Le nuove minacce: La telefonia su IP · PSTN Internet PSTN. Seminario AIEA Roma 26 gennaio 2005...

Seminario AIEA Roma 26 gennaio 2005

Le nuove minacce: La telefonia su IP

e le problematiche di sicurezza…..

Giancarlo Turati – CISA – CISM

Ceo FasterNet Soluzioni di Networking S.r.l.Chairman FN&Partners – IT Audit and Consulting

[email protected]


Parola d’ordine: “LA CONVERGENZA”

…….Non quella del gommista

…….Quella delle tecnologie


Convergenza ed IP Telephony: scenari e ruoli tecnologici

– Quali sono i vantaggi introdotti dalla tecnologia VoIP?

– Che differenza passa tra VoIP e ToIP (o IP Telephony)?

– Se esistono vantaggi, chi ne può beneficiare?

– Quali sono i pro ed i contro di una implementazione?



VoIP porta una connessione vocale su IP e quindi su una rete dati, locale o gegrafica. Quindi:

– La chiamata telefonica “costa” come un trasferimento dati;

– Si può ipotizzare di uniformare l’infrastruttura di trasporto per fonia e dati e quindi risparmiare sui costi di gestione;

– La competenza della gestione è unificata e quindi sono contenibili i costi di formazione e manutenzione;

Il vantaggio immediato è avvertibile da chi ha una grossa infrastruttura da gestire: i carrier.


IP

PSTN


IP


IP

PSTN



Con il VoIP è la rete IP a “parlare” la lingua telefonica: segnalazione e servizi sono ancora esterni;

Data la complessità della rete, è pesante l’importanza della gestione della QoS per garantire il servizio;

Il risparmio sui costi è notevole per chi ha già una infrastruttura (Telecom); VoIP è inoltre una scelta obbligata per chi la deve costruire (FastWeb);

L’impatto lato utente è pressochè nullo: vantaggio evidente (per ora) sui canoni di affitto delle linee (FastWeb);



Se consideriamo Internet come “LA” rete dati, il risparmio nell’inviare conversazioni telefoniche attraverso di essa sembra evidente;

Il probabile attraversamento di più provider, specie in comunicazioni a lunga distanza, rende ingestibile la QoS…

… ma questa volta il vantaggio che ne deriva può rendere accettabile il limite;

Nascono tool da PC e gli Internet Telephone Service Provider(Virtual Phone.com); si sfrutta il cosiddetto “tandem”;



PSTN

Internet

PSTN



Con il ToIP (IP Telephony) è la telefonia a “parlare” nativamentela lingua IP: segnalazione e servizi sono portati all’interno della rete;

Le architetture realizzative, tipicamente monolitiche e difficilmente espandibili, vengono costruite con un insieme di strumenti applicativi standard, già reperibili e realizzabili nel mondo dati;

Lo sviluppo di nuovi servizi è a basso costo;

Si apre la strada all’integrazione applicativa “dati-fonia”; le soluzioni diventano appetibili anche come realizzazione privata;


DB

PSTN

IP WAN

CTI Applications

•Rubrica

•Gestione Log

•Reportistica Log

•VoiceMail

•etc

ODBC/ SQL

Call Processing/Protocol Access

CTI Layer

IP Phone

SNMPH.323

TAPI/ JTAPI Call

Accounting /Billing

Authentication

NMS/ Remote Serviceability

XML

XML/ Syslog

H323/Altri

LDAP

DBDB

PSTN

IP WAN

CTI Applications

•Rubrica

•Gestione Log

•Reportistica Log

•VoiceMail

•etc

ODBC/ SQL

Call Processing/Protocol Access

CTI Layer

IP Phone

SNMPH.323

Altri

TAPI/ JTAPI Call

Accounting /Billing

Authentication

Serviceability

XML

XML/ Syslog

H323/Altri



IP

PSTN


IPInternet


Architetture disponibili: pro e contro

PSTN

IP-PBXCall serverGatewayApplication server

IP-Phone

Telefoni digitali o analogici

Interazione CTI

WAN



PSTN

V VWAN

Call server Gateway

IP Phone

Applicationserver

Interazione CTI

Adattatoreanalogico



Riassunto– Soluzioni “ibride”

• Basso impatto operativo;• Limitata apertura all’integrazione;• Risparmio sulla Intranet;• Risparmio (eventuale) sui terminali;

– Soluzioni “Full-ip”• Forte committment strategico;• Razionalizzazione complessiva del sistema;• Un unico ente gestore: il settore ICT;


L’architettura

PSTN

IP WAN

H.323 Gateway

B

Call Control

C

A


I ProtocolliSEGNALAZIONE

Standard:– H.323– Session Initiation Protocol (SIP)– Media Gateway Control Protocol (MGCP)

Proprietari:– 3Com – H3 (Layer 2)– Cisco – Skinny Client Control Protocol (SCCP)– Shoreline – Distributed Call Control Protocol (DCCP)

FLUSSO VOCE

Real-Time Protocol (RFC1889): RTP


Il flusso della telefonata

PSTN

IP WAN1 Segnalazione

2 Ring

H.323 Gateway

B Call Control

3 RTP Stream

A


Lo stato di IP Telephony

Oggi, non c’è un vero standard per la segnalazione dellachiamata:– Ogni vendor implementa il proprio– Quelli standard hanno spesso diversità nelle funzionalità

I protocolli Voice sono relativamente nuovi:– Hackers non hanno ancora familiarità– Non ci sono attacchi documentati

La sicurezza e IP telephony è in una fase iniziale diintegrazione:– Molti protocolli, oggi, non supportano confidenzialità e/o

una autenticazione dell’utente/telefono


Sicurezza di base: infrastruttura

Diversity

La convergenza dei servizi voce e dati contraddice uno dei primi principi della sicurezza:avere sistemi il più possibile diversi e ridondati.

Unificando l'infrastruttura ed i protocolli di voce e dati, un guasto od un attacco andato a buon fine su un qualsiasi dispositivo di rete può arrivare a bloccare anche quello voce.



Alimentazione elettrica

Nella telefonia tradizionale non è necessaria l'alimentazione indipendente dei telefoni

Invece in una rete VoIP tutti i device hanno bisogno di una alimentazione indipendente

Questo richiede la progettazione della rete con una copertura quasi totale dell'alimentazione



Eavesdropping e VLAN

Attualmente il traffico voce è di solito in chiaro pertanto è molto facile ascoltare le telefonate IP utilizzando comuni tecniche di eavesdropping:questo è sicuramente un problema quando le conversazioni sono su argomenti sensibili.

Per prevenire ciò si tende a creare nelle LAN delle Virtual-LAN (VLAN) riservate al traffico telefonico.


Segmentazione Dati e Voice

Trunk Port

VLAN 50VLAN 10


Segmentazione Dati e Voice

L’interazione tra dati e voce deve avvenire con un firewall

Proxy Server

Data SegmentVoice Segment

Call-Process Manager

User System

Voice-Mail ServerE-Mail Server

V

Voice Gateway User SystemCorporateServer



DoS nelle reti VoIP: Signaling, Media e Gateway/Trunk

Attacchi di tipo Denial-of-Service (DoS) si tramutano per la fonia in abbassamento della qualità o addirittura impossibilità di fare e ricevere telefonate.

In particolare, il DoS può interessare i protocolli di segnalazione causando ritardi nelle chiamate o impossibilità a stabilire la chiamata.

N.B.: considerare il caso, quando la rete non ha implementata una configurazione sufficiente di QoS per il traffico voce, del download di grandi documenti con ftp



Raddoppio dei target IP

Considerazione statistica: ogni telefono IP su una rete è ovviamente un indirizzo IP utilizzato in più.

Da un punto di vista della gestione della rete e della sicurezza questo significa avere una quantità ben più alta, indicativamente il doppio, di device:quindi potenziali bersagli.



Nessuna autenticazione

Nelle configurazioni usuali i telefoni IP non sono autenticati, o l'autenticazione è basata sull'indirizzo MAC Ethernet, pertanto è facile impersonare un telefono IP con tutte le conseguenze:

dirottamento della chiamata, intercettazione, ecc...


Sicurezza a livello applicativo

VoIP, applicativi e telefoni IPPiù è grande il codice e gli applicativi, più grande è

la possibilità che vi siano errori nei protocolli, nelle implementazioni dei protocolli, nella interazione tra i protocolli e nella realizzazione pratica dei programmi.

Quindi è necessario pensare ad un telefono IP in modo molto simile ad un usuale PC ed aspettarsi che possa essere soggetto ad attacchi, a virus, worm ecc.



VoIP Server

I call-manager e gate-keeper, vale a dire i server che gestiscono un impianto di telefonia IP, in genere non sono altro che applicazioni che girano su Sistemi Operativi noti:

Da questi ereditano tutte le potenziali vulnerabilità.



Unified-messaging e attacchi VMAIL

Lo unified messaging è il punto di contatto fra mondo dati e voce: fra mondo Email e voice-mail.

La possibilità di accedere ai file vocali via PC o tramite un programma di posta elettronica e viceversa unisce i due mondi voce e dati:

ovviamente si apre a ricevere in eredità tutta una serie di attacchi a livello applicativo finora relegati

esclusivamente all'uno oppure all'altro mondo.


Sicurezza a livello applicativoSoftphone (applicazioni VoIP per PC)

Il telefono IP ha sostanzialmente la forma di un telefono, ma è in fondosolo una applicazione di rete.Questa applicazione può anche essere implementata su di un qualunque Personal

Computer che diventa al tempo stesso anche un telefono IP, detto softphone .

Il softphone è una normale applicazione e finisce per ereditare tutte le vulnerabilità tipiche dei PC: vulnerabilità del Sistema Operativo, virus, worms ecc.,

perdita/furto del portatile e così via.

Inoltre la stessa presa di rete è utilizzata sia per il traffico dati che per quello voce, e come abbiamo visto la separazione dei due è critica nelle infrastrutture VoIP.

Un PC softphone diventa perciò un punto molto critico nell'infrastruttura VoIP in quanto è in una posizione ottima per effettuare vari attacchi descritti

precedentemente


Protezione dell’infrastruttura

VoIP versus firewallL'utilizzo di firewall per filtrare e proteggere il traffico VoIP è

sicuramente una buona idea, ma si scontra con almeno due problemi:

Il primo è l'ulteriore ritardo aggiunto dai firewall al tempo di percorrenza dei pacchetti VoIP, che però per buoni firewall è praticamente trascurabile.

Il secondo è il grande numero di protocolli necessari ad una telefonata IP ed il fatto che molti di essi richiedono l'apertura di porte dinamiche, ovvero non fisse ma concordate di volta in volta tra i device destinatari del traffico. Questo richiede che i firewall siano in grado di capire quali porte debbano essere aperte e chiuse dinamicamente.



Realtime/QoS versus Sicurezza e Crittografia

Se la voce su IP è intercettabile ed i device sono difficilmente autenticabili ci può aiutare la cifratura

Attenzione: la cifratura introduce un problema di latenza (cifrare il dato in tempo reale è un compito gravoso per i telefoni, callmanager, gateway e per i dispositivi di instradamento).

Una delle poche situazioni ove la cifratura del traffico VoIP di solito non è problematica, una volta che si tiene conto dei ritardi aggiunti, è quando si instrada traffico VoIP WAN su tunnel IPSEC dedicati.



IDS e firewall su traffico cifrato.

Se il traffico è cifrato, il firewall, il Network Intrusion Detection e le tradizionali tecnologie di analisi e filtraggio non possonofare alcunché per proteggere la rete e gli applicativi poiché non sono in grado di capire cosa viene trasportato sulla rete.

Gli Host Based Intrusion Detection System sono gli unici che ben si sposano alla cifratura, ed in questo caso è fortemente

consigliato il loro impiego sui gatekeeper, call-manager, softphone ed in generale su qualunque sistema di VoIP

implementato su sistemi operativi general-purpose.


Conclusioni

Il VoIP offre degli indubbi benefici di gestione e sfruttamento delle risorse della propria rete informatica.

D'altro canto è una tecnologia giovane, complessa e purtroppo sviluppata almeno sino a poco tempo fa senza troppa attenzione alle problematiche di sicurezza.

Con una adeguata implementazione e l'aiuto degli esperti del settore, l'adozione di VoIP può essere fatta in ragionevole sicurezza e con indubbi benefici.


Grazie per l’attenzioneQ&A

[email protected]

Le nuove minacce: La telefonia su IP · PSTN Internet PSTN. Seminario AIEA Roma 26 gennaio 2005...

Documents

Transcript of Le nuove minacce: La telefonia su IP · PSTN Internet PSTN. Seminario AIEA Roma 26 gennaio 2005...