seguridad voip
DESCRIPTION
Seguridad aplicada a la Telefonía IP.TRANSCRIPT
TIPOS DE ATAQUES
Ataques al Sistema
Eavesdropping
Identity Spoofing
Snooping Attacks
Interception
Replay attacks
Data Modification Attack
Repudiation Attacks
DoS Attacks
DDoS Attacks
Password Guessing Attacks
Man-in-the-Middle Attacks
Back door Attacks
Spoofing Attacks
Compromised-Key Attacks
Application-layer Attacks
Los atacantes buscan vulnerabilidades del Sistema Operativo y lo explotan para obtener acceso a un sistema de red
Algunas de las vulnerabilidades del S.O.1.- Vulnerabilidades en el Buffer Overflow2.- Bugs en el Sistema Operativo3.-Sistema Operativo sin partchear
ATAQUES AL SISTEMA OPERATIVO
Una acción o evento que puedacomprometer la seguridadUna amenaza es una potencial violación de la seguridad
Existencia de una debilidad, en el diseño, implementación o error que puede conducir a un evento inesperado y no deseado, pone en peligro la seguridad del sistema
Los hackers que al salir con el robo de bases de datos generalmente se completa su tarea, y luego dar marcha atrás para cubrir sus huellas por la destrucción de los registros, etc
TERMINOLOGÍA ESENCIAL
Threats Vulnerability Daisy chaining
ELEMENTOS DE LA SEGURIDAD DE LA INFORMACIÓN
La garantía de que la información es accesible sólo para aquellos autorizados a tener acceso. Violaciones de la confidencialidad puede ocurrir debido a la manipulación de datos incorrecta o un intento de hacking
La confiabilidad de los datos o recursos en términos de prevención de cambios inapropiados y no autorizadosAsegurar que la información se puede confiar en que ser lo suficientemente precisa para su propósito
La garantía de que los sistemas responsables de la entrega.Almacenamiento y procesamiento de la información son accesibles cuando son requeridos por los usuarios autorizados
ATAQUES: FUZZING
Envío de paquetes malformados en busca de errores en la programación
- Desbordamientos de buffer, sobrescritura de memoria... - Fallos de segmentación
Herramientas:
- PROTOS SIP Fuzzer - VoIPER - SiVuS
ATAQUES: FLOODING
Ataques de denegación de servicios (DDoS) por inundación
La victima se ve saturada de paquetes inservibles y es incapaz de procesar peticiones válidas
Diferentes opciones - Flooding de mensajes SIP - Flooding UDP - Flooding RTP
Herramientas - Inviteflood - Udpflood - Rtpflood - Sipsak - Sipp
ATAQUES: EAVESDROPPING
El ataque mas temido e inpactanteEscucha de conversaciones: “Chuponeo”
A través de un ataque previo de Man-In-the-Middle, el atacante consigue “ver” toda la información.
- Señalización - Flujo multimedia
Se compromete la privacidad del usuario
ATAQUES: SIP PASSWORD CRACKING
SIP utiliza HTTP Digest (RFC2617) como mecanismo de autenticación
- Sencillo - Eficiente - Inseguro
Funcionamiento:
- Se genera el texto del desafío (digest) y se le envía al usuario que se quiere autenticar (junto al error 407)
- El usuario lo cifra con su información (realm, usuario, contraseña) y lo envía
- El autenticador podrá validar las credenciales gracias al digest
ATAQUES: SIP PASSWORD CRACKING
Dentro de un digest:
- Realm: Identifica el dominio del cual el servidor es responsable
- Nonce: String generado de forma única para cada desafío (string arbitrario + marca de tiempo)
- Algorithm: De momento solo esta soportado MD5 -> se puede romper!
Herramientas:
- SIPdump y SIPcrack - Cain & Abel - John The Ripper
ATAQUES: EXPLOITS
Pequeños programas o scripts que se aprovechan de una vulnerabilidad para atacar un servicio
Ataques DoS
Vulnerabilidades de Asterisk -> ASA
-Asterisk 1.4.0 se cae si se llega un INVITE con el Content-Length en negativo
Xlite 1103 -Al enviarle un INVITE con el Content-Length >= 1073741823 se pone a consumir RAM y decae el rendimiento del sistema
ATAQUES: ERRORES DE CONFIGURACIÓN
Asterisk - allowguest=no ; Prohibir totalmente las llamadas no autenticada
- alwaysauthreject=yes ;rechazarán pedidos de autenticación fallido
- Contextos adecuados al nivel de privilegios del usuario.
- T: Allow the calling user to transfer the call by hitting the blind xfer keys (features.conf)
- cambiar usuario y password por default en el manager.conf
- bloquear puertos del AMI, usar “permit=” y “deny=” en el manager.conf
- Los nombres de usuarios SIP deben ser diferentes que sus extensiones
- configuración de de claves mínimo 8 digitos, utilizar una combinación de: mayusculas, minusculas, caracteres especiales y numeros (ex: %$:.P34j)
ATAQUES: SPIT
Spam Over Internet Telephony
¡Hola amigo! ¿Desea ser tan feliz como yo? Puesya puede serlo enviando 1 dolar a Hombre Feliz al742 de Evergreen Terrace , no lo dude ¡la felicidadeterna esta a solo un dolar!
--Homer J. Simpson
ATAQUES: SERVICIOS
Los servidores Asterisk normalmente incluyen muchos servicios
- DHCP
- TFTP
El ataque a estos servicios puede comprometer la integridad del sistema
HERRAMIENTAS
RTPflood, INVITEflood, UDPfloodRTPflood, INVITEflood, UDPflood
Herramientas básicas de flooding
Ataque DoS por inundación
- Paquet loss - Latencia - Jitter
Uso (enviamos 1.000.000 de paquetes):
./udpflood 192.168.130.243 192.168.130.244 90 5060 1000000
./inviteflood eth0 300 192.168.130.244 192.168.130.244 100000
HERRAMIENTAS
Sipsak y SIPpSipsak y SIPp
- Herramientas estándar para benchmarking y testing de SIP
- También las podemos usar para hacer flooding ;)
Uso:
#sipsak -F -s sip:[email protected]#sipp 192.168.130160(pulsar ++++)
HERRAMIENTAS
EttercapEttercap
Herramienta popular para realizar ataques MitM (Man In The Middle)
Para capturar señalización / flujo multimedia necesitamos ponernos “en medio”
Uso:
- Habilitamos el forwarding de paquetes IP echo 1 > /proc/sys/net/ipv4/ip_forward - Nos ponemos “en medio” :) ettercap -o -T -P repoison_arp -M arp:remote / 192.168.1.111/ //
¡Ahora podemos capturar todo el tráfico! ;P
HERRAMIENTAS
SIPdump - SIPcrackSIPdump - SIPcrack
Herramientas para capturar tráfico SIP y crackear las contraseñas
Alternativas - Wireshark (snifer) - John The Ripper (fuerza bruta para descifrar contraseñas)
Uso: - sipdump -i eth0 capturaSIP.pcap - mkfifo claves - john --incremental=alpha --stdout=8 > claves - sipcrack -w claves capturaSIP.pcap
Ejemplo: Password ‘ludovico' crackeado ¡en 3s!
HERRAMIENTAS
VoIPERVoIPER
Potente fuzzer con muchos casos de prueba
Testing para detectar fallos en software y hardware
Uso:
python fuzzer.py -f SIPInviteCommonFuzzer -i10.0.0.244 -p 5060 -a sessions/scen1 -c 0
python fuzzer.py -f SIPInviteCommonFuzzer -c 2 -i10.0.0.244 -p 5060 -a sessions/scen2 -m 1024
python torturer.py -i 10.0.0.244 -p 5060 -c 0 -t invalid
HERRAMIENTAS
SIPViciousSIPVicious
Conjunto de herramientas de seguridad en VoIP
Svmap (escaneador SIP)
Svcrack (crackeador de contraseñas)
Svwar (enumerador de extensiones)
Uso:
- svmap.py 192.168.130.1-254 - svwar.py -e1000-1999 192.168.130.160 - svcrack.py -u200 secret 192.168.130.160
HERRAMIENTAS
CAIN & ABELCAIN & ABEL
Herramienta completa de cracking con funcionalidades de VoIPARP Pisoning con 1 click¡Eavesdropping con cualquier codec!
HERRAMIENTAS
SiVuSSiVuS
Herramienta de auditoría, seguridad y generación de tráfico SIP
Permite testear dispositivos SIP en busca de
vulnerabilidades
HERRAMIENTAS PARA ATAQUES DE SERVICIOS
DHCP
Si se agota el rango los terminales no podrán solicitar una nueva IP -Dhcpx dhcpx -i eth0 -vv -D 192.168.1.254
TFTP
-TFTP no requiere autenticación - Los terminales siempre piden los ficheros con un nombre concreto - Se puede automatizar un ataque por fuerza bruta
CONTRAMEDIDAS
Evitamos el flooding (en gran medida)
- Números de secuencia - Three way handshake
Si se usa TCP es necesario que TODOS los terminales usen exclusivamente TCP.
Posibilidad de usar TLS (RFC2246)
- Cifrado de la señalización - Mecanismo fuerte de autenticación - ¡Ojo! No es end-to-end - Se garantiza la autenticidad, confidencialidad, integridad y no repudio -A menos que sea un insider
CONTRAMEDIDAS
Evitamos el flooding (en gran medida)
- Números de secuencia - Three way handshake
Si se usa TCP es necesario que TODOS los terminales usen exclusivamente TCP.
Posibilidad de usar TLS (RFC2246)
- Cifrado de la señalización - Mecanismo fuerte de autenticación - ¡Ojo! No es end-to-end - Se garantiza la autenticidad, confidencialidad, integridad y no repudio -A menos que sea un insider
HERRAMIENTAS ASTERISK
Objetivo de SRTP (RFC3711): Asegurar el tráfico RTP - Cifrado - Autenticación - Integridad
Mecanismo de clave maestra y claves derivadas para el cifrado (AES)
- Obtención de la primera clave maestra- ZRTP- MIKEY
SRTP y ZRTP
HERRAMIENTAS ASTERISK
SRTP y ZRTP
ZRTP: Draft lanzado por Phil Zimmerman, John Callas y Alan Johnston en 2006
Especifica un mecanismo de intercambio de clavesbasado en Diffie-Hellman
La negociación se realiza a nivel de RTP (inband) - Agnóstico a la señalización (H323, Jabber,...) - No se necesitan claves compartidas ni estructura PKI (claves efímeras)
Una vez negociadas las claves la comunicación se cifra mediante SRTP
TÚNELES VPN
Posibilidad de establecer conexiones seguras en medios hostiles - Internet
Relativamente sencillas de implementar
Bajo coste
Algunos terminales implementan soluciones de cliente VPN
- Snom 370 (OpenVPN)
VLAN's
Nos permiten separar las redes
- Voz - Datos
Restricciones de acceso
-Filtrado por MAC -Filtrado por puerto 802.x - QoS
No imposibilitan los ataques pero lo ponen más difícil
SISTEMA DE DETECCIÓN DE INTRUSOS IDS
Sistema para detectar accesos no autorizados
Sistema IDS/IDP
- Software Libre - Plugins libres (Community) - Plugins propietarios (VRT)
Plugins para VoIP y SIP
- Comunity
VPN: ¿QUE ES UNA VPN?
✔Es una extensión de una red privada que utiliza enlaces a través de redes públicas o compartidas como Internet.
✔Para emular un enlace punto a punto, los datos son encapsulados con una cabecera que proporciona la información de enrutamiento para llegar a su destino.
✔Busca emular una conexión privada, para esto los datos son encriptados.
BENEFICIOS DE LAS VPN'S
✔Extender la Red de la corporación a través de Internet
✔Formatear los negocios sobre Internet
✔Reducir los costos de acceso remoto (dial-up)
✔Se proporciona movilidad a los usuarios, fomentar el teletrabajo, conectividad a los recursos centrales de la organización de forma transparante.
VPN: ¿QUE ES UNA VPN?
✔Es una extensión de una red privada que utiliza enlaces a través de redes públicas o compartidas como Internet.
✔Para emular un enlace punto a punto, los datos son encapsulados con una cabecera que proporciona la información de enrutamiento para llegar a su destino.
✔Busca emular una conexión privada, para esto los datos son encriptados.
PROTOCOLOS NO SEGUROS
HTTP FTP TELNET SMTP SIP
✔La mayoría de los protocolos no son seguros
✔La data es visible
PROTOCOLOS NO SEGUROS
HTTP FTP TELNET RTP SIP
✔La mayoría de los protocolos no son seguros
✔La data es visible
CONCLUSIONES
Mantener un sistema 100% seguro es complicado - $$$
La gente no suele preocuparse mucho por la seguridad
Las herramientas actuales (algunas) requieren amplios conocimientos por parte del atacante
Es necesario disponer de acceso a recursos privilegiados
La VoIP tradicional (todo sobre UDP) es INSEGURA
- PERO, sabremos solucionarlo ;)