SlideShare una empresa de Scribd logo

Presentazione tesi

S
succer110

tesi

Empresariales
1 de 21
Descargar para leer sin conexión
Antifrode e sicurezza nei sistemi VoIP Università degli Studi di Milano Corso di laurea in Sicurezza delle Reti e dei Sistemi Informatici Anno accademico Relatore: Ernesto Damiani 2011/2012 Corelatore: Valerio Bellandi
Perchè questa scelta? Ambiente in rapida evoluzione: dinamico e stimolante Già avuto esperienze pregresse in questo campo BZSolutions ha personale altamente specializzato e riconosciuto nel settore Il VoIP ha molte analogie con la rete mobile
Il protocollo SIP RFC3261 Protocollo di signaling client-server (UAC-UAS) Serve per gestire la segnalazione di una comunicazione multimediale (autenticazione, registrazione client, apertura-chiusura di una comunicazione) Ampiamente usato nel mercato delle TLC VoIP Protocollo testuale
Lo scopo del lavoro di tesi Creazione di una centrale telefonica (conversione logiche da Asterisk a FreeSwitch) Raggiungere un discreto knowledge in campo di VoIP Security e Fraud Management
Il motivo del cambiamento R&D Un watchdog controllava che asterisk fosse attivo, in caso contrario lo riavviava (circa un riavvio al giorno) Maggior affidabilità delle nuove release (in alcuni casi Asterisk ha reintrodotto vecchi bug in nuove release) Basse performances della soluzione con AGI in C (molte macchine virtuali)
I goal raggiunti 1. Ricaricamento della configurazione del modulo “on-the-fly” . 2. Utilizzo di un pool di connessioni al database per evitare l’overhead della crazione di una nuova connessione ad ogni query. 3. Rimozione del codice obsoleto/legacy. 4. Ottimizzazione del codice e di query SQL 5. Implementazione della tariffazione del cliente con approssimazione 1000 volte più precisa. 6. Protezione da attacchi di tipo SQL injection e da altri tipi di comportamenti a considerati pericolosi. 7. Separazione logica tra database differenti (read, write, log)
L’applicazione bzsw_init (queste operazioni vengono svolte in successione) Riempimento del CDR Lock sul mutex del pool di connessioni Autenticazione Gestione delle gerarchie Controllo del credito Gestione del “selectioncode” Normalizzazione dei numeri telefonici Vengono chiamati script esterni. Controllo sulla portabilità del numero Controllo se il numero è gestito dalla centrale locale Controllo su costo della tratta di destinazione Selezione della trunk di uscita Script esterni Scrittura dei file temporanei
L’applicazione bzsw_trydial (queste operazioni vengono svolte in successione) Lock sul mutex del pool di connessioni Lettura dei file temporanei Acquisizione dei parametri di chiamata Selezione della trunk successiva Scrittura dei file temporanei Rilascio del mutex
L’applicazione bzsw_postdial (queste operazioni vengono svolte in successione) Lock sul mutex del pool di connessioni Lettura dei file temporanei Acquisizione parametri di chiamata Modifica del Real Time Status Calcolo della tariffazione Salvataggio del CDR e Tariffazione Cancellazione di file temporanei
Benchmark e Review E’ stato misurato un aumento delle prestazioni di circa il 500% Un server asterisk (con la configurazione necessaria all’azienda) riesce a gestire una media di massimo 120 chiamate contemporanee. Il mio software è arrivato a gestirne una media di 300 con picchi di 500 Test effettuati con SIPp (software di HP) e con un mirror del traffico reale
Tipi di test Timeout sulle sessioni SIP ed SQL SQL Injection su SIP Chiamate multiple da uno stesso utente Fuzzing su parametri SIP Compliance con implementazioni SIP di altre centrali
“VoIP threats”
Security vs VoIP Priorità del mondo delle TLC 1. Compatibilità del protocollo SIP tra vendor differenti 2. QoS e gestione prioritaria del traffico 3. Gestione ottimizzata dei trunk 4. Risoluzione delle problematiche relative al NAT Mentre tra le priorità del mondo della sicurezza, per quanto riguarda la gestione di un servizio VoIP abbiamo 1. Filtering a layer 7 del SIP 2. Firewalling e gestione del traffico 3. Blocco degli attacchi DoS 4. Crittografia delle chiamate
Una mia suddivisione: Condotte da operatori: F.A.S Internal Fraud Fraud on partnership Condotte da gli utenti: Subscription Fraud (comodo in italia con il prefisso nazionale che corrisponde in alcuni casi al prefisso mobile) Bnumber modification && Anumber modification SIP attacks Buchi di tariffazione Buchi nelle offerte tariffarie
Metodi di reazione Sospensione gli account degli interessati. Sospensione totale delle anagrafiche. Eventuali ritorsioni legali, a seconda della tipologia di frode. Nel caso di frodi “B2B” report su siti dedicati.
Il tentativo di attacco 1. Log analysis manuale 2. Vulnerabilità insita nel protocollo (SIP Digest auth leak) 3. Il credito di alcuni utenti è stato completamente esaurito 4. La destinazione è stata un numero Cubano (una destinazione con alti costi di interconnessione)
Come mitigare? Facendo in modo che il reseller usi password “strong” Limitando l’esposizione di alcuni IP (device ATA interni) Bloccando i tentativi di enumeration (fail2ban)
Esempio: una soluzione attuale 1. Un basso dialing time e un basso ACD rispetto alla norma, (comparata con altri carrier) soprattutto con un accumulo di chiamate risposte da 0 a 2 secondi. La presenza di segreterie telefoniche però può falsare questa statistica. 2. L’analisi della distribuzione del tempo di risposta e il suo cambiamento nel tempo, permette di analizzare operatori che abilitano e disabilitano il FAS per evitare di essere scoperto. La forma della curva della distribuzione del tempo di risposta sul tempo può indicare l’attivazione del FAS.In questo modo non si viene ingannati dalla presenza di segreterie telefoniche che sono una bias costante della misurazione. 3. Analisi della media e della varianza dell’ACD rispetto all’Answer Delay: questo approccio permette di individuare I falsi positivi dovuti alle segreterie telefoniche, anche se va ricordato che il loro tempo di risposta è mediamente più lungo del FAS, e solitamente le chiamate durano poco (non vengono lasciati messaggi). 4. Analisi della covarianza tra ASR e ACD: Questi valori non sono statisticamente correlati tra di loro, e la loro covarianza è prossima a zero. La pratica del FAS aumenta la correlazione, in quanto la modifica dell’ASR e della durata aumenta la loro correlazione. 5. Analsi a lungo termine del comportamento di ogni numero telefonico. Per esempio, si monitorano le chiamate verso numeri unici, e si tracciano le chiamate registrando il loro Answer Delay. SIgnificativa varianza di questi valori nel tempo può indicare del FAS.
Le problematiche di queste soluzioni Uso di statistica puramente descrittiva e non inferenziale Non ci sono tecniche di anomaly detection (non vengono usati modelli di distribuzioni per descrivere i dati) Non ci sono tecniche di behaviour analysis Basate su assunzioni e valutazioni empiriche (+ qualità della chiamata -> maggior durata) Non si integrano in maniera omogenea con le centrali
La mia proposta Assumere le chiamate passate come campione e fare inferenze sulle chiamate future. Analisi dinamica delle chiamate in tempo reale Rilevamento delle anomalie sotto forma di outlier (ex: distribuzione lognormale) Modello della distribuzione delle chiamate su su più intervalli di tempo (anno,mese,giorno) per avere granularità sull’andamento dei dati. Analisi del traffico basata su grafi dove i nodi sono rappresentati dai numeri di telefono Modello della distribuzione di probabilità di ogni sottografo in base alle variabili delle chiamate
Grazie per l’attenzione :)

Recomendados

Presentazione_compressione_di_insiemi_di_espressioni_regolari_tramite_program...
Presentazione_compressione_di_insiemi_di_espressioni_regolari_tramite_program...Presentazione_compressione_di_insiemi_di_espressioni_regolari_tramite_program...
Presentazione_compressione_di_insiemi_di_espressioni_regolari_tramite_program...Simone Cumar
 
Studio del limite superiore del tasso di errore nei codici LDPC con relazione...
Studio del limite superiore del tasso di errore nei codici LDPC con relazione...Studio del limite superiore del tasso di errore nei codici LDPC con relazione...
Studio del limite superiore del tasso di errore nei codici LDPC con relazione...FlavioEllero
 
Open Source VoIP at Trento municipality
Open Source VoIP at Trento municipalityOpen Source VoIP at Trento municipality
Open Source VoIP at Trento municipalityRoberto Galoppini
 
QoS a Livello Network
QoS a Livello NetworkQoS a Livello Network
QoS a Livello NetworkPaolo Campegiani
 
L'elettronica open source asterisk 1.8 nuova versione, nuove funzionalità ...
L'elettronica open source asterisk 1.8 nuova versione, nuove funzionalità ...L'elettronica open source asterisk 1.8 nuova versione, nuove funzionalità ...
L'elettronica open source asterisk 1.8 nuova versione, nuove funzionalità ...Ionela
 
IPsec
IPsecIPsec
IPsecAlessio Mosto
 
Sip
SipSip
SipGiacomo Marcuccetti
 
Vpn Qos trên router cisco
Vpn Qos trên router ciscoVpn Qos trên router cisco
Vpn Qos trên router ciscolaonap166
 

Recomendados

Presentazione_compressione_di_insiemi_di_espressioni_regolari_tramite_program...
Presentazione_compressione_di_insiemi_di_espressioni_regolari_tramite_program...Presentazione_compressione_di_insiemi_di_espressioni_regolari_tramite_program...
Presentazione_compressione_di_insiemi_di_espressioni_regolari_tramite_program...Simone Cumar
 
Studio del limite superiore del tasso di errore nei codici LDPC con relazione...
Studio del limite superiore del tasso di errore nei codici LDPC con relazione...Studio del limite superiore del tasso di errore nei codici LDPC con relazione...
Studio del limite superiore del tasso di errore nei codici LDPC con relazione...FlavioEllero
 
Open Source VoIP at Trento municipality
Open Source VoIP at Trento municipalityOpen Source VoIP at Trento municipality
Open Source VoIP at Trento municipalityRoberto Galoppini
 
QoS a Livello Network
QoS a Livello NetworkQoS a Livello Network
QoS a Livello NetworkPaolo Campegiani
 
L'elettronica open source asterisk 1.8 nuova versione, nuove funzionalità ...
L'elettronica open source asterisk 1.8 nuova versione, nuove funzionalità ...L'elettronica open source asterisk 1.8 nuova versione, nuove funzionalità ...
L'elettronica open source asterisk 1.8 nuova versione, nuove funzionalità ...Ionela
 
IPsec
IPsecIPsec
IPsecAlessio Mosto
 
Sip
SipSip
SipGiacomo Marcuccetti
 
Vpn Qos trên router cisco
Vpn Qos trên router ciscoVpn Qos trên router cisco
Vpn Qos trên router ciscolaonap166
 
Asterisk
AsteriskAsterisk
AsteriskUniversità di Siena
 
Ricardo%20 gondim%20 %20soli%20deo%20gloria
Ricardo%20 gondim%20 %20soli%20deo%20gloriaRicardo%20 gondim%20 %20soli%20deo%20gloria
Ricardo%20 gondim%20 %20soli%20deo%20gloriaDorival Leandro
 
Asterisk 13-reference
Asterisk 13-referenceAsterisk 13-reference
Asterisk 13-referenceSergi Duró
 
Tesi Asterisk: CONFIGURAZIONE DI UN SERVIZIO VOIP CON ASTERISK
Tesi Asterisk: CONFIGURAZIONE DI UN SERVIZIO VOIP CON ASTERISK Tesi Asterisk: CONFIGURAZIONE DI UN SERVIZIO VOIP CON ASTERISK
Tesi Asterisk: CONFIGURAZIONE DI UN SERVIZIO VOIP CON ASTERISK Riccardo Galletti
 
8 Routing
8 Routing8 Routing
8 Routingacapone
 
Troubleshooting ospf
Troubleshooting ospfTroubleshooting ospf
Troubleshooting ospfJay Mukoja
 
Realizzazione di un servizio di conferenza telefonica/VoIP multiutente median...
Realizzazione di un servizio di conferenza telefonica/VoIP multiutente median...Realizzazione di un servizio di conferenza telefonica/VoIP multiutente median...
Realizzazione di un servizio di conferenza telefonica/VoIP multiutente median...Ilaria Poddine
 
Cisco router tech support
Cisco router tech supportCisco router tech support
Cisco router tech supportJessica Anna
 
Video QoS
Video QoSVideo QoS
Video QoSALBERTO VALDERRAMA
 
Ospf
OspfOspf
Ospfgopi1985
 
Server Virtualization
Server VirtualizationServer Virtualization
Server VirtualizationSpiceworks
 
Ccvp plus module 1
Ccvp plus module 1Ccvp plus module 1
Ccvp plus module 1Le Ngoc Viet
 
02.conceptos basicos de la telefonia ip ori
02.conceptos basicos de la telefonia ip ori02.conceptos basicos de la telefonia ip ori
02.conceptos basicos de la telefonia ip oriAsoc Daniel Atencion Especial
 
Configuración del dial peer
Configuración del dial peer Configuración del dial peer
Configuración del dial peer miguelangelperezhenao
 
Ospf
Ospf Ospf
OspfDeeN Mohammad
 
VoiceBootcamp Ccnp collaboration lab guide v1.0 sample
VoiceBootcamp Ccnp collaboration lab guide v1.0 sampleVoiceBootcamp Ccnp collaboration lab guide v1.0 sample
VoiceBootcamp Ccnp collaboration lab guide v1.0 sampleFaisal Khan
 
OSPF- Multi area
OSPF- Multi area OSPF- Multi area
OSPF- Multi area Ahmed Ali
 
Cisco: QoS
Cisco: QoSCisco: QoS
Cisco: QoSFundación Proydesa
 
DBodle QoS Exam Study Notes
DBodle QoS Exam Study NotesDBodle QoS Exam Study Notes
DBodle QoS Exam Study NotesDuane Bodle
 
QoS In The Enterprise
QoS In The EnterpriseQoS In The Enterprise
QoS In The EnterprisePrivate
 
Sogei - Guardigli Disaster Recovery E Business Continuity Nella It Nov 2006v2
Sogei - Guardigli Disaster Recovery E Business Continuity Nella It Nov 2006v2Sogei - Guardigli Disaster Recovery E Business Continuity Nella It Nov 2006v2
Sogei - Guardigli Disaster Recovery E Business Continuity Nella It Nov 2006v2Marco Guardigli
 
Sicurezza e resilienza di Architetture a Containers
Sicurezza e resilienza di Architetture a ContainersSicurezza e resilienza di Architetture a Containers
Sicurezza e resilienza di Architetture a ContainersGianluca Magalotti
 

Más contenido relacionado

Destacado

Ricardo%20 gondim%20 %20soli%20deo%20gloria
Ricardo%20 gondim%20 %20soli%20deo%20gloriaRicardo%20 gondim%20 %20soli%20deo%20gloria
Ricardo%20 gondim%20 %20soli%20deo%20gloriaDorival Leandro
 
Asterisk 13-reference
Asterisk 13-referenceAsterisk 13-reference
Asterisk 13-referenceSergi Duró
 
Tesi Asterisk: CONFIGURAZIONE DI UN SERVIZIO VOIP CON ASTERISK
Tesi Asterisk: CONFIGURAZIONE DI UN SERVIZIO VOIP CON ASTERISK Tesi Asterisk: CONFIGURAZIONE DI UN SERVIZIO VOIP CON ASTERISK
Tesi Asterisk: CONFIGURAZIONE DI UN SERVIZIO VOIP CON ASTERISK Riccardo Galletti
 
8 Routing
8 Routing8 Routing
8 Routingacapone
 
Troubleshooting ospf
Troubleshooting ospfTroubleshooting ospf
Troubleshooting ospfJay Mukoja
 
Realizzazione di un servizio di conferenza telefonica/VoIP multiutente median...
Realizzazione di un servizio di conferenza telefonica/VoIP multiutente median...Realizzazione di un servizio di conferenza telefonica/VoIP multiutente median...
Realizzazione di un servizio di conferenza telefonica/VoIP multiutente median...Ilaria Poddine
 
Cisco router tech support
Cisco router tech supportCisco router tech support
Cisco router tech supportJessica Anna
 
Server Virtualization
Server VirtualizationServer Virtualization
Server VirtualizationSpiceworks
 
Ccvp plus module 1
Ccvp plus module 1Ccvp plus module 1
Ccvp plus module 1Le Ngoc Viet
 
VoiceBootcamp Ccnp collaboration lab guide v1.0 sample
VoiceBootcamp Ccnp collaboration lab guide v1.0 sampleVoiceBootcamp Ccnp collaboration lab guide v1.0 sample
VoiceBootcamp Ccnp collaboration lab guide v1.0 sampleFaisal Khan
 
OSPF- Multi area
OSPF- Multi area OSPF- Multi area
OSPF- Multi area Ahmed Ali
 
DBodle QoS Exam Study Notes
DBodle QoS Exam Study NotesDBodle QoS Exam Study Notes
DBodle QoS Exam Study NotesDuane Bodle
 
QoS In The Enterprise
QoS In The EnterpriseQoS In The Enterprise
QoS In The EnterprisePrivate
 

Destacado (20)

Asterisk
AsteriskAsterisk
Asterisk
 
Ricardo%20 gondim%20 %20soli%20deo%20gloria
Ricardo%20 gondim%20 %20soli%20deo%20gloriaRicardo%20 gondim%20 %20soli%20deo%20gloria
Ricardo%20 gondim%20 %20soli%20deo%20gloria
 
Asterisk 13-reference
Asterisk 13-referenceAsterisk 13-reference
Asterisk 13-reference
 
Tesi Asterisk: CONFIGURAZIONE DI UN SERVIZIO VOIP CON ASTERISK
Tesi Asterisk: CONFIGURAZIONE DI UN SERVIZIO VOIP CON ASTERISK Tesi Asterisk: CONFIGURAZIONE DI UN SERVIZIO VOIP CON ASTERISK
Tesi Asterisk: CONFIGURAZIONE DI UN SERVIZIO VOIP CON ASTERISK
 
8 Routing
8 Routing8 Routing
8 Routing
 
Troubleshooting ospf
Troubleshooting ospfTroubleshooting ospf
Troubleshooting ospf
 
Realizzazione di un servizio di conferenza telefonica/VoIP multiutente median...
Realizzazione di un servizio di conferenza telefonica/VoIP multiutente median...Realizzazione di un servizio di conferenza telefonica/VoIP multiutente median...
Realizzazione di un servizio di conferenza telefonica/VoIP multiutente median...
 
Cisco router tech support
Cisco router tech supportCisco router tech support
Cisco router tech support
 
Video QoS
Video QoSVideo QoS
Video QoS
 
Ospf
OspfOspf
Ospf
 
Server Virtualization
Server VirtualizationServer Virtualization
Server Virtualization
 
Ccvp plus module 1
Ccvp plus module 1Ccvp plus module 1
Ccvp plus module 1
 
02.conceptos basicos de la telefonia ip ori
02.conceptos basicos de la telefonia ip ori02.conceptos basicos de la telefonia ip ori
02.conceptos basicos de la telefonia ip ori
 
Configuración del dial peer
Configuración del dial peer Configuración del dial peer
Configuración del dial peer
 
Ospf
Ospf Ospf
Ospf
 
VoiceBootcamp Ccnp collaboration lab guide v1.0 sample
VoiceBootcamp Ccnp collaboration lab guide v1.0 sampleVoiceBootcamp Ccnp collaboration lab guide v1.0 sample
VoiceBootcamp Ccnp collaboration lab guide v1.0 sample
 
OSPF- Multi area
OSPF- Multi area OSPF- Multi area
OSPF- Multi area
 
Cisco: QoS
Cisco: QoSCisco: QoS
Cisco: QoS
 
DBodle QoS Exam Study Notes
DBodle QoS Exam Study NotesDBodle QoS Exam Study Notes
DBodle QoS Exam Study Notes
 
QoS In The Enterprise
QoS In The EnterpriseQoS In The Enterprise
QoS In The Enterprise
 

Similar a Presentazione tesi

Sogei - Guardigli Disaster Recovery E Business Continuity Nella It Nov 2006v2
Sogei - Guardigli Disaster Recovery E Business Continuity Nella It Nov 2006v2Sogei - Guardigli Disaster Recovery E Business Continuity Nella It Nov 2006v2
Sogei - Guardigli Disaster Recovery E Business Continuity Nella It Nov 2006v2Marco Guardigli
 
Sicurezza e resilienza di Architetture a Containers
Sicurezza e resilienza di Architetture a ContainersSicurezza e resilienza di Architetture a Containers
Sicurezza e resilienza di Architetture a ContainersGianluca Magalotti
 
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005Marco Guardigli
 
Progetto e sviluppo di un sistema di rilevamento di anomalie su sistemi infor...
Progetto e sviluppo di un sistema di rilevamento di anomalie su sistemi infor...Progetto e sviluppo di un sistema di rilevamento di anomalie su sistemi infor...
Progetto e sviluppo di un sistema di rilevamento di anomalie su sistemi infor...MichaelFuser
 
Consolidamento e virtualizzazione
Consolidamento e virtualizzazione Consolidamento e virtualizzazione
Consolidamento e virtualizzazione S.info Srl
 
Industria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industriale
Industria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industrialeIndustria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industriale
Industria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industrialeCONFINDUSTRIA TOSCANA NORD
 
Compressione di insiemi di espressioni regolari tramite programmazione geneti...
Compressione di insiemi di espressioni regolari tramite programmazione geneti...Compressione di insiemi di espressioni regolari tramite programmazione geneti...
Compressione di insiemi di espressioni regolari tramite programmazione geneti...Simone Cumar
 
Progetto e realizzazione di uno strumento per la raccolta di dipendenze archi...
Progetto e realizzazione di uno strumento per la raccolta di dipendenze archi...Progetto e realizzazione di uno strumento per la raccolta di dipendenze archi...
Progetto e realizzazione di uno strumento per la raccolta di dipendenze archi...LorenzoFabbio
 
Michielin Davide Extended Summary
Michielin Davide Extended SummaryMichielin Davide Extended Summary
Michielin Davide Extended SummaryDavide Michielin
 
Summary of: “Tracing Your Roots: Exploring the TLS Trust Anchor Ecosystem”
Summary of: “Tracing Your Roots: Exploring the TLS Trust Anchor Ecosystem”Summary of: “Tracing Your Roots: Exploring the TLS Trust Anchor Ecosystem”
Summary of: “Tracing Your Roots: Exploring the TLS Trust Anchor Ecosystem”Alessio Manià
 
Programma il futuro : una scelta Open Source
Programma il futuro : una scelta Open SourceProgramma il futuro : una scelta Open Source
Programma il futuro : una scelta Open SourceNaLUG
 
Seminario Basi di Dati - Architetture Distribuite - Università degli Studi di...
Seminario Basi di Dati - Architetture Distribuite - Università degli Studi di...Seminario Basi di Dati - Architetture Distribuite - Università degli Studi di...
Seminario Basi di Dati - Architetture Distribuite - Università degli Studi di...Andrea Cannella
 
Classificazione delle segnalazioni cliente in base alla rilevanza secondo tec...
Classificazione delle segnalazioni cliente in base alla rilevanza secondo tec...Classificazione delle segnalazioni cliente in base alla rilevanza secondo tec...
Classificazione delle segnalazioni cliente in base alla rilevanza secondo tec...Dario Crosera
 
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceLinux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceMario Rossano
 
Programma il futuro: una scelta open source
Programma il futuro: una scelta open sourceProgramma il futuro: una scelta open source
Programma il futuro: una scelta open sourceMarco Ferrigno
 
Network Monitoring e Nagios®
Network Monitoring e Nagios®Network Monitoring e Nagios®
Network Monitoring e Nagios®Nicholas Pocher
 
02.Reti Enterprise May 2002
02.Reti Enterprise May 200202.Reti Enterprise May 2002
02.Reti Enterprise May 2002Marco Guardigli
 
Tesi - L'autenticazione nel cloud computing
Tesi - L'autenticazione nel cloud computingTesi - L'autenticazione nel cloud computing
Tesi - L'autenticazione nel cloud computingfrancesco pesare
 

Similar a Presentazione tesi (20)

Sogei - Guardigli Disaster Recovery E Business Continuity Nella It Nov 2006v2
Sogei - Guardigli Disaster Recovery E Business Continuity Nella It Nov 2006v2Sogei - Guardigli Disaster Recovery E Business Continuity Nella It Nov 2006v2
Sogei - Guardigli Disaster Recovery E Business Continuity Nella It Nov 2006v2
 
Sicurezza e resilienza di Architetture a Containers
Sicurezza e resilienza di Architetture a ContainersSicurezza e resilienza di Architetture a Containers
Sicurezza e resilienza di Architetture a Containers
 
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
 
Progetto e sviluppo di un sistema di rilevamento di anomalie su sistemi infor...
Progetto e sviluppo di un sistema di rilevamento di anomalie su sistemi infor...Progetto e sviluppo di un sistema di rilevamento di anomalie su sistemi infor...
Progetto e sviluppo di un sistema di rilevamento di anomalie su sistemi infor...
 
Consolidamento e virtualizzazione
Consolidamento e virtualizzazione Consolidamento e virtualizzazione
Consolidamento e virtualizzazione
 
Industria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industriale
Industria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industrialeIndustria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industriale
Industria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industriale
 
Compressione di insiemi di espressioni regolari tramite programmazione geneti...
Compressione di insiemi di espressioni regolari tramite programmazione geneti...Compressione di insiemi di espressioni regolari tramite programmazione geneti...
Compressione di insiemi di espressioni regolari tramite programmazione geneti...
 
Progetto e realizzazione di uno strumento per la raccolta di dipendenze archi...
Progetto e realizzazione di uno strumento per la raccolta di dipendenze archi...Progetto e realizzazione di uno strumento per la raccolta di dipendenze archi...
Progetto e realizzazione di uno strumento per la raccolta di dipendenze archi...
 
Michielin Davide Extended Summary
Michielin Davide Extended SummaryMichielin Davide Extended Summary
Michielin Davide Extended Summary
 
Summary of: “Tracing Your Roots: Exploring the TLS Trust Anchor Ecosystem”
Summary of: “Tracing Your Roots: Exploring the TLS Trust Anchor Ecosystem”Summary of: “Tracing Your Roots: Exploring the TLS Trust Anchor Ecosystem”
Summary of: “Tracing Your Roots: Exploring the TLS Trust Anchor Ecosystem”
 
Programma il futuro : una scelta Open Source
Programma il futuro : una scelta Open SourceProgramma il futuro : una scelta Open Source
Programma il futuro : una scelta Open Source
 
Seminario Basi di Dati - Architetture Distribuite - Università degli Studi di...
Seminario Basi di Dati - Architetture Distribuite - Università degli Studi di...Seminario Basi di Dati - Architetture Distribuite - Università degli Studi di...
Seminario Basi di Dati - Architetture Distribuite - Università degli Studi di...
 
Classificazione delle segnalazioni cliente in base alla rilevanza secondo tec...
Classificazione delle segnalazioni cliente in base alla rilevanza secondo tec...Classificazione delle segnalazioni cliente in base alla rilevanza secondo tec...
Classificazione delle segnalazioni cliente in base alla rilevanza secondo tec...
 
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceLinux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
 
Programma il futuro: una scelta open source
Programma il futuro: una scelta open sourceProgramma il futuro: una scelta open source
Programma il futuro: una scelta open source
 
Network Monitoring e Nagios®
Network Monitoring e Nagios®Network Monitoring e Nagios®
Network Monitoring e Nagios®
 
02.Reti Enterprise May 2002
02.Reti Enterprise May 200202.Reti Enterprise May 2002
02.Reti Enterprise May 2002
 
Sicurezza nelle reti Wireless LAN
Sicurezza nelle reti Wireless LANSicurezza nelle reti Wireless LAN
Sicurezza nelle reti Wireless LAN
 
Ieee 802.15.4e nel wirelessHART
Ieee 802.15.4e nel wirelessHARTIeee 802.15.4e nel wirelessHART
Ieee 802.15.4e nel wirelessHART
 
Tesi - L'autenticazione nel cloud computing
Tesi - L'autenticazione nel cloud computingTesi - L'autenticazione nel cloud computing
Tesi - L'autenticazione nel cloud computing
 

Presentazione tesi

  • 1. Antifrode e sicurezza nei sistemi VoIP Università degli Studi di Milano Corso di laurea in Sicurezza delle Reti e dei Sistemi Informatici Anno accademico Relatore: Ernesto Damiani 2011/2012 Corelatore: Valerio Bellandi
  • 2. Perchè questa scelta? Ambiente in rapida evoluzione: dinamico e stimolante Già avuto esperienze pregresse in questo campo BZSolutions ha personale altamente specializzato e riconosciuto nel settore Il VoIP ha molte analogie con la rete mobile
  • 3. Il protocollo SIP RFC3261 Protocollo di signaling client-server (UAC-UAS) Serve per gestire la segnalazione di una comunicazione multimediale (autenticazione, registrazione client, apertura-chiusura di una comunicazione) Ampiamente usato nel mercato delle TLC VoIP Protocollo testuale
  • 4. Lo scopo del lavoro di tesi Creazione di una centrale telefonica (conversione logiche da Asterisk a FreeSwitch) Raggiungere un discreto knowledge in campo di VoIP Security e Fraud Management
  • 5. Il motivo del cambiamento R&D Un watchdog controllava che asterisk fosse attivo, in caso contrario lo riavviava (circa un riavvio al giorno) Maggior affidabilità delle nuove release (in alcuni casi Asterisk ha reintrodotto vecchi bug in nuove release) Basse performances della soluzione con AGI in C (molte macchine virtuali)
  • 6. I goal raggiunti 1. Ricaricamento della configurazione del modulo “on-the-fly” . 2. Utilizzo di un pool di connessioni al database per evitare l’overhead della crazione di una nuova connessione ad ogni query. 3. Rimozione del codice obsoleto/legacy. 4. Ottimizzazione del codice e di query SQL 5. Implementazione della tariffazione del cliente con approssimazione 1000 volte più precisa. 6. Protezione da attacchi di tipo SQL injection e da altri tipi di comportamenti a considerati pericolosi. 7. Separazione logica tra database differenti (read, write, log)
  • 7. L’applicazione bzsw_init (queste operazioni vengono svolte in successione) Riempimento del CDR Lock sul mutex del pool di connessioni Autenticazione Gestione delle gerarchie Controllo del credito Gestione del “selectioncode” Normalizzazione dei numeri telefonici Vengono chiamati script esterni. Controllo sulla portabilità del numero Controllo se il numero è gestito dalla centrale locale Controllo su costo della tratta di destinazione Selezione della trunk di uscita Script esterni Scrittura dei file temporanei
  • 8. L’applicazione bzsw_trydial (queste operazioni vengono svolte in successione) Lock sul mutex del pool di connessioni Lettura dei file temporanei Acquisizione dei parametri di chiamata Selezione della trunk successiva Scrittura dei file temporanei Rilascio del mutex
  • 9. L’applicazione bzsw_postdial (queste operazioni vengono svolte in successione) Lock sul mutex del pool di connessioni Lettura dei file temporanei Acquisizione parametri di chiamata Modifica del Real Time Status Calcolo della tariffazione Salvataggio del CDR e Tariffazione Cancellazione di file temporanei
  • 10. Benchmark e Review E’ stato misurato un aumento delle prestazioni di circa il 500% Un server asterisk (con la configurazione necessaria all’azienda) riesce a gestire una media di massimo 120 chiamate contemporanee. Il mio software è arrivato a gestirne una media di 300 con picchi di 500 Test effettuati con SIPp (software di HP) e con un mirror del traffico reale
  • 11. Tipi di test Timeout sulle sessioni SIP ed SQL SQL Injection su SIP Chiamate multiple da uno stesso utente Fuzzing su parametri SIP Compliance con implementazioni SIP di altre centrali
  • 13. Security vs VoIP Priorità del mondo delle TLC 1. Compatibilità del protocollo SIP tra vendor differenti 2. QoS e gestione prioritaria del traffico 3. Gestione ottimizzata dei trunk 4. Risoluzione delle problematiche relative al NAT Mentre tra le priorità del mondo della sicurezza, per quanto riguarda la gestione di un servizio VoIP abbiamo 1. Filtering a layer 7 del SIP 2. Firewalling e gestione del traffico 3. Blocco degli attacchi DoS 4. Crittografia delle chiamate
  • 14. Una mia suddivisione: Condotte da operatori: F.A.S Internal Fraud Fraud on partnership Condotte da gli utenti: Subscription Fraud (comodo in italia con il prefisso nazionale che corrisponde in alcuni casi al prefisso mobile) Bnumber modification && Anumber modification SIP attacks Buchi di tariffazione Buchi nelle offerte tariffarie
  • 15. Metodi di reazione Sospensione gli account degli interessati. Sospensione totale delle anagrafiche. Eventuali ritorsioni legali, a seconda della tipologia di frode. Nel caso di frodi “B2B” report su siti dedicati.
  • 16. Il tentativo di attacco 1. Log analysis manuale 2. Vulnerabilità insita nel protocollo (SIP Digest auth leak) 3. Il credito di alcuni utenti è stato completamente esaurito 4. La destinazione è stata un numero Cubano (una destinazione con alti costi di interconnessione)
  • 17. Come mitigare? Facendo in modo che il reseller usi password “strong” Limitando l’esposizione di alcuni IP (device ATA interni) Bloccando i tentativi di enumeration (fail2ban)
  • 18. Esempio: una soluzione attuale 1. Un basso dialing time e un basso ACD rispetto alla norma, (comparata con altri carrier) soprattutto con un accumulo di chiamate risposte da 0 a 2 secondi. La presenza di segreterie telefoniche però può falsare questa statistica. 2. L’analisi della distribuzione del tempo di risposta e il suo cambiamento nel tempo, permette di analizzare operatori che abilitano e disabilitano il FAS per evitare di essere scoperto. La forma della curva della distribuzione del tempo di risposta sul tempo può indicare l’attivazione del FAS.In questo modo non si viene ingannati dalla presenza di segreterie telefoniche che sono una bias costante della misurazione. 3. Analisi della media e della varianza dell’ACD rispetto all’Answer Delay: questo approccio permette di individuare I falsi positivi dovuti alle segreterie telefoniche, anche se va ricordato che il loro tempo di risposta è mediamente più lungo del FAS, e solitamente le chiamate durano poco (non vengono lasciati messaggi). 4. Analisi della covarianza tra ASR e ACD: Questi valori non sono statisticamente correlati tra di loro, e la loro covarianza è prossima a zero. La pratica del FAS aumenta la correlazione, in quanto la modifica dell’ASR e della durata aumenta la loro correlazione. 5. Analsi a lungo termine del comportamento di ogni numero telefonico. Per esempio, si monitorano le chiamate verso numeri unici, e si tracciano le chiamate registrando il loro Answer Delay. SIgnificativa varianza di questi valori nel tempo può indicare del FAS.
  • 19. Le problematiche di queste soluzioni Uso di statistica puramente descrittiva e non inferenziale Non ci sono tecniche di anomaly detection (non vengono usati modelli di distribuzioni per descrivere i dati) Non ci sono tecniche di behaviour analysis Basate su assunzioni e valutazioni empiriche (+ qualità della chiamata -> maggior durata) Non si integrano in maniera omogenea con le centrali
  • 20. La mia proposta Assumere le chiamate passate come campione e fare inferenze sulle chiamate future. Analisi dinamica delle chiamate in tempo reale Rilevamento delle anomalie sotto forma di outlier (ex: distribuzione lognormale) Modello della distribuzione delle chiamate su su più intervalli di tempo (anno,mese,giorno) per avere granularità sull’andamento dei dati. Analisi del traffico basata su grafi dove i nodi sono rappresentati dai numeri di telefono Modello della distribuzione di probabilità di ogni sottografo in base alle variabili delle chiamate