Sicurezza dei servizi Voice over IP con SIP e RTP



Documenti analoghi
Elementi sull uso dei firewall

Prof. Filippo Lanubile

Interfaccia Web per customizzare l interfaccia dei terminali e

FIREWALL. Firewall - modello OSI e TCP/IP. Gianluigi Me. me@disp.uniroma2.it Anno Accademico 2005/06. Modello OSI. Modello TCP/IP. Application Gateway

Esercitazioni di Tecnologie e Servizi di Rete: Voice over IP (VoIP)

Criticità dei servizi di telecomunicazione nella convergenza voce/dati. Colloquia sulla infrastrutture critiche AIIC Univ. Roma Tre, 27 Febbraio 2008

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software.

1 Concetti di base... 3

Tutto il VoIP in 45 minuti!! Giuseppe Tetti. Ambiente Demo. VoIP IP PBX SIP

La sicurezza delle reti

Principi di Sicurezza nelle Reti di Telecomunicazioni

Introduzione (parte I)

KLEIS WEB APPLICATION FIREWALL

Sicurezza nelle applicazioni multimediali: lezione 9, firewall. I firewall

STUDIO ED ANALISI DELLA SICUREZZA DEI SERVIZI VOICE OVER IP CON SIP E RTP

Il VoIP parla Wireless. Giuseppe Tetti. Ambiente Demo. VoIP IP PBX SIP. Internet. Soft Phone

La sicurezza nelle comunicazioni su reti a commutazione di pacchetto

Progettare un Firewall

Cosa è Tower. Sistema di autenticazione per il controllo degli accessi a reti wireless. struttura scalabile. permette la nomadicità degli utenti

Indice. Prefazione XIII

Crittografia e sicurezza delle reti. Firewall

Corso di Sicurezza nelle reti a.a. 2009/2010. Soluzioni dei quesiti sulla seconda parte del corso

Tipologie e metodi di attacco

Politecnico di Milano Dip. Elettronica e Informazione Milano, Italy Esempi di attacchi ai protocolli di rete

PROGRAMMAZIONE DIDATTICA DI SISTEMI Indirizzo: Informatica Progetto Abacus Anno scolastico

ICMP OSI. Internet Protocol Suite. Telnet FTP SMTP SNMP TCP e UDP NFS. Application XDR. Presentation. Session RPC. Transport.

Il Mondo delle Intranet

Dal protocollo IP ai livelli superiori

Cenni sulla Sicurezza in Ambienti Distribuiti

Indice generale. Ringraziamenti...xiii. Introduzione...xv. Capitolo 1 IPv6: i fattori trainanti...1. Capitolo 2 Panoramica su IPv6...

SPECIFICA DI ASSESSMENT PER I SERVIZI BPOL E BPIOL

Il VoIP. Ing. Mario Terranova

Corso di Network Security a.a. 2012/2013. Raccolta di alcuni quesiti sulla SECONDA parte del corso

Analizziamo quindi in dettaglio il packet filtering

Programmazione modulare

Il firewall Packet filtering statico in architetture avanzate

Ettercap, analisi e sniffing nella rete. Gianfranco Costamagna. LinuxDay abinsula. October 25, 2014

TCP/IP un introduzione

Motivazioni Integrazione dei servizi Vantaggi e problemi aperti. Architettura di riferimento

Approfondimento tecnico servizio WDSL

Connessione di reti private ad Internet. Fulvio Risso

Introduzione alla rete Internet

CONNESSIONE DI UN PC ALLA RETE INTERNET

vulnerabilità delle reti maurizio pizzonia sicurezza dei sistemi informatici e delle reti

PTSv2 in breve: La scelta migliore per chi vuole diventare un Penetration Tester. Online, accesso flessibile e illimitato

Le mutazioni genetiche della sicurezza informatica nel tempo

Una Soluzione di NAT Traversal per un sistema di comunicazione VOIP per una PMI

SIEMENS GIGASET C450 IP GUIDA ALLA CONFIGURAZIONE EUTELIAVOIP

Inizializzazione degli Host. BOOTP e DHCP

Interfaccia KNX/IP Wireless GW Manuale Tecnico

Prof. Mario Cannataro Ing. Giuseppe Pirrò

SIEMENS GIGASET S450 IP GUIDA ALLA CONFIGURAZIONE EUTELIAVOIP

Gestione degli indirizzi

Introduzione alla rete Internet

Procedura configurazione Voip GNR Trunk Olimontel Asterisk PBX

Indice. Prefazione. Capitolo 1 Introduzione 1. Capitolo 2 Livello applicazione 30

Petra Internet Firewall Corso di Formazione

ICMP. Internet Control Message Protocol. Silvano GAI. sgai[at]cisco.com. Mario BALDI. mario.baldi[at]polito.it

FIREWALL OUTLINE. Introduzione alla sicurezza delle reti. firewall. zona Demilitarizzata

La sicurezza nelle reti di calcolatori

Sicurezza applicata in rete

Un architettura di servizi integrati di comunicazione su rete IP per una PMI

ANNO SCOLASTICO: DISCIPLINA: INFORMATICA CLASSE: 5 SI INDIRIZZO: SISTEMI INFORMATIVI DOCENTI: TISO EMANUELE BARBARA SECCHI

Università degli Studi di Pisa Dipartimento di Informatica. NAT & Firewalls

Introduzione alla rete Internet

Firewall. Alfredo De Santis. Maggio Dipartimento di Informatica Università di Salerno.

I rischi e le misure per rendere sicure le reti VoIP. Stefano Sotgiu

Introduzione ad hping

l'introduzione a Voice over IP

SIEMENS GIGASET S685 IP GUIDA ALLA CONFIGURAZIONE EUTELIAVOIP

Introduzione alle applicazioni di rete

ARP e RARP. Silvano GAI. sgai[at]cisco.com. Mario BALDI. mario.baldi[at]polito.it Fulvio RISSO

Tecnologie di Sviluppo per il Web

Sicurezza: esperienze sostenibili e di successo. Accesso unificato e sicuro via web alle risorse ed alle informazioni aziendali: l esperienza FERPLAST

Introduzione al VoIP

DEXGATE 3000 GUIDA ALLA CONFIGURAZIONE EUTELIAVOIP

Sicurezza delle reti 1. Lezione IV: Port scanning. Stato di una porta. Port scanning. Mattia Monga. a.a. 2010/11

Indice. Indice V. Introduzione... XI

Indice. Indice V INTRODUZIONE... XIII PARTE PRIMA... 1

Obiettivo: realizzazione di reti sicure TIPI DI ATTACCO. Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative

Firewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall

Network Intrusion Detection

Cos è. Protocollo TCP/IP e indirizzi IP. Cos è. Cos è


Gestione degli indirizzi

Ing. Simone Tacconi, Direttore Tecnico Principale del Servizio Polizia Postale e delle Comunicazioni.

Corso di Laurea in Ingegneria Informatica. Corso di Reti di Calcolatori a.a. 2009/10

Transcript:

Sicurezza dei servizi Voice con Program Manager: Francesco Limone f.limone@elis.org Project Manager: Emilio Tonelli Team Members CONSEL: Sebastiano Di Gregorio Matteo Mogno Alessandro Tatti Contents Introduzione al progetto Concept Stadi del progetto Technology: Scenario generale Analisi Sviluppo Studio Conclusioni Pag. 2/13

Concept To: In a way that: Realizzazione di di uno studio strategico sulla del VoIP Studio del VoIP Realizzazione di di un architettura VoIP Identificazione di di attacchi in in VoIP degli attacchi So that: So that: Identificazione di di un architettura di di riferimento per l erogazione in in dei servizi multimediali basati su su VoIP Pag. 3/13 Studio Stadi del progetto Analisi Sviluppo 29 Mar 04 19 Apr 04 6 Giu 04 4 Lug 04 27 Set 04 Deliverables Technical Reports Diagrammi SDL dell Application Level Gateway Pag. 4/13

Fisico Rete Trasporto Applicativo RTP TCP UDP IPv4, IPv6 Pag. 5/13 Fisico Rete Trasporto Applicativo TCP Man in the Middle ARP Poisoning, DNS Spoofing, DNS Poisoning, STP Mangling, RTP DHCP Spoofing, ICMP Redirection Denial of Service Ping of Death, ICMP Smurfing, Distribuited Denial of UDPService, SYN Flood Information Theft Sniffing, Buffer Overflow, Password Cracking, Social Engineering, Code Injection IPv4, IPv6 Virus, Worm, Trojan e Rootkit Pag. 6/13

Fisico Rete Trasporto Applicativo RTP TCP UDP IPv4, IPv6 Pag. 7/13 Attacchi Applicativo Hijacking Registration Hijacking, 3XX Response Code Messages RTP Man in the Middle Impersonating a Proxy Server, 302 and 305 Response Code Messages, Impersonating a Registrar Server Denial of Service Tearing down a session, Modifying a session, Cancelling a session, DoS Attack and Amplification, Response Code Messages Pag. 8/13

Attacchi RTP Man in the Middle Modifying IP address Denial of Service Malicious payload format, RTCP Timing Rules Incorrectly, Change Synchronization Source Field, BYE Attack, Sequence Number and Timestamp higher, Injecting Malicious Reception Reports Applicativo RTP Pag. 9/13 Proxy Express Router UA opensource di SJ Labs Proxy di Iptel.org Sviluppo, attraverso il linguaggio C, di un generatore di messaggi Pag. 10/13

Sicurezza in VoIP Esigenze Risolvere il problema Firewall Risolvere il problema NAT Impedire gli attacchi Pag. 11/13 Sistema di gestione dei messaggi del Blocco: FW/NAT Ch 1 NAT L4 Ch 2 Firewall Ch 18 Processi del blocco : Blocco: DNS Ch 5 Ch 6 Ch 7 Ch 8 Ch 3 Ch 4 DNS Ch 17 NAT L7 Ch 9 Proxy Ch 16 Ch 13 Blocco: Controllo Policies Ch 12 Ch 10 Ch 11 Registrar Ch 15 Blocco: Server Ch 14 Session Database Location Service Blocco: Database Pag. 12/13

Contents Introduzione al progetto Technology Conclusioni Concept Scenario del progetto Stadi del progetto Pag. 13/13 Concept To: In a way that: Realizzazione di di uno studio strategico sulla del VoIP Studio del VoIP Realizzazione di di un architettura VoIP Identificazione di di attacchi in in VoIP degli attacchi So that: So that: Identificazione di di un architettura di di riferimento per l erogazione in in dei servizi multimediali basati su su VoIP Pag. 14/13

Stadi del progetto Studio Analisi Sviluppo 29 Mar 04 19 Apr 04 6 Giu 04 4 Lug 04 27 Set 04 Deliverables Technical Reports Diagrammi SDL dell Pag. 15/13 Contents Introduzione al progetto Technology: Scenario generale Conclusioni Studio Analisi Sviluppo Pag. 16/13

1.1 Voice Protocollo di segnalazione di tipo client-server di livello applicativo che permette di creare, modificare e terminare sessioni multimediali con uno o più partecipanti Architettura Pag. 17/13 Fisico Rete Trasporto Applicativo RTP TCP UDP IPv4, IPv6 Pag. 18/13

Fisico Rete Trasporto Applicativo TCP Man in the Middle ARP Poisoning, DNS Spoofing, DNS Poisoning, STP Mangling, RTP DHCP Spoofing, ICMP Redirection Denial of Service Ping of Death, ICMP Smurfing, Distribuited Denial of UDPService, SYN Flood Information Theft Sniffing, Buffer Overflow, Password Cracking, Social Engineering, Code Injection IPv4, IPv6 Virus, Worm, Trojan e Rootkit Pag. 19/13 Fisico Rete Trasporto Applicativo RTP TCP UDP IPv4, IPv6 Pag. 20/13

Attacchi Applicativo Hijacking Registration Hijacking, 3XX Response Code Messages RTP Man in the Middle Impersonating a Proxy Server, 302 and 305 Response Code Messages, Impersonating a Registrar Server Denial of Service Tearing down a session, Modifying a session, Cancelling a session, DoS Attack and Amplification, Response Code Messages Pag. 21/13 Attacchi RTP Man in the Middle Modifying IP address Denial of Service Malicious payload format, RTCP Timing Rules Incorrectly, Change Synchronization Source Field, BYE Attack, Sequence Number and Timestamp higher, Injecting Malicious Reception Reports Applicativo RTP Pag. 22/13

Proxy Express Router UA opensource di SJ Labs Proxy di Iptel.org Sviluppo completo di un generatore di messaggi scritto in C Pag. 23/13 Proxy Express Router Hijacking INVITE Victim B 100 Trying INVITE Victim B INVITE Victim B 100 Trying 302 Moved Permanently INVITE Victim B 180 Ringing 180 Ringing Pag. 24/13

Proxy Express Router DoS Session 200 OK 200 OK BYE da Victim B 200 OK BYE da Victim A 200 OK Pag. 25/13 Proxy Express Router MitM RTP Session 200 OK re-invite da Victim B 200 OK ACK da Victim B re-invite da Victim A 200 OK ACK da Victim A Session Session Pag. 26/13

Sicurezza in VoIP Esigenze Risolvere il problema Firewall Risolvere il problema NAT Impedire gli attacchi Pag. 27/13 Sicurezza in VoIP Esigenze Risolvere il problema Firewall Pag. 28/13

Sicurezza in VoIP Esigenze Risolvere il problema Firewall Risolvere il problema NAT Impedire gli attacchi Pag. 29/13 Sistema di gestione dei messaggi del Blocco: FW/NAT Ch 1 Firewall Ch 18 NAT L4 Ch 2 Blocco: DNS Ch 5 Ch 6 Ch 7 Ch 8 Ch 3 Ch 4 DNS Ch 17 NAT L7 Ch 9 Proxy Ch 16 Ch 13 Blocco: Controllo Policies Ch 12 Ch 10 Ch 11 Registrar Ch 15 Blocco: Server Ch 14 Session Database Location Service Blocco: Database Pag. 30/13

Sistema di gestione dei messaggi del Blocco: FW/NAT Ch 1 Firewall Ch 18 Processi del blocco : NAT L4 Ch 2 Blocco: DNS Ch 5 Ch 6 Ch 13 Blocco: Ch 14 NAT L7 Ch 7 Ch 8 Controllo Policies Ch 12 Ch 9 Ch 10 Ch 11 Session Database Blocco: Database Ch 3 Ch 4 Registrar Ch 15 Blocco: Server Proxy Ch 16 Location Service DNS Ch 17 Macchina a stati finiti estesa (EFSM): Gestire ogni messaggio entrante o uscente dal dominio Verificare la corretta sequenzialità del messaggio all interno del dialogo Rilevare un eventuale tentativo di attacco Gestire l apertura e la chiusura delle porte sull interfaccia esterna del Firewall Aggiornare il processo Session DB Pag. 31/13 Sistema di gestione dei messaggi del Blocco: FW/NAT Ch 1 Firewall Ch 18 Processi del blocco : NAT L4 Ch 2 Blocco: DNS Ch 5 Ch 6 Ch 13 Blocco: Ch 14 NAT L7 Ch 7 Ch 8 Controllo Policies Ch 12 Ch 9 Ch 10 Ch 11 Session Database Blocco: Database Ch 3 Ch 4 Registrar Ch 15 Blocco: Server Proxy Ch 16 Location Service DNS Ch 17 Macchina a stati finiti estesa (EFSM): Interrogare il processo Session DB Sostituire ogni occorrenza di indirizzi privati all interno dei messaggi e SDP con l indirizzo pubblico dell interfaccia esterna del firewall Sostituire ogni occorrenza della porta dello UA all interno dei messaggi e SDP con la porta assegnata dal NAT L4 sull interfaccia esterna del firewall Pag. 32/13

Contents Introduzione al progetto Technology Conclusioni Pag. 33/13 Conclusioni Sviluppi Futuri Identificate le vulnerabilità e le minacce a cui sono esposte le soluzioni VoIP realizzate Identificati i Problema Firewall e Problema NAT di una soluzione ( ) che risolve i problemi precedentemente esposti Valutazione delle prestazioni e controllo della QoS Sviluppo della compatibilità con servizi di Instant Messaging Sviluppo di un protocollo standard per l interazione tra processi e processi Firewall Pag. 34/13

2026 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back