Documentos de Académico
Documentos de Profesional
Documentos de Cultura
seguramiento
de servidorres VoIP/SIP
Asteerisk
I
Ing. A
André
d é
és Mauricio
M i i MMujica
ji Z
Zalamea
l
RHCE/RHCSA/RHCVA/DCAP
GERENTE SEAQ SERVICIOS CIA LTDA
ADVERT
TENCIA:
La información contenida
c en esta
presentación es para
p uso meramente
académico y se debe
d aplicar para la
protección de sus
s sistemas de VoIP.
CONTINUE BAJO SU
U RESPONSABILIDAD
HACKING Y AS
SEGURAMIENTO *
Conferencista:
Ing.
g Andrés Mauricio Mujjjica Zalamea
andres.mujica@seaq.com.c
co
RHCE/RHCSA/RHCVA/DCAP P
GERENTE SEAQ SERVICIO OS CIA LTDA
OBJETIVOS
■ Tipos de Ataques
Negación de Servicio o
Hijacking, Intercepta
ación
Caller ID Spoofing
Vishing
PLAN DE TRABAJO
■ Protocolos afectados
H.323, SIP, IAX2
■ Herramientas
e a e tas Ut Utilizada
ada
as
VoIP Sniffing Tools
■ A áli i de
Análisis d un ataque
t
■ Prácticas de prevenció
ón
■ Ejemplos de Ataques
Negación
egac ó de Se Servicio
co
Hijacking, Interceptaciión
Caller ID Spoofing
p g
Vishing
FRAUDE TELEFÓNICO
O
■ Llamadas gratuitas
■ Servicios adicionales
■ Ingresos
g esos po
por co
concepto
cepto
o de
llamadas
ANTECEDENTES
H/P Culture
■ Phreaking
Phone + Freak
Oído más desarrollado
■ Hacking
ANTECEDENTES
Phreakers famosos
■ Único Telco
Ma Bell
■ Blue Box
In-band signalling
g g Steve Jobs
Fraudes hasta los '90
0s
Steve Wozniack
Resuelto con SS7
ANTECEDENTES
FRAUDES
Î Cramming:
g cargo
g s no deseados
Î Slamming: robo de
d clientes entre telcos
■ De terceros hacia el us
suario
■ De terceros hacia
a el
usuario
Î Marcadores : Desde el
PC marcar a un
número “premiumm”
ANTECEDENTES
FRAUDES
■ De terceros hacia el us
suario
Î C lli Cards
Calling C d
Î Telemarketing frau
uds
ANTECEDENTES
FRAUDES
■ El objetivo es simple
Î Llamanos, querem
Llamanos mos cobrarte el minuto
más costoso del mercado
m
ANTECEDENTES
ANTECEDENTES
PLAN DE TRABAJO
■ A t
Antecedentes
d t deld l fraud
f d
de telefónico
t l fó i
■ Tipos de Ataques
Negación de Servicio o
Hijacking, Intercepta
ación
Caller ID Spoofing
Vishing
VoIP Spam
D S / DD
DoS DDoS
S
■ D
Denegación
ió del
d l Servic
S i io
Î Se inunda el servic
cio VoIP con peticiones
falsas afectando el
e servicio
TIPOS DE ATAQUES
VoIP BOTNETs
TIPOS DE ATAQUES
V IP BOTNET
VoIP BOTNETs
TIPOS DE ATAQUES
HIJACKING
■ Registration hijacking
TIPOS DE ATAQUES
HIJACKING
TIPOS DE ATAQUES
HIJACKING
TIPOS DE ATAQUES
CALLER ID SPOOFING
G
■ Suplantar la identificac
ción
TIPOS DE ATAQUES
CALLER ID SPOOFING
G
■ Asterisk
A t i k Start
St t Up
U
Caller Id spoofing leg
gal
Voice disguise
TIPOS DE ATAQUES
VISHING
Î IVR
Î email
TIPOS DE ATAQUES
VISHING
TIPOS DE ATAQUES
VISHING
TIPOS DE ATAQUES
VoIP SPAM
■ Meussi Solutions
TIPOS DE ATAQUES
PLAN DE TRABAJO
■ Protocolos afectados
H.323, SIP, IAX2
Cisco,
, Avaya,
y , 3CX,, Asterisk
A
■ Herramientas Utilizada
as
VoIP Sniffing Tools
■ Signaling
Encapsulated
p in SIP
Media Gateway Cont trol Protocol (MGCP) :
UDP 2427,2727
Skinny Client Contro ol Protocol
(SCCP/Skinny) : TCP P 2000,2001
PROTO
OCOLOS AFECTADOS
VoIP
■ Signaling
■ Media
PROTO
OCOLOS AFECTADOS
VoIP
■ Signaling
■ Hybrid
4569
PROTO
OCOLOS AFECTADOS
VoIP
■ H.323
PROTO
OCOLOS AFECTADOS
VoIP
■ H.323
Î Signaling
- H.245 - Call Paraameters - Dynamic
y TCP
- H.225.0
. Q.931 - Call Seetup
p - TCP 1720
. RAS - UDP 1719
- Audio Call Control - TCP 1731
- RTCP - RTP Con ntrol - Dynamic UDP
Î Media
- RTP - Audio - Dy ynamic UDP
- RTP - Video - Dy ynamic UDP
VoIP
■ H.323
PROTO
OCOLOS AFECTADOS
VoIP
■ H.323
PROTO
OCOLOS AFECTADOS
VoIP
■ H.323
PROTO
OCOLOS AFECTADOS
VoIP
■ SIP
Î Protocolo flexible
e
Î Actualmente el más p popular
p y usado
Î Estandarizado y abierto
a
Î Separa
p señalización de media
Î Funciona primord dialmente sobre UDP
Î No se diseño pensando en seguridad
PROTO
OCOLOS AFECTADOS
VoIP
■ SIP
PROTO
OCOLOS AFECTADOS
VoIP
■ SIP
PROTO
OCOLOS AFECTADOS
VoIP
■ SIP
PROTO
OCOLOS AFECTADOS
VoIP
■ IAX2
PROTO
OCOLOS AFECTADOS
VoIP
■ IAX2
PROTO
OCOLOS AFECTADOS
VoIP
■ IAX2
PROTO
OCOLOS AFECTADOS
At
Ataques especificos
ifi a estos
t protocolos
t l
■ Flooding
Fl di
SIP INVITE
Bogus RTP
TCP SYN
ICMP
■ Flood Amplification
Spoof source addresss
Spread
■ Fuzzing
Malformed message
■ Signaling Manipulation n
Malicious signalling messages
m
New signalling messages
Î IAX: HANGUP
PROTO
OCOLOS AFECTADOS
Ataques especificos a estos protocolos
■ Registration/Call Hijackking
Captura información ded registro
Suplantación de regist tro
Monitoreo de llamadas en proceso
■ Media Hijacking
Inserción de señales maliciosas
m
■ Caller-ID
Caller ID Spoofing
Call iniciada con Calle
er-Id falso
■ Caller-ID Name Disclos sure
Sacarle a la PSTN el nombre
n registrado
PROTO
OCOLOS AFECTADOS
Ataques especificos a estos protocolos
■ Eavesdropping
Malformed call set-up signalling
■ Directory Enumeration n
Active: Specially crafte
ed protocol message
Passive: Watch netwo ork traffic
■ Media Injection
Inject new media in active channel
Replace
p media en acttive channel
■ Covert Communication n
Insertar datos dentro de
d un canal activo
PLAN DE TRABAJO
■ Protocolos afectados
H.323, SIP, IAX2
■ Herramientas
e a e tas Ut Utilizada
ada
as
VoIP Sniffing Tools
■ Primordialmente utiliza
adas para "escuchar”
Î AuthTool: Captura
a de Password
Î P Analyzer: Análisis de
$ CommView VoIP
VoIP
Î $ Etherpeek: Sniffe
er
HERRAMIIENTAS UTILIZADAS
SNIFFING
Î Oreka: Grabación de
d RTP audio streams
HERRAMIIENTAS UTILIZADAS
SNIFFING
Î RtpBreak: Captura
a de RTP en bruto
Î SIPomatic: Escuch
ha de SIP
HERRAMIIENTAS UTILIZADAS
SNIFFING
HERRAMIIENTAS UTILIZADAS
SNIFFING
■ UCSniff
HERRAMIIENTAS UTILIZADAS
SNIFFING
■ VoiPong
HERRAMIIENTAS UTILIZADAS
SCANNING AND ENUMERATION
Î $ EnableSecurity VoIPPack
V for CANVAS:
Scan enumeration y ataques fuerza bruta
Scan,
Î EnumIAX: Login en
numerator con REGREQ
Î Iaxscan: Scanner p
para detectar hosts Iax2 y
luego enumerar porr fuerza bruta
HERRAMIIENTAS UTILIZADAS
SCANNING AND ENUMERATION
Î Nessus: vulnerabillity
y scanner
HERRAMIIENTAS UTILIZADAS
SCANNING AND ENUMERATION
Î Sipflanker:
p Busca dispositivos
d p SIP con
interfaz web accesib
ble
HERRAMIIENTAS UTILIZADAS
SCANNING AND ENUMERATION
■ Las herramientas no so
on fácilmente obtenibles
Î SIPSCAN: Enumerrador q
que usa INVITE,,
REGISTER y OPTIOONS
Î VLANping: ping co
on VLAN tag
HERRAMIIENTAS UTILIZADAS
SCANNING AND ENUMERATION
HERRAMIIENTAS UTILIZADAS
SCANNING AND ENUM
MERATION
■ SIPVicious
HERRAMIIENTAS UTILIZADAS
SCANNING AND ENUM
MERATION
■ SIPFlanker
HERRAMIIENTAS UTILIZADAS
SCANNING AND ENUMERATION
■ VoIPAudit
■ enumIAX
HERRAMIENTAS UTILIZADAS
PACKET CREATION & FLOODING
Î IAXFlooder: Floode
er de paquetes IAX
Î INVITE Flooder: En
nvia una mareada de
mensajes SIP INVIT
TE a un telefono o proxy
Î Scapy: Herramienta
a interactiva para
manipulación
a pu ac ó de paaquetes
aquetes.
Î Seagull:
g Generado
or de tráfico multi protocolo
p
Î SIPBomber: Herramienta p
para p
probar SIP en
Linux
HERRAMIENTAS UTILIZADAS
PACKET CREATION & FLOODING
HERRAMIIENTAS UTILIZADAS
PACKET CREATION & FLOODING
■ Scapy
HERRAMIIENTAS UTILIZADAS
PACKET CREATION & FLOODING
■ SIPBomber
PACKET CREATION & FLOODING
■ NSAuditor
PACKET CREATION & FLOODING
■ SIPp
PACKET CREATION & FLOODING
■ SIPsak
FUZZING TOOLS
■ Generación de paquete
es malformados
Î Asteroid: Juego de
e métodos SIP
malformados (INVIT
TE, CANCEL, BYE)
Î y MiM, Prroxy
SIP-Proxy: y entre el UA y el PBX
FUZZING TOOLS
Î x: Probador de robustez
$ Spirent ThreatEx
Î VoIPER:
o Security
Secu ty to
oolkitt que pe
oo permite
te p
probar
oba
dispositivos VoIP
■ VoIPER
FUZZING TOOLS
■ FUZZER
FUZZING TOOLS
■ SIP Proxy
SIGNALING MANIPUL
LATION
■ VoIPHOPPER
MEDIA MANIPULATIO
ON
■ SteganRTP
OTRAS HERRAMIENT
TAS
■ Brute: Herramienta
IAX.Brute:
IAX a de ataque passive por
diccionario en el challenge/response IAX
■ SIP-Send-Fund:
SIP Send Fund: Utilidad que explota
vulnerabilidades especifficas
■ ast c Herramient
SIP.Tastic:
S e a e tta de ataque pas pasivoo de
dictionario al método SIPP Digest de autenticación
■ Spitter:
p Herramientas p para asterisk q
que hacen
pruebas de VoIP Spam
■ VSAP: Programa
g de auditoria p por medio de
preguntas y respuesta queq valida la seguridad de
redes VoIP (SIP/H.323/R RTP)
ALGUNOS VIDEOS DE
E LAS
HERRAMIENTAS
■ SIPgull
http://gull.sf.net/flvpla
ayer.swf?file http://gull.s
ayer.swf?file=http://gull.s
f.net/doc/seagull_01..flv
■ VoIPPack
http://www.vimeo.com
p m/moogaloop.swf?clip
g p p_id
=2524735&serv ver=www.vimeo.com&am
p
p;fullscreen=1&p;show_title=1&sho
_ p
w_byline=0&show_portrait=0&colo
r=01AAEA
PLAN DE TRABAJO
■ Análisis de un ataque
■ Prácticas de prevenció
ón
■ Demo
e o Real
ea ((limitado
tado
o a d
disponibilidad
spo b dad de
tiempo)
LOGS ATAQUE
ANALISIS DE UN ATAQUE
Feb 3 22:54:31 NOTICE[2851
[ 14]] chan_sip.c:
_ p Registration
g
from '"613430211"<sip:613 3430211@xxx.yyy.zzz.xxx>'
failed for '86.72.2.248' - Username/auth name
mismatch
Enumeración
LOGS ATAQUE
EL RESULTADO !!!
LOGS ATAQUE
ANALIS
SIS DE UN ATAQUE
ls -all /sbin/init.zk
■ Análisis de un ataque
■ Prácticas de prevenció
ón
■ FIREWALL: Bloquear
q T
TODO por defecto y solo
p
permitir acceso desde orrigenes autorizados
■ FIREWALL: Bloquear TODOT por defecto y solo
permitir acceso desde orrigenes autorizados
■ FIREWALL: Bloquear
q T
TODO por defecto y solo
p
permitir acceso desde orrigenes autorizados
■ FIREWALL: Bloquear
q T
TODO por defecto y solo
p
permitir acceso desde orrigenes autorizados
■FIREWALL: Bloquear TODO
B
por defecto
d f t y solo l permitir
iti
acceso dessde origenes
autorizados
■ Monitoreo CDR y LO OGS: Estar pendiente de
comportamientos anorm
males
■ ASEGURE EL TIPO DE
E DEVICE SIP:
type=
yp user
type= peer
type= friend
■ ASEGURAMIENTO AVANZADO POR
IPTABLES:
iptables -I door 1 -p udp --dport 5060 -m string --string
"mysecretpass" --algo bm -m recent --set --name
portisnowopen
ti
iptables -A INPUT -p udp --dport 5060 -m recent --rcheck
seconds 4000 --name
--seconds name portisnowopen -jj ACCEPT
Versión “automatiza
ada” de
iptables -A
A INPUT -ss 208.38.18
208 38 18
81 6 -jj DROP
81.6
Solamente protege in
ntentos de REGISTER
type
type=peer
peer ayuda a garantizar esto
failregex = NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Wrong password
NOTICE.* .*: Registration from '.*' failed
d for '<HOST>' - No matching peer found
NOTICE.* .*: Registration from '.*' failed
d for '<HOST>' - Username/auth name
mismatch
d for '<HOST>' - Device does not match ACL
NOTICE.* .*: Registration from '.*' failed
NOTICE.* ..*:: Registration from '.*'
NOTICE. . failed
d for '<HOST>'
HOST - Peer is not supposed to
register
NOTICE.* .*: Registration from '.*' failed
d for '<HOST>' - ACL error (permit/deny)
NOTICE.* <HOST> failed to authentica ate as '.*'$
NOTICE * .*:: No registration for peer '.*'
NOTICE. * \(from <HOST>\)
NOTICE.* .*: Host <HOST> failed MD5 5 authentication for '.*' (.*)
NOTICE.* .*: Failed to authenticate use er .*@<HOST>.*
■ UTILICE APF/BDF
/etc/apf/conf.apf
apf -d 202.86.128.0/24
■ Análisis de un ataque
■ Prácticas de prevenció
ón
■ Demo
e o Real
ea ((limitado
tado
o a d
disponibilidad
spo b dad de
tiempo)
SEAQ SERVICCIOS CIA LTDA
Info
ormación de Contacto
Dirección: Carrera 15 # 79 – 37 Oficina
a 201A
Bogotá, Colombia
Teléfono: +57 – 1 655 98 00
Fax: +57 – 1 655 98 02
Internet: www.seaq.com.co
o
Contacto: ventas@seaq.com
@ q m.co
MUCHAS G
GRACIAS POR SU
ATENCIÓN.
Tome el control de la
Información en su
Empresa
http:://www.
http //www.seaq
seaq..com
com..co