Sicurezza dei servizi Voice over IP con SIP e RTP

Dimensione: px

Iniziare la visualizzazioe della pagina:

Download "Sicurezza dei servizi Voice over IP con SIP e RTP"

Renato Fusco
8 anni fa
Visualizzazioni

1 Sicurezza dei servizi Voice con Program Manager: Francesco Limone Project Manager: Emilio Tonelli Team Members CONSEL: Sebastiano Di Gregorio Matteo Mogno Alessandro Tatti Contents Introduzione al progetto Concept Stadi del progetto Technology: Scenario generale Analisi Sviluppo Studio Conclusioni Pag. 2/13

Matteo Mogno Alessandro Tatti Contents Introduzione al progetto Concept Stadi del

2 Concept To: In a way that: Realizzazione di di uno studio strategico sulla del VoIP Studio del VoIP Realizzazione di di un architettura VoIP Identificazione di di attacchi in in VoIP degli attacchi So that: So that: Identificazione di di un architettura di di riferimento per l erogazione in in dei servizi multimediali basati su su VoIP Pag. 3/13 Studio Stadi del progetto Analisi Sviluppo 29 Mar Apr 04 6 Giu 04 4 Lug Set 04 Deliverables Technical Reports Diagrammi SDL dell Application Level Gateway Pag. 4/13

di di riferimento per l erogazione in in dei servizi multimediali basati su su VoIP Pag.

3 Fisico Rete Trasporto Applicativo RTP TCP UDP IPv4, IPv6 Pag. 5/13 Fisico Rete Trasporto Applicativo TCP Man in the Middle ARP Poisoning, DNS Spoofing, DNS Poisoning, STP Mangling, RTP DHCP Spoofing, ICMP Redirection Denial of Service Ping of Death, ICMP Smurfing, Distribuited Denial of UDPService, SYN Flood Information Theft Sniffing, Buffer Overflow, Password Cracking, Social Engineering, Code Injection IPv4, IPv6 Virus, Worm, Trojan e Rootkit Pag. 6/13

Mangling, RTP DHCP Spoofing, ICMP Redirection Denial of Service Ping of Death, ICMP Smurfing, Distribuited Denial

4 Fisico Rete Trasporto Applicativo RTP TCP UDP IPv4, IPv6 Pag. 7/13 Attacchi Applicativo Hijacking Registration Hijacking, 3XX Response Code Messages RTP Man in the Middle Impersonating a Proxy Server, 302 and 305 Response Code Messages, Impersonating a Registrar Server Denial of Service Tearing down a session, Modifying a session, Cancelling a session, DoS Attack and Amplification, Response Code Messages Pag. 8/13

Middle Impersonating a Proxy Server, 302 and 305 Response Code Messages, Impersonating a Registrar

5 Attacchi RTP Man in the Middle Modifying IP address Denial of Service Malicious payload format, RTCP Timing Rules Incorrectly, Change Synchronization Source Field, BYE Attack, Sequence Number and Timestamp higher, Injecting Malicious Reception Reports Applicativo RTP Pag. 9/13 Proxy Express Router UA opensource di SJ Labs Proxy di Iptel.org Sviluppo, attraverso il linguaggio C, di un generatore di messaggi Pag. 10/13

higher, Injecting Malicious Reception Reports Applicativo RTP Pag.

6 Sicurezza in VoIP Esigenze Risolvere il problema Firewall Risolvere il problema NAT Impedire gli attacchi Pag. 11/13 Sistema di gestione dei messaggi del Blocco: FW/NAT Ch 1 NAT L4 Ch 2 Firewall Ch 18 Processi del blocco : Blocco: DNS Ch 5 Ch 6 Ch 7 Ch 8 Ch 3 Ch 4 DNS Ch 17 NAT L7 Ch 9 Proxy Ch 16 Ch 13 Blocco: Controllo Policies Ch 12 Ch 10 Ch 11 Registrar Ch 15 Blocco: Server Ch 14 Session Database Location Service Blocco: Database Pag. 12/13

Blocco: DNS Ch 5 Ch 6 Ch 7 Ch 8 Ch 3 Ch 4 DNS Ch 17 NAT L7 Ch 9 Proxy Ch 16 Ch 13 Blocco: Controllo Policies Ch

7 Contents Introduzione al progetto Technology Conclusioni Concept Scenario del progetto Stadi del progetto Pag. 13/13 Concept To: In a way that: Realizzazione di di uno studio strategico sulla del VoIP Studio del VoIP Realizzazione di di un architettura VoIP Identificazione di di attacchi in in VoIP degli attacchi So that: So that: Identificazione di di un architettura di di riferimento per l erogazione in in dei servizi multimediali basati su su VoIP Pag. 14/13

Realizzazione di di un architettura VoIP Identificazione di di attacchi in in VoIP degli attacchi So that: So that:

8 Stadi del progetto Studio Analisi Sviluppo 29 Mar Apr 04 6 Giu 04 4 Lug Set 04 Deliverables Technical Reports Diagrammi SDL dell Pag. 15/13 Contents Introduzione al progetto Technology: Scenario generale Conclusioni Studio Analisi Sviluppo Pag. 16/13

9 1.1 Voice Protocollo di segnalazione di tipo client-server di livello applicativo che permette di creare, modificare e terminare sessioni multimediali con uno o più partecipanti Architettura Pag. 17/13 Fisico Rete Trasporto Applicativo RTP TCP UDP IPv4, IPv6 Pag. 18/13

sessioni multimediali con uno o più partecipanti Architettura Pag.

10 Fisico Rete Trasporto Applicativo TCP Man in the Middle ARP Poisoning, DNS Spoofing, DNS Poisoning, STP Mangling, RTP DHCP Spoofing, ICMP Redirection Denial of Service Ping of Death, ICMP Smurfing, Distribuited Denial of UDPService, SYN Flood Information Theft Sniffing, Buffer Overflow, Password Cracking, Social Engineering, Code Injection IPv4, IPv6 Virus, Worm, Trojan e Rootkit Pag. 19/13 Fisico Rete Trasporto Applicativo RTP TCP UDP IPv4, IPv6 Pag. 20/13

UDPService, SYN Flood Information Theft Sniffing, Buffer Overflow, Password Cracking, Social Engineering, Code

11 Attacchi Applicativo Hijacking Registration Hijacking, 3XX Response Code Messages RTP Man in the Middle Impersonating a Proxy Server, 302 and 305 Response Code Messages, Impersonating a Registrar Server Denial of Service Tearing down a session, Modifying a session, Cancelling a session, DoS Attack and Amplification, Response Code Messages Pag. 21/13 Attacchi RTP Man in the Middle Modifying IP address Denial of Service Malicious payload format, RTCP Timing Rules Incorrectly, Change Synchronization Source Field, BYE Attack, Sequence Number and Timestamp higher, Injecting Malicious Reception Reports Applicativo RTP Pag. 22/13

Amplification, Response Code Messages Pag.

12 Proxy Express Router UA opensource di SJ Labs Proxy di Iptel.org Sviluppo completo di un generatore di messaggi scritto in C Pag. 23/13 Proxy Express Router Hijacking INVITE Victim B 100 Trying INVITE Victim B INVITE Victim B 100 Trying 302 Moved Permanently INVITE Victim B 180 Ringing 180 Ringing Pag. 24/13

23/13 Proxy Express Router Hijacking INVITE Victim B 100 Trying INVITE Victim

13 Proxy Express Router DoS Session 200 OK 200 OK BYE da Victim B 200 OK BYE da Victim A 200 OK Pag. 25/13 Proxy Express Router MitM RTP Session 200 OK re-invite da Victim B 200 OK ACK da Victim B re-invite da Victim A 200 OK ACK da Victim A Session Session Pag. 26/13

25/13 Proxy Express Router MitM RTP Session 200 OK re-invite da

14 Sicurezza in VoIP Esigenze Risolvere il problema Firewall Risolvere il problema NAT Impedire gli attacchi Pag. 27/13 Sicurezza in VoIP Esigenze Risolvere il problema Firewall Pag. 28/13

15 Sicurezza in VoIP Esigenze Risolvere il problema Firewall Risolvere il problema NAT Impedire gli attacchi Pag. 29/13 Sistema di gestione dei messaggi del Blocco: FW/NAT Ch 1 Firewall Ch 18 NAT L4 Ch 2 Blocco: DNS Ch 5 Ch 6 Ch 7 Ch 8 Ch 3 Ch 4 DNS Ch 17 NAT L7 Ch 9 Proxy Ch 16 Ch 13 Blocco: Controllo Policies Ch 12 Ch 10 Ch 11 Registrar Ch 15 Blocco: Server Ch 14 Session Database Location Service Blocco: Database Pag. 30/13

Ch 5 Ch 6 Ch 7 Ch 8 Ch 3 Ch 4 DNS Ch 17 NAT L7 Ch 9 Proxy Ch 16 Ch 13 Blocco: Controllo Policies Ch 12 Ch

16 Sistema di gestione dei messaggi del Blocco: FW/NAT Ch 1 Firewall Ch 18 Processi del blocco : NAT L4 Ch 2 Blocco: DNS Ch 5 Ch 6 Ch 13 Blocco: Ch 14 NAT L7 Ch 7 Ch 8 Controllo Policies Ch 12 Ch 9 Ch 10 Ch 11 Session Database Blocco: Database Ch 3 Ch 4 Registrar Ch 15 Blocco: Server Proxy Ch 16 Location Service DNS Ch 17 Macchina a stati finiti estesa (EFSM): Gestire ogni messaggio entrante o uscente dal dominio Verificare la corretta sequenzialità del messaggio all interno del dialogo Rilevare un eventuale tentativo di attacco Gestire l apertura e la chiusura delle porte sull interfaccia esterna del Firewall Aggiornare il processo Session DB Pag. 31/13 Sistema di gestione dei messaggi del Blocco: FW/NAT Ch 1 Firewall Ch 18 Processi del blocco : NAT L4 Ch 2 Blocco: DNS Ch 5 Ch 6 Ch 13 Blocco: Ch 14 NAT L7 Ch 7 Ch 8 Controllo Policies Ch 12 Ch 9 Ch 10 Ch 11 Session Database Blocco: Database Ch 3 Ch 4 Registrar Ch 15 Blocco: Server Proxy Ch 16 Location Service DNS Ch 17 Macchina a stati finiti estesa (EFSM): Interrogare il processo Session DB Sostituire ogni occorrenza di indirizzi privati all interno dei messaggi e SDP con l indirizzo pubblico dell interfaccia esterna del firewall Sostituire ogni occorrenza della porta dello UA all interno dei messaggi e SDP con la porta assegnata dal NAT L4 sull interfaccia esterna del firewall Pag. 32/13

uscente dal dominio Verificare la corretta sequenzialità del messaggio all interno del dialogo Rilevare un eventuale tentativo di attacco Gestire l apertura e la chiusura delle porte sull interfaccia

17 Contents Introduzione al progetto Technology Conclusioni Pag. 33/13 Conclusioni Sviluppi Futuri Identificate le vulnerabilità e le minacce a cui sono esposte le soluzioni VoIP realizzate Identificati i Problema Firewall e Problema NAT di una soluzione ( ) che risolve i problemi precedentemente esposti Valutazione delle prestazioni e controllo della QoS Sviluppo della compatibilità con servizi di Instant Messaging Sviluppo di un protocollo standard per l interazione tra processi e processi Firewall Pag. 34/13

Identificati i Problema Firewall e Problema NAT di una soluzione ( ) che risolve i problemi precedentemente esposti Valutazione

Documenti analoghi

Elementi sull uso dei firewall

Laboratorio di Reti di Calcolatori Elementi sull uso dei firewall Carlo Mastroianni Firewall Un firewall è una combinazione di hardware e software che protegge una sottorete dal resto di Internet Il firewall