sicurezza voip - webprog.net · microsoft powerpoint - sicurezza_voip.ppt author (sweeth0m\200)...
TRANSCRIPT
![Page 1: Sicurezza VOIP - WebProg.Net · Microsoft PowerPoint - Sicurezza_VOIP.ppt Author (sweetH0M\200) Created Date: 3/9/2007 12:00:00 AM](https://reader035.vdocuments.site/reader035/viewer/2022070923/5fbbbabb16a4ce22c76c702e/html5/thumbnails/1.jpg)
1
Sicurezza VOIP
Un’Introduzione
![Page 2: Sicurezza VOIP - WebProg.Net · Microsoft PowerPoint - Sicurezza_VOIP.ppt Author (sweetH0M\200) Created Date: 3/9/2007 12:00:00 AM](https://reader035.vdocuments.site/reader035/viewer/2022070923/5fbbbabb16a4ce22c76c702e/html5/thumbnails/2.jpg)
2
VOIP in Crescita
• VOIP è già ora un metodo di comunicazione molto popolare e sempre più lo diventerà
• Molti ISP e Telco cominciano a fornire servizi più o meno avanzati di telefonia VOIP
• Il traffico VOIP ha una alta aspettativa di confidenzialità, come tutto il traffico telefonico
![Page 3: Sicurezza VOIP - WebProg.Net · Microsoft PowerPoint - Sicurezza_VOIP.ppt Author (sweetH0M\200) Created Date: 3/9/2007 12:00:00 AM](https://reader035.vdocuments.site/reader035/viewer/2022070923/5fbbbabb16a4ce22c76c702e/html5/thumbnails/3.jpg)
3
Tipi di Telefono
• Softphone
• Hardphone
![Page 4: Sicurezza VOIP - WebProg.Net · Microsoft PowerPoint - Sicurezza_VOIP.ppt Author (sweetH0M\200) Created Date: 3/9/2007 12:00:00 AM](https://reader035.vdocuments.site/reader035/viewer/2022070923/5fbbbabb16a4ce22c76c702e/html5/thumbnails/4.jpg)
4
Tipica Architettura VOIP
![Page 5: Sicurezza VOIP - WebProg.Net · Microsoft PowerPoint - Sicurezza_VOIP.ppt Author (sweetH0M\200) Created Date: 3/9/2007 12:00:00 AM](https://reader035.vdocuments.site/reader035/viewer/2022070923/5fbbbabb16a4ce22c76c702e/html5/thumbnails/5.jpg)
5
VOIP: Attacchi
• Cattura del traffico di rete• Bootp• Vulnerabilità del telefono• Attacchi alle interfacce di gestione
![Page 6: Sicurezza VOIP - WebProg.Net · Microsoft PowerPoint - Sicurezza_VOIP.ppt Author (sweetH0M\200) Created Date: 3/9/2007 12:00:00 AM](https://reader035.vdocuments.site/reader035/viewer/2022070923/5fbbbabb16a4ce22c76c702e/html5/thumbnails/6.jpg)
6
Attacchi: Conseguenze
• Ascolto o registrazione delle telefonate• Inserimento di contenuto non autorizzato
all’interno di una telefonata• Spoofing del ID del chiamante• Crash dei telefoni• DOS• Spamming
![Page 7: Sicurezza VOIP - WebProg.Net · Microsoft PowerPoint - Sicurezza_VOIP.ppt Author (sweetH0M\200) Created Date: 3/9/2007 12:00:00 AM](https://reader035.vdocuments.site/reader035/viewer/2022070923/5fbbbabb16a4ce22c76c702e/html5/thumbnails/7.jpg)
7
VOIP: Protocolli
• H.323– Il protocollo più vecchio, ma ancora utilizzato– Fornisce metodi per la cifratura e l’autenticazione del
traffico • SIP
– Autenticazione di tipo Digest basata su HTTP, ma molte volte risulta disabilitata
– Non fornisce metodi di cifratura• MGCP
– Si basa sul protocollo IPSec per quanto riguarda la sicurezza, ma purtroppo la maggior parte dei telefoni non supporta IPSec
![Page 8: Sicurezza VOIP - WebProg.Net · Microsoft PowerPoint - Sicurezza_VOIP.ppt Author (sweetH0M\200) Created Date: 3/9/2007 12:00:00 AM](https://reader035.vdocuments.site/reader035/viewer/2022070923/5fbbbabb16a4ce22c76c702e/html5/thumbnails/8.jpg)
8
Uso delle VLANs
• Cisco raccomanda VLAN separate per il traffico voce ed il traffico dati
• MA…
• Molti telefoni VOIP consentono di condividere le connessioni di rete con i PC Desktop
• Inoltre, Voip permette l’uso di Softohonesinstallati direttamente sui PC
• Perciò, a volte non si può separare il traffico voce dal resto della rete
![Page 9: Sicurezza VOIP - WebProg.Net · Microsoft PowerPoint - Sicurezza_VOIP.ppt Author (sweetH0M\200) Created Date: 3/9/2007 12:00:00 AM](https://reader035.vdocuments.site/reader035/viewer/2022070923/5fbbbabb16a4ce22c76c702e/html5/thumbnails/9.jpg)
9
VOIP: Cattura Traffico
• Ethereal ha il supporto per alcuni dei protocolli VOIP
• Permette quindi di catturare il traffico VOIP• Ed anche di convertire tale traffico in un
file .wav di tipo audio
![Page 10: Sicurezza VOIP - WebProg.Net · Microsoft PowerPoint - Sicurezza_VOIP.ppt Author (sweetH0M\200) Created Date: 3/9/2007 12:00:00 AM](https://reader035.vdocuments.site/reader035/viewer/2022070923/5fbbbabb16a4ce22c76c702e/html5/thumbnails/10.jpg)
10
![Page 11: Sicurezza VOIP - WebProg.Net · Microsoft PowerPoint - Sicurezza_VOIP.ppt Author (sweetH0M\200) Created Date: 3/9/2007 12:00:00 AM](https://reader035.vdocuments.site/reader035/viewer/2022070923/5fbbbabb16a4ce22c76c702e/html5/thumbnails/11.jpg)
11
![Page 12: Sicurezza VOIP - WebProg.Net · Microsoft PowerPoint - Sicurezza_VOIP.ppt Author (sweetH0M\200) Created Date: 3/9/2007 12:00:00 AM](https://reader035.vdocuments.site/reader035/viewer/2022070923/5fbbbabb16a4ce22c76c702e/html5/thumbnails/12.jpg)
12
![Page 13: Sicurezza VOIP - WebProg.Net · Microsoft PowerPoint - Sicurezza_VOIP.ppt Author (sweetH0M\200) Created Date: 3/9/2007 12:00:00 AM](https://reader035.vdocuments.site/reader035/viewer/2022070923/5fbbbabb16a4ce22c76c702e/html5/thumbnails/13.jpg)
13
Altri Tools
• Vomit– Inserisce file audio all’interno di una
conversazione VOIP
• Tourettes– Inserisce parole a caso durante una
conversazione VOIP
![Page 14: Sicurezza VOIP - WebProg.Net · Microsoft PowerPoint - Sicurezza_VOIP.ppt Author (sweetH0M\200) Created Date: 3/9/2007 12:00:00 AM](https://reader035.vdocuments.site/reader035/viewer/2022070923/5fbbbabb16a4ce22c76c702e/html5/thumbnails/14.jpg)
14
VOIP Phones
• Un’altra cosa da patchare !!!
• Esempio:– Inviando una richiesta POST di un solo byte
all’interfaccia HTTP dell’adapter, viene rivelata la configurazione completa del telefono compresa la password dell’amministratore !!!
![Page 15: Sicurezza VOIP - WebProg.Net · Microsoft PowerPoint - Sicurezza_VOIP.ppt Author (sweetH0M\200) Created Date: 3/9/2007 12:00:00 AM](https://reader035.vdocuments.site/reader035/viewer/2022070923/5fbbbabb16a4ce22c76c702e/html5/thumbnails/15.jpg)
15
Caller ID: Spoofing
• Il Caller ID si basa su un Calling Party Number(CPN)
• Questo viene sempre inviato quando ha luogo una chiamata
• Un flag indica se è possibile per il ricevente verificare o meno il numero del chiamante
• Anche con i PBX classici era possibile lo spoofing del Caller ID, ma richiedeva una strumentazione sofisticata
• Con i PBX VOIP, lo spoofing è molto più facile