Webinar seguridad VoIP

38
¿Es segura mi red de VoIP?

Transcript of Webinar seguridad VoIP

Page 1: Webinar seguridad VoIP

¿Es segura mi red de VoIP?

Page 2: Webinar seguridad VoIP

ÍNDICE

Quobis Networks SLU Todos los derechos reservados 2

ATAQUES

DEFENSA

ROBUSTEZ

preguntas y respuestas

IAGO SOTO CMO @ Quobis [email protected] @iagosoto

ANTÓN ROMÁN CTO @ Quobis [email protected]

@antonroman

Page 3: Webinar seguridad VoIP

SOBRE QUOBIS

Quobis Networks SLU Todos los derechos reservados 3

Corporate Headquarters Pol industrial A Granxa P260 36400 O Porrino Spain Tel: +34-902-999-465

Page 4: Webinar seguridad VoIP

SOBRE QUOBIS

Quobis Networks SLU Todos los derechos reservados 4

TELCOS ENTERPRISE

Professional services using opensource solutions

INTERCONNECTION & BORDER MANAGEMENT

VOIP SECURITY AND ENCRYPTION

SERVICE ASSURANCE & OPTIMIZATION

SOFTSWITCHING & IP CENTREX SYSTEMS

MULTI-TENANT APPLICATION SERVERS MCU MTRP

Powered by

C2C AUTH

Multiconference Call recording Click to Call IdentityCall: call authentication

Larger

Including Managed services

Page 5: Webinar seguridad VoIP

INTRODUCCION

Quobis Networks SLU Todos los derechos reservados 5

¿ES LA SEGURIDAD UN PROBLEMA EN VOIP?

Sí, y ya lo era con la telefonía convencional (phreaking). La tecnología IP facilita la convergencia de servicios sobre la infraestructura de datos reduciendo costes y aumentando servicios, pero facilita la accesibilidad y los ataques a sistemas desprotegidos. Hay muchos puntos de ataque en un sistema. Un ataque en VoIP provoca un perjuicio económico de manera inmediata al atacado y un beneficio económico directo al atacante. Esto no ocurre con otro tipo de ataques.

Page 6: Webinar seguridad VoIP

INTRODUCCION

Quobis Networks SLU Todos los derechos reservados 6

¿ES LA SEGURIDAD UN PROBLEMA EN VOIP?

● La seguridad completa no existe... pero hay que buscarla.

● Tan importante como blindar tu red es darte cuenta de que algo no va bien lo más rápido posible.

● No podemos tener en cuenta todas las eventuallidades que pueden derivar en un ataque, p.ej. que un atacante obtenga de algún modo los credenciales de un usuario: si esto pasa lo único que nos queda es detectar patrones extraños de tráfico que delaten su presencia.

Page 7: Webinar seguridad VoIP

INTRODUCCION

Quobis Networks SLU Todos los derechos reservados 7

ESTADÍSTICAS SOBRE SEGURIDAD EN VOIP

En un estudio(*) realizado sobre 1.2M de IPs españolas en los puertos 5060, 5061 y 5062 se ha detectado lo siguiente: - 441.316 hosts detectados de entre los que se pueden distinguir los siguientes equipos: - 469 Gateways Cisco + 105 Equipos VoIP Cisco. - 40 Equipos Polycom, casi todo equipos de teleconferencia. - 3373 ATAs Linksys. - 374 Asterisk (**) + 103 FreePBX. - 3 OpenSIPS + 7 (OpenSER/Kamailio) (**). - 6 Panasonic - 893 IPs ejecutando SIPVicious!

(*) El estudio fue realizado por nuestro compañero Jesús Pérez Rubio para presentar en las Jornadas G.S.I.C mediante técnicas de sondeo no invasivas.

(**) En aplicaciones Open Source es posible modificar el User-Agent enviado en los métodos SIP por lo que es probable que muchos de estos equipos no se hayan identificado en el estudio.

Page 8: Webinar seguridad VoIP

INTERCONEXIÓN ATAQUES

Page 9: Webinar seguridad VoIP

Quobis Networks SLU Todos los derechos reservados 9

ATAQUES DENEGACIÓN DE SERVICIO

IVR

AAA SoftSwitch

VoIP

BILLING

Flujo serializado

Avalancha de registros

RED DE ACCESO

El objetivo de un ataque de DoS es degradar la calidad del servicio que percibe el usuario mediante el envío masivo de mensajes que requieran del uso de recursos (CPU, BW o memoria) en el sistema atacado. Ejemplos: avalancha de registros o llamadas contra el softswitch o centralita que puede pretender: Simple caída del servicio. Ataque de fuerza bruta para fraude telefónico. También existen ataques “no intencionados” que se deben tener en cuenta: Avalancha tras un apagón. Bugs en terminales. Virus multipropósito.

Page 10: Webinar seguridad VoIP

Quobis Networks SLU Todos los derechos reservados 10

ATAQUES FRAUDE EN LLAMADAS

El objetivo es que un atacante se registre en el sistemas con un usuario válido (a través de la averiguación de una password, suplantando una IP,….) con el objetivo de hacer llamadas a números internacionales de alta facturación. No sólo son llamadas a través de la red VoIP (SIP), sino que en muchos casos el atacante obtiene acceso remoto a un SIP proxy o softswitch desde donde puede originar llamadas por consola que pueden ser facturables.

• El ataque supone muchas veces no sólo pérdidas económicas, sino que se cargue inicialmente el coste del ataque a un usuario legítimo.

• Es difícil determinar la responsabilidad (cliente o operador) en muchas

ocasiones con este tipo de ataques.

Page 11: Webinar seguridad VoIP

Quobis Networks SLU Todos los derechos reservados 11

ATAQUES ESCUCHAS ILEGALES

Debido a su naturaleza IP es más sencillo capturar el tráfico de señalización y audio por parte de posibles atacantes para obtener información bien sea del propio audio de la llamada, así como la propia información de las llamadas intercambiadas por un usuario. Esto es especialmente peligroso en redes Wi-Fi sobre las que se curse tráfico VoIP y que no estén debidamente protegidas.

Page 12: Webinar seguridad VoIP

Quobis Networks SLU Todos los derechos reservados 12

ATAQUES CONTROL ILEGAL

Si un atacante consigue las credenciales de un usuario tiene control absoluto sobre la línea: ✔ Puede utilizarla para hacer llamadas de alto coste: perjudica al operador y al cliente.

✔Estás líneas se pueden utilizar para terminar llamadas de otros clientes a los que el atacante vende servicios (Ojo a permitir varias líneas simultáneas a clientes!).

✔Para actividades ilegales, dificultando en gran medida el seguimiento judicial de las llamadas.

Page 13: Webinar seguridad VoIP

Quobis Networks SLU Todos los derechos reservados 13

ATAQUES METODOLOGÍA DE UN ATAQUE VOIP

1.- Sondeo y localización. 2.- Identificación y planificación ataque. 3.- Ataque de fuerza bruta. 4.- Acto criminal.

Page 14: Webinar seguridad VoIP

Quobis Networks SLU Todos los derechos reservados 14

ATAQUES METODOLOGÍA DE UN ATAQUE VOIP

1.- Sondeo y localización. Objetivo: identificar IPs y puertos con servicios VoIP. Método: ping IP y ping SIP (principalmente método OPTIONS)

Page 15: Webinar seguridad VoIP

Quobis Networks SLU Todos los derechos reservados 15

ATAQUES METODOLOGÍA DE UN ATAQUE VOIP

2.- Identificación y planificación ataque. Objetivo: averiguar qué hardware y/o software da el servicio y qué tipo de servicio se trata. Método: se planifica el ataque en función del sistema a atacar. Se consultan BBDD con información de vulnerabilidades conocidas del sistema y/o prestador de servicio de telefonía.

Page 16: Webinar seguridad VoIP

Quobis Networks SLU Todos los derechos reservados 16

ATAQUES METODOLOGÍA DE UN ATAQUE VOIP

3.- Ataque de fuerza bruta. Objetivo: obtener usuarios y password válidas. Método: mediante el envío de mensajes de forma repetitiva con diferentes identificadores de usuario y passwords.

Page 17: Webinar seguridad VoIP

Quobis Networks SLU Todos los derechos reservados 17

ATAQUES METODOLOGÍA DE UN ATAQUE VOIP

4.- Acto criminal. Objetivo: casi siempre, ganar dinero con llamadas internacionales de facturación elevada. Método: realización de llamadas telefónicas para realizar fraude telefónico, suplantación de identidad y/o uso de línea para fines delictivos.

Page 18: Webinar seguridad VoIP

Quobis Networks SLU Todos los derechos reservados 18

ATAQUES OTROS PUNTOS DE ENTRADA

1.- SIP trunk contra proveedor: si no se

asegura correctamente puede ser una

puerta de entrada sencilla.

2.- Acceso ssh/telnet/web al servidor

del servicio: muchas aplicaciones

permiten generar llamadas externas

mediante línea de comandos. Es posible

acceder a interfaces de gestión de PBX

a través de buscadores públicos!!.

3.- Obtención de datos de acceso

mediante ingeniería social y phising.

Page 19: Webinar seguridad VoIP

INTERCONEXIÓN

DEFENSA

Page 20: Webinar seguridad VoIP

Quobis Networks SLU Todos los derechos reservados 20

PROTECCIÓN DISEÑO DE LA INFRAESTRUCTURA

La primera de la medidas para fijar un estándar de protección es dotar a al red de los elementos lógicos y físicos necesarios para evitar ataques:

• El correcto dimensionamiento de los equipos (CPU, memoria, puertos disponibles, etc)

• El uso de una VLAN o varias VLANs dedicadas para el transporte del tráfico VoIP.

• Sistema de prevención de intrusiones externas (firewalls, gestión de acceso a la interfaz de gestión de los equipos).

• Utilización de VPNs para acceso /interconexión de sistemas VoIP cuando sea posible.

Page 21: Webinar seguridad VoIP

Quobis Networks SLU Todos los derechos reservados 21

PROTECCIÓN TECNOLOGÍAS SEGURAS. ENCRIPTACIÓN

Podemos mejorar la seguridad y confianza de la red VoIP mediante técnicas de encriptación

Encriptación a dos niveles:

Señalización: mediante protocolo TLS. Ante una eventual intrusión, no se conocen datos de la llamada (códecs, número A/B, IP’s, etc…)

Media: mediante protocolo SRTP. Impide la escucha de llamada en caso de captura del flujo, que es relativamente sencillo.

La encriptación se puede realizar en varios puntos:

En el IP TRUNK entre clientes y operadores

En escenario de acceso, donde los clientes se registran contra un softswitch.

IVR Grabador

Centro principal Centro secundario

PBX

Encriptación señalización (TLS) Centro principal

Autenticación (MTLS)

Encriptación media (SRTP) PBX SIP

Page 22: Webinar seguridad VoIP

Quobis Networks SLU Todos los derechos reservados 22

PROTECCIÓN TECNOLOGÍAS SEGURAS . TLS, SRTP Y ZRTP

1. TLS (Transport Layer Security)

• Dificulta en gran medida los ataques ya que encripta la señalización de la comunicación, pero por si solo no consituye la medida definitiva anti-fraude.

• Exige un mayor número de recursos en el servidor.

• Se puede utilizar para autenticar al operador, o también al operador y cliente, que el escenario ideal.

• Conlleva una gestión de certificados que puede ser muy costosa si no se utilizan técnicas adecuadas.

2. SRTP (secure Real Time Protocol)

• Encripta el audio, por lo que favorece la seguridad pero puede dificultar tareas de troubleshooting.

• Debe ser usado siempre con TLS para que sea realmente útil

3. ZRTP

• Las claves de encriptado se negocian dentro del propio flujo de audio, por lo que los dos extremos deben soportarlo.

• Del creador de PGP. No está totalmente definido el estándar. En producción se utiliza SRTP.

Page 23: Webinar seguridad VoIP

Quobis Networks SLU Todos los derechos reservados 23

PROTECCIÓN SESSION BORDER CONTROLLERS

Los SBC son los elementos de red diseñados específicamente para garantizar la Interconexión y seguridad en las redes VoIP, cubriendo aspectos como el control de QoS, encriptación o ocultación de la red interna, entre otras muchas cosas.

Por ejemplo, aplicando tecnología de manipulación de cabeceras, es capaz de ocultar nuestra topología de red hacia el exterior: - Enmascarando direcciones IP de nuestros elementos de red. - Enmascarando los campos Via de la cabecera SIP. - Eliminando rutas de direccionamiento internas.

Page 24: Webinar seguridad VoIP

Quobis Networks SLU Todos los derechos reservados 24

PROTECCIÓN SBC. Punto de acceso y enrutamiento

Los session border controller enrutan llamadas en base a diferentes políticas.

Las políticas de enrutado pueden ser tanto internas como externas: • Estáticas • ENUM (interno o externo) • DNS SRV

Aplicación típica: • Balanceo de carga (robustez)

• Punto de control de acceso desde redes no seguras

24 24

IVR

ACD CRM

PBX

CPD SECUNDARIO

IVR

ACD CRM

AS

CPD PRINCIPAL

Operador #1

Operador #2

GW GW

PSTN

Clientes

CallCenter Externalizado

Teleagentes

Internet

OPERADORES

PBX

SBC

Page 25: Webinar seguridad VoIP

Quobis Networks SLU Todos los derechos reservados 25

PROTECCIÓN SESSION BORDER CONTROLLERS. Control QoS Ya que el tráfico SIP o H323 atraviesa el SBC, éste puede controlar de forma dinámica la

calidad llamada a llamada

Verificación de varios puntos de cada sesión: • Revisión del SLA en el IP PEERING. ¿Nos ofrecen lo que dicen?

• Revisión del SLA con nuestros clientes. ¿Ofrecemos lo que decimos?

El SBC comprueba varios parámetros de QoS: De red: jitter, latencia, retardo

De audio: factor R, factor MOS

El SBC no sólo registra y monitoriza la calidad del enlace, sino que toma decisiones (enrutamiento, denegación de llamada, alarma, etc…) para garantizar la calidad de servicio.

Operador #1

Operador #2

Plataforma Propia

Medida y routing en función de parámetro de QoS

SBC

Pu

nto

de

co

ntr

ol

Page 26: Webinar seguridad VoIP

Quobis Networks SLU Todos los derechos reservados 26

PROTECCIÓN SESSION BORDER CONTROLLERS. Duplicación de tráfico

Los SBC no son un grabador de llamadas, pero permiten replicar el flujo de una llamada hacia un grabador especializado. La grabación en IP aporta flexibilidad a las configuraciones:

• Grabación sobre un IP TRUNK completo • Grabación selectiva sobre un IP TRUNK, con varias políticas

En función del número origen o destino En función de la ruta En función del código

• Grabación bajo demanda (intercepción legal)

IVR

Centro principal

ACD

Cliente #1

Cliente #2

BD grabaciones

SBC

Replicación tráfico para reenvío al grabador

CRM PBX SIP

Page 27: Webinar seguridad VoIP

Quobis Networks SLU Todos los derechos reservados 27

PROTECCIÓN Ejemplo de sistema: IDENTITYCALL

Page 28: Webinar seguridad VoIP

Posibilidad de garantizar la identidad de los interlocutores, ya que el usuario debe usar su certificado digital o DNI electrónico

Aplicaciones principales de IdentityCall:

Quobis Networks SLU Todos los derechos reservados 28

Solución PC/MAX y Smartphones

Encriptación extremo a extremo

Plataforma hw orientada a banca, sanidad y grandes corporaciones

PROTECCIÓN Ejemplo de sistema: IDENTITYCALL

Page 29: Webinar seguridad VoIP

Quobis Networks SLU Todos los derechos reservados 29

MONITORIZACIÓN

Además de medidas de seguridad preventiva es importante tener una monitorización absoluta de la red, especialmente de los eventos que son tarificados a clientes. Ideas clave:

• Las herramientas de monitorización de red (SNMP, IDS, IPS,…) no cubren los posibles ataques a las redes de voz.

• Una parte importante de los ataques (fraudes en llamadas,…) no se pueden bloquear preventivamente sin comprometer el negocio.

• Una estrategia mixta de prevención y monitorización es lo más adecuado.

IVR

Centro

ACD CRM PBX SIP

Page 30: Webinar seguridad VoIP

Quobis Networks SLU Todos los derechos reservados 30

MONITORIZACIÓN PALLADION. INTRODUCCIÓN

Powered by:

Solución de troubleshooting y monitorización de usuarios en redes NGN

Orientada a operadores para ser instalada en el NOC

Visión unificada de toda la red, verificando el servicio que recibe cada usuario y detectando ataques e identificando y alertando de fraudes.

Independiente de los fabricantes

Basada en estándares

Integración sencilla

Aporta mucha más información que el softswitch

Page 31: Webinar seguridad VoIP

Quobis Networks SLU Todos los derechos reservados 31

MONITORIZACIÓN PALLADION. INTRODUCCIÓN

Monitorización y testeo de los niveles de calidad y seguridad en redes de voz de operadores, basados en la definición de alertas e indicadores (KPI) como:

• Llamadas en curso

• Llamadas no cursadas

• Intentos de llamada

• Duración media

• Calidad audio (MOS,R)

• ASR

• CSR

• Info por IP y/o user

• etc (hasta varios cientos

de indicadores diferentes)

Page 32: Webinar seguridad VoIP

Quobis Networks SLU Todos los derechos reservados 32

MONITORIZACIÓN PALLADION. EJEMPLO

Troubleshooting. Problema: el usuario A dice que no es capaz de realizar algunas llamadas desde su softphone. Consulta en Palladion: con Palladion podemos comprobar todas las llamadas realizadas por el cliente en los últimos meses pudiendo reproducir la traza completa (si la llamada se encuentra en el búfer) de forma que podamos identificar el problema.

Page 33: Webinar seguridad VoIP

Quobis Networks SLU Todos los derechos reservados 33

MONITORIZACIÓN PALLADION. EJEMPLO

Fraud Detection and Prevention. Problema: el usuario ha excedido un umbral fijado de minutos en un día. Consulta en Palladion: Palladion nos avisa por correo y mediante traps SNMP del evento, que podemos consultar en la plataforma de Fraud Detection como incidentes.

Page 34: Webinar seguridad VoIP

INTERCONEXIÓN

ROBUSTEZ

Page 35: Webinar seguridad VoIP

Quobis Networks SLU Todos los derechos reservados 35

ROBUSTEZ ALTA DISPONIBILIDAD

Los sistemas deben ser lo más robustos posibles para minimizar los tiempos de caída. Es importante tener en cuenta la interacción que tiene el sistema telefónico con otros servicios: LDAP, BBDD. En un ataque DoS lo primero en caer serán los cuellos de botella, por lo que el dimensionamiento tiene que ser cuidadoso. Al depender de la infraestructura de datos, es importante que ésta también proporcione a redundancia necesaria.

Page 36: Webinar seguridad VoIP

Quobis Networks SLU Todos los derechos reservados 36

ROBUSTEZ ALTA DISPONIBILIDAD

Para garantizar Alta Disponibilidad los sitemas siempre se redundan. Esta redundancia puede ser Activo-Activo o Activo-Pasivo e implica la instalación de dos o más sistemas equivalentes. La instalación en Alta Disponibilidad también es importante para poder dar servicio mientras se realizan tareas de mantenimiento (actualizaciones, recambios hw, etc). La virtualización, y cada vez más los despliegues de sistemas en la nube permiten dar aún más sobustez a las soluciones.

Page 37: Webinar seguridad VoIP

EN RESUMEN

Quobis Networks SLU Todos los derechos reservados 37

ATAQUES • Denegación de servicio • Fraude • Escuchas y control ilegal

DEFENSA PROTECCIÓN

• Diseño de la arquitectura y encriptación • Session border controllers • Autentificación de llamadas

MONITORIZACION

ROBUSTEZ • Alta Disponibilidad • Redundancia

Page 38: Webinar seguridad VoIP

QUOBIS NETWORKS Pol. A Granxa P.260

36400 Porriño (Spain)

Tlf. +34 902 999 465

Sip://sip.quobis.com

www.quobis.com