Aggiungi ad una raccolta (s) Aggiungere al salvati
  1. Scienza
  2. Biologia
  3. Evoluzione

Evoluzione dei sistemi di messaging VoIP, chat e webconference, e

Evoluzione dei sistemi di
messaging VoIP, chat e
webconference, e relativi
problemi di sicurezza
Alessio L.R. Pennasilico - [email protected]
Massimiliano Macrì - [email protected]
Seminari Clusit 2011
17 Febbraio - Milano
2 Marzo - Roma
Alessio L.R. Pennasilico
Security Evangelist @
Board of Directors:
Associazione Informatici Professionisti
Associazione Italiana Professionisti Sicurezza Informatica
CLUSIT
Italian Linux Society, LUGVR, Metro Olografix, Sikurezza.org
Hackerʼs Profiling Project, CrISTAL
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
2
Agenda
•
•
•
•
•
•
Perchè utilizzare soluzioni UC?
Perchè questo corso?
Soluzioni vendor-based e limiti
L’infrastruttura adatta
Soluzioni Hosted / Cloud based
Conclusioni
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
3
Perchè utilizzare
soluzioni UC?
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza - A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
Perchè adottarla?
Riduzione dei costi
(tempi, biglietti, scheduling)
Maggiore efficienza
(comunicazioni on-demand/always on)
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
5
Apprezzata dagli utilizzatori
http://searchunifiedcommunications.techtarget.com/feature/Video-conferencing-adoption-Tracking-trends-and-deployment-strategies
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
6
Perchè ora?
Significativa riduzione dei costi
della banda/capacità elaborativa (es. video)
Maggior disponibilità di device (es. smartphone)
Maggior utilizzo di standard = più integrazione
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
7
Audio-conference
Il classico ragno da conferenza
grantisce che l’audio pervada correttamente ampi spazi
garantisce che venga udito da remoto ogni partecipante
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
8
Videoconference Room
Grande diffusione
Ottima qualità
Ad oggi costi “banali”
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
9
Desktop Videoconference
Strumenti individuali per l’accesso ai sistemi AAVV
aziendali sono sempre più diffusi, sia sotto forma di
software che di hardware, sempre perfettamente
interoperabili con diversi sistemi
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
10
Many-2-Many
Molti device / programmi
supportano l’interazione
tra diversi utenti
contemporaneamente
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
11
Telepresence
Rappresenta l’attuale stato dell’arte dal punto di vista
della percezione, seppur con costi non banali
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
12
SmartPhone
Sempre connessi
Funzionalità sempre più
avanzate
Sempre più integrati
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
13
Tablet / Portable device
Sempre più diffusi
Con le stesse caratteristiche di uno smartphone
Maggiore “fruibilità”
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
14
UC
Unified
Communication
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
15
Perchè questo corso?
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza - A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
I primi sistemi
Hardware dedicato
collegato a linee BRI ISDN
spesso utilizzano bonding
quasi sempre punto punto
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
17
Tempest?
Per anni molti produttori hanno venduto apparecchi in
grado di impedire intercettazioni basate sulle emissioni
del cavo (optical dial isolator) e criptando il segnale
http://communication.howstuffworks.com/how-video-conferencing-security-works3.htm
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
18
Traditional Telephony
“I do it for one reason and one reason only. I'm
learning about a system. The phone company is a
System. A computer
is a System, do you
understand? If I do what I do, it is only to explore
a system. Computers, systems, that's my bag. The
phone company is nothing but a computer.”
Captain Crunch, “Secrets of the Little Blue Box“, 1971
(slide from Hacker's Profile Project, http://hpp.recursiva.org)
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
19
Prime commistioni di media
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
20
Integrazione quasi completa
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
21
Unified Communication
Tutti gli strumenti di produttività
aziendale si integrano tra loro
Come evitare quindi di
diffondere, perdere, corrompere
i dati aziendali?
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
22
La frode di Pena
“Edwin Andreas Pena, a 23 year old Miami resident, was
arrested by the Federal government: he was involved in
a scheme to sell discounted Internet phone service by
breaking into other Internet phone providers and
routing connections through their networks.”
The New York Times, June 7th 2006
http://www.usdoj.gov/usao/nj/press/files/pdffiles/penacomplaint.pdf
http://www.usdoj.gov/usao/pae/News/Pr/2005/feb/Moore.pdf
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
23
Robert Moore
"It's so easy a
caveman can do it!"
“I'd say 85% of them were misconfigured
routers. They had the default passwords on
them: you would not believe the number of
routers that had 'admin' or 'Cisco0' as passwords
on them”.
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
24
11 milioni di buone ragioni
Questa la quantità di € rubata a server VoIP/UC
vulnerabili ad attacchi banali
da una singola organizzazione criminale europea
http://blog.sipvicious.org/2010/12/11-million-euro-loss-in-voip-fraud-and.html
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
25
UC nightmare
Maggiore utilizzo
+
Scarsa attenzione alla sicurezza
+
Moltiplicarsi degli attacchi mirati
=
s**t happens :(
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
26
Legal
Sicurezza delle informazioni:
non solo nell’interesse dell’azienda
ma anche nel rispetto della legge
(D.Lgs. 196/2003, HIPAA, Sarbanes-Oxley, etc etc)
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
27
Percezione
Non mi fido delle mail,
parliamone a voce…
Voce, testo e video che possono essere registrati
non solo dai partecipanti alla conferenza
(magari di nascosto)
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
28
Dan York: I’ll tell you a story...
http://www.blueboxpodcast.com/ - Episode #15
Traffic Dump
iPod
Wireshark
Man in the Middle
Managers
frustrated sysadmin
RTPInject
F*ckin’
the company
Revenge
F*ckin’
colleagues
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
Confidential
Information
29
ChatRoulette
Le funzionalità di videoconferenza
possono essere usate per lavoro
o per scopi “ludici”…
Siamo sicuri di volerle permettere tutte in ufficio?
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
30
Come funziona?
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza - A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
Media
ISDN (ISDN-6/MCU)
Ethernet LAN
Frame Relay
MPLS
Internet VPN
3G
Ogni media ha i suoi pro e contro in termini di latenza,
ampiezza di banda, utilizzo del QoS, disponibilità nel
tempo e nello spazio.
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
32
Trasporto
TCP - pone l’accento sull’affidabilità del flusso dati
in alcuni casi il suo utilizzo crea più danni che benefici
UDP - in questo caso privilegio le performance,
rispetto all’affidabilità. Quel che è andato perso sarebbe
stato comunque inutilizzabile
RTP - derivazione di UDP, studiato appositamente per
applicazioni AAVV
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
33
Protocolli
H.320 - ISDN
H.323 - LAN (WAN con limitazioni)
3G-324M - Cellulari
Le slide seguenti solo per nominare le specifiche ITU
in realtà esistono molti altri protocolli, come SIP, per
ottenere lo stesso risultato
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
34
H.320
ITU standard per le conferenze ISDN:
Audio: G.711, G.722, G.722.1, G.728, AAC-LC, AAC-LD
Video: H.264, H.263, H.261
Data: H.239
Control: H.221, H.231, H.242, H.243
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
35
H.323
ITU standard per le conferenze su IP:
Audio: G.711, G.722, G.722.1, G.723.1, G.728, G.729,
AAC-LC, AAC-LD
Video: H.264, H.263, H.261
Data: H.239
Control: H.225, H.245, H.460
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
36
3G-324M
Estensione di 3GPP ad ITU H.324M, lo standard per le
conferenze su cellulari 3G:
Audio: G.722.2 (AMR-WB), G.723.1
Video: MPEG-4, but not H.264
Control: H.223 A/B, H.245
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
37
Video Codec
H.261 - video codec for audiovisual services at p x 64Kbps.
H.263 - video codec for narrow telecommunications channels at <
64 Kbps.
Notable elements of the standard are image size. QCIF is Quarter
Common Intermediate Format and represents a 176x144 pixel
image. This is the minimum size that must be supported to be H.320
compliant. CIF is the optional full- screen H.320 video image of
352x288 pixels and requires considerably more computing capability.
H.264/AVC - a video codec standard offering major
improvements image quality.
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
38
Audio Codec
G.711 - Pulse Code Modulation of voice frequencies (PCM), were 3.1
kHz analogue audio is encoded into a 48, 56 or 64 kbps stream. Used
when no other standard is equally supported.
G.722 - 7 kHz audio encoded into a 48, 56 or 64 kbps stream.
Provides high quality, but takes bandwidth.
G.723.1 - 3.4 kHz dual rate speech codec for telecommunications at
5.3 kbps & 6.4 kbps.
G.728 - 3.4 kHz Low Delay Code Excited Linear Prediction (LDCELP) were 3.4 kHz analogue audio is encoded into a 16 kbps stream.
This standard provides good quality results at low bitrates.
G.729 A/B - 3.4 kHz speech codec that provides near toll quality
audio encoded into an 8 kbps stream using the AS-CELP method
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
39
Quanta banda uso?
I valori indicati sono nominali
i 64 Kb/s dichiarati per G.711 misurati on-the-wire si
aggirano infatti sugli 80 Kb/s
Esistono semplici programmi in grado di calcolare la
banda
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
40
Porte utilizzate
Port
Type
Description
80
389
1002
1503
1718
1719
1720
1731
8080
Static TCP
Static TCP
Static TCP
Static TCP
Static TCP
Static TCP
Static TCP
Static TCP
Static TCP
HTTP Interface (optional)
ILS v2.0 Registration (LDAP)
Win 2000 ILS Registration
T.120
Gatekeeper Discovery
Gatekeeper RAS
H.323 Call Setup
Audio Call Control
HTTP Server Push (optional)
1024 - 65535
1024 - 65535
1024 - 65535
1024 - 65535
Dynamic TCP
Dynamic UDP
Dynamic UDP
Dynamic UDP
H.245 (Call Parameters)
RTP (Video Stream Data)
RTP (Audio Stream Data)
RTCP (Control Information)
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
41
Stateful inspection
Risulta evidente dalla tabella precedente la necessità di
adottare un firewall in grado di fare inspection a livello
applicazione e conscio del funzionamento dei protocolli
AAVV
In caso contrario dovremo aprire oltre 64.000 porte :(
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
42
WebConference
La facilità di utilizzo e la semplicità stanno decretando il
successo di molte soluzioni basate su questo standard
Un portale in flash e poche altre porte aperte
permettono di accedere a tutte le funzionalità sopra
descritte
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
43
CIA
Come tutte le applicazioni HTTP che trasportano
autenticazione ed informazioni importanti si rende
necessaria l’encryption
Si consiglia l’utilizzo di certificati validi
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
44
Minacce conosciute
Molti prodotti utilizzano flash over HTTPS
Inutile dire che come tutte le WebApp sono suscettibili
di enumeration, brute forcing, XSS, SQL injection, etc
vale a dire di tutte le classiche minacce delle WebApp
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
45
Problemi comuni
Audio/Video de-sincronizzati
Delay / latenza
Eco / Ritorno del suono
Assenza del ruomore di fondo
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
46
NAT
Molti dei protocolli utilizzati non supportano il NAT
Per questa ragione si usano gateway, proxy, etc
In alternativa si possono usare protocolli che si
appoggiano a meccanismi quali uPNP
La soluzione migliore impiega network gateway in grado
di fare NAT in modo “intelligente”
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
47
Feature aggiuntive
Condivisione dello schermo
Condivisione di documenti
Trasferimento file
Quali altri rischi introducono?
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
48
Alcune tecnologie
Vendor Based
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza - A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
A volte...
Soluzioni troppo spesso user-based
Diverse “incongruenze”
con le corporate security policy
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
50
Difficoltà...
Come gestisco gli account aziendali?
nome.azienda - azienda.cognome - etc etc
Standard? Gestione centralizzata?
Single Sign-on? Identity Theft?
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
51
Traffico P2P
Che tipo di controlli posso esercitare
se il computer del mio utente
parla un protocollo esotico/proprietario criptato
con un altro computer su Internet?
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
52
IP Dialing
Come specifico cosa raggiungere?
Alcuni sistemi supportano (solo) il direct IP Dialing...
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
53
Client server
Dove si trova il server?
Che protocollo utilizzo?
Che security feature utilizza il prodotto?
(es. encryption)
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
54
Timing Attack
Frode negli USA da parte di A. Kobi
Il criminale scappa a Colombo, Sri Lanka
Utilizza Skype per mantenere i contatti con gli USA
Viene rintracciato ed arrestato
http://arstechnica.com/old/content/2006/08/7582.ars
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
55
Data Storage
E’ prevista la funzionalità di record?
Dove vengono salvati i filmati?
Backup?
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
56
Log
Vengono tenuti?
Di che tipo?
A chi sono accessibili?
Che informazioni rivelano?
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
57
Presence Service
Quando il gatto manca…
...gli attaccanti ballano :)
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
58
Cache
Resta qualcosa sui client? (meeting room condivise)
I documenti condivisi dove vengono salvati? Retention?
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
59
DPI
Il traffico è criptato?
Client aziendale < -- > Server Vendor
Come faccio inspection?
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
60
File Sharing
Se ho politiche di DLP,
se ho politiche di malware prevention,
come analizzo lo scambio file?
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
61
Standard
Integrazione con le altre applicazioni?
Autenticazione con un mio DB?
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
62
Infrastruttura
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza - A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
Multicast
Alcuni prodotti UC utilizzano questa tecnologia
La mia rete la supporta?
I miei security device la sanno gestire?
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
64
VLAN
E’ buona norma creare
diverse reti per i diversi servizi
Non va dimenticata l’implementazione di ACL tra VLAN
altrimenti la segregation è stata fatta inutilmente
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
65
Il pacchetto
Normale pacchetto dati
mac mac
src dst
Dati
Pacchetto dati taggato
T
mac mac
A
src dst
G
Dati
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
66
VLAN Hopping
E se fosse possibile “saltare”
dalla propria VLAN ad un’altra?
Quale security nello stesso broadcast domain?
Nuovi threat: furto di QoS
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
67
VoIP-hopper
GPLv3 licensed security tool, written in C, that rapidly
runs a VLAN Hop into the Voice VLAN on specific
Ethernet switches.VoIP Hopper does this by mimicking
the behavior of an IP Phone
http://voiphopper.sourceforge.net/
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
68
VoIP-hopper
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
69
DoS attack
Le performance sono prerequisiti per il corretto
funzionamento di una infrastruttura UC
Come reagisce la mia rete
a fronte di un attacco di tipo DoS/DDoS?
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
70
MITM Attack
Prevengo i meccanismi di base?
✓
✓
✓
✓
Blocco dei Gratuitos ARP
DHCP Snooping
Flooding-prevention
…
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
71
Servizi “accessori”
Gli switch moderni sono in grado di gestire il traffico
AAVV necessario per UC
E la mia infrastruttura Wireless?
E la mia infrastruttura VPN?
Come uso AAA?
Utilizzo la crittografia?
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
72
WiFi
Supporta WPA2/Enterprise ed 802.1x?
Ed i device che la devono utilizzare?
E’ prevista una rete per gli ospiti?
Gestione centralizzata?
Feature vendor-specific?
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
73
VPN
Con che standard?
Supportato da tutti i device con i quali voglio interagire?
Introduce latenza?
Meglio usare encryption a livello applicazione?
Autenticazione basata su?
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
74
AAA
Come gestisco l’Autenticazione?
Gestisco le Autorizzazioni?
Gestisco l’Accounting?
Accounting mi basta? Lo relaziono ai log?
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
75
Crittografia
Utilizzo certificati validi?
Utilizzo una CA?
I miei device cosa e come supportano una PKI?
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
76
Convergenza
Il mio end-point è sicuro?
PC - Tablet - SmartPhone
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
77
Computer
Se faccio accedere computer di terzi alla mia
infrastruttura, come ne garantisco la sicurezza?
Come garantisco la sicurezza dei miei PC?
Come gestisco gli ospiti?
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
78
Cellulari / Tablet
Sono aziendali o personali?
Quali informazioni memorizzano?
Come ne garantisco “l’integrità”?
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
79
Utenti
Quanto mi fido di loro?
Chi è chi?
Information disclosure involontarie?
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
80
Ergonomia
I telefoni spesso mancano di semplicità di utilizzo o
vengono disegnati da persone che non tengono conto
dell’utilizzo giornaliero che ne fa un comune utente.
Questo conduce ad errori e frustrazione.
Donald A. Norman, La caffettiera del Masochista, 1996
http://books.google.it/books?id=xL3Ye3ZORbgC
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
81
Formazione
La sicurezza si fa con le persone, non con le macchine
Formare periodicamente i tecnici,
spiegare periodicamente agli utenti
è indispensabile
per ottenere una sicurezza soddisfacente
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
82
Monitoring
I device che utilizzo supportano Radius?
SNMP? syslog? altri protocolli?
Ho una struttura destinata al monitoring che colleziona
tutti i log e le statistiche necessarie?
E’ monitoring passivo o può scatenare azioni?
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
83
IDS/IPS
Il mio IDS/IPS è in grado di analizzare tutto il traffico
prodotto da un sistema UC?
Vengono riconosciuti quei protocolli?
La quantità di traffico scatena quanti falsi positivi?
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
84
SIEM
Vista l’enorme mole di dati da analizzare
so correlare i dati dei diversi device?
Analizzo solo o scateno azioni?
Queste azioni possono creare un danno peggiore?
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
85
Ridondanza
Quali parti del sistema di UC
hanno che impatto sul business aziendale?
E’ previsto qualche sistema di
alta affidabilità, cluster, etc etc?
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
86
Sicurezza fisica
La sala adibita a Meeting Room
è da ritenersi sicura?
I computer in quella sala?
Chi può portare media rimovibili?
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
87
PenTesting
La miglior soluzione di oggi è la peggiore di domani
Per questo vanno eseguite periodiche
Posso testare l’intera infrastruttura?
con che vincoli?
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
88
Soluzioni
Hosted / Cloud based
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza - A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
Perchè?
Efficace nel contenere i costi:
nessun hardware da mantenere
banda on-demand
flessibile, scalabile
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
90
Firewall
Che traffico autorizzo dal datacenter/cloud verso la mia
server farm, al fine di garantire l’integrazione?
Che tipo di inspection posso applicare a quel traffico?
I miei firewall sono protocol-aware?
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
91
Recording
E’ possibile registrare le conferenze?
Dove vengono conservate le registrazioni?
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
92
Compliance
Che tipo di audit si può svolgere sul sistema?
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
93
Lawful Interception
Un provider che offra servizi di comunicazione
deve assoggettarsi alle leggi relative
all’intercettazione richiesta per legge
Le leggi si assomigliano molto nei diversi stati
anche extra-europei
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
94
CALEA
All communication of a target and service must be intercepted
Integrity and confidentiality of Information must be ensured
Only authorized personnel must be able to use the LI equipment
All information must only be accessible to authorized personnel
Every use of LI equipment must be logged
Intercepted subject must never be able to detect the interception
Active interception measures must never influence the
telecommunication service
Provider only required to provide accessible data
Network-intrinsic encryption must be removed
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
95
Legal
Dove si trova il datacenter?
➡ Applicabilità del d.lgs. 196/2003 al cloud provider
➡ Ruolo del cloud provider nel trattamento dei dati
➡ Trasferimento dei dati all’estero
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
96
Costi nascosti
Ci sono risorse non tariffate flat?
es. CPU,Traffico, Spazio Disco, etc etc
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
97
Conclusioni
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza - A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
Conclusioni
UC è una tecnologia che può rendere più efficente
il flusso dei dati e delle informazioni
e può semplificare il lavoro di ogni giorno
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
99
Conclusioni
Le insidie possono essere non immediatamente evidenti
La complessità dell’infrastruttura non facilità il compito
Solo una completa e profonda attività di analisi
permetterà una corretta implementazione
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
100
Conclusioni
I servizi AAVV per funzionare correttamente ed in
modo sicuro necessitano di una infrastruttura di rete
moderna, affidabile e compliant agli standard
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
101
Conclusioni
Può l’UC essere sicura?
Si, dipende da noi!
Evoluzione dei sistemi di messaging VoIP, chat e webconference, e relativi problemi di sicurezza
A.L.R. Pennasilico - M. Macrì - Seminari Clusit 2011
102
These slides are written by Alessio L.R. Pennasilico aka mayhem. They are
subjected to Creative Commons Attribution-ShareAlike-2.5 version; you can
copy, modify, or sell them. “Please” cite your source and use the same licence :)
Grazie dell’attenzione!
Domande?
Alessio L.R. Pennasilico - [email protected]
Massimiliano Macrì - [email protected]
Seminari Clusit 2011
17 Febbraio - Milano
2 Marzo - Roma
Documenti correlati
Si prega di consegnare (a mano) - Dipartimento di Giurisprudenza
Si prega di consegnare (a mano) - Dipartimento di Giurisprudenza
Relazione finale progetto PETIT
Relazione finale progetto PETIT
Testi consigliati
Testi consigliati
Corso di Laurea in Storia e civiltà Orientali
Corso di Laurea in Storia e civiltà Orientali
la crisi ucraina e il diritto internazionale - Istituti
la crisi ucraina e il diritto internazionale - Istituti
COME CERTIFICARE LA SICUREZZA DI UN SOFTWARE
COME CERTIFICARE LA SICUREZZA DI UN SOFTWARE
L`Armenia all`inizio del V secolo d.C.
L`Armenia all`inizio del V secolo d.C.
Introduzione all`arte buddhista tibetana
Introduzione all`arte buddhista tibetana
Araki - Lauree e Lauree Magistrali
Araki - Lauree e Lauree Magistrali
Documento informativo Numeri Telefonici
Documento informativo Numeri Telefonici
Comunicare via Internet
Comunicare via Internet
Fantasie sessuali sul Turco in età moderna
Fantasie sessuali sul Turco in età moderna
Scarica