sommario 1. Cos'è il VoIP 2. Rischi e relative problematiche nell'uso del VoIP 3. Raccomandazioni

Transcript

1 VoIP e sicurezza

2 Abstract: "Negli ultimi anni la maggior parte dei servizi voce sta migrando da i sistemi tradizionali al VoIP, tale sistema sta conquistando il mercato tanto in ambito business quanto nel privato. Diversi sono i motivi alla base dell enorme successo. Se questa tecnologia, infatti, spesso risulta economicamente vantaggiosa, ancora più spesso si dimostra estremamente efficace. Grazie al VoIP, infatti, molte aziende possono gestire in modo flessibile le proprie risorse, accentrandole o decentrandole a seconda delle necessità aziendali, ma soprattutto usufruendo di servizi innovativi, altrimenti estremamente costosi. Come per ogni progetto, è tuttavia indispensabile un iniziale analisi del rischio corretta e proattiva, che permetta di evitare sorprese durante le successive fasi di implementazione e di utilizzo. Uno dei più comuni errori che si compiono in questa fase è proprio il fatto di minimizzare le problematiche relative alla sicurezza. Spesso, i responsabili IT non si preoccupano dei rischi legati alla telefonia, ritenendola esente da rischi o assimilandola alla telefonia tradizionale. Durante questa presentazione cercheremo di capire e di analizzare sia cosa il voip sia quali siano i rischi ad esso associati, affinché chi decida di implementare questa tecnologia possa usufruire si qualche spunto in più per ottimizzare i propri sforzi e per ridurre i rischi correlati."

3 VoIP e sicurezza Descriveremo, quindi, i principali rischi correlati all'uso del VoIP e le relative metodologie di mitigazione. Questa relazione cercherà di presentare gli aspetti generali della sicurezza in ambito VoIP. Non si intende promuovere nessuna tecnologia VoIP rispetto ad un altra, in quanto ogni tecnologia ha le proprie peculiarità in termini di design e di vulnerabilità. Ogni tecnologia può essere implementata in modo sicuro o insicuro sulla base di politiche, procedure e infrastrutture esistenti, e ogni metodo può essere più o meno vantaggioso economicamente anche in virtù delle dimensioni delle organizzazioni. Similmente non si ha la pretesa di presentare TUTTE le possibili vulnerabilità che affliggono le tecnologie legate al VoIP, ma si cercherà di presentare le categorie più comuni, affinché chi decida di implementare queste tecnologie abbia consapevolezza dei rischi correlati e possa così valutare correttamente investimenti, ROI e saving.

4 sommario 1. Cos'è il VoIP 2. Rischi e relative problematiche nell'uso del VoIP 3. Raccomandazioni

5 Cos'è il VoIP

6 Cos'è il VoIP In telecomunicazioni e informatica con Voice over IP (Voce tramite protocollo Internet), si intende una tecnologia che rende possibile effettuare una conversazione telefonica sfruttando una connessione Internet o una qualsiasi altra rete dedicata a commutazione di pacchetto che utilizzi il protocollo IP. Più specificamente con VoIP si intende l'insieme dei protocolli di comunicazione e di strato applicativo che rendono possibile tale tipo di comunicazione. Grazie a numerosi provider VoIP è possibile effettuare telefonate anche verso la rete telefonica tradizionale (PSTN).

7 PSTN E POTS Storicamente le conversazioni telefoniche avvengono su rete PSTN e il servizio più tradizionale a cui siamo abituati è detto POTS: PSTN (public switched telephone network, rete telefonica pubblica commutata) è la più grande rete telefonica esistente a commutazione di circuito. Posseduta da una lunghissima lista di società private, pubbliche, e a capitale misto, di tutto il mondo, copre l'intero pianeta ed è ad accesso pubblico: chiunque può accedervi pagando, nei casi in cui è richiesto, per il suo utilizzo. POTS (Plain Old Telephone Service, il normale vecchio servizio telefonico) è una tecnologia analogica di telefonia fissa. In particolare è la tecnologia con le prestazioni più esigue, e anche più economica, utilizzata attualmente per implementare la telefonia fissa.

8 PSTN E POTS

9 Il VoIP offre parecchi vantaggi Una maggiore efficienza nell uso della rete, grazie all utilizzo della commutazione di pacchetto che, a differenza della commutazione di circuito, non assegna staticamente le risorse disponibili durante l intera durata di una comunicazione ma ne consente la condivisione con altri sistemi La possibilità di sviluppare nuovi servizi rispetto alla telefonia tradizionale, la diffusione di applicazioni come la videoconferenza e la videotelefonia, supportata non solo dalla significativa riduzione del costo delle comunicazioni a lunga distanza, ma soprattutto nei vantaggi operativi e di semplificazione delle infrastrutture. L'ottimizzazione nell'uso delle risorse è evidente nel paragone con PSTN.

10 VoIP vs PSTN La tecnologia a commutazione di circuito crea un circuito "fisico" diretto fra la parte chiamante e quella chiamata (gli switch interni della rete "commutano"), offrendo così una latenza bassa e non variabile ma congelando di fatto un intero circuito per tutta la durata della telefonata, indipendentemente dal fatto che gli interlocutori siano in conversazione o in silenzio. La banda costante e il collegamento diretto tra le due parti consentono di avere qualità garantita per tutta la durata della comunicazione. Questo, tuttavia, provoca una bassa percentuale di utilizzazione della rete; durante una comunicazione vocale, infatti, un interlocutore passa una certa quantità tempo in silenzio. Il costo di una chiamata tramite PSTN è, quindi, basato sulle risorse riservate in base al tempo d'utilizzo e alla lunghezza del collegamento e non in base alle risorse effettivamente impiegate.

11 VoIP vs PSTN

12 VoIP vs PSTN La totalità delle reti dati oggi esistenti si basa sul concetto di commutazione di pacchetto: ossia la creazione di un unità elementare di trasporto che sia in grado di viaggiare in maniera più o meno autonoma sulla rete, recapitando a destinazione il suo contenuto informativo. In una simile rete non si stabilisce nessun percorso fisico in anticipo tra chiamante e ricevente Gli apparati intermedi (i nodi) instradano il pacchetto nella giusta direzione in base all'informazione contenuta nell'intestazione dello stesso. In questo modo non si ha allocazione di risorse riservate, perciò su una linea di collegamento possono transitare contemporaneamente anche pacchetti appartenenti a flussi diversi, aumentando notevolmente la percentuale l'utilizzazione della rete rispetto a quella telefonica.

13 VoIP vs PSTN

14 VoIP vs PSTN Alcuni pacchetti di uno stesso flusso, però, possono percorrere cammini diversi, possono arrivare a destinazione fuori sequenza, oppure possono perdersi. In tal caso, l'apparato terminale (ad esempio il PC) ha il compito di ordinare i pacchetti nella sequenza corretta e richiedere eventualmente la ritrasmissione di quelli persi, rendendo il trasporto affidabile. L operazione di ritrasmissione può però non essere opportuna nel caso di trasmissione della voce, in quanto introduce notevoli ritardi ai quali i flussi voce sono particolarmente sensibili.

15 VoIP vs PSTN A B C A B C

16 VoIP vs PSTN Con la commutazione di circuito, qualsiasi larghezza di banda non usata su un circuito allocata è persa, invece con la commutazione di pacchetto essa può essere utilizzata da altri pacchetti provenienti da altre sorgenti e diretti verso altre destinazioni, poiché i circuiti non sono dedicati.

17 Telefonare in VoIP Affinché una telefonata VoIP avvenga, abbiamo bisogno di almeno 4 elementi: - un protocollo di instradamento delle informazioni (ip, commutazione di pacchetto) - un codec per la conversione e la compressione, da analogico a digitale, della voce (G.711, GSM, mp3, MPEG) - un protocollo per il trasporto dei pacchetti di dati; nella grande maggioranza delle implementazioni viene adottato il protocollo RTP (Real-time Transport Protocol) - un protocollo per la codifica della segnalazione della conversazione (ricostruzione del frame audio, sincronizzazione, identificazione del chiamante, ecc.); i principali protocolli utilizzati sono SIP (Session Initiation Protocol) e H.323

18 Lo stack

19 codec a seconda del codec utilizzato avremo un utilizzo più o meno dispendioso di banda inoltre più un codec è aggressivo in termini di compressione minore è la qualità della telefonata (che viene espressa con l indice MOS). Di seguito una tabella con i consumi di banda dei codec SIP più diffusi: Codec Banda Kbit/s MOS G G G.729A G GSM ilbc MOS = Mean Opinion Score è un sistema per misurare empiricamente la qualità di una telefonata. La misura è espressa con un indice che va da 1 a 5.

20 il trasporto RTP è in genere usato per trasportare formati come GSM e MP3 per l audio e MPEG per il video. Il lato trasmittente: - incapsula un blocco di dati audio e video in un pacchetto RTP - incapsula il pacchetto in un segmento UDP - lo affida a IP. Il lato ricevente: - Estrae il pacchetto RTP dal segmento - recupera il blocco di dati dal pacchetto - lo passa al media player per la decodifica e riproduzione.

21 il trasporto Le funzioni svolte da questo protocollo comprendono la ricostruzione al ricevitore della corretta sequenza dei pacchetti e della loro posizione nella scala dei tempi. D altro canto, però, RTP: - non assicura la spedizione tempestiva dei dati o la qualità del servizio - non garantisce la consegna dei pacchetti né il loro ordine di consegna. Insieme al protocollo RTP è allora possibile utilizzare il protocollo RTCP (Real Time Control Protocol), adoperato per inviare pacchetti di controllo ai partecipanti di una chiamata.

22 La segnalazione La segnalazione per la telefonia su reti IP deve soddisfare ai seguenti requisiti: indirizzamento: deve essere in grado di localizzare il corretto apparato di terminazione della telefonata; questo non è un compito banale in quanto con l'integrazione delle tecnologie è possibile pensare che la telefonata possa essere diretta ad un terminale di rete fissa, ad un terminale mobile, ad una casella vocale, ad una casella di posta elettronica (o altro ancora) a seconda delle preferenze (ad esempio in base all'ora di chiamata) dell'utente trasporto dei dati: deve essere in grado di verificare il corretto trasporto del segnale vocale dalla sorgente alla destinazione con qualità accettabile

23 La segnalazione sicurezza: il contenuto della telefonata non dovrebbe essere intercettato; essendo le reti IP molto più aperte rispetto alle reti telefoniche, la segnalazione dovrebbe garantire una certa riservatezza della comunicazione supporto intelligente dei servizi di rete : potrebbe succedere che, a causa di un aggiornamento tecnologico, non sia più supportato un servizio prima disponibile. Di conseguenza, è necessario prevedere che la segnalazione, garantisca supporto ad un medesimo set di servizi basilari sempre disponibili a prescindere dalla topologia della rete. semplicità e trasparenza: non deve appesantire inutilmente la rete e deve essere trasparente a livello utente.

24 La segnalazione La suite di protocolli H.323 è l'unica soluzione standard adottata dai produttori di dispositivi per telefonia su IP e in generale per applicazioni multimediali. La proposta SIP, però, sta incontrando sempre maggiore favore a causa della sia ottima integrazione con gli altri protocolli della suite TCP/IP (mentre H.323 nasce per una generica rete a pacchetto) e della sua maggiore semplicità, sia dal punto di vista del protocollo in sé, sia delle specifiche.

25 H.323 La specifica H.323 prevede 4 oggetti fondamentali: Terminale: dispositivo di interfacciamento con gli utenti (PC o apparecchio telefonico) Gateway: è l'elemento necessario per fornire la connettività tra reti di tipo diverso (rete IP, la rete telefonica tradizionale, la rete ISDN, ecc.) Gatekeeper: è l'entità principale della segnalazione H.323. Fornisce la maggior parte dei servizi: conversione nome-indirizzo, per utilizzare i nomi al posto degli indirizzi IP, controllo di accesso, per abilitare o disabilitare alcune macchine o alcuni utenti, gestione della banda. Multipoint Control Unit (MCU): gestisce le connessioni multi punto per le conferenze di più terminali.

26 SIP SIP è l acronimo di Session Initiation Protocol (Protocollo di inizializzazione sessione) e consiste in un protocollo di segnalazione telefonica adoperato per stabilire, modificare e concludere telefonate VOIP. In altre parole, SIP gestisce le procedure per avviare una telefonica. comunicazione Servizi principali: - Localizzazione dell'utente: determina quale sia il terminale destinatario della comunicazione - Capacità dell'utente: determina i mezzi e i parametri da usare - Disponibilità dell'utente: determina la volontà del chiamato di comunicare - Setup della chiamata: stabilisce i parametri della chiamata - Gestione della chiamata: trasferimento e gestione delle chiamate

27 SIP Una sessione SIP avviene nel seguente modo: - il telefono chiamante invia un invito - il telefono chiamato invia la risposta informativa 100 Trying - quando il telefono chiamato comincia a squillare, il telefono chiamante riceve la risposta 180 Ringing - quando il destinatario alza la cornetta, il telefono chiamato invia la risposta 200 OK - il telefono chiamante risponde con ACK conferma - l'effettiva conversazione viene quindi trasmessa sotto forma di dati mediante RTP - quando il soggetto chiamato riattacca, viene inviata una richiesta BYE al telefono chiamante - il telefono chiamante restituisce la risposta 200 OK.

28 Rischi e relative problematiche nell'uso del VoIP

29 ...all'inizio era il phreaking, phone (telefono) e freak (persona bizzarra)

30 RED BOX (La scena precedente è tratta da WarGames, 1983, Matthew Broderick) Negli stati uniti, per un certo periodo di tempo, le cabine telefoniche usarono toni specifici (diversi dai toni MF usati per i numeri) per segnalare il versamento di un gettone. Questi toni, allora usati solo per lunghe distanze e chiamate "oltre-mare", segnalavano l'ammontare depositato ad un computer, utilizzato per la tassazione, chiamato ACTS. Apprese le frequenze usate per informare ACTS, fu facile produrre piccoli circuiti che emettevano proprio quelle frequenze per raggirarlo. Il red-boxing (ovvero l'usare delle red box) cessò di funzionare negli anni ottanta, quando le compagnie telefoniche installarono un sensore che riconosceva realmente le monete che cadevano nel contenitore. In seguito tutti i toni usati per queste segnalazioni furono completamente spostati su un canale dedicato.

31 BLUE BOX Il blue box sembra essere nato da una scoperta fatta da un tecnico di trasmissioni radio il cui nome è John Draper. Egli aveva notato che attraverso un fischietto trovato in una scatola di cereali era possibile fare chiamate senza pagare niente. Il fischietto, infatti, produceva una frequenza di 2600hz che guarda caso era proprio quella che in gergo telefonico veniva chiamata TRUNK CODE o semplicemente TRUNK (il commando per far commutare gli switch). Ben presto Draper fu sopranominato CAPITAN CRUNCH. At&t e poi Telecom introdussero quello che si chiama Electronic Switching System e che attraverso il CCIS (Common Channel Interoffice Signalling) filtra il trunk sostituendo i toni facilmente emulabili. Su qualche sito web si può ancora trovare l'elenco delle frequenze di TRUNK di vari operatori internazionali.

32 Toll fraud il "toll fraud" cioè "la frode" è certamente uno dei più "antichi" attacchi ai sistemi di trasmissione della voce. L'obbiettivo, molto semplice, è fare pagare a qualcun'altro il nostro traffico telefonico. Ovviamente, la frode, non è l'unico rischio a cui è esposta una rete telefonica, tradizionale o voip che sia. Voipshield, un azienda americana che si occupa di penetration test di strutture VoIP ha provato a elencare i rischi più comuni nell'uso di questa tecnologia

33 I rischi

34 I rischi...riordinati secondo la mia personale esperienza fruibilità / disponibilità Esempio -> negazione del servizio, attacchi basati su buffer overflow, worm o viruses, (configurazione non adeguata dell'infrastruttura di rete) Impatto -> l'infrastruttura telefonica fuori servizio può danneggiare i ricavi e il brand e può diventare una strategia di estorsione. La scarsa qualità del servizio ha impatto sulla produttività. confidenzialità / privacy Esempio -> ascolto e registrazione non autorizzato di conversazioni o di messaggi lasciati in segreteria telefonica Impatto -> perdita di informazioni sensibili o confidenziali, compromissione di segreti aziendali, furto di identità, ricatto

35 I rischi truffa Esempio -> utilizzo indebito di servizio o di infrastruttura, furto di dati Impatto -> conti telefonici eccessivi (per il cliente) o perdita di incasso (per il fornitore) perdita di informazioni finanziarie o segrete, spionaggio industriale autenticità Esempio -> impersonare il chiamante o il destinatario di una telefonata Impatto -> furto di identità voice spam Esempio -> chiamate indesiderate, phishing telefonico, riempimento delle segreterie telefoniche Impatto -> perdita di produttività e di capacità computazionale, furto di identità, perdite finanziarie

36 Configurazione e complessità Avere una rete VoIP, di buona qualità, su molte sedi, con traffici molto elevati e garantire degli SLA sul servizio, NON è banale. Un azienda di dimensioni medio grandi, può avere tecnologie di connessione al proprio interno differenti. Sia fra sedi diverse, sia all'interno della stessa sede. Anche se Voice over "IP" gira di fatto sulle stesse infrastrutture usate per la rete dati, il VoIP è ENORMEMENTE più delicato. Non tutte le infrastrutture di livello due, soprattutto se non recenti e soprattutto a carichi elevati, performano in maniera adeguata. Il primo rischio con cui confrontarsi, nella realizzazione o nell'acquisizione di una rete VoIP è che questa si comporti come ci si attende e, in caso di malfunzionamento, siano in atto misure di controllo tali da indentificare il più rapidamente possibile l'eventuale anomalia in corso.

37 HSRP 2811 Melfi Rende CVP 8M M M arz_ren FO 30M 10M ADM M A42402 Internet Roma Tiburtina FO 6M Internet HSRP SDH 2811 A42401 ADM SDH 10M POP T.I. FO 30M A42402 ADM SDH POP Salerno POP RM Bologna POP RM Mazzini POP Napoli Manzoni Arzano MPLS POP Napoli CDN SDH ADM Concorezzo Via Cervi M FO 30M HSRP ADM SDH POP Cesano POP Sesto SG POP Milano Nord POP T.I. POP Bari Imbriani A50001 SDH 2M Internet FO 10M SDH ADM FO 20M A M 30M Internet ADM A50001 FO 30M CVP 8M 60M 30M A M arz_ren HSRP HSRP San Severo (FG) Concorezzo Via D acquisto 1801 HSRP HSRP 2821 Sesto San Giovanni

38 Configurazione e complessità Perché il VoIP è così "delicato"? - ritardo - percentuale di pacchetti persi - jitter

39 ritardo Per ritardo end-to-end si definisce il lasso di tempo che trascorre tra la ricezione di un'onda analogica da parte del campionatore alla sua rigenerazione da parte del ricevitore. Più importante del ritardo end-to-end è sicuramente il round-trip delay, ossia il ritardo di andata e ritorno. Infatti, non è solo importante il tempo necessario ad un segnale per essere trasferito dall'utente A all'utente B, ma il tempo necessario anche a portare indietro la risposta ad A. Ritardi elevati possono creare alcuni disagi come il Talker Overlap, in cui il chiamante, che è abituato a ricevere una risposta entro un certo tempo, non sentendola arrivare a causa degli elevati ritardi, ripete la domanda che si sovrappone alla risposta che sopraggiunge. Questo può provocare problemi sulla sincronizzazione degli interlocutori rendendo difficile la comunicazione.

40 ritardo possibili soluzioni: Per ridurre al minimo il possibile ritardo si può tollerare una perdita, di pacchetti voce, al di sotto dei pochi punti percentuali. Ecco perché RTP gira in UDP invece che in TCP. Il modo naturale di trattare questo compromesso è stimare il ritardo della rete e le sue variazioni, regolando il ritardo di riproduzione con l inizio di ciascun periodo di attività vocale. Questa regolazione adattativa del ritardo di riproduzione, gestita dagli strati applicativi che trasmettono voip, cercherà di fare in modo che le pause dei trasmittenti siano compresse o prolungate a secondo la necessità, al fine di minimizzare il fenomeno del Talker Overlap

41 Pacchetti persi A differenza dei dati, l'orecchio umano reagisce bene anche al caso in cui vi sia la mancanza di alcuni spezzoni di comunicazione. Ecco un ENORME di differenza tra trasmettere dati o voce su ip. L'esperienza delle reti mobili con frequenti disturbi insegna che una percentuale limitata di perdite non è affatto un problema. I pacchetti persi possono essere sia quelli scartati all'interno della rete (in caso di congestione), sia i pacchetti che arrivano oltre una soglia di tempo massima. Il ritardo end-to-end ha comunque un'importanza superiore rispetto alle perdite, che influiscono sulla qualità della telefonata percepita dall'utente. E' quindi preferibile accettare un numero di pacchetti persi maggiore rispetto ad un più alto ritardo end-to-end.

42 Pacchetti persi possibili soluzioni Le perdite potrebbero essere eliminate inviando i pacchetti con TCP invece che con UDP. La ritrasmissione è però spesso inaccettabile per le applicazioni interattive audio in tempo reale, come la telefonia Internet, in quanto aumenta il ritardo complessivo. Per questo motivo quasi tutte le applicazioni di telefonia Internet preferiscono UDP senza curarsi della ritrasmissione dei pacchetti persi, che diventa un problema reale solo in caso di alte percentuali di perdita. Tassi compresi fra 1 e 20% possono essere tollerati tranquillamente.

43 jitter Non essendo predicibile a priori il ritardo subito da ogni pacchetto nella rete, i pacchetti arriveranno a destinazione con degli intervalli di tempo variabili tra di essi. In altre parole, i pacchetti non arriveranno equispaziati, ma la differenza tra i tempi di arrivo di due qualunque pacchetti consecutivi sarà un numero variabile. Il jitter è una grandezza che rappresenta esattamente questo fenomeno: il jitter è nullo esclusivamente nel caso in cui i pacchetti arrivino equispaziati nel tempo. Il jitter è un problema sui pacchetti vocali, in quanto non permette la riproduzione fedele del flusso audio. In altre parole, se i pacchetti sono stati generati dalla sorgente con un intervallo di tempo di 40ms tra uno e il successivo, la loro riproduzione dovrà rispettare il medesimo intervallo di tempo.

44 jitter possibili soluzioni La soluzione al problema del jitter si trova inserendo i pacchetti all'interno di una coda (ad esempio nel dispositivo di ricezione) ed estraendoli a ritmo costante (De-Jitter)

45 tutto ciò si traduce in 1 - Definire i requisiti. Descrizione dell utenza e della modalità d utilizzo; tipo di impianto da utilizzare (misto o IP puro); localizzazione dei gateway; instradamento delle telefonate interne ed esterne; scelta dei CODEC da utilizzare e calcolo della banda necessaria. Identificare e capire quali sono le reali esigenze delle rete (per sua natura non potrà essere dedicata al traffico VoIP), partizionare di conseguenza le risorse disponibili

46 tutto ciò si traduce in

47 tutto ciò si traduce in 2 - Analizzare le capacità della rete WAN esistente. Banda disponibile per ogni sede; stima dell occupazione di banda del traffico dati (media e livelli di picco); verifica della banda necessaria per supportare il traffico dati e delle necessità stimate per il VoIP.; verifica della banda delle linee di back-up. Definire corretti valori di QoS e traffic shaping, segmentare la rete tramite vlan per separare il traffico VoIP dal resto del traffico dati. 3 - Verificare se le LAN sono pronte per il VoIP. Individuare e sostituire con switch eventuali hub nelle LAN; verificare il grado di saturazione degli switch. Verificare dimensionamento, occupazione di banda e sicurezza dell eventuale rete wireless, se sono previsti telefoni Wi-Fi. Scegliere "OPPORTUNAMENTE" gli apparati di rete e i relativi sistemi di monitoraggio

48 tutto ciò si traduce in

49 tutto ciò si traduce in 4 - Verificare se l intera rete è pronta per il VoIP. Eseguire dei test in diverse condizioni di carico della rete, in un periodo di tempo significativo. Quando lo strato applicativo (chi invia e riceve il traffico voce) comincerà a generare traffico DOVRÀ trovare che il sottostante livello di rete sia stato opportunamente predisposto per rispondere, in maniera puntuale, ai requisiti specifici 5 - Definire criteri e metriche da utilizzare per misurare le prestazioni e risolvere i problemi. Definire gli obiettivi in termini di performance (KPI) e di sicurezza e le procedure da seguire in caso di sovraccarico o guasto della rete.

50 Ora che funziona proteggiamola! Se già i sistemi telefonici tradizionali, quindi, sono vulnerabili ad una discreta quantità di attacchi, abbiamo osservato il blu/red boxing, il VoIP moltiplica tali rischi per quelli normalmente legati alle reti IP. Oggi, infatti, tutti i sistemi sono tra loro interconnessi, parlano un linguaggio comune, documentato e conosciuto, e il mezzo per accedere a questi sistemi, spesso, è una banale connessione ad Internet. Proprio perchè "su IP" il VoIP risulta particolarmente vulnerabile e vanno di conseguenza applicate, tutte quelle precauzioni e quelle buone abitudini, che chi espone un servizio su internet dovrebbe osservare.

51 ...per esempio: Immaginiamo il comportamento di un malintenzionato. La tradizionale genesi di un possibile attacco (orientato al VoIP) potrebbe consistere in: o Footprinting; o Scanning; o Enumeration; o Gaining access; o Escalating privilege;... È implicito, ma lo ripetiamo, che alcune delle tecniche illustrate possono essere legittimamente utilizzate solo in sede di assesment, ovvero di test su sistemi di propria competenza, e col permesso SCRITTO dei soggetti interessati.

52 Footprinting 1 cerco, cioè, la quantità maggiore di informazioni sul mio possibile bersaglio (senza ancora entrarci in diretto contatto), oppure cerco qualcuno che non sia stato sufficientemente attento nel blindare tutti i possibili punti di accesso. Google Hacking for Penetration Testers Volume/dp/ conoscendo un po' asterisk, so che: se cerco: intitle:ari "Phone System Administrator" ottengo: La pagina di login web di asterisk, cioè: Login page for "Asterisk Recording Interface" (ARI)...

53 Footprinting 2 se cerco: intitle:"flash Operator Panel" -ext:php... ottengo: Un altro tipo di pagina per fare il login web di asterisk, cioè: Flash Operator Panel is a switchboard type application for the Asterisk PBX. It runs on a web browser with the flash plugin.

54 Footprinting 3 Se cerco: intitle:asterisk.management.portal web-access ottengo: La pagina di login VOXBOX un altro tool per amministrare asterisk, cioè: VOXBOX Asterisk web management. Allows to manage Asterisk configuration like calls and SIP settings. A questo punto con i tradizionali comandi host, whois, nslookup oppure dig e un po' di fortuna/pazienza, sperando di avere schivato qualche honeypot, abbiamo trovato l'ip pubblico di un centralino asterisk

55 Enumeration 1 Per quanto riguarda la enumerazione SIP esistono, e sono liberamente disponibili, piccoli tools piuttosto efficienti nello svolgere questo compito. Due di essi, sip-scan e svmap.py, hanno lo scopo di scandire spazi anche ampi di indirizzi IP alla ricerca di nodi di rete che rispondano a richieste SIP, su trasporto UDP (tipicamente sulla porta 5060). Il primo, è realizzato in Perl e comprende alcune semplici opzioni nell ambito della seguente sintassi: sip-scan [options] <target> -v verbose. -i ip if Interfaccia/IP per gli headers SIP (default: IP assegnato a ppp0) -p port porta remota. (default: 5060) -l port porta origine locale dei pacchetti. (default: 5060) -d n[p] attende n ms dopo ogni pacchetto inviato (default: 50ms) o nel caso in cui sia stato specificato `p, invia n pacchetti per secondo (default: 20) -w n attendi n ms per le restanti risposte (default: 2000ms) il target può essere espresso con caratteri jolly (*) o ranges (n-m).

56 Enumeration 2 ad esempio: # perl./sip-scan : Asterisk PBX # perl./sip-scan * : Asterisk PBX : Grandstream GXP : AVM FRITZ!Box Fon WLAN

57 Enumeration 3 Il secondo è invece scritto in Python, e fa parte in realtà di una più ampia suite di tools incentrati tutti alle vulnerabilità del protocollo SIP, e che va sotto il nome suggestivo di SIPvicious. #./svmap.py SIP Device User Agent Fingerprint :10000 Asterisk PBX Asterisk/Linksys/PAP2T #./svmap.py /24 SIP Device User Agent Fingerprint :5060 AVM FRITZ!Box Fon... AVM or Speedport :10000 Asterisk PBX Asterisk/Linksys/PAP2T :5060 Grandstream GXP2020 Grandstream phone

58 Enumeration 4 Entrambi i tool (sip-scan e svmap.py) fanno la stessa operazione molto semplice, cioè inviano pacchetto UDP/SIP con una richiesta di tipo OPTIONS, riferita ad un indirizzo non appartenente alla sottorete analizzata, a tutti gli indirizzi specificati. OPTIONS sip:foobar@ SIP/2.0[...] nel caso di sip-scan, e OPTIONS sip:100@ SIP/2.0[...] nel caso di svmap.py. Un nodo in ascolto risponde normalmente con: SIP/ Not Found[...] CSeq: 1 OPTIONS User-Agent: Asterisk PBX[...] rivelando così la propria presenza e la propria natura.

59 Enumeration 5 L attività di enumerazione non si limita solamente ad individuare i nodi esposti direttamente in Internet, ma, una volta che ne sia stato scoperto uno, si estende a individuare gli accounts che ad esso eventualmente si riferiscono. Questo è lo specifico compito di un altro tool anche esso parte della suite SIPVicious, ovvero svwar.py, il quale tenta di indovinare quanti più possibili account validi, tramite brute-force (sviluppo combinatorio di possibili range numerici) oppure attingendo ad un dizionario di accounts comunemente utilizzati nel mondo reale. Se, per esempio sul nodo SIP (il server Asterisk) precedentemente individuato fossero definite alcune utenze con degli identificativi molto comuni e questi fossero elencati nel file nomi.txt, verrebbero immediatamente identificati da un comando come: #./svwar.py -d nomi.txt Extension Authentication snom3 reqauth xlite reqauth snom2 reqauth snom reqauth

60 Enumeration 6 svwar.py, come nell esempio appena visto, è in grado di mostrare se per ogni utente sia eventualmente necessaria una autenticazione. Quello che è avvenuto è stato in pratica l invio di un pacchetto SIP contenente (per default) una richiesta REGISTER per ogni utenza riferita nel file nomi.txt. Se l utenza è reale la richiesta può venire accettata, ma se la stessa necessità di autenticazione il server ci richiederà espressamente un credenziale, lasciandoci così identificare utenze valide. A questo punto, con svcrack, utilizzato a carico di ciascuna utenza finora individuata, attingendo a un dizionario di passwords, posso fare brute force sugli utenti identificati. #./svcrack.py -d password.txt -uxlite Extension Password xlite secret

61 Enumeration 7 Per porre rimedio a questo possibile attacco è consigliabile NON esporre direttamente un PBX su internet a meno che non se ne possa fare a meno, e in tal caso, applicare opportune protezioni tramite firewall. Inoltre, gli sviluppatori di Asterisk, per rendere più difficile l individuazione di validi SIP usernames, hanno implementato la opzione alwaysauthreject. In aderenza alla RFC 3261, le specifiche SIP, tale opzione è tuttavia disabilitata per default. Impostando alwaysauthreject = yes quando qualcuno cerca di connettersi a un interno esistente sbagliando la password non verrà comunicata se l interno esiste o no e la risposta sarà la stessa usata per un interno inesistente.

62 Enumeration 8 È importante notare che la vulnerabilità deriva, in questo caso, direttamente dalle specifiche del protocollo SIP, e che l applicazione del workaround costituito dalla opzione appena citata rappresenta tecnicamente una violazione della RFC È altresì interessante notare che l effetto pratico dei comandi appena visti è la registrazione, sul pbx vittima, di un client fasullo con indirizzo IP , come risulterebbe sulla sua console: -- Registered SIP 'xlite' at port 5060 expires Saved useragent "friendly-scanner" for peer xlite pbx*cli> sip show peers Name/username Host Dyn Nat ACL Port Status xlite/xlite D 5060 Unmonitored

63 Un esempio da "dentro" la rete... Se invece il nostro malintenzionato fosse dentro la rete potrebbe tentare un MITM. Raramente in una lan sono presenti elementi di controllo necessari a rilevare una attacco di arp poisoning. Il package dsniff è un interessante, per quanto datato, insieme di tools finalizzati allo sniffing, inclusi l omonimo dsniff (un password sniffer), arpspoof (un tool di ARP poisoning), dnsspoof (un tool per il DNS spoofing), ecc. ecc. Per poter catturare il traffico VoIP della vittima, se questa risulta cablata su uno switch, occorre che esso passi attraverso la macchina attaccante, prima di essere inoltrata, perciò il malintenzionato abiliterà ip forwarding # echo 1 > /proc/sys/net/ipv4/ip_forward Il secondo passo da effettuare consiste nell avvelenamento della tabella arp sia del target che del gateway della locale subnet. Assumendo che l indirizzo IP del target sia e quello del gateway si potrebbe impartire ad esempio: # arpspoof -i eth0 -t >/dev/null & # arpspoof -i eth0 -t >/dev/null &

64 Un esempio da "dentro" la rete poi aggiungiamo SIPcrack SIPcrack è una suite di tools che permettono di catturare e decifrare i dati di autenticazione normalmente usati nel protocollo SIP. Fra i vari tool che SIPcrack ci mette a disposizione c'è Sipdump che serve a catturare i dati relativi alle autenticazioni SIP, registrandole in un file. Se viene rilevata una login cioè, viene scritta in tale file. Il tool sipdump può essere utilizzato in modalità standalone oppure in combinazione con files di dump ottenuti con pcap (il formato di tcpdump): # tcpdump -s 0 -w pcap.txt udp and port 5060 e successivamente passare il file a sipdump per la ricerca dei dati di login: # sipdump -p pcap.txt logins.dump

65 Un esempio da "dentro" la rete...2 Per esempio se fossero definiti questi peers in Asterisk (sip.conf), corrispondenti ad altrettante identità di uno Snom360: [phone1] secret=secret [...] [phone2] secret=blah [...] [phone3] secret=blahpoly [...] [phone4] secret=digium [...] (le password utilizzate sono quelle presenti negli originali files configurativi di esempio di Asterisk) durante la cattura, l avvenuta registrazione delle quattro identità verrebbe segnalata su stdout nel seguente modo..

66 Un esempio da "dentro" la rete...3 #./sipdump filedump1 SIPdump 0.2 ( MaJoMu ) * Using dev 'eth0' for sniffing * Starting to sniff with packet filter 'tcp or udp' * Dumped login from > (User: 'phone1') * Dumped login from > (User: 'phone2') * Dumped login from > (User: 'phone3') * Dumped login from > (User: 'phone4')

67 Un esempio da "dentro" la rete...4 e il contenuto del file ottenuto da sipdump risulterebbe il seguente: " "phone1"asterisk"REGISTER"sip: "438826af""""MD5"b7d9446aa7f0593e30d57b2870dcf " "phone2"asterisk"REGISTER"sip: "54b3f33c""""MD5"9a57a2b3e0edce61d3dc0b c " "phone3"asterisk"REGISTER"sip: "619a4573""""MD5"b96f2e6786d04f378d7e e " "phone4"asterisk"REGISTER"sip: "31c87765""""MD5"a6f38d7773c830a59e9987ad5acf89ff A questo punto si potrebbe usare sipcrack per ottenere la password utente a partire dal file generato da sipdump.

68 Un esempio da "dentro" la rete...4 Di nuovo possiamo osservare come tecniche tipiche di attacco si applichino, con l'utilizzo di qualche tool specifico, benissimo al traffico voip. Anche in questo particolare caso le tecniche di difesa sono tipicamente quelle si applicano alla protezione delle reti lan (port security sullo switch, monitoraggio delle tabelle dei mac address con arpwatch, arp entry statiche quando possibile, ecc.ecc) Un altra utile precauzione, non strettamente legata al VoIP ma spesso trascurata proprio sulle reti VoIP, consiste nell'avere una solida policy di generazione delle password che renda estremamente lento e laborioso il brute force delle stesse.

69 Raccomadazioni

70 Sul progetto A livello di progettazione, o acquisizione, di una infrastruttura VoIP abbiamo già elencato le 5 precauzioni minime che ci sembrano strettamente indispensabili: 1 - Definire i requisiti. 2 - Analizzare le capacità della rete WAN esistente. 3 - Verificare se le LAN sono pronte per il VoIP. 4 - Verificare se la rete è pronta per il VoIP. 5 - Definire criteri e metriche da utilizzare per misurare le prestazioni e risolvere i problemi.

71 Sulla sicurezza 1 Le problematiche di sicurezza legate ad una infrastruttura VOIP non coinvolgono solo i livelli più bassi della pila ISO/OSI ma anche il livello applicativo. A livello applicativo i problemi che si possono avere sono molto più preoccupanti data la complessità dei sistemi utilizzati, infatti più un sistema è complesso e più facile risulta la probabilità che il codice e gli applicativi contengano errori nei protocolli, nella loro implementazione, nella interazione e nella realizzazione pratica dei programmi. Considerando che il VoIP è una tecnologia relativamente nuova, la possibilità che nel prossimo futuro possa venire soggetta a nuovi problemi di sicurezza è molto probabile.

72 Sulla sicurezza 2 Occorre pensare ad un telefono IP come ad un usuale PC, aspettarsi che possa essere soggetto ad attacchi, a virus, worm ecc., ovvero dover intervenire velocemente con la applicazione di patch di sicurezza. A differenza di un telefono tradizionale, un telefono IP è in pratica un'appliance con il proprio Sistema Operativo e i propri applicativi, e come tale deve essere considerato. Questo richiede anche che l'infrastruttura di rete sia progettata tenendo conto di questi fattori, e che l'infrastruttura di gestione sia in grado di intervenire in maniera proattiva e sempre meno reattiva.

73 Sulla sicurezza 3...quindi Per la protezione delle infrastrutture VOIP si potrebbe pensare ad utilizzare le medesime tecniche e tecnologie impiegate per proteggere una struttura basata su IP, impiegando per esempio Firewall e tecniche crittografiche. Attenzione però, purtroppo per le caratteristiche intrinseche del VOIP l applicazione di queste tecnologie non sempre ottiene l effetto voluto, ritardi nella trasmissione voce, impossibilità di raggiungere o garantire i servizi più banali sono solo alcuni dei problemi che si possono avere. Allora è necessario maggiore precauzione nella scelta e comunemente vengono indicate alcune pratiche di sicurezza da adottare:

74 Sulla sicurezza 4 - separare il traffico voce su IP dal traffico dati laddove possibile (ad esempio isolando i PBX IP e i server VOIP su VLAN dedicate) facendo uso di server DHCP separati - Fare uso di switch in luogo di hub per usufruire di funzionalità più elevate nonché di caratteristiche di sicurezza intrinseche. - Accertarsi che tutti gli apparecchi telefonici siano dotati di password di accesso e che le password non siano quelle fornite dalla fabbrica (o di default). - Fare uso di Firewall progettati appositamente per il traffico VOIP, i filtri stateful possono tracciare lo stato delle connessioni respingendo i pacchetti che non fanno parte della chiamata originaria

75 Sulla sicurezza 5 - Utilizzare tecniche di cifratura della comunicazione all esterno della rete aziendale come all interno tenendo in considerazione aspetti indotti dall uso di tali tecnologie di protezione e prevenendo con una opportuna progettazione i possibili disagi - Utilizzare tecniche di cifratura IPSEC o Secure Shell per tutta la gestione remota e se possibile realizzare l accesso all IP PBX da un sistema trusted. - Configurazione apparati idonea a prevenire attacchi IP conosciuti (MITM, arp spoofing, flooding) - Evitare i single point of failure - VERIFICA PERIODICA DELLA SICUREZZA DELL INTERA INFRASTRUTTURA.

76 TOOLS

77 VoIP Sniffing Tools - AuthTool - Tool that attempts to determine the password of a user by analyzing SIP traffic. - Cain & Abel - Multi-purpose tool with the capability to reconstruct RTP media calls. - Etherpeek - general purpose VoIP and general ethernet sniffer. - NetDude - A framework for inspection, analysis and manipulation of tcpdump trace files. - Oreka - Oreka is a modular and cross-platform system for recording and retrieval of audio streams. - PSIPDump - psipdump is a tool for dumping SIP sessions (+RTP traffic, if available) from pcap to disk in a fashion similar to "tcpdump -w". - SIPomatic - SIP listener that's part of LinPhone - SIPv6 Analyzer - An Analyzer for SIP and IPv6. - VoiPong - VoIPong is a utility which detects all Voice Over IP calls on a pipeline, and for those which are G711 encoded, dumps actual conversation to separate wave files. It supports SIP, H323, - Cisco's Skinny Client Protocol, RTP and RTCP. - VoIPong ISO Bootable - Bootable "Live-CD" disc version of VoIPong. - VOMIT - The vomit utility converts a Cisco IP phone conversation into a wave file that can be played with ordinary sound players. - Wireshark - Formerly Ethereal, the premier multi-platform network traffic analyzer. - WIST - Web Interface for SIP Trace - a PHP Web Interface that permits you to connect on a remote host/port and capture/filter a SIP dialog

78 VoIP Scanning and Enumeration Tools -enumiax - An IAX2 (Asterisk) login enumerator using REGREQ messages. -iwar - IAX2 protocol Wardialer -Nessus - The premier free network vulnerability scanner. -nmap - the premier open source network port scanner. -SIP Forum Test Framework (SFTF) - The SIP Forum Test Framework (SFTF) was created to allow SIP device vendors to test their devices for common errors. -SIP-Scan - A fast SIP network scanner -SIPcrack - SIPcrack is a SIP protocol login cracker. It contains 2 programs, SIPdump to sniff SIP logins over the network and SIPcrack to bruteforce the passwords of the sniffed login. -SIPSCAN - SIPSCAN is a SIP username enumerator that uses INVITE, REGISTER, and OPTIONS methods. -SiVuS - A SIP Vulnerability Scanner. -SMAP - SIP Stack Fingerprinting Scanner -VLANping - VLANPing is a network pinging utility that can work with a VLAN tag. -VoIPAudit - VoIP specific scanning and vulnerability scanner.

79 Packet Creation and Flooding Tools - IAXFlooder - A packet flooder that creates IAX packets. - INVITE Flooder - Send a flurry of SIP INVITE messages to a phone or proxy. - kphone-ddos - Using KPhone for flooding attacks with spoofed SIP packets - RTP Flooder - Creates "well formed" RTP Packets that can flood a phone or proxy. - Scapy - Scapy is a powerful interactive packet manipulation program. It can easily handle most classical tasks like scanning, tracerouting, probing, unit tests, attacks or network discovery. - Seagull - a multi-protocol traffic generator especially targeted towards IMS. - SIPBomber - SIPBomber is sip-protocol testing tool for Linux. - SIPNess - SIPness Messenger is a SIP testing tool which is used for testing SIP applications. - SIPp - SIPp is a free Open Source test tool / traffic generator for the SIP protocol. - SIPsak - SIP swiss army knife.

80 VoIP Fuzzing Tools - Asteroid - this is a set of malformed SIP methods (INVITE, CANCEL, BYE, etc.) that can be crafted to send to any phone or proxy. - Codenomicon VoIP Fuzzers - Commercial versions of the free PROTOS toolset - Fuzzy Packet - Fuzzy packet is a tool to manipulate messages through the injection, capturing, receiving or sending of packets generated over a network. Can fuzz RTP and includes built-in ARP poisoner. - Mu Security VoIP Fuzzing Platform - Fuzzing platform handling SIP, H.323 and MGCP protocols. - ohrwurm - ohrwurm is a small and simple RTP fuzzer. - PROTOS H.323 Fuzzer - a java tool that sends a set of malformed H.323 messages designed by the University of OULU in Finland. - PROTOS SIP Fuzzer - a java tool that sends a set of malformed SIP messages designed by the University of OULU in Finland. - SIP Forum Test Framework (SFTF) - SFTF was created to allow SIP device vendors to test their devices for common errors. And as a result of these tests improve the interoperability of the devices on the market in general. - Sip-Proxy - Acts as a proxy between a VoIP UserAgent and a VoIP PBX. Exchanged SIP messages pass through the application and can be recorded, manipulated, or fuzzed. - Spirent ThreatEx - a commercial protocol fuzzer and ribustness tester.

81 VoIP Signaling Manipulation Tools - BYE Teardown - This tool attempts to disconnect an active VoIP conversation by spoofing the SIP - BYE message from the receiving party. - Check Sync Phone Rebooter - Transmits a special NOTIFY SIP message which will reboot certain phones. - RedirectPoison - this tool works in a SIP signaling environment, to monitor for an INVITE request and respond with a SIP redirect response, causing the issuing system to direct a new INVITE to another location. - Registration Adder - this tool attempts to bind another SIP address to the target, effectively making a phone call ring in two places (the legitimate user's desk and the attacker's) - Registration Eraser - this tool will effectively cause a denial of service by sending a spoofed SIP REGISTER message to convince the proxy that a phone/user is unavailable. - Registration Hijacker - this tool tries to spoof SIP REGISTER messages in order to cause all incoming calls to be rerouted to the attacker. - SIP-Kill - Sniff for SIP-INVITEs and tear down the call. - SIP-Proxy-Kill - Tears down a SIP-Session at the last proxy before the opposite endpoint in the signaling path. - SIP-RedirectRTP - Manipulate SDP headers so that RTP packets are redirected to an RTPproxy. - SipRogue - a multifunctional SIP proxy that can be inserted between two talking parties

82 Domande?