한국정보보호진흥원

Size: px

Start display at page:

Download "한국정보보호진흥원"

슬기 내
5 years ago
Views:

1 Security Issues for SIP Aware Services 한국정보보호진흥원원유재단장

2 목차 I. SIP-aware 응용서비스개요 II. III. IV. 신규 SIP-aware 보안이슈 SIP-aware 보안기술의특성 SIP-aware 보안위협방지를위한기술적대응방안

3 I-1. SIP-Aware 서비스개요 SIP (Session Initiation Protocol) 프로토콜 음성, 영상등멀티미디어통신을제어하기위해 IETF 개발한표준프로토콜 SIP-aware 응용서비스정의 SIP 시그널링프로토콜을이용하여제공되는다양한응용서비스를의미함 응용서비스종류 : VoIP, 비디오컨퍼런싱, IM, 영상통화, Voice/Video 메일등 [SIP 기반응용서비스 ] 인터넷전화 Instant Messaging Unified Communication 비디오컨퍼런싱 영상통화 Voice Mail + < 유무선디바이스 > < 어플리케이션 >

4 I-2. SIP-Aware 서비스제공환경 (1/2) IP망중심으로다양한엑세스망통합 광대역통합인프라 (BcN) 발전 VoIP, IPTV, Wibro 등신규융복합서비스출현음성, 영상, 양방향데이터등멀티미디어중심서비스 (UC, MoIP, SoIP 등 ) SIP-Aware 어플리케이션을제공하는스마트폰등복합단말기출현 < 출처 : 2006 Light Reading Webseminar 자료 >

5 I-2. SIP-Aware 서비스제공환경 (2/2) VoIP, IMS 등차세대유무선통합인프라구조의핵심시그널링프로토콜 < 출처 : The Evolution of IMS, Huawei Tech, 2005>

6 I-3. SIP 프로토콜의주요특징 시그널링제어경로와미디어데이터전송경로상이 시그널링프로토콜 H.323(ITU-T), SIP(IETF), 미디어프로토콜 : RTP, RTCP, RTSP 사용 HTTP, 과유사한텍스트기반프로토콜사용 호제어시 INVITE, BYE, CANCEL 등 Request 메소드이용 응답은숫자에의한상태코드를전달 (1xx, 2xx, 3xx, 4xx, 5xx, 6xx) 사용자식별을위해 주소와유사한 URIs(Uniform Resource Indicators) 사용미디어채널을위한단말 IP/Port 주소가시그널링채널을통해교환 (SDP 내포 ) SIP 서버 INVITE BYE SIP 서버 BYE INVITE 180 Ringing 100 Trying 200 OK 100 Trying 200 OK 180 Ringing ACK 200 OK 180 Ringing BYE INVITE Alice RTP 미디어채널 Bob

7 I-4. 공격기법의진화 사이버공격기법은 5 세대에서 6 세대로변화하는과정중임 해킹기법의다양화, 서비스가용성에대한위협증대, 유해트래픽폭증등 호기심및실력과시 금전적이득및산업기밀유출

8 II. 신규 SIP-aware 보안이슈

DDoS) SIP 메시지위조를이용한통화방해공격 (BYE, Cancel 공격 )

9 II-1. SIP-aware 신규보안위협 (1/2) 기존 TCP/IP 기반의공격위협을상속, 신규프로토콜취약성을이용한공격기법출현 프라이버시침해, 서비스품질저하야기, 불법서비스사용등피해를야기시켜 SIP 기반응용서비스확산에장애물로작용 SIP 기반응용서비스 스니핑및도청 SIP 서비스거부공격 (INVITE floods, DDoS) SIP 메시지위조를이용한통화방해공격 (BYE, Cancel 공격 ) 대량의스팸발송 Internet ( 기간사업자네트워크 ) 과금우회등서비스오용공격 (SQL Injection, Proxy 우회 )

10 II-2. SIP-aware 신규보안위협 (2/2) CVE, VoIPSA 등인터넷전화관련취약점존재, 인터넷상에공격도구공개 SIP Malformed 메시지공격, SIP 교환장비취약성등대다수 2006년부터 SANS TOP 20 취약점에 SIP 교환장비취약점포함안철수연구소는 09년 7대보안이슈로 인터넷전화를겨냥한공격가시화 예측 취약점高위협高위험도高 ( 전망치 ) <SIP 기반음성서비스대상취약점보고건수, 07 년 McAfee 예측자료 > < 인터넷에공개된공격도구 > <2009 년 7 대보안이슈, 안철수연구소, >

11 II-3. 해외 SIP-aware 보안위협사례 과금사고의경우 SIP-Aware 서비스신뢰성저하를야기시키므로대부분미공개 SIP 기반해킹공격탐지분석도구미비로해킹여부판단하기어려움 <VoIP 서버해킹을통한회선재판매사례, 06 년뉴욕타임즈 > < 청각장애인비디오컨퍼런스단말대상서비스이용장애사례, 08 년미국유타주 >

12 II-4. 도청등이용자프라이버시침해공격 (1/6) 인터넷상에공개되어있는공개용해킹도구를이용하여통화내용을도청함으로써 심각한프라이버시침해야기 제한된 LAN 환경에서 ARP Cache Poisoning 등을이용하여도청 ARP Cache Poisoning 김모씨 LAN 게이트웨이 게이트웨이 IP 의 MAC = [ 공격자 MAC 주소 ] 김모씨 IP 의 MAC = [ 공격자 MAC 주소 ] ARP Reply ARP Reply 공격자 김모씨 LAN 게이트웨이 스니핑

전화요금이많이나와요 전화가갑자기끊어져요 벨신호가안가요 사무실 공격자 Call Bombing 공격 INVITE

13 II-4. 인터넷전화서비스이용자대상공격 (2/6) 이용자대상위조된호설정요청메시지 (INVITE) 대량발생시 사무실환경에서소음유발등이용자들의품질불만야기및신뢰성저하시킴 전화벨이계속울려요 ( 소음유발 ) 전화요금이많이나와요 전화가갑자기끊어져요 벨신호가안가요 사무실 공격자 Call Bombing 공격 INVITE SIP 2.0. To: 4015@ To: 4016@ To: 4017@

14 II-4. 교환장비 / 단말대상서비스거부공격 (3/6) 다양한계층 (L2~L7) 의서비스거부공격발생가능 교환장비리소스고갈 (CPU, 메모리 ), 회선자원고갈, 단말 / 교환장비오작동, 서비스불능등 기존 DoS 는 TCP/IP 계층을대상, SIP-Specific DoS 응용계층 (SIP/RTP) 대상 SIP floods: INVITE flooding, Request Looping, Malformed 메시지등 RTP floods( 품질저하야기 ): RTP Insertion, RTP play-out 등 다양한계층 DoS 공격발생 어플리케이션및 OS 취약성 SIP 어플리케이션 멀티미디어품질저하 Malformed 메시지 SIP 교환장비 장비리소스고갈및장비먹통 INVITE flood Malformed Attack Smurf, UDP flood SYN flood IP flood SIP RTP TCP/UDP IP HTTP REGISTER flood INVITE of Death 정상사용자 이용자통화불능 감염좀비 PC 정상콜요청처리지연불만가중

15 II-4. SIP 메시지를이용한악성코드피해 (4/6) SIP 메시지를이용한악성코드로개인정보유출, PC 다운, 서비스오용공격등 2, 3 차피해발생야기 SIP 기반어플리케이션 1 악성코드삽입 SIP 메시지 5060 포트 2 악성코드실행 UC Communicator VoIP Soft-phone 인터넷 3 개인정보유출 악성코드감염, 정보유출, PC 다운등 Instant Messenger

정보이용 : RTP SSRC Collision, RTP play-out SIP 교환장비 사용자 A SIP 서버사용자 B 공격자 INVITE INVITE 미디어 세션 사용자

16 II-4. 통화방해및중단공격 (5/6) 위조 SIP 메시지를이용하여현재연결중인통화세션종료, 중단, 재연결 공격자는지속적인스니핑을통해통화정보획득 (Call-ID, To, From tag) BYE, CANCEL, UPDATE, reinvite 공격등위조된 Junk RTP 패킷을미디어세션에삽입하여음성품질저하야기 SSRC, Timestamp 정보이용 : RTP SSRC Collision, RTP play-out SIP 교환장비 사용자 A SIP 서버사용자 B 공격자 INVITE INVITE 미디어 세션 사용자 A 종료 / 중단 사용자 B Junk RTP 삽입 BYE, CANCEL, reinvite, UPDATE 공격자 < 통화방해 / 중단공격개념도 > < 통화방해 / 중단공격 Flow>

17 II-4. 불법스팸 (6/6) 저렴한비용으로, 자동화된공격도구를이용하여손쉽게대량전송이가능 대량스팸을시간에구애받지않고정상사용자여부를검증하는인증절차를우회하여발송 사생활침해, 금전갈취등사회문제유발 Call 스팸 사용자가통화수락시음성통화또는 음성사서함을통해스팸광고발송 IM 스팸 SIP 메시지에텍스트형식의광고문구를기재하여호가연결되지않아도자동으로광고문구를보여줌 Presence SPAM 위치정보제공메시지를통해광고문구를삽입하여광고발송 (Subscribe 메시지활용 )

18 III. SIP-aware 보안기술의특성

SIP 시그널정보와미디어정보 (RTP) 를상호연계하여탐지 / 대응한계 SIP/RTP 프로토콜간상호연관성을분석하지못하므로비정상적인 RTP

19 III-1. SIP-aware 보안기술의특성 (1/3) 시그널링포트 5060 및미디어데이터전송을위한동적 RTP 포트반드시 Open 오픈된 SIP,RTP 포트를통한 Flooding DOS, 스팸,SQL 인젝션공격등 응용계층 (SIP, RTP) 헤더및페이로드분석을통한탐지 / 대응의한계 기존 IDS/IPS 등 SIP, RTP 헤더필드분석 (From,to,URI,Call-id,Via 등 ) 을하지못함 분리된 SIP 시그널정보와미디어정보 (RTP) 를상호연계하여탐지 / 대응한계 SIP/RTP 프로토콜간상호연관성을분석하지못하므로비정상적인 RTP 통신제어하지못함 SIP 시그널링포트및랜덤하게열린포트로보안상 Hole 이존재 공격자 SIP Flooding 공격 SIP 과금우회공격 RTP Flooding 공격 SQL 인젝션공격 기타공격 RTP SIP S D P SIP 5060 포트오픈 RTP 랜덤포트오픈 SIP 어플리케이션서버

Layer 별로공격대응능력및범위가다름 기존 FW/IPS 웹방화벽 (HTTP) TCP SYN floods UDP floods Ping of Death

20 III-1. SIP-aware 보안기술의특성 (2/3) F/W 등기존 IP 망의보안기술은 SIP 교환장비및네트워크보호에충분하지않음 기존보안기술과 SIP 전용보안기술은 Layer 별로공격대응능력및범위가다름 기존 FW/IPS 웹방화벽 (HTTP) TCP SYN floods UDP floods Ping of Death Smurf ARP floods Worm 스캔공격 웹공격 SQL 인젝션 HTTP Get flood XSS 공격등 SIP 취약성공격 BYE/CANCEL Attack SIP 세션하이재킹 INVITE flood 등 이메일기반공격 악성코드이메일스팸버퍼오버플로우 SIP-Aware 보안기술 SIP 기반서비스망 이메일보안솔류션

21 III-1. SIP-aware 보안기술의특성 (3/3) SIP 기반응용서비스확산및신규취약성출현에따라, SIP-aware 보안기술이필요함 보안위협 도청, 패스우드추측 ( 스니핑 ) Call 하이재킹 & 과금우회공격 통화방해공격 (BYE/CANCEL Attack) 보안기술영역 암호및인증기술 (TLS, SRTP, IPSEC 등 ) SIP 서비스거부공격 SIP 웹취약성 (XSS) IP-PBX, 소프트스위치등교환장비해킹 불법스팸 SIP 침입탐지 / 차단기술 (SIP 방화벽 /IPS 등 ) SIP 기반불법스팸대응기술

22 IV. SIP-aware 보안위협방지를위한 기술적대응방안

23 IV-1. SIP-aware 보안기술 - 암호및인증기술 (1/2) 보안프로토콜 암호화된데이터를주고받는프로토콜 IP-Sec, TLS, DTLS, SRTP 등 + 암호화방법 + 키교환방식 전달할데이터를암호화를하는것 AES, SEED, ARIA 등 데이터암호화를위한키를상호간에전달하는방법을정의한것 MIKEY, SDES 등

Digest TLS/IPSec/DTLS HTTP Digest TLS/IPSec/DTLS S/MIME HTTP Digest

24 IV-1. SIP-aware 보안기술 - 암호및인증기술 (2/2) 제어신호및통화내용에표준화된인증및암호기술적용 SIP Proxy TLS/IPSec/DTLS SIP Proxy SIP Registrar SIP Registrar HTTP Digest TLS/IPSec/DTLS HTTP Digest TLS/IPSec/DTLS S/MIME HTTP Digest TLS/IPSec/DTLS HTTP Digest TLS/IPSec/DTLS SIP 사용자 SRTP(MIKEY/SDES) SIP 사용자

IV-2. SIP-aware 보안기술 - 침입탐지 / 차단 SIP-aware 전용침입탐지기술 SIP 헤더와필드값까지확장검사하여탐지 SIP, RTP 연관성분석 : 호설정된 RTP 미디어트래픽을분석하여탐지 SIP-aware 전용방화벽 반드시오픈해야하는 SIP(5060) 포트및동적 RTP 포트에대한접근통제 IP/Port 뿐만아니라 SIP 헤더필드 (To,

25 IV-2. SIP-aware 보안기술 - 침입탐지 / 차단 SIP-aware 전용침입탐지기술 SIP 헤더와필드값까지확장검사하여탐지 SIP, RTP 연관성분석 : 호설정된 RTP 미디어트래픽을분석하여탐지 SIP-aware 전용방화벽 반드시오픈해야하는 SIP(5060) 포트및동적 RTP 포트에대한접근통제 IP/Port 뿐만아니라 SIP 헤더필드 (To, From 등 ) 내포된 URI 주소를기반접근통제 SIP, RTP 프로토콜연관성분석 Signaling (5060) VoIP Deep Packet Inspection Cross Protocol Detection VoIP 세션 Stateful Detection 단말 RTP 미디어 (1024~65534)` F/W IPS, 웹방화벽 Protocol Anomaly Detection SIP-Aware 침입탐지 / 차단 SBC, 소프트스위치, IP-PBX, SIP 서버등 기존 Data 보안장비분석범위 IP 주소 /Port Payload HTTP 헤더, Cookie URL, Form 필드 SIP 보안장비분석범위 IP 주소 /Port SIP 메소드, 헤더필드, URI, 상태코드등

26 IV-3. SIP-aware 보안기술 - 비정상트래픽모니터링기술 이기종다양한 SIP 서비스를제공하는교환장비대상으로보안관리 SIP-Aware 서비스대상의공격탐지등보안이벤트정보들의연관성분석 멀티미디어품질최소화를위한 DDoS 등비정상 SIP-Aware 트래픽모니터링

27 IV-4. SIP-aware 보안기술 - 스팸대응기술 (1/2) 구분 발신도메인 경유도메인 수신도메인 단계 세부기능 SIP_URI 기반블랙리스트필터링 From, Subject 필드기반 SPIM 키워드필터링 신호필터링스팸간편신고발caller 발신행위기반스팸지수도출 6가지호속성기준 그레이리스트Gray list인경우, Turing test 실시 수신호SIP 필트SPF 터링튜어링테스SIP SPF SIP_URI 기반블랙리스트차단 From, Subject 필드기반 SPIM 키워드필터링 수신모드설정수신자블랙 / 화이트리스트설정 단말필터링

28 IV-4. SIP-aware 보안기술 - 스팸대응기술 (2/2) 사용자평판기반통합블랙리스트관리및국가간공조협력 발신 경유 수신도메인간서버등록기반발신프락시인증기술 (SIP SPF) 사업자별통화내역기록 (CDR:Call Detail Record) 형식일원화 발신프락시 경유프락시 수신프락시 스팸대응정책서버 별정사업자 기간사업자 기간사업자 스팸차단시스템 인터넷 사용자평판기반실시간블랙리스트공유 SIP-SPF VoIP 스팸수집시스템 RBL 사용자평판시스템 (URS) 스팸대응정책서버 스팸차단시스템 SPF : Sender Policy Framework URS : User Reputation System RBL : Real-time Black-hole List

접근통제 VLAN 가입자음성망 가입자데이터망 단말인증 MAC 주소인증및접근차단 ARP Cache

29 IV-5. 안전한 SIP-aware 응용서비스환경구축 IP 데이터망과음성망분리 (VLAN 등사용 ) SIP 기반응용서비스를제공하는단말기, 교환장비등주기적인보안업데이트 사용자및단말인증등접근통제 음성망과데이터망분리 접근통제 VLAN 가입자음성망 가입자데이터망 단말인증 MAC 주소인증및접근차단 ARP Cache Poisoning 공격대응 단말 MAC 주소등록 사업자음성망 사업자데이터망 사용자인증 HTTP 다이제스트인증 등록되지않은단말데이터차단

30 감사합니다.

354-437-4..

354-437-4.. 357 358 4.3% 5.1% 8.2% 6.2% 5.6% 6% 5% 5.3% 96.1% 85.2% 39.6% 50.8% 82.7% 86.7% 28.2% 8.0% 60.0% 60.4% 18,287 16,601 (%) 100 90 80 70 60 50 40 86.6% 80.0% 77.8% 57.6% 89.7% 78.4% 82.1% 59.0% 91.7% 91.4%