PresentacionAndresMujica HackingServidoresVOIP

Hacking y As
de servidor de servidor
Aste
I A d Ing. Andr
GERENTE GERENTE
seguramiento
res VoIP/SIP res VoIP/SIP
erisk
M i i M ji Z l s Mauricio Mujica Zalamea
RHCE/RHCSA/RHCVA/DCAP
SEAQ SERVICIOS CIA LTDA SEAQ SERVICIOS CIA LTDA
ADVERT ADVERT
La informacin c
presentacin es p
acadmico y se d
proteccin de sus
El mal uso de la
violacin de leyy
interna
CONTINUE BAJO SU
TENCIA: TENCIA:
contenida en esta
para uso meramente
debe aplicar para la
s sistemas de VoIP.
misma implica la
yes nacionales e y
acionales
U RESPONSABILIDAD
HACKING Y AS
Conferencista: Conferencista:
Ing. Andrs Mauricio Muj g j
andres.mujica@seaq.com.c
RHCE/RHCSA/RHCVA/DCAP
GERENTE SEAQ SERVICIO GERENTE SEAQ SERVICIO
SEGURAMIENTO *
jica Zalamea j
co
P
OS CIA LTDA OS CIA LTDA
OBJETIVOS
Conocer las diferentes
telefnico en redes Vo telefnico en redes Vo
Conocer los diferent
herramientas utilizadas
Determinar las mejores
estos ataques
s modalidades de fraude
IP IP
tes tipos de ataque y p q y
s para los mismos
s prcticas para prevenir
PLAN DE TRABAJO
Antecedentes del fraud
Tipos de Ataques
Negacin de Servicio
Hijacking, Intercepta
Caller ID Spoofing
Vishing
de telefnico
o
acin
PLAN DE TRABAJO PLAN DE TRABAJO
Protocolos afectados Protocolos afectados
H.323, SIP, IAX2
Cisco, Avaya, 3CX, A Cisco, Avaya, 3CX, A
Herramientas Utilizada e a e tas Ut ada
VoIP Sniffing Tools
VoIP Scanning and E g
VoIP Packet Creation
VoIP Fuzzing Tools g
VoIP Signaling Manip
VoIP Media Manipula
Asterisk Asterisk
as as
Enumeration Tools
n and Flooding Tools
pulation Tools
ation Tools
A li i d t Anlisis de un ataque
Prcticas de prevenci Prcticas de prevenci
Demo Real (limitado Demo Real (limitado
tiempo)
n n
o a disponibilidad de o a disponibilidad de
Antecedentes del fraud Antecedentes del fraud
Ejemplos de Ataques Ejemplos de Ataques
Negacin de Servicio egac de Se c o
Hijacking, Interceptaci
Caller ID Spoofing p g
Vishing
de telefnico de telefnico
in
FRAUDE TELEFNICO FRAUDE TELEFNICO
Llamadas gratuitas Llamadas gratuitas
Servicios adicionales Servicios adicionales
Ingresos por concepto g esos po co cepto
llamadas
OO
o de o de
ANTECEDENTES
H/P Culture H/P Culture
Phreaking Phreaking
Phone + Freak Phone + Freak
Odo ms desarrolla
Silbando a 2600Hz Silbando a 2600Hz
'50s (4 y.o.)
Hacking
do
Joybubbles / Joybubbles /
Joe Engressia
http://www.nytimes.com/2007/08/20/us/20engressia.html
ANTECEDENTES
Phreakers famosos Phreakers famosos
nico Telco nico Telco
Ma Bell
Blue Box
In-band signalling g g
Fraudes hasta los '90
Resuelto con SS7
Steve Jobs
0s
Steve Jobs
Steve Wozniack
ANTECEDENTES
FRAUDES FRAUDES
De las telco hacia el us De las telco hacia el us
Cramming: cargo g g
Slamming: robo d
De terceros hacia el us
PBX : Recepcin
externo
Wangiri: Devolver
suario suario
s no deseados
de clientes entre telcos
suario
transfiere a un nmero
ANTECEDENTES
r llamada perdida
FRAUDES FRAUDES
De terceros hacia De terceros hacia
usuario
Marcadores : Des
PC marcar a un PC marcar a un
nmero premium
a el a el
de el
m
ANTECEDENTES
FRAUDES
De terceros hacia el us
809 Scams: Enga
marque un nmero
l pero no lo es.
C lli C d Calling Cards
Telemarketing frau Telemarketing frau
suario
ar al usuario para que
o que parece familiar
uds
ANTECEDENTES
uds
FRAUDES FRAUDES
El objetivo es simple El objetivo es simple
Llamanos querem Llamanos, querem
ms costoso del m
mos cobrarte el minuto mos cobrarte el minuto
mercado
ANTECEDENTES
ANTECEDENTES
A t d t d l f d Antecedentes del fraud
Tipos de Ataques Tipos de Ataques
Negacin de Servicio Negacin de Servicio
Hijacking, Intercepta
Caller ID Spoofing Caller ID Spoofing
Vishing
VoIP Spam VoIP Spam
d t l f i de telefnico
oo
acin
D S / DD S DoS / DDoS
D i d l S i Denegacin del Servic
Se inunda el servic Se inunda el servic
falsas afectando e
Existen botnets qu
desde mltiples pu desde mltiples pu
servicio distribuid
iio
cio VoIP con peticiones cio VoIP con peticiones
el servicio
ue generan ataques
untos (Denegacin del untos (Denegacin del
a)
TIPOS DE ATAQUES
VoIP BOTNETs VoIP BOTNETs
TIPOS DE ATAQUES
V IP BOTNET VoIP BOTNETs
TIPOS DE ATAQUES
HIJACKING
Registration hijacking
Media hijacking (chuzaadas!)
TIPOS DE ATAQUES
HIJACKING
TIPOS DE ATAQUES
HIJACKING
TIPOS DE ATAQUES
CALLER ID SPOOFING CALLER ID SPOOFING
Suplantar la identificac Suplantar la identificac
S. 30: Truth in Ca
Act of 2009
SpoofCard.com p
Paris escuchando
GG
cin cin
ller ID
o los mensajes de Lohan
TIPOS DE ATAQUES
CALLER ID SPOOFING CALLER ID SPOOFING
A t i k St t U Asterisk Start Up
Caller Id spoofing leg
Voice disguise Voice disguise
Grabacin de llamad
GG
gal
das
TIPOS DE ATAQUES
VISHING
No de clic sobre el enla
Robar informaci
de crdito) por me ) p
SMS
IVR
email
ace, mejor llamenos
n personal (lese tarjeta
edio de engaos g
TIPOS DE ATAQUES
VISHING
TIPOS DE ATAQUES
VISHING
TIPOS DE ATAQUES
VoIP SPAM
Meussi Solutions
Empresa de segu
Ataque masivo en q
ridad en VoIP
n el 2009
TIPOS DE ATAQUES
H.323, SIP, IAX2
Cisco, Avaya, 3CX, A , y , ,
Herramientas Utilizada
VoIP Sniffing Tools
VoIP Scanning and E
VoIP Fuzzing Tools
VoIP Media Manipula
Asterisk
as
Enumeration Tools
pulation Tools
ation Tools
VoIP
Signaling
Session Initiation Pr
5060,5061 ,
Session Description
Encapsulated in SIP p
Media Gateway Cont
UDP 2427,2727
Skinny Client Contro
(SCCP/Skinny) : TCP
PROTO
otocol (SIP) : TCP/UDP
Protocol (SDP) :
trol Protocol (MGCP) :
ol Protocol
P 2000,2001
OCOLOS AFECTADOS
VoIP
Signaling
Real-time Transfer C
(S)RTP+1 ( )
Media
Real-time Transfer P
Secure Real-time Tra
Dynamic
PROTO
Control Protocol (RTCP) :
Protocol (RTP) : Dynamic
ansfer Protocol (SRTP) :
OCOLOS AFECTADOS
VoIP
Signaling
Hybrid
Inter-Asterisk eXcha
(obsolete) ( )
Inter-Asterisk eXcha
4569
PROTO
ange v.1 (IAX): UDP 5036
ange v.2 (IAX2) : UDP
OCOLOS AFECTADOS
VoIP
H.323
Primer protocolo
Actualmente en d
Cerca de 40 imple
Vulnerabilidades
(H.225 data exchan
Ejecucin de cdig
malformados
Requiere puertos d
PROTO
VoIP popular
ecadencia
ementaciones diferentes
en decoder parsing p g
nge)
go con paquetes
dinmicos
OCOLOS AFECTADOS
VoIP
H.323
Signaling
- H.245 - Call Para
- H.225.0
. Q.931 - Call Se
. RAS - UDP 17
- Audio Call Cont
- RTCP - RTP Con
Media
- RTP - Audio - Dy
- RTP - Video - Dy
ameters - Dynamic TCP y
etup - TCP 1720 p
19
rol - TCP 1731
ntrol - Dynamic UDP
ynamic UDP
ynamic UDP
VoIP
H.323
PROTOOCOLOS AFECTADOS
VoIP
H.323
VoIP
H.323
VoIP
SIP
Protocolo flexible
Actualmente el m
Estandarizado y a
Separa sealizaci p
Funciona primord
No se diseo pen
PROTO
e
s popular y usado p p y
abierto
n de media
dialmente sobre UDP
sando en seguridad
OCOLOS AFECTADOS
VoIP
SIP
VoIP
SIP
VoIP
SIP
VoIP
IAX2
Exclusivo de aste
algunos vendors d g
En proceso de es
Unifica sealizaci
Amigable con fire
Funciona sobre U
Tambin tiene pro
PROTO
erisk (disponible en
diferentes a digium) g )
tandarizacin ('09)
n y media y
ewall y nat
UDP
oblemas de seguridad
OCOLOS AFECTADOS
VoIP
IAX2
VoIP
IAX2
At ifi Ataques especificos
Fl di Flooding
SIP INVITE
Bogus RTP Bogus RTP
TCP SYN
ICMP ICMP
Flood Amplification
Spoof source address Spoof source address
Spread
Invoke (respuesta con
PROTO
Invoke (respuesta con
t t l a estos protocolos
ss
n ms datos)
OCOLOS AFECTADOS
n ms datos)
Ataques especificos Ataques especificos
Fuzzing Fuzzing
Malformed message
Signaling Manipulation Signaling Manipulation
Malicious signalling m
New signalling messa New signalling messa
Forced Call teardown
Inject spoof messag Inject spoof messag
SIP: BYE
IAX: HANGUP
PROTO
a estos protocolos a estos protocolos
nn
messages
ges ges
es (call tear-down) es (call tear down)
OCOLOS AFECTADOS
Registration/Call Hijack Registration/Call Hijack
Captura informacin d
Suplantacin de regist Suplantacin de regist
Monitoreo de llamada
Media Hijacking Media Hijacking
Insercin de seales m
Caller-ID Spoofing Caller ID Spoofing
Call iniciada con Calle
Caller-ID Name Disclos
PROTO
Sacarle a la PSTN el n
king king
de registro
tro tro
s en proceso
maliciosas
er-Id falso
sure
OCOLOS AFECTADOS
nombre registrado
Eavesdropping Eavesdropping
Malformed call set-up
Captura de trafico RT Captura de trafico RT
Directory Enumeration
Active: Specially crafte Active: Specially crafte
Passive: Watch netwo
Media Injection Media Injection
Inject new media in a
Replace media en act p
Covert Communication
Insertar datos dentro d
signalling
PP
n
ed protocol message ed protocol message
ork traffic
ctive channel
tive channel
n
de un canal activo
H.323, SIP, IAX2
Cisco, Avaya, 3CX, A Cisco, Avaya, 3CX, A
Herramientas Utilizada e a e tas Ut ada
VoIP Sniffing Tools
VoIP Scanning and E g
VoIP Fuzzing Tools g
VoIP Media Manipula
Asterisk Asterisk
as as
Enumeration Tools
pulation Tools
ation Tools
SNIFFING
Primordialmente utiliza
AuthTool: Captura
Cain & Abel: Reco
$ CommView VoIP
VoIP
$ Etherpeek: Sniffe
HERRAMI
adas para " escuchar
a de Password
nstruye RTP
P Analyzer: Anlisis de
er
IENTAS UTILIZADAS
SNIFFING
Soportan varios protoc
ILTY (" I'm Listenin
NetDude : Anlisis
Oreka: Grabacin d
SIPscan: Capturar
HERRAMI
colos
ng To You" ): Skinny sniffer
de tcpdump files
de RTP audio streams
sesiones SIP
IENTAS UTILIZADAS
SNIFFING
Versiones Windows, B
RtpBreak: Captura
SIPomatic: Escuch
SIPv6 Analyzer: SI
UCSniff: VoIP eave
HERRAMI
SD y Linux
a de RTP en bruto
ha de SIP
IP sobre Ipv6
esdropping y ARP spoof
IENTAS UTILIZADAS
SNIFFING
Soportan varios protoc
VoiPong & VoiPon
para SIP, H323, Sk p , ,
VOMIT: Cisco Phon
Wireshark: Networ
WIST: Captura web
HERRAMI
colos
ng ISO: Captura de RTP
innyy
ne to wav
rk traffic analyzer
b de SIP signalling
IENTAS UTILIZADAS
SNIFFING
UCSniff
HERRAMIIENTAS UTILIZADAS
SNIFFING
VoiPong
HERRAMIIENTAS UTILIZADAS
SCANNING AND ENU SCANNING AND ENU
Utilizadas para ubicar Utilizadas para ubicar
listar las extensiones
$ EnableSecurity V
Scan enumeration Scan, enumeration
EnumIAX: Login en EnumIAX: Login en
Iaxscan: Scanner p
HERRAMI
p
luego enumerar por
MERATION MERATION
r servidores VoIP y para r servidores VoIP y para
VoIPPack for CANVAS:
y ataques fuerza bruta y ataques fuerza bruta
numerator con REGREQ numerator con REGREQ
para detectar hosts Iax2 y
IENTAS UTILIZADAS
p y
r fuerza bruta
Vectores de ataque IAX Vectores de ataque IAX
Iwar: IAX2 protocol p
Nessus: vulnerabil
Nmap: network por
$ Passive Vulnera
HERRAMI
pasivo de red, 40 ch
MERATION MERATION
X, SIP, SKINNY X, SIP, SKINNY
wardialer
lity scanner y
rt scanner
bility Scanner: Anlisis
IENTAS UTILIZADAS
hecks VoIP
La enumeracin esta d La enumeracin esta d
SCTPScan: Enume SCTPScan: Enume
abiertos sin asociac
SIP Forum Test Fr
Framework para qu Framework para qu
validen sus equipos
HERRAMI
MERATION MERATION
definida en el RFC definida en el RFC
eracin de puertos SCTP eracin de puertos SCTP
cin. (SS7 over IP)
ramework (SFTF):
ue los SIP device vendor ue los SIP device vendor
s
IENTAS UTILIZADAS
Los equipos IP estn Los equipos IP estn
LAN
SIP-Scan: Rpido S
SIPcrack: Hace sn
y luego crack por fu y g p
Sipflanker: Busca d
HERRAMI
p
interfaz web accesib
MERATION MERATION
pensados para uso en pensados para uso en
Scanner SIP
iff para obtener SIP logins
uerza bruta
dispositivos SIP con
IENTAS UTILIZADAS
p
ble
Las herramientas no so Las herramientas no so
SIPSCAN: Enumer
REGISTER y OPTIO
SiVuS: SIP Vulnera
VLANping: ping co
HERRAMI
MERATION MERATION
on fcilmente obtenibles on fcilmente obtenibles
rador que usa INVITE, q ,
ONS
ability Scanner
on VLAN tag
IENTAS UTILIZADAS
SIPVicious es la ms p SIPVicious es la ms p
SIPVicious Tool S SIPVicious Tool S
- Svmap is a sip sc
- svwar identifies a s a de t es a
PBX
- svcrack is an on
SIP PBX
$ VoIPAudit: Scan
HERRAMI
SMAP: SIP stack fi
MERATION MERATION
popular popular
uite uite
canner
active extensions on a act e e te s o s o a
line password cracker for p
ner de vulnerabilidades
IENTAS UTILIZADAS
ngerprint
SCANNING AND ENUM SCANNING AND ENUM
SIPVicious SIPVicious
HERRAMI
MERATION MERATION
IENTAS UTILIZADAS
SCANNING AND ENUM SCANNING AND ENUM
SIPFlanker SIPFlanker
HERRAMI
MERATION MERATION
IENTAS UTILIZADAS
VoIPAudit
enumIAX
HERRAMI
MERATION MERATION
ENTAS UTILIZADAS
PACKET CREATION & PACKET CREATION &
Usadas para DoS/DDoS Usadas para DoS/DDoS
IAXFlooder: Floode IAXFlooder: Floode
INVITE Flooder: En INVITE Flooder: En
mensajes SIP INVIT
kphone-ddos: Usa
con SIP spoofing
HERRAMI
p g
& FLOODING & FLOODING
SS
er de paquetes IAX er de paquetes IAX
nvia una mareada de nvia una mareada de
TE a un telefono o proxy
ando Kphone para inundar
IENTAS UTILIZADAS
Usadas para Capacity T Usadas para Capacity T
$ SiPBlast: Herram $
infraestructura por m
capacidad creando p
masivo
$ NSAUDITOR Flo
SIP UDP para prue
RTP Flooder: Paqu
Testing Testing
mienta para pruebas de p p
medio de colmado
trfico de llamadas CPE
oder: Generador de trfico
bas de stress
uetes well formed RTP
Usadas para explotar Usadas para explotar
protocolo
Scapy: Herramienta
manipulacin de pa a pu ac de pa
Seagull: Generado g
SIPBomber: Herra
HERRAMI
Linux
r vulnerabilidades en el r vulnerabilidades en el
a interactiva para
aquetes. aquetes
or de trfico multi protocolo p
mienta para probar SIP en
ENTAS UTILIZADAS
p p
Algunas desarrolladas Algunas desarrolladas
SIPNess: SIP testin SIPNess: SIP testin
aplicaciones SIP
SIPp: generador de
SIP (muy utilizada) SIP (muy utilizada)
SIPsak: SIP swiss a
HERRAMI
por HP por HP
ng tool que prueba ng tool que prueba
e trfico y pruebass para
army knife
IENTAS UTILIZADAS
y
Scapy Scapy
HERRAMI
IENTAS UTILIZADAS
SIPBomber SIPBomber
NSAuditor NSAuditor
SIPp SIPp
SIPsak SIPsak
FUZZING TOOLS FUZZING TOOLS
Generacin de paquete Generacin de paquete
Asteroid: Juego de Asteroid: Juego de
malformados (INVIT
Codenomicon: Ver
PROTOS PROTOS
Interstate Fuzzer: V
es malformados es malformados
e mtodos SIP e mtodos SIP
TE, CANCEL, BYE)
rsin comercial de
VoIP Fuzzer
Usualmente utilizados Usualmente utilizados
IMS Fuzzing plaffo IMS Fuzzing plaffo
SIP, H323 y MGCP
PROTOS: Herramie
de paquetes malfor p q
SIP-Proxy: MiM, Pr y
para DoS para DoS
orm: Appiance para Fuzzy orm: Appiance para Fuzzy
P
enta java para generacin
mados H.323 y SIP y
roxy entre el UA y el PBX y y
Usados en prueba de c Usados en prueba de c
$ Spirent ThreatEx $ Spirent ThreatEx
VoIPER: Security to o Secu ty to
dispositivos VoIP
SFTF: Framework
SIP Vendors
calidad y robustez calidad y robustez
x: Probador de robustez x: Probador de robustez
oolkit que permite probar oo t que pe te p oba
para ser usado por los
FUZZING TOOLS
VoIPER
FUZZING TOOLS
FUZZER
FUZZING TOOLS
SIP Proxy
SIGNALING MANIPUL SIGNALING MANIPUL
Usadas para desconec Usadas para desconec
BYE Teardown: Inj BYE Teardown: Inj
message para desc
Check Sync: Envia
haciendo reiniciar c
H225regregjet: De g gj
LATION LATION
ctar llamadas ctar llamadas
jecta un SIP BYE jecta un SIP BYE
conectar la llamada
a un SIP NOTIFY
ciertos telefonos
sconecta llamadas H.323
Usadas para mod Usadas para mod
autenticacin
IAXHangup: Herram
desconectar llamad desconectar llamad
HANGUP
$ SiPCPE: Evalua c
RedirectPoison: P
redirecciona una lla
LATION LATION
dificar procesos de dificar procesos de
mienta usada para
das IAX Injecta un IAX das IAX, Injecta un IAX
compliance de protocolo
or medio de SIP INVITE
amada
Manipulan flujo de med Manipulan flujo de med
Reg Adder: Intenta Reg Adder: Intenta
HEADER otra IP pa
redireccione a dos C ed ecc o e a dos C
Reg Eraser: Causa g
SIP REGISTER spo
creer al SIP Proxy q y q
disponible
LATION LATION
dia procesos de registro dia, procesos de registro
a adicionar al SIP a adicionar al SIP
ara que la llamada se
CPE C
a un DoS por medio de un p
oof message que hace
que no hay usuario q y
SIGNALING MANIPULA SIGNALING MANIPULA
Manipulan flujo de medi Manipulan flujo de medi
Reg Hijacker: Gener Reg Hijacker: Gener
REGISTER faso para
entrantes se enruten e t a tes se e ute
SIP-KILL : Sniff de S
llamada
SIP-Proxy-Kill: Final
una sesin SIP en el
ATION ATION
a procesos de registro a, procesos de registro
ra un mensaje SIP ra un mensaje SIP
a que todas las llamadas
al atacante a ataca te
SIP INVITES para tumbar la p
liza a nivel de sealizacin
proxy remoto antes que el
Son de las herram Son de las herram
disponibles
SIP-RedirectRTP:
SDP redirigiendo el SDP redirigiendo el
SIPRogue : Un prox SIPRogue : Un prox
insertado entre dos
vnak: VoIP Network
LATION LATION
ientas ms avanzadas ientas ms avanzadas
Manipula encabezados
RTP a un Proxy RTP a un Proxy.
xy SIP multifuncional xy SIP multifuncional
partes
k Attack Toolkit
Son de las herram Son de las herram
disponibles
VoIPHopper: Herra
seguridad que busc seguridad que busc
un PC para suplant
LATION LATION
ientas ms avanzadas ientas ms avanzadas
amienta para validacin de
ca simuar un telefono con ca simuar un telefono con
arlo a nivel de VLAN
VoIPHOPPER
LATION LATION
MEDIA MANIPULATIO MEDIA MANIPULATIO
Buscan alterar las com Buscan alterar las com
RTP InsertSound:
.wav dentro de una
RTP MixSound: Si
RTPProxy: Espera
redirecciona a dond
ON ON
municaciones municaciones
Inserta el contenido de un
conversacin activa
milar a la anterior
paquetes RTP y los
de se le indique
Usadas por los espias Usadas por los espias
SteganRTP: Herram SteganRTP: Herram
establece un flujo d
flujo de media Incl flujo de media. Incl
remoto
VOIP: Esconde un
otra por medio de c p
ON ON
mienta estenogrfica que mienta estenogrfica que
e datos oculto dentro del
uye chat archivos y shell uye chat, archivos y shell
a conversacin dentro de
compresin y G.711 p y
SteganRTP SteganRTP
ON ON
OTRAS HERRAMIENT OTRAS HERRAMIENT
IAX Brute: Herramienta IAX.Brute: Herramienta
diccionario en el challen
SIP-Send-Fund: SIP Send Fund:
vulnerabilidades especif
SIP.Tastic: Herramient S ast c e a e t
dictionario al mtodo SIP
Spitter: Herramientas p
pruebas de VoIP Spam
VSAP: Programa de g
preguntas y respuesta q
redes VoIP (SIP/H.323/R
TAS TAS
a de ataque passive por a de ataque passive por
ge/response IAX
Utilidad que explota Utilidad que explota
ficas
ta de ataque pasivo de ta de ataque pas o de
P Digest de autenticacin
para asterisk que hacen p q
auditoria por medio de p
que valida la seguridad de
RTP)
ALGUNOS VIDEOS DE ALGUNOS VIDEOS DE
HERRAMIENTAS
SIPgull
http://gull.sf.net/flvpla http://gull.sf.net/flvpla
f.net/doc/seagull_01.
VoIPPack
http://www.vimeo.com p
=2524735&serv
p;fullscreen=1&amp p p
w_byline=0&sh
r=01AAEA
E LAS E LAS
ayer.swf?file=http://gull.s ayer.swf?file http://gull.s
.flv
m/moogaloop.swf?clip id g p p_
ver=www.vimeo.com&am
;show_title=1&sho _ p
ow_portrait=0&colo
Anlisis de un ataque Anlisis de un ataque
Demo Real (limitado e o ea ( tado
tiempo)
n n
o a disponibilidad de o a d spo b dad de
ANALI
LOGS ATAQUE
ANALI
Feb 3 22:54:31 NOTICE[2851 [
from '"613430211"<sip:613
failed for '86.72.2.248' - Us
mismatch mismatch
Un total de 19511 ent
SIS DE UN ATAQUE SIS DE UN ATAQUE
14] chan_sip.c: Registration ] _ p g
3430211@xxx.yyy.zzz.xxx>'
ername/auth name
tradas
ANALI
LOGS ATAQUE
ANALI
Feb 3 22:54:31 NOTICE[2851 [
from '"0"<sip:0@xxx.yyy.zzz
'86.72.2.248' - Username/au
Feb 3 22:54:31 NOTICE[2851 Feb 3 22:54:31 NOTICE[2851
'86.72.2.248' - Username/au
Feb 3 22:54:31 NOTICE[2851
'86.72.2.248' - Username/au 86 8 Use a e/au
Enumeracin Enumeracin
ISIS DE UN ATAQUE ISIS DE UN ATAQUE
14] chan_sip.c: Registration ] _ p g
z.xxx>' failed for
uth name mismatch
14] chan sip c: Registration 14] chan_sip.c: Registration
z.xxx>' failed for
uth name mismatch
14] chan_sip.c: Registration
z.xxx>' failed for
uth name mismatch ut a e s atc
LOGS ATAQUE LOGS ATAQUE
Feb 3 22:56:12 NOTICE[2851
from '"9996"<sip:9996@xxx
'86.72.2.248' - Username/au
Feb 3 22:56:12 NOTICE[2851 Feb 3 22:56:12 NOTICE[2851
'86.72.2.248' - Username/au
F b 3 22 56 12 NOTICE[2851 Feb 3 22:56:12 NOTICE[2851
'86.72.2.248' - Username/au
Feb 3 22:56:12 NOTICE[2851
'86 72 2 248' - Username/au 86.72.2.248 - Username/au
Escaneo todo el rango de 0 a
x.yyy.zzz.xxx>' failed for
uth name mismatch
14] chan sip.c: Registration 14] chan_sip.c: Registration
uth name mismatch
14] h i R i t ti 14] chan_sip.c: Registration
uth name mismatch
uth name mismatch uth name mismatch
a 9999
LOGS ATAQUE
Cantidad de intentos Cantidad de intentos por extensin e IP por extensin e IP
LOGS ATAQUE
EL RESULTADO !!! EL RESULTADO !!!
ANALIS
LOGS ATAQUE
ANALIS
ls -all /sbin/init.zk
MAS LEJOS ROOTK MAS LEJOS ... ROOTK
SIS DE UN ATAQUE SIS DE UN ATAQUE
KIT OWNED KIT, OWNED
FreePBX backdoors and FreePBX backdoors and
was published on April
http://nerdvittles.com/ p
It recently came to our att
to login to the Elastix se
FreePBX Web interface (
user name asteriskuser user name asteriskuser
eLaStIx.asteriskuser.2oo
password are the same u p
used by FreePBX to acce
database. They are defin
AMPDBUSER d AMPDB AMPDBUSER and AMPDB
/etc/amportal.conf file.
default passwords that default passwords that
l 15, 2011.
m/?p=737 p
tention that it is possible
erver unembedded
(http://address/admin) with
and password and password
oo7. The user name and
user name and password p
ess the asterisk MySQL
ned in the parameters
BPASS i th BPASS in the
Demo Real (limitado Demo Real (limitado
tiempo)
n n
o a disponibilidad de o a disponibilidad de
FIREWALL: Bloquear T
permitir acceso desde or permitir acceso desde or
FIREWALL: Bloquear T FIREWALL: Bloquear T
permitir acceso desde or
permitir acceso desde or p
FIREWALL: Bloquear T q
TODO por defecto y solo
rigenes autorizados rigenes autorizados
TODO por defecto y solo TODO por defecto y solo
rigenes autorizados
rigenes autorizados g
TODO por defecto y solo p y
rigenes autorizados
rigenes autorizados
rigenes autorizados
rigenes autorizados
permitir acceso desde or p
rigenes autorizados
rigenes autorizados g
rigenes autorizados
FIREWALL: B
d f t por defecto y
acceso des acceso des
autorizados autorizados
Bloquear TODO
l iti y solo permitir
sde origenes sde origenes
Monitoreo CDR y LO
comportamientos anorm comportamientos anorm
Cambiar password p Cambiar password p
servicios
NO utilizar logins
extensiones: Debe ser
extensin
NO utilizar password
utilizar passwords alfan
OGS: Estar pendiente de
males males
or defecto: En todos los or defecto: En todos los
nmericos para las
r diferente al nmero de la
ds nmericos: Se deben
mericos
Desactivar servicios n
Voicemail remoto, Callba ,
Desactivar servicios
Minimizar vectores de rie
Administracin por
administracin DEBE se
Administracin loca
administracin DEBE se
o usados en PBX: DISA,
ack
no utilizados en SO:
esgo
VPN: El acceso a la
er por VPN
l: El acceso a la
er local.
Lea portales especializ
Control de acceso par
usuarios con niveles de usuarios con niveles de
Restringir acceso fsic Restringir acceso fsic
No habilite auto carg No habilite auto carg
credito: Para troncales
zados: Forums de Digium
ra administracin: Defina
acceso acceso
o: y lgico tambin. o: y lgico tambin.
ga en las tarjetaas de ga en las tarjetaas de
internacionales
RESTRINGA DIAL PL
necesitan llamar a Zimba
001|1NXXXXXXXXX
001|0052NXXXXXXX |
0012|N.
ASEGURE APACHE:
autenticacin a nivel de
mod_auth_mysql
mod_authz_ldap
AN LDI/LDN: Realmente
abwe?
X <- USA
XXX <- MEXICO
Que sea inaccesible sin
apache
ASEGURE SIP.CONF:
context=non-existant context non existant
alwaysauthreject=ye
allowguest=no allowguest no
LIMITE CANTIDAD DE C
call-limit = 2
ASEGURE EL TIPO DE
type= user yp
type= peer
type= friend
tt
s
LLAMADAS SIP: S S
E DEVICE SIP:
ASEGURAMIENTO
IPTABLES: IPTABLES:
iptables -I door 1 -p udp -
"mysecretpass" --algo b
ti portisnowopen
iptables -A INPUT -p udp
--seconds 4000 --name seconds 4000 name
RESTRINGA REDES VA
deny = 0.0.0.0/0.0.0.
permit = 192.168.10. p
deny = 0.0.0.0/0.0.0
permit = 0.0.0.0/0.0.
AVANZADO POR
-dport 5060 -m string --string
m -m recent --set --name
--dport 5060 -m recent --rcheck
portisnowopen -j ACCEPT portisnowopen j ACCEPT
ALIDAS PARA SIP:
0
.0/255.255.255.0
.0
.0.0
ASEGURE EL CONTEX
[default]
[other-context]
ASEGURE EL MANAGE
deny = 0.0.0.0/0.0.0.
permit = 192.168.10.
deny = 0.0.0.0/0.0.0
it 0 0 0 0/0 0 permit = 0.0.0.0/0.0.
XTO DEFAULT:
ER.CONF:
0
.0/255.255.255.0
.0
0 0 .0.0
type=peer
peer al hacer un REG peer al hacer un REG
CHALLENGE (no ch
INVITEs) INVITEs)
type=user
user no se puede reg user no se puede reg
un CHALLENGE
type=friend type e d
friend ( peer+user ) h
autenticar en INVIT
If the device was defined only as peer
- peer must register first. T
GISTER recibe un GISTER recibe un
allenge on consecutive
gistrar y en INVITEs recibe gistrar y en INVITEs recibe
hace que asterisk intente
TEs.
r, asterisk would not try to authenticate
The INVITE would be ignored.
UTILICE FAIL2BAN/AP
Versin automatiza
cat /var/log/asterisk/full | grep
$9,$12'} | cut -c6-9,26-45 | un
1288 1234' '208.38.181.6'
iptables -A INPUT -s 208 38 18 iptables A INPUT s 208.38.18
Tenga en cuenta bug
reporta ip en INVITES
PF/BDF
ada de
"Wrong password" | awk {'print
niq -c
81 6 -j DROP 81.6 j DROP
g en asterisk que no
S
UTILICE FAIL2BAN
Solamente protege in
type=peer ayuda a g type peer ayuda a g
failregex = NOTICE.* .*: Registration from '.*'
NOTICE.* .*: Registration from '.*' failed
mismatch
NOTICE.* .*: Registration from '.*' failed NOTICE. . : Registration from . failed
register
NOTICE.* <HOST> failed to authentica
NOTICE * *: No registration for peer ' * NOTICE. . : No registration for peer .
NOTICE.* .*: Host <HOST> failed MD5
NOTICE.* .*: Failed to authenticate use
ntentos de REGISTER
arantizar esto arantizar esto
failed for '<HOST>' - Wrong password
d for '<HOST>' - No matching peer found
d for '<HOST>' - Username/auth name
d for '<HOST>' - Device does not match ACL
d for '<HOST>' - Peer is not supposed to d for HOST Peer is not supposed to
d for '<HOST>' - ACL error (permit/deny)
ate as '.*'$
*' $from <HOST>$ $from <HOST>$
5 authentication for '.*' (.*)
er .*@<HOST>.*
UTILICE APF/BDF
Advanced Policy Fire
/etc/apf/conf.apf
apf -d 202.86.128.0/24
Brute Force Detectio
bfd -s
/ec/cron.d/bfd
ewall
on
Demo Real (limitado e o ea ( tado
tiempo)
n n
o a disponibilidad de o a d spo b dad de
Info
SEAQ SERVIC
Direccin: Carrera 15 # 79 37 Oficina
Bogot, Colombia Bogot, Colombia
Telfono: +57 1 655 98 00
Fax: +57 1 655 98 02
Internet: www.seaq.com.co
Contacto: ventas@seaq.com @ q
MUCHAS G MUCHAS G
ormacin de Contacto
CIOS CIA LTDA
a 201A
o
m.co
GRACIAS POR SU GRACIAS POR SU
ATENCIN.
Tome Tome el el control control de de la la
Informacin Informacin en en su su Informacin Informacin en en su su
Empresa Empresa
http http: ://www //www. .seaq seaq..com com. .co co

PresentacionAndresMujica HackingServidoresVOIP

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

PresentacionAndresMujica HackingServidoresVOIP

Cargado por

Copyright:

Formatos disponibles

Hacking y As

También podría gustarte