Introduzione alle tecnologie VoIP · Sicurezza • Il VoIP è una tecnologia relativamente giovane...
Transcript of Introduzione alle tecnologie VoIP · Sicurezza • Il VoIP è una tecnologia relativamente giovane...
Introduzione alle tecnologieVoIP
Franco Callegati e Aldo Campi
D.E.I.S. Università di BolognaII Facoltà di Ingegneria (Cesena)
http://deisnet.deis.unibo.it
2
Integrazione voce/dati su rete IP: oggi
• Dell’infrastrutturaMaggiore economia di scalaUnitarietà di gestioneVulnerabilità
• Dei serviziL’utente “vede” un accesso alla rete unificato– Servizi diversi = diversi requisiti– La rete deve disporre di meccanismi per
• Distribuire le risorse in conformità alle necessità del servizio• Gestione le richieste dei vari servizi senza farle interferire
Questi problemi sono complessi e sulla rete Internetsono ancora parzialmente irrisolti
3
Integrazione su rete IP: domani
• IP Multimedia Subsystem:– Integrazione fra reti IP e reti wireless– Sistema di segnalazione unificato– Roaming dei servizi da rete a rete– Gestione della qualità del servizio in funzione del tipo
di accesso• Parte integrante di UMTS• Alcune sperimentazioni già avviate
4
Next Generation Network standards
• 3GPP ha sviluppato un sistema completo per le retimobili (IMS)– Architettura SIP completa– Sviluppata sulle specifiche delle estensioni dei protocolli IETF– 3GPP non indica come estendere l’architettura IMS
• Le reti fisse NGN sono il risultato del lavoro di differentigruppi di ricerca– ETSI, ITU-T hanno costruito l’architettura di base, IETF ha fornito
i protocolli– ATIS ha collaborato con ETSI TISPAN per l’architettura IMS su
rete fissa– MSF ha definito l’implementazione fisica vs. logica– DSL Forum ha considerato gli aspetti di economici e di mercato
5
IMS - IP Multimedia Subsystem
• IMS provvede a creare la convergenza tra servizi e reti• Ha lo scopo di permettere di usare qualsiasi servizio su
qualsiasi dispositivo in ogni rete• Disegnata per permettere veloci sviluppi dei servizi• Providers di servizi di telefonia mobile:
– IMS è stata creata per “qualsiasi necessità” di servizi futuri– I servizi sono convergenti : utenza residenziale e di affari
• Providers di servizi di telefonia fissa :– Tempi lunghi per rimpiazzare la tecnologia PSTN– Deve innovare e rigenerare I servizi di telefonia fissa
• Aggiungere valore ai servizi esistenti• Raggiungere nuovi mercati attraverso la convergenza (fisso/mobile)• Ridurre Opex
6
TISPAN
• Nata nel 2003 da SPAN e TIPHON• TISPAN permette di utilizzare Next Generation
Networks• Costruita sulla tecnologia 3GPP IMS• È una rete multi-service, multi-protocol, multi-
access, IP based– sicurezza, riusabilità
• Permette ai Service Providers di offrire:– Servizi di comunicazione real-time e non real-time– Permette sia la configurazione P2P che Client-Server
• Mobilità
7
3GPP/TISPAN
• Requisiti molto stringenti nel border control:– Sicurezza– Autenticazione– Policing
• WiFi , WiMAX hanno bisogno dello stesso tipo dicontrollo
8
Architetture convergenti
• 3GPP ha definito IP Multimedia Subsystem (IMS)– http://www.3gpp.org/
• ETSI TISPAN sta definendo l’accesso alla reteIMS per la telefonia fissa– http://www.etsi.org/
9
Applicazione del VoIP
• IP trunking– Tecnologia IP (commutazione di pacchetto) su collegamenti della
rete di trasporto– Non ha impatto sulla rete di accesso e sull’utente
• I terminali sono quelli tradizionali– Può avere impatto sulla tariffazione
• Telefonia IP– Tecnologia IP per la fornitura del servizio di telefonia– Ha impatto sulla rete di accesso e sulla rete di trasporto
• Terminali di utente IP• Segnalazione IP• Gestione su rete IP
10
Implicazioni del VoiP
• Reti pubbliche– Rete di accesso - utente finale
• Si usa il collegamento dati (tipicamente ADSL) per avere accesso aservizi di telefonia (Skype, …)
– Operatore• IP trunking sulla rete di trasporto degli operatori
• Reti private– Integrazione del trasporto delle informazioni fra sedi: IP trunkong– Integrazione dell’accesso ai servizi di comunicazione del
personale• Una presa non due sulla scrivania
– Sostituzione dei centralini tradizionali con centralini “software”– Integrazione dei servizi vocali con servizi dati
• Messaggistica istantanea• Servizi di presenza• …
11
Tecnologie VoIP
• Tecnologie VoIP più attuali– Standard IETF basato su protocollo SIP
• Strutturata gerarchica a domini• Ogni organizzazione controlla il proprio dominio telefonico• I domini telefonici comunicano tramite rete IP
– Skype basato su protocollo proprietario• Tecnologia P2P• Tutti gli utenti appartengono alla stesse rete• Non gerarchico, poco adatto per essere integrato in una
struttura aziendale
12
Requisiti di una rete VoIP
• Servizi di base– Gestione di una o più linee telefoniche e interni (telefoni)– Gestione di servizi più o meno evoluti (risponditore di cortesia, Call Center,
caselle vocali, etc.)• Qualità, Stabilità, Affidabilità
– Paragonabili alle linee telefoniche tradizionali• Sicurezza
– Confidenzialità: il contenuto della comunicazione deve essere accessibile soloagli interessati.
– Disponibilità: il servizio deve essere sempre accessibile e disponibile agli utentiautenticati.
– Autenticazione: autenticazione per terminali, server e messaggi.– Integrità: le comunicazioni devono essere autenticate e verificabili e non devono
essere corrotte o modificate.– Non ripudio: dell’origine e della destinazione, per chiamate voce e messaggi.– Qualità del servizio QoS: garantire il rispetto del livello del servizio.– SPAM telefonico
Il telefono è un servizio primario
13
Sicurezza
• Il VoIP è una tecnologia relativamente giovane e complessa che,almeno fino a poco tempo fa, veniva sviluppata senza prestaretroppa attenzione alla sicurezza.– “SIP is not an easy protocol to secure” RFC 3261.
• La telefonia su IP è intrinsecamente meno sicura della telefoniatradizionale– Collegamento alla rete dati (bug, virus,worm, trojan, ecc.)– Riduzione della sicurezza degli apparati di rete (NAT,Firewall)– Un guasto o un attacco riuscito alla rete dati può bloccare anche il
servizio voce e viceversa– Attacchi interni : monitoring e intrusioni nelle chiamate
• Servizi telefonici essenziali, "a meno che non siano pianificati,installati e mantenuti con molta cura, saranno più a rischio diintrusioni se basati su VoIP" [NIST - National Institute of Standardsand Technology].
• Soluzioni– Criptare il flusso di segnalazione e il flusso voce (SIPS,SRTP)– Gestire separatamente la rete dati per i servizi dalla rete dati telefonica
(VLAN)
14
I codec VoIP
• Prima di inviare la voce sullarete dati, il telefono ipcomprime il segnale vocalesecondo alcuni algoritmi
• A seconda del codec utilizzatoavremo un utilizzo più o menodispendioso di banda internet
• Ovviamente più un codec èaggressivo in termini dicompressione minore è laqualità della telefonata
• Ci sono due sistemi permisurare empiricamente laqualità di una telefonata. Lamisura è espressa con unindice che va da 1 a 5– MOS = Mean Opinion Score– PESQ = Perceptual Evaluation
of Speech Quality
ValorePercezione
1Scarso2Insufficiente3Sufficiente4Buono5Eccellente
3.7-4.127iLBC3.7-3.927GSM3.4-3.517G.723.13.6-3.724G.729A3.9-4.248G.726-324.3-4.780G.711MOSKbit/sCodec
15
Architettura (1/4)
• Connesione ad una reteVoIP esistente (skype)– Nessuna infrastruttura da
implementare– Solo telefoni VoIP– Ogni utente è visto come
un terminale della rete– Sicurezza???– Bassa usabilità
• Collegamento alla retetelefonica commutata– non gestito dall’utente
(in/out)
internetproxy
proxy
proxy
proxy
PSTN
16
Architettura (2/4)
• VoIP solo su connettività– Aggiunta all’architettura
esistente– Nessun telefono IP– Nessun servizio VoIP
avanzato– Non scalabile– Buona sicurezza– Discreta usabilità altra sede
internet
Gateway SIP PBX
PSTN
17
Architettura (3/4)
• Rete VoIP standard– Modifica architettura
esistente• Collegamento a centralino
esistente• Aggiunta della
numerazione VoIP• Due reti distinte (IP,PSTN)
– Sia telefoni IP chetradizionali
– Dominio gestitointernamente
– Servizi VoIP avanzati– Sicurezza?– Usabilità?
altra sede
internet
proxy
PSTN
Proxy SIP PBX
PSTN
18
Architettura (4/4)
• Rete completamenteVoIP– Creazione della rete
• Nessun centralinotradizionale
• Solo numerazione VoIP– Solo telefoni IP– Dominio gestito
internamente– Servizi VoIP avanzati– Sicurezza?
altra sede
internet
proxy
PSTN
Proxy SIP SIP gateway
PSTN
19
Implementazione
• Stabilire la quantità e la qualità del servizio• Analisi della rete dati
– Topologia– Apparati (Router, firewall, NAT)– Stabilire i parametri di Sicurezza
• Scelta degli apparati VoIP– Client (telefoni IP)– Server (proxy, PBX)
• Integrazione con la rete pubblica– Sottoscrizione di un contratto per le chiamate fuori sede– Acquisto della numerazione entrante
• Direct Inward Dialing Number (DID)
20
Apparati
• Client VoIP– Telefono IP con flussi dati non criptati (50-150 €)– Telefono IP con flussi dati criptati (200-500 €)– Software (free – 50 €)– Telefoni USB (30 €)
• Proxy e PBX– Hardware dedicato
• Costoso• Poco scalabile• Molto affidabile
– PC + Software• Open source
– Nessun costo di licenza– Bassa sicurezza– Stabile, flessibile ed espandibile– Costi di gestione/manutenzione
• Proprietario– Costi di licenza– Buona sicurezza– Stabile ma poco flessibile ed espandibile
21
Open Source SIP (proxy e PBX)
• Asterisk– Fondato e supportato da
Digium• IP/PSTN gateway
– Soluzione a Single-box perstrutture di piccole dimensioni
– Molti protocolli con supportinon completi
• SIP support– GPL
• SER– Fondato e supportato da
iptel.org– SIP Proxy– Per grandi volumi di traffico– Supporto per il NAT– Programmabile ed espandibile– GPL
• SIP Foundry• SIPx projects
– SIP IP PBX, call router,voicemail, …
– Fondato e supportato daPingtel
• IP PBX vendor– Soluzioni modulari– LGPL
• reSIProcate– Piccolo e leggero, RFC-
compliant stack in C++– Gruppo di codifica molto
esteso– Targeted : product developers
& vendors– Licenza BSD-like
22
Il caso dell’Università di Bologna
• Rete telefonica e rete dati distribuite su tutta laProvincia di Bologna e la Romagna– Più di 50 sedi con centralini telefonici– Circa 1000 numeri telefonici
• Evoluzione– Ieri: rete telefonica tradizionale
• Centralini + CDN per l’interconnessione + linee di accessoalla PSTN
– Oggi: rete ibrida• Centralini + IP trunking + linee di accesso alla PSTN
– Domani?• Scelte opportunistiche in funzione della convenienza
economica e gestionale
23
Rete universitaria
• Dipartimento DEIS nellaFacoltà di Ingegneria diBologna
• LAN del dipartimento diBologna connessa in VPN(Virtual Private Network)con la LAN della sededistaccata di Cesena
24
Sperimentazione a Ingegneria II
• Obiettivo– Comunicazione studenti docenti a costo zero– Sperimentazione servizi evoluti di telefonia– Indagine sulla convergenza di reti telefoniche e dati– Supporto a progetti di ricerca
• Sperimentare servizi VoIP su piattaforma Open-Source– Segnalazione
• Proxy con protocollo SIP (SIP Express Router)– Commutazione
• PBX software (Asterisk)– Terminali
• Software su pc (Xlite, Sjphone, Kphone)• Telefono IP con interfaccia Ethernet e supporto SIP (~ 50€)
– Hardware• pc standard (Dell Poweredge 1600)
– Interconnessione con PSTN (di ateneo)• Una linea entrante ed una uscente• Scheda TDM400 per bus PCI con interfaccia FXS e FXO (~ 200€)
25
Implementazione
• Un proxy SIP sulla rete dati di Cesena• PBX sulla rete telefonica universitaria
– 1 linea di entrata/uscita
26
Servizi
• Chiamate VoIP– Chiamate audio e video punto-punto fra utenti del dominio VoIP– La rete è stata dimensionata per un volume di traffico di ~100 chiamate
contemporanee• Teleconferenze
– 10 camere di conferenza• Servizi ausiliari
– Segreteria telefonica– Voice mail– Messagistica istantanea
• Integrazione con fonia di ateneo– È possibile effettuare chiamate:
• Da dominio VoIP a interni di ateneo• Da interni di ateneo a dominio VoIP• Da dominio VoIP a rete PSTN
• Integrazione radius+LDAP– Autenticazione utenti basata su LDAP (integrabile con DSA di ateneo)
27
Test
• Chiamate studenti-docenti– Studenti connessi
• alla rete wireless di facoltà• alle reti dei laboratori• ad Internet da casa
– chiamano i docenti sia su dominio VoIP sia sulla numerazione diateneo
• Supporto a progetti di ricerca (e-photon-one.org)– Comunicazione peer-to-peer
• Elenco telefonico unico per gruppi di lavoro geograficamente edamministrativamente distribuiti
– Conference call (centro stella su Cesena)• Una decina di utenti• Londra (ADSL) - Torino - Atene - Bologna - Cesena - Barcellona
• Nat e firewall traversal– Trasparenza per reti IP private
28
Considerazioni
• e-photon-one.org– 40 partner (Università e
aziende)– 18 paesi
• Proxy SER + asterisk– freeworlddialup.com
• 50,000 utenti in 150 paesi– SIP.edu (Internet2)