Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
06.02.2019 | Essen
Abschaltung von ISDN – Der BSI-konforme
Sprachanschluss
13.02.2019 Abschaltung von ISDN – Der BSI-konforme Sprachanschluss Seite 2
Agenda
1. SBC Grundlagen
2. Wieso EAL 4+ Zertifikat?
3. Architektur des secunet SBC
4. Überblick
13.02.2019 Abschaltung von ISDN – Der BSI-konforme Sprachanschluss Seite 3
Was ist ein Session Border Controller?
13.02.2019 Abschaltung von ISDN – Der BSI-konforme Sprachanschluss Seite 4
Mögliche Angriffsvektoren
Registrierungsflut Eindringlinge
DoS Angriffe
Datendiebstahl
Illegaler Datenverehr
13.02.2019 Abschaltung von ISDN – Der BSI-konforme Sprachanschluss Seite 5
Die Definition: Session Border Controller (SBC)
Ein Session Border Controller (SBC) ist eine Netzwerkkomponente zur sicheren Kopplung von verschiedenen
IP-Telefonnetzen mit unterschiedlichen Sicherheitsanforderungen
Klassisches Einsatzgebiet:
Absicherung IP-basierter Telefonie (VoIP) zur Kontrolle von Mediendaten sowie Aufbau, Vermittlung und Abbau.
Nach § 109 Abs. 1 Telekommunikationsgesetz (TKG) ist der Diensteanbieter verpflichtet, angemessene technische Vorkehrungen oder
sonstige Maßnahmen zum Schutze des Fernmeldegeheimnisses und personenbezogener Daten und der Sicherheit der
Telekommunikations- und Datenverarbeitungssysteme gegen unerlaubte Zugriffe zu treffen. Für den Diensteanbieter hat dies zur Folge,
dass Schutzmaßnahmen sich der dynamischen technischen Entwicklung anpassen müssen.
13.02.2019 Abschaltung von ISDN – Der BSI-konforme Sprachanschluss Seite 6
Agenda
1. SBC Grundlagen
2. Wieso EAL 4+ Zertifikat?
3. Architektur des secunet SBC
4. Überblick
13.02.2019 Abschaltung von ISDN – Der BSI-konforme Sprachanschluss Seite 7
Produkt Motivation
In Regierungsnetzen werden an Netzübergängen EAL4+-zertifizierte Application
Layer Gateways gefordert.
Die Anbindung an das öffentliche Telefonnetz erfolgt zur Zeit noch über ISDN.
Allerdings ist absehbar, dass auch der Übergang zum öffentlichen Netz in
einigen Jahren per IP/SIP realisiert werden muss. Zu diesem Zweck ist ein
EAL4+-zertifizierter Session Border Controller (SBC) notwendig.
Auch auf Teilnehmerseite sowie zentral werden für SIP-Trunks zwischen einer
IP-TK-Anlage und der zentralen Sprachvermittlung des IVBB mittelfristig
zertifizierte Session Border Controller benötigt (Trennung der Nutzer
untereinander, Trennung Sprachnetz/Datennetz).
– Bundesamt für Sicherheit in der Informationstechnik, 2013
„
“
13.02.2019 Abschaltung von ISDN – Der BSI-konforme Sprachanschluss Seite 8
Sicherheitsvorgaben nach Common Criteria – Grundlagen
Was ist Common Criteria? Die Common Criteria for Information Technology Security Evaluation
(Allgemeine Kriterien für die Bewertung der Sicherheit von Informationstechnologie)
sind ein internationaler Standard zur Prüfung und Bewertung der
Sicherheitseigenschaften von IT-Produkten.
Wie erhält man eine Zertifizierung nach CC? Das Produkt muss zunächst von einer externen akkreditierten Prüfstelle evaluiert
werden und kann dann bei einer Zertifizierungsstelle (in Deutschland das BSI)
vorgelegt und zertifiziert werden
Was ist der Mehrwert des Kunden durch eine Zertifizierung nach CC? Detaillierte Schwachstellenanalyse (ausführliche Dokumentation)
Validiert durch eine vom BSI zugelassene externe Prüfstelle
„doppelte Qualitätskontrolle“
Vertrauen in das evaluierte Produkt
13.02.2019 Abschaltung von ISDN – Der BSI-konforme Sprachanschluss Seite 9
Sicherheitsvorgaben nach Common Criteria – Prozess
Erstellt Security Target und
erforderliche Dokumentation
Ertüchtigt
Entwicklungsumgebung und
führt Herstellertests durch
Evaluiert Security Target und
Dokumentation
Auditiert die
Entwicklungsumgebung und
führt unabhängige Tests durch
Nimmt Prüfberichte ab
Erstellt und veröffentlicht
Zertifikat
Hersteller Prüfstelle Zertifizierungsstelle
13.02.2019 Abschaltung von ISDN – Der BSI-konforme Sprachanschluss Seite 10
Die Common Criteria definieren sieben Sicherheitsstufen
(Evaluation Assurance Level)
Diese Stufen beschreiben die Korrektheit der
Implementierung des betrachteten Systems bzw. die Prüftiefe
Mit steigender Stufe steigen die Anforderungen an die
Tiefe, in der der Hersteller sein Produkt beschreiben muss
und mit dem das Produkt geprüft wird
Die CC Zertifizierung ist nur bis zur Stufe EAL 4 international
anerkannt.
Sicherheitsvorgaben nach Common Criteria – Zertifizierungsstufen
13.02.2019 Abschaltung von ISDN – Der BSI-konforme Sprachanschluss Seite 11
Zeilen: AVA_VAN (Vulnerability Assessment)
Innerhalb der EAL Stufen wird zusätzlich noch in verschiedene Angriffsstärken bzw. Schwachstellen unterteilt
• AVA_VAN 1: Vulnerability survey
• AVA_VAN 2: Vulnerability analysis
• AVA_VAN 3: Focused vulnerability analysis
• AVA_VAN 4: Methodical vulnerability analysis
• AVA_VAN 5: Advanced methodical vulnerability analysis
Spalten: Bedrohungen / Angriffsmuster
Sicherheitsvorgaben nach Common Criteria – Schwachstellenanalyse
13.02.2019 Abschaltung von ISDN – Der BSI-konforme Sprachanschluss Seite 12
Agenda
1. SBC Grundlagen
2. Wieso EAL 4+ Zertifikat?
3. Architektur des secunet SBC
4. Überblick
13.02.2019 Abschaltung von ISDN – Der BSI-konforme Sprachanschluss Seite 13
SBC allein schon sicher genug? – Sicherheitsfunktion eines SBC
Filtert Audio- und Videopakete nach Inhalt
Untersucht Pakete im Layerbereich 5-7
Hauptsächlich SIP, RTP/SRTP, etc.
Erkennt Angriffe anhand von Blacklists/Whitelists
Regelbasiertes Greylisting (Daten in Quarantäne)
Bricht Verschlüsselung auf (Deep Packet Inspection)
Verfügt zusätzlich über Anomalie Erkennung
Verschleierung der Netz-Typologie
Zentralisiertes Management
Remote konfigurierbar
Echtzeit Monitoring
SBC
Monitor
VoIP-Netz A
Builder
VoIP-Netz B
13.02.2019 Abschaltung von ISDN – Der BSI-konforme Sprachanschluss Seite 14
Filtert Datenpakete nach Absender/Empfänger (Header)
Untersucht Pakete im Layerbereich 2-4
Hauptsächlich IP, TCP, UDP, etc.
Erkennt Angriffe anhand von Blacklists/Whitelists
Regelbasiertes Greylisting (Daten in Quarantäne)
Filtert dynamisch (Stateful Packet Inspection)
Zentralisiertes Management
Remote konfigurierbar
SBC allein schon sicher genug? – Sicherheitsfunktion einer Firewall
Paketfilter
Management
Ungesichertes Netzwerk
(Internet)
Geschützte
Systeme
13.02.2019 Abschaltung von ISDN – Der BSI-konforme Sprachanschluss Seite 15
SBC allein schon sicher genug? – Unified Communication Firewall
Filtert alle Pakete nach Header UND Inhalt
Untersucht Pakete im Layerbereich 2-7
Firewall mit integriertem SBC
Vereint Vorteile beider Komponenten in einem
Dadurch sowohl Deep Packet Inspection (DPI)
als auch Stateful Packet Inspection (SPI)
Zentralisiertes Management
Remote konfigurierbar
Echtzeit Monitoring
Profitiert zusätzlich von einer DMZ Struktur
SBC in einem isolierten Container auf der Firewall
Firewall
SBC
13.02.2019 Abschaltung von ISDN – Der BSI-konforme Sprachanschluss Seite 16
secunet SBC als Perimeterschutz
13.02.2019 Abschaltung von ISDN – Der BSI-konforme Sprachanschluss Seite 17
Free Call
Transparenz im Netz – ABC Monitor
1
7
Call Dashboard – optimale Analysemöglichkeit im Fehlerfall
13.02.2019 Abschaltung von ISDN – Der BSI-konforme Sprachanschluss Seite 18
Fraud detection – Geografische Darstellung
1
8
13.02.2019 Abschaltung von ISDN – Der BSI-konforme Sprachanschluss Seite 19
ABC Monitor: Vollständiges SIP Lagebild
Alarmierung Netzwerk Troubleshooting
Sicherheitsvorfälle
Ressourcenknappheit
Konfigurierbare Schwellwerte
Reporting Auslastung/Nutzung
Sicherheits-Events
Statistiken
Wartung Fehler Anzeige
Fehler Lokalisierung
Fehler Behebung
13.02.2019 Abschaltung von ISDN – Der BSI-konforme Sprachanschluss Seite 20
Agenda
1. SBC Grundlagen
2. Wieso EAL 4+ Zertifikat?
3. Architektur des secunet SBC
4. Überblick
13.02.2019 Abschaltung von ISDN – Der BSI-konforme Sprachanschluss Seite 21
Der erste zertifizierte SBC – technische Umsetzung der Anforderungen
Härtung des Betriebssystems
Dynamische Reaktion
Zugriffskontrollen
Netztrennung
Schnelle Wiederherstellungszeit
(Schadensbegrenzung)
Zentrales Monitoring
Zentrales Deployment in großen Netzen
Zertifizierte Plattform
Stateful Paketfilter und Greylisting
DMZ, Usermanagement
Trennung in Wirk- und Management
System
Images und Container, zentrale Vorhaltung
von Konfigurationseinstellungen
Echtzeit Lagebild Monitor
GUI basiertes Management
13.02.2019 Abschaltung von ISDN – Der BSI-konforme Sprachanschluss Seite 22
secunet SBC – Appliance
Hardware
16 GB RAM
240 GB SSD
2x10 GB Fiber, 6x1 GB Fiber
Software
secunet wall
FRAFOS ABC SBC
Betriebssysteme
Gehärtetes Linux OS
Schnittstellen
USB 2.0
USB 3.0
Fiber
LAN
13.02.2019 Abschaltung von ISDN – Der BSI-konforme Sprachanschluss Seite 23
Sicherheit
Layer 2-4 abgedeckt durch Firewall
Layer 5-7 abgedeckt durch SBC
SBC Container arbeitet in einer DMZ
CC EAL 4+ auf höchste Angriffsstufe
getestet (VAN 5)
Doppelte Zertifizierung (zertifizierte
Firewall UND zertifizierter SBC)
secunet SBC – Key Benefits
Administration und
Monitoring
Remote Konfiguration
Firewall Management
SBC Management
Echtzeit Lagebild Monitor
Umfassende Reporting Möglichkeiten
13.02.2019 Abschaltung von ISDN – Der BSI-konforme Sprachanschluss Seite 24
secunet SBC – Vorteile
Unterstützung von Audio und Video Protokollen
Transcoding (G711, G722, Speex, OPUS, etc.)
Ausfallsicherheit durch Hochverfügbarkeit und Georedundanz
Kann als webRTC Gateway fungieren
Kann auf Bedarf verschlüsseln
Unterstützung von IPv4 und IPv6
Features
13.02.2019 Abschaltung von ISDN – Der BSI-konforme Sprachanschluss Seite 25
secunet SBC – Service Level Agreement
Service und Support
Software-Wartung (3 Jahre) – nach Ablauf erweiterbar um weitere 3 Jahre
Telefon-Support 5x10 (3 Jahre) – erweiterbar auf 7x24 in den Pro Tarifen
Wartung & Reparatur
Geräte-Austausch (72 Stunden) – nicht erweiterbar
Geräte-Garantie (3 Jahre) – nach Ablauf erweiterbar um weitere 2 Jahre
Geräte-Reparatur (innerhalb PLC) auf Anfrage immer möglich *PLC: Product Life Cycle
13.02.2019 Abschaltung von ISDN – Der BSI-konforme Sprachanschluss Seite 26
secunet SBC – der erste zertifizierte SBC
EAL 4+ befindet sich noch im Zertifizierungsprozess
Zertifizierungskennung: BSI-DSZ-CC-1089
Umfassender Schutz für VoIP Anlagen
Mehr Schutz durch secunet wall + SBC
Zentrales Management
Zentrales Monitoring aller Calls
Zukunftssicheres Video- und Audio-Gateway
Einfacher Einbau in bestehende Netze
Mustafa Alaa Eddine, B.Sc.
Produktmanager
secunet Security Networks AG
Kurfürstenstraße 58
45138 Essen
Telefon +49 201 5454-0
Telefax +49 201 5454-1000