Hacking y Aseguramiento de servidorres VoIP/SIP Aste · Ejemplos de Ataques ... VoIP H.323 ÎPrimer...

Hacking y Asde servidorde servidor

Aste

I A d éIng. André

GERENTE GERENTE

seguramientores VoIP/SIP res VoIP/SIP erisk

é M i i M ji Z lés Mauricio Mujica ZalameaRHCE/RHCSA/RHCVA/DCAP

SEAQ SERVICIOS CIA LTDA SEAQ SERVICIOS CIA LTDA

ADVERTADVERTLa información c

presentación es pacadémico y se dprotección de sus

El mal uso de la violación de leyy

interna

CONTINUE BAJO SU

TENCIA:TENCIA:contenida en esta para uso meramente debe aplicar para la s sistemas de VoIP.

misma implica la yes nacionales e y

acionales

U RESPONSABILIDAD

HACKING Y AS

Conferencista:Conferencista:

Ing. Andrés Mauricio Mujg [email protected]/RHCSA/RHCVA/DCAPGERENTE SEAQ SERVICIOGERENTE SEAQ SERVICIO

SEGURAMIENTO *

jica ZalameajcoP

OS CIA LTDAOS CIA LTDA

OBJETIVOS

■ Conocer las diferentestelefónico en redes Votelefónico en redes Vo

■ Conocer los diferentherramientas utilizadas

■ Determinar las mejoresestos ataques

s modalidades de fraudeIPIP

tes tipos de ataque yp q ys para los mismos

s prácticas para prevenir

PLAN DE TRABAJO

■ Antecedentes del fraud

■ Tipos de Ataques

Negación de ServicioHijacking, InterceptaCaller ID SpoofingVishing

de telefónico

oación

PLAN DE TRABAJOPLAN DE TRABAJO

■ Protocolos afectados■ Protocolos afectadosH.323, SIP, IAX2Cisco, Avaya, 3CX, ACisco, Avaya, 3CX, A

■ Herramientas Utilizadae a e tas Ut adaVoIP Sniffing ToolsVoIP Scanning and EgVoIP Packet CreationVoIP Fuzzing ToolsgVoIP Signaling ManipVoIP Media Manipula

AsteriskAsterisk

asas

Enumeration Toolsn and Flooding Tools

pulation Toolsation Tools


A áli i d t■ Análisis de un ataque

Prácticas de prevenció■ Prácticas de prevenció

Demo Real (limitado■ Demo Real (limitadotiempo)

ónón

o a disponibilidad deo a disponibilidad de


■ Antecedentes del fraud■ Antecedentes del fraud

■ Ejemplos de Ataques■ Ejemplos de Ataques

Negación de Servicioegac ó de Se c oHijacking, InterceptaciCaller ID Spoofingp gVishing

de telefónicode telefónico

ión

FRAUDE TELEFÓNICOFRAUDE TELEFÓNICO

■ Llamadas gratuitas■ Llamadas gratuitas

■ Servicios adicionales■ Servicios adicionales

■ Ingresos por conceptog esos po co ceptollamadas

OO

o deo de

ANTECEDENTES

H/P CultureH/P Culture

Phreaking■ Phreaking

Phone + FreakPhone + FreakOído más desarrollaSilbando a 2600HzSilbando a 2600Hz'50s (4 y.o.)

■ Hacking

doJoybubbles /Joybubbles /

Joe Engressiahttp://www.nytimes.com/2007/08/20/us/20engressia.html

ANTECEDENTES

Phreakers famososPhreakers famosos

■ Único Telco■ Único TelcoMa Bell

■ Blue BoxIn-band signallingg gFraudes hasta los '90Resuelto con SS7

Steve Jobs0s Steve Jobs

Steve Wozniack

ANTECEDENTES

FRAUDESFRAUDES

■ De las telco hacia el us■ De las telco hacia el us

Cramming: cargog gSlamming: robo d

■ De terceros hacia el us

PBX : Recepción externoWangiri: Devolver

suariosuario

s no deseadosde clientes entre telcos

suario

transfiere a un número

ANTECEDENTESr llamada perdida

FRAUDESFRAUDES

De terceros hacia■ De terceros haciausuario

Marcadores : DesPC marcar a unPC marcar a un número “premium

a ela el

de el

m”

ANTECEDENTES

FRAUDES

■ De terceros hacia el us

809 Scams: Engañmarque un número

lpero no lo es.

C lli C dCalling Cards

Telemarketing frauTelemarketing frau

suario

ñar al usuario para que o que parece familiar

udsANTECEDENTES

uds

FRAUDESFRAUDES

El objetivo es simple■ El objetivo es simple

Llamanos queremLlamanos, queremmás costoso del m

mos cobrarte el minutomos cobrarte el minuto mercado

ANTECEDENTES

ANTECEDENTES


A t d t d l f d■ Antecedentes del fraud

Tipos de Ataques■ Tipos de Ataques

Negación de ServicioNegación de ServicioHijacking, InterceptaCaller ID SpoofingCaller ID SpoofingVishingVoIP SpamVoIP Spam

d t l fó ide telefónico

ooación

D S / DD SDoS / DDoS

D ió d l S i■ Denegación del Servic

Se inunda el servicSe inunda el servicfalsas afectando e

Existen botnets qudesde múltiples pudesde múltiples puservicio distribuid

iio

cio VoIP con peticionescio VoIP con peticiones el servicio

ue generan ataques untos (Denegación deluntos (Denegación del a)

TIPOS DE ATAQUES

VoIP BOTNETsVoIP BOTNETs

TIPOS DE ATAQUES

V IP BOTNETVoIP BOTNETs

TIPOS DE ATAQUES

HIJACKING

■ Registration hijacking

■ Media hijacking (chuzaadas!)

TIPOS DE ATAQUES

HIJACKING

TIPOS DE ATAQUES

CALLER ID SPOOFINGCALLER ID SPOOFING

■ Suplantar la identificac■ Suplantar la identificac

S. 30: Truth in CaAct of 2009

SpoofCard.com pParis escuchando

GG

ciónción

ller ID

o los mensajes de Lohan

TIPOS DE ATAQUES

CALLER ID SPOOFINGCALLER ID SPOOFING

A t i k St t U■ Asterisk Start UpCaller Id spoofing legVoice disguiseVoice disguiseGrabación de llamad

GG

gal

das

TIPOS DE ATAQUES

VISHING

■ No de clic sobre el enla

Robar informacióde crédito) por me) pSMSIVRemail

ace, mejor llamenos

n personal (leáse tarjeta edio de engañosg

TIPOS DE ATAQUES

VISHING

TIPOS DE ATAQUES

VoIP SPAM

■ Meussi Solutions

Empresa de seguAtaque masivo enq

ridad en VoIPn el 2009

TIPOS DE ATAQUES


■ Protocolos afectados■ Protocolos afectadosH.323, SIP, IAX2Cisco, Avaya, 3CX, A, y , ,

■ Herramientas UtilizadaVoIP Sniffing ToolsVoIP Scanning and EVoIP Packet CreationVoIP Fuzzing ToolsVoIP Signaling ManipVoIP Media Manipula

Asterisk

as



VoIP

■ Signaling

Session Initiation Pr5060,5061,Session Description Encapsulated in SIPpMedia Gateway ContUDP 2427,2727Skinny Client Contro(SCCP/Skinny) : TCP

PROTO

otocol (SIP) : TCP/UDP

Protocol (SDP) :

trol Protocol (MGCP) :

ol Protocol P 2000,2001

OCOLOS AFECTADOS

VoIP

■ Signaling

Real-time Transfer C(S)RTP+1( )

■ Media

Real-time Transfer PSecure Real-time TraDynamic

PROTO

Control Protocol (RTCP) :

Protocol (RTP) : Dynamicansfer Protocol (SRTP) :

OCOLOS AFECTADOS

VoIP

■ Signaling

■ Hybrid

Inter-Asterisk eXcha(obsolete)( )Inter-Asterisk eXcha4569

PROTO

ange v.1 (IAX): UDP 5036

ange v.2 (IAX2) : UDP

OCOLOS AFECTADOS

VoIP

■ H.323

Primer protocolo Actualmente en dCerca de 40 impleVulnerabilidades (H.225 data exchanEjecución de códigmalformadosRequiere puertos d

PROTO

VoIP popularecadencia

ementaciones diferentesen decoder parsing p gnge)go con paquetes

dinámicos

OCOLOS AFECTADOS

VoIP

■ H.323

Signaling- H.245 - Call Para- H.225.0. Q.931 - Call Se. RAS - UDP 17

- Audio Call Cont- RTCP - RTP ConMedia- RTP - Audio - Dy- RTP - Video - Dy

ameters - Dynamic TCPy

etup - TCP 1720p19rol - TCP 1731ntrol - Dynamic UDP

ynamic UDPynamic UDP

VoIP

■ H.323

PROTOOCOLOS AFECTADOS

VoIP

■ SIP

Protocolo flexibleActualmente el mEstandarizado y aSepara señalizacipFunciona primordNo se diseño pen

PROTO

eás popular y usadop p y

abiertoón de media

dialmente sobre UDPsando en seguridad

OCOLOS AFECTADOS

VoIP

■ SIP


VoIP

■ IAX2

Exclusivo de astealgunos vendors dgEn proceso de esUnifica señalizaciAmigable con fireFunciona sobre UTambién tiene pro

PROTO

erisk (disponible en diferentes a digium)g )tandarización ('09)ón y mediay

ewall y natUDPoblemas de seguridad

OCOLOS AFECTADOS

VoIP

■ IAX2


At ifi Ataques especificos

Fl di■ FloodingSIP INVITEBogus RTPBogus RTPTCP SYNICMPICMP

■ Flood Amplification Spoof source addressSpoof source addressSpreadInvoke (respuesta con

PROTOInvoke (respuesta con

t t la estos protocolos

ss

n más datos)OCOLOS AFECTADOSn más datos)

Ataques especificos Ataques especificos

Fuzzing■ FuzzingMalformed message

■ Signaling Manipulation■ Signaling ManipulationMalicious signalling mNew signalling messaNew signalling messa

■ Forced Call teardownInject spoof messagInject spoof messag

SIP: BYEIAX: HANGUP

PROTO

a estos protocolosa estos protocolos

nn messages

gesges

es (call tear-down)es (call tear down)

OCOLOS AFECTADOS


Registration/Call Hijack■ Registration/Call HijackCaptura información dSuplantación de registSuplantación de registMonitoreo de llamada

■ Media Hijacking■ Media HijackingInserción de señales m

■ Caller-ID Spoofing■ Caller ID SpoofingCall iniciada con Calle

■ Caller-ID Name Disclos

PROTOSacarle a la PSTN el n


kingkingde registrotrotros en proceso

maliciosas

er-Id falsosure

OCOLOS AFECTADOSnombre registrado


Eavesdropping■ EavesdroppingMalformed call set-up Captura de trafico RTCaptura de trafico RT

■ Directory EnumerationActive: Specially crafteActive: Specially craftePassive: Watch netwo

■ Media Injection■ Media InjectionInject new media in aReplace media en actp

■ Covert CommunicationInsertar datos dentro d


signallingPP

ned protocol messageed protocol messageork traffic

ctive channeltive channelnde un canal activo


■ Protocolos afectados■ Protocolos afectadosH.323, SIP, IAX2Cisco, Avaya, 3CX, ACisco, Avaya, 3CX, A

■ Herramientas Utilizadae a e tas Ut adaVoIP Sniffing ToolsVoIP Scanning and EgVoIP Packet CreationVoIP Fuzzing ToolsgVoIP Signaling ManipVoIP Media Manipula

AsteriskAsterisk

asas



SNIFFING

■ Primordialmente utiliza

AuthTool: Captura

Cain & Abel: Reco

$ CommView VoIPVoIP

$ Etherpeek: Sniffe

HERRAMI

adas para "escuchar”

a de Password

nstruye RTP

P Analyzer: Análisis de

er

IENTAS UTILIZADAS

SNIFFING

■ Soportan varios protoc

ILTY ("I'm Listenin

NetDude : Análisis

Oreka: Grabación d

SIPscan: Capturar

HERRAMI

colos

ng To You"): Skinny sniffer

de tcpdump files

de RTP audio streams

sesiones SIP

IENTAS UTILIZADAS

SNIFFING

■ Versiones Windows, B

RtpBreak: Captura

SIPomatic: Escuch

SIPv6 Analyzer: SI

UCSniff: VoIP eave

HERRAMI

SD y Linux

a de RTP en bruto

ha de SIP

IP sobre Ipv6

esdropping y ARP spoof

IENTAS UTILIZADAS

SNIFFING

■ Soportan varios protoc

VoiPong & VoiPonpara SIP, H323, Skp , ,

VOMIT: Cisco Phon

Wireshark: Networ

WIST: Captura web

HERRAMI

colos

ng ISO: Captura de RTP innyy

ne to wav

rk traffic analyzer

b de SIP signalling

IENTAS UTILIZADAS

SNIFFING

■ UCSniff

HERRAMIIENTAS UTILIZADAS

SNIFFING

■ VoiPong

HERRAMIIENTAS UTILIZADAS

SCANNING AND ENUSCANNING AND ENU

Utilizadas para ubicar■ Utilizadas para ubicarlistar las extensiones

$ EnableSecurity VScan enumerationScan, enumeration

EnumIAX: Login enEnumIAX: Login en

Iaxscan: Scanner p

HERRAMI

pluego enumerar por

MERATIONMERATION

r servidores VoIP y parar servidores VoIP y para

VoIPPack for CANVAS: y ataques fuerza brutay ataques fuerza bruta

numerator con REGREQnumerator con REGREQ

para detectar hosts Iax2 y

IENTAS UTILIZADAS

p yr fuerza bruta


■ Vectores de ataque IAX■ Vectores de ataque IAX

Iwar: IAX2 protocolp

Nessus: vulnerabil

Nmap: network por

$ Passive Vulnera

HERRAMIpasivo de red, 40 ch

MERATIONMERATION

X, SIP, SKINNYX, SIP, SKINNY

wardialer

lity scannery

rt scanner

bility Scanner: Análisis

IENTAS UTILIZADAShecks VoIP


La enumeración esta d■ La enumeración esta d

SCTPScan: EnumeSCTPScan: Enumeabiertos sin asociac

SIP Forum Test FrFramework para quFramework para quvaliden sus equipos

HERRAMI

MERATIONMERATION

definida en el RFCdefinida en el RFC

eración de puertos SCTPeración de puertos SCTP ción. (SS7 over IP)

ramework (SFTF): ue los SIP device vendorue los SIP device vendor s

IENTAS UTILIZADAS


■ Los equipos IP están■ Los equipos IP estánLAN

SIP-Scan: Rápido S

SIPcrack: Hace sny luego crack por fuy g p

Sipflanker: Busca d

HERRAMI

pinterfaz web accesib

MERATIONMERATION

pensados para uso enpensados para uso en

Scanner SIP

iff para obtener SIP logins uerza bruta

dispositivos SIP con

IENTAS UTILIZADAS

pble


■ Las herramientas no so■ Las herramientas no so

SIPSCAN: EnumerREGISTER y OPTIO

SiVuS: SIP Vulnera

VLANping: ping co

HERRAMI

MERATIONMERATION

on fácilmente obtenibleson fácilmente obtenibles

rador que usa INVITE, q ,ONS

ability Scanner

on VLAN tag

IENTAS UTILIZADAS


■ SIPVicious es la más p■ SIPVicious es la más p

SIPVicious Tool SSIPVicious Tool S- Svmap is a sip sc- svwar identifies as a de t es aPBX

- svcrack is an onSIP PBX

$ VoIPAudit: Scan

HERRAMISMAP: SIP stack fi

MERATIONMERATION

popularpopular

uiteuite canneractive extensions on a act e e te s o s o a

line password cracker for p

ner de vulnerabilidades

IENTAS UTILIZADASngerprint

SCANNING AND ENUMSCANNING AND ENUM

■ SIPVicious■ SIPVicious

HERRAMI

MERATIONMERATION

IENTAS UTILIZADAS

SCANNING AND ENUMSCANNING AND ENUM

■ SIPFlanker■ SIPFlanker

HERRAMI

MERATIONMERATION

IENTAS UTILIZADAS


■ VoIPAudit

■ enumIAX

HERRAMI

MERATIONMERATION

ENTAS UTILIZADAS

PACKET CREATION &PACKET CREATION &

Usadas para DoS/DDoS■ Usadas para DoS/DDoS

IAXFlooder: FloodeIAXFlooder: Floode

INVITE Flooder: EnINVITE Flooder: Enmensajes SIP INVIT

kphone-ddos: Usacon SIP spoofing

HERRAMIp g

& FLOODING& FLOODING

SS

er de paquetes IAXer de paquetes IAX

nvia una mareada denvia una mareada de TE a un telefono o proxy

ando Kphone para inundar

IENTAS UTILIZADAS


■ Usadas para Capacity T■ Usadas para Capacity T

$ SiPBlast: Herram$infraestructura por mcapacidad creando pmasivo

$ NSAUDITOR FloSIP UDP para prue

RTP Flooder: Paqu


TestingTesting

mienta para pruebas de p pmedio de colmado tráfico de llamadas CPE

oder: Generador de tráfico bas de stress

uetes “well formed” RTP


■ Usadas para explotar■ Usadas para explotarprotocolo

Scapy: Herramientamanipulación de paa pu ac ó de pa

Seagull: Generadog

SIPBomber: Herra

HERRAMILinux


r vulnerabilidades en elr vulnerabilidades en el

a interactiva para aquetes.aquetes

or de tráfico multi protocolop

mienta para probar SIP en

ENTAS UTILIZADAS

p p


Algunas desarrolladas■ Algunas desarrolladas

SIPNess: SIP testinSIPNess: SIP testinaplicaciones SIP

SIPp: generador deSIP (muy utilizada)SIP (muy utilizada)

SIPsak: SIP swiss a

HERRAMI


por HPpor HP

ng tool que pruebang tool que prueba

e tráfico y pruebass para

army knife

IENTAS UTILIZADAS

y


■ Scapy■ Scapy

HERRAMI


IENTAS UTILIZADAS


SIPBomber■ SIPBomber



NSAuditor■ NSAuditor



■ SIPp■ SIPp



■ SIPsak■ SIPsak


FUZZING TOOLSFUZZING TOOLS

Generación de paquete■ Generación de paquete

Asteroid: Juego deAsteroid: Juego demalformados (INVIT

Codenomicon: VerPROTOSPROTOS

Interstate Fuzzer: V

es malformadoses malformados

e métodos SIPe métodos SIP TE, CANCEL, BYE)

rsión comercial de

VoIP Fuzzer


■ Usualmente utilizados■ Usualmente utilizados

IMS Fuzzing plaffoIMS Fuzzing plaffoSIP, H323 y MGCP

PROTOS: Herramiede paquetes malforp q

SIP-Proxy: MiM, Pry

para DoSpara DoS

orm: Appiance para Fuzzyorm: Appiance para Fuzzy P

enta java para generación mados H.323 y SIPy

roxy entre el UA y el PBXy y


■ Usados en prueba de c■ Usados en prueba de c

$ Spirent ThreatEx$ Spirent ThreatEx

VoIPER: Security too Secu ty todispositivos VoIP

SFTF: Framework SIP Vendors

calidad y robustezcalidad y robustez

x: Probador de robustezx: Probador de robustez

oolkit que permite probar oo t que pe te p oba

para ser usado por los

FUZZING TOOLS

■ VoIPER

FUZZING TOOLS

■ FUZZER

FUZZING TOOLS

■ SIP Proxy

SIGNALING MANIPULSIGNALING MANIPUL

■ Usadas para desconec■ Usadas para desconec

BYE Teardown: InjBYE Teardown: Injmessage para desc

Check Sync: Enviahaciendo reiniciar c

H225regregjet: Deg gj

LATIONLATION

ctar llamadasctar llamadas

jecta un SIP BYEjecta un SIP BYE conectar la llamada

a un SIP NOTIFY ciertos telefonos

sconecta llamadas H.323


Usadas para mod■ Usadas para modautenticación

IAXHangup: Herramdesconectar llamaddesconectar llamadHANGUP

$ SiPCPE: Evalua c

RedirectPoison: Predirecciona una lla

LATIONLATION

dificar procesos dedificar procesos de

mienta usada para das IAX Injecta un IAXdas IAX, Injecta un IAX

compliance de protocolo

or medio de SIP INVITE amada


■ Manipulan flujo de med■ Manipulan flujo de med

Reg Adder: IntentaReg Adder: IntentaHEADER otra IP paredireccione a dos Ced ecc o e a dos C

Reg Eraser: CausagSIP REGISTER spocreer al SIP Proxy qy qdisponible

LATIONLATION

dia procesos de registrodia, procesos de registro

a adicionar al SIPa adicionar al SIP ara que la llamada se CPEC

a un DoS por medio de un poof message que hace que no hay usuario q y

SIGNALING MANIPULASIGNALING MANIPULA

■ Manipulan flujo de medi■ Manipulan flujo de medi

Reg Hijacker: GenerReg Hijacker: GenerREGISTER faso paraentrantes se enruten e t a tes se e ute

SIP-KILL : Sniff de Sllamada

SIP-Proxy-Kill: Finaluna sesión SIP en el

ATIONATION

a procesos de registroa, procesos de registro

ra un mensaje SIPra un mensaje SIP a que todas las llamadas al atacantea ataca te

SIP INVITES para tumbar la p

liza a nivel de señalización proxy remoto antes que el


Son de las herram■ Son de las herramdisponibles

SIP-RedirectRTP: SDP redirigiendo elSDP redirigiendo el

SIPRogue : Un proxSIPRogue : Un proxinsertado entre dos

vnak: VoIP Network

LATIONLATION

ientas más avanzadasientas más avanzadas

Manipula encabezados RTP a un Proxy RTP a un Proxy.

xy SIP multifuncionalxy SIP multifuncional partes

k Attack Toolkit


Son de las herram■ Son de las herramdisponibles

VoIPHopper: Herraseguridad que buscseguridad que buscun PC para suplant

LATIONLATION

ientas más avanzadasientas más avanzadas

amienta para validación de ca simuar un telefono conca simuar un telefono con arlo a nivel de VLAN


■ VoIPHOPPER

LATIONLATION

MEDIA MANIPULATIOMEDIA MANIPULATIO

■ Buscan alterar las com■ Buscan alterar las com

RTP InsertSound: .wav dentro de una

RTP MixSound: Si

RTPProxy: Espera redirecciona a dond

ONON

municacionesmunicaciones

Inserta el contenido de un conversación activa

milar a la anterior

paquetes RTP y los de se le indique


Usadas por los espias■ Usadas por los espias

SteganRTP: HerramSteganRTP: Herramestablece un flujo dflujo de media Inclflujo de media. Inclremoto

VO²IP: Esconde unotra por medio de cp

ONON

mienta estenográfica quemienta estenográfica que e datos oculto dentro del uye chat archivos y shelluye chat, archivos y shell

a conversación dentro de compresión y G.711p y


SteganRTP■ SteganRTP

ONON

OTRAS HERRAMIENTOTRAS HERRAMIENT

■ IAX Brute: Herramienta■ IAX.Brute: Herramientadiccionario en el challen

■ SIP-Send-Fund:■ SIP Send Fund:vulnerabilidades especif

■ SIP.Tastic: HerramientS ast c e a e tdictionario al método SIP

■ Spitter: Herramientasppruebas de VoIP Spam

■ VSAP: Programa degpreguntas y respuesta qredes VoIP (SIP/H.323/R

TASTAS

a de ataque passive pora de ataque passive porge/response IAXUtilidad que explotaUtilidad que explota

ficasta de ataque pasivo deta de ataque pas o deP Digest de autenticaciónpara asterisk que hacenp q

auditoria por medio depque valida la seguridad deRTP)

ALGUNOS VIDEOS DEALGUNOS VIDEOS DEHERRAMIENTAS

■ SIPgullhttp://gull.sf.net/flvplahttp://gull.sf.net/flvpla

f.net/doc/seagull_01.

■ VoIPPackhttp://www.vimeo.comp

=2524735&servp;fullscreen=1&ampp pw_byline=0&shr=01AAEA

E LAS E LAS

ayer.swf?file=http://gull.sayer.swf?file http://gull.s.flv

m/moogaloop.swf?clip idg p p_ver=www.vimeo.com&am;show_title=1&sho_ pow_portrait=0&colo


■ Análisis de un ataque■ Análisis de un ataque

■ Prácticas de prevenció■ Prácticas de prevenció

■ Demo Real (limitadoe o ea ( tadotiempo)

ónón

o a disponibilidad deo a d spo b dad de

ANALILOGS ATAQUE

ANALIFeb 3 22:54:31 NOTICE[2851[

from '"613430211"<sip:613failed for '86.72.2.248' - Usmismatchmismatch

Un total de 19511 ent

SIS DE UN ATAQUESIS DE UN ATAQUE14] chan_sip.c: Registration ] _ p [email protected]>' ername/auth name

tradas

ANALILOGS ATAQUE

ANALIFeb 3 22:54:31 NOTICE[2851[

from '"0"<sip:[email protected]'86.72.2.248' - Username/au

Feb 3 22:54:31 NOTICE[2851Feb 3 22:54:31 NOTICE[2851from '"1"<sip:[email protected]'86.72.2.248' - Username/au

Feb 3 22:54:31 NOTICE[2851from '"2"<sip:[email protected]'86.72.2.248' - Username/au86 8 Use a e/au

EnumeraciónEnumeración

ISIS DE UN ATAQUEISIS DE UN ATAQUE14] chan_sip.c: Registration ] _ p gz.xxx>' failed for uth name mismatch14] chan sip c: Registration 14] chan_sip.c: Registration z.xxx>' failed for uth name mismatch14] chan_sip.c: Registration z.xxx>' failed for uth name mismatchut a e s atc

LOGS ATAQUELOGS ATAQUE

Feb 3 22:56:12 NOTICE[2851from '"9996"<sip:9996@xxx'86.72.2.248' - Username/au

Feb 3 22:56:12 NOTICE[2851Feb 3 22:56:12 NOTICE[2851from '"9997"<sip:9997@xxx'86.72.2.248' - Username/au

F b 3 22 56 12 NOTICE[2851Feb 3 22:56:12 NOTICE[2851from '"9998"<sip:9998@xxx'86.72.2.248' - Username/au

Feb 3 22:56:12 NOTICE[2851from '"9999"<sip:9999@xxx'86 72 2 248' - Username/au86.72.2.248 - Username/au

Escaneo todo el rango de 0 a

14] chan_sip.c: Registration x.yyy.zzz.xxx>' failed for uth name mismatch14] chan sip.c: Registration 14] chan_sip.c: Registration x.yyy.zzz.xxx>' failed for uth name mismatch14] h i R i t ti 14] chan_sip.c: Registration x.yyy.zzz.xxx>' failed for uth name mismatch14] chan_sip.c: Registration x.yyy.zzz.xxx>' failed for uth name mismatchuth name mismatch

a 9999

LOGS ATAQUE

Cantidad de intentos Cantidad de intentos por extensión e IPpor extensión e IP

LOGS ATAQUE

EL RESULTADO !!!EL RESULTADO !!!

ANALISLOGS ATAQUE

ANALIS

ls -all /sbin/init.zk

MAS LEJOS ROOTKMAS LEJOS ... ROOTK

SIS DE UN ATAQUESIS DE UN ATAQUE

KIT OWNEDKIT, OWNED

FreePBX backdoors and FreePBX backdoors and was published on April

http://nerdvittles.com/p

It recently came to our attto login to the Elastix seFreePBX Web interface (user name ‘asteriskuser’user name ‘asteriskuser’‘eLaStIx.asteriskuser.2oopassword are the same upused by FreePBX to accedatabase. They are definAMPDBUSER d AMPDBAMPDBUSER and AMPDB/etc/amportal.conf file.

default passwords that default passwords that l 15, 2011.

m/?p=737p

tention that it is possible erver unembedded (http://address/admin) with ’ and password ’ and password

oo7′. The user name and user name and password pess the ‘asterisk’ MySQL ned in the parameters BPASS i th BPASS in the


Análisis de un ataque■ Análisis de un ataque


■ Demo Real (limitado■ Demo Real (limitadotiempo)

ónón

o a disponibilidad deo a disponibilidad de

■ FIREWALL: Bloquear Tpermitir acceso desde orpermitir acceso desde or

■ FIREWALL: Bloquear T■ FIREWALL: Bloquear Tpermitir acceso desde or

■ FIREWALL: Bloquear Tpermitir acceso desde orp

■ FIREWALL: Bloquear Tqpermitir acceso desde or

TODO por defecto y solorigenes autorizadosrigenes autorizados

TODO por defecto y soloTODO por defecto y solorigenes autorizados

TODO por defecto y solorigenes autorizadosg

TODO por defecto y solop yrigenes autorizados




■ FIREWALL: Bloquear Tpermitir acceso desde or




TODO por defecto y solorigenes autorizados



■ FIREWALL: Bloquear Tpermitir acceso desde orp




TODO por defecto y solorigenes autorizadosg


■FIREWALL: Bd f tpor defecto y

acceso desacceso desautorizadosautorizados

Bloquear TODOl itiy solo permitir

sde origenessde origenes

■ Monitoreo CDR y LOcomportamientos anormcomportamientos anorm

■ Cambiar password p■ Cambiar password pservicios

■ NO utilizar loginsextensiones: Debe serextensión

■ NO utilizar passwordutilizar passwords alfanú

OGS: Estar pendiente demalesmales

or defecto: En todos losor defecto: En todos los

númericos para lasr diferente al número de la

ds númericos: Se debenúmericos

■ Desactivar servicios nVoicemail remoto, Callba,

■ Desactivar serviciosMinimizar vectores de rie

■ Administración poradministración DEBE se

■ Administración locaadministración DEBE se

o usados en PBX: DISA,ack

no utilizados en SO:esgo

VPN: El acceso a laer por VPN

l: El acceso a laer local.

■ Lea portales especializ

■ Control de acceso parusuarios con niveles deusuarios con niveles de

■ Restringir acceso físic■ Restringir acceso físic

■ No habilite auto carg■ No habilite auto cargcredito: Para troncales

zados: Forums de Digium

ra administración: Definaaccesoacceso

o: y lógico también.o: y lógico también.

ga en las tarjetaas dega en las tarjetaas deinternacionales

■ RESTRINGA DIAL PLnecesitan llamar a Zimba

001|1NXXXXXXXXX001|0052NXXXXXXX|0012|N.

■ ASEGURE APACHE:autenticación a nivel de

mod_auth_mysqlmod_authz_ldap

AN LDI/LDN: Realmenteabwe?

X <- USAXXX <- MEXICO

Que sea inaccesible sinapache

■ ASEGURE SIP.CONF:context=non-existantcontext non existantalwaysauthreject=yeallowguest=noallowguest no

■ LIMITE CANTIDAD DECcall-limit = 2

■ ASEGURE EL TIPO DEtype= useryptype= peertype= friend

tts

LLAMADAS SIP:S S

E DEVICE SIP:

■ ASEGURAMIENTOIPTABLES:IPTABLES:

iptables -I door 1 -p udp -"mysecretpass" --algo b

tiportisnowopeniptables -A INPUT -p udp

--seconds 4000 --nameseconds 4000 name

■ RESTRINGA REDES VAdeny = 0.0.0.0/0.0.0.permit = 192.168.10.pdeny = 0.0.0.0/0.0.0permit = 0.0.0.0/0.0.

AVANZADO POR

-dport 5060 -m string --string m -m recent --set --name

--dport 5060 -m recent --rcheck portisnowopen -j ACCEPTportisnowopen j ACCEPT

ALIDAS PARA SIP:0.0/255.255.255.0.0.0.0

■ ASEGURE EL CONTEX[default][other-context]

■ ASEGURE EL MANAGEdeny = 0.0.0.0/0.0.0.permit = 192.168.10.deny = 0.0.0.0/0.0.0

it 0 0 0 0/0 0permit = 0.0.0.0/0.0.

XTO DEFAULT:

ER.CONF:0.0/255.255.255.0.00 0.0.0

■ type=peerpeer al hacer un REGpeer al hacer un REGCHALLENGE (no chINVITEs)INVITEs)

■ type=user user no se puede reguser no se puede regun CHALLENGE

■ type=friendtype e dfriend ( peer+user ) hautenticar en INVIT

If the device was defined only as peerpeer must register first. T

GISTER recibe unGISTER recibe un allenge on consecutive

gistrar y en INVITEs recibegistrar y en INVITEs recibe

hace que asterisk intente TEs.

r, asterisk would not try to authenticate The INVITE would be ignored.

■ UTILICE FAIL2BAN/AP

Versión “automatiza

cat /var/log/asterisk/full | grep $9,$12'} | cut -c6-9,26-45 | un

1288 1234' '208.38.181.6'

iptables -A INPUT -s 208 38 18iptables A INPUT s 208.38.18

Tenga en cuenta bugreporta ip en INVITES

PF/BDF

ada” de

"Wrong password" | awk {'print niq -c

81 6 -j DROP81.6 j DROP

g en asterisk que no S

■ UTILICE FAIL2BAN

Solamente protege intype=peer ayuda a gtype peer ayuda a g

failregex = NOTICE.* .*: Registration from '.*' NOTICE.* .*: Registration from '.*' failedNOTICE.* .*: Registration from '.*' failed

mismatchNOTICE.* .*: Registration from '.*' failedNOTICE.* .*: Registration from '.*' failedNOTICE. . : Registration from . failed

registerNOTICE.* .*: Registration from '.*' failedNOTICE.* <HOST> failed to authenticaNOTICE * *: No registration for peer ' *NOTICE. . : No registration for peer .NOTICE.* .*: Host <HOST> failed MD5NOTICE.* .*: Failed to authenticate use

ntentos de REGISTERarantizar estoarantizar estofailed for '<HOST>' - Wrong password

d for '<HOST>' - No matching peer foundd for '<HOST>' - Username/auth name

d for '<HOST>' - Device does not match ACLd for '<HOST>' - Peer is not supposed tod for HOST Peer is not supposed to

d for '<HOST>' - ACL error (permit/deny)ate as '.*'$*' $from <HOST>$ $from <HOST>$5 authentication for '.*' (.*)er .*@<HOST>.*

■ UTILICE APF/BDF

Advanced Policy Fire

/etc/apf/conf.apfapf -d 202.86.128.0/24

Brute Force Detectiobfd -s/ec/cron.d/bfd

ewall

on


■ Análisis de un ataque■ Análisis de un ataque


■ Demo Real (limitadoe o ea ( tadotiempo)

ónón

o a disponibilidad deo a d spo b dad de

InfoSEAQ SERVIC

Dirección: Carrera 15 # 79 – 37 OficinaBogotá, ColombiaBogotá, ColombiaTeléfono: +57 – 1 655 98 00Fax: +57 – 1 655 98 02

Internet: www.seaq.com.coContacto: [email protected]@ q

MUCHAS GMUCHAS G

ormación de ContactoCIOS CIA LTDA

a 201A

om.co

GRACIAS POR SU GRACIAS POR SU ATENCIÓN.

TomeTome elel controlcontrol dede lalaInformaciónInformación enen susuInformaciónInformación enen susuEmpresaEmpresa

httphttp:://www//www..seaqseaq..comcom..coco

Hacking y Aseguramiento de servidorres VoIP/SIP Aste · Ejemplos de Ataques ... VoIP H.323 ÎPrimer...

Documents

Transcript of Hacking y Aseguramiento de servidorres VoIP/SIP Aste · Ejemplos de Ataques ... VoIP H.323 ÎPrimer...