CONCLUSIONI
In questo lavoro di tesi sono stati analizzati sperimentalmente i più comuni attacchi che si possono realizzare contro un sistema SIP (Session Initiation Protocol) e si sono valutati le possibili contromisure da adottare al fine di impedirne la loro attuazione. Le prove sperimentali sono state realizzate utilizzando un trial sperimentale realizzato in dipartimento ed eseguite con l’ausilio di numerosi tools appositamente implementati per testare la sicurezza degli apparati SIP.
In particolare le prove considerate sono state suddivise in quattro aree di maggiore interesse:
Scanning ed Enumeration: per Scanning intendiamo l’insieme di controlli condotti da un
attaccante al fine di individuare, all’interno di un range di indirizzi IP prescelto, le terminazioni attive, le loro porte di comunicazione utilizzate (UDP o TCP), il tipo di servizio associato a ciascuna delle porte precedentemente rilevate e infine il tipo di dispositivo e host classificandolo sulla base del sistema operativo in uso, (Windows, Linux e così via). Per Enumeration, invece, si intende quel processo attuato da un attaccante una volta che dispone dell’elenco di indirizzi IP e servizi attivi nell’ambito di un contesto VoIP, al fine di identificare l’infrastruttura della rete e ciascun sistema VoIP accessibile. Le tipiche contromisure da applicare a questo livello consistono nell’utilizzo di dispositivi di rete, quali firewall o IDS, in modo da attuare opportune regole di filtraggio finalizzate a bloccare il traffico ICMP e i messaggi TCP pinging, prevenire il pinging ARP ed impedire il port scanning. Un’ulteriore contromisura è data dalla separazione logica della rete attraverso VLAN, in modo da impedire a terzi di poter eseguire una scansione su una determinata infrastruttura di rete o server VoIP (server TFTP, server DHCP e così via). Relativamente al processo di enumeration, si è soliti ricorrere a meccanismi di autenticazione sul proxy server, che si riferiscano non solo alla fase di registrazione dell’utente, ma anche al regolare utilizzo del servizio (REGISTER, INVITE, etc). Ulteriori metri di sicurezza consistono nell’adozione di dispositivi di detection come IDS (Intrusion Detection System), i quali riescono a rilevare richieste SIP sospette, come INVITE, OPTION e REGISTER, indirizzate al proxy SIP bersaglio e quindi a bloccare le successive richieste provenienti da quel particolare indirizzo IP sorgente.
Fuzzing: Per fuzzing si intende quella procedura finalizzata a verificare la robustezza dei dispositivi
o delle applicazioni di rete e la funzionalità di un particolare protocollo. Più semplicemente, è un metodo per la ricerca di bachi di implementazione e di possibili vulnerabilità attraverso la creazione
di differenti tipi di pacchetti inviati ad un’applicazione, ad un sistema operativo, ad un dispositivo hardware o software e i cui risultati sono attentamente monitorati per osservare qualsiasi condizione inconsueta (riavvio del sistema, crash, consumo di risorse, e così via). Dal punto di vista dell’utente di un prodotto VoIP, esistono poche cose da poter seguire per limitare gli effetti causati dal fuzzing. Le principali sono chiedere al venditore dei softphone o degli IP-Phone documentazioni relative ai test di QA (Quality Assurance) eseguiti per testare la sicurezza di tali prodotti e utilizzare dei dispositivi “Inline Network”, quali Session Border Controller (SBC) e Intrusion Prevention System (IPS), in modo da far rispettare determinate specifiche di sicurezza. Molti IPS e SBC sono in grado di rilevare numerosi tipi di buffer overflow, imperfezioni del formato delle stringhe ed altre vulnerabilità ancora, senza influenzare il traffico normale.
Flood-based attacks: questa categoria di attacchi provoca un'interruzione, parziale o intera, del
corretto funzionamento dei server proxy SIP e delle terminazioni VoIP colpite. Tali attacchi “inondano” (flooding) la terminazione bersaglio con vari tipi di pacchetti del protocollo VoIP o con specifici messaggi. Alcuni di essi provocano una condizione di fuori servizio al terminale colpito, richiedendone talvolta il riavvio. Comunemente questi attacchi risultano efficaci se la terminazione attaccata può essere ingannata ed indotta ad accettare ed elaborare le richieste inviatele. Nel caso in cui si riuscisse ad inviare una quantità adeguata di richieste illecite, le richieste valide inviate da altri dispositivi SIP, come ad esempio telefoni SIP, potrebbero essere ignorate, oppure perse o ancora elaborate molto lentamente con conseguente interruzione del servizio.
Le tipiche contromisure da adottare per contrastare questa categoria di attacchi sono le seguenti: • utilizzo del protocollo TCP e TLS per le connessioni SIP: il loro impiego previene forme di
attacco eavesdropping o attacchi sulla segnalazione. Il protocollo TLS fornisce una robusta autenticazione che rende molto complicato (se non impossibile) ad un attaccante ingannare un proxy SIP nell’accettare un flusso di pacchetti; inoltre, prevede l’utilizzo di tecniche di cifratura per conferire privacy.
• utilizzo di VLAN per separare la Voce dai Dati: un corretto utilizzo delle VLAN conferisce un buon livello di sicurezza alle reti che ne fanno uso, infatti, permette di bloccare un attacco DoS eseguito da un PC corrotto.
• Abilitare l’Autenticazione: i proxy SIP possono utilizzare forme di autenticazione basate sullo schema HTTP Digest Authentication per diverse richieste SIP, come ad esempio INVITE, REGISTER, OPTIONS, BYE e così via. In questo modo soltanto gli utenti legittimi, in possesso delle credenziali, potranno usufruire del servizio, rendendo vani i tentativi di accesso di utenti che non sono autorizzati.
• Modificare le porte “Well-Known”: solitamente sia i proxy SIP che i telefoni SIP utilizzano di default la porta UDP 5060 per fornire il servizio SIP. Tale caratteristica rappresenta ovviamente una limitazione in termini di sicurezza, pertanto è preferibile cambiarne il valore • Utilizzo di Firewall SIP: un firewall SIP può essere schierato in un sistema VoIP per
esaminare tutti i messaggi di segnalazione inviati al proxy SIP. Il firewall SIP può rilevare e di conseguenza limitare varie forme di attacco e tra questi quelli basati sul flooding di messaggi UDP o di richieste INVITE.
Signaling and Media Manipulation: è una categoria di attacchi in cui un attaccante manipola la
segnalazione SIP o il flusso media, per dirottare o raggirare le chiamate. In questo caso, in aggiunta alle contromisure adottate per gli attacchi Flood-based, vanno citate:
• Riduzione dell’intervallo di Registrazione: È possibile ridurre l’intervallo di registrazione in modo tale che i telefoni SIP si registrino al proxy SIP con una maggiore frequenza. In tal modo, anche nel caso in cui un attaccante rimuovesse la registrazione di un utente legittimo, il telefono SIP ad esso associato la recupererà dopo un breve intervallo temporale, riprendendo a ricevere normalmente le chiamate.
• Authenticated Identity: l’autenticazione dell’identità di un utente è un approccio che autentica il mittente di una richiesta INVITE, calcola e firma una funzione hash del campo FROM: e altri campi e inserisce il risultato in un nuovo campo di intestazione. Questo può essere controllato successivamente per autenticare l’identità del mittente ed impedire ad un attaccante di accedere al servizio in maniera ingannevole.
• Cifratura ed autenticazione dell’audio: Grazie all’utilizzo di tecniche di cifratura, risulta impossibile la comprensione delle informazioni audio scambiate tra due utenti. Quanto detto vale anche se i pacchetti RTP non vengono autenticati. Il protocollo SRTP (Secure RTP) è uno standard che fornisce una robusta cifratura per la privacy e opzionalmente l’autenticazione che consente, alle terminazioni finali coinvolte nella comunicazione, di differenziare i pacchetti RTP (e RTCP) legittimi da quelli falsificati.
