Seminarium. Wojciech Mazurczyk

Podobne dokumenty
Krajowe Sympozjum Telekomunikacji i Teleinformatyki KSTiT Autorzy: Tomasz Piotrowski Szczepan Wójcik Mikołaj Wiśniewski Wojciech Mazurczyk

Aspekty bezpieczeństwa sieci P2P na przykładzie Skype

Bezpieczeństwo VoIP SIP & Asterisk. Autor: Leszek Tomaszewski ltomasze@elka.pw.edu.pl

Wykład 4: Protokoły TCP/UDP i usługi sieciowe. A. Kisiel,Protokoły TCP/UDP i usługi sieciowe

MODEL WARSTWOWY PROTOKOŁY TCP/IP

TELEFONIA INTERNETOWA

ZiMSK. Konsola, TELNET, SSH 1

Serwer SSH. Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami

Ćwiczenie 7 Sieć bezprzewodowa z wykorzystaniem rutera.

Sieci VPN SSL czy IPSec?

Uwaga!!! Założono, że router jest poprawnie podłączony i skonfigurowany do obsługi dostępu do Internetu.

Marek Parfieniuk, Tomasz Łukaszuk, Tomasz Grześ. Symulator zawodnej sieci IP do badania aplikacji multimedialnych i peer-to-peer

Bezpieczny system telefonii VoIP opartej na protokole SIP

Internet. Podstawowe usługi internetowe. Wojciech Sobieski

Hosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (

Programowanie Sieciowe 1

ASEM UBIQUITY PRZEGLĄD FUNKCJONALNOŚCI

korporacyjnych i resortowych na bazie protokołu u IP M. Miszewski,, DGT Sp. z o.o.

Działanie komputera i sieci komputerowej.

Zdalne logowanie do serwerów

Bezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN)

Połączenie VPN LAN-LAN IPSec (tryb agresywny)

Plan Prezentacji Wprowadzenie Telefonia IP a bezpieczeństwo istotne usługi ochrony informacji i komunikacji w sieci Klasyczna architektura bezpieczeńs

Telefonia Internetowa VoIP

Uzyskanie nazwy i hasła konta SIP

DESlock+ szybki start

Protokół IPsec. Patryk Czarnik

Protokoły zdalnego logowania Telnet i SSH

BeamYourScreen Bezpieczeństwo

Instrukcja konfiguracji i uruchamiania połączenia VPN z systemami SAP

System Kancelaris. Zdalny dostęp do danych

Rok szkolny 2015/16 Sylwester Gieszczyk. Wymagania edukacyjne w technikum

SMB protokół udostępniania plików i drukarek

USŁUGI DODATKOWE W SIECIACH BEZPRZEWODOWYCH VoIP oraz multimedia w sieciach WiFi problemy

MASKI SIECIOWE W IPv4

Opracowanie protokołu komunikacyjnego na potrzeby wymiany informacji w organizacji

Sieci komputerowe. Wstęp

Projekt i implementacja filtra dzeń Pocket PC

Dr Michał Tanaś(

Bramka VoIP (Voice over IP gateway) Implementacja VoIP w routerach DrayTek

WHEEL LYNX SSL/TLS DECRYPTOR. najszybszy deszyfrator ruchu SSL/TLS

Plan wykładu. 1. Sieć komputerowa 2. Rodzaje sieci 3. Topologie sieci 4. Karta sieciowa 5. Protokoły używane w sieciach LAN 6.

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny

12. Wirtualne sieci prywatne (VPN)

LABORATORIUM WIRTUALNE W DYDAKTYCE I BADANIACH NAUKOWYCH

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

1. Wprowadzenie Środowisko multimedialnych sieci IP Schemat H

Protokół SSH. Patryk Czarnik

Sieciowa instalacja Sekafi 3 SQL

Połączenie VPN Host-LAN L2TP over IPSec z wykorzystaniem Windows Vista/7

Grzegorz Gliński. 1. Opis wykonanego ćwiczenia

BEFSR11 / 41. Routing statyczny Routing dynamiczny (RIP-1 / RIP-2)

Linksys/Cisco RT31P2, WRT54GP2. Instrukcja Konfiguracji

Wojciech Dworakowski. Zabezpieczanie aplikacji. Firewalle aplikacyjne - internetowych

WYMAGANIA TECHNOLOGICZNE W ODNIESIENIU DO SYSTEMÓW TELEKOMUNIKACYJNYCH I TELEINFORMATYCZNYCH W OBSZARZE SIŁ ZBROJNYCH

(12) TŁUMACZENIE PATENTU EUROPEJSKIEGO (19) PL (11) PL/EP (96) Data i numer zgłoszenia patentu europejskiego:

BEZPIECZEOSTWO SYSTEMU OPERO

Konfiguracja telefonu Yealink T20P

Bezprzewodowy router szerokopasmowy + 4-portowy przełącznik + serwer druku firmy Sweex

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci

Rozdział 6 - Z kim się kontaktować Spis treści. Wszelkie prawa zastrzeżone WiedzaTech sp. z o.o Kopiowanie bez zezwolenia zabronione.

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

VoIP - integracja i skalowalność. Piotr Misiowiec, Dyrektor Centrum Szkoleniowego CLICO Sp. z o.o., CCSI

Windows Server 2008 Standard Str. 1 Ćwiczenia. Opr. JK. I. Instalowanie serwera FTP w Windows Server 2008 (zrzuty ekranowe z maszyny wirtualnej)

System operacyjny UNIX Internet. mgr Michał Popławski, WFAiIS

Projektowanie bezpieczeństwa sieci i serwerów

Konfiguracja własnego routera LAN/WLAN

Protokół DHCP. DHCP Dynamic Host Configuration Protocol

NIEZAWODNE ROZWIĄZANIA SYSTEMÓW AUTOMATYKI

ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ

Or.V Wykonawcy zainteresowani uczestnictwem w postępowaniu

4. Podstawowa konfiguracja

Przekierowanie portów w routerze - podstawy

Jak bezpieczne są Twoje dane w Internecie?

Połączenie VPN LAN-LAN IPSec (stały IP > stały IP)

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat protokołu http.

Usługi sieciowe systemu Linux

Metody zabezpieczania transmisji w sieci Ethernet

Usługi w sieciach informatycznych. Mariusz Stenchlik mariuszs@onet.eu

Przegląd protokołów komunikacyjnych automatyki przemysłowej w aspekcie bezpieczeństwa sieci OT. Suchy Las, maj 2017

iptables -F -t nat iptables -X -t nat iptables -F -t filter iptables -X -t filter echo "1" > /proc/sys/net/ipv4/ip_forward

Połączenie VPN LAN-LAN IPSec (zmienny IP > zmienny IP)

Zapory sieciowe i techniki filtrowania.

Wykład 4. komputerowych Protokoły SSL i TLS główne slajdy. 26 października Igor T. Podolak Instytut Informatyki Uniwersytet Jagielloński

Instrukcja dla instalatora systemu SMDP Enterprise/Professional

Wymagania i zalecenia dla usługi głosowej w Sieci FreePhone. MASH.PL Wymagania i zalecenia dla usługi głosowej w Sieci FreePhone Strona 1

Podręcznik szybkiej instalacji ACTi NVR. wersja 3.0

BRINET Sp. z o. o.

VPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA

Stos protokołów TCP/IP (ang. Transmission Control Protocol/Internet Protocol)

Oprogramowanie OpenVPN jest oprogramowaniem darmowym, które można pobrać ze strony:

Podstawy Secure Sockets Layer

Ilość sztuka 1 PBX/IP Opis minimalnych wymagań 1 W zakresie sprzętowym 1.1 Porty: - Min 1 port WAN - RJ-45 (10/100Base-TX, automatyczne wykrywanie)

Rok akademicki: 2012/2013 Kod: ITE s Punkty ECTS: 4. Poziom studiów: Studia I stopnia Forma i tryb studiów: -

Którą normę stosuje się dla okablowania strukturalnego w sieciach komputerowych?

Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa

SSH - Secure Shell Omówienie protokołu na przykładzie OpenSSH

Wydział Informatyki, Elektroniki i Telekomunikacji Katedra Telekomunikacji

Zastosowania PKI dla wirtualnych sieci prywatnych

Transkrypt:

Seminarium Wojciech Mazurczyk http://mazurczyk.com

Podział standardów telefonii IP VoIP (Voice over Internet Protocol rotocol) = usługa przesyłania głosu w czasie rzeczywistym z wykorzystaniem sieci IP (LAN, MAN, WAN) Podział ze względu na trzy aspekty: Wykorzystywane protokoły sygnalizacyjne (generyczne: H.323, SIP, rozwiązania producenckie np. Skype) Model architektury systemu (klient-serwer, P2P, hybrydy) Zasięg wykorzystywanej sieci (sieć Internet, sieci korporacyjne) 2

SKYPE zagrożenie dla VoIP? 3 Cechy i zalety: - ponad 50 milionów użytkowników (ok. 4 miliony aktywnych jednocześnie) - kupiony przez Ebay za 2.6 miliony dolarów - darmowy (!) i wykorzystuje technikę P2P - do szyfrowania strumienia danych użyto 256 bitowy AES - teoretycznie bardzo skalowalny - brak problemów z Firewallami i NAT (doświadczenia z Kaazy) - dobór kodeka do warunków w sieci i dostępnego łącza - łatwa obsługa i konfiguracja - rozproszona architektura i baza danych

Architektura SKYPE 4 Podstawowa różnica: zamiast modelu klient-serwer (zcentralizowane serwery), model P2P (sieć nakładkowa)

SKYPE charakterystyka (1/3) 5 Podstawowe etapy działania: 1) Inicjalizacja - Nawiązywanie relacji sąsiedztwa z właściwym SN (1 lub większą ilością): W pliku exe zaszyte na stałe tzw. bootstrap SN (adresy IP) Podczas uczestniczenia w sieci P2P aplikacja zbiera informacje o dostępnych SN tzw. host cache (nie więcej niż 200 par adres-port) plik: shared.xml Na podstawie komunikacji z SN węzeł sprawdza, czy jest za NAT i firewallem oraz determinuje ich rodzaj (wykorzystanie mechanizmów pochodnych STUN i TURN). 2) Logowanie - jedyny element centralny sieci: Login Server przechowuje pary hasło-użytkownik i dokonuje uwierzytelnienia użytkowników oraz przesyła listę kontaktów (użytkownik posiada jej lokalną kopię w pliku config.xml). 3) Wyszukiwanie użytkownik ytkowników - bazuje na własnym rozwiązaniu nazwanym Global Index, (podobna zasada działania jak Chord). Jest to rozproszone wyszukiwanie i gwarantuje odnalezienie użytkownika, jeśli logował się on do sieci w ciągu ostatnich 72 godzin

SKYPE charakterystyka (2/3) 6 4) Nawiązywanie połą łączenia - w zależności od sytuacji korzysta bądź nie z pomocy SN przy transmisji zza NAT i firewalli. W najgorszym przypadku (oboje użytkownicy za NAT i firewall) strumień głosu jest przesyłany z wykorzystaniem protokołu TCP - średnia długość rozmowy w Skype wynosi ok. 13 minut, przy ok. 3 minutach w telefonii tradycyjnej, 5) Transfer strumieni mediów - odbywa się z lub bez pomocą SN Wykorzystanie protokołów UDP lub TCP Transfer strumieni w obie strony może odbywać się inną drogą! Wykorzystanie kodeków firmy Global IP Sound Wielkość pakietu waha się w granicach 40-120 bajtów, szybkość wymiany to ok. 33 pakiety/sek, a zajętość pasma to 3-16 KB/s, 6) Podtrzymywanie relacji z właściwym Super Węzłem (bądź kilkoma) co określony interwał czasu relacja z SN jest odnawiana, w przypadku braku komunikacji we wskazanym okresie czasu użytkownik uznawany jest za niedostępnego

SKYPE charakterystyka (3/3) 7 Super Węzły (Super Nodes) Fenomen Skype: brak infrastruktury + P2P = sieć telekomunikacyjna SN może zostać potencjalnie każdy węzeł spełniający określone warunki (mocne CPU, publiczny adres IP,...) Jakość działania sieci zależy od SN ów co by się stało gdyby znaczna część posiadaczy SN odinstalowała Skype? Ponad 250 tys. SN, około 30-40% SN jest aktywnych jednocześnie Znaczna część SN to serwery uczelni rozrzuconych po świecie Zmienność aktywności SN (fluktuacja) wynosi ok. 25% (zwykłe węzły 30-40%) Obciążenie SN przez podległe mu ON to ok. 400b/s, maksymalnie ok. 60kb/s w czasie pośredniczenia w transferze strumieni głosu

Bezpieczeństwo SKYPE - fakty 8 Tajemnica, istotnym elementem architektury bezpieczeństwa Skype Brak informacji o sposobie implementacji mechanizmów zabezpieczeń + własne rozwiązania Generowanie i wymiana klucza sesyjnego: RSA, SHA, MD5 Szyfrowanie głosu: 256-bitowym algorytmem AES (Rijndael) - klucz wymieniany między węzłami Skype przy pomocy algorytmu RSA Następnie szyfrowanie wszystkich pakietów (wiadomości sygnalizacyjnych i ponownie pakietów z głosem) z RC4 Cel: nadanie losowości zawartości pakietu, co pozwala na ukrycie prawdziwej treści pakietu przed firewallami i IDS/IPS Brak informacji o protokole sygnalizacyjnym i jego zabezpieczeniach!

Bezpieczeństwo SKYPE (1/3) 9 Wady i problemy: - brak informacji o protokole sygnalizacyjnym i jego bezpieczeństwie - liczne zabezpieczenia przed reverse engineering em (zaciemnianie, szyfrowanie kodu, liczne sprawdzenia integralności) - szyfrowanie RC4 (zły sposób generowania klucza) wykorzystywane do szyfrowania wszystkich pakietów zabezpieczenie przed IDS/IPS/Firewall - zbytnia zaradność Skype - korzysta ze dynamicznie zmienianych portów UDP, a jeśli nie wystarcza łączy się na porcie 80/TCP (lub 443), który zazwyczaj jest odblokowany. Skype nasłuchuje również komunikacji z zewnątrz umożliwiając w ten sposób obejście niewygodnych mu urządzeń - Będąc już wewnątrz sieci, jeśli zostanie on wypuszczony przez serwer proxy, Skype próbuje pozyskać hasło do tego serwera z ustawień przeglądarki Internet Explorer

Bezpieczeństwo SKYPE (2/3) 10 Wyobraźmy sobie robaka, który: - jest podczepiony pod Skype, - wykorzystuje funkcjonalność Skype do swoich celów (pokonywanie NAT/Firewall/IPS/IDS) - czy można wyobrazić sobie lepsze środowisko? W marcu 2006 francuscy badacze zademonstrowali sposób w jaki węzeł Skype można zmienić w zdalny skaner sieciowy Problem Supernodów - anonimowa pomoc innym użytkownikom w połączeniu Brak możliwości kontroli przepływającego ruchu Brak możliwości decydowania o byciu SN Pokusa użycia SN do celów komercyjnych Celowe wykorzystanie SN do utrudniania nawiązywania połączeń

Bezpieczeństwo SKYPE (3/3) 11 Praktyczne braki bezpieczeństwa - trzymanie listy kontaktów w postaci nieszyfrowanej na dysku lokalnym maszyny, na którym został zainstalowany Skype: Lista kontaktów <dysk>\documents and Settings\ <użytkownik> \Application Data\Skype\<użytkownik Skype>\config.xml) Lista super węzłów (<dysk>\documents and Settings\ <użytkownik> \Application Data\Skype\shared.xml) Przejęcie takich informacji brak prywatności użytkownika oraz dodatkowo odsłania strukturę sieci (np. można przeprowadzić atak DoS (Denial of Service) na SN (maksymalnie 200 maszyn), Skype w zastosowaniu korporacyjnym: Brak możliwości pogodzenia Skype z polityką bezpieczeństwa firmy Niektóre firmy i intytucje (np. CERN, University of Cambridge) zabroniły użytkownikom instalacji Skype na zasobach firmowych

Podsumowanie 12 Obecnie trwają prace standaryzacją sieci telefonii IP opartej na modelu sieci P2P oraz hybryd (np. P2P-SIP) Niewątpliwy sukces komercyjny Skype, jako sukces operatora telekomunikacyjnego bez infrastruktury Liczne zastrzeżenia bezpieczeństwa w stosunku do Skype Brak zabezpieczeń dla sygnalizacji! Zbyt duża zaradność w stosunku do firewalli i NAT co by się stało, gdyby pod Skype podczepić robaka/wirusa? CERN oraz University of Cambridge już zabroniły instalacji Skype w swoich sieciach

Seminarium Wojciech Mazurczyk http://mazurczyk.com

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres