• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Presentazione tesi
 

Presentazione tesi

on

  • 262 views

tesi

tesi

Statistics

Views

Total Views
262
Views on SlideShare
258
Embed Views
4

Actions

Likes
0
Downloads
2
Comments
0

2 Embeds 4

http://www.linkedin.com 3
https://www.linkedin.com 1

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Presentazione tesi Presentazione tesi Presentation Transcript

    • Antifrode e sicurezza nei sistemi VoIP Università degli Studi di Milano Corso di laurea in Sicurezza delle Reti e dei Sistemi InformaticiAnno accademico Relatore: Ernesto Damiani 2011/2012 Corelatore: Valerio Bellandi
    • Perchè questa scelta?Ambiente in rapida evoluzione:dinamico e stimolanteGià avuto esperienze pregresse inquesto campoBZSolutions ha personale altamentespecializzato e riconosciuto nel settoreIl VoIP ha molte analogie con la retemobile
    • Il protocollo SIPRFC3261Protocollo di signaling client-server (UAC-UAS)Serve per gestire la segnalazione di unacomunicazione multimediale (autenticazione,registrazione client, apertura-chiusura di unacomunicazione)Ampiamente usato nel mercato delle TLC VoIPProtocollo testuale
    • Lo scopo del lavoro di tesi Creazione di una centrale telefonica (conversione logiche da Asterisk a FreeSwitch) Raggiungere un discreto knowledge in campo di VoIP Security e Fraud Management
    • Il motivo del cambiamentoR&DUn watchdog controllava che asterisk fosse attivo, incaso contrario lo riavviava (circa un riavvio al giorno)Maggior affidabilità delle nuove release (in alcunicasi Asterisk ha reintrodotto vecchi bug in nuoverelease)Basse performances della soluzione con AGI in C(molte macchine virtuali)
    • I goal raggiunti1. Ricaricamento della configurazione del modulo “on-the-fly” .2. Utilizzo di un pool di connessioni al database per evitare l’overhead della crazione di una nuova connessione ad ogni query.3. Rimozione del codice obsoleto/legacy.4. Ottimizzazione del codice e di query SQL5. Implementazione della tariffazione del cliente con approssimazione 1000 volte più precisa.6. Protezione da attacchi di tipo SQL injection e da altri tipi di comportamenti a considerati pericolosi.7. Separazione logica tra database differenti (read, write, log)
    • L’applicazione bzsw_init (queste operazioni vengono svolte in successione)Riempimento del CDRLock sul mutex del pool di connessioniAutenticazioneGestione delle gerarchieControllo del creditoGestione del “selectioncode”Normalizzazione dei numeri telefoniciVengono chiamati script esterni.Controllo sulla portabilità del numeroControllo se il numero è gestito dalla centrale localeControllo su costo della tratta di destinazioneSelezione della trunk di uscitaScript esterniScrittura dei file temporanei
    • L’applicazione bzsw_trydial (queste operazioni vengono svolte in successione)Lock sul mutex del pool di connessioniLettura dei file temporaneiAcquisizione dei parametri di chiamataSelezione della trunk successivaScrittura dei file temporaneiRilascio del mutex
    • L’applicazione bzsw_postdial (queste operazioni vengono svolte in successione)Lock sul mutex del pool di connessioniLettura dei file temporaneiAcquisizione parametri di chiamataModifica del Real Time StatusCalcolo della tariffazioneSalvataggio del CDR e TariffazioneCancellazione di file temporanei
    • Benchmark e ReviewE’ stato misurato un aumento delle prestazioni dicirca il 500%Un server asterisk (con la configurazionenecessaria all’azienda) riesce a gestire unamedia di massimo 120 chiamate contemporanee.Il mio software è arrivato a gestirne una media di300 con picchi di 500Test effettuati con SIPp (software di HP) e con unmirror del traffico reale
    • Tipi di testTimeout sulle sessioni SIP ed SQLSQL Injection su SIPChiamate multiple da uno stesso utenteFuzzing su parametri SIPCompliance con implementazioni SIP dialtre centrali
    • “VoIP threats”
    • Security vs VoIPPriorità del mondo delle TLC 1. Compatibilità del protocollo SIP tra vendor differenti 2. QoS e gestione prioritaria del traffico 3. Gestione ottimizzata dei trunk 4. Risoluzione delle problematiche relative al NATMentre tra le priorità del mondo della sicurezza, per quanto riguardala gestione di un servizio VoIP abbiamo 1. Filtering a layer 7 del SIP 2. Firewalling e gestione del traffico 3. Blocco degli attacchi DoS 4. Crittografia delle chiamate
    • Una mia suddivisione:Condotte da operatori: F.A.S Internal Fraud Fraud on partnershipCondotte da gli utenti: Subscription Fraud (comodo in italia con il prefisso nazionale che corrisponde in alcuni casi al prefisso mobile) Bnumber modification && Anumber modification SIP attacks Buchi di tariffazione Buchi nelle offerte tariffarie
    • Metodi di reazioneSospensione gli account degliinteressati.Sospensione totale delle anagrafiche.Eventuali ritorsioni legali, a secondadella tipologia di frode.Nel caso di frodi “B2B” report su sitidedicati.
    • Il tentativo di attacco1. Log analysis manuale2. Vulnerabilità insita nel protocollo (SIP Digest auth leak)3. Il credito di alcuni utenti è stato completamente esaurito4. La destinazione è stata un numero Cubano (una destinazione con alti costi di interconnessione)
    • Come mitigare?Facendo in modo che il reseller usipassword “strong”Limitando l’esposizione di alcuni IP(device ATA interni) Bloccando i tentativi di enumeration(fail2ban)
    • Esempio: una soluzione attuale1. Un basso dialing time e un basso ACD rispetto alla norma, (comparata con altri carrier) soprattutto con un accumulo di chiamate risposte da 0 a 2 secondi. La presenza di segreterie telefoniche però può falsare questa statistica.2. L’analisi della distribuzione del tempo di risposta e il suo cambiamento nel tempo, permette di analizzare operatori che abilitano e disabilitano il FAS per evitare di essere scoperto. La forma della curva della distribuzione del tempo di risposta sul tempo può indicare l’attivazione del FAS.In questo modo non si viene ingannati dalla presenza di segreterie telefoniche che sono una bias costante della misurazione.3. Analisi della media e della varianza dell’ACD rispetto all’Answer Delay: questo approccio permette di individuare I falsi positivi dovuti alle segreterie telefoniche, anche se va ricordato che il loro tempo di risposta è mediamente più lungo del FAS, e solitamente le chiamate durano poco (non vengono lasciati messaggi).4. Analisi della covarianza tra ASR e ACD: Questi valori non sono statisticamente correlati tra di loro, e la loro covarianza è prossima a zero. La pratica del FAS aumenta la correlazione, in quanto la modifica dell’ASR e della durata aumenta la loro correlazione.5. Analsi a lungo termine del comportamento di ogni numero telefonico. Per esempio, si monitorano le chiamate verso numeri unici, e si tracciano le chiamate registrando il loro Answer Delay. SIgnificativa varianza di questi valori nel tempo può indicare del FAS.
    • Le problematiche di queste soluzioniUso di statistica puramente descrittiva e non inferenzialeNon ci sono tecniche di anomaly detection (non vengonousati modelli di distribuzioni per descrivere i dati)Non ci sono tecniche di behaviour analysisBasate su assunzioni e valutazioni empiriche (+ qualità dellachiamata -> maggior durata)Non si integrano in maniera omogenea con le centrali
    • La mia propostaAssumere le chiamate passate come campione e fare inferenze sullechiamate future.Analisi dinamica delle chiamate in tempo realeRilevamento delle anomalie sotto forma di outlier (ex: distribuzionelognormale)Modello della distribuzione delle chiamate su su più intervalli di tempo(anno,mese,giorno) per avere granularità sull’andamento dei dati.Analisi del traffico basata su grafi dove i nodi sono rappresentati dainumeri di telefonoModello della distribuzione di probabilità di ogni sottografo in base allevariabili delle chiamate
    • Grazie per l’attenzione :)