A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

CPU – based DoS Attacks Against SIP Servers Renan Fischer e Silva Universidade Federal do Paraná

Apresentações semelhantes


Apresentação em tema: "CPU – based DoS Attacks Against SIP Servers Renan Fischer e Silva Universidade Federal do Paraná"— Transcrição da apresentação:

1 CPU – based DoS Attacks Against SIP Servers Renan Fischer e Silva Universidade Federal do Paraná

2 Roteiro Introdução SIP Ataques Avaliação e Resultados Experimentais Trabalhos futuros Conclusão

3 Introdução PSTN (Public Switched Telephone Network – Rede de Telefonia Pública Comutada): Antigamente, toda analógica Hoje, quase toda digital Vantagens: Segurança

4 Introdução Funcionamento básico da infra-estrutura PSTN:

5 Introdução VoIP: Voz sobre IP Aos poucos, substituindo a plataforma PSTN como plataforma de telefonia pública e privada Vantagens: Custo efetivo Funcionalidade Controle e administração Trabalha de forma a satisfazer as necessidades do usuário

6 Introdução VoIP Usa sinalização SIP Servidores VoIP Precisam prover segurança em um nível muito alto Por quê? Usuários da plataforma PSTN possuem expectativas Usuários esperam e exigem tal nível de segurança

7 SIP Protocolo de sinalização da camada de aplicação para ser usado em serviços VoIP Criado pelo IETF Cria, modifica e termina uma sessão de multimídia com um ou mais participantes (conferência) Roda sobre UDP e IP – Vulnerável a vários tipos de ataques como: Chamadas hijacking (ataque onde uma sessão ativa é interceptada e utilizada pelo atacante) Personificação de entidades SIP Servidor SIP Interpreta pacotes que entram na rede e cria sessões entre chamadores e chamados (análogo ao modelo cliente- servidor)

8 SIP - Conceitos User Agent: Inicia e recebe chamadas pelo usuário Registrar: Servidor que mantém os registros do local dos usuários registrados. Proxy: Servidor que recebe, processa e encaminha pedidos de conexões, de forma que o pedido de um User Agent chegue a uma conferência desejada.

9 SIP - Mensagens A sinalização suporta mensagens de clientes para Registrars ou proxies:

10 SIP - Operações Cada User Agent é associado com um domínio específico da forma Host especifica o domínio do usuário Com o domínio é possível achar a posição do usuário desejado

11 SIP - Autenticação De forma a evitar ataques hijacking, a autenticação é essencial Processo de 3 passos: Começa com uma requisição de registro de um usuário O servidor cria uma mensagem de desafio, indicando que o usuário não está autorizado e prove uma string de identificação (nonce) e um identificador para o domínio da autenticação (realm) Se a resposta for válida, o usuário é registrado com sucesso

12 SIP - Autenticação

13 Exemplo de requisição enviada no terceiro passo

14 SIP - Autenticação

15 Ataques No mecanismo de autenticação padrão, servidores confiam e processam todas os pacotes de mensagem SIP por padrão Tipos Ataques: Mal-formados: Exploram falhas do SW Inundação de pacotes básica: randômico Inundação de pacotes avançada baseado em customização e personificação Tipos de servidores: Orientados a estado (Memória e CPU) Não-orientados a estado (CPU)

16 Ataques Metodologia do ataque: Rtotal representa o total de recursos do host consumido em um ataque DoS RPacket representa a média de recursos consumidos por cada pacote de ataque N representa o número total de pacotes de ataque

17 Ataques Basic Flood Static-Nonce-Based Flood Adaptive-Nonce-Based Flood Adaptive-Nonce-Based Flood with IP Spoofing

18 Ataques - Basic Flood Pacotes são enviados continuamente Força bruta Pacotes não são especialmente projetados Dados do header são repetidos e gerados de maneira randômica Essência: Quantidade e não Qualidade

19 Ataques – Static-Nonce-Based Flood Cada requisição contém um header de autorização que inclui um nonce personificado. A interceptação pode ser feita via meio compartilhado: ethernet ou wireless. O nonce também pode ser obtido sondando o servidor constantemente. Múltiplas requisições SIP com headers válidos são enviados ao servidor. Os pacotes apenas podem ser filtrados no 4º estágio do processo de autenticação SIP. Alia qualidade e quantidade.

20 Ataques – Adaptive-Nonce-Based Flood Contornado o problema do nonce expirar. Aumenta a quantidade de recurso de tempo de CPU que pode ser consumido por cada pacote. Realiza todo o processo de autenticação.

21 Ataques – Adaptive-Nonce-Based Flood

22 Ataques – Adaptive-Nonce-Based Flood with IP Spoofing Servidores podem armazenar o número de requisições SIP de cada endereço IP. Forma efetiva de se evitar DoS. Atacantes personificam diferentes endereços IPs de origem afim de reduzir o número de requisições SIP para cada endereço IP (evitando o controle e superando o mecanismo de proteção).

23 Avaliação e Resultados Experimentais Métricas Uso de CPU. Taxa de banda consumida. Banda requerida para causar um DoS. Atraso em um User Agent. Frequência com que um nonce válido é obtido de um servidor.

24 Avaliação e Resultados Experimentais

25

26

27

28 Trabalhos Futuros Autenticação leve Se o processo é pesado, existe vulnerabilidade mesmo que se possa diferenciar pacotes de ataque de pacotes legítimos. Boa abordagem seria usar histórico. Configuração e Parâmetros Tempo de expiração do nonce, limiar para número de requisições IP, etc... Novas estratégias para geração do nonce Atrelar o nonce ao endereço IP. Diminui o ataque de CPU mas prejudica usuários VoIP atrás de proxies.

29 Conclusões Ameaças contra infra-estrutura SIP. Implementado e testado 4 tipos de ataques. Proposto algumas modificações na implementação SIP para melhorar a robusteza contra ataques DoS. Autenticação forte não ajuda defendendo contra ataques DoS.


Carregar ppt "CPU – based DoS Attacks Against SIP Servers Renan Fischer e Silva Universidade Federal do Paraná"

Apresentações semelhantes


Anúncios Google