Gestión de la información de seguridad en VoIP - Elastixworld Buenos Aires 2016

Gestión de la Información de Seguridad en VoIP Correlación de Evento de Seguridad

Luis Gerardo Sanchez Canaán

Estoy convencido que términos de seguridad informática no existe la solución perfecta ya que en un cerrar de ojos podemos encontrarnos

expuestos a cualquier nueva vulnerabilidad…

Es por esto que mi trabajo se enfoca en detectar, predecir y reaccionar de manera oportuna ante cualquier amenaza…

Mi visión sobre la seguridad en VoIP

Seguridad de la Información

(OSI)

Integridad del mensaje en las Llamadas

Confidencialidad de las Comunicaciones

Disponibilidad de los Servicios de VoIP

Autenticidad del Origen de la Llamada

Aspectos de la seguridad asociado a VoIP

Enumeración de usuarios y ext

Identificación los Servicios

Man in the M

iddle

Explotación de vulnerabilidades

Ataques contra terminales VoIP

Ataque de Fuerza Bruta Captura de trafico de la Red

Fallos de Configuraciones

Escuchas Ilegales

Fraude telefónico mediante VoIP

Vishing H

urto de Información

Algunos métodos y facilidades para atentar contra VoIP

DoS / DDoS SNMP / DDoS TFTP

¿Como tratamos de asegurar VoIP?

Internet MPLS

IP-PBX SIP-PROXY

Softphone PC Admin

Teléfono IP

Gateway VoIP E1, FXO, FXS, GSM

Conmutador

Firewall IDS/IPS

SBC

VPN

Enrutador

TLS / SRTP Oficina Remota

Extensión IP Remota

Proveedor SIP

HIDS TLS / SRTP

TLS / SRTP

¿Como tratamos de asegurar VoIP?

Servicios de Pruebas de Penetración

Ocultar huellas de distribución y versiones

Políticas de Contraseña

Cambiar puertos por defecto Limitar administración remota

Restricciones en la configuración

Restricciones de Acceso Físico

Deshabilitar servicios innecesarios

Objetivos de Ataques en VoIP

IP-PBX SIP-PROXY

Softphone PC Admin Host

Teléfono IP


Conmutador

Firewall IDS/IPS

SBC

Enrutador

Web Server

Base de Datos

LDAP NMS

Telnet SSH SSL SNMP NTP

SMTP IMAP POP DNS ICMP

SIP RTP IAX FTP TFTP

Gestión Avanzada de la Seguridad en VoIP

Gestión de Rendimiento

Log Management

SIEM

UBA

SIEM para la Gestión de la Información de Seguridad en VoIP

SEM

Gestión de Eventos

SIM

Gestión de la Seguridad de la Información

SIEM

Gestión de la Seguridad de la Información y Gestión de Eventos.

Se basa en la Agregación de Datos, Correlación de Eventos y

Alertas

Registros (Log)

Descubrimiento de Actividades Sospechosas

Tiempo Real Análisis Histórico

OSSIM para la Gestión de la Información de Seguridad en VoIP

“OSSIM como SIEM es ideal para la gestión de amenazas y el cumplimiento de normativas, nos permite el análisis de

seguridad, ya que monitorea los eventos de seguridad, registros del sistema operativo, eventos de aplicaciones y los registros de

tráfico de red, pero también hace mucho más.”

Fuentes de Información

Múltiples Formatos

Correlación de Eventos

Métricas

Detección de Ataques en Tiempo Real

Directivas y Políticas

Acciones


Agregación de Datos:

Recolección

Sensor

WMI

SNMP

Syslog

OSSEC

SQL Socket


Sensor

Eventos Eventos

Authen<fica<on Failed for user root from 200.43.24.01 01.04.2016

10:00:00

DROP 192.168.10.10 200.192.20.45 Ene 04 2016 10:00:00

Plugin_id=3303 plugin_sid=1 username=root date”1295472603”

src_ip=192.168.10.10

Plugin_id=4301 plugin_sid=3 date”1295472603” src_ip=192.168.10.10 dst_ip=200.192.20.45


Agregación de Datos:

Normalización


Correlación de Eventos:

Sensor

Eventos

SIEM

SSH Successfull Auth

Event from 192.168.10.10 to 200.192.20.45

SSH Auth Failed Event from

192.168.10.10 to 200.192.20.45


192.168.10.10 to 200.192.20.45

¿ Ataque de Fuerza Bruta ?

¿ Ataque de Fuerza Bruta Efec<vo?


Alertas:

Enviar correo al Administrador de la PBX

Desabilitar puerto ethernet en el Conmutador

Envio de comando al firewall para bloquear la IP Origen

DoS al servidor Web

Disco sin Espacio disponible

Enumeracion SIP desde Estacion de Trabajo

Inclusion de nuevas Extensiones no autorizadas

Abrir un <cket al Help Desk

SIEM

OSSIM mas que un SIEM

Gestión Unificada de Amenazas:

ASSET DISCOVERY Ac<ve Network Scanning Passive Network Scanning Asset Inventory

VULNERABILITY ASSESSMENT Con<nuous Vulnerability Monitoring Authen<cated / Unauthen<cated Ac<ve Scanning

BEHAVIORAL MONITORING Neelow Analysis

Service Availability Monitoring

SIEM Log Collec<on

OTX Threat Data SIEM Event Correla<on

Incident Response

THREAT DETECTION Network IDS

Host IDS File Integrity Monitoring


Visión Global de la Infraestructura TI:

Monitoreo de Iden;dad

Descubrimiento de la Red

Monitoreo de Recursos

Detección de Anomalías

Ldap Ac;ve Directory

Logs

SNMP Fingerprin;ng Tiempo de Uso

Flujo de la Red SNMP

Agentes / ICMP

Eventos Perfiles de Red Fingerprin;ng

Topología de Red Inventario Perfiles

Monitoreo de Red Disponibilidad de la Red

Recursos de Host


Abstracción de la Información:

Riesgo

Eventos de Seguridad SIEM OSSIM

Incidentes

Sensor OSSIM Logs

Alto Nivel (Métricas)

Medio Nivel (Decenas de Incidentes)

Bajo Nivel (Millones de Evento)


Unificación de Tecnologías:

Ges;ó

n Ap

licacione

s

SIEM OSSIM

Manejo de Incidentes

Riesgos Inteligencia

Storage

Detección Prevención Awareness IDS / IPS / WIDS

HIDS File Integrity

Evaluación de Vulnerabilidades

Evaluación de Amenazas

Iden;dad

Inventario

Recursos

Métodos de Recolección

Conector (Detectores y Monitores)

Salidas

WMI

Filtrado

LM

FTP

Syslog

SQL

SNMP

SIEM

Clasificación

Normalización

Flujo de los Eventos:

Administración de los Eventos de Seguridad

Procesamiento de un Evento:

SIEM

Almacenamiento SQL

Correlación

Valoración de Riesgo

Polí<cas

Recolección

Eventos


SIEM

Los eventos son almacenados en la basa de datos

Los eventos son correlacionados por diversos métodos y analizados en base a posibles vulnerabilidades

Un valor de riesgo (0-‐10) se calcula para cada evento, valor 8 por comprometer el funcionamiento de la PBX

Las Polí<cas indicaran que en la noche no esta permi<do realizar cambios de configuración

Recopila eventos enviado por HIDS cambios en el archivo del plan de marcafo

Eventos

Tipos de Correlación:


Correlación Lógica

Correlación Cruzada

Correlación de Inventario

AND OR

Ataques Vulnerabilidades

DB de Vulnerabilidades Inventario

Correlación Cruzada:


Sensor SIEM


192.168.10.10 to 200.192.20.45

Vulnerabilidad en Servidor via SSH por versión

instalada

Hands-‐On: Ges;ón de Eventos e Información de Seguridad en IPPBX basadas en Elas;x Comunicaciones Unificadas

Procesamiento de un Evento:

ELASTIX

Asterisk

O.S.

APACHE

MYSQL

Firewall

Eventos

ELASTIX

Eventos de Asterisk, Integridad de Archivos de Configuraciones

Vulnerabilidades de Componentes, Eventos de O.S., Rendimiento, Recursos, Servicios, Inventario.

Integridad en Archivos, Eventos de Apache, Permisos y Servicio.

Disponibilidad, Vulnerabilidades, Cambios, Eventos.

Eventos de Seguridad y Cambios de Poli<cas

Eventos

Administración de los Eventos de Seguridad en Elastix

Administración de los Eventos de Seguridad en Elastix

Internet MPLS Softphone PC Admin

Teléfono IP


Conmutador Layer 3 - Vlans

Firewall IDS/IPS

SBC

VPN

Enrutador

TLS / SRTP Oficina Remota

Extensión IP Remota

Proveedor SIP

HIDS TLS / SRTP

TLS / SRTP

Muchas gracias…!

Luis Gerardo Sanchez Canaán

@sr_redesip

Gestión de la información de seguridad en VoIP - Elastixworld Buenos Aires 2016

Technology

Transcript of Gestión de la información de seguridad en VoIP - Elastixworld Buenos Aires 2016