A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

CPU – based DoS Attacks Against SIP Servers

PublicouBreno Vaz Alterado mais de 10 anos atrás

Apresentações semelhantes

Apresentação em tema: "CPU – based DoS Attacks Against SIP Servers"— Transcrição da apresentação:

1 CPU – based DoS Attacks Against SIP Servers
Renan Fischer e Silva Universidade Federal do Paraná 1 1

2 Roteiro Introdução SIP Ataques Avaliação e Resultados Experimentais
Trabalhos futuros Conclusão 2

3 Introdução PSTN (Public Switched Telephone Network – Rede de Telefonia Pública Comutada): Antigamente, toda analógica Hoje, quase toda digital Vantagens: Segurança 3

4 Introdução Funcionamento básico da infra-estrutura PSTN: 4

5 Introdução VoIP: Voz sobre IP Aos poucos, substituindo a plataforma PSTN como plataforma de telefonia pública e privada Vantagens: Custo efetivo Funcionalidade Controle e administração Trabalha de forma a satisfazer as necessidades do usuário 5

6 Introdução VoIP Servidores VoIP Por quê? Usa sinalização SIP
Precisam prover segurança em um nível muito alto Por quê? Usuários da plataforma PSTN possuem expectativas Usuários esperam e exigem tal nível de segurança 6

7 SIP Protocolo de sinalização da camada de aplicação para ser usado em serviços VoIP Criado pelo IETF Cria, modifica e termina uma sessão de multimídia com um ou mais participantes (conferência) Roda sobre UDP e IP – Vulnerável a vários tipos de ataques como: Chamadas hijacking (ataque onde uma sessão ativa é interceptada e utilizada pelo atacante) Personificação de entidades SIP Servidor SIP Interpreta pacotes que entram na rede e cria sessões entre “chamadores” e “chamados” (análogo ao modelo cliente- servidor) 7

8 SIP - Conceitos User Agent: Inicia e recebe chamadas pelo usuário
Registrar: Servidor que mantém os registros do local dos usuários registrados. Proxy: Servidor que recebe, processa e encaminha pedidos de conexões, de forma que o pedido de um User Agent chegue a uma conferência desejada. 8

9 SIP - Mensagens A sinalização suporta mensagens de clientes para Registrars ou proxies: 9

10 SIP - Operações Cada User Agent é associado com um domínio específico da forma Host especifica o domínio do usuário Com o domínio é possível achar a posição do usuário desejado 10

11 SIP - Autenticação De forma a evitar ataques hijacking, a autenticação é essencial Processo de 3 passos: Começa com uma requisição de registro de um usuário O servidor cria uma mensagem de “desafio”, indicando que o usuário não está autorizado e prove uma string de identificação (nonce) e um identificador para o domínio da autenticação (realm) Se a resposta for válida, o usuário é registrado com sucesso 11

12 SIP - Autenticação 12

13 SIP - Autenticação Exemplo de requisição enviada no terceiro passo 13

14 SIP - Autenticação 14

15 Ataques No mecanismo de autenticação padrão, servidores confiam e processam todas os pacotes de mensagem SIP por padrão Tipos Ataques: Mal-formados: Exploram falhas do SW Inundação de pacotes básica: randômico Inundação de pacotes avançada baseado em customização e personificação Tipos de servidores: Orientados a estado (Memória e CPU) Não-orientados a estado (CPU) 15

16 Ataques Metodologia do ataque:
Rtotal representa o total de recursos do host consumido em um ataque DoS RPacket representa a média de recursos consumidos por cada pacote de ataque N representa o número total de pacotes de ataque 16

17 Ataques Basic Flood Static-Nonce-Based Flood
Adaptive-Nonce-Based Flood Adaptive-Nonce-Based Flood with IP Spoofing 17

18 Ataques - Basic Flood Pacotes são enviados continuamente
Força bruta Pacotes não são especialmente projetados Dados do header são repetidos e gerados de maneira randômica Essência: Quantidade e não Qualidade 18

19 Ataques – Static-Nonce-Based Flood
Cada requisição contém um header de autorização que inclui um nonce personificado. A interceptação pode ser feita via meio compartilhado: ethernet ou wireless. O nonce também pode ser obtido sondando o servidor constantemente. Múltiplas requisições SIP com headers válidos são enviados ao servidor. Os pacotes apenas podem ser filtrados no 4º estágio do processo de autenticação SIP. Alia qualidade e quantidade. 19

20 Ataques – Adaptive-Nonce-Based Flood
Contornado o problema do nonce expirar. Aumenta a quantidade de recurso de tempo de CPU que pode ser consumido por cada pacote. Realiza todo o processo de autenticação. 20

21 Ataques – Adaptive-Nonce-Based Flood
21

22 Ataques – Adaptive-Nonce-Based Flood with IP Spoofing
Servidores podem armazenar o número de requisições SIP de cada endereço IP. Forma efetiva de se evitar DoS. Atacantes personificam diferentes endereços IPs de origem afim de reduzir o número de requisições SIP para cada endereço IP (evitando o controle e superando o mecanismo de proteção). 22

23 Avaliação e Resultados Experimentais
Métricas Uso de CPU. Taxa de banda consumida. Banda requerida para causar um DoS. Atraso em um User Agent. Frequência com que um nonce válido é obtido de um servidor. 23

24 Avaliação e Resultados Experimentais
24

25 Avaliação e Resultados Experimentais
25

26 Avaliação e Resultados Experimentais
26

27 Avaliação e Resultados Experimentais
27

28 Trabalhos Futuros Autenticação leve Configuração e Parâmetros
Se o processo é pesado, existe vulnerabilidade mesmo que se possa diferenciar pacotes de ataque de pacotes legítimos. Boa abordagem seria usar histórico. Configuração e Parâmetros Tempo de expiração do nonce, limiar para número de requisições IP, etc... Novas estratégias para geração do nonce Atrelar o nonce ao endereço IP. Diminui o ataque de CPU mas prejudica usuários VoIP atrás de proxies. 28

29 Conclusões Ameaças contra infra-estrutura SIP.
Implementado e testado 4 tipos de ataques. Proposto algumas modificações na implementação SIP para melhorar a robusteza contra ataques DoS. Autenticação forte não ajuda defendendo contra ataques DoS. 29

Carregar ppt "CPU – based DoS Attacks Against SIP Servers"

Apresentações semelhantes

Suporte para Serviços de Multimídia e Gerência de Sessões

Suporte para Serviços de Multimídia e Gerência de Sessões
Sistemas Paralelos e Distribuídos

Sistemas Paralelos e Distribuídos
Universidade Federal do Paraná Mapeamento baseados em sites para servidores de proxies paralelos com poucas conexões TCP Aluno: Rafael Augusto Palma Disciplina:

Universidade Federal do Paraná Mapeamento baseados em sites para servidores de proxies paralelos com poucas conexões TCP Aluno: Rafael Augusto Palma Disciplina:
Binding Amarração de endereços de Protocolos

Binding Amarração de endereços de Protocolos
Sistemas Cliente/Servidor Introdução

Sistemas Cliente/Servidor Introdução
Mestrado Profissional em Computação Uece-IFCE Disciplina: Protocolos

Mestrado Profissional em Computação Uece-IFCE Disciplina: Protocolos
Segurança em Redes - Código Seguro

Segurança em Redes - Código Seguro
TRABALHO 1 - DADOS IV Internet Emergency Preparedness Grupo: Luciana Briggs Ricardo Sanchez.

TRABALHO 1 - DADOS IV Internet Emergency Preparedness Grupo: Luciana Briggs Ricardo Sanchez.
MAPEAMENTO DE NÚMERO DE TELEFONE ( ENUM )

MAPEAMENTO DE NÚMERO DE TELEFONE ( ENUM )
SIP Working Group Comunicação de Dados IV Marina Swan Pâmella Almeida.

SIP Working Group Comunicação de Dados IV Marina Swan Pâmella Almeida.
Criptografia e segurança de redes Chapter 14

Criptografia e segurança de redes Chapter 14
Simple Network Management Protocol (SNMP)

Simple Network Management Protocol (SNMP)
Prof. Marcelo Diniz Fonte:

Prof. Marcelo Diniz Fonte:
ESTRUTURA DE COMUNICAÇÃO DE DADOS

ESTRUTURA DE COMUNICAÇÃO DE DADOS
Gerência de Redes Áreas Funcionais de Gerenciamento

Gerência de Redes Áreas Funcionais de Gerenciamento
Mobilidade Cláudia Ribeiro.

Mobilidade Cláudia Ribeiro.
Firewall.

Firewall.
Obtenção de IP TCP UDP.

Obtenção de IP TCP UDP.
Introdução às Redes Privadas Virtuais - VPN

Introdução às Redes Privadas Virtuais - VPN
Modelo de Segurança para Ambientes Cooperativos

Modelo de Segurança para Ambientes Cooperativos

Apresentações semelhantes

Anúncios Google