Nicolas FISCHBACH シニアマネジャ, IP エンジニアリング / セキュリティ - COLT Telecom - version 1.0 Voice over IP (VoIP) セキュリティ.

Slides:



Advertisements
Similar presentations
1 情報ネットワーク 課題レポート 模範解答 身の回りで、階層化されている物事を 1 つあげて、その階層構造を説明 せよ 課題のポイント – 機能が階層ごとに分割されているか – 同じ層でのやりとり(プロトコル)があるか – 上位層と下位層での情報のやりとり(インタフェース)があるか –
Advertisements

情報ネットワークと教育 通信と情報ネットワーク プロトコル LAN The Internet. 通信とその歴史 通信とは 電信 (1835 、モールス ) 電話 (1876 、ベル ) ラジオ (1895) 、テレビ (1925) 情報通信ネットワークへ.
イーサネットと ATM Ethernet and ATM Which is better, Shared Media or Point to Point? 岡村耕二.
1 製品説明 プレゼンテーション FortiAPの優位性 プロダクトラインナップのご紹介 プレゼンで ソリューションの特長を 伝えましょう.
TCP / IP の基礎 ネットワーク管理者入門. インターネットを支える技術 ISO の 7 階層プロトコルと TCP / IP の実装 階層機能関連する TCP / IP プロ トコル アプリケーション層電子メールやファイルの転送 といった、具体的なアプリ ケーションが使用する規約 TELNET.
VoIP アプリケーションの特性解 析 05id018 岡田享介 指導教員:冬爪成人. 背景 通常の電話回線より安価で会話が出来る 通信手段としてインターネット電話とい うものがある. インターネット電話では VoIP が使用され、 音声信号を符号化し、パケット化させる 機能を持つ. しかし、 VoIP.
第1回.
SSHのセキュリティ技術 SSH2 IPSec PKI TLS/ SSL
Ibaraki Univ. Dept of Electrical & Electronic Eng.
IGD Working Committee Update
第14回 今日の目標 §4.3 情報セキュリティー 情報化社会の特徴を社会的な面から概観する 情報に関わる危険の要因を示す
ネット時代のセキュリティ2(脅威の例) 2SK 情報機器工学.
TCP (Transmission Control Protocol)
「コンピュータと情報システム」 07章 インターネットとセキュリティ
ネットワークコミュニケーション よく使われるアプリケーション DNS 7/5/07.
Private SIP サーバを用いた VoIP環境構築の試み
画像情報特論 (11) - その他の話題 (2) - 授業のまとめ モビリティ セキュリティ
2005年度 情報システム構成論 第5回 ネットワークセキュリティ基礎
第5章 情報セキュリティ(前半) [近代科学社刊]
“All your layer are belong to us” 君達の「階層」は全て我々が戴いた
画像情報特論 (10) - シグナリング - インターネット電話の実際 (1) ITU-T H
WindowsNTによるLAN構築 ポリテクセンター秋田 情報・通信系.
第13回 今日の目標 §4.3 情報セキュリティー 情報化社会の特徴を社会的な面から概観する 情報に関わる危険の要因を示す
画像情報特論 (11) - その他の話題 (2) - 授業のまとめ モビリティ セキュリティ
心理学情報処理法Ⅰ コンピュータネットワーク概論.
スキルアップ.
ネストした仮想化を用いた VMの安全な帯域外リモート管理
ネットワークと コミュニケーション技法 第6回 -コンピュータネットワーク-.
コンテンツ配信 エンコード (符号化) CBR (Constant Bit Rate) VBR (Variable Bit Rate)
ファイアウォール 基礎教育 (1日目).
ネットワーク機器接続 2SK 情報機器工学.
情報コミュニケーション入門 総合実習(1) 基礎知識のポイント(2)
GoNET 競合比較 POPCHAT 2015年04月 アイビーソリューション株式会社.
「コンピュータと情報システム」 06章 通信ネットワーク
第2章 第1節 情報通信の仕組み 1 ネットワークの仕組み 2 通信プロトコル 3 認証と情報の保護
インターネット概論第3回 kudo担当分.
Cisco Startシリーズ 製品概要 スイッチ編
情報検索概説II(99秋) 第3回 1999/10/21 インターネットの仕組み(2).
総合講義B:インターネット社会の安全性 第6回 ネットワークの基盤技術
物理層と伝送媒体 2012年度以降の教科書(第5版)と 2011年度までの教科書(第4版)の対応 物理層、伝送媒体と公衆通信サービス
Ibaraki Univ. Dept of Electrical & Electronic Eng.
2004年度 情報システム構成論 第4回 ネットワークセキュリティ基礎
DataSpider Cloud Colt閉域網接続サービス
パーソナル・ファイアウォール ネットワーク内部の特定の通信を保護するための簡単な手段
Cisco Router GUI設定 CCPE3.2 紹介 本資料に記載の各社社名、製品名は、各社の商標または登録商標です。
インターネットの基礎知識 その3 ~TCP・UDP層編~
7. セキュリティネットワーク (ファイアウォール)
ネットワーク技術II 第9.1課 TCP/IPプロトコルスイート
Why SonicWall? ~SonicWall UTM製品が選ばれる3つの理由~ 特許技術の”RFDPI” マルチコアアーキテクチャ
ネットワークの基礎知識 電子制御設計製図Ⅰ   2014年5月2日 Ⅲ限目.
インターネットにおける真に プライベートなネットワークの構築
セキュリティ 05A2013 大川内 斉.
岡村耕二 トランスポート層 岡村耕二 情報ネットワーク.
TCP/IP入門          櫻井美帆          蟻川朋未          服部力三.
Ibaraki Univ. Dept of Electrical & Electronic Eng.
ユビキタス社会におけるバイオメトリクスを使用した生体認証技術に関する研究
岡村耕二 トランスポート層 岡村耕二 情報ネットワーク.
Cisco Configuration Professional Express 3.3 アップデート
GoNET-MIS のご紹介 2015年04月 アイビーソリューション株式会社 Ver 2.1.
最低限インターネット ネットワークにつなぎましょ!
画像情報特論 (1) - インターネット電話とインターネット放送 はじめに 電子情報通信学科 甲藤二郎
SIP の研究動向 2005年度 前期通常ゼミ 後藤研究室   M1 山田 大輔.
情報実験 第五回 最低限 internet ~ネットワークの仕組みを知ろう~
画像情報特論 (1) - インターネット電話とインターネット放送 はじめに 情報ネットワーク専攻 甲藤二郎
インターネットワーキング.
異種セグメント端末による 分散型仮想LAN構築機構の設計と実装
画像情報特論 (1) - インターネット電話とインターネット放送 はじめに 電子情報通信学科 甲藤二郎
第7章 交換技術 7.1 交換機の機能と構成 7.2 ディジタル交換機 7.3 ATM交換設備 7.4 IPネットワーク交換技術
ネットワークシステム ネットワークシステム概要.
Presentation transcript:

Nicolas FISCHBACH シニアマネジャ, IP エンジニアリング / セキュリティ - COLT Telecom - version 1.0 Voice over IP (VoIP) セキュリティ PacSec.JP/core04

© 2004 Nicolas FISCHBACH PacSec.JP/core04 2 序論 » VoIP と IP 電話 » ネットワーク コンバージェンス > 電話と IT >PoE ( パワー・オーバー・イーサネット ) » モビリティとローミング » 電気通信事業 > スイッチ方式 -> パケット方式 (IP) > 閉ざされた世界 -> 開かれた世界 » ベンダーと製品化までの時間 » セキュリティとプライバシー > フリーカー(電話ハッカー) >VoIP 対 3G

© 2004 Nicolas FISCHBACH PacSec.JP/core04 3 アーキテクチャ : プロトコル » シグナリング > ユーザ ロケーション > セッション - セットアップ - ネゴシエーション - 修正 - 終了 » トランスポート > エンコード、トランスポートなど

© 2004 Nicolas FISCHBACH PacSec.JP/core04 4 アーキテクチャ : プロトコル » SIP >IETF /5061 (TLS) - “HTTP 形式、オールインワン型 ” > 独自の拡張機能 > アーキテクチャになりつつあるプロトコル >“ エンド・ツー・エンド ” (IP PBX 間 ) -Inter-AS MPLS VPN - 過渡的な信頼 >IM 拡張機能 (SIMPLE) » H.323 > プロトコル群 >H.235 ( セキュリティ ) 、 Q.931+H.245 ( 管理 ) 、 RTP 、 CODEC など >ASN.1

© 2004 Nicolas FISCHBACH PacSec.JP/core04 5 アーキテクチャ : プロトコル » RTP ( リアルタイム プロトコル ) >5004/udp >RTCP >No QoS/ 帯域幅管理 > パケット リオーダリング(並び替え) >CODECs - 旧 : G.711 (PSTN/POTS - 64Kb/s) - 現 : G.729 (8Kb/s)

© 2004 Nicolas FISCHBACH PacSec.JP/core04 6 アーキテクチャ : ネットワーク » LAN > イーサネット ( ルータとスイッチ ) >xDSL/ ケーブル /WiFi >VLAN ( データ / 音声 + シグナリング ) » WAN > インターネット >VPN - 専用回線 -MPLS (ラベルスイッチング)

© 2004 Nicolas FISCHBACH PacSec.JP/core04 7 アーキテクチャ : ネットワーク » QoS ( サービス品質 ) > 帯域幅 > 待ち時間 ( ms) とゆらぎ ( ジッタ )(<<150ms) > パケットロス (1-3%)

© 2004 Nicolas FISCHBACH PacSec.JP/core04 8 アーキテクチャ : システム » システム >SIP プロキシ > コールマネジャ /IP PBX - ユーザ管理とレポーティング (HTTP など ) -IP でのオフパス >H.323: GK (GateKeeper) > 認証サーバ (Radius) > 課金サーバ (CDR/billing) >DNS 、 TFTP 、 DHCP サーバ

© 2004 Nicolas FISCHBACH PacSec.JP/core04 9 アーキテクチャ : システム » ボイスゲートウェイ (IP-PSTN) > ゲートウェイ制御プロトコル > シグナリング : SS7 インターフェース - メディアゲートウェイコントローラ.MG (Megaco/H.248) 制御.SIP インターフェース - シグナリングゲートウェイ.MGC 、 SS7 間インターフェース.MxUA 、 SCTP – ISUP 、 Q.931 > トランスポート - メディアゲートウェイ : 音声変換

© 2004 Nicolas FISCHBACH PacSec.JP/core04 10 アーキテクチャ : ファイアウォール /VPN » ファイアウォール >“ 非ステートフル ” フィルタリング >“ ステートフル ” フィルタリング > アプリケーション層フィルタリング (ALG) >NAT / “ ファイアウォール通過 ” -(H.323 : 2xTCP, 4x dynamic UDP ,1720) -(SIP : 5060/udp) » 暗号化 VPN >SSL/TLS >IPsec > どこを暗号化すべきか (LAN-LAN 、 phone-phone など ) ? » QoS (サービス品質)への影響 » IPv6 はどう変わるか ?

© 2004 Nicolas FISCHBACH PacSec.JP/core04 11 アーキテクチャ : 電話 » IP 電話 > ソフトフォンかハードフォンか ? >“Toaster (編集システム) ” - 更新 / パッチ - インテリジェンス > ネットワークから取り除かれ端末機器に置かれたインテリジ ェンス > 電話と他のシステム間のフロー -SIP -RTP -(T)FTP -CRL - その他

© 2004 Nicolas FISCHBACH PacSec.JP/core04 12 アーキテクチャ : 例 internet LAN IP VPN (MPLS) PSTN SIP POTS SIP IP PBX VGW GSM IP PBX SIP voice signaling

© 2004 Nicolas FISCHBACH PacSec.JP/core04 13 その他の電話ネットワーク » POTS/PSTN [TDM] » “ ワイヤレス ”/DECT フォン » GSM » 衛星 » シグナリング (SS7)

© 2004 Nicolas FISCHBACH PacSec.JP/core04 14 攻撃 » フリーカー( IP 電話ハッカー) >IP 知識 > 既知の脆弱性 >Evolution 2600Hz -> ボイスメール /int’l GW -> IP テレフォ ニー > 内部、それとも外部の脅威 ? > ターゲット : ホームユーザ、企業、政府など ? » プロトコル実装 >PROTOS » 人的要因

© 2004 Nicolas FISCHBACH PacSec.JP/core04 15 攻撃 : サービス妨害 » サービス妨害 (DoS) > ネットワーク > プロトコル (SIP INVITE) > システム / アプリケーション > 電話 » 可用性 ( 事業継続 / 災害復旧 ) > 必須条件 : 電力 > 選択肢 ( ビジネス継続性 / 障害回復 ) ? >E911 ( 法律面と技術面 ) >GSM >PSTN (公衆交換電話網)から GSM へ

© 2004 Nicolas FISCHBACH PacSec.JP/core04 16 攻撃 : 詐欺 » Call-ID スプーフィング » ユーザ権利の乗っ取り > 偽装認証サーバ » 影響 > ボイスメールへのアクセス > 付加価値番号 > ソーシャルエンジニアリング > リプレイ攻撃

© 2004 Nicolas FISCHBACH PacSec.JP/core04 17 攻撃 : 盗聴 » 盗聴 > ディスカッション >“ だれがだれと話しているか ” - ネットワーク傍受 - サーバ (SIP 、 CDR など ) » LAN >LAN への物理的アクセス >ARP 攻撃 > 非認証デバイス ( 電話とサーバ ) > さまざまな階層 (MAC アドレス、ユーザ、物理的ポートなど )

© 2004 Nicolas FISCHBACH PacSec.JP/core04 18 攻撃 : 盗聴 » どこで盗聴するか ? > ユーザはどこにいるか ? > ネットワークは混線しているか ? » 合法的な盗聴 >CALEA ( Communications Assistance for Law Enforcement Act 米国盗聴法) >ETSI (欧州電気通信標準化機構)標準 > アーキテクチャとリスク

© 2004 Nicolas FISCHBACH PacSec.JP/core04 19 攻撃 : システム » システム > デフォルトで堅牢なシステムはほぼ皆無 > ワーム、エクスプロイト、トロイの木馬

© 2004 Nicolas FISCHBACH PacSec.JP/core04 20 攻撃 : 電話 » (S)IP 電話 > 開始処理 -DHCP 、 TFTP など > 物理的アクセス - 隠れ設定テーブル >TCP/IP スタック > ファームウェア / 設定 > トロイの木馬 / ルートキット

© 2004 Nicolas FISCHBACH PacSec.JP/core04 21 防御 » シグナリング : SIP >Secure SIP 対 SS7 ( 物理的セキュリティ ) » トランスポート : Secure RTP (MiKEY とともに使用 ) » ネットワーク : QoS (サービス品質) [LLQ (低遅延キューイ ング) ] ( および帯域制限 ) » ファイアウォール : アプリケーションレベルのフィルタリング » 電話 : 署名付きファームウェア » 認証 : TLS > サーバによるクライアントの識別 > クライアントによるサーバの識別 » 3 つの P : project (計画)、 security processes (セキュリテ ィプロセス) および policies (セキュリティポリシー)

© 2004 Nicolas FISCHBACH PacSec.JP/core04 22 結論 » 結論 » 他のプレゼンテーション > バックボーンおよびインフラセキュリティ - >( 分散型 ) サービス妨害 - » 質疑応答 Image: