PresentacionAndresMujica HackingServidoresVOIP PDF

Hacking y As
seguramiento
de servidorres VoIP/SIP
Asteerisk
I
Ing. A
André
d é
és Mauricio
M i i MMujica
ji Z
Zalamea
l
RHCE/RHCSA/RHCVA/DCAP
GERENTE SEAQ SERVICIOS CIA LTDA
ADVERT
TENCIA:
La información contenida
c en esta
presentación es para
p uso meramente
académico y se debe
d aplicar para la
protección de sus
s sistemas de VoIP.
El mal uso de la misma implica la

yes nacionales e
y
violación de ley
interna
acionales
CONTINUE BAJO SU
U RESPONSABILIDAD
HACKING Y AS
SEGURAMIENTO *
Conferencista:
Ing.
g Andrés Mauricio Mujjjica Zalamea
andres.mujica@seaq.com.c
co
RHCE/RHCSA/RHCVA/DCAP P
GERENTE SEAQ SERVICIO OS CIA LTDA
OBJETIVOS
■ Conocer las diferentess modalidades de fraude

telefónico en redes VoIP
■ Conocer los diferenttes tipos

p de ataque
q y
herramientas utilizadas
s para los mismos
■ Determinar las mejores

s prácticas para prevenir
estos ataques
PLAN DE TRABAJO
■ Antecedentes del fraud

de telefónico
■ Tipos de Ataques
Negación de Servicio o
Hijacking, Intercepta
ación
Caller ID Spoofing
Vishing
PLAN DE TRABAJO
■ Protocolos afectados
H.323, SIP, IAX2
Cisco, Avaya, 3CX, A

Asterisk
■ Herramientas
e a e tas Ut Utilizada
ada
as
VoIP Sniffing Tools
VoIP Scanning g and Enumeration

E Tools
VoIP Packet Creation n and Flooding Tools
VoIP Fuzzingg Tools
VoIP Signaling Manip pulation Tools
VoIP Media Manipula ation Tools
PLAN DE TRABAJO
■ A áli i de
Análisis d un ataque
t
■ Prácticas de prevenció
ón
■ Demo Real (limitado

o a disponibilidad de
tiempo)
PLAN DE TRABAJO
■ Antecedentes del fraud

de telefónico
■ Ejemplos de Ataques
Negación
egac ó de Se Servicio
co
Hijacking, Interceptaciión
Caller ID Spoofing
p g
Vishing
FRAUDE TELEFÓNICO
O
■ Llamadas gratuitas
■ Servicios adicionales
■ Ingresos
g esos po
por co
concepto
cepto
o de
llamadas
ANTECEDENTES
H/P Culture
■ Phreaking
Phone + Freak
Oído más desarrollado
Silbando a 2600Hz Joybubbles /

'50s (4 y.o.)
Joe Engressia
http://www.nytimes.com/2007/08/20/us/20engressia.html
■ Hacking
ANTECEDENTES
Phreakers famosos
■ Único Telco
Ma Bell
■ Blue Box
In-band signalling
g g Steve Jobs
Fraudes hasta los '90
0s
Steve Wozniack
Resuelto con SS7
ANTECEDENTES
FRAUDES
■ De las telco hacia el us

suario
Î Cramming:
g cargo
g s no deseados
Î Slamming: robo de
d clientes entre telcos
■ De terceros hacia el us
suario
Î PBX : Recepción transfiere a un número

externo
Î Wangiri: Devolver
r llamada perdida
ANTECEDENTES
FRAUDES
■ De terceros hacia
a el
usuario
Î Marcadores : Desde el
PC marcar a un
número “premiumm”
ANTECEDENTES
FRAUDES
■ De terceros hacia el us
suario
Î 809 Scams: Engañ

ñar al usuario para que
marque un número
o que parece familiar
pero no lo
l es.
Î C lli Cards
Calling C d
Î Telemarketing frau
uds
ANTECEDENTES
FRAUDES
■ El objetivo es simple
Î Llamanos, querem
Llamanos mos cobrarte el minuto
más costoso del mercado
m
ANTECEDENTES
ANTECEDENTES
PLAN DE TRABAJO
■ A t
Antecedentes
d t deld l fraud
f d
de telefónico
t l fó i
■ Tipos de Ataques
Negación de Servicio o
Hijacking, Intercepta
ación
Caller ID Spoofing
Vishing
VoIP Spam
D S / DD
DoS DDoS
S
■ D
Denegación
ió del
d l Servic
S i io
Î Se inunda el servic
cio VoIP con peticiones
falsas afectando el
e servicio
Î Existen botnets qu ue generan ataques

desde múltiples pu untos (Denegación del
servicio distribuida)
TIPOS DE ATAQUES
VoIP BOTNETs
TIPOS DE ATAQUES
V IP BOTNET
VoIP BOTNETs
TIPOS DE ATAQUES
HIJACKING
■ Registration hijacking
■ Media hijacking (chuza

adas!)
TIPOS DE ATAQUES
HIJACKING
TIPOS DE ATAQUES
HIJACKING
TIPOS DE ATAQUES
CALLER ID SPOOFING
G
■ Suplantar la identificac
ción
Î S. 30: Truth in Caller ID

Act of 2009
Î SpoofCard.com
p
Î Paris escuchando o los mensajes de Lohan
TIPOS DE ATAQUES
CALLER ID SPOOFING
G
■ Asterisk
A t i k Start
St t Up
U
Caller Id spoofing leg
gal
Voice disguise
Grabación de llamad das
TIPOS DE ATAQUES
VISHING
■ No de clic sobre el enla

ace, mejor llamenos
Î Robar información personal (leáse tarjeta

de crédito)) por
p meedio de engaños
g
Î SMS
Î IVR
Î email
TIPOS DE ATAQUES
VISHING
TIPOS DE ATAQUES
VISHING
TIPOS DE ATAQUES
VoIP SPAM
■ Meussi Solutions
Î Empresa de seguridad en VoIP

Î Ataque
q masivo enn el 2009
TIPOS DE ATAQUES
PLAN DE TRABAJO
H.323, SIP, IAX2
Cisco,
, Avaya,
y , 3CX,, Asterisk
A
■ Herramientas Utilizada
as
VoIP Sniffing Tools
VoIP Scanning and Enumeration

E Tools
VoIP Packet Creationn and Flooding Tools
VoIP Fuzzing Tools
VoIP Signaling Manippulation Tools

VoIP
■ Signaling
Session Initiation Protocol (SIP) : TCP/UDP

,
5060,5061
Session Description Protocol (SDP) :
Encapsulated
p in SIP
Media Gateway Cont trol Protocol (MGCP) :
UDP 2427,2727
Skinny Client Contro ol Protocol
(SCCP/Skinny) : TCP P 2000,2001
PROTO
OCOLOS AFECTADOS
VoIP
■ Signaling
Real-time Transfer Control

C Protocol (RTCP) :
( )
(S)RTP+1
■ Media
Real-time Transfer Protocol

P (RTP) : Dynamic
Secure Real-time Traansfer Protocol (SRTP) :
Dynamic
PROTO
OCOLOS AFECTADOS
VoIP
■ Signaling
■ Hybrid
ange v.1 (IAX): UDP 5036

Inter-Asterisk eXcha
(
(obsolete)
)
ange v.2 (IAX2) : UDP
Inter-Asterisk eXcha
4569
PROTO
OCOLOS AFECTADOS
VoIP
■ H.323
Î Primer protocolo VoIP popular

Î Actualmente en decadencia
Î Cerca de 40 impleementaciones diferentes

Î Vulnerabilidades en decoder parsing
p g
(H.225 data exchan
nge)
Î Ejecución de códiggo con paquetes
malformados
Î Requiere puertos dinámicos
d
PROTO
OCOLOS AFECTADOS
VoIP
■ H.323
Î Signaling
- H.245 - Call Paraameters - Dynamic
y TCP
- H.225.0
. Q.931 - Call Seetup
p - TCP 1720
. RAS - UDP 1719
- Audio Call Control - TCP 1731
- RTCP - RTP Con ntrol - Dynamic UDP
Î Media
- RTP - Audio - Dy ynamic UDP
- RTP - Video - Dy ynamic UDP
VoIP
■ H.323
PROTO
OCOLOS AFECTADOS
VoIP
■ H.323
PROTO
OCOLOS AFECTADOS
VoIP
■ H.323
PROTO
OCOLOS AFECTADOS
VoIP
■ SIP
Î Protocolo flexible
e
Î Actualmente el más p popular
p y usado
Î Estandarizado y abierto
a
Î Separa
p señalización de media
Î Funciona primord dialmente sobre UDP
Î No se diseño pensando en seguridad
PROTO
OCOLOS AFECTADOS
VoIP
■ SIP
PROTO
OCOLOS AFECTADOS
VoIP
■ SIP
PROTO
OCOLOS AFECTADOS
VoIP
■ SIP
PROTO
OCOLOS AFECTADOS
VoIP
■ IAX2
Î Exclusivo de asteerisk (disponible en

algunos
g vendors diferentes
d a digium)
g )
Î En proceso de estandarización ('09)
Î Unifica señalización y media
Î Amigable con fireewall y nat

Î Funciona sobre UDP
U
Î También tiene prooblemas de seguridad
PROTO
OCOLOS AFECTADOS
VoIP
■ IAX2
PROTO
OCOLOS AFECTADOS
VoIP
■ IAX2
PROTO
OCOLOS AFECTADOS
At
Ataques especificos
ifi a estos
t protocolos
t l
■ Flooding
Fl di
SIP INVITE
Bogus RTP
TCP SYN
ICMP
■ Flood Amplification
Spoof source addresss
Spread
Invoke (respuesta con

n más datos)
PROTO
OCOLOS AFECTADOS
Ataques especificos a estos protocolos
■ Fuzzing
Malformed message
■ Signaling Manipulation n
Malicious signalling messages
m
New signalling messages
■ Forced Call teardown

Inject spoof messages (call tear-down)
tear down)
Î SIP: BYE
Î IAX: HANGUP
PROTO
OCOLOS AFECTADOS
■ Registration/Call Hijackking
Captura información ded registro
Suplantación de regist tro
Monitoreo de llamadas en proceso
■ Media Hijacking
Inserción de señales maliciosas
m
■ Caller-ID
Caller ID Spoofing
Call iniciada con Calle
er-Id falso
■ Caller-ID Name Disclos sure
Sacarle a la PSTN el nombre
n registrado
PROTO
OCOLOS AFECTADOS
■ Eavesdropping
Malformed call set-up signalling
Captura de trafico RTP
■ Directory Enumeration n
Active: Specially crafte
ed protocol message
Passive: Watch netwo ork traffic
■ Media Injection
Inject new media in active channel
Replace
p media en acttive channel
■ Covert Communication n
Insertar datos dentro de
d un canal activo
PLAN DE TRABAJO
H.323, SIP, IAX2
Cisco, Avaya, 3CX, A

Asterisk
■ Herramientas
e a e tas Ut Utilizada
ada
as
VoIP Sniffing Tools
VoIP Scanning g and Enumeration

E Tools
VoIP Packet Creation n and Flooding Tools
VoIP Fuzzingg Tools
VoIP Signaling Manip pulation Tools
SNIFFING
■ Primordialmente utiliza
adas para "escuchar”
Î AuthTool: Captura
a de Password
Î Cain & Abel: Reconstruye RTP
Î P Analyzer: Análisis de
$ CommView VoIP
VoIP
Î $ Etherpeek: Sniffe
er
HERRAMIIENTAS UTILIZADAS
SNIFFING
■ Soportan varios protoc

colos
Î ng To You"): Skinny sniffer

ILTY ("I'm Listenin
Î NetDude : Análisis de tcpdump files
Î Oreka: Grabación de
d RTP audio streams
Î SIPscan: Capturar sesiones SIP
SNIFFING
■ Versiones Windows, BSD y Linux
Î RtpBreak: Captura
a de RTP en bruto
Î SIPomatic: Escuch
ha de SIP
Î SIPv6 Analyzer: SIIP sobre Ipv6
Î UCSniff: VoIP eave

esdropping y ARP spoof
SNIFFING
■ Soportan varios protoc

colos
Î VoiPong & VoiPon ng ISO: Captura de RTP

para SIP,, H323,, Skinny
p y
Î VOMIT: Cisco Phon

ne to wav
Î Wireshark: Networrk traffic analyzer
Î WIST: Captura web

b de SIP signalling
SNIFFING
■ UCSniff
SNIFFING
■ VoiPong
SCANNING AND ENUMERATION
■ Utilizadas para ubicarr servidores VoIP y para

listar las extensiones
Î $ EnableSecurity VoIPPack
V for CANVAS:
Scan enumeration y ataques fuerza bruta
Scan,
Î EnumIAX: Login en
numerator con REGREQ
Î Iaxscan: Scanner p
para detectar hosts Iax2 y
luego enumerar porr fuerza bruta
■ Vectores de ataque IAX

X, SIP, SKINNY
Î Iwar: IAX2 protocol

p wardialer
Î Nessus: vulnerabillity
y scanner
Î Nmap: network porrt scanner
Î $ Passive Vulnerability Scanner: Análisis

pasivo de red, 40 ch
hecks VoIP
■ La enumeración esta definida

d en el RFC
Î SCTPScan: Enume eración de puertos SCTP

abiertos sin asociac
ción. (SS7 over IP)
Î SIP Forum Test Frramework (SFTF):

Framework para qu ue los SIP device vendor
validen sus equipos
s
■ Los equipos IP están pensados para uso en

LAN
Î SIP-Scan: Rápido Scanner

S SIP
Î SIPcrack: Hace sniff para obtener SIP logins

y luego
g crack p
por fu
uerza bruta
Î Sipflanker:
p Busca dispositivos
d p SIP con
interfaz web accesib
ble
■ Las herramientas no so
on fácilmente obtenibles
Î SIPSCAN: Enumerrador q
que usa INVITE,,
REGISTER y OPTIOONS
Î SiVuS: SIP Vulnera

ability Scanner
Î VLANping: ping co
on VLAN tag
■ SIPVicious es la más popular

p
Î SIPVicious Tool Suite

- Svmap is a sip sccanner
-s a identifies
svwar de t es a active
act eeextensions
te s o s o
on a
PBX
- svcrack is an online ppassword cracker for
SIP PBX
Î $ VoIPAudit: Scanner de vulnerabilidades
Î SMAP: SIP stack fingerprint
SCANNING AND ENUM
MERATION
■ SIPVicious
SCANNING AND ENUM
MERATION
■ SIPFlanker
■ VoIPAudit
■ enumIAX
HERRAMIENTAS UTILIZADAS
PACKET CREATION & FLOODING
■ Usadas para DoS/DDoS

S
Î IAXFlooder: Floode
er de paquetes IAX
Î INVITE Flooder: En
nvia una mareada de
mensajes SIP INVIT
TE a un telefono o proxy
Î kphone-ddos: Usa ando Kphone para inundar

con SIP spoofing
p g
■ Usadas para Capacity Testing

T
Î $ SiPBlast: Herram mienta ppara ppruebas de

infraestructura por medio
m de colmado
capacidad
p creando tráfico de llamadas CPE
masivo
Î $ NSAUDITOR Flooder: Generador de tráfico

SIP UDP para pruebas de stress
Î RTP Flooder: Paqu

uetes “well formed” RTP
■ Usadas para explotarr vulnerabilidades en el

protocolo
Î Scapy: Herramienta
a interactiva para
manipulación
a pu ac ó de paaquetes
aquetes.
Î Seagull:
g Generado
or de tráfico multi protocolo
p
Î SIPBomber: Herramienta p
para p
probar SIP en
Linux
HERRAMIENTAS UTILIZADAS
■ Algunas desarrolladas por HP
Î SIPNess: SIP testin

ng tool que prueba
aplicaciones SIP
Î SIPp: generador dee tráfico y pruebass para

SIP (muy utilizada)
Î SIPsak: SIP swiss army

a y knife
■ Scapy
■ SIPBomber
■ NSAuditor
■ SIPp
■ SIPsak
FUZZING TOOLS
■ Generación de paquete
es malformados
Î Asteroid: Juego de
e métodos SIP
malformados (INVIT
TE, CANCEL, BYE)
Î Codenomicon: Verrsión comercial de

PROTOS
Î Interstate Fuzzer: VoIP

V Fuzzer
FUZZING TOOLS
■ Usualmente utilizados para DoS
Î orm: Appiance para Fuzzy

IMS Fuzzing plaffo
SIP, H323 y MGCPP
Î PROTOS: Herramie enta java para generación

de p
paquetes
q malformados H.323 y SIP
Î y MiM, Prroxy
SIP-Proxy: y entre el UA y el PBX
FUZZING TOOLS
■ Usados en prueba de calidad

c y robustez
Î x: Probador de robustez
$ Spirent ThreatEx
Î VoIPER:
o Security
Secu ty to
oolkitt que pe
oo permite
te p
probar
oba
dispositivos VoIP
Î SFTF: Framework para ser usado por los

SIP Vendors
FUZZING TOOLS
■ VoIPER
FUZZING TOOLS
■ FUZZER
FUZZING TOOLS
■ SIP Proxy
SIGNALING MANIPUL
LATION
■ Usadas para desconec

ctar llamadas
Î BYE Teardown: Injjecta un SIP BYE

message para desc
conectar la llamada
Î Check Sync: Envia a un SIP NOTIFY

haciendo reiniciar ciertos
c telefonos
Î g gj Desconecta llamadas H.323

H225regregjet:
SIGNALING MANIPUL
LATION
■ Usadas para mod

dificar procesos de
autenticación
Î IAXHangup: Herram mienta usada para

desconectar llamad
das IAX,
IAX Injecta un IAX
HANGUP
Î $ SiPCPE: Evalua compliance

c de protocolo
Î RedirectPoison: Por medio de SIP INVITE

redirecciona una lla
amada
SIGNALING MANIPUL
LATION
■ Manipulan flujo de med

dia procesos de registro
dia,
Î Reg Adder: Intenta

a adicionar al SIP
HEADER otra IP paara que la llamada se
redireccione
ed ecc o e a dos C
CPE
Î Regg Eraser: Causa a un DoS p

por medio de un
SIP REGISTER spo oof message que hace
creer al SIP Proxy
yqque no hay
y usuario
disponible
SIGNALING MANIPULA
ATION
■ Manipulan flujo de media,

a procesos de registro
Î Reg Hijacker: Generra un mensaje SIP

REGISTER faso para a que todas las llamadas
entrantes
e t a tes se e
enruten
ute aal ataca
atacante
te
Î SIP-KILL : Sniff de SIP

S INVITES p
para tumbar la
llamada
Î SIP-Proxy-Kill: Finalliza a nivel de señalización

una sesión SIP en el proxy remoto antes que el
SIGNALING MANIPUL
LATION
■ Son de las herramientas más avanzadas

disponibles
Î SIP-RedirectRTP: Manipula encabezados

SDP redirigiendo el RTP a un Proxy
Proxy.
Î SIPRogue : Un proxxy SIP multifuncional

insertado entre dos partes
Î vnak: VoIP Network

k Attack Toolkit
SIGNALING MANIPUL
LATION
■ Son de las herramientas más avanzadas

disponibles
Î VoIPHopper: Herra amienta para validación de

seguridad que buscca simuar un telefono con
un PC para suplantarlo a nivel de VLAN
SIGNALING MANIPUL
LATION
■ VoIPHOPPER
MEDIA MANIPULATIO
ON
■ Buscan alterar las com

municaciones
Î RTP InsertSound: Inserta el contenido de un

.wav dentro de una conversación activa
Î RTP MixSound: Similar a la anterior
Î RTPProxy: Espera paquetes RTP y los

redirecciona a dond
de se le indique
MEDIA MANIPULATIO
ON
■ Usadas por los espias
Î SteganRTP: Herram mienta estenográfica que

establece un flujo de datos oculto dentro del
flujo de media.
media Incluye chat
chat, archivos y shell
remoto
Î VO²IP: Esconde una conversación dentro de

otra p
por medio de compresión
c p y G.711
MEDIA MANIPULATIO
ON
■ SteganRTP
OTRAS HERRAMIENT
TAS
■ Brute: Herramienta
IAX.Brute:
IAX a de ataque passive por
diccionario en el challenge/response IAX
■ SIP-Send-Fund:
SIP Send Fund: Utilidad que explota
vulnerabilidades especifficas
■ ast c Herramient
SIP.Tastic:
S e a e tta de ataque pas pasivoo de
dictionario al método SIPP Digest de autenticación
■ Spitter:
p Herramientas p para asterisk q
que hacen
pruebas de VoIP Spam
■ VSAP: Programa
g de auditoria p por medio de
preguntas y respuesta queq valida la seguridad de
redes VoIP (SIP/H.323/R RTP)
ALGUNOS VIDEOS DE
E LAS
HERRAMIENTAS
■ SIPgull
http://gull.sf.net/flvpla
ayer.swf?file http://gull.s
ayer.swf?file=http://gull.s
f.net/doc/seagull_01..flv
■ VoIPPack
http://www.vimeo.com
p m/moogaloop.swf?clip
g p p_id
=2524735&serv ver=www.vimeo.com&am
p
p;fullscreen=1&ampp;show_title=1&sho
_ p
w_byline=0&show_portrait=0&colo
r=01AAEA
PLAN DE TRABAJO
■ Análisis de un ataque
ón
■ Demo
e o Real
ea ((limitado
tado
o a d
disponibilidad
spo b dad de
tiempo)
LOGS ATAQUE
ANALISIS DE UN ATAQUE
Feb 3 22:54:31 NOTICE[2851
[ 14]] chan_sip.c:
_ p Registration
g
from '"613430211"<sip:613 3430211@xxx.yyy.zzz.xxx>'
failed for '86.72.2.248' - Username/auth name
mismatch
Un total de 19511 enttradas

LOGS ATAQUE
ANALIISIS DE UN ATAQUE
Feb 3 22:54:31 NOTICE[2851
[ 14]] chan_sip.c:
_ p Registration
g
from '"0"<sip:0@xxx.yyy.zzz
z.xxx>' failed for
'86.72.2.248' - Username/au
uth name mismatch
Feb 3 22:54:31 NOTICE[2851 14] chan
chan_sip.c:
sip c: Registration
z.xxx>' failed for
'86.72.2.248' - Username/au
uth name mismatch
Feb 3 22:54:31 NOTICE[2851 14] chan_sip.c: Registration
z.xxx>' failed for
'86.72.2.248'
86 8 - Use
Username/au
a e/au
uth name
ut a e mismatch
s atc
Enumeración
LOGS ATAQUE

from '"9996"<sip:9996@xxx x.yyy.zzz.xxx>' failed for
'86.72.2.248' - Username/au
uth name mismatch
Feb 3 22:56:12 NOTICE[2851 14] chan
chan_sip.c:
sip.c: Registration
'86.72.2.248' - Username/au
uth name mismatch
F b 3 22
Feb 22:56:12
56 12 NOTICE[2851 14] chan_sip.c:
h i R
Registration
i t ti
'86.72.2.248' - Username/au
uth name mismatch
'86
86.72.2.248
72 2 248' - Username/au
uth name mismatch
Escaneo todo el rango de 0 a 9999

LOGS ATAQUE
Cantidad de intentos por extensión e IP

LOGS ATAQUE
EL RESULTADO !!!
LOGS ATAQUE
ANALIS
SIS DE UN ATAQUE
ls -all /sbin/init.zk
MAS LEJOS ... ROOTK

KIT OWNED
KIT,
FreePBX backdoors and default passwords that
was published on Aprill 15, 2011.
http://nerdvittles.com/
p m/?p=737
p
It recently came to our atttention that it is possible

to login to the Elastix se
erver unembedded
FreePBX Web interface (http://address/admin)
( with
user name ‘asteriskuser’’ and password
‘eLaStIx.asteriskuser.2oooo7′. The user name and
password are the same user
p u name and password
p
used by FreePBX to acce ess the ‘asterisk’ MySQL
database. They are defin ned in the parameters
AMPDBUSER and d AMPDB BPASS ini th
the
/etc/amportal.conf file.
PLAN DE TRABAJO
ón
■ Demo Real (limitado

o a disponibilidad de
tiempo)
■ FIREWALL: Bloquear TODOT por defecto y solo
permitir acceso desde orrigenes autorizados


permitir acceso desde orrigenes
p g autorizados
■ FIREWALL: Bloquear
q T
TODO por defecto y solo
p

q T
p



permitir acceso desde orrigenes
p g autorizados
q T
p
■FIREWALL: Bloquear TODO
B
por defecto
d f t y solo l permitir
iti
acceso dessde origenes
autorizados
■ Monitoreo CDR y LO OGS: Estar pendiente de
comportamientos anorm
males
■ Cambiar password por defecto: En todos los

servicios
■ NO utilizar logins númericos para las

extensiones: Debe serr diferente al número de la
extensión
■ NO utilizar password ds númericos: Se deben

utilizar passwords alfanú
úmericos
■ Desactivar servicios no usados en PBX: DISA,
Voicemail remoto,, Callba
ack
■ Desactivar servicios no utilizados en SO:

Minimizar vectores de rie
esgo
■ Administración por VPN: El acceso a la

administración DEBE se
er por VPN
■ Administración local: El acceso a la

administración DEBE se
er local.
■ zados: Forums de Digium
Lea portales especializ
■ Control de acceso parra administración: Defina

usuarios con niveles de acceso
■ Restringir acceso físico: y lógico también.
■ No habilite auto carg ga en las tarjetaas de

credito: Para troncales internacionales
■ RESTRINGA DIAL PLAN LDI/LDN: Realmente
necesitan llamar a Zimba
abwe?
001|1NXXXXXXXXX X <- USA
001|0052NXXXXXXX
| XXX <- MEXICO
0012|N.
■ ASEGURE APACHE: Que sea inaccesible sin

autenticación a nivel de apache
mod_auth_mysql
mod_authz_ldap
■ ASEGURE SIP.CONF:
context non existantt
context=non-existant
alwaysauthreject=yes
allowguest no
allowguest=no
■ LIMITE C CANTIDAD DE LLAMADAS

SSSIP:
call-limit = 2
■ ASEGURE EL TIPO DE
E DEVICE SIP:
type=
yp user
type= peer
type= friend
■ ASEGURAMIENTO AVANZADO POR
IPTABLES:
iptables -I door 1 -p udp --dport 5060 -m string --string
"mysecretpass" --algo bm -m recent --set --name
portisnowopen
ti
iptables -A INPUT -p udp --dport 5060 -m recent --rcheck
seconds 4000 --name
--seconds name portisnowopen -jj ACCEPT
■ RESTRINGA REDES VA ALIDAS PARA SIP:

deny = 0.0.0.0/0.0.0.0
permit = 192.168.10..0/255.255.255.0
p
deny = 0.0.0.0/0.0.0.0
permit = 0.0.0.0/0.0..0.0
■ ASEGURE EL CONTEX XTO DEFAULT:
[default]
[other-context]
■ ASEGURE EL MANAGE ER.CONF:

deny = 0.0.0.0/0.0.0.0
permit = 192.168.10..0/255.255.255.0
deny = 0.0.0.0/0.0.0.0
permit
it = 0.0.0.0/0.0.
0 0 0 0/0 0.0.0
00
■ type=peer
peer al hacer un REG
GISTER recibe un
CHALLENGE (no challenge on consecutive
INVITEs)
■ type=user
user no se puede reg gistrar y en INVITEs recibe
un CHALLENGE
■ type
type=friend
e d
friend ( peer+user ) hace
h que asterisk intente
autenticar en INVIT
TEs.
If the device was defined only as peerr, asterisk would not try to authenticate
- peer must register first. The
T INVITE would be ignored.
■ UTILICE FAIL2BAN/AP
PF/BDF
Versión “automatiza
ada” de
cat /var/log/asterisk/full | grep "Wrong password" | awk {'print

$9,$12'} | cut -c6-9,26-45 | un niq -c
1288 1234' '208.38.181.6'
iptables -A
A INPUT -ss 208.38.18
208 38 18
81 6 -jj DROP
81.6
Tenga en cuenta bug g en asterisk que no

reporta ip en INVITES
S
■ UTILICE FAIL2BAN
Solamente protege in
ntentos de REGISTER
type
type=peer
peer ayuda a garantizar esto
failregex = NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Wrong password
NOTICE.* .*: Registration from '.*' failed
d for '<HOST>' - No matching peer found
d for '<HOST>' - Username/auth name
mismatch
d for '<HOST>' - Device does not match ACL
NOTICE.* ..*:: Registration from '.*'
NOTICE. . failed
d for '<HOST>'
HOST - Peer is not supposed to
register
d for '<HOST>' - ACL error (permit/deny)
NOTICE.* <HOST> failed to authentica ate as '.*'$
NOTICE * .*:: No registration for peer '.*'
NOTICE. * $from <HOST>$
NOTICE.* .*: Host <HOST> failed MD5 5 authentication for '.*' (.*)
NOTICE.* .*: Failed to authenticate use er .*@<HOST>.*
■ UTILICE APF/BDF
Advanced Policy Fire

ewall
/etc/apf/conf.apf
apf -d 202.86.128.0/24
Brute Force Detectio

on
bfd -s
/ec/cron.d/bfd
PLAN DE TRABAJO
ón
■ Demo
e o Real
ea ((limitado
tado
o a d
disponibilidad
spo b dad de
tiempo)
SEAQ SERVICCIOS CIA LTDA
Info
ormación de Contacto
Dirección: Carrera 15 # 79 – 37 Oficina
a 201A
Bogotá, Colombia
Teléfono: +57 – 1 655 98 00
Fax: +57 – 1 655 98 02
Internet: www.seaq.com.co
o
Contacto: ventas@seaq.com
@ q m.co
MUCHAS G
GRACIAS POR SU
ATENCIÓN.
Tome el control de la
Información en su
Empresa
http:://www.
http //www.seaq
seaq..com
com..co

PresentacionAndresMujica HackingServidoresVOIP PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

PresentacionAndresMujica HackingServidoresVOIP PDF

Cargado por

Copyright:

Formatos disponibles

Hacking y As

El mal uso de la misma implica la

■ Conocer las diferentess modalidades de fraude

■ Conocer los diferenttes tipos

■ Determinar las mejores

■ Antecedentes del fraud

 Cisco, Avaya, 3CX, A

 VoIP Scanning g and Enumeration

■ Demo Real (limitado

■ Antecedentes del fraud

 Silbando a 2600Hz Joybubbles /

■ De las telco hacia el us

Î PBX : Recepción transfiere a un número

Î 809 Scams: Engañ

Î Existen botnets qu ue generan ataques

■ Media hijacking (chuza

Î S. 30: Truth in Caller ID

 Grabación de llamad das

■ No de clic sobre el enla

Î Robar información personal (leáse tarjeta

Î Empresa de seguridad en VoIP

 VoIP Scanning and Enumeration

 VoIP Signaling Manippulation Tools

 Session Initiation Protocol (SIP) : TCP/UDP

 Real-time Transfer Control

 Real-time Transfer Protocol

 ange v.1 (IAX): UDP 5036

Î Primer protocolo VoIP popular

Î Cerca de 40 impleementaciones diferentes

Î Exclusivo de asteerisk (disponible en

Î Unifica señalización y media

Î Amigable con fireewall y nat

 Invoke (respuesta con

■ Forced Call teardown

 Captura de trafico RTP

 Cisco, Avaya, 3CX, A

 VoIP Scanning g and Enumeration

Î Cain & Abel: Reconstruye RTP

■ Soportan varios protoc

Î ng To You"): Skinny sniffer

Î NetDude : Análisis de tcpdump files

Î SIPscan: Capturar sesiones SIP

■ Versiones Windows, BSD y Linux

Î SIPv6 Analyzer: SIIP sobre Ipv6

Î UCSniff: VoIP eave

■ Soportan varios protoc

Î VoiPong & VoiPon ng ISO: Captura de RTP

Î VOMIT: Cisco Phon

Î Wireshark: Networrk traffic analyzer

Î WIST: Captura web

■ Utilizadas para ubicarr servidores VoIP y para

■ Vectores de ataque IAX

Î Iwar: IAX2 protocol

Î Nmap: network porrt scanner

Î $ Passive Vulnerability Scanner: Análisis

■ La enumeración esta definida

Î SCTPScan: Enume eración de puertos SCTP

Î SIP Forum Test Frramework (SFTF):

■ Los equipos IP están pensados para uso en

Î SIP-Scan: Rápido Scanner

Î SIPcrack: Hace sniff para obtener SIP logins

Î SiVuS: SIP Vulnera

■ SIPVicious es la más popular

Cisco, Avaya, 3CX, A

VoIP Scanning g and Enumeration

Silbando a 2600Hz Joybubbles /

Grabación de llamad das

VoIP Scanning and Enumeration

VoIP Signaling Manippulation Tools

Session Initiation Protocol (SIP) : TCP/UDP

Real-time Transfer Control

Real-time Transfer Protocol

ange v.1 (IAX): UDP 5036

Invoke (respuesta con

Captura de trafico RTP

Cisco, Avaya, 3CX, A

VoIP Scanning g and Enumeration