Fisl2006 Barreto

1
Alexandre B. Barreto
kabartuol.com.br
Protegendo sistemas de teleIonia IP
(SIP/RTP/RTCP) usando plataIormas
baseadas em soItware livre.
Alexandre de Barros Barreto
Analista de Sistemas
www.tigerphone.niltonlins.br
kabartuol.com.br
2
kabartuol.com.br
Consideraes Iniciais
!
VerticaIizao dos mercados:
!
Necessidade de competio e cooperao sem
limitaes geogrficas.
!
mpossibilidade da rede convencional
comutada de telefonia (PSTN) de atender os
mercados com qualidade, servios e custos
adequados.
Necessidade de uma Nova Mdia de
Comunicao!!!!
3
kabartuol.com.br
!
TeIefonia IP
!
"Refere-se aos sistemas que possibilitam o
transporte de voz, vdeo, texto e qualquer outro
tipo de mdia de tempo real atravs de uma
rede de pacotes IP."
[RANSOME, 2005]
4
kabartuol.com.br
Identificao do ProbIema
Identificao do ProbIema
ImpIementar sistemas de voz baseado em
redes IP que consigam quaIidade e
segurana semeIhante ou superior
existente na PSTN.
5
kabartuol.com.br
Objetivos
Objetivos
!
Apresentar as arquiteturas existentes para
implantar segurana a uma comunicao
de voz sobre P (SP/SRTP); e
!
Apresentar as solues baseadas em
software livre que implementam essas
arquiteturas.
6
kabartuol.com.br
Agenda
Agenda
!
Consideraes niciais sobre Sistemas
VoP (SP/RTP)
!
Vulnerabilidades de Sistemas VoP
!
Arquiteturas de Segurana para Sistemas
VoP (SP/RTP)
!
Consideraes Finais
7
kabartuol.com.br
Consideraes Iniciais sobre
Consideraes Iniciais sobre
Sistemas VoIP (SIP/RTP)
8
kabartuol.com.br
ProtocoIos de TeIefonia IP
ProtocoIos de TeIefonia IP
9
kabartuol.com.br
SIP
SIP
"Protocolo de sinalizao da camada de aplicao que
define a iniciao, modificao e trmino de forma
interativa de comunicaes multimdia entre usurios."
IETF RFC 2543 Session Initiation ProtocoI
!
Similar ao HTTP, baseado em requisies e resposta;
!
Mensagens formato ASC;
!
Esquema de endereamento baseado em url
(sip:kabart@tigerphone.niltonlins.br); e
!
Usa do SDP (ETF RFC 2327 Session Description
Protocol) para descrever a sesso.
10
kabartuol.com.br
SDP
SDP
"Tem por objetivo a descrio de uma sesso
multimdia com o propsito de anunciar uma sesso,
realizar um convite para associao a uma conferncia
multimdia e outras formas de iniciao de uma
sesso."
IETF RFC 2327 Session Description ProtocoI
11
kabartuol.com.br
Mensagem SIP
Mensagem SIP
12
kabartuol.com.br
RTP/RTCP
RTP/RTCP
!
Desenvolvido pela ETF [RFC 1889, 1996] para
suprir as deficincias do TCP/UDP no transporte
de um dado multimdia;
!
O RTP trata do transporte da mdia com o mnimo
overhead possvel, muito semelhante ao UDP,
enquanto o RTCP cria um canal de controle do
trfego RTP, gerando estatstica de qualidade e
garantia parcial de entrega, possibilitando assim
algum controle sobre a mdia, assim como o TCP.
13
kabartuol.com.br
Cenrio CompIeto
Cenrio CompIeto
14
kabartuol.com.br
VuInerabiIidades de Sistemas VoIP
15
kabartuol.com.br
Comparao entre VoIP x PSTN
Comparao entre VoIP x PSTN
!
Desvantagens VoIP
!
Arquitetura Descentralizada da nternet x
Arquitetura Centralizada da PSTN
!
Garantia da qualidade da conexo (PSTN)
!
Facilidade de escuta no-autorizada
!
Desvantagens PSTN
!
Custo e complexidade de desenvolvimento de
criptografia na rede comutada; e
!
Ausncia de padres de proteo de mdia.
16
kabartuol.com.br
!
Seqestro de Registro
!
Spoofing
!
Modificao de Mensagem
!
DeniaI Of Service (DoS/ DDoS)
!
ImpersonaIizao de Servidor
!
Escuta No Autorizada
Ameaa Definio Servios de Segurana
Spoofing Autenticidade e conIidencialidade.
Ato de modiIicar o conteudo de uma mensagem. Integridade e conIidencialidade.
Disponibilidade.
Autenticidade.
Ato de capturar pacotes de voz e ter acesso ao seu conteudo. ConIidencialidade.
Seqestro
de Registro
(Hifacking)
Ato de se registrar em um servidor como se Iosse um
outro usuario.Esse tipo de ataque tem por Ioco burlar
politicas de acesso em dispositivos de teleIonia IP, mas
tambem pode ser usado para desencadear outros
tipos de ameaas |IETF RFC 3261, 2002|.
Autenticidade,
conIidencialidade,
controle de acesso.
Ato de IalsiIicar o remetente de um pacote de transmisso
de dados, para que o receptor o trate como se Iosse
de um outro utilizador.Apesar de ser parecido com o
seqestro de registro, no caso ela trata do
problema relacionado entre os pares da comunicao.
Modificao
de Mensagem
Denial
Of Service
(DoS/DDoS)
Ato de se impedir o uso de um sistema atraves da interrupo
proposital de seu Iuncionamento.
Impersonali:ao
de Servidor
Ato de interceptar uma requisio destinada a um
servidor e passar-se por ele.Esse tipo de ataque possibilita
tambem que oservidor Ialso possa atuar como um
intermediario entre um usuario e um servidor
legitimo.
Escuta
no autori:ada
18
kabartuol.com.br
Arquiteturas de Segurana para
Arquiteturas de Segurana para
19
kabartuol.com.br
Objetivos da Segurana em VoIP
Objetivos da Segurana em VoIP
!
Objetivos:
!
ntegridade
!
Confidencialidade
!
Autenticidade
!
Disponibilidade
!
No-repdio
!
Ferramentas
!
Proteo da sinalizao
!
Proteo da mdia
20
kabartuol.com.br
Arquiteturas de Segurana de
Arquiteturas de Segurana de
Sistemas VoIP
Sistemas VoIP
!
Arquiteturas baseadas na proteo
do canaI
!
da sinaIizao
!
da mdia
21
kabartuol.com.br
Arquiteturas Baseadas na Proteo
do CanaI
do CanaI
!
Tem por objetivo proteger o canaI VoIP por
inteiro, ou seja trata da proteo da
sinaIizao e da mdia de forma conjunta,
protegendo ambos simuItaneamente.
!
Desvantagens:
!
Somente possvel de ser implementado em um
ambiente onde todo o canal de controle do usurio ou
formado por uma rede confivel.
!
Vantagens:
!
Sem necessidade de implementar mecanismos
adicionais de segurana no SP nem no RTP/RTCP.
!
Ipsec (FreeSWAN), TLS (Openvpn, TigerPhone)
22
kabartuol.com.br
Arquiteturas Baseadas na Proteo do CanaI Arquiteturas Baseadas na Proteo do CanaI
Cenrio OK Cenrio OK
Qualquer teleIone em A consegue Ialar com B.
No necessita que os pares se conIiem obrigatoriamente.
Tanto a sinalizao como o canal sera protegido.
O estabelecimento da VPN antecede a sinalizao.
No ha necessidade que os proxys entendam TLS.
nterconexo user3
user2
user1
Domnio A
nterconexo
user5
user6
user4
Domnio B
A confia em B
B confia em A
Proxy
Proxy
23
kabartuol.com.br
Cenrio NOK Cenrio NOK
Impossibilidade de um canal protegido, independente se os
usuarios se conIiam.
Impede que a segurana possa ser garantida com base na
cadeia de relacionamento pessoal.
nterconexo user3
user2
user1
Domnio A
nterconexo
user5
user6
user4
Domnio B
A no confia em B
B no confia em A
Proxy
Proxy
24
kabartuol.com.br
Proteo na camada de Transporte -TLS Proteo na camada de Transporte -TLS
Uso do protocolo Transport Socket Layer TLS
|IETF RFC 2246, 1999| para a proteo do SIP;
No necessita de que os pares estejam localizados
em dominios administrativos que se conIiam, pois
usam uma estrutura de CA, onde basta que apenas
os dominios conIiem em uma mesma CA; e
Possibilidade de autenticao mutua.
Implementado via tunel VPN.
25
kabartuol.com.br
Arquiteturas Baseadas na Proteo da SinaIizao
Camada de Transporte - SSL
Proteo na camada de Transporte -TLS Proteo na camada de Transporte -TLS
OpenVPN (www.openvpn.net)
TigerPhone (www.tigerphone.niItonIins.br)
27
kabartuol.com.br
da SinaIizao
da SinaIizao
!
Tem por objetivo proteger a sinalizao VoP, ou
seja, garantir que:
!
Proteo da identidade dos remetentes e
destinatrios;
!
Proteo do contedo sigiloso (chaves,
senhas, etc) que deva trafegar durante a
sinalizao; e
!
Garantia da correta identificao dos pares da
comunicao e tambm dos elementos
intermedirios da rede (proxy, registrar, redirect
e gateway).
28
kabartuol.com.br
!
Padronizado pela RFC 2543 (SP) o uso de url sips
para indicar que a sinalizao ser realizada via TLS.
!
Necessidade que todo o caminho por onde a
requisio SPS ir trafegar suporte TLS.
!
Suportado pelo Openser (www.openser.org).
!
Tipo de proteo muito visada pelas Operadoras,
garante:
!
Autenticao segura;
!
No-repdio
!
Proteo contra impersonalizao de servidor e
seqestro de registro
29
kabartuol.com.br
Arquiteturas Baseadas na Proteo da Arquiteturas Baseadas na Proteo da
SinaIizao SinaIizao
Cenrio OK Cenrio OK
Qualquer teleIone em A consegue Ialar com B.
No necessita que os pares se conIiem obrigatoriamente.
Apenas a sinalizao e protegida.
No ha criao de VPN.
Necessita que todos os proxys entendam TLS e se conIiem
mutuamente.
Proxy
user3
user2
user1
Domnio A
Proxy
user5
user6
user4
Domnio B
Todo caminho deve se
confiar
30
kabartuol.com.br
Arquiteturas Baseadas na Proteo da Arquiteturas Baseadas na Proteo da
SinaIizao SinaIizao
Cenrio NOK Cenrio NOK
No Iunciona se um dos proxys no suporta TLS ou no
conIia em algum dos proxys.
Proxy
user3
user2
user1
Domnio A
Proxy
user5
user6
user4
Domnio B
No suporta TLS ou
no confia em um
dos pares
31
kabartuol.com.br
SSL (SIPS)
SSL (SIPS)
!
Ajuste de variveis:
!
tIs_certificate
! Deve conter o path completo para o certificado do servidor
!
tIs_private_key
! Deve conter o path completo para a chave privada do servidor
!
tIs_ca_Iist
! Deve conter o path completo para a lista de certificado CA confiveis (opicional)
!
catt add_cacert.pem >> calist.pem
!
tIs_verify
! Define que haver verificao do certificado do usurio
!
tIs_require_cert
! Define que a autenticao ser bidirecional (1)
!
Funcionamento:
! Ser pedido a senha de acesso a chave privada toda vez que o servidor inicializar.
32
kabartuol.com.br
Camada de ApIicao - S-MIME
!
Uso de S/MME para prover negociao de parmetros mnimos
de uma comunicao, protegendo assim o contedo do SDP
(proteo de parmetros) e o SP (proteo da sinalizao);
!
Uso de S/MME para prover negociao de parmetros mnimos
de uma comunicao, protegendo assim o contedo do SDP
(proteo de parmetros) e o SP (proteo da sinalizao);
!
Apesar do uso da CA ser opcional, uma vez que o SP prev o
uso de certificados auto-assinados, esse uso veementemente
desaconselhado pela [ETF RFC 3261, 2002], uma vez que
seria necessrio um prvio canal seguro de troca certificados, o
que nem sempre possvel;
33
kabartuol.com.br
Arquiteturas Baseadas na Proteo da
Arquiteturas Baseadas na Proteo da
SinaIizao SinaIizao
Camada de ApIicao - S-MIME Camada de ApIicao - S-MIME
Proteo Iim-a-Iim independente de inIra-estrutura;
Garante a segurana com base na cadeia de relacionamento pessoal;
Aumenta o tamanho da mensagem SIP, pois necessita que as inIormaes que precisam ser
manipuladas pelos Proxys sejam enviadas de Iorma redundante (ciIradas e em claro).
Proxy
user3
user2
user1
Domnio A
Proxy
user5
user6
user4
Domnio B
No suporta TLS ou
no confia em um
dos pares
Usurios se confiam
34
kabartuol.com.br
!
Garantia da ConfidenciaIidade:
!
Cifragem de todo o cabealho, bem como os parmetros
criptogrficos da comunicao (chave, algoritmos criptogrficos);
!
Replicao dos cabealhos que devem ser manipulados pelo proxy
de forma insegura, visando que os proxys possam manipular essa
mensagem; e
!
Garantia da Integridade da Mensagem:
!
Gerao de um hash da mensagem inteira, inclusive dos
parmetros criptogrficos,
35
kabartuol.com.br
da Mdia
da Mdia
!
Tem por objetivo proteger a comunicao propriamente dita
(canal de mdia voz e vdeo), evitando que seja realizada
escutas clandestinas, ou seja garantir que:
!
Garantia durante a sinalizao de um meio seguro de
negociao dos parmetros de segurana necessrios para o
estabelecimento de um canal seguro entre os pares;
!
Proteo da identidade dos remetentes e destinatrios, bem
como uma forma de autenticao bilateral dos mesmos; e
!
Proteo da conversao em si entre os pares.
!
Proteo da sinalizao e identidade dos remetentes:
!
S/MME ou MKEY; e
!
Proteo da conversao:
!
SRTP ou VPN (PSEC ou TLS).
36
kabartuol.com.br
Arquiteturas Baseadas na Proteo da Mdia
Camada de ApIicao - SRTP/SRTCP
!
Consiste de um profile para o
protocolo RTP/RTCP;
!
ETF RFC 3711, 2004
!
Prov proteo quanto a
confidencialidade,
autenticao e proteo de
replay-attacks em trfegos de
udio RTP;
!
Define o uso do algoritmo
AES para criptografia de
chave simtrica e o HMAC-
SHA1 para autenticao e
integridade.
37
kabartuol.com.br
38
kabartuol.com.br
!
Minisip (www.minisip.org)
!
Projeto desenvolvido pela Royal nstitute of Technology
(Sucia);
!
Minisip um cliente SP que pode ser usado para o
estabelecimento de chamadas seguras ou no, M e video-
conferncias para dispositivos conectados a mesma rede SP;
!
Possui verses para Linux PC, Linux familiar PAQ PDA,
Windows XP e em breve Windows Mobile 2003 SE);
!
Foco na segurana : TLS, end-to-end security, SRTP, MKEY
(DH, PSK, PKE);
!
nstant Messaging e Video conferencing;
!
Suporte a STUN; e
!
Algumas bibliotecas com licena GNU Lesser General Public
License (LGPL) e a aplicao principal como GNU General
Public Licence (GPL).
41
kabartuol.com.br
!
DifciI compiIao
!
ProbIemas na interface
!
No funciona modo segurana com 'pre-shared key
MIKEY"
42
kabartuol.com.br
Consideraes Finais
Consideraes Finais
43
kabartuol.com.br
TecnoIogia
TecnoIogia
!
Apesar da teIefonia IP ser uma reaIidade, ainda
existem muitos probIemas no desenvoIvimen-
to de padres de segurana simiIares ao da
PSTN;
!
ProbIema Bsico:
!
SEGURANA X PERFORMANCE
!
Recentemente PhiIip Zimmermann apresentou
um draft IETF apresentando um novo profiIe
para o RTP/RTCP (ZRTP).
!
No caso de modificao do cabeaIho SIP,
onde inserir os parmetros criptogrficos.
44
kabartuol.com.br
Software Livre
Software Livre
!
SoIues maduras de teIefonia IP
!
Asterisk, SER, Openser, etc
!
SoIues maduras de teIefonia IP com segurana na
sinaIizao
!
OpenSer
!
Carente ainda de soIues maduras de segurana da
mdia
!
Minisip
Uma soIuo temporria para o probIema usar
arquiteturas baseadas na proteo do canaI com IPSEC
ou SSL (OpenVpn, TigerPhone, etc).
45
kabartuol.com.br
Dvidas
Dvidas
46
kabartuol.com.br
BibIiografia
BibIiografia
!
RTP: Audio and Video for the Internet
(Addison-Wesley Pub Co; 1st edition (June 11,
2003) SBN:0672322498
!
Voice over Internet ProtocoI (VoIP) Security
Digital Press (December 10, 2004)
isbn:1555583326
!
Camarilo, G. "SIP Desmistified". McGraw-Hill,
2002.
!
Trappe, W. e Washington, L.C. "Introduction to
Cryptography with Coding Theory". Prentice
Hall, 2001.
47
kabartuol.com.br
Protegendo sistemas de teleIonia IP
(SIP/RTP/RTCP) usando plataIormas
baseadas em soItware livre.
Alexandre de Barros Barreto
Analista de Sistemas
www.tigerphone.niltonlins.br
kabartuol.com.br
AlexandreB.Barretokabartuol.com.br
Protegendo sistemasdeteleIoniaIP
(SIP/RTP/R TCP)usandoplataIormas
basead asemsoItwarelivre.
Al exandredeBarrosBarreto
AnalistadeSistemas
ww w.tigerphone.niltonlins.br
kabartuol.com.br
C onsideraesIniciais Con sideraesIniciais
!VerticaIiza odosmercados:
!Necessid adedecompetioecooperaosem
limitae sgeogrficas.
!mpossib ilidadedaredeconvencional
comutad adetelefonia(PSTN)deatenderos
mercado scomqualidade,serviosecustos
adequad os.
NecessidadedeumaNovaMdiade
Comunicao!!!!
C onsideraesIniciais Con sideraesIniciais
!TeIefoniaIP
!"Refere-s eaossistemasquepossibilitamo
transport edevoz,vdeo,textoequalqueroutro
tipode mdiadetemporealatravsdeuma
rededep acotesIP."
[RANSOME,2005]
Ide ntificaodoProbIema Identi ficaodoProbIema
ImpIementa rsistemasdevozbaseadoem
redesI PqueconsigamquaIidadee
seguran asemeIhanteousuperior
existentenaPSTN.
Objetivos Objetivos
!Apresenta rasarquiteturasexistentespara
implantar seguranaaumacomunicao
devozsob reP(SP/SRTP);e
!Apresenta rassoluesbaseadasem
softwareli vrequeimplementamessas
arquitetura s.
Agenda Agenda
!Considera esniciaissobreSistemas
VoP(SP /RTP)
!Vulnerabil idadesdeSistemasVoP
!Arquitetur asdeSeguranaparaSistemas
VoP(SP /RTP)
!Considera esFinais
Consi deraesIniciaissobre Consi deraesIniciaissobre
Sist emasVoIP(SIP/RTP) Sist emasVoIP(SIP/RTP)
Pro tocoIosdeTeIefoniaIP Proto coIosdeTeIefoniaIP
SIP SIP
"Protocolod esinalizaodacamadadeaplicaoque
defineain iciao,modificaoetrminodeforma
interativade comunicaesmultimdiaentreusurios."
IE TFRFC2543SessionInitiationProtocoI
!SimilaraoH TTP,baseadoemrequisieseresposta;
!Mensagens formatoASC;
!Esquema deendereamentobaseadoemurl
(sip:kabart@ tigerphone.niltonlins.br);e
!UsadoSD P(ETFRFC2327SessionDescription
Protocol)pa radescreverasesso.
10AlexandreB.Barretokabartuol.com.br
SDP SDP
"Tempor objetivoadescriodeumasesso
multimdiac omopropsitodeanunciarumasesso,
realizarum conviteparaassociaoaumaconferncia
multimdia eoutrasformasdeiniciaodeuma
sesso."
IETF RFC2327SessionDescriptionProtocoI
MensagemSIP MensagemSIP
RTP/RTCP RTP/RTCP
!Desenvolvid opelaETF[RFC1889,1996]para
suprirasde ficinciasdoTCP/UDPnotransporte
deumdado multimdia;
!ORTPtrata dotransportedamdiacomomnimo
overheadp ossvel,muitosemelhanteaoUDP,
enquantoo RTCPcriaumcanaldecontroledo
trfegoRTP ,gerandoestatsticadequalidadee
garantiapa rcialdeentrega,possibilitandoassim
algumcontr olesobreamdia,assimcomooTCP.
CenrioCompIeto C enrioCompIeto
VuInerab iIidadesdeSistemasVoIP VuInerab iIidadesdeSistemasVoIP
Comp araoentreVoIPxPSTN Compara oentreVoIPxPSTN
!Desvantage nsVoIP
!Arquitetu raDescentralizadadanternetx
Arquitetu raCentralizadadaPSTN
!Garantia daqualidadedaconexo(PSTN)
!Facilidad edeescutano-autorizada
!Desvantage nsPSTN
!Custoe complexidadededesenvolvimentode
criptogra fianaredecomutada;e
!Ausncia depadresdeproteodemdia.
!Seqestro deRegistro
!Spoofing
!Modifica odeMensagem
!DeniaIOfS ervice(DoS/DDoS)
!Impersona IizaodeServidor
!EscutaNo Autorizada
AmeaaDefinioServios de Segurana
SpoofingAutenticidade e conIidencialidade.
Ato de modiIicar o conteudo de uma mensagem. Integridade e conIidencialidade.
Disponibilidade.
Autenticidade.
Ato de capturar pacotes de voz e ter acesso ao seu conteudo.ConIidencialidade.
Seqestro de Registro(Hifacking)
Ato de se registrar em um servidor como se Iosse um outro usuario.Esse tipo de ataque tem por Ioco burlar politicas de acesso em dispositivos de teleIonia IP, mas tambem pode ser usado para desencadear outros tipos de ameaas |IETF RFC 3261, 2002|.
Autenticidade, conIidencialidade, controle de acesso.
Ato de IalsiIicar o remetente de um pacote de transmisso de dados, para que o receptor o trate como se Iosse de um outro utilizador.Apesar de ser parecido com o seqestro de registro, no caso ela trata do problema relacionado entre os pares da comunicao.
Modificao de MensagemDenial Of Service (DoS/DDoS)
Ato de se impedir o uso de um sistema atraves da interrupo proposital de seu Iuncionamento.
Impersonali:ao de Servidor
Ato de interceptar uma requisio destinada a um servidor e passar-se por ele.Esse tipo de ataque possibilita tambem que oservidor Ialso possa atuar como um intermediario entre um usuario e um servidor legitimo.
Escuta no autori:ada
Arquite turasdeSeguranapara Arquite turasdeSeguranapara
Sist emasVoIP(SIP/RTP) Sist emasVoIP(SIP/RTP)
Objetivo sdaSeguranaemVoIP Objetivo sdaSeguranaemVoIP
!Objetivos:
!ntegrida de
!Confiden cialidade
!Autentici dade
!Disponib ilidade
!No-rep dio
!Ferramenta s
!Proteo dasinalizao
!Proteo damdia
Arquite turasdeSeguranade Arquite turasdeSeguranade
SistemasVoIP SistemasVoIP
!Arquitet urasbaseadasnaproteo
docanaI
dasinaIi zao
damdia
Arquitetu rasBaseadasnaProteo Arquitetu rasBaseadasnaProteo
doCanaI doCanaI
!Temporo bjetivoprotegerocanaIVoIPpor
inteiro,o usejatratadaproteoda
sinaIizao edamdiadeformaconjunta,
protegendo ambossimuItaneamente.
!Desvantage ns:
!Somente possveldeserimplementadoemum
ambienteo ndetodoocanaldecontroledousurioou
formadop orumaredeconfivel.
!Vantagens:
!Semne cessidadedeimplementarmecanismos
adicionais desegurananoSPnemnoRTP/RTCP.
!Ipsec(Free SWAN),TLS(Openvpn,TigerPhone)
ArquiteturasBaseadas naProteodoCanaI Arquitetura sBaseadasnaProteodoCanaI
CenrioOKCenrioOK
QualquerteleIone emAconsegueIalarcomB.
Nonecessitaque osparesseconIiemobrigatoriamente.
Tantoasinaliza ocomoocanalseraprotegido.
Oestabeleciment odaVPNantecedeasinalizao.
Nohanecessida dequeosproxysentendamTLS.
nterconexouser3user2
user1
Domnio A
nterconexouser5
user6
user4
Domnio B
A confia em B
B confia em A
Proxy Proxy
CenrioNOKCenrioNOK
Impossibilidaded eumcanalprotegido,independenteseos
usuariosseconIia m.
Impedequeaseg uranapossasergarantidacombasena
cadeiaderelacion amentopessoal.
nterconexo user3user2
user1
Domnio A
nterconexouser5
user6
user4
Domnio B
A no confia em B
B no confia em A
Proxy Proxy
ProteonacamadadeTran sporte-TLS Prote onacamadadeTransporte-TLS
Usodoprotoco loTransportSocketLayerTLS
|IETFRFC224 6,1999|paraaproteodoSIP;
Nonecessitad equeosparesestejamlocalizados
emdominiosa dministrativosqueseconIiam,pois
usamumaestru turadeCA,ondebastaqueapenas
osdominiosco nIiememumamesmaCA;e
Possibilidaded eautenticaomutua.
Implementado viatunelVPN.
ArquiteturasBasead asnaProteodaSinaIizao ArquiteturasB aseadasnaProteodaSinaIizao
Camadad eTransporte-SSL Cam adadeTransporte-SSL
ProteonacamadadeTran sporte-TLS Prote onacamadadeTransporte-TLS
OpenVPN(www.openvpn.net)
TigerPhone(www.tigerphone.niItonIins.br)
daSinaIizao daSinaIizao
!Temporob jetivoprotegerasinalizaoVoP,ou
seja,garant irque:
!Proteo daidentidadedosremetentese
destinat rios;
!Proteo docontedosigiloso(chaves,
senhas, etc)quedevatrafegardurantea
sinaliza o;e
!Garantia dacorretaidentificaodosparesda
comunica oetambmdoselementos
intermed iriosdarede(proxy,registrar,redirect
egatewa y).
Camadad eTransporte-SSL Cam adadeTransporte-SSL
!Padronizado pelaRFC2543(SP)ousodeurlsips
paraindicar queasinalizaoserrealizadaviaTLS.
!Necessidad equetodoocaminhoporondea
requisioS PSirtrafegarsuporteTLS.
!Suportadop eloOpenser(www.openser.org).
!Tipodepr oteomuitovisadapelasOperadoras,
garante:
!Autentica osegura;
!No-rep dio
!Proteo contraimpersonalizaodeservidore
seqestr oderegistro
ArquiteturasBasea dasnaProteoda Arquitet urasBaseadasnaProteoda
SinaIi zao SinaIizao
CenrioOKCenrioOK
QualquerteleIone emAconsegueIalarcomB.
Nonecessitaque osparesseconIiemobrigatoriamente.
Apenasasinaliza oeprotegida.
Nohacriaode VPN.
Necessitaquetod ososproxysentendamTLSeseconIiem
mutuamente.
Proxy
user3
user2
user1
Domnio A
Proxyuser5
user6
user4
Domnio B
Todo caminho deve seconfiar
CenrioNOKCenrioNOK
NoIuncionaseu mdosproxysnosuportaTLSouno
conIiaemalgum dosproxys.
Proxy
user3
user2
user1
Domnio A
Proxyuser5
user6
user4
Domnio B
No suporta TLS ouno confia em umdos pares
S SL(SIPS) SSL(SIPS)
!Ajustedevar iveis:
!tIs_certificate
!Devecon teropathcompletoparaocertificadodoservidor
!tIs_private_ke y
!Devecon teropathcompletoparaachaveprivadadoservidor
!tIs_ca_Iist
!Devecon teropathcompletoparaalistadecertificadoCAconfiveis(opicional)
!cattadd_c acert.pem>>calist.pem
!tIs_verify
!Definequ ehaververificaodocertificadodousurio
!tIs_require_ce rt
!Definequ eaautenticaoserbidirecional(1)
!Funcionamen to:
!Serpedidoa senhadeacessoachaveprivadatodavezqueoservidorinicializar.
Camadade ApIicao-S-MIME Cam adadeApIicao-S-MIME
!UsodeS/MM Eparaprovernegociaodeparmetrosmnimos
deumacomu nicao,protegendoassimocontedodoSDP
(proteodep armetros)eoSP(proteodasinalizao);
!UsodeS/MM Eparaprovernegociaodeparmetrosmnimos
deumacomu nicao,protegendoassimocontedodoSDP
(proteodep armetros)eoSP(proteodasinalizao);
!Apesardouso daCAseropcional,umavezqueoSPprevo
usodecertific adosauto-assinados,esseusoveementemente
desaconselha dopela[ETFRFC3261,2002],umavezque
serianecess rioumprviocanalsegurodetrocacertificados,o
quenemsem prepossvel;
CamadadeApIicao-S-MIM E C amadadeApIicao-S-MIME
ProteoIim-a-Iimindepend entedeinIra-estrutura;
Garanteaseguranacombas enacadeiaderelacionamentopessoal;
Aumentaotamanhodamens agemSIP,poisnecessitaqueasinIormaesqueprecisamser manipuladaspelosProxysse jamenviadasdeIormaredundante(ciIradaseemclaro).
Proxy
user3
user2
user1
Domnio A
Proxyuser5
user6
user4
Domnio B
No suporta TLS ouno confia em umdos pares
Usurios se confiam
Camadade ApIicao-S-MIME Cam adadeApIicao-S-MIME
!GarantiadaC onfidenciaIidade:
!Cifragemd etodoocabealho,bemcomoosparmetros criptogrfico sdacomunicao(chave,algoritmoscriptogrficos);
!Replicao doscabealhosquedevemsermanipuladospeloproxy
deformain segura,visandoqueosproxyspossammanipularessa mensagem; e
!GarantiadaI ntegridadedaMensagem:
!Geraod eumhashdamensageminteira,inclusivedos parmetros criptogrficos,
daMdia daMdia
!Temporobjet ivoprotegeracomunicaopropriamentedita
(canaldemd iavozevdeo),evitandoquesejarealizada
escutascland estinas,ousejagarantirque:
!Garantiad uranteasinalizaodeummeiosegurode
negociao dosparmetrosdesegurananecessriosparao estabelecim entodeumcanalseguroentreospares;
!Proteod aidentidadedosremetentesedestinatrios,bem comoumaf ormadeautenticaobilateraldosmesmos;e
!Proteoda conversaoemsientreospares.
!Proteodas inalizaoeidentidadedosremetentes:
!S/MMEou MKEY;e
!Proteodac onversao:
!SRTPouV PN(PSECouTLS).
ArquiteturasBase adasnaProteodaMdia Arquitetura sBaseadasnaProteodaMdia
CamadadeAp Iicao-SRTP/SRTCP Camada deApIicao-SRTP/SRTCP
!Consistedeu mprofileparao
protocoloRTP /RTCP;
!ETFRFC371 1,2004
!Provprote oquantoa
confidencialid ade,
autenticao eproteode
replay-attacks emtrfegosde
udioRTP;
!Defineous odoalgoritmo
AESpara criptografiade
chavesimtri caeoHMAC-
SHA1para autenticaoe
integridade.
!Minisip(www .minisip.org)
!Projetode senvolvidopelaRoyalnstituteofTechnology (Sucia);
!Minisip umclienteSPquepodeserusadoparao estabelecim entodechamadassegurasouno,Mevideo-
conferncia sparadispositivosconectadosamesmaredeSP;
!Possuiver sesparaLinuxPC,LinuxfamiliarPAQPDA, WindowsXP eembreveWindowsMobile2003SE);
!Foconase gurana:TLS,end-to-endsecurity,SRTP,MKEY (DH,PSK,P KE);
!nstantMes sagingeVideoconferencing;
!SuporteaS TUN;e
!Algumasbi bliotecascomlicenaGNULesserGeneralPublic
License(LG PL)eaaplicaoprincipalcomoGNUGeneral PublicLicen ce(GPL).
!DifciIcompiI ao
!ProbIemasna interface
!Nofuncion amodoseguranacom'pre-sharedkey
MIKEY"
C onsideraesFinais Con sideraesFinais
TecnoIogia TecnoIogia
!Apesarda teIefoniaIPserumareaIidade,ainda
existemmu itosprobIemasnodesenvoIvimen-
todepadr esdeseguranasimiIaresaoda
PSTN;
!ProbIemaB sico:
!SEGURA NAXPERFORMANCE
!Recenteme ntePhiIipZimmermannapresentou
umdraft IETFapresentandoumnovoprofiIe
paraoRTP /RTCP(ZRTP).
!Nocasod emodificaodocabeaIhoSIP,
ondeinser irosparmetroscriptogrficos.
SoftwareLivre SoftwareLivre
!SoIuesmadu rasdeteIefoniaIP
!Asterisk,SER,O penser,etc
!SoIuesmad urasdeteIefoniaIPcomseguranana
sinaIizao
!OpenSer
!Carenteainda desoIuesmadurasdeseguranada
mdia
!Minisip
UmasoIu otemporriaparaoprobIemausar
arquiteturasb aseadasnaproteodocanaIcomIPSEC
ouS SL(OpenVpn,TigerPhone,etc).
Dvidas Dvidas
BibIiografia BibIiografia
!RTP:Aud ioandVideofortheInternet
(Addison-W esleyPubCo;1stedition(June11,
2003)SBN :0672322498
!Voiceove rInternetProtocoI(VoIP)Security
Digital Press(December10,2004)
isbn:15555 83326
!Camarilo, G."SIPDesmistified".McGraw-Hill,
2002.
!Trappe,W .eWashington,L.C."Introductionto
Cryptogra phywithCodingTheory".Prentice
Hall,2001.
47
Protegendo sistemasdeteleIoniaIP
(SIP/RTP/R TCP)usandoplataIormas
basead asemsoItwarelivre.
Al exandredeBarrosBarreto
AnalistadeSistemas
ww w.tigerphone.niltonlins.br
kabartuol.com.br

Fisl2006 Barreto

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Fisl2006 Barreto

Enviado por

Direitos autorais:

Formatos disponíveis

1

Você também pode gostar