Modern Technology of Internet

Podobné dokumenty
IP telephony security overview

Principy telefonní signalizace SIP

Voice over IP Fundamentals

SIP Session Initiation Protocol

Michal Vávra FI MUNI

Analýza komunikace při realizaci VoIP spojení

Multimediální přenosy. IP telefonie.

Principy signalizace SIP

Rodina protokolů TCP/IP, verze 2.7. Část 11: VOIP, IP telefonie

Rodina protokolů TCP/IP, verze 2.6. Část 11: VOIP, IP telefonie


Teorie a praxe IP telefonie 2. dvoudenní odborný seminář Hotel Olšanka, 8. a 9. listopadu 2006 SIGNALIZACE SIP

Semestrální práce 37MK

Bezpečnostní problémy VoIP a jejich řešení

Asterisk a ENUM Ondřej Surý <ondrej@sury.org> Co je to VoIP? Jaké se používají protokoly? Co je to Asterisk? Co je to ENUM? Konfigurace Demo Otázky a

vysokých škol na projektu IP telefonie

ENUM Nová dimenze telefonování. CZ.NIC z.s.p.o. Pavel Tůma / pavel.tuma@nic.cz

Komunikace systémů s ostatními multimediálními sítěmi

Schéma elektronické pošty

Směrování VoIP provozu v datových sítích

Hypertext Transfer Protocol (HTTP/1.1 RFC 2616) Počítačové sítě Pavel Šinták

Číslování a adresování v klasických a IP telefonních sítích

RTP Real Time protocol

Voice over IP - přehled protokolů a praktické zkušenosti

SIGNALIZAČNÍ A KOMUNIKAČNÍ PROTOKOLY V IP TELEFONII

VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ BRNO UNIVERSITY OF TECHNOLOGY

Bezpečnost VoIP telefonie

Protokoly: IP, ARP, RARP, ICMP, IGMP, OSPF

Podpora technologie ENUM v

B4. Počítačové sítě a decentralizované systémy Jakub MÍŠA (2006)

Studium protokolu Session Decription Protocol. Jaroslav Vilč

Obsah. O autorech 9. Předmluva 13. KAPITOLA 1 Počítačové sítě a Internet 23. Jim Kurose 9 Keith Ross 9

Bezpečnost provozu VoIP

Zabezpečení VoIP komunikace

metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování

Přístup k transportní vrstvě z vrstvy aplikační rozhraní služeb služby pro systémové aplikace, služby pro uživatelské aplikace DNS

H.323/SIP VoIP GSM Gateway VIP-281GS

ENUM v telefonní síti Ostravské univerzity. M. Dvořák

Security and Frauds in IP telephony

Internet protokol, IP adresy, návaznost IP na nižší vrstvy

H.323 standard. Specifikace H.323 byla schválena v roce 1996 skupinou Study Group 16 (součást ITU). Verze 2 byla schválena v lednu 1998.

Případová studie - Slezská univerzita v Opavě

Provisioning VoIP koncových zařízení

SSL Secure Sockets Layer

RTP = real=time protocol ST-II = Internet Stream Protocol (náhrada TCP pro streamy, řídicí protokol, datový přenos)

ANTISPIT a jeho implementace do Asterisku

2N EasyRoute UMTS datová a hlasová brána

Jmenné služby a adresace

Obsah. 1. Charakteristika a historie protokolu 2. Architektura protokolu 3. Bezpečnostní otázky 4. Konfigurace SIP na Cisco směrovačích

PRINCIP HLASOVÉ KOMUNIKACE V IP SÍTÍCH A JEJÍ BEZPEČNOST

Identifikátor materiálu: ICT-3-03

Y36PSI IPv6. Jan Kubr - 7_IPv6 Jan Kubr 1/29

Realizace a zabezpečení telefonního centra s využitím technologie Voice Over Internet Protocol. Implementation of secure VOIP call center

Návod k obsluze. VoIP PBX ústředna. Soundwin WiPBX, ipbx

Měření propustnosti VoIP sítí

REALIZACE SIP/H.323 BRÁNY S POUŽITÍM ÚSTŘEDNY ASTERISK

Voice over IP Fundamentals

OpenVPN. Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko. Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března / 16

Domácí VoIP ústředna s připojením do GSM sítí

DNSSEC Validátor - doplněk prohlížečů proti podvržení domény

Bezpečnost vzdáleného přístupu. Jan Kubr

Schéma e-pošty. UA (User Agent) rozhraní pro uživatele MTA (Message Transfer Agent) zajišťuje dopravu dopisů. disk. odesilatel. fronta dopisů SMTP

Počítačové sítě Aplikační vrstva Domain Name System (DNS)

Komunikační řešení Avaya IP Office

Útoky na HTTPS. PV210 - Bezpečnostní analýza síťového provozu. Pavel Čeleda, Radek Krejčí

Signalizační systém SS7

}w!"#$%&'()+,-./012345<ya

Úvod - Podniková informační bezpečnost PS1-2

VoIP ústředna s protokolem SIP

VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ BRNO UNIVERSITY OF TECHNOLOGY

Evoluce RTBH v NIX.CZ. Petr Jiran NIX.CZ IT17 Praha

Y36SPS Jmenné služby DHCP a DNS

Jak nastavit PBX 2N OMEGA LITE SERIES pro SIP TRUNK FAYN a hybrdní vnitřní pobočky

Falšování DNS s RPZ i bez

Advanced IT infrastructure control: Do it better, safer, easier and cheaper. FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě

VoIP podvody. poznatky o podvodných hovorech do zahraničí a ochraně proti nim s využitím SIP firewallu a SIP antifraudu

Příručka pro potvrzování zůstatku vydavatelům karetních platebních prostředků

Možnosti IPv6 NAT. Lukáš Krupčík, Martin Hruška KRU0052, HRU0079. Konfigurace... 3 Statické NAT-PT Ověření zapojení... 7

TÉMATICKÝ OKRUH Počítače, sítě a operační systémy

CCNA I. 3. Connecting to the Network. CCNA I.: 3. Connecting to the network

Přehled služeb CMS. Centrální místo služeb (CMS)

Elektronická pošta. elementární služba, výchozí pro některé další jedna z prvních síťových služeb vůbec. základní principy popisují

POČÍTAČOVÉ SÍTĚ Metodický list č. 1

xphonet - tester telefonních sítí

(PROPOJOVACÍ BOD A TECHNICKÉ PARAMETRY) SMLOUVY O PROPOJENÍ VEŘEJNÝCH SÍTÍ ELEKTRONICKÝCH KOMUNIKACÍ. mezi společnostmi. NEW TELEKOM, spol. s r.o.

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Projektování distribuovaných systémů Lekce 2 Ing. Jiří ledvina, CSc

IPv6. RNDr. Ing. Vladimir Smotlacha, Ph.D.

Manuál pro nastavení telefonu Siemens C450 IP

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1

Síťová vrstva. RNDr. Ing. Vladimir Smotlacha, Ph.D.

TheGreenBow IPSec VPN klient

7. Aplikační vrstva. Aplikační vrstva. Počítačové sítě I. 1 (5) KST/IPS1. Studijní cíl. Představíme si funkci aplikační vrstvy a jednotlivé protokoly.

FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě. Pavel Minařík

2N VoiceBlue Next. 2N VoiceBlue Next & Siemens HiPath (series 3000) Propojení pomocí SIP trunku. Quick guide. Version 1.

Aplikační vrstva. Přístup k transportní vrstvě z vrstvy aplikační rozhraní služeb služby pro systémové aplikace, služby pro uživatelské aplikace HTTP

Jak se měří síťové toky? A k čemu to je? Martin Žádník

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE OBOR: INFORMAČNÍ TECHNOLOGIE

Funkční a technická specifikace

Transkript:

Modern Technology of Internet Jiří Navrátil, Josef Vojtěch, Jan Furman, Tomáš Košnar, Sven Ubik, Milan Šárek, Jan Růžička, Martin Pustka, Laban Mwansa, Rudolf Blažek Katedra počítačových systémů FIT České vysoké učení technické v Praze MI-MTI, ZS2010/11, Předn.13 VoIP a další aplikace Evropský sociální fond Praha & EU: Investujeme do vaší budoucnosti Jan Růžička FIT ČVUT VoIP a další aplikace MI-MTI,2010, Předn.13 1

IP telefonie Simulujeme telefonní síť pomocí mnohem složitějšího souboru zařízení vyvinutého ke komplexnímu přenosu dat přes IP síť. IP síť Přepínání paketů neudržuje spojení Best effort Přenos obsahu RTP Přenosová kapacita není vždy nejdůležitější Ztrátovost Zpoždění všech procesů Rozptyl zpoždění Signalizace Standardizovaná H.323, SIP Uzavřená Skype Unified Communication Jan Růžička FIT ČVUT VoIP a další aplikace MI-MTI,2010, Předn.13 2

Kodeky Vysílání Zdroj Kódování Paketizace Příjem Dejitter Dekódování Výstup Každá část přispívá k celkovému zpoždění Nemělo by přesáhnout 200ms Audio G.711 A/u law GSM G.722 Video H.261 H.263 H.264 H.264 SVC Jan Růžička FIT ČVUT VoIP a další aplikace MI-MTI,2010, Předn.13 3

RTP RFC 3550, původně v rámci ITU H.225.0 RTCP doprovodný řídící protokol Obaleno UDP (8 oktetů) a IP (20 oktetů IPv4) Hlavička (12 oktetů) obsahuje (hlavní údaje) payload type co přenáším sequence number pořadí timestamp časová známka prvního oktetu dat SSRC Synchronization source identifikace zdroje CCRC Contributing source původní zdroj (po průchodu mixerem má výstup jedno SSRC) RTCP-XR Extented Reporting SRTP SecureRTP šifrování Jan Růžička FIT ČVUT VoIP a další aplikace MI-MTI,2010, Předn.13 4

H.323 Sada protokolů definovaná ITU používající několik řídících kanálů ASN.1 PER Identifikátor E.164 číslo IP URI h323:user@domain Prvky Koncové zařízení Endpoint MCU brána Gatekeeper Jan Růžička FIT ČVUT VoIP a další aplikace MI-MTI,2010, Předn.13 5

H.225.0 Registration, Admission and Tři typy zpráv Požadavek xrq Odmítnutí xrj Potvrzení xcf Používá UDP Port 1719 (unicast) Port 1718 (multicast) Status (RAS) Jan Růžička FIT ČVUT VoIP a další aplikace MI-MTI,2010, Předn.13 6

RAS zprávy Gatekeeper request, reject, and confirm messages (GRx) Registration request, reject, and confirm messages (RRx) Unregister request, reject, and confirm messages (URx) Admission request, reject, and confirm messages (ARx) Bandwidth request, reject, and confirm message (BRx) Disengage request, reject, and confirm (DRx) Location request, reject, and confirm messages (LRx) Info request, ack, nack, and response (IRx) Nonstandard message Unknown message response Request in progress (RIP) Resource availability indication and confirm (RAx) Service control indication and response (SCx) Admission confirm sequence (ACS) Jan Růžička FIT ČVUT VoIP a další aplikace MI-MTI,2010, Předn.13 7

H.225.0 Call Signaling vychází z Q.931 Slouží k navázání hovoru Std port 1720 TCP Setup Call Proceeding Alerting Information Release Complete Facility Progress Status Setup Acknowledge Notify Connect Jan Růžička FIT ČVUT VoIP a další aplikace MI-MTI,2010, Předn.13 8

Příklad Q.931 a RAS 3. LCF 4. ACF GK 2. LRQ GK 7. ACF 1. ARQ 6. ARQ 5. Setup GW 8. Connect GW Jan Růžička FIT ČVUT VoIP a další aplikace MI-MTI,2010, Předn.13 9

H.245 řídící protokol pro multimedia Terminal capability exchange Master/Slave determinations Logical channel signaling Conference control Paralelní kanál k H.225.0 Volitelně jako zcela sepárátní spojení Jan Růžička FIT ČVUT VoIP a další aplikace MI-MTI,2010, Předn.13 10

H.323 doprovodné služby H.235 popisuje bezpečnost pro signalizaci i média H.239 popisuje druhý kanál obvykle použivaný ve videokonferencích H.450 různé doprovodné služby. H.460 rozšíření H.460.17, H.460.18, and H.460.19 pro podporu průchodu Network address translation (NAT) / Firewall (FW). Jan Růžička FIT ČVUT VoIP a další aplikace MI-MTI,2010, Předn.13 11

Typy směrovaní v H.323 Přímé spojení (DRC) Přes Gatekeeper (GRC) přímé H.245, H.225.0 (Q.931) přes GK včetně H.245 (GK Routed H.245) Proxy mód Jan Růžička FIT ČVUT VoIP a další aplikace MI-MTI,2010, Předn.13 12

SIP RFC3261, textový protokol podobný HTTP Protokol pro sestavení, řízení a ukončení spojení Nezávislost na přenášených mediích (hlas, video, text...) Adresace URI sip,sips,tel (sip:user@host:port;uriparameters) Vícenásobný kontakt, IM, Prezence, 3rd PCC Využití DNS SRV, NAPTR Už dávno ale není jednoduchý Jan Růžička FIT ČVUT VoIP a další aplikace MI-MTI,2010, Předn.13 13

Architektura UAC je logická část posílající požadavky přijímající odpovědi UAS je logická část agenta přijímající požadavky a odesílající odpovědi Jan Růžička FIT ČVUT VoIP a další aplikace MI-MTI,2010, Předn.13 14

Prvky architektury Registrar B2BUA Server Gateway redirect MCU proxy Outbound proxy stateless Statefull Transaction Dialog (Call) SBC SBE+DBE ALG Klient Jan Růžička FIT ČVUT VoIP a další aplikace MI-MTI,2010, Předn.13 15

Metody INVITE začíná a mění spojení BYE ukončuje spojení OPTIONS dotaz na schopnosti a ping ACK potvrzení konečné odpovědi na INVITE REGISTER - vazba mezi sip adresu a aktuální pozici CANCEL přerušuje nedokončený INVITE Jan Růžička FIT ČVUT VoIP a další aplikace MI-MTI,2010, Předn.13 16

Metody Jan Růžička FIT ČVUT VoIP a další aplikace MI-MTI,2010, Předn.13 17

Odpovědi 1xx: Dočasné potvrzení přijetí požadavku 100 Trying 180 Ringing 183 Session Progress 200-699 finální odpovědi 2xx: Úspěch požadavek byl akceptován 200 OK 3xx: Přesměrování 301 Moved Permanently 302 Moved Temporarily 305 Use Proxy Jan Růžička FIT ČVUT VoIP a další aplikace MI-MTI,2010, Předn.13 18

Odpovědi 4xx: Chyba u klienta Požadavek je špatný nebo nemůže být takto nebo na tomto serveru zpracován 401 Unauthorized 404 Not Found 407 Proxy Authentication Required 408 Request Timeout 481 Call/Transaction Does Not Exist 5xx: Chyba u serveru serveru se nezdařilo zpracovat požadavek i když je v pořádku 503 Service Unavailable 6xx: Globální chyba požadavek nemůže být zpracován nikde. 603 Decline Jan Růžička FIT ČVUT VoIP a další aplikace MI-MTI,2010, Předn.13 19

Transakce a dialog Transakce Jeden požadavek a všechny příslušné odpoědi Unikatní branch parametr Via (část za z9hg4bk) Dialog Identifikován sadou Call-ID, From tag, To tag CSeg pořadí požadavků (z každé strany nezávislý čitač) Jan Růžička FIT ČVUT VoIP a další aplikace MI-MTI,2010, Předn.13 20

Registrace Vytvoření vazby mezi konkrétní polohou (IP) klienta a je identifikátorem v SIP doméně (To) Poloha = Contact prázdný Contact v žádosti = zjištění stavu registrací V odpovědi může být i více záznamů v jedné hlavičce Expires v požadavku navrhovaná doba v odpovědi serverem potvrzená 0 je zrušení registrace Bob SIP Server REGISTER F1 ------------------------------> 401 Unauthorized F2 <------------------------------ REGISTER F3 ------------------------------> 200 OK F4 <------------------------------ Jan Růžička FIT ČVUT VoIP a další aplikace MI-MTI,2010, Předn.13 21

SIP/2.0 401 Unauthorized. Via: SIP/2.0/UDP a.b.c.d:49252;branch=z9hg4bk.6afb7404;rport=49253. From: sip:user@cesnet.cz;tag=6c2c90b8. To: sip:user@cesnet.cz;tag=c10ed4fff3e6fb17efd0bfbdcce87ce2.c76e. Call-ID: 1814859960@a.b.c.d. CSeq: 1 REGISTER. WWW-Authenticate: Digest realm="cesnet.cz", nonce="43eeaeb76e6eeaeffbc37d4f4018dc659c5d282a". Server: Sip EXpress router. Content-Length: 0. Registrace REGISTER sip:cesnet.cz SIP/2.0. Authorization: Digest username="user", uri="sip:cesnet.cz", algorithm=md5, realm="cesnet.cz", nonce="43eeaeb76e6eeaeffbc37d4f4018dc659c5d282a", response="9ebbc39e6a7aaa2901 Via: SIP/2.0/UDP a.b.c.d:49252;branch=z9hg4bk.32f02bf2;rport. From: sip:user@cesnet.cz;tag=6c2c90b8. To: sip:user@cesnet.cz. Call-ID: 1814859960@a.b.c.d. CSeq: 2 REGISTER. Content-Length: 0. Max-Forwards: 70. Expires: 15. Contact: sip:user@a.b.c.d:1234. Jan Růžička FIT ČVUT VoIP a další aplikace MI-MTI,2010, Předn.13 22

INVITE sip:mut@iptel.org SIP/2.0. Max-Forwards: 10. Record-Route: <sip:a.b.c.d;ftag=5daa94e7;lr=on>. Via: SIP/2.0/UDP a.b.c.d;branch=z9hg4bk0a5d.90580ee2.0. Via: SIP/2.0/UDP g.h.i.j:5062;branch=z9hg4bk2e1fd348. CSeq: 262 INVITE. To: <sip:mut@iptel.org>. Proxy-Authorization: Digest username="bbb", realm="ces.net", nonce="43788e90381ccbec64fced4dc7097828391e81", uri="sip:mut@iptel.org", cnonce="abcdefghi", nc=00000001, response="ed4adec8 Content-Type: application/sdp. From: "Franta Vomacka" <sip:bbb@ces.net>;tag=5daa94e7. Call-ID: 379332994@g.h.i.j. Subject: sip:bbb@ces.net. Content-Length: 234. User-Agent: kphone/4.2. Contact: "Franta Vomacka" <sip:bbb@g.h.i.j:5062;transport=udp>. Remote-Party-ID: "Franta Vomacka" <sip:101@ces.net>;party=calling;idtype=subscriber;privacy=off; screen=yes.. v=0. o=username 0 0 IN IP4 g.h.i.j. s=the Funky Flow. c=in IP4 g.h.i.j. t=0 0. m=audio 33728 RTP/AVP 0 97. a=rtpmap:0 PCMU/8000. a=rtpmap:97 ilbc/8000. Jan Růžička FIT ČVUT VoIP a další aplikace MI-MTI,2010, Předn.13 23 INVITE

Hovor http://www.tech-invite.com/ti-sip-ex3261.html Jan Růžička FIT ČVUT VoIP a další aplikace MI-MTI,2010, Předn.13 24

Směrování požadavků podle RURI a Route Směrování odpovědí podle Via Hovor http://www.tech-invite.com/ti-sip-ex3261.html Jan Růžička FIT ČVUT VoIP a další aplikace MI-MTI,2010, Předn.13 25

Record routing Jak zajistit aby prvek zůstal v cestě dalších požadavků Outbound proxy není dostatečná Do požadavků prvek přidá Record-Route: <sip:adresa;lr> V odpovědi dorazí Record Route sada Další požadavky jsou vybaveny a směrovány podle record route sady (Route hlavičky) Jan Růžička FIT ČVUT VoIP a další aplikace MI-MTI,2010, Předn.13 26

RR II Tech Invite http://www.tech-invite.com/ti-sip-dialog.html Jan Růžička FIT ČVUT VoIP a další aplikace MI-MTI,2010, Předn.13 27

Tech Invite http://www.tech-invite.com/ti-sip-dialog.html

RR III Tech Invite http://www.tech-invite.com/ti-sip-dialog.html

Tech Invite http://www.tech-invite.com/ti-sip-dialog.html

Události - Prezence Zápis k odběru oznámení o události např stavu jiného uživatele (prezence) Změna stavu vyvolá poslání NOTIFY např. Busy na Online SUBCRIBE započne dialog a NOTIFY jsou v jeho rámci Jan Růžička FIT ČVUT VoIP a další aplikace MI-MTI,2010, Předn.13 31

Autentizace a integrita WWW Digest User-to-user (401 Unauthorized, WWW- Authenticate,Authorization) User-to proxy (407 - Proxy authentication required, Proxy- Authenticate, Proxy-Authorization) S/MIME TLS Hop by Hop identity assertions Podmínka zabezpečený first hop - TLS Tokeny, SAML Podepsané hlavičky Jan Růžička FIT ČVUT VoIP a další aplikace MI-MTI,2010, Předn.13 32

NAT Klient za NATem vkládá privátní IP adresu do zpráv Via, Contact, SDP c-line,... Typy NAT full cone, restricted cone, port restricted cone, symmetric Řešení STUN TURN ICE Pomoc proxy serveru (nathelper, mediaproxy in ser and openser) SBC+DBE ALG Jan Růžička FIT ČVUT VoIP a další aplikace MI-MTI,2010, Předn.13 33

INVITE sip:mut@iptel.org SIP/2.0. Max-Forwards: 10. Record-Route: <sip:g.h.i.j;ftag=5daa94e7;lr=on>. Via: SIP/2.0/UDP g.h.i.j;branch=z9hg4bk0a5d.90580ee2.0. Via: SIP/2.0/UDP a.b.c.d:5062;branch=z9hg4bk2e1fd348. CSeq: 262 INVITE. To: <sip:mut@iptel.org>. From: "Franta Vomacka" <sip:bbb@ces.net>;tag=5daa94e7. Call-ID: 379332994@a.b.c.d. Subject: sip:bbb@ces.net. Content-Length: 234. User-Agent: kphone/4.2. Contact: "Franta Vomacka" <sip:bbb@a.b.c.d:5062;transport=udp>. Remote-Party-ID: "Franta Vomacka" <sip:101@ces.net>;party=calling;idtype=subscriber;privacy=off; screen=yes.. v=0. o=username 0 0 IN IP4 a.b.c.d. s=the Funky Flow. c=in IP4 a.b.c.d. t=0 0. m=audio 33728 RTP/AVP 0 97. a=rtpmap:0 PCMU/8000. a=rtpmap:97 ilbc/8000. INVITE pro NAT důležitá místa Jan Růžička FIT ČVUT VoIP a další aplikace MI-MTI,2010, Předn.13 34

SIP trapezoid Domain alfa sip01.alfa Domain beta sip01.beta User A sip:a@alfa User B sip:b@beta Enterprise vs. P2P Autentizace heslem a jiné metody vs. polohou Identita člověka vs. stroje Domácí část Mezidoménová část, i více než jeden krok Jan Růžička FIT ČVUT VoIP a další aplikace MI-MTI,2010, Předn.13 35 DATA SIP

Mezidoménová komunikace zjištění cílové adresy Číslo na Doménu Lokální pravidla přepisy ENUM DNS SIP peering servery OSP,... Doména na IP adresu DNS RFC3263 NAPTR SRV A,AAAA Příma komunikace versus hierarchie (GDS) Jan Růžička FIT ČVUT VoIP a další aplikace MI-MTI,2010, Předn.13 36

Co je ENUM Slouží k mapování různých adresových a jmenných prostorů mezi sebou Výchozím prostorem je prostor telefonních čísel Cílovým prostorem může být jakékoliv URI (Uniform Resource Indicator) Využití (v IP telefonii) Příchozí ostatní vám mohou volat a vy říkáte kam Odchozí - Voláte vy a nemusíte mít každého ve svém lokálním směrovacím seznamu (informaci spravuje držitel čísla) ENUM není telefonování zadarmo ENUM zlatý důl spammera!? Držitel čísla zveřejňuje jen to co chce aby bylo vidět Dobře prohledatelný strom (pevné kroky, NXDOMAIN) Jan Růžička FIT ČVUT VoIP a další aplikace MI-MTI,2010, Předn.13 37

Prostory ENUMu Veřejný Privátní Uživatelský e164.arpa nrenum Operátorský e164.info http://crawler.enum.at http://enumdata.org Jan Růžička FIT ČVUT VoIP a další aplikace MI-MTI,2010, Předn.13 38

Příklad V jmenném serveru pro 5.3.4.2.2.0.2.4.e164.arpa : ;; order pref flags service regexp replacement IN NAPTR 100 50 "u" "E2U+h323" "!^\\+420(.*)$!h323:\\1@cesnet.cz!". IN NAPTR 200 50 "u" "E2U+sip" "!^\\+420(.*)$!sip:\\1@cesnet.cz!". IN NAPTR 300 50 "u" "E2U+smtp" "!^(.*)$!mailto:info@cesnet.cz!. Dotazující SIP klient nebo server provede: +420224352942 -> 2.4.9.2.5.3.4.2.2.0.2.4.e164.arpa Obdrží oba výše uvedené záznamy a vybere si dle služby E2U+sip Aplikováním regulární ho výrazů získá SIP URI sip:224352942@cesnet.cz Pomocí SRV záznamů je přesměrován na SIP server ser.cesnet.cz RFC 3401-3405, RFC3761, RFC3762, RFC3764, host -t naptr 9.9.4.0.8.6.4.3.2.0.2.4.e164.arpa Jan Růžička FIT ČVUT VoIP a další aplikace MI-MTI,2010, Předn.13 39

Mezidoménová komunikace zjištění cílové adresy Číslo na Doménu Lokální pravidla přepisy ENUM DNS SIP peering servery OSP,... Doména na IP adresu DNS RFC3263 NAPTR SRV A,AAAA Příma komunikace versus hierarchie (GDS) Jan Růžička FIT ČVUT VoIP a další aplikace MI-MTI,2010, Předn.13 40

Nalezení SIP serveru Doménová část URI sip:janru@dom.cz RFC3263 Locating SIP servers servisní NAPTR záznamy ;; order pref flags service regexp replacement IN NAPTR 1 5 "s" "SIPS+D2T" "" _sips._tcp.dom.cz. IN NAPTR 2 5 "s" "SIP+D2T" "" _sip._tcp.dom.cz. IN NAPTR 3 5 "s" "SIP+D2U" "" _sip._udp.dom.cz. Jan Růžička FIT ČVUT VoIP a další aplikace MI-MTI,2010, Předn.13 41

NAPTR Výchozí URI sip nebo sips preference volajícího NAPTR vyjařuje nabídku a preference voláného TLS s nejvyšší prioritou = nejnižší hodnota Sip URI je možno povýšit na TLS Při selhání je možné využít dalších protokolů Nikoliv u sips Jan Růžička FIT ČVUT VoIP a další aplikace MI-MTI,2010, Předn.13 42

SRV záznamy RFC 2782 záznam pro služby - rozšířené MX _sip._udp, _sip._tcp, _sips._tcp, _sip._tls ;; priority weight port server _sip._tcp.dom.cz IN SRV 10 0 5060 ser1.dom.cz. _sip._udp.dom.cz IN SRV 10 0 5060 ser1.dom.cz. _sips._tcp.dom.cz IN SRV 10 0 5061 ser1.dom.cz. _sip._tls.dom.cz IN SRV 10 0 5061 ser1.dom.cz. ;M$ _h323ls._udp.dom.cz IN SRV 10 0 1719 gk1.dom.cz. _h323rs._tcp.dom.cz IN SRV 10 0 1720 gk1.dom.cz. Jan Růžička FIT ČVUT VoIP a další aplikace MI-MTI,2010, Předn.13 43

DNSSEC Nástup DNSSEC slepice nebo vejce Informaci je nutné dostat do aplikace Politika - Žádný nebo nevalidní DNSSEC záznam = žádná odpověď? Nedostatek knihoven v aplikacích Vložení DNSSEC resolveru do cesty (BIND, unbound) těsně před službu na tomtéž stroji Další možná využití Úložistě certifikátů Stav v ČR podepsané.cz i.0.2.4.e164.arpa Jan Růžička FIT ČVUT VoIP a další aplikace MI-MTI,2010, Předn.13 44

Útoky na infrastrukturu Automaticky poděděny útoky v rámci IP Útoky na podpůrné systémy - DNS Útoky na prvky infrastruktury (DoS, DDoS) sip servery, brány rychlé vyčerpání některých prostředků například ISDN linky do ústředny Jednoduchost provedení SIP už sice dávno není jednoduchý, ale stále je dost jednoduchý Ostrovy vs. mezidoménová komunikace Email také nefunguje jen uvnitř firmy Jan Růžička FIT ČVUT VoIP a další aplikace MI-MTI,2010, Předn.13 45

Útoky na signalizační úrovni Odposlech a skenování lokalizace komponent a číslovacího plánu DoS, DDoS využití implementačních chyb nebo jen záplava Odposlech medií E2E šifrování (SRTP, ZRTP, problematika výměna klíčů) Krádež identity (hesla) a zneužití účtu http://www.voipsa.org http://sipp.sourceforge.net/ http://www.tech-invite.com Jan Růžička FIT ČVUT VoIP a další aplikace MI-MTI,2010, Předn.13 46

Útoky na signalizační úrovni příklady Převzetí či ukončení registrace Pozměnění či ukončení hovoru Podvržení identity (Caller ID) Upravení SDP Jan Růžička FIT ČVUT VoIP a další aplikace MI-MTI,2010, Předn.13 47

Registrace REGISTER sip:cesnet.cz SIP/2.0. Authorization: Digest username="user", uri="sip:cesnet.cz", algorithm=md5, realm="cesnet.cz", nonce="43eeaeb76e6eeaeffbc7d4f4018aad59c5d282a", response="9e83aaae8abba62901 Via: SIP/2.0/UDP a.b.c.d:49252;branch=z9hg4bk.32f02bf2;rport. From: sip:user@cesnet.cz;tag=6c2c90b8. To: sip:user@cesnet.cz. Call-ID: 1814859960@192.168.64.172. CSeq: 2 REGISTER. Content-Length: 0. Max-Forwards: 70. Expires: 15. Contact: sip:user@a.b.c.d:1234. Jan Růžička FIT ČVUT VoIP a další aplikace MI-MTI,2010, Předn.13 48

ACK sip:199@a.b.c.d:5060 SIP/2.0. ACK BYE Via: SIP/2.0/UDP g.h.i.j:5060; branch=z9hg4bk-62fa494f. From: "user" <sip:user@cesnet.cz>;tag=d71ce015c904084do0. To:<sip:199@cesnet.cz>;tag=fcbce42a-a00c-4e6e-9208-8d4aafa39602-25051818. Call-ID: 21bf1b5-b267232d@g.h.i.j. CSeq: 102 ACK. Max-Forwards: 70. Route: <sip:k.l.m.n;ftag=d71ce015c904084do0;lr=on>. Contact: "user" <sip:user@g.h.i.j:5060>. User-Agent: Linksys/SPA942-6.1.5(a). Content-Length: 0. BYE sip:199@a.b.c.d:5060 SIP/2.0. Via: SIP/2.0/UDP g.h.i.j:5060; branch=z9hg4bk-1cfe22de. From: "user" <sip:user@cesnet.cz>; tag=d71ce015c904084do0. To:<sip:199@cesnet.cz>; tag=fcbce42a-a00c-4e6e-9208-8d4aafa39602-25051818. Call-ID: 21bf1b5-b267232d@g.h.i.j. CSeq: 103 BYE. Max-Forwards: 70. Route: <sip:k.l.m.n; ftag=d71ce015c904084do0;lr=on>. User-Agent: Linksys/SPA942-6.1.5(a). Content-Length: 0. Jan Růžička FIT ČVUT VoIP a další aplikace MI-MTI,2010, Předn.13 49

RTP manipulace v=0 o=- 0 2 IN IP4 192.168.192.32 s=counterpath Bria c=in IP4 192.168.192.32 t=0 0 m=audio 58940 RTP/AVP 0 8 3 101 a=sendrecv a=rtpmap:0 PCMU/8000 a=rtpmap:8 PCMA/8000 a=rtpmap:3 GSM/8000 a=rtpmap:101 telephone-event/8000 a=fmtp:101 0-15 v=0 o=- 0 2 IN IP4 10.113.113.1 s=counterpath Bria c=in IP4 10.113.113.1 t=0 0 m=audio 57890 RTP/AVP 0 8 3 101 a=sendrecv a=rtpmap:0 PCMU/8000 a=rtpmap:8 PCMA/8000 a=rtpmap:3 GSM/8000 a=rtpmap:101 telephone-event/8000 a=fmtp:101 0-15 Pozor na hodnotu Content-Length Jan Růžička FIT ČVUT VoIP a další aplikace MI-MTI,2010, Předn.13 50

SPIT Hovory, IM, Prezence Hovor = zvonění telefonu, které okamžitě vyruší Mail jen spadne do schránky ZATÍM není moc vidět Ostrůvky Cena je vyšší než u emailu, ale nižší než PSTN, některé typy ochrany lze překonat botnety. Důležité je nezaspat nesmíme se dostat do situace, jaká je u mailu, ale uzavřené ostrůvky nejsou řešení. IETF EG RUCUS Průzkum navrhovaných metod a standardizace těch efektivních RFC5039 SIP s SPAM Jan Růžička FIT ČVUT VoIP a další aplikace MI-MTI,2010, Předn.13 51

Metody obrany Podstata komunikace v reálném čase Odložení do fronty je problém Obrana vs. možné omezení dostupnosti služby Whitelisty, Blacklisty, Greylisty... Problém počátečního představení iniciátora Interakce s uživatelem CAPTCHA (IVR), výpočetní zátěž problém poměru výkonu zařízení mikroplatby Silná identita jako podmínka fungování předchozích bodů pro následnou komunikaci Centralizovaná architektura jako u PSTN Jan Růžička FIT ČVUT VoIP a další aplikace MI-MTI,2010, Předn.13 52

Metody obrany II Silná = důvěryhodná identita Domácí část - první krok nahrazení či zabalení HTTP Digest TLS perzistentní spojení - obálka, nutně nemusí být klientské certifikáty, chrání i odpovědi Mezidoménová identita obdoba DKIM TLS Hop By Hop omezené na 1 skok P-Asserted-Identity je nedostačující SIP Identity (RFC4474) a SIP SAML Princip vložení doménového podpisu Jan Růžička FIT ČVUT VoIP a další aplikace MI-MTI,2010, Předn.13 53

SIP identity Persistentní SIP hlavičky podepsány hraničním SIP elementem Ověřitelná identita přes více skoků bez nutnosti důvěry mezi skoky Pro vložení je třeba Definova sadu hlaviček (RFC) rozšiřitelnost? Politiky kdo může podposi vložit Zabezpečený první skok - TLS. Nejen cílová proxy může ověřit identitu Problémy Jen pro odpovědi Čísla (nemají jednoznačnou vazbu na doménu) Jan Růžička FIT ČVUT VoIP a další aplikace MI-MTI,2010, Předn.13 54

SRTP Rozšíření RTP Důvěrnost Autenticita Jan Růžička FIT ČVUT VoIP a další aplikace MI-MTI,2010, Předn.13 55

Distribuce master klíče Přímo v SDP SDES RFC4568 a=crypto:1 AES_CM_128_HMAC_SHA1_32 inline:wbtbosdvuzqeb6htqhn+m3z7wuh4rjvr8ne1 5GbN Slabě nebo vůbec nechráněno TLS? Jen Hop by hop MIKEY RFC3830 ZRTP E2E bezpečnost Jednoduše a efektivně (málo pásma, kódu, zátěže, kroků komunikace Initiator I a Responder R Message ) Možnost tunelování (vnoření do sestavení spojení, SDP) Nezávislost na transportním protokolu nižší vrstvy Jan Růžička FIT ČVUT VoIP a další aplikace MI-MTI,2010, Předn.13 56

ZRTP DH Krátký autentizační kód SAS Hash přes utajované hodnoty a krátký kód Hodnota použita jen jednou a část uložena pro forward secrecy Ochrana pro MitM Postup Detekce podpory ZRTP Výměna symetrických klíčů Přepnutí do SRTP Jan Růžička FIT ČVUT VoIP a další aplikace MI-MTI,2010, Předn.13 57

logy Troubleshooting ngrep -W byline port 5060 tethereal -s 1600 -w teth.eth port 5060 Ethereal Statistics VoIP calls http://wiki.freeswitch.org/wiki/packet_capture Jan Růžička FIT ČVUT VoIP a další aplikace MI-MTI,2010, Předn.13 58

Příklad aplikací Sip-router.org (Kamailio) Freeswitch.org Asterisk.org pjsip.org Sipp http://sipp.sourceforge.net/ Jan Růžička FIT ČVUT VoIP a další aplikace MI-MTI,2010, Předn.13 59

Otázky

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář