* Sistemi Mobili e VOIP * Luca Leone lleone@thundersystems.it
Sommario VoIP Dispositivi mobili e VoIP Protocolli Firewall e VoIP Skype
VoIP Voice Over Internet Protocol Tecnologia che rende possibile una conversazione telefonica attraverso il traffico IP, anziché passare attraverso la rete telefonica tradizionale (PSTN)
Rete VOIP
Terminali VoIP SIP client (direttamente dal Desktop) SIP Phones LAN dedicata Dispositivi evoluti (LDAP, vpn, touchscreen...) SIP WIFI Phones (cordless wireless) * ATA (Analog Telephone Adapter) fax interni analogici
VoIP phone
ATA (Analog Telephony Adapter)
Terminali Mobili VoIP Cellulari di ultima generazione PDA, notebook, netbook... Sfruttano connettivita' non controllabili direttamente dall' IT Admin: Wifi (hotspot...) 3G (operatore mobile)
Protocolli VoIP 2 famiglie di protocolli di comunicazione in parallelo: trasporto dei dati(pacchetti voce su IP) nella maggior parte dei casi : RTP(Real-time Transport Protocol) codifica della segnalazione della conversazione (ricostruzione del frame audio, sincronizzazione,ecc.) SIP H323 IAX XMPP...
RTP (Real Time Protocol) protocollo di trasporto per applicazioni in tempo reale (interattivita' audio video) basato sul protocollo UDP e viene usato in congiunzione con RTCP (RTP Control Protocol) rfc 3550 E' tutto traffico in CHIARO!!!!
SIP (Session Initiation Protocol) gestisce in modo generale una "sessione" di comunicazione tra due entità, ovvero fornisce meccanismi per instaurare, modificare e terminare (rilasciare) una sessione protocollo di trasporto UDP(/TCP) la porta standard è la 5060 problemi NAT!!!! ed e' tutto in CHIARO!!!
IAX v2 (Inter Asterisk Xchange) Si usa per abilitare connessioni VoIP tra i server Asterisk (alternativa al SIP) minimize bandwidth usage for both control and media with specific emphasis on individual voice calls provide native support for NetworkAddress Translation (NAT) transparency rfc 5456
IAXv2 accorgimenti uses a single UDP port 4569, and thus works well in NAT environments uses ONLY one udp port for both control and data traffic. supports PKI-style authentication (strong authentication with asymmetric encryption keys RSA) supports voice data encrypted with AES128
Un esempio di telefonata voip
Rete VOIP
Firewall Una chiamata SIP negozia all'interno della sua sessione le porte dinamiche per la comunicazione via RTP Problema per firewall Layer 3 2 possibili soluzioni : sip connection track (es. iptables/netfilter) proxy sip
NAT e STUN (I) Session Traversal Utilities for Network Address Translators (NATs) un protocollo e di un insieme di funzioni che permettono alle applicazioni in esecuzione su un device di scoprire la presenza ed i tipi di NAT che si interpongono tra il computer e la rete pubblica
NAT e STUN (II)
wireshark esempio SIP
auth digest SIP Authentication Scheme: Digest Proxy-Authorization: Digest username="111", realm="asterisk", algorithm=md5, uri="sip:112@192.168.123.10", nonce="76f1f954", response="d727a3dff12e6b1bcda0f1d789ea4356" H (H (user:realm:pw):nonce:h(method:uri)) luca@philip:~$ echo -n '111:asterisk:1234' md5sum 931677ae95a085fcb0e3c6fcb45b151d - luca@philip:~$ echo -n 'INVITE:sip:112@192.168.123.10' md5sum 966e668a1d31b51152a73b19212c343f - luca@philip:~$ echo -n '931677ae95a085fcb0e3c6fcb45b151d:76f1f954:966e668a1d31b5 1152a73b19212c343f' md5sum d727a3dff12e6b1bcda0f1d789ea4356 -
Alcuni problemi di sicurezza manipolazione pacchetti SIP e RTP CID spoofing dos (sw,moduli, firmware, banda...) sw PBX con bachi di implementazione
Soluzione Incapsulare SIP over TLS (TCP) (firewall e NAT???) SRTP (Secure RTP) è un estensione del protocollo RTP che fornisce confidenzialità, autenticazione dei messaggi e protezione dagli attacchi di replica al traffico RTP e RTCP. Essa si basa sull algoritmo di cifratura AES, sicuro ed efficiente al tempo stesso. incapsulare in tunnel VPN (ipsec...)
Skype software proprietario freeware IM e VoIP sistema di telefonate basato su un network Peer-to-peer (kazaa) Comunicazione cifrata (comparabile con quello dei più diffusi standard crittografici) Client per numerosi dispositivi mobili (iphone, android, symbian, psp...)
Integrazione Skype con PBX aziendale Gateway Skype SIP digium asterisk Account business gestiti direttamente dalla centrale Asterisk come un canale diretto (chan_skype) Possibilita' di associare account ad estensioni Costo licenza per canale
Q & A
Riferimenti http://www.voip-info.org http://asterisk.org http://www.voipsa.org http://www.snortattack.org/docs/voip.pdf http://www.digium.com