hacking y aseguramiento de servidorres voip/sip aste
Post on 19-Oct-2021
4 Views
Preview:
TRANSCRIPT
Hacking y Asde servidorde servidor
Aste
I A d éIng. André
GERENTE GERENTE
seguramientores VoIP/SIP res VoIP/SIP erisk
é M i i M ji Z lés Mauricio Mujica ZalameaRHCE/RHCSA/RHCVA/DCAP
SEAQ SERVICIOS CIA LTDA SEAQ SERVICIOS CIA LTDA
ADVERTADVERTLa información c
presentación es pacadémico y se dprotección de sus
El mal uso de la violación de leyy
interna
CONTINUE BAJO SU
TENCIA:TENCIA:contenida en esta para uso meramente debe aplicar para la s sistemas de VoIP.
misma implica la yes nacionales e y
acionales
U RESPONSABILIDAD
HACKING Y AS
Conferencista:Conferencista:
Ing. Andrés Mauricio Mujg jandres.mujica@seaq.com.cRHCE/RHCSA/RHCVA/DCAPGERENTE SEAQ SERVICIOGERENTE SEAQ SERVICIO
SEGURAMIENTO *
jica ZalameajcoP
OS CIA LTDAOS CIA LTDA
OBJETIVOS
■ Conocer las diferentestelefónico en redes Votelefónico en redes Vo
■ Conocer los diferentherramientas utilizadas
■ Determinar las mejoresestos ataques
s modalidades de fraudeIPIP
tes tipos de ataque yp q ys para los mismos
s prácticas para prevenir
PLAN DE TRABAJO
■ Antecedentes del fraud
■ Tipos de Ataques
Negación de ServicioHijacking, InterceptaCaller ID SpoofingVishing
de telefónico
oación
PLAN DE TRABAJOPLAN DE TRABAJO
■ Protocolos afectados■ Protocolos afectadosH.323, SIP, IAX2Cisco, Avaya, 3CX, ACisco, Avaya, 3CX, A
■ Herramientas Utilizadae a e tas Ut adaVoIP Sniffing ToolsVoIP Scanning and EgVoIP Packet CreationVoIP Fuzzing ToolsgVoIP Signaling ManipVoIP Media Manipula
AsteriskAsterisk
asas
Enumeration Toolsn and Flooding Tools
pulation Toolsation Tools
PLAN DE TRABAJOPLAN DE TRABAJO
A áli i d t■ Análisis de un ataque
Prácticas de prevenció■ Prácticas de prevenció
Demo Real (limitado■ Demo Real (limitadotiempo)
ónón
o a disponibilidad deo a disponibilidad de
PLAN DE TRABAJOPLAN DE TRABAJO
■ Antecedentes del fraud■ Antecedentes del fraud
■ Ejemplos de Ataques■ Ejemplos de Ataques
Negación de Servicioegac ó de Se c oHijacking, InterceptaciCaller ID Spoofingp gVishing
de telefónicode telefónico
ión
FRAUDE TELEFÓNICOFRAUDE TELEFÓNICO
■ Llamadas gratuitas■ Llamadas gratuitas
■ Servicios adicionales■ Servicios adicionales
■ Ingresos por conceptog esos po co ceptollamadas
OO
o deo de
ANTECEDENTES
H/P CultureH/P Culture
Phreaking■ Phreaking
Phone + FreakPhone + FreakOído más desarrollaSilbando a 2600HzSilbando a 2600Hz'50s (4 y.o.)
■ Hacking
doJoybubbles /Joybubbles /
Joe Engressiahttp://www.nytimes.com/2007/08/20/us/20engressia.html
ANTECEDENTES
Phreakers famososPhreakers famosos
■ Único Telco■ Único TelcoMa Bell
■ Blue BoxIn-band signallingg gFraudes hasta los '90Resuelto con SS7
Steve Jobs0s Steve Jobs
Steve Wozniack
ANTECEDENTES
FRAUDESFRAUDES
■ De las telco hacia el us■ De las telco hacia el us
Cramming: cargog gSlamming: robo d
■ De terceros hacia el us
PBX : Recepción externoWangiri: Devolver
suariosuario
s no deseadosde clientes entre telcos
suario
transfiere a un número
ANTECEDENTESr llamada perdida
FRAUDESFRAUDES
De terceros hacia■ De terceros haciausuario
Marcadores : DesPC marcar a unPC marcar a un número “premium
a ela el
de el
m”
ANTECEDENTES
FRAUDES
■ De terceros hacia el us
809 Scams: Engañmarque un número
lpero no lo es.
C lli C dCalling Cards
Telemarketing frauTelemarketing frau
suario
ñar al usuario para que o que parece familiar
udsANTECEDENTES
uds
FRAUDESFRAUDES
El objetivo es simple■ El objetivo es simple
Llamanos queremLlamanos, queremmás costoso del m
mos cobrarte el minutomos cobrarte el minuto mercado
ANTECEDENTES
ANTECEDENTES
PLAN DE TRABAJOPLAN DE TRABAJO
A t d t d l f d■ Antecedentes del fraud
Tipos de Ataques■ Tipos de Ataques
Negación de ServicioNegación de ServicioHijacking, InterceptaCaller ID SpoofingCaller ID SpoofingVishingVoIP SpamVoIP Spam
d t l fó ide telefónico
ooación
D S / DD SDoS / DDoS
D ió d l S i■ Denegación del Servic
Se inunda el servicSe inunda el servicfalsas afectando e
Existen botnets qudesde múltiples pudesde múltiples puservicio distribuid
iio
cio VoIP con peticionescio VoIP con peticiones el servicio
ue generan ataques untos (Denegación deluntos (Denegación del a)
TIPOS DE ATAQUES
VoIP BOTNETsVoIP BOTNETs
TIPOS DE ATAQUES
V IP BOTNETVoIP BOTNETs
TIPOS DE ATAQUES
HIJACKING
■ Registration hijacking
■ Media hijacking (chuzaadas!)
TIPOS DE ATAQUES
HIJACKING
TIPOS DE ATAQUES
HIJACKING
TIPOS DE ATAQUES
CALLER ID SPOOFINGCALLER ID SPOOFING
■ Suplantar la identificac■ Suplantar la identificac
S. 30: Truth in CaAct of 2009
SpoofCard.com pParis escuchando
GG
ciónción
ller ID
o los mensajes de Lohan
TIPOS DE ATAQUES
CALLER ID SPOOFINGCALLER ID SPOOFING
A t i k St t U■ Asterisk Start UpCaller Id spoofing legVoice disguiseVoice disguiseGrabación de llamad
GG
gal
das
TIPOS DE ATAQUES
VISHING
■ No de clic sobre el enla
Robar informacióde crédito) por me) pSMSIVRemail
ace, mejor llamenos
n personal (leáse tarjeta edio de engañosg
TIPOS DE ATAQUES
VISHING
TIPOS DE ATAQUES
VISHING
TIPOS DE ATAQUES
VoIP SPAM
■ Meussi Solutions
Empresa de seguAtaque masivo enq
ridad en VoIPn el 2009
TIPOS DE ATAQUES
PLAN DE TRABAJOPLAN DE TRABAJO
■ Protocolos afectados■ Protocolos afectadosH.323, SIP, IAX2Cisco, Avaya, 3CX, A, y , ,
■ Herramientas UtilizadaVoIP Sniffing ToolsVoIP Scanning and EVoIP Packet CreationVoIP Fuzzing ToolsVoIP Signaling ManipVoIP Media Manipula
Asterisk
as
Enumeration Toolsn and Flooding Tools
pulation Toolsation Tools
VoIP
■ Signaling
Session Initiation Pr5060,5061,Session Description Encapsulated in SIPpMedia Gateway ContUDP 2427,2727Skinny Client Contro(SCCP/Skinny) : TCP
PROTO
otocol (SIP) : TCP/UDP
Protocol (SDP) :
trol Protocol (MGCP) :
ol Protocol P 2000,2001
OCOLOS AFECTADOS
VoIP
■ Signaling
Real-time Transfer C(S)RTP+1( )
■ Media
Real-time Transfer PSecure Real-time TraDynamic
PROTO
Control Protocol (RTCP) :
Protocol (RTP) : Dynamicansfer Protocol (SRTP) :
OCOLOS AFECTADOS
VoIP
■ Signaling
■ Hybrid
Inter-Asterisk eXcha(obsolete)( )Inter-Asterisk eXcha4569
PROTO
ange v.1 (IAX): UDP 5036
ange v.2 (IAX2) : UDP
OCOLOS AFECTADOS
VoIP
■ H.323
Primer protocolo Actualmente en dCerca de 40 impleVulnerabilidades (H.225 data exchanEjecución de códigmalformadosRequiere puertos d
PROTO
VoIP popularecadencia
ementaciones diferentesen decoder parsing p gnge)go con paquetes
dinámicos
OCOLOS AFECTADOS
VoIP
■ H.323
Signaling- H.245 - Call Para- H.225.0. Q.931 - Call Se. RAS - UDP 17
- Audio Call Cont- RTCP - RTP ConMedia- RTP - Audio - Dy- RTP - Video - Dy
ameters - Dynamic TCPy
etup - TCP 1720p19rol - TCP 1731ntrol - Dynamic UDP
ynamic UDPynamic UDP
VoIP
■ H.323
PROTOOCOLOS AFECTADOS
VoIP
■ H.323
PROTOOCOLOS AFECTADOS
VoIP
■ H.323
PROTOOCOLOS AFECTADOS
VoIP
■ SIP
Protocolo flexibleActualmente el mEstandarizado y aSepara señalizacipFunciona primordNo se diseño pen
PROTO
eás popular y usadop p y
abiertoón de media
dialmente sobre UDPsando en seguridad
OCOLOS AFECTADOS
VoIP
■ SIP
PROTOOCOLOS AFECTADOS
VoIP
■ SIP
PROTOOCOLOS AFECTADOS
VoIP
■ SIP
PROTOOCOLOS AFECTADOS
VoIP
■ IAX2
Exclusivo de astealgunos vendors dgEn proceso de esUnifica señalizaciAmigable con fireFunciona sobre UTambién tiene pro
PROTO
erisk (disponible en diferentes a digium)g )tandarización ('09)ón y mediay
ewall y natUDPoblemas de seguridad
OCOLOS AFECTADOS
VoIP
■ IAX2
PROTOOCOLOS AFECTADOS
VoIP
■ IAX2
PROTOOCOLOS AFECTADOS
At ifi Ataques especificos
Fl di■ FloodingSIP INVITEBogus RTPBogus RTPTCP SYNICMPICMP
■ Flood Amplification Spoof source addressSpoof source addressSpreadInvoke (respuesta con
PROTOInvoke (respuesta con
t t la estos protocolos
ss
n más datos)OCOLOS AFECTADOSn más datos)
Ataques especificos Ataques especificos
Fuzzing■ FuzzingMalformed message
■ Signaling Manipulation■ Signaling ManipulationMalicious signalling mNew signalling messaNew signalling messa
■ Forced Call teardownInject spoof messagInject spoof messag
SIP: BYEIAX: HANGUP
PROTO
a estos protocolosa estos protocolos
nn messages
gesges
es (call tear-down)es (call tear down)
OCOLOS AFECTADOS
Ataques especificos Ataques especificos
Registration/Call Hijack■ Registration/Call HijackCaptura información dSuplantación de registSuplantación de registMonitoreo de llamada
■ Media Hijacking■ Media HijackingInserción de señales m
■ Caller-ID Spoofing■ Caller ID SpoofingCall iniciada con Calle
■ Caller-ID Name Disclos
PROTOSacarle a la PSTN el n
a estos protocolosa estos protocolos
kingkingde registrotrotros en proceso
maliciosas
er-Id falsosure
OCOLOS AFECTADOSnombre registrado
Ataques especificos Ataques especificos
Eavesdropping■ EavesdroppingMalformed call set-up Captura de trafico RTCaptura de trafico RT
■ Directory EnumerationActive: Specially crafteActive: Specially craftePassive: Watch netwo
■ Media Injection■ Media InjectionInject new media in aReplace media en actp
■ Covert CommunicationInsertar datos dentro d
a estos protocolosa estos protocolos
signallingPP
ned protocol messageed protocol messageork traffic
ctive channeltive channelnde un canal activo
PLAN DE TRABAJOPLAN DE TRABAJO
■ Protocolos afectados■ Protocolos afectadosH.323, SIP, IAX2Cisco, Avaya, 3CX, ACisco, Avaya, 3CX, A
■ Herramientas Utilizadae a e tas Ut adaVoIP Sniffing ToolsVoIP Scanning and EgVoIP Packet CreationVoIP Fuzzing ToolsgVoIP Signaling ManipVoIP Media Manipula
AsteriskAsterisk
asas
Enumeration Toolsn and Flooding Tools
pulation Toolsation Tools
SNIFFING
■ Primordialmente utiliza
AuthTool: Captura
Cain & Abel: Reco
$ CommView VoIPVoIP
$ Etherpeek: Sniffe
HERRAMI
adas para "escuchar”
a de Password
nstruye RTP
P Analyzer: Análisis de
er
IENTAS UTILIZADAS
SNIFFING
■ Soportan varios protoc
ILTY ("I'm Listenin
NetDude : Análisis
Oreka: Grabación d
SIPscan: Capturar
HERRAMI
colos
ng To You"): Skinny sniffer
de tcpdump files
de RTP audio streams
sesiones SIP
IENTAS UTILIZADAS
SNIFFING
■ Versiones Windows, B
RtpBreak: Captura
SIPomatic: Escuch
SIPv6 Analyzer: SI
UCSniff: VoIP eave
HERRAMI
SD y Linux
a de RTP en bruto
ha de SIP
IP sobre Ipv6
esdropping y ARP spoof
IENTAS UTILIZADAS
SNIFFING
■ Soportan varios protoc
VoiPong & VoiPonpara SIP, H323, Skp , ,
VOMIT: Cisco Phon
Wireshark: Networ
WIST: Captura web
HERRAMI
colos
ng ISO: Captura de RTP innyy
ne to wav
rk traffic analyzer
b de SIP signalling
IENTAS UTILIZADAS
SNIFFING
■ UCSniff
HERRAMIIENTAS UTILIZADAS
SNIFFING
■ VoiPong
HERRAMIIENTAS UTILIZADAS
SCANNING AND ENUSCANNING AND ENU
Utilizadas para ubicar■ Utilizadas para ubicarlistar las extensiones
$ EnableSecurity VScan enumerationScan, enumeration
EnumIAX: Login enEnumIAX: Login en
Iaxscan: Scanner p
HERRAMI
pluego enumerar por
MERATIONMERATION
r servidores VoIP y parar servidores VoIP y para
VoIPPack for CANVAS: y ataques fuerza brutay ataques fuerza bruta
numerator con REGREQnumerator con REGREQ
para detectar hosts Iax2 y
IENTAS UTILIZADAS
p yr fuerza bruta
SCANNING AND ENUSCANNING AND ENU
■ Vectores de ataque IAX■ Vectores de ataque IAX
Iwar: IAX2 protocolp
Nessus: vulnerabil
Nmap: network por
$ Passive Vulnera
HERRAMIpasivo de red, 40 ch
MERATIONMERATION
X, SIP, SKINNYX, SIP, SKINNY
wardialer
lity scannery
rt scanner
bility Scanner: Análisis
IENTAS UTILIZADAShecks VoIP
SCANNING AND ENUSCANNING AND ENU
La enumeración esta d■ La enumeración esta d
SCTPScan: EnumeSCTPScan: Enumeabiertos sin asociac
SIP Forum Test FrFramework para quFramework para quvaliden sus equipos
HERRAMI
MERATIONMERATION
definida en el RFCdefinida en el RFC
eración de puertos SCTPeración de puertos SCTP ción. (SS7 over IP)
ramework (SFTF): ue los SIP device vendorue los SIP device vendor s
IENTAS UTILIZADAS
SCANNING AND ENUSCANNING AND ENU
■ Los equipos IP están■ Los equipos IP estánLAN
SIP-Scan: Rápido S
SIPcrack: Hace sny luego crack por fuy g p
Sipflanker: Busca d
HERRAMI
pinterfaz web accesib
MERATIONMERATION
pensados para uso enpensados para uso en
Scanner SIP
iff para obtener SIP logins uerza bruta
dispositivos SIP con
IENTAS UTILIZADAS
pble
SCANNING AND ENUSCANNING AND ENU
■ Las herramientas no so■ Las herramientas no so
SIPSCAN: EnumerREGISTER y OPTIO
SiVuS: SIP Vulnera
VLANping: ping co
HERRAMI
MERATIONMERATION
on fácilmente obtenibleson fácilmente obtenibles
rador que usa INVITE, q ,ONS
ability Scanner
on VLAN tag
IENTAS UTILIZADAS
SCANNING AND ENUSCANNING AND ENU
■ SIPVicious es la más p■ SIPVicious es la más p
SIPVicious Tool SSIPVicious Tool S- Svmap is a sip sc- svwar identifies as a de t es aPBX
- svcrack is an onSIP PBX
$ VoIPAudit: Scan
HERRAMISMAP: SIP stack fi
MERATIONMERATION
popularpopular
uiteuite canneractive extensions on a act e e te s o s o a
line password cracker for p
ner de vulnerabilidades
IENTAS UTILIZADASngerprint
SCANNING AND ENUMSCANNING AND ENUM
■ SIPVicious■ SIPVicious
HERRAMI
MERATIONMERATION
IENTAS UTILIZADAS
SCANNING AND ENUMSCANNING AND ENUM
■ SIPFlanker■ SIPFlanker
HERRAMI
MERATIONMERATION
IENTAS UTILIZADAS
SCANNING AND ENUSCANNING AND ENU
■ VoIPAudit
■ enumIAX
HERRAMI
MERATIONMERATION
ENTAS UTILIZADAS
PACKET CREATION &PACKET CREATION &
Usadas para DoS/DDoS■ Usadas para DoS/DDoS
IAXFlooder: FloodeIAXFlooder: Floode
INVITE Flooder: EnINVITE Flooder: Enmensajes SIP INVIT
kphone-ddos: Usacon SIP spoofing
HERRAMIp g
& FLOODING& FLOODING
SS
er de paquetes IAXer de paquetes IAX
nvia una mareada denvia una mareada de TE a un telefono o proxy
ando Kphone para inundar
IENTAS UTILIZADAS
PACKET CREATION &PACKET CREATION &
■ Usadas para Capacity T■ Usadas para Capacity T
$ SiPBlast: Herram$infraestructura por mcapacidad creando pmasivo
$ NSAUDITOR FloSIP UDP para prue
RTP Flooder: Paqu
& FLOODING& FLOODING
TestingTesting
mienta para pruebas de p pmedio de colmado tráfico de llamadas CPE
oder: Generador de tráfico bas de stress
uetes “well formed” RTP
PACKET CREATION &PACKET CREATION &
■ Usadas para explotar■ Usadas para explotarprotocolo
Scapy: Herramientamanipulación de paa pu ac ó de pa
Seagull: Generadog
SIPBomber: Herra
HERRAMILinux
& FLOODING& FLOODING
r vulnerabilidades en elr vulnerabilidades en el
a interactiva para aquetes.aquetes
or de tráfico multi protocolop
mienta para probar SIP en
ENTAS UTILIZADAS
p p
PACKET CREATION &PACKET CREATION &
Algunas desarrolladas■ Algunas desarrolladas
SIPNess: SIP testinSIPNess: SIP testinaplicaciones SIP
SIPp: generador deSIP (muy utilizada)SIP (muy utilizada)
SIPsak: SIP swiss a
HERRAMI
& FLOODING& FLOODING
por HPpor HP
ng tool que pruebang tool que prueba
e tráfico y pruebass para
army knife
IENTAS UTILIZADAS
y
PACKET CREATION &PACKET CREATION &
■ Scapy■ Scapy
HERRAMI
& FLOODING& FLOODING
IENTAS UTILIZADAS
PACKET CREATION &PACKET CREATION &
SIPBomber■ SIPBomber
& FLOODING& FLOODING
PACKET CREATION &PACKET CREATION &
NSAuditor■ NSAuditor
& FLOODING& FLOODING
PACKET CREATION &PACKET CREATION &
■ SIPp■ SIPp
& FLOODING& FLOODING
PACKET CREATION &PACKET CREATION &
■ SIPsak■ SIPsak
& FLOODING& FLOODING
FUZZING TOOLSFUZZING TOOLS
Generación de paquete■ Generación de paquete
Asteroid: Juego deAsteroid: Juego demalformados (INVIT
Codenomicon: VerPROTOSPROTOS
Interstate Fuzzer: V
es malformadoses malformados
e métodos SIPe métodos SIP TE, CANCEL, BYE)
rsión comercial de
VoIP Fuzzer
FUZZING TOOLSFUZZING TOOLS
■ Usualmente utilizados■ Usualmente utilizados
IMS Fuzzing plaffoIMS Fuzzing plaffoSIP, H323 y MGCP
PROTOS: Herramiede paquetes malforp q
SIP-Proxy: MiM, Pry
para DoSpara DoS
orm: Appiance para Fuzzyorm: Appiance para Fuzzy P
enta java para generación mados H.323 y SIPy
roxy entre el UA y el PBXy y
FUZZING TOOLSFUZZING TOOLS
■ Usados en prueba de c■ Usados en prueba de c
$ Spirent ThreatEx$ Spirent ThreatEx
VoIPER: Security too Secu ty todispositivos VoIP
SFTF: Framework SIP Vendors
calidad y robustezcalidad y robustez
x: Probador de robustezx: Probador de robustez
oolkit que permite probar oo t que pe te p oba
para ser usado por los
FUZZING TOOLS
■ VoIPER
FUZZING TOOLS
■ FUZZER
FUZZING TOOLS
■ SIP Proxy
SIGNALING MANIPULSIGNALING MANIPUL
■ Usadas para desconec■ Usadas para desconec
BYE Teardown: InjBYE Teardown: Injmessage para desc
Check Sync: Enviahaciendo reiniciar c
H225regregjet: Deg gj
LATIONLATION
ctar llamadasctar llamadas
jecta un SIP BYEjecta un SIP BYE conectar la llamada
a un SIP NOTIFY ciertos telefonos
sconecta llamadas H.323
SIGNALING MANIPULSIGNALING MANIPUL
Usadas para mod■ Usadas para modautenticación
IAXHangup: Herramdesconectar llamaddesconectar llamadHANGUP
$ SiPCPE: Evalua c
RedirectPoison: Predirecciona una lla
LATIONLATION
dificar procesos dedificar procesos de
mienta usada para das IAX Injecta un IAXdas IAX, Injecta un IAX
compliance de protocolo
or medio de SIP INVITE amada
SIGNALING MANIPULSIGNALING MANIPUL
■ Manipulan flujo de med■ Manipulan flujo de med
Reg Adder: IntentaReg Adder: IntentaHEADER otra IP paredireccione a dos Ced ecc o e a dos C
Reg Eraser: CausagSIP REGISTER spocreer al SIP Proxy qy qdisponible
LATIONLATION
dia procesos de registrodia, procesos de registro
a adicionar al SIPa adicionar al SIP ara que la llamada se CPEC
a un DoS por medio de un poof message que hace que no hay usuario q y
SIGNALING MANIPULASIGNALING MANIPULA
■ Manipulan flujo de medi■ Manipulan flujo de medi
Reg Hijacker: GenerReg Hijacker: GenerREGISTER faso paraentrantes se enruten e t a tes se e ute
SIP-KILL : Sniff de Sllamada
SIP-Proxy-Kill: Finaluna sesión SIP en el
ATIONATION
a procesos de registroa, procesos de registro
ra un mensaje SIPra un mensaje SIP a que todas las llamadas al atacantea ataca te
SIP INVITES para tumbar la p
liza a nivel de señalización proxy remoto antes que el
SIGNALING MANIPULSIGNALING MANIPUL
Son de las herram■ Son de las herramdisponibles
SIP-RedirectRTP: SDP redirigiendo elSDP redirigiendo el
SIPRogue : Un proxSIPRogue : Un proxinsertado entre dos
vnak: VoIP Network
LATIONLATION
ientas más avanzadasientas más avanzadas
Manipula encabezados RTP a un Proxy RTP a un Proxy.
xy SIP multifuncionalxy SIP multifuncional partes
k Attack Toolkit
SIGNALING MANIPULSIGNALING MANIPUL
Son de las herram■ Son de las herramdisponibles
VoIPHopper: Herraseguridad que buscseguridad que buscun PC para suplant
LATIONLATION
ientas más avanzadasientas más avanzadas
amienta para validación de ca simuar un telefono conca simuar un telefono con arlo a nivel de VLAN
SIGNALING MANIPULSIGNALING MANIPUL
■ VoIPHOPPER
LATIONLATION
MEDIA MANIPULATIOMEDIA MANIPULATIO
■ Buscan alterar las com■ Buscan alterar las com
RTP InsertSound: .wav dentro de una
RTP MixSound: Si
RTPProxy: Espera redirecciona a dond
ONON
municacionesmunicaciones
Inserta el contenido de un conversación activa
milar a la anterior
paquetes RTP y los de se le indique
MEDIA MANIPULATIOMEDIA MANIPULATIO
Usadas por los espias■ Usadas por los espias
SteganRTP: HerramSteganRTP: Herramestablece un flujo dflujo de media Inclflujo de media. Inclremoto
VO²IP: Esconde unotra por medio de cp
ONON
mienta estenográfica quemienta estenográfica que e datos oculto dentro del uye chat archivos y shelluye chat, archivos y shell
a conversación dentro de compresión y G.711p y
MEDIA MANIPULATIOMEDIA MANIPULATIO
SteganRTP■ SteganRTP
ONON
OTRAS HERRAMIENTOTRAS HERRAMIENT
■ IAX Brute: Herramienta■ IAX.Brute: Herramientadiccionario en el challen
■ SIP-Send-Fund:■ SIP Send Fund:vulnerabilidades especif
■ SIP.Tastic: HerramientS ast c e a e tdictionario al método SIP
■ Spitter: Herramientasppruebas de VoIP Spam
■ VSAP: Programa degpreguntas y respuesta qredes VoIP (SIP/H.323/R
TASTAS
a de ataque passive pora de ataque passive porge/response IAXUtilidad que explotaUtilidad que explota
ficasta de ataque pasivo deta de ataque pas o deP Digest de autenticaciónpara asterisk que hacenp q
auditoria por medio depque valida la seguridad deRTP)
ALGUNOS VIDEOS DEALGUNOS VIDEOS DEHERRAMIENTAS
■ SIPgullhttp://gull.sf.net/flvplahttp://gull.sf.net/flvpla
f.net/doc/seagull_01.
■ VoIPPackhttp://www.vimeo.comp
=2524735&servp;fullscreen=1&p pw_byline=0&shr=01AAEA
E LAS E LAS
ayer.swf?file=http://gull.sayer.swf?file http://gull.s.flv
m/moogaloop.swf?clip idg p p_ver=www.vimeo.com&am;show_title=1&sho_ pow_portrait=0&colo
PLAN DE TRABAJOPLAN DE TRABAJO
■ Análisis de un ataque■ Análisis de un ataque
■ Prácticas de prevenció■ Prácticas de prevenció
■ Demo Real (limitadoe o ea ( tadotiempo)
ónón
o a disponibilidad deo a d spo b dad de
ANALILOGS ATAQUE
ANALIFeb 3 22:54:31 NOTICE[2851[
from '"613430211"<sip:613failed for '86.72.2.248' - Usmismatchmismatch
Un total de 19511 ent
SIS DE UN ATAQUESIS DE UN ATAQUE14] chan_sip.c: Registration ] _ p g3430211@xxx.yyy.zzz.xxx>' ername/auth name
tradas
ANALILOGS ATAQUE
ANALIFeb 3 22:54:31 NOTICE[2851[
from '"0"<sip:0@xxx.yyy.zzz'86.72.2.248' - Username/au
Feb 3 22:54:31 NOTICE[2851Feb 3 22:54:31 NOTICE[2851from '"1"<sip:1@xxx.yyy.zzz'86.72.2.248' - Username/au
Feb 3 22:54:31 NOTICE[2851from '"2"<sip:2@xxx.yyy.zzz'86.72.2.248' - Username/au86 8 Use a e/au
EnumeraciónEnumeración
ISIS DE UN ATAQUEISIS DE UN ATAQUE14] chan_sip.c: Registration ] _ p gz.xxx>' failed for uth name mismatch14] chan sip c: Registration 14] chan_sip.c: Registration z.xxx>' failed for uth name mismatch14] chan_sip.c: Registration z.xxx>' failed for uth name mismatchut a e s atc
LOGS ATAQUELOGS ATAQUE
Feb 3 22:56:12 NOTICE[2851from '"9996"<sip:9996@xxx'86.72.2.248' - Username/au
Feb 3 22:56:12 NOTICE[2851Feb 3 22:56:12 NOTICE[2851from '"9997"<sip:9997@xxx'86.72.2.248' - Username/au
F b 3 22 56 12 NOTICE[2851Feb 3 22:56:12 NOTICE[2851from '"9998"<sip:9998@xxx'86.72.2.248' - Username/au
Feb 3 22:56:12 NOTICE[2851from '"9999"<sip:9999@xxx'86 72 2 248' - Username/au86.72.2.248 - Username/au
Escaneo todo el rango de 0 a
14] chan_sip.c: Registration x.yyy.zzz.xxx>' failed for uth name mismatch14] chan sip.c: Registration 14] chan_sip.c: Registration x.yyy.zzz.xxx>' failed for uth name mismatch14] h i R i t ti 14] chan_sip.c: Registration x.yyy.zzz.xxx>' failed for uth name mismatch14] chan_sip.c: Registration x.yyy.zzz.xxx>' failed for uth name mismatchuth name mismatch
a 9999
LOGS ATAQUE
Cantidad de intentos Cantidad de intentos por extensión e IPpor extensión e IP
LOGS ATAQUE
EL RESULTADO !!!EL RESULTADO !!!
ANALISLOGS ATAQUE
ANALIS
ls -all /sbin/init.zk
MAS LEJOS ROOTKMAS LEJOS ... ROOTK
SIS DE UN ATAQUESIS DE UN ATAQUE
KIT OWNEDKIT, OWNED
FreePBX backdoors and FreePBX backdoors and was published on April
http://nerdvittles.com/p
It recently came to our attto login to the Elastix seFreePBX Web interface (user name ‘asteriskuser’user name ‘asteriskuser’‘eLaStIx.asteriskuser.2oopassword are the same upused by FreePBX to accedatabase. They are definAMPDBUSER d AMPDBAMPDBUSER and AMPDB/etc/amportal.conf file.
default passwords that default passwords that l 15, 2011.
m/?p=737p
tention that it is possible erver unembedded (http://address/admin) with ’ and password ’ and password
oo7′. The user name and user name and password pess the ‘asterisk’ MySQL ned in the parameters BPASS i th BPASS in the
PLAN DE TRABAJOPLAN DE TRABAJO
Análisis de un ataque■ Análisis de un ataque
■ Prácticas de prevenció■ Prácticas de prevenció
■ Demo Real (limitado■ Demo Real (limitadotiempo)
ónón
o a disponibilidad deo a disponibilidad de
■ FIREWALL: Bloquear Tpermitir acceso desde orpermitir acceso desde or
■ FIREWALL: Bloquear T■ FIREWALL: Bloquear Tpermitir acceso desde or
■ FIREWALL: Bloquear Tpermitir acceso desde orp
■ FIREWALL: Bloquear Tqpermitir acceso desde or
TODO por defecto y solorigenes autorizadosrigenes autorizados
TODO por defecto y soloTODO por defecto y solorigenes autorizados
TODO por defecto y solorigenes autorizadosg
TODO por defecto y solop yrigenes autorizados
■ FIREWALL: Bloquear T■ FIREWALL: Bloquear Tpermitir acceso desde or
■ FIREWALL: Bloquear Tpermitir acceso desde orpermitir acceso desde or
■ FIREWALL: Bloquear Tqpermitir acceso desde or
■ FIREWALL: Bloquear Tpermitir acceso desde or
TODO por defecto y soloTODO por defecto y solorigenes autorizados
TODO por defecto y solorigenes autorizadosrigenes autorizados
TODO por defecto y solop yrigenes autorizados
TODO por defecto y solorigenes autorizados
■ FIREWALL: Bloquear Tpermitir acceso desde orpermitir acceso desde or
■ FIREWALL: Bloquear T■ FIREWALL: Bloquear Tpermitir acceso desde or
■ FIREWALL: Bloquear Tpermitir acceso desde orp
■ FIREWALL: Bloquear Tqpermitir acceso desde or
TODO por defecto y solorigenes autorizadosrigenes autorizados
TODO por defecto y soloTODO por defecto y solorigenes autorizados
TODO por defecto y solorigenes autorizadosg
TODO por defecto y solop yrigenes autorizados
■FIREWALL: Bd f tpor defecto y
acceso desacceso desautorizadosautorizados
Bloquear TODOl itiy solo permitir
sde origenessde origenes
■ Monitoreo CDR y LOcomportamientos anormcomportamientos anorm
■ Cambiar password p■ Cambiar password pservicios
■ NO utilizar loginsextensiones: Debe serextensión
■ NO utilizar passwordutilizar passwords alfanú
OGS: Estar pendiente demalesmales
or defecto: En todos losor defecto: En todos los
númericos para lasr diferente al número de la
ds númericos: Se debenúmericos
■ Desactivar servicios nVoicemail remoto, Callba,
■ Desactivar serviciosMinimizar vectores de rie
■ Administración poradministración DEBE se
■ Administración locaadministración DEBE se
o usados en PBX: DISA,ack
no utilizados en SO:esgo
VPN: El acceso a laer por VPN
l: El acceso a laer local.
■ Lea portales especializ
■ Control de acceso parusuarios con niveles deusuarios con niveles de
■ Restringir acceso físic■ Restringir acceso físic
■ No habilite auto carg■ No habilite auto cargcredito: Para troncales
zados: Forums de Digium
ra administración: Definaaccesoacceso
o: y lógico también.o: y lógico también.
ga en las tarjetaas dega en las tarjetaas deinternacionales
■ RESTRINGA DIAL PLnecesitan llamar a Zimba
001|1NXXXXXXXXX001|0052NXXXXXXX|0012|N.
■ ASEGURE APACHE:autenticación a nivel de
mod_auth_mysqlmod_authz_ldap
AN LDI/LDN: Realmenteabwe?
X <- USAXXX <- MEXICO
Que sea inaccesible sinapache
■ ASEGURE SIP.CONF:context=non-existantcontext non existantalwaysauthreject=yeallowguest=noallowguest no
■ LIMITE CANTIDAD DECcall-limit = 2
■ ASEGURE EL TIPO DEtype= useryptype= peertype= friend
tts
LLAMADAS SIP:S S
E DEVICE SIP:
■ ASEGURAMIENTOIPTABLES:IPTABLES:
iptables -I door 1 -p udp -"mysecretpass" --algo b
tiportisnowopeniptables -A INPUT -p udp
--seconds 4000 --nameseconds 4000 name
■ RESTRINGA REDES VAdeny = 0.0.0.0/0.0.0.permit = 192.168.10.pdeny = 0.0.0.0/0.0.0permit = 0.0.0.0/0.0.
AVANZADO POR
-dport 5060 -m string --string m -m recent --set --name
--dport 5060 -m recent --rcheck portisnowopen -j ACCEPTportisnowopen j ACCEPT
ALIDAS PARA SIP:0.0/255.255.255.0.0.0.0
■ ASEGURE EL CONTEX[default][other-context]
■ ASEGURE EL MANAGEdeny = 0.0.0.0/0.0.0.permit = 192.168.10.deny = 0.0.0.0/0.0.0
it 0 0 0 0/0 0permit = 0.0.0.0/0.0.
XTO DEFAULT:
ER.CONF:0.0/255.255.255.0.00 0.0.0
■ type=peerpeer al hacer un REGpeer al hacer un REGCHALLENGE (no chINVITEs)INVITEs)
■ type=user user no se puede reguser no se puede regun CHALLENGE
■ type=friendtype e dfriend ( peer+user ) hautenticar en INVIT
If the device was defined only as peer- peer must register first. T
GISTER recibe unGISTER recibe un allenge on consecutive
gistrar y en INVITEs recibegistrar y en INVITEs recibe
hace que asterisk intente TEs.
r, asterisk would not try to authenticate The INVITE would be ignored.
■ UTILICE FAIL2BAN/AP
Versión “automatiza
cat /var/log/asterisk/full | grep $9,$12'} | cut -c6-9,26-45 | un
1288 1234' '208.38.181.6'
iptables -A INPUT -s 208 38 18iptables A INPUT s 208.38.18
Tenga en cuenta bugreporta ip en INVITES
PF/BDF
ada” de
"Wrong password" | awk {'print niq -c
81 6 -j DROP81.6 j DROP
g en asterisk que no S
■ UTILICE FAIL2BAN
Solamente protege intype=peer ayuda a gtype peer ayuda a g
failregex = NOTICE.* .*: Registration from '.*' NOTICE.* .*: Registration from '.*' failedNOTICE.* .*: Registration from '.*' failed
mismatchNOTICE.* .*: Registration from '.*' failedNOTICE.* .*: Registration from '.*' failedNOTICE. . : Registration from . failed
registerNOTICE.* .*: Registration from '.*' failedNOTICE.* <HOST> failed to authenticaNOTICE * *: No registration for peer ' *NOTICE. . : No registration for peer .NOTICE.* .*: Host <HOST> failed MD5NOTICE.* .*: Failed to authenticate use
ntentos de REGISTERarantizar estoarantizar estofailed for '<HOST>' - Wrong password
d for '<HOST>' - No matching peer foundd for '<HOST>' - Username/auth name
d for '<HOST>' - Device does not match ACLd for '<HOST>' - Peer is not supposed tod for HOST Peer is not supposed to
d for '<HOST>' - ACL error (permit/deny)ate as '.*'$*' \(from <HOST>\) \(from <HOST>\)5 authentication for '.*' (.*)er .*@<HOST>.*
■ UTILICE APF/BDF
Advanced Policy Fire
/etc/apf/conf.apfapf -d 202.86.128.0/24
Brute Force Detectiobfd -s/ec/cron.d/bfd
ewall
on
PLAN DE TRABAJOPLAN DE TRABAJO
■ Análisis de un ataque■ Análisis de un ataque
■ Prácticas de prevenció■ Prácticas de prevenció
■ Demo Real (limitadoe o ea ( tadotiempo)
ónón
o a disponibilidad deo a d spo b dad de
InfoSEAQ SERVIC
Dirección: Carrera 15 # 79 – 37 OficinaBogotá, ColombiaBogotá, ColombiaTeléfono: +57 – 1 655 98 00Fax: +57 – 1 655 98 02
Internet: www.seaq.com.coContacto: ventas@seaq.com@ q
MUCHAS GMUCHAS G
ormación de ContactoCIOS CIA LTDA
a 201A
om.co
GRACIAS POR SU GRACIAS POR SU ATENCIÓN.
TomeTome elel controlcontrol dede lalaInformaciónInformación enen susuInformaciónInformación enen susuEmpresaEmpresa
httphttp:://www//www..seaqseaq..comcom..coco
top related