I rischi e le misure per rendere sicure le reti VoIP. Stefano Sotgiu

VIP(i VoIP (in)security I rischi e le misure per rendere sicure le reti VoIP Stefano Sotgiu

Agenda Il VoIP e la rete telefonica tradizionale Il VoIP più in dettaglio (SIP) Le minacce nel VoIP Cosa e come proteggere nel VoIP

PSTN Commutazione di circuito Connessione punto-punto Utilizzo delle risorse in modo inefficiente Onerosa e poco flessibile Sicura Affidabile

VoIP (1) Voice over Internet Protocol Flusso di dati inseriti in pacchetti IP Commutazione di pacchetto Utilizzo di codificatori per il segnale Singolo cablaggio e singola infrastruttura Portabilità t del numero telefonico

VoIP (2) Computer Telephony Integration Spostamento dell intelligenza verso la periferia Nuovi servizi Servizio di tipo Best Effort (QoS) Meno Affidabilità Problemi di Sicurezza

SIP Protocollo di controllo a livello applicattivo Creazione, modifica e chiusura sessioni Eredita funzionalità di http e smtp Messaggistica istantanea Mobilità, Presence service Si basa su in sistema di Messaggio/Risposta

Messaggio SIP INVITE sip:bob@connect.com SIP/2.0 Via: SIP/2.0/UDPpc33.ictsecurity.com;branch=z9hG4bK776asdhds Max-Forwards: 70 To: Bob <sip:bob@connect.com> From: Alice <sip:alice@ictsecurity.com>;tag=1928301774 Call-ID: a84b4c76e66710@pc33.ictsecurity.com CSeq: 314159 INVITE Contact: <sip:alice@pc33.ictsecurity.com> ictsecurity com> Content-Type: application/sdp Content-Length: 142

Tipi di messaggi INVITE: crea una sessione BYE: termina una sessione ACK: acknowledge CANCEL: cancella un richiesta di INVITE REGISTER: registrazione di un User Agent verso un registrar NOTIFY: informazioni circa modifica dello stato della chiamata MESSAGE: distribuisce un Instant Message REFER: usato per call transfer, call diversion, etc.

SDP Regole per descrivere sessioni multimediali Inserito nel messaggio INVITE del chiamante Il chiamato inserisce le informazioni nella risposta OK

SDP v=0 o=stefano 2890844526 2890842807 IN IP4 192.168.0.5168 s=counterpath eyebeam1.5 c=in IP4 192.168.0.5168 t=0 0 m=audio 49170 RTP/AVP 0 8 a=rtpmap:0 PCMU/8000 a=rtpmap:8 p PCMU/8000 m=video 49172 RTP/AVP 32 a=rtpmap:32 MPV/90000

Entità SIP User Agent Registrar Proxy server (location service) Redirect Server

Segnalazione chiamata Registrazione Booting Conversazione

I personaggi degli esempi ALICE BOB TRUDY

Proxy A BYE Proxy B INVITE BYE INVITE 180 Ringing 100 Trying 200 OK 100 Trying 200 OK 180 Ringing BYE INVITE 200 OK 180 Ringing ACK Alice Alice Chiama Bob Cercavo BOB! No Grazie. Ciao. RTP Voice Trudy Ciao Trudy risponde al telefono Bob non c è. Posso aiutarti?

Minacce nel VoIP Frodi Interruzioni di servizio Integrità Confidenzialità

Proxy A Spoofing Proxy B INVITE 202 Accepted BYE 200 REFER OK 200 OK Bob 202 Accepted BYE SIP INVITE REFER RTP Trudy BYE 202 Accepted Alice Trudy forza un REFER da parte di Alice

Eavesdropping SIP Trudy Alice RTP Bob Intercettazione DTMF Analisi Call pattern Analisi Rete Ricostruzione Audio Ricostruzione Fax Ricostruzione Video

DoS Proxy A Proxy B SIP BYE BYE Alice RTP Trudy Bob Trudy forza un BYE da Alice

Contromisure (1) Autenticazione Usata per ogni messaggio SIP Simile all http digest Crittografia Uso di TLS per i messaggi SIP Uso di SRTP per crittografare lo stream audio VPN

Contromisure (2) Sicurezza nell infrastruttura Firewall and NAT IDS VLAN separate

Autenticazione (1)

Autenticazione (2) Via: SIP/2.0/UDP 192.168.0.11:34614;branch=z9hG4bK-d8754z-594776557210393a-1---d8754z-;rport Max-Forwards: 70 Contact: <sip:200@192.168.0.11:34614;rinstance=267656a4c2acc0f1> To: ""stefano""<sip:200@192.168.0.12> From: ""stefano""<sip:200@192.168.0.12>;tag=f308083b Call-ID: ZDE3MDdjNGIxOTNmMmQ5ODM3NDdlNjNjMDhmOTA4Nzg. CSeq: 2 REGISTER Expires: 3600 Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, NOTIFY, MESSAGE, SUBSCRIBE, INFO User-Agent: eyebeam release 1100z stamp 47739 Authorization: Digest username=""200"",realm=""192.168.0.12"",nonce=""aa4cedf87d1fec84d704b1f761c3 9c7a"",uri=""sip:192.168.0.12"",response=""4d0bb282c5d92d4cb82a3fae9fb4a14c"", i 168 12"" ""4d0bb282 b82 9fb4 14 algorithm=md5 Content-Length: 0

DoS con Autenticazione Proxy A Proxy B SIP BYE Alice RTP UNAUTHORIZED Bob Trudy Trudy forza un BYE da Alice

TLS Protocollo per comunicazioni cifrate Utilizzato da SIP per rendere sicura la segnalazione da Client verso Server Hop-by-Hop Ogni Hop è una differente sessione TLS

Alice Hll Hello Bob Comunicazione o ecifrata Chiave simmetrica scelta da Alice Chiave privata di Bob Chiave pubblica di Bob

client_hello server_hello Fase 1 Definizione delle caratteristiche di sicurezza (n# protocollo, ID sessione, suite cifratura, compresione, numeri random certificate server_ hello_done Fase 2 Invio certificato del server, invio chiavi server client_key_exchange certificate_verify Fase 3 Invio chiavi client, invio verifica certificato change_cypher _spec change_cypher_spec finished Fase 4 Modifica suite cifratura e fine handshke

User Agent A PROXY A PROXY B User Agent B 1 2 3

SRTP Estensione del protocollo RTP Confidenzialità, autenticazione, integrità Uso di chiavi simmetriche AES-CTR HMAC SHA-1

Metodi scambio chiavi SDES MIKEY ZRTP

SDES Utilizza SDP per trasportare le chiavi a=crypto:1 AES_CM_128_HMAC_SHA1_80 inline:abilklhc/wz2kttxkyqwaxyzlbe3cbzagpmvva8k

Eavesdropping con TLS/SRTP? SIP Trudy Alice RTP Bob?

Firewall Dispositivo che controlla il traffico Respinge o inoltra i pachetti in base a regole prestabilite (TCP/IP) Si trova di solito tra la rete pubblica e quella privata

NAT Maschera i client dalla LAN privata facendo aussumere loro un indirizzo pubblico Modifica indirizzi IP Permette il collegamento ad internet di vari host utilizzando un solo indirizzo pubblico Nasconde l architettura delle rete privata

Voip Firewall and NAT Punto critico in una architettura Voip Aumenta il ritardo e lo jitter Lavorano solo a livello TCP/IP Non sono in grado di ispezionare i pacchetti a livello applicattivo

Firewall e porte dinamiche

IP SRC 192.168.0.5168 IP DST 192.168.200.60168 200 60 Contact: <sip:alice@192.168.0.5:5060> To: <sip:bob@192.168.200.60>; From: <sip:alice@192.168.0.5:5060> Call-ID: N2NlYTBjNzllN2VhYTg2ODIwNzFkOTc5MT CSeq: 2 INVITE Accept: application/sdp User-Agent: pbxnsip-pbx/3.0.0.2998 Allow-Events: refer Content-Length: 0 IP DST 192.168.200.60 Contact: <sip:alice@192.168.0.5:5060> To: <sip:bob@192.168.200.60>; From: <sip:alice@192.168.0.5:5060> Call-ID: N2NlYTBjNzllN2VhYTg2ODIwNzFkOTc5MT CSeq: 2 INVITE Accept: application/sdp User-Agent: pbxnsip-pbx/3.0.0.2998 Allow-Events: refer Content-Length: 0

Soluzioni Session Border Controller (SBC) STUN TURN VPN

SBC Ispeziona pacchetti a livello applicattivo Gestione Sessioni e flusso RTP Apre porte RTP dinamicamente Modifica indirizzi IP e porte nel layer SIP Connessione Hop-by-hop Aumenta t ritardi

IP SRC 192.168.0.5 IP DST 192.168.200.60 Contact: <sip:alice@192.168.0.5:5060> To: <sip:bob@192.168.200.60>; From: <sip:alice@192.168.0.5:5060> Call-ID: N2NlYTBjNzllN2VhYTg2ODIwNzFkOTc5MT CSeq: 2 INVITE Accept: application/sdp User-Agent: pbxnsip-pbx/3.0.0.2998 p Allow-Events: refer Content-Length: 0 IP DST 192.168.200.60 Contact: <sip:alice@ 192.168.0.5 :5060> To: <sip:bob@192.168.200.60>; From: <sip:alice@ 192.168.0.5 :5060> Call-ID: N2NlYTBjNzllN2VhYTg2ODIwNzFkOTc5MT CSeq: 2 INVITE Accept: application/sdp User-Agent: pbxnsip-pbx/3.0.0.2998 0 Allow-Events: refer Content-Length: 0

Domande

Verona Via Oberdan,18 Tel. 0458013162 Milano Via Bixio, 8 Tel. 0229516085 Ivrea Via Aosta, 69 Tel. 0125627914 Pompei Via Acquasalsa, 49 Tel. 0818505932 E-mail : info@connectsrl.com