asterisk un sistema pen - opensipa · cosa è il voip? • voip è trasporto della voce su rete ip,...

ASTERISK, UN SISTEMA OPEN

14 ottobre 2014

Ing. Stefano Lucetti

NetResults s.r.l.

Chi sono

• Stefano Lucetti

• PostDoc alla Facoltà di Ingegneria dell’Università di Pisa, nel gruppo Reti di Telecomunicazioni fino al 2007

• Socio fondatore di NetResults s.r.l., azienda Spin-off dell’Università di Pisa, la cui attività principale è la «Produzione di apparati, progettazione e sviluppo di software e soluzioni per la NGN: VoIP, MoIP e IoT»

• 06-2011: DCAP (Digium Certified Asterisk Professional)

14 ottobre 2014 Stefano Lucetti

Di cosa parliamo…

• Telefonia (e non solo) - su IP – In ambiente aziendale

• L’importanza dell’apertura (ma del codice, o dei protocolli?)

• Gli strumenti

• I pericoli e le contromisure

• Alcuni casi d’uso


Dove eravamo (siamo?) - 1

• I sistemi telefonici tradizionali si basano su – Una (o più) Centrale telefonica – I terminali

• Dove è il problema?

– La centrale si interfaccia al mondo esterno (rete telefonica dell’operatore) con protocolli standard (typ. PRA, o BRA) non problema

– La comunicazione inter-centrale di solito utilizza protocolli proprietari, non è possibile (o non offre gli stessi servizi) utilizzare sistemi di diversi vendor

– Ed i terminali?


Dove eravamo (siamo?) - 2

• I terminali «base» sono prevalentemente anch’essi standard: – BCA (automatico a batteria centrale): il classico telefono

analogico, intercambiabile senza grossi problemi – Funzioni ridotte al minimo..

• E per avere funzioni addizionali (es. Posto Operatore o Telefoni «dirigenziali»)? – Terminali proprietari, protocolli di comunicazione (digitali

su doppino, o talvolta su IP) con la centrale chiusi – Impossibilità di utilizzare terminali di terze parti

LOCK IN tecnologico – Cambiare centrale significa sostituire tutto il parco

telefoni


È arrivato il VoIP… Risolve?

• Dipende…

• Gran parte delle centrali tradizionali hanno avuto un «upgrade» per gestire il VoIP – Non cambia granché… – «Dialetti» o «lingue» VoIP diverse rendono comunque

molto difficile estendere il sistema – Generalmente, il licensing delle derivazioni VoIP (ed il

costo dei terminali) è comparabile a quello dei terminali proprietari tradizionali

– Le funzioni disponibili ricalcano quelle dei terminali tradizionali.. Ma il VoIP non è solo Voce su IP…


Cosa è il VoIP?

• VoIP è trasporto della Voce su rete IP, ma è anche e soprattutto «Integrazione»

• Integrazione dei servizi: – (voce, video, testo) su un unico sistema di comunicazione

• Integrazione delle applicazioni: – UC, CTI

• Integrazione dei sistemi: – Protocolli standard aperti che garantiscono interoperabilità,

espandibilità, senza pericoli di LOCK-IN da parte di un vendor

• Il VoIP è spesso pensato (o almeno lo era) come un modo per

risparmiare sul costo delle chiamate, mentre la sua vera forza è che trasforma la telefonia dall’essere un sistema dedicato ad essere uno dei (tanti) servizi della rete (con tutti i pro e i contro che questo implica)


Il VoIP «standard»

• Il VoIP non è uno standard.. Ma esistono (vari) standard VoIP (oltre a VoIP proprietari..)

• Oggi lo standard VoIP di riferimento è il Session Initiation Protocol (SIP)

• Commercialmente, quando si parla di VoIP in ambiente aziendale si parla (a meno di poche eccezioni) di dispositivi conformi allo standard SIP – SIP si occupa della segnalazione (setup, controllo e

gestione ) di una chiamata – RTP si occupa della trasmissione dei flussi media (audio,

video, image, …)


Tanti attori, una unica lingua..


Un caso di successo: l’infrastruttura VoIP RTRT • RTRT: Rete Telematica Regione Toscana

• VoIP RTRT: infrastruttura regionale di servizi di comunicazione integrata, al servizio di tutti gli Enti aderenti alla RTRT

• Infrastruttura APERTA: utilizzo di protocolli standard (SIP/RTP/ENUM/LDAP) – Implementazione con prodotto commerciale, realizzato con software open

source (OpenSips, BIND, OpenLDAP, RTPProxy, PostgreSQL), su server virtuali ridondati con sistema operativo Linux (Linux HA)

• Permette la comunicazione «on-net» tra utenti degli Enti afferenti, la disponibilità di un directory centralizzato popolato in modo automatico con le rubriche telefoniche di tutti gli Enti


VoIP-RTRT: fatti e i numeri

• Processo di "compliance VoIP-RTRT": la coppia «società installatrice»/«prodotto» viene verificata da un soggetto terzo per garantire la conformità tecnica della soluzione

• Sono presenti soluzioni commerciali basate su prodotti proprietari o derivate da Asterisk; il fattore comune è l’utilizzo di protocolli standard! – Circa 40 soluzioni certificate, con almeno 15 PBX diversi

• I numeri (http://gestione.voip.rtrt.it/rtrt_charts.php):

– Circa 160 Enti collegati – Un totale di oltre 14000 utenti connessi on-net – Nel 2014:

• oltre 230K chiamate on-net • un totale di quasi 12000 ore di traffico


http://gestione.voip.rtrt.it/rtrt_charts.php

http://gestione.voip.rtrt.it/rtrt_charts.php

Asterisk: «The» open-source… PBX?


Cosa è Asterisk

• Da asterisk.org: – Asterisk is a free and open source framework for

building communications applications and is sponsored by Digium.

• Asterisk è un ambiente di lavoro, che mette a disposizione molti strumenti che permettono di costruire (in modo più o meno semplice) «applicazioni di comunicazione»


Cosa non è Asterisk

• Asterisk non è un PBX…

• Le funzioni di Asterisk permettono di realizzare un PBX, di cui Asterisk è «solo» il motore..

• Utilizzando Asterisk come motore, è possibile costruire numerose applicazioni telefoniche di comunicazione: – Sistema di segretaria telefonica (msg. vocale) – Risponditori automatici (IVR) con integrazione con database e

strumenti di sintesi/riconoscimento vocale – Sistema di distribuzione delle chiamate in code di attesa – Sistema di conferenza multi-parti – …


Un po’ di storia..

• Il progetto di Asterisk è iniziato nel 1999, come soluzione ad un problema del suo creatore, Mark Spencer: disporre di un sistema telefonico a basso budget per la propria azienda di supporto tecnico..

• Nel 2001 il nome dell’azienda fu cambiato in Digium, con la commercializzazione delle prime interfacce telefoniche PCI commercializzate.

• Da allora, lo sviluppo è stato continuo (in ambito comunità, ma sempre sotto il controllo Digium, per quanto viene integrato nel trunk ufficiale)


La forza di Asterisk

• Asterisk è stato per molti versi una vera rivoluzione nel mondo della telefonia, guidandola in numerose transizioni – Sistemi proprietari codici aperti – Commutazione di circuito VoIP (ma non solo) – Solo fonia fonia, video, dati – DSP (HW dedicato) HMP (Host Media Processing:

software su HW GP)

• Allo stesso tempo, grazie al supporto delle interfacce

telefoniche tradizionali, permette l’integrazione in tutti i sistemi esistenti


Asterisk: architettura del sw

• A livello software, Asterisk è composto da un «core» e da un insieme di «moduli», componenti aggiuntivi che implementano particolari funzionalità.

• Ad esempio, gli stack SIP e RTP sono due moduli: – chan_sip.so – res_rtp_asterisk.so

• Altri moduli permettono di: – interpretare i vari formati audio (es. g.729, gsm, ilbc,

ecc.) o video (es. h.261, h.263, h.264) – Implementare specifiche funzioni (registrazione della

chiamata, gestione code di attesa, ecc.) – Gestire le schede telefoniche supportate


Ottenere Asterisk - 1

• Pacchettizzato praticamente in ogni distribuzione – Install (yum, aptitude, ecc.) – Configure (vim /etc/asterisk/blahblah.conf) – Run (asterisk -cvvv)

• Esistono anche distribuzioni dedicate (es. FreePBX, AsteriskNow,

Elastix) che includono, oltre ad Asterisk, un ambiente grafico di configurazione, ed un insieme di strumenti per ottenere un sistema di comunicazione completo e (perlopiù) open – http://www.freepbx.org/commercial-modules – http://addons.elastix.org/

• Permettono di avere un sistema pronto all’uso, ma (paradossalmente) non è semplice entrare nella logica di funzionamento, né applicare modifiche alle logiche di gestione delle chiamate


http://www.freepbx.org/commercial-modules





• In caso si vogliano provare funzioni di una release più recente, o includere patch (proprie o di terzi) allora occorre passare dalla compilazione del codice sorgente

• http://asterisk.org/downloads/asterisk/all-asterisk-versions

Release Series Support Type Release Frequency Current version

Asterisk 13 (in beta) LTS 6 - 8 Weeks 13.0.0-beta2

Asterisk 12 Standard 6 - 8 Weeks 12.6

Certified Asterisk 11 LTS 2 - 4 times per year 11.6-cert6

Asterisk 11 LTS 6 - 8 Weeks 11.13.0

Certified Asterisk 1.8 LTS 2 - 4 times per year 1.8.28-cert1

Asterisk 1.8 LTS 6 - 8 Weeks 1.8.31.0



• Al termine del «canonico»: #./configure

# make menuselect (configurazione delle funzioni)

# make

# make install

# make samples (default configuration file)

avremo Asterisk pronto per essere (configurato e ) lanciato..

• /usr/sbin/asterisk

• /usr/lib/asterisk/modules/<chan,codec,format,res>_....so

• /var/lib/asterisk/<sounds,agi_bin,…>

• /var/log/asterisk/

• /var/spool/asterisk/


Asterisk – i canali

• In Asterisk, la gestione delle chiamate avviene attraverso i «canali»: – canali di comunicazione tra una sorgente esterna (telefono,

VoIP provider, gateway …) ed Asterisk

• Ciascuna tipologia di canale si riferisce ad un particolare protocollo di comunicazione: – SIP : chan_sip.so – IAX2: chan_iax2.so – MGCP, SCCP, DAHDI, GTALK, H323, ALSA, ..

• Ogni canale ha uno o più file specifici di configurazione – /etc/asterisk/sip.conf – /etc/asterisk/iax.conf – …


Asterisk – i canali

• Ogni chiamata ricevuta o effettuata da Asterisk è associata ad un canale

• Una chiamata tra due entità (due telefoni, un telefono ed un gateway) attraverso Asterisk coinvolge in realtà due chiamate (e quindi canali) distinte: – Una chiamata dal primo terminale ad Asterisk

– Una chiamata da Asterisk all’altro terminale


Il canale SIP

• Esempio base: definiamo 3 interni

;; sip.conf [user](!) type=friend host=dynamic context=from_local_exten [stefanol](user) secret=mysecret1 [federicor](user) secret=mysecret2 [fabiom](user) secret=mysecret3

• Gli interni sono host di tipo dinamico (Asterisk non ne conosce a priori l’indirizzo IP).

• È necessario che i terminali SIP si registrino (procedura di notifica della location, autenticata con le credenziali indicate – HTTP Digest authentication)

• L’identità dell’interno è garantita dalla conoscenza del secret Ci torneremo

• Si introduce il concetto di «contesto» (context)


Asterisk – il dialplan

• Il dialplan è l’insieme delle istruzioni che regolano il percorso (ed il comportamento) di una chiamata all’interno di Asterisk

• Nella sua forma più semplice, è costituito dal file extensions.conf

• Il dialplan è composto da un insieme di contesti (a cui è assegnato un nome univoco), contenenti sequenze ordinate di comandi (Applicazioni) associate a specifiche estensioni (exten)

• La funzione dei contesti è quella di mantenere separate le diverse modalità di funzionamento del dialplan


Realizziamo il primo dialplan

• Facciamo in modo che i tre interni definiti in precedenza possano chiamarsi tra di loro, digitando le selezioni 201, 202 e 203:

;; extensions.conf [from_local_exten] exten => 201,1,Dial(SIP/stefanol) exten => 202,1,Dial(SIP/federicor) exten => 203,1,Dial(SIP/fabiom)

• Il contesto ha 3 estensioni, che alla priorità 1 eseguono tutte l’applicazione Dial, verso il terminale corrispondente


Un po’ più scalabile… ;; sip.conf [user](!) type=friend host=dynamic context=from_local_exten [phone201](user) secret=mysecret1 [phone202](user) secret=mysecret2 [phone203](user) secret=mysecret3


Un po’ più scalabile…

;; extensions.conf [from_local_exten] exten => _20X,1,Dial(SIP/phone${EXTEN}) exten => _20X,2,GotoIf($[‘’${DIALSTATUS}’’=‘’NOANSWER’’]?noanswer) exten => _20X,3,GotoIf($[‘’${DIALSTATUS}’’=‘’BUSY’’]?busy,1) exten => _20X,4,Hangup() ; exten => _20X,5(noanswer),Answer() exten => _20X,6,Playback(nessuno-disponibile) exten => _20X,7,Hangup() ; exten => busy,1,Answer() exten => busy,2,Playback(occupato) exten => busy,3,Hangup()


Arricchire il nostro PBX

• Abbiamo 3 interni che si chiamano tra di loro.. Un po’ poco..

• Potremmo voler aggiungere: – I servizi telefonici di base (trasferimento di chiamata,

parcheggio, inoltro, gestione del campo lampade, la risposta per assente, ecc..)

– Linee di comunicazione esterna (permessistica, classi di abilitazione, lucchetto elettronico, ecc.)

– Qualche servizio «avanzato» (casella vocale, IVR, distribuzione della chiamata a gruppi di interni e/o a code di attesa)

– tutto quello che ci viene in mente…


Applicazioni

• Le applicazioni permettono di eseguire azioni sulla chiamata in corso (ricevuta) e scatenarne nuove verso le destinazioni richieste

• Integrando le funzioni proprie del canale in uso con le applicazioni del dialplan, è possibile costruire la propria applicazione telefonica o sistema di comunicazione


E adesso?

• Asterisk è configurato e operativo, tutti i servizi sono accessibili.. Posso andare in produzione?

• A livello di amministrazione, avrei bisogno di:

– Un sistema (grafico?) di gestione (configurazione) e controllo del sistema

– Come configuro centinaia di terminali? Sistema di provisioning: generazione (automatizzata) file di configurazione dei telefoni TFTP/HTTP[S] server

– Monitoraggio del sistema (interni, linee, ecc.)


E gli utenti?

• La nuova piattaforma di comunicazione potrebbe erogare nuovi servizi: – Click-to-call (dalle anagrafiche esistenti)

– Instant messaging

– Presence (agganciata allo stato di occupato del telefono)

– Estensione fisso-mobile

– Ecc..

– Il tutto magari integrato in un applicativo residente o in una web app…


Integrazione

• Anche in questo caso, Asterisk ci dà gli strumenti, non il prodotto…

• Ci sono interfacce aperte che permettono di: – Inviare comandi dispositivi – Inviare comandi di consultazione (e riceverne risposta) – Ricevere notifiche al verificarsi dei vari eventi associati al

trattaemtno di una chiamata

• Interfaccia AMI (Asterisk Manager) – Storica, presente da sempre – Continua ad essere presente, è affiancata da altri

meccanismi di interazione (ARI, WebSocket, …)


Esempio: click2call # telnet 127.0.0.1 5038 Trying 127.0.0.1... Connected to 127.0.0.1. Escape character is '^]'. Asterisk Call Manager/1.1 Action: login Username: amiuser Secret: amipwd Action: Originate Channel: SIP/201 Context: from_local_exten Exten: 202 Priority: 1 Timeout: 10 Action: logoff #

;; manager.conf [general] enabled = yes bindaddr = 127.0.0.1 … [amiuser] secret = amipwd read = call write = originate,call


Esempio: click2call

• Sembra semplice… ma:

• La Originate «blocca» il socket dell’AMI, fino alla risposta del Channel o allo scadere del Timeout [tested 1.8]

• Richieste successive NON vengono eseguite, finché non si libera il socket..

• Occorre inoltre aggiungere la logica per gestire il caso in cui la chiamata al Channel fallisca (es. interno non registrato)…


I pericoli del VoIP (e come cautelarsi!)


Le principali minacce al VoIP

• Sicurezza & Qualità • Il VoIP ha trasformato la telefonia da un sistema

dedicato (che usa risorse dedicate) ad uno dei (tanti) servizi della rete dati

• Alla stregua di tutti gli altri servizi, è soggetto ad attacchi, e subisce l’influenza dell’attività di rete degli altri servizi

• Per ottenere un sistema «che funziona» è necessario avere padronanza: – dei protocolli (SIP/RTP) – dello strumento (Asterisk) – dell’ambiente in cui opera (la rete)


Attacchi al VoIP

• Parliamo di SIP, con trasporto UDP o TCP – La diffusione del trasporto del SIP su TLS è (al

momento) irrisoria, la complessità di gestione di una PKI è tale per cui pochi implementano questa soluzione

• Obiettivi degli attacchi: – DoS (marginale, spesso un side effect)

– Furto di traffico (obiettivo #1 di ogni tentativo di attacco)


Sicurezza del SIP

• Tutta la sicurezza del protocollo SIP è demandata alla conoscenza delle credenziali di autenticazione

• Sia le REGISTER che gli INVITE sono autenticati utilizzando la «HTTP Digest authentication»

• Le credenziali sono riscontrate senza che la password «transiti» in rete, ma mediante la cifratura (da parte del client) di un challenge inviato dal server


SIP digest authentication

• 401: Il PBX richiede l’autenticazione del chiamante, inviando questo challenge

– WWW-Authenticate: Digest algorithm=MD5, realm="asterisk", nonce="35a6ab6c"

• Il telefono invia di nuovo l’INVITE, inserendo la risposta: – Authorization: Digest username="104", realm="asterisk", nonce="35a6ab6c",

algorithm=MD5, uri="sip:[email protected]:5060", response="c64eba36099fc6e66d0cedccf2bab722"

• response = MD5 (HA1:nonce:nonceCount:clientNonce:qop:HA2) – HA1 = MD5 (username:realm:password)

– HA2 = MD5 (method:digest uri)


Asterisk e l’autenticazione

• Di default(*) Asterisk accetta chiamate da peers che si autenticano, indipendentemente dallo stato di registrazione

• Questo è sfruttato in molti attacchi!


I Dialer

• Quando il trasporto dei dati era un servizio costruito sopra la rete telefonica (modem in banda fonica) esistevano i Dialer – Software malevolo che modificava il numero della connessione dial-

up verso direttrici a pagamento

• Adesso che la situazione è invertita (la telefonia è un servizio trasportato dalla rete dati) i dialer non sono scomparsi, si sono solo aggiornati.. – Sw (VoIP) che cerca di impersonare una utenza legittima per

effettuare chiamate verso direttrici a tariffazione aggiunta – Maggiore facilità di exploit (non serve l’accesso fisico sulla macchina..

Basta che sia raggiungibile la porta SIP) – Maggiore impatto (l’attacco è parallelizzabile! sono possibili

chiamate multiple) – Sorgente dell’attacco esterna (bot in Internet) ma anche interna (PC

infetti con virus/trojan/ecc.)


Anatomia dell’attacco

• Scansione delle porte per rilevare un host con il servizio SIP esposto (Typ. 5060/UDP)

• Ripetuti tentativi di effettuare chiamate, autenticandosi con un set di credenziali predefinite (brute force attack)

• Side effect: visto che ad ogni richiesta di INVITE il PBX risponde con (si spera) un 401 Unauthorized, in caso di attacco dall’esterno e connettività asimmetrica, si può arrivare alla saturazione della banda di upload..


Come difendersi…

• Nel … (99?) % dei casi il successo dell’attacco è una combinazione di credenziali banale: – Es. interno 100 password 100, oppure tutti gli interni

con password 1234..

• Utilizzare secret SIP complessi (come le password di qualsiasi servizio Internet) mette al riparo dalla quasi totalità di questi attacchi..

• Possiamo fare di più? Rimane sempre il problema del DoS indotto da questi tentativi..


Sicurezza SIP: Best practices

• Contromisure disponibili a vari livelli: – Rete – Applicativa

• A livello di rete, le best practices sono quelle dettate dal «buon senso».. – Non esporre la porta SIP all’esterno in modo statico (DNAT),

senza una ACL sugli IP sorgenti.. • Asterisk dispone di strumenti per il NAT traversal e per mantenere

aperto il pinhole del NAT in modo da poter ricevere chiamate da provider VoIP anche senza una mappatura statica della porta..

• Ci possono essere eccezioni.

– Anche all’interno, segregare il VoIP su una VLAN dedicata (fa bene anche alla qualità.. ) e impostare le necessarie regole di firewalling tra le VLAN • Es. se alcune postazioni PC devono usare un softphone


Asterisk SIP configuration: Best practices

• Disabilitare le chiamate anonime! – direttiva allowguest=no nel sip.conf

• Non utilizzare il contesto predefinito di ingresso delle chiamate ([default]), oppure ridefinirlo ad un valore inesistente: – direttiva context=invalid nella sezione [general] del sip.conf

;; sip.conf

[general]

...

context=invalid

allowguest=no

alwaysauthreject=yes

...


Asterisk SIP configuration: Best practices (cont.)

• direttiva alwaysauthreject=yes

• Di default Asterisk risponde in modo diverso alle richieste (INVITE/REGISTER) che provengono da una identità che non esiste tra i propri peer, permettendo ad un attacker di capire quali identità esistono nel PBX.

• Impostare alwaysauthreject a yes fa sì che (anche se l’identità utilizzata dall’attacker non esiste) Asterisk chieda comunque a questo di autenticarsi.



• Non permettere l’autenticazione a qualsiasi IP ma implementare delle ACL:

• Asterisk mette a disposizione le direttive permit e deny, con le quali realizzare una ACL (globale e per peer)

;; sip.conf

[general]

...

deny=0.0.0.0/0.0.0.0

permit=192.168.23.0/255.255.255.0

permit=192.168.24.0/255.255.255.0

...

[user](!)

...

deny=0.0.0.0/0.0.0.0

permit=192.168.26.0/255.255.255.0

[phone201](user)

…

deny=0.0.0.0/0.0.0.0

permit=192.168.32.145/255.255.255.255



• Controllo IP sorgente rispetto a quello di registrazione

• Classi di abilitazione

• Lucchetto elettronico


ALCUNI CASI D’USO


Asterisk come un Application Server

• Asterisk può essere usato integrandolo in un sistema telefonico esistente (legacy), per introdurre servizi addizionali che la vecchia centrale non è in grado di erogare

• Esempi: – IVR

– Voicemail

– Remotizzazione su IP di alcune sedi/interni

– Soft migration dal sistema legacy ad un full-VoIP basato su Asterisk


Scenari di integrazione


CONCLUDENDO..


• Vorrei : – aver fatto venire la voglia di provare Asterisk

– aver fatto capire però che dietro/dentro un sistema telefonico c’è molto di più di Asterisk

• È importante l’apertura del codice, ma altrettanto importante è l’apertura tecnologica: – Protocolli standard e aperti

– Garanzia di interoperabilità e assenza di lock-in

– Se uso interfacce standard posso «liberarmi» delle componenti che non mi soddisfano, sostituendole con altre ma senza dover cambiare l’intero sistema (nel bilancio di una rete VoIP «standard», la quota parte principale la fanno i terminali telefonici)


asterisk un sistema pen - opensipa · cosa è il voip? • voip è trasporto della voce su rete ip,...

Documents