I rischi e le misure per rendere sicure le reti VoIP. Stefano Sotgiu

Transcript

1 VIP(i VoIP (in)security I rischi e le misure per rendere sicure le reti VoIP Stefano Sotgiu

2 Agenda Il VoIP e la rete telefonica tradizionale Il VoIP più in dettaglio (SIP) Le minacce nel VoIP Cosa e come proteggere nel VoIP

3 PSTN Commutazione di circuito Connessione punto-punto Utilizzo delle risorse in modo inefficiente Onerosa e poco flessibile Sicura Affidabile

4

5 VoIP (1) Voice over Internet Protocol Flusso di dati inseriti in pacchetti IP Commutazione di pacchetto Utilizzo di codificatori per il segnale Singolo cablaggio e singola infrastruttura Portabilità t del numero telefonico

6 VoIP (2) Computer Telephony Integration Spostamento dell intelligenza verso la periferia Nuovi servizi Servizio di tipo Best Effort (QoS) Meno Affidabilità Problemi di Sicurezza

7

8

9 SIP Protocollo di controllo a livello applicattivo Creazione, modifica e chiusura sessioni Eredita funzionalità di http e smtp Messaggistica istantanea Mobilità, Presence service Si basa su in sistema di Messaggio/Risposta

10 Messaggio SIP INVITE SIP/2.0 Via: SIP/2.0/UDPpc33.ictsecurity.com;branch=z9hG4bK776asdhds Max-Forwards: 70 To: Bob From: Alice Call-ID: CSeq: INVITE Contact: ictsecurity com> Content-Type: application/sdp Content-Length: 142

11 Tipi di messaggi INVITE: crea una sessione BYE: termina una sessione ACK: acknowledge CANCEL: cancella un richiesta di INVITE REGISTER: registrazione di un User Agent verso un registrar NOTIFY: informazioni circa modifica dello stato della chiamata MESSAGE: distribuisce un Instant Message REFER: usato per call transfer, call diversion, etc.

12 SDP Regole per descrivere sessioni multimediali Inserito nel messaggio INVITE del chiamante Il chiamato inserisce le informazioni nella risposta OK

13 SDP v=0 o=stefano IN IP s=counterpath eyebeam1.5 c=in IP t=0 0 m=audio RTP/AVP 0 8 a=rtpmap:0 PCMU/8000 a=rtpmap:8 p PCMU/8000 m=video RTP/AVP 32 a=rtpmap:32 MPV/90000

14 Entità SIP User Agent Registrar Proxy server (location service) Redirect Server

15 Segnalazione chiamata Registrazione Booting Conversazione

16 I personaggi degli esempi ALICE BOB TRUDY

17 Proxy A BYE Proxy B INVITE BYE INVITE 180 Ringing 100 Trying 200 OK 100 Trying 200 OK 180 Ringing BYE INVITE 200 OK 180 Ringing ACK Alice Alice Chiama Bob Cercavo BOB! No Grazie. Ciao. RTP Voice Trudy Ciao Trudy risponde al telefono Bob non c è. Posso aiutarti?

18 Minacce nel VoIP Frodi Interruzioni di servizio Integrità Confidenzialità

19 Proxy A Spoofing Proxy B INVITE 202 Accepted BYE 200 REFER OK 200 OK Bob 202 Accepted BYE SIP INVITE REFER RTP Trudy BYE 202 Accepted Alice Trudy forza un REFER da parte di Alice

20 Eavesdropping SIP Trudy Alice RTP Bob Intercettazione DTMF Analisi Call pattern Analisi Rete Ricostruzione Audio Ricostruzione Fax Ricostruzione Video

21 DoS Proxy A Proxy B SIP BYE BYE Alice RTP Trudy Bob Trudy forza un BYE da Alice

22 Contromisure (1) Autenticazione Usata per ogni messaggio SIP Simile all http digest Crittografia Uso di TLS per i messaggi SIP Uso di SRTP per crittografare lo stream audio VPN

23 Contromisure (2) Sicurezza nell infrastruttura Firewall and NAT IDS VLAN separate

24 Autenticazione (1)

25 Autenticazione (2) Via: SIP/2.0/UDP :34614;branch=z9hG4bK-d8754z a-1---d8754z-;rport Max-Forwards: 70 Contact: To: From: Call-ID: ZDE3MDdjNGIxOTNmMmQ5ODM3NDdlNjNjMDhmOTA4Nzg. CSeq: 2 REGISTER Expires: 3600 Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, NOTIFY, MESSAGE, SUBSCRIBE, INFO User-Agent: eyebeam release 1100z stamp Authorization: Digest username=""200"",realm="" "",nonce=""aa4cedf87d1fec84d704b1f761c3 9c7a"",uri=""sip: "",response=""4d0bb282c5d92d4cb82a3fae9fb4a14c"", i "" ""4d0bb282 b82 9fb4 14 algorithm=md5 Content-Length: 0

26 DoS con Autenticazione Proxy A Proxy B SIP BYE Alice RTP UNAUTHORIZED Bob Trudy Trudy forza un BYE da Alice

27 TLS Protocollo per comunicazioni cifrate Utilizzato da SIP per rendere sicura la segnalazione da Client verso Server Hop-by-Hop Ogni Hop è una differente sessione TLS

28 Alice Hll Hello Bob Comunicazione o ecifrata Chiave simmetrica scelta da Alice Chiave privata di Bob Chiave pubblica di Bob

29 client_hello server_hello Fase 1 Definizione delle caratteristiche di sicurezza (n# protocollo, ID sessione, suite cifratura, compresione, numeri random certificate server_ hello_done Fase 2 Invio certificato del server, invio chiavi server client_key_exchange certificate_verify Fase 3 Invio chiavi client, invio verifica certificato change_cypher _spec change_cypher_spec finished Fase 4 Modifica suite cifratura e fine handshke

30 User Agent A PROXY A PROXY B User Agent B 1 2 3

31 SRTP Estensione del protocollo RTP Confidenzialità, autenticazione, integrità Uso di chiavi simmetriche AES-CTR HMAC SHA-1

32

33 Metodi scambio chiavi SDES MIKEY ZRTP

34 SDES Utilizza SDP per trasportare le chiavi a=crypto:1 AES_CM_128_HMAC_SHA1_80 inline:abilklhc/wz2kttxkyqwaxyzlbe3cbzagpmvva8k

35 Eavesdropping con TLS/SRTP? SIP Trudy Alice RTP Bob?

36 Firewall Dispositivo che controlla il traffico Respinge o inoltra i pachetti in base a regole prestabilite (TCP/IP) Si trova di solito tra la rete pubblica e quella privata

37 NAT Maschera i client dalla LAN privata facendo aussumere loro un indirizzo pubblico Modifica indirizzi IP Permette il collegamento ad internet di vari host utilizzando un solo indirizzo pubblico Nasconde l architettura delle rete privata

38 Voip Firewall and NAT Punto critico in una architettura Voip Aumenta il ritardo e lo jitter Lavorano solo a livello TCP/IP Non sono in grado di ispezionare i pacchetti a livello applicattivo

39 Firewall e porte dinamiche

40 IP SRC IP DST Contact: To: From: Call-ID: N2NlYTBjNzllN2VhYTg2ODIwNzFkOTc5MT CSeq: 2 INVITE Accept: application/sdp User-Agent: pbxnsip-pbx/ Allow-Events: refer Content-Length: 0 IP DST Contact: <sip:alice@ :5060> To: <sip:bob@ >; From: <sip:alice@ :5060> Call-ID: N2NlYTBjNzllN2VhYTg2ODIwNzFkOTc5MT CSeq: 2 INVITE Accept: application/sdp User-Agent: pbxnsip-pbx/ Allow-Events: refer Content-Length: 0

41 Soluzioni Session Border Controller (SBC) STUN TURN VPN

42 SBC Ispeziona pacchetti a livello applicattivo Gestione Sessioni e flusso RTP Apre porte RTP dinamicamente Modifica indirizzi IP e porte nel layer SIP Connessione Hop-by-hop Aumenta t ritardi

43 IP SRC IP DST Contact: To: From: Call-ID: N2NlYTBjNzllN2VhYTg2ODIwNzFkOTc5MT CSeq: 2 INVITE Accept: application/sdp User-Agent: pbxnsip-pbx/ p Allow-Events: refer Content-Length: 0 IP DST Contact: <sip:alice@ :5060> To: <sip:bob@ >; From: <sip:alice@ :5060> Call-ID: N2NlYTBjNzllN2VhYTg2ODIwNzFkOTc5MT CSeq: 2 INVITE Accept: application/sdp User-Agent: pbxnsip-pbx/ Allow-Events: refer Content-Length: 0

44

45 Domande

46 Verona Via Oberdan,18 Tel Milano Via Bixio, 8 Tel Ivrea Via Aosta, 69 Tel Pompei Via Acquasalsa, 49 Tel info@connectsrl.com