Security für VoIP Schulung

• Prinzipielle Gefahren für VoIP
• Angriffe auf den Medienstrom
• Angriffe auf die Signalisierung
• Angriffe auf die Geräte
• Security-Maßnahmen im LAN und WLAN
• Port Security und Authentisierung nach 802.1X
• Security-Maßnahmen im WAN
• Identität bei VoIP (SIP-Identity)
• Lokale Authentisierung und über Proxy-Ketten
• Probleme mit Zertifikaten
• SIPS und S/MIME
• SRTP und SRTCP
• Schlüsselmanagement mit SDES, ZRTP, DTLS und MIKEY
• WebRTC
• VoIP und IPSec
• NAT-Lösungen: STUN, TURN und ICE
• Firewalls und VoIP
• Session Border Controller
• SIP-Connect 1.1

1    Security für VoIP Grundlagen

1.1     Einleitung
1.2     Die VoIP-Infrastruktur
1.2.1     Endgeräte
1.2.2     VoIP im Enterprise
1.2.3     VoIP für Privatkunden
1.2.4     Das IP Multimedia Subsystem
1.3     Session Initiation Protocol (SIP)
1.3.1     Adressierung
1.3.2     Aufgaben von SIP Proxys
1.3.3     Der Protokoll-Aufbau
1.3.4     Die Requests von INVITE bis BYE
1.3.5     Ein Session-Aufbau im Detail
1.3.6     Session Description Protocol
1.3.7     H.323
1.3.8     H.248/MEGACO
1.4     Ziele von Security bei VoIP
1.4.1     Vertraulichkeit
1.4.2     Datenintegrität
1.4.3     Authentizität
1.4.4     Nachweisbarkeit
1.4.5     Verfügbarkeit

2     Angriffe auf VoIP

2.1     Prinzipielle Gefahren für VoIP
2.2     Angriff auf die Vertraulichkeit
2.2.1     Sniffing und Man in the Middle Attacks
2.2.2     Ermittlung von Kenngrößen
2.3     Angriffe auf die Integrität
2.3.1     Angriff auf den Medienstrom
2.3.2     Angriff auf die Signalisierung
2.4     Angriffe auf die Geräte
2.4.1     Denial of Service
2.4.2     Buffer Overflow
2.4.3     Trojanische Pferde etc.
2.4.4     Theft of Service
2.5     Spam for IP Telephony (SPIT)
2.6     Fazit

3     Sicherheitsmaßnahmen im LAN

3.1     VoIP im LAN
3.1.1     VLANs
3.1.2     Das Telefon als Switch
3.2     Gefahren im LAN
3.2.1     ARP Cache Poisoning
3.2.2     Fluten der Switching Table
3.2.3     VLAN Hopping
3.2.4     Mirror Ports
3.2.5     Rogue DHCP Server
3.2.6     Spanning-Tree-Angriffe
3.3     Security-Maßnahmen im LAN
3.3.1     Voice VLANs
3.3.2     Port Security
3.3.3     Authentisierung mit IEEE 802.1X

4     Absichern der Verbindungen

4.1     Security-Grundlagen
4.1.1     Verschlüsselung
4.1.2     Integrität über Hash-Werte
4.1.3     Authentisierung
4.2     Besonderheiten bei VoIP
4.3     Identität bei VoIP
4.3.1     Lokale Authentisierung
4.3.2     SIP Identity
4.4     Absichern der Signalisierung
4.4.1     SIPS
4.4.2     S/MIME
4.5     Absichern des Medienstroms
4.5.1     SRTP und SRTCP – Paketformate
4.5.2     Verschlüsselung bei SRTP
4.5.3     Authentisierung bei SRTP
4.5.4     Key Management von SRTP
4.6     Key Management
4.6.1     Schlüsselmanagement für die Signalisierung
4.6.2     Schlüsselmanagement im Session Description Protocol
4.6.3     MIKEY
4.6.4     ZRTP
4.6.5     KMS-basierte Schlüsselverteilung
4.6.6     DTLS-basierter Schlüsselaustausch
4.7     VPN-Lösungen
4.7.1     SSL VPNs
4.7.2     IPsec VPNs

5     VoIP-Security im Providernetz

5.1     Architektur der IMS Security im Überblick
5.1.1     Wer mit wem im IMS?
5.1.2     Authentisierung über Proxy-Ketten
5.1.3     Authentisierung mittels P-Asserted-Identity
5.1.4     Identitäten im IMS
5.1.5     SIM-Karten im IMS
5.2     IMS-Level Registration
5.2.1     Authentication and Key Agreement: Erste Wahl im IMS
5.2.2     IP Multimedia Service Identity Module (ISIM)
5.2.3     IMS AKA: Der Ablauf
5.2.4     SIP Digest
5.2.5     Transport Layer Security
5.2.6     NASS-IMS-Bundled Authentication (NBA)
5.2.7     GPRS-IMS-Bundled Authentication (GIBA)
5.3     Generic Bootstrapping Architecture
5.4     Sicherheit am PoI
5.5     RCS
5.5.1     Auto-Konfiguration
5.5.2     Registrierung
5.6     SIP-Trunking
5.6.1     Registration Mode
5.6.2     Static Mode
5.6.3     Identität

6     Integration in die Security-Infrastruktur

6.1     NAT und VoIP
6.1.1     STUN
6.1.2     TURN
6.1.3     Interactive Connectivity Establishment (ICE)
6.2     VoIP und Firewalls
6.2.1     State Tables
6.2.2     Application Layer Gateway
6.2.3     MIDCOM
6.3     Session Border Controller
6.3.1     Lösen des NAT-Problems
6.3.2     Accounting
6.3.3     Architektur
6.3.4     SBC im Provider-Umfeld
6.3.5     SBC im IP Multimedia Subsystem (IMS)