04/26
Mobile IPv4.
IP Layer Basics, Firewall, VPN, and NAT
VoIP组工作汇报 黄权 李光华.
VoIP安全議題 姓名:許雅玲 指導老師:梁明章 老師.
指導教授 :逄愛君 資訊三 B 莊惟舜 資訊三 B 張憶婷 資訊三 B 徐嘉偉
Homework 3.
Computer Security and Cryptography
Website: 第1章 密码学概论 Website: 年10月27日.
第 4 章 网络层.
Presentation transcript:

Introduction to Sercurity of VOIP Chien-Chih Wang

Outline Introduction Sercurity Issues Countermeasures Conclusion Reference

Outline Introduction Sercurity Issues Countermeasures Conclusion Reference

Introduction Voice Over Internet Protocol 是一種透過網際網路, 來實現的新型電話通訊。 擁有低通話成本、低建 設成本、易擴充性及日 漸優良的通話品質等主 要特點,被目前國際電 信企業看成是傳統電信 業務的有力競爭者。

Introduction PSTN VoIP 架構 Circuit Switching Packet Switching 速率 VOIP vs PSTN PSTN VoIP 架構 Circuit Switching Packet Switching 速率 固定, 64kbytes/sec 視網路品質而定 品質 固定 價格 高 低 應用 傳統電話及傳真 可傳聲音、影像及資料

Introduction VOIP Voice Data Processing in a VOIP System.

Introduction H.323 目前常用的協定有H.323和SIP。 由ITU-T在1996年所提出.2006年推出第6版. 協定架構的初衷是針對區域網路(LAN)中多媒體視訊會議所設計的.  H.323 定義了一個綜合性的規範,使網路上的終端設備遵循這些規範,得以順利進行溝通,包括 語音壓縮格式 ( G.711、 G.729 、G.723.1 )、 影像壓縮格式( H.261、H.263 )、呼叫信令( H.225 )、 控制信令( H.245 )、註冊與認證 ( Registeration,Admission,Status;RAS )。 H.323 架構由5個元件所組成,包括Endpoint、Gateway、Gatekeeper、Multipoint Control Unit(MCU)、Back End Service (BES) 。

Introduction H.323 Architecture 處理multipoint conferencing或是多於兩點的對話 Ttelephone Video phone 作為H.323連接到其他網路的一個 interface Address translation, Network access control, Bandwidth management accounting 用來maintain endpoit的permissions, services,and configuration H.323 Architecture

Introduction SIP 由IETF MMUSIC 工作組開發的協議,作為標準被提議用於建立,修改和終止包括視頻,語音,即時通信,在線遊戲和虛擬現實等多種多媒體元素在內的互動式用戶會話。 屬Session Layer Protocol 可選擇採用 TCP or UDP SIP的架構包括有User Agent、Proxy server,Location server,and Register server。

Introduction SIP Architecture

Steve answers Bob’s phone Introduction Outbound Proxy Inbound Proxy BYE INVITE BYE BYE 100 Trying INVITE 200 OK INVITE 180 Ringing 200 OK 180 Ringing 100 Trying 180 Ringing 200 OK ACK Alice Bob RTP Voice Alice Calls Bob Hello. Is Bob there? No. I need Bob. Thanks. Bye. Steve answers Bob’s phone Sorry, no, can I help you

Outline Introduction Sercurity Issues Countermeasures Conclusion Reference

Sercurity Issues Flood target phone Spoof registration DoS Attack Eavesdropping Call Hijacking Flood target phone Spoof registration Toll Fraund Alteration of Voice Stream Unwanted Calls and Messages (SPIT) DOS:針對特定的遠端主機服務,同時傳送大量的網路封包(packet),超過遭攻擊伺服器主機網路負荷或所能允許的最大連線數量,以癱瘓對方的網路或主機,造成被攻擊的伺服器主機無法正常回應使用者的要求,因而造成阻絕服務。

Sercurity Issues Eavesdropping DTMF intercept Voice reconstruction Outbound Proxy Inbound Proxy SIP Attacker Alice Bob Dos, RTP Yak Yak DTMF intercept IM snooping Call pattern analysis Number harvesting Network discovery Voice reconstruction Fax reconstruction Video reconstruction

Sercurity Issues Spoofing Outbound Proxy Inbound Proxy SIP BYE BYE RTP Alice Bob Attacker Hello? Yak Hello? Yak Kevin forges a BYE from Alice

Sercurity Issues Interception Outbound Proxy Inbound Proxy 202 Accepted BYE SIP 202 Accepted INVITE BYE BYE 202 Accepted REFER 200 OK INVITE REFER 200 OK RTP Alice Bob Attacker Yak Yak Hello? Yak Kevin forges a REFER from Bob

Outline Introduction Sercurity Issues Countermeasures Conclusion Reference

Transport Layer Security (TLS) Countermeasures Transport Layer Security (TLS) 使用密鑰演算法在網際網路上提供端點進行身份認證與通訊保密,能在某種程度上讓客戶端/伺服器的應用程序通訊間,預防竊聽、干擾。 TLS包含三個基本階段: Peer negotiation for algorithm support. Key exchange and authentication. Symmetric cipher encryption and message authentication. 協商支援的演算法 進行密鑰的交換及身分認證 進行透過私鑰加密的數據傳輸保密

Countermeasures Transport Layer Security (TLS) 發送一個ClientHello消息,說明它支持的密碼演算法列表、壓縮方法及最高協議版本,也發送稍後將被使用的隨機數Rc。 然後收到一個ServerHello消息,包含伺服器選擇的連接參數Rs,源自客戶端初期所提供的ClientHello。 當雙方知道了連接參數,客戶端與伺服器交換證書(依靠被選擇的公鑰系統)。這些證書通常基於X.509,不過已有草案支持以OpenPGP為基礎的證書。 伺服器請求客戶端公鑰。客戶端有證書即雙向身份認證,沒證書時隨機生成公鑰。 客戶端與伺服器通過公鑰保密協商共同的主私鑰(雙方隨機協商),這通過精心謹慎設計的偽隨機數功能實現。結果可能使用Diffie-Hellman交換,或簡化的公鑰加密,雙方各自用私鑰解密。所有其他關鍵數據的加密均使用這個「主密鑰」。 1 = Client Hello: Version, RAlice, Session ID, Cipher Suites, Compressions 2 = Server Hello: Version, RBob, Session ID, Chosen Cipher, Chosen Compression 11 = Certificate: sent by server 12 = Server Key Exchange: Modulus p, Exponent g, Signature (export only) 14 = Server Hello Done 16 = Client Key Exchange: Encrypted pre-master key 12 = Server Key Exchange: Modulus p, Exponent g, Signature (export only) 13 = Certificate Request: CA Names (requested by server) 15 = Certificate Verify:signature of Hash of messages 20 = Handshake Finished: MD5 and SHA Digest of message halves 產生一個pre Master Secret 與Rc,Rs結合後形成Master Secret

Secure RTP (SRTP) Protocol Countermeasures Secure RTP (SRTP) Protocol 以RTP Protocol為基礎所定義的加密協議。 採用AES演算法,屬於對稱性的密碼技術。 對RTP的Data提供加密、消息認證、完整性保證和重放保護。 有Master Key跟Session Key,Master Key要透過Key Management的機制來得到,是各自擁有的。而Master Key經過運算後,就會得到Session Key,用來加密或是做訊息認證。 對稱性密碼技術,也就是加密鑰匙(Encryption Key)與解密鑰匙(Decryption Key)為同一把金鑰 Master Key 必須透過Key Management 的機制來得到,Master Key 是具機密性,它不能讓通話雙方以外的第三方知道 Not just “xor” the Master Key with Data message but to perform additional operations like “and” or “or” simultaneously together so as to make encryption process a bit complicated. 需要可信任的中間者(網路實體)

Secure RTP (SRTP) Protocol Countermeasures Secure RTP (SRTP) Protocol SRTP 使用了HMAC-SHA1演算法(在RFC 2104中定義)。這種演算法使用的是預設160 位元長度的HMAC-SHA1認證密鑰,不過它不能抵禦重放攻擊。 要防禦重放攻擊的話,接收方要維護好先前已接收到的封包Sequence number ,將它們與每個新接收到的封包進行比對,只接收那些過去沒有接收過的新封包。不過這種方法十分依賴封包完整性的保護,以杜絕針對封包序號的欺騙技術。

Countermeasures 分離Voice and Data traffic on to different network. Virtual LAN(VLAN) 分離Voice and Data traffic on to different network. Prevent a number of attack from PC. 實作上可以利用port的分配來進行分離,或是利用MAC地址的對照來實行。

Countermeasures Virtual LAN(VLAN)

Countermeasures Virtual Private Network (VPN): Other techniques 利用代理的機制,舉例:A公司某部門的某甲想要寄信 給B公司某部門的某乙。某甲已知某乙的地址及部門, 但公司與公司之間的信並不能註明部門名稱。於是,某 甲請自己的秘書把指定某乙所收部門的信(可選擇是否加 密)放在寄去某B公司地址的大信封中。當B公司的秘書 收到從A公司寄B公司的信件後,該秘書便會把放在該大 信封內的指定部門信件以公司內部郵件方式寄給某乙。 同樣地,某乙會以同樣的方式回信給某甲。公司就是代 理人,外界只看的到代理人在互相通訊,卻不知道實際 上的使用者是誰。

Countermeasures IP Security (Ipsec): 是保護IP協議安全通信的標準,它主要對IP協議分組進 行加密和認證。是IPv6中必選的內容,但在IPv4中的則 是選擇性的。分成Authentication Header (AH)封裝 以及Encapsulating Security Payload (ESP)封裝。 AH:可以用來確保傳輸的完整性,以及Data的可靠性,但不提供保密性。 ESP:保證傳輸的可靠性、完整性以及保密性,但是不對IP packet header提供保護。 兩者皆有Sequence number,可以抵禦重放攻擊。

Outline Introduction Sercurity Issues Countermeasures Conclusion Reference

Conclusion VOIP的技術在未來會被廣泛使用,取代傳統電話。但是,如何維護通話安全卻是個相當重要的問題,只靠單一的安全機制是遠遠不夠的,因此我們可以針對不同技術的特點,如:TLS(認證)、SRTP(加密)、VLAN(物理)三者結合,將可提高整體的安全性。 Authentication TLS Encryption SRTP / IPsec Physical VLAN / VPN

Outline Introduction Sercurity Issues Countermeasures Conclusion Reference

Reference P. Mehta and S. Udani, “Overview of voice over IP”, Dept. Comput.Inf. Sci., Univ. Pennsylvania, Philadelphia, PA, Rep. MS-CIS-01-31,Feb. 2001. David Butcher,Xiangyang Li and Jinhua Guo, “Security Challenge and Defensein VoIP Infrastructures”, IEEE TRANSACTIONS ON SYSTEMS, MAN, AND CYBERNETICS—PART C: APPLICATIONS AND REVIEWS, VOL. 37, NO. 6, NOVEMBER 2007. D. Richard Kuhn, Thomas J. Walsh, Steffen Fries, “Security Considerations for Voice Over IP Systems”, http://csrc.nist.gov/publications/nistpubs/800-58/SP800-58-final.pdf Raj Jain,” Secure Socket Layer (SSL)and Transport Layer Security (TLS)” , http://mail.google.com/mail/?ui=2&ik=4b91cd88bc&view=att&th=12034a58ceb691f6&attid=0.9 Swapnil Shah,”Secure Real-time Transport Protocol (SRTP) including Multimedia Internet KEYing (MIKEY) and ZRTP” , http://students.csci.unt.edu/~scs0166/SRTP_Pres-II.ppt. Rick Kuhn, “Voice Over Internet Protocol (VOIP) Security” , http://www.wutc.wa.gov/rms2.nsf/0/39844ECE6AF35C558825710600826C0A/$file/briefing_Kuhn.pdf.

Reference Rochester ISSA , “VoIP Security Overview” , http://www.rochissa.org/downloads/presentations/Hagen%20VoIP%20ISSA.ppt , July 27, 2006. 李濬屹 , “網路與多媒體實驗 VoIP” , http://cobra.ee.ntu.edu.tw/~oops/HTML2/09_oralpresent/Group5/VoIP.ppt Wikipedia , “VPN” , http://zh.wikipedia.org/w/index.php?title=VPN&variant=zh-tw Wikipedia , “IPsec”

Thank You !