Seguridad en VoIP (Voice over IP) Lic. Fernando O. Alonso CISSP – CCNA/S - GSEC
Seguridad en VoIP(Voice over IP)
Lic. Fernando O. AlonsoCISSP – CCNA/S - GSEC
Tipear en Google: "Cisco Unified IP Phone" inurl:"NetworkConfiguration“
¿Mi red VoIP se encuentra segura?
• Intentar con búsquedas alternativas utilizando “site:mired.com”
VoIP Footprinting
Estructura organizacional y ubicaciones corporativas
VoIP Footprinting
Herramientas de datos en la Web
VoIP Footprinting
Teléfonos y extensiones provistas Números de Soporte Técnico y Mesa de
Ayuda Búsquedas laborales
VoIP Footprinting
VoIP Footprinting
Google Hacking site:avaya.com case study
site:avaya.com [Nombre Empresa]
inurl:”ccmuser/logon.asp” [Opcional site:sitio-empresa.com]
intitle:asterisk.management.portal web-access
Base de datos de Google Hacking: http://www.hackersforcharity.org/ghdb/
VoIP Footprinting
Productos Search
Series Snom “(e.g. 0114930398330)” snom
Series Polycom SoundPoint inurl:”coreConf.htm” intitle:”SoundPoint IP Configuration Utility”
Series Linksys (Sipura) intitle:”Sipura SPA Configuration”
Series Zultys intitle:”VoIP Phone Web Configuration Pages”
Series Grandstream intitle:”Grandstream Device Configuration” Password
VoIP Footprinting
Muchas veces, no solo se encuentra la consola de administración, sino también el archivo de passwords.
WHOIS & DNS
VoIP Footprinting
VoIP Footprinting
Contramedidas
◦ Recortar el acceso de los bots de los buscadores. (robot.txt)
◦ Solamente publicar en la web y los registros de dominio teléfonos de línea y si es posible, no publicarlos.
◦ Restringir el acceso administrativo a los dispositivos desde el exterior (WAN) y su interface HTTP.
VoIP Footprinting
VoIP Scanning
ICMP Echo Request / Reply
VoIP Scanning
Tipo Nombre
0 ECHO REPLY
3 DESTINATION UNREACHABLE
4 SOURCE QUENCH
5 REDIRECT
8 ECHO
11 TIME EXCEEDED
12 PARAMETER PROBLEM
13 TIMESTAMP
14 TIMESTAMP REPLY
15 INFORMATION REQUEST
16 INFORMATION REPLY
VoIP ScanningOtras formas de ICMP Sweep
Contramedidas de ICMP Sweep:◦ ICMP es de extrema
utilidad para administradores de red
◦ Es un verdadero riesgo de seguridad
◦ Deberían filtrarse todos los protocolos ICMP que no utilicen los administradores.
VoIP Scanning
¿Que hacer si los ICMP están filtrados?Combinación ARP-ICMP
VoIP Scanning
Combinación ARP-ICMP
VoIP Scanning
Combinación ARP-ICMP
VoIP Scanning
TCP Ping Scans
VoIP Scanning
TCP Ping Scans (Nmap)
VoIP Scanning
VoIP Scanning
SNMP Scanning (SNScan) (http://http://www.mcafee.com/us/downloads/free-tools/snscan.aspx )
Port Scanning & Service Discovery
VoIP Scanning
Stack Fingerprinting
VoIP Scanning
Contramedidas Firewalls con inteligencia
(De aplicación, de inspección de sesión, etc.)
IDSs/IPSs
Modificación de los stacks (En casos de ser posible)
Modificación de las Direcciones MAC (En caso de ser posible)
VoIP Scanning
VoIP Enumeration
Una vez identificada la red y los dispositivos, es momento de buscar sus servicios y vulnerabilidades. Ojo! Hace mucho ruido.
VoIP Enumeration
Protocolo SIP: SIP URIsSIP: Session Initiation Protocol (TCP/UDP
5060)URI: Uniform Resource Indicatorsip:user:password@host:port;uri-parameters?headers
Ejs:sip:[email protected]:[email protected]:BrunoDiaz:SecretBatman@CGTel;transport=tcpsip:[email protected]:5060
VoIP Enumeration
Elementos de SIP User Agents (UA): Cualquier aplicación o dispositivo que inicia una
sesión SIP
Proxy Server: Recibe los requerimientos de los UA y los rutea al próximo hop.
Redirect Server: Es un Proxy Server que redirecciona a otros hops para alivianar la carga
Registrar Server: Procesa los requerimientos REGISTER (Mapea URIs a otros). Ej: [email protected] lo mapeo a [email protected]
Location Server: Este server lo utilizan el Redirect o el Registrar para encontrar el destino.
VoIP Enumeration
Requerimientos SIP
VoIP Enumeration
SIP Request PropósitoINVITE Inicia una conversación
BYE Termina una conexión
OPTIONS Determina los mensajes SIP
REGISTER Hace un Register de un User
ACK Acknowledgement de un INVITE
CANCEL Cancela un INVITE previo
REFER Transfiere llamadas a recursos externos
SUBSCRIBE Indica futuros requerimientos NOTIFY
NOTIFY Provee informaciones que no están relacionadas con una sesión.
Respuestas SIP
VoIP Enumeration
Respuesta Categoría Código
Respuestas 1xx Respuesta Informativa 100 Trying
180 Ringing
…
Respuestas 2xx Respuesta Exitosa 200 OK
Respuestas 3xx Respuesta de redireccionamiento 300 Multiple Choices
301 Moved Permanently
…
Respuestas 4xx Respuestas de Fallas en el Requerimiento 400 Bad Request
401 Unauthorized
…
Respuestas 5xx Respuestas de Falla en el Servidor 500 Internal Server Error
501 Not Implemented
…
Respuestas 6xx Respuestas de falla global 600 Busy Everyone
603 Decline
…
Call Flow de SIP
VoIP Enumeration
RTP 101 (Real-Time Protocol) Transporta el Audio
Generalmente usa el codec G.711 para transportar paquetes de 160 bytes.
Envía un paquete UDP con Audio cada 50Hz (20 ms). Lo que hace un sample de voz entre los 50Hz y 8 KHz (160 bytes x 50 Hz) Rango de voz humana.
El Segmento UDP de RTP tiene campos como “Sequence Number”, Timestamp o SSRC lo cual dificulta modificarlo en el camino. Obliga a hacer un MITM
VoIP Enumeration
VoIP Enumeration Segmento RTP
Banner Grabbing (Con Netcat)
VoIP Enumeration
Banner Grabbing (Con Netcat)
VoIP Enumeration
Herramientas de Banner Grabbing – SMAPhttp://sourceforge.net/projects/smap-tool/
VoIP Enumeration
Herramientas de Banner Grabbing – SiVuShttp://www.voip-security.net/index.php/component/jdownloads/view.download/30/299
VoIP Enumeration
Herramientas de Banner Grabbing – SAINThttp://www.saintcorporation.com
VoIP Enumeration
Herramientas de Banner Grabbing – Nessus
http://www.tenable.com/products/nessus
VoIP Enumeration
REGISTER Username Enumeration
VoIP Enumeration
Usuario SIP Server
REGISTER F1
200 OK F2 (Si no se implementa autorización)401 Unauthorized F2 o407 Proxy Authentication Required F2
REGISTER F3
200 OK F4
•Un “Wardialing” haría mucho ruido.
•Utilizar las técnicas de Footprinting para averiguar las líneas/extensiones.
•Generalmente las extensiones 100 o 200 son las más usadas.
•Respuestas como “Invalid Username/Password”, indican que la extensión existe.
INVITE Username Enumeration
VoIP Enumeration
El escaneo de INVITE es más ruidoso, ya que implica hacer sonar el teléfono, y aunque no haya nadie, las llamadas perdidas quedan registradas y hacer un “Traceback” se torna simple.
OPTIONS Username EnumerationEs más silencioso. Usa el request de options bajo un usuario
determinado.
VoIP Enumeration
Usuario SIP Server
OPTIONS F1
200 OK F2 (Si no se implementa autorización) o404 Not Found F2
Existe una tool SIPsack que permite hace un OPTIONS scan en forma automática: http://sipsack.org
Scanning a través de INVITE, REGISTER y OPTIONS con SIPSCAN http://www.hackingvoip.com/tools/sipscan.msi
VoIP Enumeration
Enumeration de otros servicios VoIP: TFTP
VoIP Enumeration
•TFTP Servers: Muchos nodos y PBX tienen servicios de TFTP para cargar/descargar firmware (Especialmente CISCO).
•Buscar puertos UDP 69. (Utilizando tftptheft, ncat, nmap, telnet, putty, winSCP, clientes tftp, etc. Todos gratuitos y disponibles en Internet).
•TFTP es un protocolo inseguro que no autentica, nos puede permitir inclusive tomar control del Sistema Operativo.
Enumeration de otros servicios VoIP: SNMP
VoIP Enumeration
SNMP es un protocolo inseguro que expone hasta el más mínimo detalle el estado del nodo.
Escaneando el puerto UDP 162 con ncat, nmap, SNMPSweep o cualquier aplicación gratuita de chequeo de SNMP.
Contramedidas
Firewall de aplicación. IDS/IPS. Configurado para aplicaciones y firmas en protocolos SIP y RTP
Cerrar y/o restringir al máximo posible los servicios en cada host y filtro de red.
De ser posible, modificar los banners y configuración de los stacks para que no puedan ser identificados.
VoIP Enumeration
VoIP Denial of Service (DoS)
VoIP es más susceptible y sensible al ancho de banda y disponibilidad de la red que los demás protocolos.
Una comunicación puede ser afectada por: Alta Latencia Jitter Pérdida de paquetes (Recordar que es UDP
y el paquete perdido no se retransmite)
VoIP DoS
Herramientas para medir el Ancho de Banda (Wireshark, EtherPeek, etc)
VoIP DoS
Aplicaciones de medición tráfico VoIP
VoIP DoS
Agilent Technologies - www.agilent.comBrix Networks – www.brixnet.comFluke / ClearSight Networks –
www.clearsightnet.com Empirix – www.empirix.com Finisar – www.finisar.com NetIQ – www.netiq.com Qovia – www.qovia.comSecureLogix – www.securelogix.com Sunrise Telecom –
www.sunrisetelecom.com TouchStone – www.touchstone-inc.com WildPackets – www.wildpackets.com
Existen hoy más de 250 exploits para hacer Flooding Attacks
VoIP DoS
UDP Flooding
SIP y RTP utilizan UDP
Es fácil de ejecutar ya que hacer un spoofing via UDP es más sencillo que TCP porque no responde al IP/Puerto de origen.
Existen herramientas como UdpFlood que se puede bajar de: http://www.hackingvoip.com/tools/udpflood.tar.gz o también con soporte para VLANs en: http://www.hackingvoip.com/tools/udpfloodVLAN.tar.gz o en su versión para Windows en http://www.mcafee.com/us/downloads/free-tools/udpflood.aspx.
VoIP DoS
TCP SYN Flood
VoIP DoS
Otros floods
Established Connection Flood (o Application Flooding Attack)
Sobrecarga en la demanda de la interface o la red por ejecución de Malware
Sobrecargar Firewalls o balanceadores con QoS.
VoIP DoS
Contramedidas al Flooding
Firewalls e IDS/IPS con soluciones Anti DoS/DDoS
Hardening del perímetro de red
Hardening de las terminales VoIP (Teléfonos, PCs, Tablets, etc)
VLANs
VoIP DoS
Ataques a la disponibilidad de la red
Stress testing con paquetes malformados. (IP Stack Integrity Checker – ISIC - http://packetfactory.openwall.net/projects/ISIC/)
Fragmentación de paquetes (openTear - ftp://ftp.ntua.gr/mirror/technotronic/denial/opentear.c)
Vulnerabilidades en el OS o en el Firmware
VoIP DoS
Agotamiento DHCP (http://www.codeforge.com/read/180266/dhcpx.c__html)
DNS Cache Poisoning (http://packetfactory.openwall.net/projects/dnsa/index.html)
VoIP DoS
Contramedidas a los ataques DoS Segmentación en VLANs NIDS/NIPS Configurar el DHCP para que otorgue IPs solo a MAC
conocidas Configurar y filtrar los forwards de los DNS
VoIP DoS
Eavesdropping de una red VoIP
VoIP no deja de ser más que un protocolo de transferencia de datos. Es susceptible como cualquier otro protocolo a los mismos ataques (Y otros más).
VoIP Eavesdropping
VoIP Eavesdropping
Además de la aplicación, la vulnerabilidad puede estar en la red. Mal configurada o uso de WiFi en algún lugar de la red.
Tools
NetStumbler: http://www.netstumbler.com/AirCrack: http://www.aircrack-ng.org/Kismet: http://www.kismetwireless.net/
Para acceder a una red VoIP basta con comprometer sólo un nodo. Se puede comprometer:
Cualquier Server o PBX Un teléfono Un Switch Un Proxy Un Gateway Una PC/Workstation/Smartphone/Tablet Cualquier nodo que esté físicamente en la red, aunque tenga otro
uso ajeno a VoIP (Mail Server, Web Server, SCADA, etc…)
VoIP Eavesdropping
MAC Flood en un Switch
VoIP Eavesdropping
Saltar entre VLANs (VLAN Hopping) Por ataque MAC Flood Manipulando el tag 802.1Q o ISL como trunk Doble encapsulación Enviando al IP destino pero MAC del router (Private VLAN attack). Ataques Spanning Tree (BPDU) Ataques al router VTP
VoIP Eavesdropping
ARP Poisoning (Man-in-the-Middle)
VoIP Eavesdropping
Tools
ArpSpoof: http://arpspoof.sourceforge.net/
Dsniff & Macof: http://monkey.org/~dugsong/dsniff/
TCPKill: https://github.com/chartbeat/tcpkill
TFTP Sniffing
VoIP Eavesdropping
Number Harvesting(De los tonos de números tipeados surgen Números de Cuenta, Números
de Tarjeta, PINs, Claves, etc.)
VoIP Eavesdropping
Intercepción de llamadas
VoIP Eavesdropping
ToolsWireshark: http://www.wireshark.org/Cain And Abel: http://oxid.netsons.org/download/ca_setup.exe Vomit: http://vomit.xtdnet.nl/Voipong: http://www.enderunix.org/voipong/Oreka: http://oreka.sourceforge.net/
Contramedidas TFTP Sniff: Separar VLANs administrativas de
operativas. Firewalls filtrando sólo IP correspondientes
Number Harvesting: Encriptar el canal (IPSec, SIP TLS), separar en VLANs.
Intercepción de llamadas: Encriptar el canal. Filtrar sólo los IPs permitidos. Implementar ZRTP (http://zfone.com/zrtp_ietf.html)
VoIP Eavesdropping
Interceptación VoIPy Modificación
Hijacking de red tradicional
Interceptación VoIP y Modificación
Estrategias
•Eavesdropping de la conversación
•Causar un DoS en la conversación
•Alterar la conversación eliminando o insertando audio, o inclusive “Replaying” audio.
•Redireccionando el llamado a otro nodo.
Métodos
•DNS Spoofing
•DHCP Spoofing
•ICMP Redirection
•TFTP Spoofing
•Redireccionamiento de ruteo.
ARP SpoofingUtilizando “Caín & Abel” (http://www.oxid.it/cain.html)
Interceptación VoIP y Modificación
Ettercap (http://ettercap.sourceforge.net)
Interceptación VoIP y Modificación
Interceptación VoIP y Modificación
Dsniff (http://www.monkey.org/~dugsong/dsniff/)
ARPSpoof
Interceptación VoIP y Modificación
Fragrouter (http://packetstormsecurity.org)
Interceptación VoIP y Modificación
Contramedidas del ARP Poisoning
Hacer mapeos manuales ARP (MAC<->IP) (Vulnerable al MAC Spoofing)
Agregar seguridad a los puertos del Switch (Vulnerable si desconecta el teléfono y conecta su laptop)
VLANs
Encriptación de la sesión (Con autenticación)
Interceptación VoIP y Modificación
Aplicación SIP_Rogue (http://www.hackingvoip.com/tools/sip_rogue.tar.gz)
Interceptar a nivel aplicación
Modo Rogue SIP proxyModo Rogue SIP Back-to-Back-User Agent (B2BUA)
Interceptar a nivel aplicación
sip_rogue para un ataque B2BUA
sip_rogue para un ataque SIP Proxy
Escuchar y grabar llamadas
Interceptar a nivel aplicación
Interceptar a nivel aplicación
Reemplazar o alterar el audio
Es factible insertar paquetes con audio en el que tengan palabras o frases con un determinado tono de voz.
Existen cientos de aplicaciones disponibles que detectan las frecuencias y las aplican a grabaciones estipuladas. Ej: Uno graba la frase “Estas despedido” y le puede asignar la voz de el Director de la empresa.
Algunos software disponibles: NCH Voxal Voice Changer: http://www.nchsoftware.com/voicechanger/index.html
Morph Vox: http://www.screamingbee.com/product/MorphVOXJunior.aspx
Skype Voice Changer: http://skypefx.codeplex.com/
Interceptar a nivel aplicación
Interceptar a nivel aplicación
Con estas técnicas también se pueden hacer otros ataques como:
Interceptar a nivel aplicación
•Monitorear las llamadas (En vivo o previo almacenaje de paquetes)
•Identificar tonos de números que indican números de teléfono, números de cuentas, números de tarjeta, PINs, etc.
•Cancelar llamadas
•Crear patrones de llamados de ciertos usuarios.
Haciendo Drop de llamadas con la técnica “Rogue SIP Proxy”
Para llevarlo a cabo, debería resetearse el teléfono para que se registre a este falso Proxy.
También puede utilizarse este Drop entre Proxies, causando problemas aún mayores.
Interceptar a nivel aplicación
Redireccionar las llamadas a otros nodos en forma aleatoria también con la técnica “Rogue SIP Proxy”
Interceptar a nivel aplicación
Al igual que con el drop, se debe resetear el teléfono si no se regsitró con nuestro falso Proxy, y nuevamente hacerlo entre Proxies traería problemas de gran magnitud.
Otros ataques utilizando Rogue SIP Proxy
Negociación entre nodos eliminando la encriptación Monitoreo de llamadas Análisis de patrones de usuarios Drop de llamadas en forma masiva
Interceptar a nivel aplicación
Contramedidas
Implementar encriptación y autenticación en todo lo que se pueda.
VoIP/SIP Firewalls
Separar siempre en VLANs
Interceptar a nivel aplicación
Ingeniería Social
en VoIP
Spitter (http://www.hackingvoip.com/tools/spitter.tar.gz)
Existen soluciones disponibles para detectar, filtrar y reportar a los Blacklists estos ataques.
Eyeball AntiSpit: www.voip-spam.com Project Spider: www.projectspider.org VoIP Shield: www.voipshield.com
SPAM over Internet Telephony (S.P.I.T.)
VoIP Phishing
Soluciones en Hardware y Software para prevenir:
Barracuda www.barracudanetworks.com BlackSpider www.blackspider.com Postini www.postini.com Proofpoint www.proofpoint.com
Concientizar a los usuarios Nunca responder con datos críticos por más verídico que parezca.
Siempre verificar. Nunca llamar a los números que indica la llamada. Hacerlo a los
números de teléfono formalmente establecidos. Ante cualquier duda, avisar a los superiores y/o al departamento
de IT.
Contramedidas SPIT y VoIP Phishing
¡¡Muchas Gracias!!