Embed Size (px)
Citation preview
목차
I. SIP-aware 응용 서비스 개요
II. 신규 SIP-aware 보안 이슈
III. SIP-aware 보안기술의 특성
IV. SIP-aware 보안위협 방지를 위한 기술적 대응 방안
SIP (Session Initiation Protocol) 프로토콜음성, 영상 등 멀티미디어 통신을 제어하기 위해 IETF 개발한 표준프로토콜
SIP-aware 응용서비스 정의SIP 시그널링 프로토콜을 이용하여 제공되는 다양한 응용서비스를 의미함
응용서비스 종류: VoIP, 비디오 컨퍼런싱, IM, 영상통화, Voice/Video 메일 등
I-1. SIP-Aware 서비스 개요
UnifiedCommunication
InstantMessaging
비디오컨퍼런싱 영상통화 Voice Mail인터넷전화
[SIP 기반 응용서비스]
<유무선 디바이스>
+
<어플리케이션>
I-2. SIP-Aware 서비스 제공 환경(1/2)
IP망 중심으로 다양한 엑세스망 통합 광대역 통합 인프라(BcN) 발전
VoIP, IPTV, Wibro 등 신규 융복합 서비스 출현
음성, 영상, 양방향 데이터 등 멀티미디어 중심 서비스(UC, MoIP, SoIP 등)
SIP-Aware 어플리케이션을 제공하는 스마트폰 등 복합 단말기 출현
<출처: 2006 Light Reading Webseminar 자료>
VoIP, IMS 등 차세대 유무선 통합 인프라 구조의 핵심 시그널링 프로토콜
I-2. SIP-Aware 서비스 제공 환경(2/2)
<출처: The Evolution of IMS, Huawei Tech, 2005>
시그널링 제어 경로와 미디어 데이터 전송 경로 상이
시그널링 프로토콜 H.323(ITU-T), SIP(IETF), 미디어 프로토콜 : RTP, RTCP, RTSP 사용
HTTP, E-mail 과 유사한 텍스트기반 프로토콜 사용호 제어 시 INVITE, BYE, CANCEL 등 Request 메소드 이용
응답은 숫자에 의한 상태코드를 전달 (1xx, 2xx, 3xx, 4xx, 5xx, 6xx)
사용자식별을 위해 E-mail 주소와 유사한 URIs(Uniform Resource Indicators) 사용
미디어 채널을 위한 단말 IP/Port 주소가 시그널링 채널을 통해 교환(SDP 내포)
I-3. SIP 프로토콜의 주요 특징
BobAliceRTP 미디어 채널
SIP 서버 SIP 서버
INVITE INVITE
100 Trying 180 Ringing
100 Trying200 OK
180 Ringing180 Ringing
200 OK
200 OK
BYE BYE
INVITEBYE
ACK
사이버 공격기법은 5세대에서 6세대로 변화하는 과정 중임
해킹기법의 다양화, 서비스 가용성에 대한 위협 증대, 유해 트래픽 폭증 등
호기심 및 실력 과시 금전적 이득 및 산업기밀 유출
I-4. 공격 기법의 진화
II. 신규 SIP-aware 보안 이슈
II-1. SIP-aware 신규 보안 위협(1/2)
기존 TCP/IP기반의 공격위협을 상속, 신규프로토콜 취약성을 이용한 공격 기법 출현
프라이버시 침해, 서비스 품질 저하 야기, 불법 서비스 사용 등 피해를 야기시켜SIP기반 응용서비스 확산에 장애물로 작용
SIP 서비스거부공격(INVITE floods, DDoS)
대량의 스팸 발송
스니핑 및 도청
Internet(기간사업자네트워크)
과금 우회 등서비스 오용 공격(SQL Injection,
Proxy 우회)
SIP 메시지 위조를이용한 통화방해공격(BYE, Cancel 공격)
SIP기반 응용서비스
CVE, VoIPSA 등 인터넷전화 관련 취약점 존재, 인터넷상에 공격 도구 공개
SIP Malformed 메시지 공격, SIP 교환장비 취약성 등 대다수
2006년부터 SANS TOP 20 취약점에 SIP 교환장비 취약점 포함
안철수 연구소는 ’09년 7대 보안 이슈로 ‘인터넷전화를 겨냥한 공격 가시화’ 예측
<SIP기반 음성서비스 대상취약점 보고건수, ’07년 McAfee 예측 자료> <인터넷에 공개된 공격도구>
취약점 高 위협 高 위험도 高
<2009년 7대 보안 이슈, 안철수 연구소, ’09.1.16>
II-2. SIP-aware 신규 보안 위협(2/2)
2004 2005 2006 2007 2008(전망치)
100
80
60
40
20
0
II-3. 해외 SIP-aware 보안 위협 사례
<VoIP 서버 해킹을 통한 회선 재판매 사례,’06년 뉴욕타임즈>
<청각장애인 비디오 컨퍼런스 단말 대상서비스 이용 장애 사례, ’08년 미국 유타주>
과금 사고의 경우 SIP-Aware 서비스 신뢰성 저하를 야기시키므로 대부분 미공개
SIP기반 해킹 공격 탐지 분석 도구 미비로 해킹 여부 판단하기 어려움
II-4. 도청 등 이용자 프라이버시 침해 공격(1/6)
인터넷상에 공개되어 있는 공개용 해킹 도구를 이용하여 통화내용을 도청함으로써심각한 프라이버시 침해 야기
제한된 LAN 환경에서 ARP Cache Poisoning 등을 이용하여 도청
ARP Cache PoisoningARP Cache PoisoningARP Cache Poisoning
LAN게이트웨이
김모씨
LAN게이트웨이
김모씨
스니핑
LAN게이트웨이
김모씨
게이트웨이 IP 의 MAC = [공격자 MAC 주소 ]
김모씨IP 의 MAC = [공격자 MAC 주소 ]
ARP Reply ARP Reply
공격자
LAN게이트웨이
김모씨
게이트웨이 IP 의 MAC = [공격자 MAC 주소 ]
김모씨IP 의 MAC = [공격자 MAC 주소 ]
ARP Reply ARP Reply
공격자
이용자 대상 위조된 호 설정 요청 메시지(INVITE) 대량 발생 시
사무실 환경에서 소음 유발 등 이용자들의 품질 불만 야기 및 신뢰성 저하시킴
사무실
공격자
Call Bombing 공격INVITE SIP 2.0 ….To: [email protected]: [email protected]: [email protected]……
II-4. 인터넷전화 서비스 이용자 대상 공격(2/6)
전화벨이 계속 울려요(소음유발) 전화가 갑자기 끊어져요
전화요금이 많이 나와요 벨 신호가 안가요
II-4. 교환장비/단말 대상 서비스거부공격(3/6)
다양한 계층(L2~L7)의 서비스거부 공격 발생 가능교환장비 리소스 고갈(CPU, 메모리), 회선 자원 고갈, 단말/교환장비 오작동, 서비스 불능 등
기존 DoS는 TCP/IP 계층을 대상, SIP-Specific DoS 응용계층(SIP/RTP) 대상SIP floods: INVITE flooding, Request Looping, Malformed 메시지 등
RTP floods(품질 저하 야기): RTP Insertion, RTP play-out 등
SIP 교환장비
REGISTERflood
INVITEof Death
감염 좀비 PC
정상 사용자
Malformed메시지SIP 어플리케이션
SIP RTP
TCP/UDP
IP
장비 리소스 고갈 및장비 먹통
정상 콜 요청처리 지연 불만 가중
멀티미디어 품질 저하
이용자 통화 불능
HTTP
다양한 계층 DoS 공격 발생
어플리케이션 및OS 취약성
INVITE floodMalformed Attack
Smurf, UDP floodSYN flood
IP flood
II-4. SIP 메시지를 이용한 악성코드 피해(4/6)
SIP 메시지를 이용한 악성코드로 개인 정보 유출, PC 다운, 서비스 오용공격 등
2, 3차 피해 발생 야기
악성코드 감염,정보 유출, PC 다운 등
인터넷
① 악성코드 삽입SIP 메시지
5060 포트
SIP기반 어플리케이션
② 악성코드 실행
③ 개인정보 유출
VoIPSoft-phone
Instant Messenger
UCCommunicator
사용자 A 사용자 B
공격자
SIP 교환장비
BYE, CANCEL, reINVITE, UPDATE
INVITEINVITE
사용자 A SIP 서버 사용자 B 공격자
미디어세션
종료/중단
<통화방해/중단 공격 Flow><통화방해/중단 공격 개념도>
Junk RTP 삽입
II-4. 통화 방해 및 중단 공격(5/6)
위조 SIP 메시지를 이용하여 현재 연결중인 통화 세션 종료, 중단, 재연결
공격자는 지속적인 스니핑을 통해 통화 정보 획득(Call-ID, To, From tag)
BYE, CANCEL, UPDATE, reINVITE 공격 등
위조된 Junk RTP 패킷을 미디어 세션에 삽입하여 음성 품질 저하 야기
SSRC, Timestamp 정보 이용 : RTP SSRC Collision, RTP play-out
II-4. 불법 스팸(6/6)
저렴한 비용으로, 자동화된 공격 도구를 이용하여 손쉽게 대량전송이 가능
대량 스팸을 시간에 구애 받지 않고 정상사용자 여부를 검증하는 인증절차를 우회하여 발송
사생활 침해, 금전 갈취 등 사회문제 유발
Call 스팸 IM 스팸
• 사용자가 통화 수락 시 음성통화 또는음성사서함을 통해 스팸광고 발송
• SIP 메시지에 텍스트 형식의 광고 문구를기재하여 호가 연결되지 않아도 자동으로광고문구를 보여줌
Presence SPAM
• 위치 정보 제공 메시지를 통해 광고문구를
삽입하여 광고 발송(Subscribe 메시지 활용)
III. SIP-aware 보안기술의 특성
III-1. SIP-aware 보안기술의 특성(1/3)
공격자SIP Flooding 공격SIP 과금우회공격RTP Flooding 공격SQL 인젝션 공격기타 공격
SIP 5060포트 오픈
RTP 랜덤포트 오픈
SIP 어플리케이션서버
SIP 시그널링 포트및 랜덤하게 열린 포트로 보안상 Hole이 존재
SIP
RTPSDP
시그널링 포트 5060 및 미디어 데이터 전송을 위한 동적 RTP 포트 반드시 Open오픈된 SIP,RTP 포트를 통한 Flooding DOS, 스팸,SQL 인젝션 공격 등
응용계층(SIP, RTP) 헤더 및 페이로드 분석을 통한 탐지/대응의 한계기존 IDS/IPS 등 SIP, RTP 헤더필드분석(From,to,URI,Call-id,Via 등)을 하지 못함
분리된 SIP 시그널 정보와 미디어 정보(RTP)를 상호 연계하여 탐지/대응 한계SIP/RTP 프로토콜간 상호연관성을 분석하지 못하므로 비정상적인 RTP 통신 제어 하지 못함
III-1. SIP-aware 보안기술의 특성(2/3)
F/W 등 기존 IP망의 보안기술은 SIP 교환장비 및 네트워크 보호에 충분하지 않음기존 보안기술과 SIP 전용 보안기술은 Layer 별로 공격 대응 능력 및 범위가 다름
SIP기반서비스망
TCP SYN floods
UDP floods
Ping of Death
Smurf
ARP floods
Worm
스캔 공격
SIP 취약성 공격
BYE/CANCEL AttackSIP 세션하이재킹INVITE flood 등
웹공격
SQL 인젝션HTTP Get floodXSS 공격 등
이메일 기반 공격
악성코드이메일 스팸버퍼 오버플로우
웹방화벽(HTTP)
이메일 보안 솔류션
기존 FW/IPS
SIP-Aware보안기술
III-1. SIP-aware 보안기술의 특성(3/3)
통화방해공격(BYE/CANCEL Attack)
도청, 패스우드 추측(스니핑)
Call 하이재킹 &과금 우회 공격
SIP 서비스거부공격
SIP 웹취약성(XSS)
불법 스팸
암호 및 인증 기술(TLS, SRTP, IPSEC 등)
SIP 침입탐지/차단기술(SIP 방화벽/IPS 등)
IP-PBX, 소프트스위치 등교환장비 해킹
보안 위협 보안 기술 영역
SIP 기반불법 스팸 대응 기술
SIP기반 응용서비스 확산 및 신규 취약성 출현에 따라, SIP-aware 보안기술이 필요함
IV. SIP-aware 보안위협 방지를 위한기술적 대응 방안
IV-1. SIP-aware 보안기술-암호 및 인증기술(1/2)
• 암호화된 데이터를 주고 받는 프로토콜
• IP-Sec, TLS, DTLS, SRTP 등보안 프로토콜
암호화 방법
키 교환 방식
• 전달할 데이터를 암호화를 하는 것
• AES, SEED, ARIA 등
• 데이터 암호화를 위한 키를 상호간에 전달하는 방법을 정의한 것
• MIKEY, SDES 등
+
+
IV-1. SIP-aware 보안기술-암호 및 인증기술(2/2)
제어신호 및 통화내용에 표준화된 인증 및 암호기술 적용
SIP 사용자 SIP 사용자
SIP Proxy SIP Proxy
SIP Registrar SIP Registrar
HTTP Digest TLS/IPSec/DTLS
TLS/IPSec/DTLS
S/MIME
SRTP(MIKEY/SDES)
HTTP Digest TLS/IPSec/DTLS
HTTP Digest TLS/IPSec/DTLS
HTTP Digest TLS/IPSec/DTLS
IV-2. SIP-aware 보안기술-침입탐지/차단
SIP-aware 전용 침입탐지기술
SIP 헤더와 필드 값까지 확장 검사하여 탐지
SIP, RTP 연관성 분석 : 호 설정된 RTP 미디어 트래픽을 분석하여 탐지
SIP-aware 전용 방화벽
반드시 오픈 해야 하는 SIP(5060) 포트 및 동적 RTP 포트에 대한 접근통제
IP/Port 뿐만 아니라 SIP 헤더 필드(To, From 등) 내포된 URI 주소를 기반 접근통제
Signaling(5060)
RTP 미디어(1024~65534)`
SBC, 소프트스위치,IP-PBX, SIP 서버 등단말 SIP-Aware 침입탐지/차단
VoIP Deep Packet Inspection
Cross Protocol Detection
VoIP 세션 Stateful Detection
Protocol Anomaly Detection
IP 주소/PortPayload
HTTP 헤더, CookieURL, Form 필드
SIP 메소드, 헤더필드, URI, 상태 코드 등
F/W IPS, 웹방화벽
기존 Data 보안장비분석 범위
SIP 보안장비 분석 범위 IP 주소/Port
SIP, RTP 프로토콜 연관성 분석
IV-3. SIP-aware 보안기술-비정상 트래픽 모니터링 기술
이기종 다양한 SIP 서비스를 제공하는 교환장비 대상으로 보안관리
SIP-Aware 서비스 대상의 공격 탐지 등 보안 이벤트 정보들의 연관성 분석
멀티미디어 품질 최소화를 위한 DDoS 등 비정상 SIP-Aware 트래픽 모니터링
IV-4. SIP-aware 보안기술-스팸 대응 기술(1/2)
구분 발신도메인 경유
도메인 수신도메인
단계
세부기능
SIP_URI 기반블랙리스트필터링From, Subject 필드 기반 SPIM 키워드 필터링
caller 발신행위 기반스팸지수 도출
※ 6가지 호속성 기준
Gray list인 경우,Turing test 실시
SIP SPF SIP_URI 기반블랙리스트차단From, Subject필드 기반 SPIM 키워드 필터링
수신모드 설정수신자 블랙/화이트리스트설정스팸간편신고
발신호필터링
그레이리스트
튜어링테스트
SIP SPF
수신호필터링
단말필터링
IV-4. SIP-aware 보안기술-스팸 대응 기술(2/2)
사용자 평판기반 통합 블랙리스트 관리 및 국가간 공조 협력
발신 • 경유 • 수신 도메인간 서버등록 기반 발신 프락시 인증기술(SIP SPF)
사업자별 통화내역기록(CDR:Call Detail Record) 형식 일원화
사용자 평판기반 실시간 블랙리스트 공유
발신 프락시
RBL
SIP-SPF
스팸 대응정책 서버
사용자 평판시스템(URS)
스팸 차단시스템 스팸 대응
정책 서버
스팸 차단시스템
VoIP 스팸수집시스템
기간사업자
별정사업자
기간사업자
경유 프락시 수신 프락시
인터넷
• SPF : Sender Policy Framework• URS : User Reputation System• RBL : Real-time Black-hole List
IP 데이터망과 음성망 분리(VLAN 등 사용)SIP기반 응용서비스를 제공하는 단말기, 교환장비 등 주기적인 보안 업데이트사용자 및 단말 인증 등 접근 통제
IV-5. 안전한 SIP-aware 응용서비스 환경 구축
VLAN
가입자음성망
가입자데이터망
사업자데이터망
사업자음성망
단말 MAC 주소 등록
등록되지 않은단말 데이터
차단
MAC 주소 인증 및 접근 차단ARP Cache Poisoning 공격 대응
사용자 인증
HTTP 다이제스트
인증
단말인증
접근통제음성망과 데이터망 분리
감사합니다.
![[若渴計畫]CVE 2014-9322, CVE-2015-0235, CVE-2009-3547](https://img.dokumen.tips/doc/110x75/55ab61d71a28ab5b2f8b479b/cve-2014-9322-cve-2015-0235-cve-2009-3547.jpg)
