Voice OVER IP

Seguridad en VoIP(Voice over IP)

Lic. Fernando O. AlonsoCISSP – CCNA/S - GSEC

Tipear en Google: "Cisco Unified IP Phone" inurl:"NetworkConfiguration“

¿Mi red VoIP se encuentra segura?

• Intentar con búsquedas alternativas utilizando “site:mired.com”

VoIP Footprinting

Estructura organizacional y ubicaciones corporativas

VoIP Footprinting

Herramientas de datos en la Web

VoIP Footprinting

Teléfonos y extensiones provistas Números de Soporte Técnico y Mesa de

Ayuda Búsquedas laborales

VoIP Footprinting

VoIP Footprinting

Google Hacking site:avaya.com case study

site:avaya.com [Nombre Empresa]

inurl:”ccmuser/logon.asp” [Opcional site:sitio-empresa.com]

intitle:asterisk.management.portal web-access

Base de datos de Google Hacking: http://www.hackersforcharity.org/ghdb/

VoIP Footprinting

Productos Search

Series Snom “(e.g. 0114930398330)” snom

Series Polycom SoundPoint inurl:”coreConf.htm” intitle:”SoundPoint IP Configuration Utility”

Series Linksys (Sipura) intitle:”Sipura SPA Configuration”

Series Zultys intitle:”VoIP Phone Web Configuration Pages”

Series Grandstream intitle:”Grandstream Device Configuration” Password

VoIP Footprinting

Muchas veces, no solo se encuentra la consola de administración, sino también el archivo de passwords.

WHOIS & DNS

VoIP Footprinting

VoIP Footprinting

Contramedidas

◦ Recortar el acceso de los bots de los buscadores. (robot.txt)

◦ Solamente publicar en la web y los registros de dominio teléfonos de línea y si es posible, no publicarlos.

◦ Restringir el acceso administrativo a los dispositivos desde el exterior (WAN) y su interface HTTP.

VoIP Footprinting

VoIP Scanning

ICMP Echo Request / Reply

VoIP Scanning

Pings Múltiples (FPING)http://www.fping.com/

VoIP Scanning

Nmap ( http://www.insecure.org/nmap/ )

VoIP Scanning

Tipo Nombre

0 ECHO REPLY

3 DESTINATION UNREACHABLE

4 SOURCE QUENCH

5 REDIRECT

8 ECHO

11 TIME EXCEEDED

12 PARAMETER PROBLEM

13 TIMESTAMP

14 TIMESTAMP REPLY

15 INFORMATION REQUEST

16 INFORMATION REPLY

VoIP ScanningOtras formas de ICMP Sweep

Contramedidas de ICMP Sweep:◦ ICMP es de extrema

utilidad para administradores de red

◦ Es un verdadero riesgo de seguridad

◦ Deberían filtrarse todos los protocolos ICMP que no utilicen los administradores.

VoIP Scanning

¿Que hacer si los ICMP están filtrados?Combinación ARP-ICMP

VoIP Scanning

Combinación ARP-ICMP

VoIP Scanning

Combinación ARP-ICMP

VoIP Scanning

ARPing (http://freshmeat.net/projects/arping/)

VoIP Scanning

TCP Ping Scans

VoIP Scanning

TCP Ping Scans (Nmap)

VoIP Scanning

TCP Ping Scans (hPing)http://www.hping.org

VoIP Scanning

VoIP Scanning

SNMP Scanning (SNScan) (http://http://www.mcafee.com/us/downloads/free-tools/snscan.aspx )

Port Scanning & Service Discovery

VoIP Scanning

Stack Fingerprinting

VoIP Scanning

Contramedidas Firewalls con inteligencia

(De aplicación, de inspección de sesión, etc.)

IDSs/IPSs

Modificación de los stacks (En casos de ser posible)

Modificación de las Direcciones MAC (En caso de ser posible)

VoIP Scanning

VoIP Enumeration

Una vez identificada la red y los dispositivos, es momento de buscar sus servicios y vulnerabilidades. Ojo! Hace mucho ruido.

VoIP Enumeration

Protocolo SIP: SIP URIsSIP: Session Initiation Protocol (TCP/UDP

5060)URI: Uniform Resource Indicatorsip:user:password@host:port;uri-parameters?headers

Ejs:sip:[email protected]:[email protected]:BrunoDiaz:SecretBatman@CGTel;transport=tcpsip:[email protected]:5060

VoIP Enumeration

Elementos de SIP User Agents (UA): Cualquier aplicación o dispositivo que inicia una

sesión SIP

Proxy Server: Recibe los requerimientos de los UA y los rutea al próximo hop.

Redirect Server: Es un Proxy Server que redirecciona a otros hops para alivianar la carga

Registrar Server: Procesa los requerimientos REGISTER (Mapea URIs a otros). Ej: [email protected] lo mapeo a [email protected]

Location Server: Este server lo utilizan el Redirect o el Registrar para encontrar el destino.

VoIP Enumeration

Requerimientos SIP

VoIP Enumeration

SIP Request PropósitoINVITE Inicia una conversación

BYE Termina una conexión

OPTIONS Determina los mensajes SIP

REGISTER Hace un Register de un User

ACK Acknowledgement de un INVITE

CANCEL Cancela un INVITE previo

REFER Transfiere llamadas a recursos externos

SUBSCRIBE Indica futuros requerimientos NOTIFY

NOTIFY Provee informaciones que no están relacionadas con una sesión.

Respuestas SIP

VoIP Enumeration

Respuesta Categoría Código

Respuestas 1xx Respuesta Informativa 100 Trying

180 Ringing

…

Respuestas 2xx Respuesta Exitosa 200 OK

Respuestas 3xx Respuesta de redireccionamiento 300 Multiple Choices

301 Moved Permanently

…

Respuestas 4xx Respuestas de Fallas en el Requerimiento 400 Bad Request

401 Unauthorized

…

Respuestas 5xx Respuestas de Falla en el Servidor 500 Internal Server Error

501 Not Implemented

…

Respuestas 6xx Respuestas de falla global 600 Busy Everyone

603 Decline

…

Call Flow de SIP

VoIP Enumeration

RTP 101 (Real-Time Protocol) Transporta el Audio

Generalmente usa el codec G.711 para transportar paquetes de 160 bytes.

Envía un paquete UDP con Audio cada 50Hz (20 ms). Lo que hace un sample de voz entre los 50Hz y 8 KHz (160 bytes x 50 Hz) Rango de voz humana.

El Segmento UDP de RTP tiene campos como “Sequence Number”, Timestamp o SSRC lo cual dificulta modificarlo en el camino. Obliga a hacer un MITM

VoIP Enumeration

VoIP Enumeration Segmento RTP

Banner Grabbing (Con Netcat)

VoIP Enumeration

Banner Grabbing (Con Netcat)

VoIP Enumeration

Herramientas de Banner Grabbing – SMAPhttp://sourceforge.net/projects/smap-tool/

VoIP Enumeration

Herramientas de Banner Grabbing – SiVuShttp://www.voip-security.net/index.php/component/jdownloads/view.download/30/299

VoIP Enumeration

Herramientas de Banner Grabbing – Retinahttp://www.eeye.com

VoIP Enumeration

Herramientas de Banner Grabbing – SAINThttp://www.saintcorporation.com

VoIP Enumeration

Herramientas de Banner Grabbing – Nessus

http://www.tenable.com/products/nessus

VoIP Enumeration

REGISTER Username Enumeration

VoIP Enumeration

Usuario SIP Server

REGISTER F1

200 OK F2 (Si no se implementa autorización)401 Unauthorized F2 o407 Proxy Authentication Required F2

REGISTER F3

200 OK F4

•Un “Wardialing” haría mucho ruido.

•Utilizar las técnicas de Footprinting para averiguar las líneas/extensiones.

•Generalmente las extensiones 100 o 200 son las más usadas.

•Respuestas como “Invalid Username/Password”, indican que la extensión existe.

INVITE Username Enumeration

VoIP Enumeration

El escaneo de INVITE es más ruidoso, ya que implica hacer sonar el teléfono, y aunque no haya nadie, las llamadas perdidas quedan registradas y hacer un “Traceback” se torna simple.

OPTIONS Username EnumerationEs más silencioso. Usa el request de options bajo un usuario

determinado.

VoIP Enumeration

Usuario SIP Server

OPTIONS F1

200 OK F2 (Si no se implementa autorización) o404 Not Found F2

Existe una tool SIPsack que permite hace un OPTIONS scan en forma automática: http://sipsack.org

Scanning a través de INVITE, REGISTER y OPTIONS con SIPSCAN http://www.hackingvoip.com/tools/sipscan.msi

VoIP Enumeration

Enumeration de otros servicios VoIP: TFTP

VoIP Enumeration

•TFTP Servers: Muchos nodos y PBX tienen servicios de TFTP para cargar/descargar firmware (Especialmente CISCO).

•Buscar puertos UDP 69. (Utilizando tftptheft, ncat, nmap, telnet, putty, winSCP, clientes tftp, etc. Todos gratuitos y disponibles en Internet).

•TFTP es un protocolo inseguro que no autentica, nos puede permitir inclusive tomar control del Sistema Operativo.

Enumeration de otros servicios VoIP: SNMP

VoIP Enumeration

SNMP es un protocolo inseguro que expone hasta el más mínimo detalle el estado del nodo.

Escaneando el puerto UDP 162 con ncat, nmap, SNMPSweep o cualquier aplicación gratuita de chequeo de SNMP.

Contramedidas

Firewall de aplicación. IDS/IPS. Configurado para aplicaciones y firmas en protocolos SIP y RTP

Cerrar y/o restringir al máximo posible los servicios en cada host y filtro de red.

De ser posible, modificar los banners y configuración de los stacks para que no puedan ser identificados.

VoIP Enumeration

VoIP Denial of Service (DoS)

VoIP es más susceptible y sensible al ancho de banda y disponibilidad de la red que los demás protocolos.

Una comunicación puede ser afectada por: Alta Latencia Jitter Pérdida de paquetes (Recordar que es UDP

y el paquete perdido no se retransmite)

VoIP DoS

Herramientas para medir el Ancho de Banda (Wireshark, EtherPeek, etc)

VoIP DoS

Aplicaciones de medición tráfico VoIP

VoIP DoS

Agilent Technologies - www.agilent.comBrix Networks – www.brixnet.comFluke / ClearSight Networks –

www.clearsightnet.com Empirix – www.empirix.com Finisar – www.finisar.com NetIQ – www.netiq.com Qovia – www.qovia.comSecureLogix – www.securelogix.com Sunrise Telecom –

www.sunrisetelecom.com TouchStone – www.touchstone-inc.com WildPackets – www.wildpackets.com

Existen hoy más de 250 exploits para hacer Flooding Attacks

VoIP DoS

UDP Flooding

SIP y RTP utilizan UDP

Es fácil de ejecutar ya que hacer un spoofing via UDP es más sencillo que TCP porque no responde al IP/Puerto de origen.

Existen herramientas como UdpFlood que se puede bajar de: http://www.hackingvoip.com/tools/udpflood.tar.gz o también con soporte para VLANs en: http://www.hackingvoip.com/tools/udpfloodVLAN.tar.gz o en su versión para Windows en http://www.mcafee.com/us/downloads/free-tools/udpflood.aspx.

VoIP DoS

TCP SYN Flood

VoIP DoS

Otros floods

Established Connection Flood (o Application Flooding Attack)

Sobrecarga en la demanda de la interface o la red por ejecución de Malware

Sobrecargar Firewalls o balanceadores con QoS.

VoIP DoS

Contramedidas al Flooding

Firewalls e IDS/IPS con soluciones Anti DoS/DDoS

Hardening del perímetro de red

Hardening de las terminales VoIP (Teléfonos, PCs, Tablets, etc)

VLANs

VoIP DoS

Ataques a la disponibilidad de la red

Stress testing con paquetes malformados. (IP Stack Integrity Checker – ISIC - http://packetfactory.openwall.net/projects/ISIC/)

Fragmentación de paquetes (openTear - ftp://ftp.ntua.gr/mirror/technotronic/denial/opentear.c)

Vulnerabilidades en el OS o en el Firmware

VoIP DoS

Agotamiento DHCP (http://www.codeforge.com/read/180266/dhcpx.c__html)

DNS Cache Poisoning (http://packetfactory.openwall.net/projects/dnsa/index.html)

VoIP DoS

Contramedidas a los ataques DoS Segmentación en VLANs NIDS/NIPS Configurar el DHCP para que otorgue IPs solo a MAC

conocidas Configurar y filtrar los forwards de los DNS

VoIP DoS

Eavesdropping de una red VoIP

VoIP no deja de ser más que un protocolo de transferencia de datos. Es susceptible como cualquier otro protocolo a los mismos ataques (Y otros más).

VoIP Eavesdropping

VoIP Eavesdropping

Además de la aplicación, la vulnerabilidad puede estar en la red. Mal configurada o uso de WiFi en algún lugar de la red.

Tools

NetStumbler: http://www.netstumbler.com/AirCrack: http://www.aircrack-ng.org/Kismet: http://www.kismetwireless.net/

Para acceder a una red VoIP basta con comprometer sólo un nodo. Se puede comprometer:

Cualquier Server o PBX Un teléfono Un Switch Un Proxy Un Gateway Una PC/Workstation/Smartphone/Tablet Cualquier nodo que esté físicamente en la red, aunque tenga otro

uso ajeno a VoIP (Mail Server, Web Server, SCADA, etc…)

VoIP Eavesdropping

MAC Flood en un Switch

VoIP Eavesdropping

Saltar entre VLANs (VLAN Hopping) Por ataque MAC Flood Manipulando el tag 802.1Q o ISL como trunk Doble encapsulación Enviando al IP destino pero MAC del router (Private VLAN attack). Ataques Spanning Tree (BPDU) Ataques al router VTP

VoIP Eavesdropping

ARP Poisoning (Man-in-the-Middle)

VoIP Eavesdropping

Tools

ArpSpoof: http://arpspoof.sourceforge.net/

Dsniff & Macof: http://monkey.org/~dugsong/dsniff/

TCPKill: https://github.com/chartbeat/tcpkill

TFTP Sniffing

VoIP Eavesdropping

Number Harvesting(De los tonos de números tipeados surgen Números de Cuenta, Números

de Tarjeta, PINs, Claves, etc.)

VoIP Eavesdropping

Intercepción de llamadas

VoIP Eavesdropping

ToolsWireshark: http://www.wireshark.org/Cain And Abel: http://oxid.netsons.org/download/ca_setup.exe Vomit: http://vomit.xtdnet.nl/Voipong: http://www.enderunix.org/voipong/Oreka: http://oreka.sourceforge.net/

Contramedidas TFTP Sniff: Separar VLANs administrativas de

operativas. Firewalls filtrando sólo IP correspondientes

Number Harvesting: Encriptar el canal (IPSec, SIP TLS), separar en VLANs.

Intercepción de llamadas: Encriptar el canal. Filtrar sólo los IPs permitidos. Implementar ZRTP (http://zfone.com/zrtp_ietf.html)

VoIP Eavesdropping

Interceptación VoIPy Modificación

Hijacking de red tradicional

Interceptación VoIP y Modificación

Estrategias

•Eavesdropping de la conversación

•Causar un DoS en la conversación

•Alterar la conversación eliminando o insertando audio, o inclusive “Replaying” audio.

•Redireccionando el llamado a otro nodo.

Métodos

•DNS Spoofing

•DHCP Spoofing

•ICMP Redirection

•TFTP Spoofing

•Redireccionamiento de ruteo.

ARP SpoofingUtilizando “Caín & Abel” (http://www.oxid.it/cain.html)

Interceptación VoIP y Modificación

Ettercap (http://ettercap.sourceforge.net)

Interceptación VoIP y Modificación

Interceptación VoIP y Modificación

Dsniff (http://www.monkey.org/~dugsong/dsniff/)

ARPSpoof

Interceptación VoIP y Modificación

Fragrouter (http://packetstormsecurity.org)

Interceptación VoIP y Modificación

Contramedidas del ARP Poisoning

Hacer mapeos manuales ARP (MAC<->IP) (Vulnerable al MAC Spoofing)

Agregar seguridad a los puertos del Switch (Vulnerable si desconecta el teléfono y conecta su laptop)

VLANs

Encriptación de la sesión (Con autenticación)

Interceptación VoIP y Modificación

Aplicación SIP_Rogue (http://www.hackingvoip.com/tools/sip_rogue.tar.gz)

Interceptar a nivel aplicación

Modo Rogue SIP proxyModo Rogue SIP Back-to-Back-User Agent (B2BUA)

Interceptar a nivel aplicación

sip_rogue para un ataque B2BUA

sip_rogue para un ataque SIP Proxy

Escuchar y grabar llamadas

Interceptar a nivel aplicación

Interceptar a nivel aplicación

Reemplazar o alterar el audio

Es factible insertar paquetes con audio en el que tengan palabras o frases con un determinado tono de voz.

Existen cientos de aplicaciones disponibles que detectan las frecuencias y las aplican a grabaciones estipuladas. Ej: Uno graba la frase “Estas despedido” y le puede asignar la voz de el Director de la empresa.

Algunos software disponibles: NCH Voxal Voice Changer: http://www.nchsoftware.com/voicechanger/index.html

Morph Vox: http://www.screamingbee.com/product/MorphVOXJunior.aspx

Skype Voice Changer: http://skypefx.codeplex.com/

Interceptar a nivel aplicación

Interceptar a nivel aplicación

Con estas técnicas también se pueden hacer otros ataques como:

Interceptar a nivel aplicación

•Monitorear las llamadas (En vivo o previo almacenaje de paquetes)

•Identificar tonos de números que indican números de teléfono, números de cuentas, números de tarjeta, PINs, etc.

•Cancelar llamadas

•Crear patrones de llamados de ciertos usuarios.

Haciendo Drop de llamadas con la técnica “Rogue SIP Proxy”

Para llevarlo a cabo, debería resetearse el teléfono para que se registre a este falso Proxy.

También puede utilizarse este Drop entre Proxies, causando problemas aún mayores.

Interceptar a nivel aplicación

Redireccionar las llamadas a otros nodos en forma aleatoria también con la técnica “Rogue SIP Proxy”

Interceptar a nivel aplicación

Al igual que con el drop, se debe resetear el teléfono si no se regsitró con nuestro falso Proxy, y nuevamente hacerlo entre Proxies traería problemas de gran magnitud.

Otros ataques utilizando Rogue SIP Proxy

Negociación entre nodos eliminando la encriptación Monitoreo de llamadas Análisis de patrones de usuarios Drop de llamadas en forma masiva

Interceptar a nivel aplicación

Contramedidas

Implementar encriptación y autenticación en todo lo que se pueda.

VoIP/SIP Firewalls

Separar siempre en VLANs

Interceptar a nivel aplicación

Ingeniería Social

en VoIP

Spitter (http://www.hackingvoip.com/tools/spitter.tar.gz)

Existen soluciones disponibles para detectar, filtrar y reportar a los Blacklists estos ataques.

Eyeball AntiSpit: www.voip-spam.com Project Spider: www.projectspider.org VoIP Shield: www.voipshield.com

SPAM over Internet Telephony (S.P.I.T.)

VoIP Phishing

Soluciones en Hardware y Software para prevenir:

Barracuda www.barracudanetworks.com BlackSpider www.blackspider.com Postini www.postini.com Proofpoint www.proofpoint.com

Concientizar a los usuarios Nunca responder con datos críticos por más verídico que parezca.

Siempre verificar. Nunca llamar a los números que indica la llamada. Hacerlo a los

números de teléfono formalmente establecidos. Ante cualquier duda, avisar a los superiores y/o al departamento

de IT.

Contramedidas SPIT y VoIP Phishing

¡¡Muchas Gracias!!