Segurança - HPBX 4.7

Índice:

1 Acesso Criptografado
2 Proteção Contra Inundação de Requisições (SIP Flood)
3 Proteção contra SIP Packet Replay Attack
4 Proteção Contra Múltiplas Falhas de Autenticação
5 Sistema Anti-fraude para Chamadas Internacionais (Opcional)
6 Configuração da Política de Segurança
7 Suporte a Criptografia e Chaves Digitais
8 Display de senhas e armazenamento
9 Proteções Providas pelo Sistema Operacional
- 9.1 Syn Flood
- 9.2 Gratuitious ARP
- 9.3 Ping Flood
- 9.4 Oversized Packets, Unfragmented, SYN-FIN, SYN-RST, X-mas, nmap FIN, NULLFlags
- 9.5 Banimento de Port Scans
- 9.6 Finger of Death

A plataforma SIPPulse é um dos sistemas de telefonia mais seguros do mercado. Ele implementa uma grande quantidade de recursos de segurança de forma a evitar ataques gerados por terceiros e quebra de privacidade nas ligações. Os dispositivos de segurança implantados serão detalhados neste capítulo. Abaixo segue um sumário

Acesso com criptografia;
Proteção contra SIP Floods;
Proteção contra SIP replay Attacks;
Proteção contra pacotes mal-formados;
Descarte seletivo por assinatura;
Proteção contra múltiplas falhas de autenticação;
Autenticação por IP e Digest MD5;
Criptografia de sinalização com TLS;
Criptografia de mídia com SRTP;
Integração com LDAP;
Firewall para proteção a nível de sistema operacional.

Acesso Criptografado

Os acessos ao sistema são todos criptografados tanto via interface de linha de comando SSH quanto pela interface gráfica HTTPS. Sugerimos utilizar uma das portas Ethernet de cada equipamento para acesso pela VLAN de gerenciamento não permitindo o acesso pelas interfaces dos telefones e gateways. Tudo isto é configurado a nível do sistema operacional durante a instalação.

Proteção Contra Inundação de Requisições (SIP Flood)

O sistema utiliza um sistema de prevenção de inundação de requisições através de um módulo interno. Este módulo mantém uma lista de IPs internos com a quantidade de requisições por segundo corrente. Este sistema é parametrizável e os seguintes parâmetros estão disponíveis.

Tempo de Amostragem: (Padrão 10s);
Densidade de requisições por tempo de amostragem (Padrão 500 ou 50 cps);
Latência de remoção: Tempo em que o sistema irá permitir novas requisições (Padrão: 120).

O sistema de prevenção bloqueia por 120s as requisições de um IP suspeito após mais de 500 requisições em 10s. Opcionalmente o sistema pode gerar um evento de segurança a cada incidente. Gateways e sistemas autorizados por IP são excluídos das verificações.

Estes parâmetros são definidos no arquivo defines.m4 e podem ser alterados mediante solicitação ao suporte.

Proteção contra SIP Packet Replay Attack

Ataques com repetição (replay) de pacotes em SIP e HTTP são comuns. O sistema possui um parâmetro chamado nonce_expire que por padrão está configurado para 30s. Nonces são números gerados uma vez (Number Once – Nonce) que são usados como parte da criptografia de autenticação. Após a expiração do nonce o sistema vai requerer uma nova autenticação, evitando assim que a repetição de uma autenticação possa ser usada.

Além da expiração do nonce é mantido também um índice associado com cada nonce. Apenas a expiração não é suficiente por que ela permite que um ataque ocorra dentro de uma janela de 30s. O índice garante que o nonce poderá ser usado apenas uma vez para autenticar. O tempo de expiração não pode ser menor que o tempo de resposta para uma autenticação. O mecanismo não pode ser implantado em clusters com DNS.

Proteção Contra Múltiplas Falhas de Autenticação

Uma das formas de conseguir um acesso não autorizado ao sistema é um ataque que se chama SIP Brute Force. Nestes ataques, o sistema recebe centenas de milhares de requisições de registro testando diferentes senhas através de um dicionário previamente carregado ou simplesmente sequenciais. Para isso, sugerimos o uso do Fail2ban, uma aplicação que integra com o firewall do sistema, monitorando os logs de tentativas de acesso não autorizado e inserindo os endereços de atacantes em lista negra do firewall por tempo determinado.

Sistema Anti-fraude para Chamadas Internacionais (Opcional)

O TFPS é um serviço criado para prevenir chamadas fraudulentas em sistemas de telefonia. Ele funciona verificando vários atributos de uma chamada telefônica e é configurado através de um SIP Redirect. O serviço é cobrado por transação ou mensalidade e está disponível para qualquer sistema de telefonia IP avançado que possa fazer a consulta através de SIP redirect ou http.

O sistema anti-fraude funciona através da captação dos ataques em honeypots e a partir das detecções dos próprios clientes em um sistema de crowdsourcing.

O sistema antifraude funciona através de diversos mecanismos. Os três primeiros mecanismos são listas negras mantidas pelo próprio sistema como segue abaixo:

Lista negra por IP
Lista negra de números discados
Lista negra de User-Agents.

O segundo passo é a configuração da política de segurança na console do sistema TFPS. Após o login, o usuário poderá configurar a sua política de segurança.

Configuração da Política de Segurança

Após o login, você pode configurar a política de segurança da sua empresa para a detecção de ataques por comportamento.

A primeira parte é definir e-mails para notificações e o nome da política de configuração.

Em seguida, define-se os horários não comerciais. Estes horários são importantes na definição de chamadas simultâneas autorizadas e número máximo de chamadas por dia durante horário comercial e não comercial.

Após a definição dos horários não comerciais são autorizados os países de origem e destino autorizados. Os usuários do sistema só poderão ligar para países autorizados e a partir de países específicos.

E finalmente é possível excluir ou incluir números de destino no sistema.

Suporte a Criptografia e Chaves Digitais

A plataforma SIPPulse permite a configuração de criptografia e autenticação via TLS com troca de chaves em 1024 bits e criptografia por AES de 128 e 256 bits. As configurações dos certificados estão fora do escopo deste guia do usuário e são feitas durante a instalação do sistema. Os padrões TLSv1 e TLS V1.2 estão disponíveis tanto para criptografia como para autenticação.

A criptografia da mídia (Áudio, Vídeo e Texto) é feita por Secure Real Time Protocol e é fim à fim. A troca de chave pode ser dar por pre-shared Keys, pelo descritor da sessão (SDES) ou por Diffi-Helmman no canal RTP (ZRTP). Existe suporte em todos os componentes fornecidos para TLS e SRTP no modo SDES.

Display de senhas e armazenamento

Durante a digitação de senhas nas interfaces gráficas e de linha de comando, as senhas não aparecem quando digitadas.

Proteções Providas pelo Sistema Operacional

O sistema operacional através do firewall configurado previne os seguintes tipos de ataques de DOS (Denial of Service).

Syn Flood

O Syn flood é mitigado através da adição que é feita durante a instalação das seguintes linhas na configuração do firewall.

# iptables -A INPUT -m state –state INVALID -j DROP

# /sbin/sysctl -w net/netfilter/nf_conntrack_tcp_loose=0

Gratuitious ARP

Os ARPs gratuítos são usados em ataques contra telefonia IP que permitem a captura de pacotes e consequente decodificação de conversações através da rede. Normalmente a prevenção a este tipo de ataque é feito nos switches Ethernet da rede através de um recurso, chamado DHCP snooping, também chamado de ARP inspection.

A detecção destes ataques é comum em plataformas de detecção de intrusão. Opcionalmente em caso de solicitação do cliente poderemos fazer a detecção de ARP gratuito nos componentes de sistema. O sistema irá gera alertas nos logs do sistema em caso de ataque.

Apr 15 12:45:17 sippulse arpwatch: changed station 172.16.16.64 0:f0:b8:26:82:56 (d0:67:e5:c:9:67)

Apr 15 12:45:19 sippulse arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)

Apr 15 12:45:19 sippulse arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)

Apr 15 12:45:19 sippulse arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)

Apr 15 12:45:19 sippulse arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)

Ping Flood

Os pacotes de ICMP são completamente descartados em todos os itens da plataforma.

iptables -A INPUT -p icmp -m icmp --icmp-type address-mask-request -j DROP

iptables -A INPUT -p icmp -m icmp --icmp-type timestamp-request -j DROP

Oversized Packets, Unfragmented, SYN-FIN, SYN-RST, X-mas, nmap FIN, NULLFlags

O sistema ainda protege de diversos outros ataques através de seu firewall.

Banimento de Port Scans

O Sistema também bane port scans.

Finger of Death

O ataque ao serviço Finger é uma das formas de se perpetrar uma negação de serviço (DOS). Este ataque é mitigado simplesmente bloqueado a porta 79. De qualquer forma o serviço Finger não está disponível em nenhum dos componentes do sistema.