Voice over IP Security
Preț: 267,00 lei
Disponibilitate: la comandă
Autor: Patrick Park
ISBN: 9781587054693
Editura: Cisco Press
Anul publicării: 2009
Pagini: 384
DESCRIERE
Voice over IP Security
Security best practices derived from deep analysis of the latest VoIP network threats
Patrick Park
VoIP security issues are becoming increasingly serious because voice networks and services cannot be protected from recent intelligent attacks and fraud by traditional systems such as firewalls and NAT alone. After analyzing threats and recent patterns of attacks and fraud, consideration needs to be given to the redesign of secure VoIP architectures with advanced protocols and intelligent products, such as Session Border Controller (SBC). Another type of security issue is how to implement lawful interception within complicated service architectures according to government requirements.
Voice over IP Security focuses on the analysis of current and future threats, the evaluation of security products, the methodologies of protection, and best practices for architecture design and service deployment. This book not only covers technology concepts and issues, but also provides detailed design solutions featuring current products and protocols so that you can deploy a secure VoIP service in the real world with confidence.
Voice over IP Security gives you everything you need to understand the latest security threats and design solutions to protect your VoIP network from fraud and security incidents.
Patrick Park has been working on product design, network architecture design, testing, and consulting for more than 10 years. Currently Patrick works for Cisco® as a VoIP test engineer focusing on security and interoperability testing of rich media collaboration gateways. Before Patrick joined Cisco, he worked for Covad Communications as a VoIP security engineer focusing on the design and deployment of secure network architectures and lawful interception (CALEA). Patrick graduated from the Pusan National University in South Korea, where he majored in computer engineering.
Understand the current and emerging threats to VoIP networks
Learn about the security profiles of VoIP protocols, including SIP, H.323, and MGCP
Evaluate well-known cryptographic algorithms such as DES, 3DES, AES, RAS, digital signature (DSA), and hash function (MD5, SHA, HMAC)
Analyze and simulate threats with negative testing tools
Secure VoIP services with SIP and other supplementary protocols
Eliminate security issues on the VoIP network border by deploying an SBC
Configure enterprise devices, including firewalls, Cisco Unified Communications Manager, Cisco Unified Communications Manager Express, IP phones, and multilayer switches to secure VoIP network traffic
Implement lawful interception into VoIP service environments
This IP communications book is part of the Cisco Press® Networking Technology Series. IP communications titles from Cisco Press help networking professionals understand voice and IP telephony technologies, plan and design converged
networks, and implement network
solutions for increased productivity.
Table of Contents
Introduction
Part I: VoIP Security Fundamentals 3
Chapter 1: Working with VoIP 5
VoIP Benefits 6
VoIP Disadvantages 8
Sources of Vulnerability 10
IP-Based Network Infrastructure 10
Open or Public Networks 11
Open VoIP Protocol 11
Exposed Interface 11
Real-Time Communications 11
Mobility 11
Lack of Security Features and Devices 11
Voice and Data Integration 12
Vulnerable Components 12
Myths Versus Reality 14
Legacy Versus VoIP Systems 14
Protecting Networks Using Strict Authentication and Encryption 14
Protecting Networks Using a Data Security Infrastructure 15
Summary 15
End Notes 16
References 16
Chapter 2: VoIP Threat Taxonomy 19
Threats Against Availability 20
Call Flooding 20
Malformed Messages (Protocol Fuzzing) 22
Spoofed Messages 24
Call Teardown 25
Toll Fraud 26
Call Hijacking 26
Registration Hijacking 27
Media Session Hijacking 27
Server Impersonating 28
QoS Abuse 29
Threats Against Confidentiality 30
Eavesdropping Media 30
Call Pattern Tracking 32
Data Mining 33
Reconstruction 34
Threats Against Integrity 34
Message Alteration 35
Call Rerouting 35
Call Black Holing 36
Media Alteration 37
Media Injection 37
Media Degrading 38
Threats Against Social Context 38
Misrepresentation 39
Call Spam (SPIT) 39
IM Spam (SPIM) 40
Presence Spam (SPPP) 41
Phishing 42
Summary 43
End Notes 44
References 44
Chapter 3: Security Profiles in VoIP Protocols 47
H.323 48
Overview 48
Components 49
Basic Call Flow 50
Security Profiles 52
H.235 Annex D (Baseline Security) 54
H.235 Annex E (Signature Security) 55
H.235 Annex F (Hybrid Security) 56
SIP 57
Overview 58
Components 58
Basic Call Flow 60
Session Setup Example 61
Security Profiles 67
Digest Authentication 68
Identity Authentication 69
Secure/Multipurpose Internet Mail Extensions (S/MIME) 70
Secure RTP 71
TLS 71
IPSec 73
MGCP 74
Overview 74
Basic Call Flow 75
Security Profiles 75
Summary 78
End Notes 79
References 80
Chapter 4: Cryptography 83
Symmetric (Private) Key Cryptography 84
DES 85
3DES 87
AES 89
SubBytes 89
ShiftRows 90
MixColumns 91
AddRoundKey 92
Asymmetric (Public) Key Cryptography 92
RSA 93
Digital Signature 95
Hashing 96
Hash Function (MD5) 97
SHA 98
Message Authentication Code 99
MAC Versus Digital Signature 100
Key Management 100
Key Distribution 101
Summary 103
End Notes 104
References 104
Chapter 5: VoIP Network Elements 107
Security Devices 108
VoIP-Aware Firewall 108
NAT 109
Session Border Controller 113
Lawful Interception Server 114
Service Devices 116
Customer Premise Equipment 116
Call Processing Servers 117
PAP Versus CHAP 119
RADIUS Versus TACACS+ 120
Summary 120
End Notes 121
References 122
Part II: VoIP Security Best Practices 125
Chapter 6: Analysis and Simulation of Current Threats 127
Denial of Service 128
Intentional Flooding 129
Simulation 129
Analysis 135
Mitigation 137
Unintentional Flooding 138
Analysis 139
Mitigation 141
Malformed Messages 143
Simulation 144
Analysis 150
Mitigation 154
Sniffing/Eavesdropping 154
Simulation 154
Analysis 158
Mitigation 161
Spoofing/Identity Theft 162
Simulation 162
Prespoofing Scan 162
Identity Theft 163
Analysis 164
Mitigation 165
VoIP Spam 165
Voice Spam 165
IM Spam 167
Presence Spam 167
Mitigation 168
Content Filtering 168
Turing Test 168
Reputation System 169
Address Obfuscation 170
Limited-Use Address 171
Consent-Based Black/White List 171
Summary 172
End Notes 173
References 173
Chapter 7: Protection with VoIP Protocol 175
Authentication 175
User-to-Proxy Authentication 176
User-to-User Authentication 179
Encryption 182
Message Encryption (S/MIME) 183
S/MIME Certificates 184
S/MIME Key Exchange 185
Formatting S/MIME Bodies 186
Media Encryption 188
Key Derivation 188
SRTP Packet Processing 190
SRTP Test 191
Transport and Network Layer Security 193
Transport Layer Security 194
IPSec (Tunneling) 195
Threat Model and Prevention 195
Registration Hijacking 195
Impersonating a Server 196
Tearing Down Sessions 196
Denial-of-Service and Amplification 197
Limitations 198
Digest Authentication Limitations 198
S/MIME Limitations 198
TLS Limitations 199
SIPS URI Limitations 199
Summary 200
End Notes 200
References 201
Chapter 8: Protection with Session Border Controller 203
Border Issues 204
Between Access and Core Networks 206
Between Core and Peer Networks 207
Access and Peer SBCs 208
SBC Functionality 208
Network Topology Hiding 208
Example of Topology Hiding 209
DoS Protection 213
Policy-Driven Access Control 213
Hardware Architecture 215
Overload Prevention 216
Registration Timer Control 217
Ping Control 220
Load Balancing 220
NAT Traversal 222
Lawful Interception 224
Other Functions 226
Protocol Conversion 226
Transcoding 226
Number Translation 227
QoS Marking 228
Service Architecture Design 228
High Availability 229
Active-Standby 230
Active-Active 231
Network Connectivity 232
Service Policy Analysis 234
Virtualization 237
Optimization of Traffic Flow 239
Deployment Location 239
Media Control 240
Summary 245
End Notes 246
References 246
Chapter 9: Protection with Enterprise Network Devices 249
Firewall 249
ASA and PIX Firewalls 251
Routed Mode 251
Transparent Mode 252
TLS Proxy Feature 253
Configuration Example 254
FWSM Firewall 256
Routed Mode 256
Transparent Mode 256
Configuration Example 257
Limitations 258
Unified Communications Manager Express 259
Access Control 259
Phone Registration Control 261
Secure GUI Management 263
Class of Restriction 264
After-Hours Call Blocking 266
Unified Communications Manager 267
Security Features and Certificates 267
Integrity and Authentication 269
Image Authentication 270
Device Authentication 270
File Authentication 270
Signaling Authentication 271
Digest Authentication 271
Authorization 272
Encryption 273
Signaling Encryption 273
Media Encryption 274
Configuration File Encryption 275
Configuration Guideline 275
Access Devices 277
IP Phone 278
Switch 278
Mitigate MAC CAM Flooding 278
Prevent Port Access 279
Prevent Network Extensions 280
Prevent Fraudulent DHCP Server 280
Mitigate DHCP DoS Attacks 281
Limit ARP Responses 282
VLAN ACL 282
Deployment Example 284
Summary 286
End Notes 287
References 287
Part III: Lawful Interception (CALEA) 289
Chapter 10: Lawful Interception Fundamentals 291
Definition and Background 292
Requirements from Law Enforcement Agents 293
Reference Model from an Architectural Perspective 294
AF (Access Function) 295
DF (Delivery Function) 295
CF (Collection Function) 296
SPAF (Service Provider Administration Function) 297
LEAF (Law Enforcement Administration Function) 297
Request and Response Interfaces 297
Operational Considerations 300
Detection by the Target Subscriber 300
Address Information for Call Content Interception 301
Content Encryption 302
Unauthorized Creation and Detection 303
Call Forwarding or Transfer 303
Capacity 304
Summary 304
End Notes 305
Chapter 11: Lawful Interception Implementation 307
Intercept Request Interface 308
SIP P-DCS Header 309
Intercept Process Flow for Outbound Call 310
Intercept Process Flow for Inbound Call 311
Cisco SII 313
Device Interfaces 314
Intercept Process Flow for Standard Call 316
Intercept Process Flow for Forwarding Call 319
Intercept Process Flow for Conference Call 322
Predesign Considerations 325
Security Considerations 326
Configuration Example 327
Call Data and Content Connection Interfaces 329
Call Content Connection Interface 330
Call Data Connection Interface 333
CDC Messages 333
Interface Between MD and LEA 339
Summary 341
End Notes 342
References 342
Index 345
Voice over IP Security
Cele mai bune practici de securitate derivate din analiza profundă a celor mai recente amenințări de rețea VoIP
Patrick Park
Probleme de securitate VoIP sunt din ce în ce mai gravă, deoarece rețelele și serviciile de voce nu pot fi protejate de atacuri inteligente recente și frauda de sistemele tradiționale , cum ar fi firewall-uri și NAT singur . După analizarea amenințărilor și modele recente de atacuri și de fraudă , atenție trebuie acordată la reproiectarea sigure arhitecturi VoIP cu protocoalele avansate și produse inteligente , cum ar fi Controler de Frontieră sesiune ( SBC ) . Un alt tip de problemă de securitate este cum să pună în aplicare interceptarea legală în arhitecturi de servicii complicate în conformitate cu cerințele guvernamentale .
Voice over IP Security se concentrează pe analiza a amenințărilor actuale și viitoare , evaluarea de produse de securitate , metodologiile de protecție , și cele mai bune practici de arhitectura, design si implementare de servicii . Această carte acoperă nu numai concepte de tehnologie și probleme , dar oferă , de asemenea, soluții de proiectare detaliate featuring a produselor actuale și protocoale astfel încât să puteți implementa un serviciu securizat VoIP în lumea reală cu încredere .
Voice over IP Security vă oferă tot ce ai nevoie pentru a înțelege cele mai recente amenințări de securitate si solutii de design pentru a vă proteja rețeaua VoIP de fraudă și de incidente de securitate .
Patrick Park a fost de lucru pe design de produs , design de arhitectura rețelei , de testare , si consultanta de peste 10 ani . În prezent, Patrick lucreaza pentru Cisco ® ca un inginer de testare VoIP concentrându-se pe de testare a securității și interoperabilității bogate gateway-uri de colaborare mass-media . Înainte de Patrick alăturat Cisco , a lucrat pentru Comunicații Covad ca un inginer de securitate VoIP de concentrându-se pe proiectarea și implementarea de arhitecturi de rețea sigure și interceptare legală (Calea ) . Patrick a absolvit Universitatea NaționalăPusan din Coreea de Sud , unde sa specializat în inginerie calculator .
Înțelegerea actuale și viitoare amenințări la rețelele VoIP
Aflați mai multe despre profilurile de securitate ale protocoalelor VoIP , inclusiv SIP , H.323 , și MGCP
Evaluează algoritmi de criptare bine -cunoscute , cum ar fi DES , 3DES , AES , RAS , semnătură digitală ( DSA ) , și funcția de hash ( MD5 , SHA , HMAC )
Analiza și simula amenințări cu instrumente de testare negativ
Secure servicii VoIP cu SIP și alte protocoale suplimentare
Elimina probleme de securitate la granița rețeaua VoIP prin implementarea unui SBC
Configurarea dispozitivelor de întreprindere , inclusiv firewall-uri , Cisco Unified Communications Manager , Cisco Unified Communications Manager Express , telefoane IP , și switch-uri multistrat pentru a asigura traficul în rețea VoIP
Implementarea interceptarea legală în medii de servicii VoIP
Aceasta carte comunicații IP face parte din Cisco Press ® Networking Technology Series . Titluri de comunicații IP de la Cisco Press profesioniști de networking ajuta să înțeleagă voce și telefonie IP tehnologii , planul și proiectare convergente
rețele , și punerea în aplicare a rețelei
soluții pentru creșterea productivității .
Cuprins
introducere
Partea I : VoIP Security Fundamentals 3
Capitolul 1 : Lucrul cu VoIP 5
VoIP Beneficii 6
Dezavantaje VoIP 8
Surse de Vulnerabilitate 10
Infrastructura rețea bazată pe IP 10
Rețele deschise sau Public 11
Deschis VoIP Protocolul 11
Expus Interface 11
Comunicare Real-Time 11
mobilitate 11
Lipsa de caracteristici de securitate și dispozitive 11
Voce și date de integrare 12
Componentele vulnerabile 12
Mituri Versus realitate 14
Legacy Versus VoIP Systems 14
Protejarea Networks utilizând autentificarea strictă și criptare 14
Protejarea Networks utilizarea unei infrastructuri de securitate a datelor 15
rezumat 15
End Note 16
Referințe 16
Capitolul 2 : VoIP Amenintare Taxonomie 19
Amenințări Disponibilitate 20
Call Inundații 20
Mesajele malformat ( Protocol fuzzing ) 22
Mesaje falsificate 24
Call teardown 25
Toll Antifraudă 26
Call Deturnarea 26
Înregistrare Deturnarea 27
Media hijack 27
Server Pretinde 28
QoS Abuz 29
Amenințările la adresa Confidențialitate 30
Interceptarea media 30
Call model de urmărire 32
Data Mining 33
Reconstrucție 34
Amenințările la adresa integrității 34
Modificarea mesaj 35
Call rutare 35
Sună- holing Negru 36
Media Modificarea 37
Media injecție 37
Media degradante 38
Amenințări Contextul social 38
denaturarea 39
Call Spam ( SPIT ) 39
IM spam ( SPIM ) 40
Prezența Spam ( SPPP ) 41
phishing 42
rezumat 43
End Note 44
Referințe 44
Capitolul 3 : Profiluri de securitate în VoIP Protocoale 47
H.323 48
Prezentare generală 48
componente 49
Fluxul de apelare de bază 50
Securitate Profiluri 52
H.235 Anexa D ( Baseline Security ) 54
H.235 Anexa E ( Semnătura securitate ) 55
H.235 anexa F ( Hybrid Securitate ) 56
SIP 57
Prezentare generală 58
componente 58
De bază Call Flow 60
Setup sesiune Exemplul 61
Securitate Profiluri 67
Digest Autentificarea 68
Autentificarea identității 69
Secure / Multipurpose Internet Mail Extensions ( S / MIME ) 70
Secure RTP 71
TLS 71
IPSec 73
MGCP 74
Prezentare generală 74
Fluxul de apelare de bază 75
Securitate Profiluri 75
rezumat 78
End Note 79
Referințe 80
Capitolul 4 : Criptografie 83
Simetric ( private ) Key Criptografie 84
DES 85
3DES 87
AES 89
SubBytes 89
ShiftRows 90
MixColumns 91
AddRoundKey 92
Asimetric ( publice ) Cheie Criptografie 92
RSA 93
Digital Signature 95
hash 96
Funcția hash ( MD5 ) 97
SHA 98
Mesaj de autentificare Cod 99
MAC Versus Digital Signature 100
Key Management 100
Distribuția cheie 101
rezumat 103
End Note 104
Referințe 104
Capitolul 5 : VoIP Elemente de rețea 107
Dispozitive de securitate 108
Firewall VoIP - Aware 108
NAT 109
Frontieră sesiune Controler 113
Legală Intercepție Server 114
Dispozitive serviciu 116
Premise client Echipament 116
Call Prelucrarea Servere 117
PAP Versus CHAP 119
RADIUS Versus TACACS + 120
rezumat 120
End Note 121
Referințe 122
Partea a II-a: VoIP Securitate Best Practices 125
Capitolul 6 : Analiza și Simularea a amenințărilor actuale 127
Denial of Service 128
Intenționată Inundații 129
simulare 129
analiza 135
atenuarea 137
Inundații neintenționată 138
139 analize
atenuarea 141
Mesaje malformat 143
simulare 144
analiza 150
atenuarea 154
Sniffing / Trage cu urechea 154
simulare 154
analiza 158
atenuarea 161
Spoofing / Furtul de identitate 162
simulare 162
Prespoofing Scan 162
Furtul de identitate 163
analiza 164
atenuarea 165
VoIP Spam 165
Voce Spam 165
IM spam 167
Prezența Spam 167
atenuarea 168
Filtrarea conținutului 168
Turing test 168
Sistemul de reputație 169
Adresa Confuzie 170
Utilizare limitată Adresa 171
Acordul - Based Negru / Alb Lista 171
rezumat 172
End Note 173
Referințe 173
Capitolul 7 : Protecție cu protocolul VoIP 175
autentificarea 175
Autentificarea utilizatorului - a - Proxy 176
Autentificarea utilizatorului - la - utilizator 179
criptare 182
Criptarea mesajului ( S / MIME ) 183
S / MIME Certificate 184
S / MIME Key Exchange 185
Formatarea S / MIME Organismele 186
Media Encryption 188
188 cheie Derivarea
SRTP Packet Processing 190
SRTP de testare 191
Rețeaua de transport și Layer Security 193
Transport Layer Security 194
IPSec ( tunel ) 195
Amenintare Model si Prevenirea 195
Înregistrare Deturnarea 195
Pretinde un server 196
Dărâma Sesiuni 196
Denial - of-Service si amplificarea 197
limitări 198
Digest Autentificarea Limitări 198
S / MIME Limitări 198
TLS Limitări 199
SIPS URI Limitări 199
rezumat 200
End Note 200
Referințe 201
Capitolul 8 : Protecție cu controler de frontieră Sesiunea 203
Probleme transfrontaliere 204
Între Access și Core Networks 206
Între bază și peer 207
Acces și Peer SBC 208
SBC Funcționalitate 208
Topologia rețelei Ascunderea 208
Exemplu de topologie Ascunderea 209
Protectia Dos 213
Control acces bazat pe politici 213
Hardware Arhitectura 215
Prevenirea suprasarcină 216
Înregistrarea timer control 217
Ping de control 220
Load Balancing 220
NAT 222
Interceptarea legală 224
Alte funcții 226
Protocolul de conversie 226
transcodare 226
Numărul Traducere 227
QoS Marcaj 228
Arhitectura Service Proiectare 228
High Availability 229
Active- Standby 230
Activ - activ 231
Conectivitate la rețea 232
Serviciu de analiză politică 234
virtualizarea 237
Optimizarea fluxului de trafic 239
Desfășurarea Locație 239
Mass-media de control 240
rezumat 245
End Note 246
Referințe 246
Capitolul 9 : Protecție cu Enterprise Network Devices 249
firewall 249
ASA și PIX Firewall 251
Mod rutate 251
Transparent Mode 252
TLS proxy Caracteristică 253
Exemplu 254 de configurare
FWSM Firewall 256
Mod rutate 256
Transparent Mode 256
Exemplu de configurare 257
limitări 258
Unified Communications Manager Express 259
Access Control 259
Înregistrarea telefon de control 261
Secure GUI management 263
Clasă de restricție 264
După-oră de Apel de blocare 266
Unified Communications Manager 267
Caracteristici de securitate și certificate 267
Integritatea și autentificare 269
Autentificarea imagine 270
Autentificarea dispozitiv 270
Autentificarea fișier 270
Semnalizare autentificare 271
Digest Autentificarea 271
autorizație 272
criptare 273
Semnalizare criptare 273
Media Encryption 274
Fișier de configurare Criptare 275
Orientarea configurare 275
Accesa dispozitivele 277
IP Phone 278
comutator 278
Atenuarea MAC CAM Inundații 278
Preveni Port Access 279
Preveni Extensii de rețea 280
Preveni frauduloase DHCP Server 280
Atenuarea DHCP atacurile DoS 281
Limita Răspunsurile ARP 282
VLAN ACL 282
Exemplu de implementare 284
rezumat 286
End Note 287
Referințe 287
Partea III : interceptare legală (Calea ) 289
Capitolul 10 : Bazele de interceptare legală 291
Definiție și trecut 292
Cerințele de la agenții de aplicare a legii 293
Modelul de referință de la un 294 de vedere arhitectural
AF ( Function Access ) 295
DF ( Funcție de livrare ) 295
CF ( Funcție Collection ) 296
SPAF ( Administrare furnizor de servicii Function ) 297
LEAF ( Enforcement Administration Drept Funcție ) 297
Cerere și Interfețe de răspuns 297
Considerații operaționale 300
Detectarea de către Abonat țintă 300
Adresa Informații pentru Call conținut Intercepție 301
Conținutul criptare 302
Crearea neautorizat și de detectare 303
Call Forwarding sau transfer 303
capacitate 304
rezumat 304
End Note 305
Capitolul 11 : legală de implementare Intercepție 307
Intercept Cerere Interface 308
SIP P - DCS Antet 309
Intercepta flux de proces pentru apeluri de ieșire 310
Flux de proces de interceptare pentru Apeluri de intrare 311
Cisco SII 313
Interfețe 314
Flux de proces de interceptare pentru Standard Call 316
Intercepta flux de proces pentru Call Forwarding 319
Flux de proces de interceptare pentru Conferința de apel 322
Predesign Considerații 325
Considerații de securitate 326
Exemplu de configurare 327
Apelul de date și conținut Interfețe de conectare 329
Call conținut Conexiune Interfata 330
Apel de date interfața de conectare 333
CDC Mesaje 333
Interfața între MD și LEA 339
rezumat 341
End Note 342
Referințe 342
index 345
Security best practices derived from deep analysis of the latest VoIP network threats
Patrick Park
VoIP security issues are becoming increasingly serious because voice networks and services cannot be protected from recent intelligent attacks and fraud by traditional systems such as firewalls and NAT alone. After analyzing threats and recent patterns of attacks and fraud, consideration needs to be given to the redesign of secure VoIP architectures with advanced protocols and intelligent products, such as Session Border Controller (SBC). Another type of security issue is how to implement lawful interception within complicated service architectures according to government requirements.
Voice over IP Security focuses on the analysis of current and future threats, the evaluation of security products, the methodologies of protection, and best practices for architecture design and service deployment. This book not only covers technology concepts and issues, but also provides detailed design solutions featuring current products and protocols so that you can deploy a secure VoIP service in the real world with confidence.
Voice over IP Security gives you everything you need to understand the latest security threats and design solutions to protect your VoIP network from fraud and security incidents.
Patrick Park has been working on product design, network architecture design, testing, and consulting for more than 10 years. Currently Patrick works for Cisco® as a VoIP test engineer focusing on security and interoperability testing of rich media collaboration gateways. Before Patrick joined Cisco, he worked for Covad Communications as a VoIP security engineer focusing on the design and deployment of secure network architectures and lawful interception (CALEA). Patrick graduated from the Pusan National University in South Korea, where he majored in computer engineering.
Understand the current and emerging threats to VoIP networks
Learn about the security profiles of VoIP protocols, including SIP, H.323, and MGCP
Evaluate well-known cryptographic algorithms such as DES, 3DES, AES, RAS, digital signature (DSA), and hash function (MD5, SHA, HMAC)
Analyze and simulate threats with negative testing tools
Secure VoIP services with SIP and other supplementary protocols
Eliminate security issues on the VoIP network border by deploying an SBC
Configure enterprise devices, including firewalls, Cisco Unified Communications Manager, Cisco Unified Communications Manager Express, IP phones, and multilayer switches to secure VoIP network traffic
Implement lawful interception into VoIP service environments
This IP communications book is part of the Cisco Press® Networking Technology Series. IP communications titles from Cisco Press help networking professionals understand voice and IP telephony technologies, plan and design converged
networks, and implement network
solutions for increased productivity.
Table of Contents
Introduction
Part I: VoIP Security Fundamentals 3
Chapter 1: Working with VoIP 5
VoIP Benefits 6
VoIP Disadvantages 8
Sources of Vulnerability 10
IP-Based Network Infrastructure 10
Open or Public Networks 11
Open VoIP Protocol 11
Exposed Interface 11
Real-Time Communications 11
Mobility 11
Lack of Security Features and Devices 11
Voice and Data Integration 12
Vulnerable Components 12
Myths Versus Reality 14
Legacy Versus VoIP Systems 14
Protecting Networks Using Strict Authentication and Encryption 14
Protecting Networks Using a Data Security Infrastructure 15
Summary 15
End Notes 16
References 16
Chapter 2: VoIP Threat Taxonomy 19
Threats Against Availability 20
Call Flooding 20
Malformed Messages (Protocol Fuzzing) 22
Spoofed Messages 24
Call Teardown 25
Toll Fraud 26
Call Hijacking 26
Registration Hijacking 27
Media Session Hijacking 27
Server Impersonating 28
QoS Abuse 29
Threats Against Confidentiality 30
Eavesdropping Media 30
Call Pattern Tracking 32
Data Mining 33
Reconstruction 34
Threats Against Integrity 34
Message Alteration 35
Call Rerouting 35
Call Black Holing 36
Media Alteration 37
Media Injection 37
Media Degrading 38
Threats Against Social Context 38
Misrepresentation 39
Call Spam (SPIT) 39
IM Spam (SPIM) 40
Presence Spam (SPPP) 41
Phishing 42
Summary 43
End Notes 44
References 44
Chapter 3: Security Profiles in VoIP Protocols 47
H.323 48
Overview 48
Components 49
Basic Call Flow 50
Security Profiles 52
H.235 Annex D (Baseline Security) 54
H.235 Annex E (Signature Security) 55
H.235 Annex F (Hybrid Security) 56
SIP 57
Overview 58
Components 58
Basic Call Flow 60
Session Setup Example 61
Security Profiles 67
Digest Authentication 68
Identity Authentication 69
Secure/Multipurpose Internet Mail Extensions (S/MIME) 70
Secure RTP 71
TLS 71
IPSec 73
MGCP 74
Overview 74
Basic Call Flow 75
Security Profiles 75
Summary 78
End Notes 79
References 80
Chapter 4: Cryptography 83
Symmetric (Private) Key Cryptography 84
DES 85
3DES 87
AES 89
SubBytes 89
ShiftRows 90
MixColumns 91
AddRoundKey 92
Asymmetric (Public) Key Cryptography 92
RSA 93
Digital Signature 95
Hashing 96
Hash Function (MD5) 97
SHA 98
Message Authentication Code 99
MAC Versus Digital Signature 100
Key Management 100
Key Distribution 101
Summary 103
End Notes 104
References 104
Chapter 5: VoIP Network Elements 107
Security Devices 108
VoIP-Aware Firewall 108
NAT 109
Session Border Controller 113
Lawful Interception Server 114
Service Devices 116
Customer Premise Equipment 116
Call Processing Servers 117
PAP Versus CHAP 119
RADIUS Versus TACACS+ 120
Summary 120
End Notes 121
References 122
Part II: VoIP Security Best Practices 125
Chapter 6: Analysis and Simulation of Current Threats 127
Denial of Service 128
Intentional Flooding 129
Simulation 129
Analysis 135
Mitigation 137
Unintentional Flooding 138
Analysis 139
Mitigation 141
Malformed Messages 143
Simulation 144
Analysis 150
Mitigation 154
Sniffing/Eavesdropping 154
Simulation 154
Analysis 158
Mitigation 161
Spoofing/Identity Theft 162
Simulation 162
Prespoofing Scan 162
Identity Theft 163
Analysis 164
Mitigation 165
VoIP Spam 165
Voice Spam 165
IM Spam 167
Presence Spam 167
Mitigation 168
Content Filtering 168
Turing Test 168
Reputation System 169
Address Obfuscation 170
Limited-Use Address 171
Consent-Based Black/White List 171
Summary 172
End Notes 173
References 173
Chapter 7: Protection with VoIP Protocol 175
Authentication 175
User-to-Proxy Authentication 176
User-to-User Authentication 179
Encryption 182
Message Encryption (S/MIME) 183
S/MIME Certificates 184
S/MIME Key Exchange 185
Formatting S/MIME Bodies 186
Media Encryption 188
Key Derivation 188
SRTP Packet Processing 190
SRTP Test 191
Transport and Network Layer Security 193
Transport Layer Security 194
IPSec (Tunneling) 195
Threat Model and Prevention 195
Registration Hijacking 195
Impersonating a Server 196
Tearing Down Sessions 196
Denial-of-Service and Amplification 197
Limitations 198
Digest Authentication Limitations 198
S/MIME Limitations 198
TLS Limitations 199
SIPS URI Limitations 199
Summary 200
End Notes 200
References 201
Chapter 8: Protection with Session Border Controller 203
Border Issues 204
Between Access and Core Networks 206
Between Core and Peer Networks 207
Access and Peer SBCs 208
SBC Functionality 208
Network Topology Hiding 208
Example of Topology Hiding 209
DoS Protection 213
Policy-Driven Access Control 213
Hardware Architecture 215
Overload Prevention 216
Registration Timer Control 217
Ping Control 220
Load Balancing 220
NAT Traversal 222
Lawful Interception 224
Other Functions 226
Protocol Conversion 226
Transcoding 226
Number Translation 227
QoS Marking 228
Service Architecture Design 228
High Availability 229
Active-Standby 230
Active-Active 231
Network Connectivity 232
Service Policy Analysis 234
Virtualization 237
Optimization of Traffic Flow 239
Deployment Location 239
Media Control 240
Summary 245
End Notes 246
References 246
Chapter 9: Protection with Enterprise Network Devices 249
Firewall 249
ASA and PIX Firewalls 251
Routed Mode 251
Transparent Mode 252
TLS Proxy Feature 253
Configuration Example 254
FWSM Firewall 256
Routed Mode 256
Transparent Mode 256
Configuration Example 257
Limitations 258
Unified Communications Manager Express 259
Access Control 259
Phone Registration Control 261
Secure GUI Management 263
Class of Restriction 264
After-Hours Call Blocking 266
Unified Communications Manager 267
Security Features and Certificates 267
Integrity and Authentication 269
Image Authentication 270
Device Authentication 270
File Authentication 270
Signaling Authentication 271
Digest Authentication 271
Authorization 272
Encryption 273
Signaling Encryption 273
Media Encryption 274
Configuration File Encryption 275
Configuration Guideline 275
Access Devices 277
IP Phone 278
Switch 278
Mitigate MAC CAM Flooding 278
Prevent Port Access 279
Prevent Network Extensions 280
Prevent Fraudulent DHCP Server 280
Mitigate DHCP DoS Attacks 281
Limit ARP Responses 282
VLAN ACL 282
Deployment Example 284
Summary 286
End Notes 287
References 287
Part III: Lawful Interception (CALEA) 289
Chapter 10: Lawful Interception Fundamentals 291
Definition and Background 292
Requirements from Law Enforcement Agents 293
Reference Model from an Architectural Perspective 294
AF (Access Function) 295
DF (Delivery Function) 295
CF (Collection Function) 296
SPAF (Service Provider Administration Function) 297
LEAF (Law Enforcement Administration Function) 297
Request and Response Interfaces 297
Operational Considerations 300
Detection by the Target Subscriber 300
Address Information for Call Content Interception 301
Content Encryption 302
Unauthorized Creation and Detection 303
Call Forwarding or Transfer 303
Capacity 304
Summary 304
End Notes 305
Chapter 11: Lawful Interception Implementation 307
Intercept Request Interface 308
SIP P-DCS Header 309
Intercept Process Flow for Outbound Call 310
Intercept Process Flow for Inbound Call 311
Cisco SII 313
Device Interfaces 314
Intercept Process Flow for Standard Call 316
Intercept Process Flow for Forwarding Call 319
Intercept Process Flow for Conference Call 322
Predesign Considerations 325
Security Considerations 326
Configuration Example 327
Call Data and Content Connection Interfaces 329
Call Content Connection Interface 330
Call Data Connection Interface 333
CDC Messages 333
Interface Between MD and LEA 339
Summary 341
End Notes 342
References 342
Index 345
Voice over IP Security
Cele mai bune practici de securitate derivate din analiza profundă a celor mai recente amenințări de rețea VoIP
Patrick Park
Probleme de securitate VoIP sunt din ce în ce mai gravă, deoarece rețelele și serviciile de voce nu pot fi protejate de atacuri inteligente recente și frauda de sistemele tradiționale , cum ar fi firewall-uri și NAT singur . După analizarea amenințărilor și modele recente de atacuri și de fraudă , atenție trebuie acordată la reproiectarea sigure arhitecturi VoIP cu protocoalele avansate și produse inteligente , cum ar fi Controler de Frontieră sesiune ( SBC ) . Un alt tip de problemă de securitate este cum să pună în aplicare interceptarea legală în arhitecturi de servicii complicate în conformitate cu cerințele guvernamentale .
Voice over IP Security se concentrează pe analiza a amenințărilor actuale și viitoare , evaluarea de produse de securitate , metodologiile de protecție , și cele mai bune practici de arhitectura, design si implementare de servicii . Această carte acoperă nu numai concepte de tehnologie și probleme , dar oferă , de asemenea, soluții de proiectare detaliate featuring a produselor actuale și protocoale astfel încât să puteți implementa un serviciu securizat VoIP în lumea reală cu încredere .
Voice over IP Security vă oferă tot ce ai nevoie pentru a înțelege cele mai recente amenințări de securitate si solutii de design pentru a vă proteja rețeaua VoIP de fraudă și de incidente de securitate .
Patrick Park a fost de lucru pe design de produs , design de arhitectura rețelei , de testare , si consultanta de peste 10 ani . În prezent, Patrick lucreaza pentru Cisco ® ca un inginer de testare VoIP concentrându-se pe de testare a securității și interoperabilității bogate gateway-uri de colaborare mass-media . Înainte de Patrick alăturat Cisco , a lucrat pentru Comunicații Covad ca un inginer de securitate VoIP de concentrându-se pe proiectarea și implementarea de arhitecturi de rețea sigure și interceptare legală (Calea ) . Patrick a absolvit Universitatea NaționalăPusan din Coreea de Sud , unde sa specializat în inginerie calculator .
Înțelegerea actuale și viitoare amenințări la rețelele VoIP
Aflați mai multe despre profilurile de securitate ale protocoalelor VoIP , inclusiv SIP , H.323 , și MGCP
Evaluează algoritmi de criptare bine -cunoscute , cum ar fi DES , 3DES , AES , RAS , semnătură digitală ( DSA ) , și funcția de hash ( MD5 , SHA , HMAC )
Analiza și simula amenințări cu instrumente de testare negativ
Secure servicii VoIP cu SIP și alte protocoale suplimentare
Elimina probleme de securitate la granița rețeaua VoIP prin implementarea unui SBC
Configurarea dispozitivelor de întreprindere , inclusiv firewall-uri , Cisco Unified Communications Manager , Cisco Unified Communications Manager Express , telefoane IP , și switch-uri multistrat pentru a asigura traficul în rețea VoIP
Implementarea interceptarea legală în medii de servicii VoIP
Aceasta carte comunicații IP face parte din Cisco Press ® Networking Technology Series . Titluri de comunicații IP de la Cisco Press profesioniști de networking ajuta să înțeleagă voce și telefonie IP tehnologii , planul și proiectare convergente
rețele , și punerea în aplicare a rețelei
soluții pentru creșterea productivității .
Cuprins
introducere
Partea I : VoIP Security Fundamentals 3
Capitolul 1 : Lucrul cu VoIP 5
VoIP Beneficii 6
Dezavantaje VoIP 8
Surse de Vulnerabilitate 10
Infrastructura rețea bazată pe IP 10
Rețele deschise sau Public 11
Deschis VoIP Protocolul 11
Expus Interface 11
Comunicare Real-Time 11
mobilitate 11
Lipsa de caracteristici de securitate și dispozitive 11
Voce și date de integrare 12
Componentele vulnerabile 12
Mituri Versus realitate 14
Legacy Versus VoIP Systems 14
Protejarea Networks utilizând autentificarea strictă și criptare 14
Protejarea Networks utilizarea unei infrastructuri de securitate a datelor 15
rezumat 15
End Note 16
Referințe 16
Capitolul 2 : VoIP Amenintare Taxonomie 19
Amenințări Disponibilitate 20
Call Inundații 20
Mesajele malformat ( Protocol fuzzing ) 22
Mesaje falsificate 24
Call teardown 25
Toll Antifraudă 26
Call Deturnarea 26
Înregistrare Deturnarea 27
Media hijack 27
Server Pretinde 28
QoS Abuz 29
Amenințările la adresa Confidențialitate 30
Interceptarea media 30
Call model de urmărire 32
Data Mining 33
Reconstrucție 34
Amenințările la adresa integrității 34
Modificarea mesaj 35
Call rutare 35
Sună- holing Negru 36
Media Modificarea 37
Media injecție 37
Media degradante 38
Amenințări Contextul social 38
denaturarea 39
Call Spam ( SPIT ) 39
IM spam ( SPIM ) 40
Prezența Spam ( SPPP ) 41
phishing 42
rezumat 43
End Note 44
Referințe 44
Capitolul 3 : Profiluri de securitate în VoIP Protocoale 47
H.323 48
Prezentare generală 48
componente 49
Fluxul de apelare de bază 50
Securitate Profiluri 52
H.235 Anexa D ( Baseline Security ) 54
H.235 Anexa E ( Semnătura securitate ) 55
H.235 anexa F ( Hybrid Securitate ) 56
SIP 57
Prezentare generală 58
componente 58
De bază Call Flow 60
Setup sesiune Exemplul 61
Securitate Profiluri 67
Digest Autentificarea 68
Autentificarea identității 69
Secure / Multipurpose Internet Mail Extensions ( S / MIME ) 70
Secure RTP 71
TLS 71
IPSec 73
MGCP 74
Prezentare generală 74
Fluxul de apelare de bază 75
Securitate Profiluri 75
rezumat 78
End Note 79
Referințe 80
Capitolul 4 : Criptografie 83
Simetric ( private ) Key Criptografie 84
DES 85
3DES 87
AES 89
SubBytes 89
ShiftRows 90
MixColumns 91
AddRoundKey 92
Asimetric ( publice ) Cheie Criptografie 92
RSA 93
Digital Signature 95
hash 96
Funcția hash ( MD5 ) 97
SHA 98
Mesaj de autentificare Cod 99
MAC Versus Digital Signature 100
Key Management 100
Distribuția cheie 101
rezumat 103
End Note 104
Referințe 104
Capitolul 5 : VoIP Elemente de rețea 107
Dispozitive de securitate 108
Firewall VoIP - Aware 108
NAT 109
Frontieră sesiune Controler 113
Legală Intercepție Server 114
Dispozitive serviciu 116
Premise client Echipament 116
Call Prelucrarea Servere 117
PAP Versus CHAP 119
RADIUS Versus TACACS + 120
rezumat 120
End Note 121
Referințe 122
Partea a II-a: VoIP Securitate Best Practices 125
Capitolul 6 : Analiza și Simularea a amenințărilor actuale 127
Denial of Service 128
Intenționată Inundații 129
simulare 129
analiza 135
atenuarea 137
Inundații neintenționată 138
139 analize
atenuarea 141
Mesaje malformat 143
simulare 144
analiza 150
atenuarea 154
Sniffing / Trage cu urechea 154
simulare 154
analiza 158
atenuarea 161
Spoofing / Furtul de identitate 162
simulare 162
Prespoofing Scan 162
Furtul de identitate 163
analiza 164
atenuarea 165
VoIP Spam 165
Voce Spam 165
IM spam 167
Prezența Spam 167
atenuarea 168
Filtrarea conținutului 168
Turing test 168
Sistemul de reputație 169
Adresa Confuzie 170
Utilizare limitată Adresa 171
Acordul - Based Negru / Alb Lista 171
rezumat 172
End Note 173
Referințe 173
Capitolul 7 : Protecție cu protocolul VoIP 175
autentificarea 175
Autentificarea utilizatorului - a - Proxy 176
Autentificarea utilizatorului - la - utilizator 179
criptare 182
Criptarea mesajului ( S / MIME ) 183
S / MIME Certificate 184
S / MIME Key Exchange 185
Formatarea S / MIME Organismele 186
Media Encryption 188
188 cheie Derivarea
SRTP Packet Processing 190
SRTP de testare 191
Rețeaua de transport și Layer Security 193
Transport Layer Security 194
IPSec ( tunel ) 195
Amenintare Model si Prevenirea 195
Înregistrare Deturnarea 195
Pretinde un server 196
Dărâma Sesiuni 196
Denial - of-Service si amplificarea 197
limitări 198
Digest Autentificarea Limitări 198
S / MIME Limitări 198
TLS Limitări 199
SIPS URI Limitări 199
rezumat 200
End Note 200
Referințe 201
Capitolul 8 : Protecție cu controler de frontieră Sesiunea 203
Probleme transfrontaliere 204
Între Access și Core Networks 206
Între bază și peer 207
Acces și Peer SBC 208
SBC Funcționalitate 208
Topologia rețelei Ascunderea 208
Exemplu de topologie Ascunderea 209
Protectia Dos 213
Control acces bazat pe politici 213
Hardware Arhitectura 215
Prevenirea suprasarcină 216
Înregistrarea timer control 217
Ping de control 220
Load Balancing 220
NAT 222
Interceptarea legală 224
Alte funcții 226
Protocolul de conversie 226
transcodare 226
Numărul Traducere 227
QoS Marcaj 228
Arhitectura Service Proiectare 228
High Availability 229
Active- Standby 230
Activ - activ 231
Conectivitate la rețea 232
Serviciu de analiză politică 234
virtualizarea 237
Optimizarea fluxului de trafic 239
Desfășurarea Locație 239
Mass-media de control 240
rezumat 245
End Note 246
Referințe 246
Capitolul 9 : Protecție cu Enterprise Network Devices 249
firewall 249
ASA și PIX Firewall 251
Mod rutate 251
Transparent Mode 252
TLS proxy Caracteristică 253
Exemplu 254 de configurare
FWSM Firewall 256
Mod rutate 256
Transparent Mode 256
Exemplu de configurare 257
limitări 258
Unified Communications Manager Express 259
Access Control 259
Înregistrarea telefon de control 261
Secure GUI management 263
Clasă de restricție 264
După-oră de Apel de blocare 266
Unified Communications Manager 267
Caracteristici de securitate și certificate 267
Integritatea și autentificare 269
Autentificarea imagine 270
Autentificarea dispozitiv 270
Autentificarea fișier 270
Semnalizare autentificare 271
Digest Autentificarea 271
autorizație 272
criptare 273
Semnalizare criptare 273
Media Encryption 274
Fișier de configurare Criptare 275
Orientarea configurare 275
Accesa dispozitivele 277
IP Phone 278
comutator 278
Atenuarea MAC CAM Inundații 278
Preveni Port Access 279
Preveni Extensii de rețea 280
Preveni frauduloase DHCP Server 280
Atenuarea DHCP atacurile DoS 281
Limita Răspunsurile ARP 282
VLAN ACL 282
Exemplu de implementare 284
rezumat 286
End Note 287
Referințe 287
Partea III : interceptare legală (Calea ) 289
Capitolul 10 : Bazele de interceptare legală 291
Definiție și trecut 292
Cerințele de la agenții de aplicare a legii 293
Modelul de referință de la un 294 de vedere arhitectural
AF ( Function Access ) 295
DF ( Funcție de livrare ) 295
CF ( Funcție Collection ) 296
SPAF ( Administrare furnizor de servicii Function ) 297
LEAF ( Enforcement Administration Drept Funcție ) 297
Cerere și Interfețe de răspuns 297
Considerații operaționale 300
Detectarea de către Abonat țintă 300
Adresa Informații pentru Call conținut Intercepție 301
Conținutul criptare 302
Crearea neautorizat și de detectare 303
Call Forwarding sau transfer 303
capacitate 304
rezumat 304
End Note 305
Capitolul 11 : legală de implementare Intercepție 307
Intercept Cerere Interface 308
SIP P - DCS Antet 309
Intercepta flux de proces pentru apeluri de ieșire 310
Flux de proces de interceptare pentru Apeluri de intrare 311
Cisco SII 313
Interfețe 314
Flux de proces de interceptare pentru Standard Call 316
Intercepta flux de proces pentru Call Forwarding 319
Flux de proces de interceptare pentru Conferința de apel 322
Predesign Considerații 325
Considerații de securitate 326
Exemplu de configurare 327
Apelul de date și conținut Interfețe de conectare 329
Call conținut Conexiune Interfata 330
Apel de date interfața de conectare 333
CDC Mesaje 333
Interfața între MD și LEA 339
rezumat 341
End Note 342
Referințe 342
index 345
Accesul clienţilor
-Top 10
-Cărţi noi
-- 344,25 leiPRP: 382,50 lei
- 1505,52 leiPRP: 1672,80 lei
- 546,21 leiPRP: 606,90 lei
Promoţii
-- 280,00 leiPRP: 350,00 lei
- 29,25 leiPRP: 45,00 lei
- 29,25 leiPRP: 45,00 lei
RECENZII