Leider mangelt es noch etwas an Dokumentation, wie man die Zertifikate für den TLS Support erzeugen muss. Funktional muss mindestens ein Zertifikat mit unverschlüsseltem Private Key in der bereitgestellten Datei vorhanden sein. Alle Checks auf Certificate-Chain und von Clients gezeigten Zertifikaten können deaktiviert werden, was für einen ersten Test die Sache zunächst erleichert. Mit einem solchen Setup ist es dann möglich TLS Verbindungen zum Asterisk aufbauen zu lassen. Hierzu muss in der SIP-Konfiguration, sip.conf, generell oder in der Peer-Konfiguration der Transport-Modus auf transport=tls eingestellt werden.

Je nach SIP-Client benötigt dieser auch ein explizit vorgegebenes Zertifikat, z. B. beim SFLphone für Linux ist dies so. Andere Clients sind auch ohne vorgegebenes Client-Zertifikat zufrieden, z. B. das Snom 370, oder wollen zumindest noch das Root-CA-Zertifikat zum Prüfen des Server-Zertifikate, so beim Counterpath Bria Softphone.

Soweit die Verschlüsselung der Signalisierung, die auch schon in Asterisk 1.6 verfügbar war. Den Zwang zur Nutzung von SRTP kann man über den sip.conf Parameter encryption=yes in der Peer-Konfiguration aktivieren. Die Softphones Bria und SFLphone arbeiten sofort mit verschlüsseltem Medienstrom, eine Auswahl von weiteren Parameter gibt es in beiden Programmen nicht.

sip.conf:

[user1]

...

transport=tls

encryption=yes

Das Snom 370 hat leider nicht direkt mit gearbeitet, wie ich es mir gewünscht hatte. Die Signalisierung fand zwar statt, aber es wurde sofort die Verbindung beendet. Die Lösung brachte die Modifikation eines Patch, auf den im Digium-Bugtracker schon vor einigen Tagen hingewiesen wurde.

--- asterisk-1.8.0-beta1-orig/res/res_srtp.c    2010-07-20 21:35:02.000000000 +0200

+++ asterisk-1.8.0-beta1/res/res_srtp.c    2010-07-25 15:02:50.353081700 +0200

@@ -304,6 +304,7 @@

 if (res != err_status_ok && res != err_status_replay_fail ) {

 ast_debug(1, "SRTP unprotect: %s\n", srtp_errstr(res));

+        errno = EAGAIN;

 return -1;

 }

Danach war die Verbindung bei ankommenden Gesprächen möglich, das Schloss im Display war zu und somit waren TLS und SRTP aktiv. Die abgehende Verbindung blieb allerdings stumm und die Debug-Nachrichten in der Asterisk-Konsole zeigen auch einige Fehler. Die Lösung brachte eine Änderung der RTP-Konfigration im Snom 370. Das SRTP Auth-tag musste von AES-32 auf AES-80 gestellt werden. Mit diesem Parameter wird die verwendete Crypto-Suite ausgewählt. Ein Blick in verschiedene SIP-Dialoge im Asterisk zeigte auch, dass alle anderen Clients ebenfalls die Suite verwenden, welche Snom mit AES-80 bezeichnet.
Leider habe ich keine Stelle in der Asterisk-Konsole gefunden, wo ich sehen konnte, ob die Verschlüsselung des Medienstrom tatsächlich aktiv ist. Hier war jeweils ein Blick auf das Snom Telefon oder in die Softclients notwendig. Ob eine TLS-Signalisierung aktiv ist, kann dagegen leicht nachgeschaut werden.

Kurzes Fazit an dieser Stelle, es funktioniert. Die Asterisk Version 1.8 deutet sich als sehr interessant ab. In der nächsten Zeit werde ich mal ein paar tiefere Tests fahren, ob die Verschlüsselung auch verschiedene komplexe Szenarien verträgt. Bisher waren die Testcalls etwas einfach (Voiceprompt vorlesen, Anruf zwischen zwei Clients) und entsprechen noch nicht den Szenarien bei einer TK-Anlage im echten Einsatz.

Ich bin ja mal gespannt, ob sowohl beim Kunden, wie auch Firmenintern die Kollegen die Arbeit der Administratoren würdigen werden. Für alle, die mit diesem Tag nichts anfangen, können ja hier mal drüber nachlesen und sich Gedanken über die angemessene Würdigung machen

/sb

Die aktuelle Windows-Schwachstelle, bei der sich über .LNK-Dateien Schadcode aus DLL-Dateien beim Laden der Icons nachladen lässt, kann u. A. mit Hilfe einer Softwareeinschränkungsrichtlinie eingedämmt werden. Eine Anleitung dazu gibt es hier.

Was man mit Softwareeinschränkungsrichtlinien noch so alles treiben kann beschreibt der Autor ebenfalls in mehreren Artikeln. Will man ein paar Basics, dann kann man aber auch hier nachsehen

/sb

/gt

Hier treffen sich Menschen, die sich beruflich oder privat mit Webanwendungen und deren Sicherheit auseinandersetzen, egal ob Entwickler, Manager, Pentester oder Webmaster. Die Atmosphäre bei Veranstaltungen der OWASP ist sehr offen und locker. Es geht um Erfahrungsaustausch, der auch bei den regelmäßigen Treffen durch einen Vortrag unterstützt wird. Wer Produkte verkaufen will, ist hier falsch.

Wir treffen uns am 07.06.10 um 19 Uhr im Sportrestaurant Neuwirtshaus. Wer mit dem ÖPNV anreist (S-Bahn Haltestelle Porsche) kann sich per E-Mail mit der Ankunftszeit melden, es gibt dann einen Fahrdienst

Programm:

• 19.00h Beginn
• 19.30h Neuigkeiten vom Chapter Meeting im Mai 2010
• 19.45h Vorstellung und Erfahrungsberichte mit den kommerziellen Tools HP Webinspect (Andy Kurtz) und Acunetix (Tobias Glemser) im Anschluss Diskussion

Für die Planung bitte ich potentielle Interessenten mir eine kurze Mail schicken. Wer das verschwitzt darf aber auch kommen..

Bei Fragen zum Stammtisch einfach kurz anschreiben oder mal auf die Webseite der OWASP klicken.

So, was wollte ich gleich? Achja: Aber wehe, wenn das Ganze mal nicht funktioniert. Ich betreibe lokal mehrere VMs mit Serverdiensten, so z. B. eine Entwicklungsumgebung. Das Host-System läuft auf Windows 7 64 Bit mit VMware Workstation 7, die virtuelle Maschine (auch wenn’s nichts zur Sache tut) auf Ubuntu 8.04 LTS Server. Die Verbindung aus der virtuellen Maschine in Richtung Internet oder andere Systeme im lokalen Netzwerk funktioniert problemlos. Sobald man aber vom Host auf die Serverdienste der virtuellen Maschine zugreifen will passiert: Nichts. Kein Ping, keine Verbindung auf den Webserver, nichts. Auf dem Host ist im “Netzwerk- und Freigabecenter” unter “Adaptereinstellungen ändern” kein virtueller VMware-Adapter zu sehen, ein “ipconfig /all” zeigt auch nichts an. Google spuckt nur irgendwelche komischen Probleme mit Beta-Versionen aus, die auch nicht weiterhelfen. Des Rätsels Lösung ist sehr simpel (wenn man’s mal dann gefunden hat):

Man klickt im “Virtual Network Editor” im Eintrag des NAT-Devices auf “Connect a virtual adapter to this network”. Daraufhin wird dieser erstellt, es gibt nun eine Route in das NAT-Netz der virtuellen Maschine und so klappt auch der Ping. Im Screenshot des Pings zu sehen: Vor dem Klick passiert nichts, nach dem Klick kommt der Ping an.

Abschließend ein großes Danke an VMware für diese saudumme Änderung der Standardinstallation.

/gt

Interessanter Sachverhalt, der ganz subjektiv zu folgenden Schlüssen führt:

• So ein Cloud-Service ist schon ganz schön fix.
• Die Anbieter von Cloud-Diensten (oder zumindest Amazon) sehen sich nicht in der Lage, klare Angriffe, die durch IDS/IDPS-Systeme leicht zu verhindern wären, zu erkennen und den Kunden entsprechend zu domestizieren.
• Stellt man Angriffe fest, muss man sich selbst darum kümmern festzustellen, ob der Angreifer noch aktiv ist oder nicht, vom Anbieter darf man sich nichts erhoffen.
• Für Angreifer ist so ein Cloud-Dienst daher total gut. Günstig, sehr schnell und man braucht keine Angst haben, dass der Anbieter einem auf die Finger patscht, wenn nicht gerade ein Angegriffener sich beim Anbieter meldet. Die Höchststraße besteht wohl dann im Abschalten des Dienstes.
• Für alle, die öffentliche VoIP-Dienste anbieten wird also wohl ein Session-Border-Controller mit entsprechender Angriffserkennung unausweichlich sein.

/gt

Aktuell habe ich in einem Projekt mit Alcatel-Lucents aktueller ICS Software zutun. Dabei handelt es sich um einen Unified-Communications-Server.

Auf den Telefonen erschien auf einmal eine Taste mit der Beschriftung “eine Zahl”. Was soll das sein? Zuerst dachte ich, es ist ein Spiel als XML-Applikations. Wäre cool, habe ich noch nicht gesehen. Nach einer Weile ist der Groschen aber dann gefallen, “One-Number” = “eine Zahl”. Nicht ersthaft, oder?

Ob die Übersetzungen von Siemens für die französische Version von OpenScape ähnlich krude sind, man weiß es nicht.

/sf

Zwei Dinge sind als interessante Erfahrung für mich herausgekommen. Zum einen, die Umgebungen lassen sich in zwei Kategorien einteilen: komplett selbst-entwickelte Lösungen oder Umgebungen, die auf Standard-Systemen wie z. B. Gemeinschaft, aufsetzen. Generell würde ich es als Trend bezeichnen, dass heute eher Standard-Systeme genommen werden. Dies bestätigen Aussagen von Teilnehmern wie “damals gab es noch keine Gemeinschaft, wir mussten es selbst machen”. Auch der Aufwand ist natürlich viel geringer auf einem guten Level aufzusetzen, statt alles selbst zu programmieren. Auch ich vertrete die Meinung, dass man ein gutes Software-Framework braucht, dazu in den nächsten Tagen hier mehr…

Und dann wäre da noch die zweite Erfahrung, aus der sich begründet, dass es doch noch notwendig ist ganz spezielle Lösungen auf Asterisk-Basis individuell zu entwickeln: jede Asterisk-Umgebung hat ganz besondere Anforderungen, die sich so kaum wo anders wiederfinden, aber die implementiert werden können und auch werden. (Liegt hier vielleicht der Grund für die 1000+1 Funktion in den alten Hicom Systemen?) Manchmal kommen auch die speziellen Funktions-Wünsche von den alten Telefonie-Lösungen, die man durch die VoIP/Asterisk-Migration auswechselt. Aber eine handvoll Funktionen der alten Lösungen sollen, nein müssen, erhalten beleiben. Dabei kommen dann so interessante Funktionen wie E-Mail-bei-verpasstem-Anruf heraus. Oder auch hoher Aufwand bei der Implementierung von Rückruf-bei-besetzt.

Oft reicht es aus eine vorhandene Software wie Gemeinschaft zu ergänzen, aber manchmal sind die Anforderungen so unterschiedlich, dass eine eigene Lösung doch sinnvoller ist. Hier denke ich an die sehr spezielle Lösung eines Teilnehmers, mit der er den Anwendungsfall IVR sehr indiviuell und spezifisch abdeckt.

Noch ein bisschen Werbung in eigener Sache, am zweiten Tag habe ich unser mika Projekt vorgestellt. Was bringt mir mika? Ich hole damit meine Nebenstelle auf mein Mobiltelefon/Smartphone und kann direkt meine Anruflisten, meine Telefonbuch und meine Einstellungen zugreifen. Zudem ist es so allgemein angelegt, dass auch andere Nicht-Telefonie-Informationen integriert werden können. Und das beste, es ist auf keine spezielle VoIP-Software angewiesen, z. B. für Gemeinschaft (implementiert!) oder ganz andere andere VoIP-Software (auch proprietäre). Bisher existiert eine erste Implementierung für Java J2ME, es läuft also auf Nokia Smartphones und weiteren Handys. Falls jemand interesse hat eine Anbindung an eine VoIP-Software oder die lang diskutierte Blackberry Implementierung zu sponsoren, Angebote bitte an mich.

Das Feedback von den Teilnehmern war recht positiv, ich hoffe wir können die Veranstaltung mittelfristig wiederholen. Dies wird aber davon abhängen, ob man für ein zweites Treffen ausreichende Querschnitts-Themen finden wird, bzw. ob sich weitere Anwender einem solchen Treffen anschließen werden.

/sf

• Enhanced Security aktivieren und das Feld für den Benutzer ausgrauen
• Javascript deaktivieren und das Feld für den Benutzer ausgrauen (Hinweis: Mindestens in Version 9.3.1 wird das Feld nicht ausgegraut, ein Bug-Report liegt Adobe vor)
• Das Kommando starten anderer Dateien (mit Ausnahme weiterer PDFs) verhindern und das Feld für den Benutzer ausgrauen

Der Benutzerkomfort sollte in den meisten Fällen von den Einstellungen nicht eingeschränkt werden, da die deaktivierten Funktionen selten Anwendung finden.
Es kann aus verständlichen Gründen keine Gewährleistung für die Sicherheit nach Anwenden des Registry-Patches übernommen werden, ebensowenig für die Betriebsstabilität.

Wer das verstanden hat, darf gerne den Registry-Patch als ZIP-Datei herunterladen.

Da einige Firewalls das ZIP blockieren, hier noch als Text

Windows Registry Editor Version 5.00
;
; 2010/04/16
; http://blog.tele-consulting.com
;
; PDF-Exploits are getting more and more common these days.
; Most of the time, features are abused one doesn't use in PDF-Files.
; Therefore you just might want to disable them.
;
; USE THIS FILE AT OWN REQUEST
; IT MIGHT PREVENT YOU FROM SOME, BUT NEVER FROM ALL SECURITY PROBLEMS
;
;
; ########################### ACROBAT READER 9.x ###########################
; Enhanced Security on and locked (see http://learn.adobe.com/wiki/download/attachments/64389123/Acrobat_enhanced_security_quick_key.pdf?version=1)
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Adobe\Acrobat Reader\9.0\FeatureLockDown]
"bEnhancedSecurityStandalone"=dword:00000001
"bEnhancedSecurityInBrowser"=dword:00000001
;
; Disable Javascript (see "http://www.phishlabs.com/blog/archives/122)
[HKEY_CURRENT_USER\Software\Adobe\Acrobat Reader\9.0\JSPrefs]
"bConsoleOpen"=dword:00000000
"bEnableGlobalSecurity"=dword:00000001
"bEnableJS"=dword:00000000
"bEnableMenuItems"=dword:00000000
;
; Disable "launch" command (see http://blogs.adobe.com/adobereader/2010/04/didier_stevens_launch_function.html)
[HKEY_CURRENT_USER\Software\Adobe\Acrobat Reader\9.0\Originals]
"bAllowOpenFile"=dword:00000000
"bSecureOpenFile"=dword:00000001
;
;
; ########################### ADOBE ACROBAT 9.x ###########################
; Enhanced Security on and locked (see http://learn.adobe.com/wiki/download/attachments/64389123/Acrobat_enhanced_security_quick_key.pdf?version=1)
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Adobe\Adobe Acrobat\9.0\FeatureLockDown]
"bEnhancedSecurityStandalone"=dword:00000001
"bEnhancedSecurityInBrowser"=dword:00000001
;
; Disable Javascript (see "http://www.phishlabs.com/blog/archives/122)
[HKEY_CURRENT_USER\Software\Adobe\Adobe Acrobat\9.0\JSPrefs]
"bConsoleOpen"=dword:00000000
"bEnableGlobalSecurity"=dword:00000001
"bEnableJS"=dword:00000000
"bEnableMenuItems"=dword:00000000
;
; Disable "launch" command (see http://blogs.adobe.com/adobereader/2010/04/didier_stevens_launch_function.html)
[HKEY_CURRENT_USER\Software\Adobe\Adobe Acrobat\9.0\Originals]
"bAllowOpenFile"=dword:00000000
"bSecureOpenFile"=dword:00000001
Quellen

• learn.adobe.com
• phishlabs.com
• blogs.adobe.com