PresentacionAndresMujica-HackingServidoresVOIP

7/22/2019 PresentacionAndresMujica-HackingServidoresVOIP

1/119

Hacking y A

Ast

ng. n r

eguramiento

risk

s aur c o u ca a ameaRHCE/RHCSA/RHCVA/DCAP


2/119

La informacinpresentacin esacadmico y se

proteccin de su

El mal uso de la

violacin de leintern

CONTINUE BAJO S

ontenida en estaara uso meramenteebe aplicar para la

sistemas de VoIP.

misma implica la

yes nacionales e

cionales

RESPONSABILIDAD


3/119

HACKING Y A

In . Andrs Mauricio [email protected].

RHCE/RHCSA/RHCVA/DCA

EGURAMIENTO *ica Zalameao


4/119

OBJETIVOS

Conocer las diferente

Conocer los diferenherramientas utilizada

Determinar las mejoreestos ataques

modalidades de fraude

es ti os de ata uepara los mismos

prcticas para prevenir


5/119

PLAN DE TRABAJO

Antecedentes del frau

Tipos de Ataques

Negacin de ServiciHijacking, InterceptCaller ID SpoofingVishing

e telefnico

cin


6/119

H.323, SIP, IAX2, , ,

Herramientas UtilizadVoIP Sniffing ToolsVoIP Scannin andVoIP Packet CreatioVoIP Fuzzing ToolsVoIP Signaling ManiVoIP Media Manipul

s

numeration Toolsand Flooding Tools

pulation Toolstion Tools


7/119

n s s e un a aque

tiempo)


8/119

Ne acin de Servicio Hijacking, Interceptac Caller ID S oofin Vishing

in


9/119

In resos or conce tollamadas

de

ANTECEDENTE


10/119

Odo ms desarrolla

'50s (4 y.o.)

Hacking

do

Joe Engressiahttp://www.nytimes.com/2007/08/20/us/20engressia.html

ANTECEDENTES


11/119

Phreakers famosos

nico TelcoMa Bell

Blue BoxIn-band signallingFraudes hasta los '9Resuelto con SS7

s

Steve Wozniack

ANTECEDENTE


12/119

FRAUDES

De las telco hacia el u

Crammin : car o Slamming: robo

De terceros hacia el u

PBX : Recepcinexterno

Wangiri: Devolve

uario

s no deseados

e clientes entre telcos

uario

transfiere a un nmero

ANTECEDENTEllamada perdida


13/119

usuario

Marcadores : Des

nmero premium

de el

ANTECEDENTES


14/119

FRAUDES

De terceros hacia el u

809 Scams: Engamarque un nmerpero no o es.

a ng ar s

uario

ar al usuario para queque parece familiar

ANTECEDENTES


15/119

,ms costoso del ercado

ANTECEDENTES


16/119

ANTECEDENTES


17/119

n ece en es e rau

Hijacking, InterceptVishing

e e e n co

cin


18/119

o o

enegac n e erv c

falsas afectando

Existen botnets q

servicio distribuid

o

l servicio

e generan ataques

a)

TIPOS DE ATAQUE


19/119

TIPOS DE ATAQUES


20/119

o s

TIPOS DE ATAQUES


21/119

HIJACKING

Registration hijacking

Media hijacking (chuz das!)

TIPOS DE ATAQUES


22/119

HIJACKING

TIPOS DE ATAQUES


23/119

HIJACKING

TIPOS DE ATAQUES


24/119

CALLER ID SPOOFIN

Su lantar la identifica

S. 30: Truth in Ca

Act of 2009SpoofCard.comParis escuchand

in

ller ID

los mensajes de Lohan

TIPOS DE ATAQUE


25/119

s er s ar pCaller Id spoofing le Grabacin de llama

al

as

TIPOS DE ATAQUES


26/119

VISHING

No de clic sobre el enl

Robar informacide crdito or m

SMSIVRemail

ce, mejor llamenos

n personal (lese tarjetadio de en aos

TIPOS DE ATAQUES


27/119

VISHING

TIPOS DE ATAQUES


28/119

VISHING

TIPOS DE ATAQUES


29/119

VoIP SPAM

Meussi Solutions

Empresa de seguAta ue masivo e

ridad en VoIPel 2009

TIPOS DE ATAQUES


30/119

PLAN DE TRABAJO

Protocolos afectadosH.323, SIP, IAX2Cisco Ava a 3CX

Herramientas UtilizadVoIP Sniffing ToolsVoIP Scanning andVoIP Packet CreatioVoIP Fuzzing ToolsVoIP Signaling ManiVoIP Media Manipul

sterisk

s




31/119

VoIP

Signaling

Session Initiation Pr5060 5061

Session DescriptionEnca sulated in SIP

Media Gateway Con

UDP 2427,2727Skinny Client Contr

(SCCP/Skinny) : TC

PROTO

otocol (SIP) : TCP/UDP

Protocol (SDP) :

rol Protocol (MGCP) :

l Protocol2000,2001

COLOS AFECTADOS


32/119

VoIP

Signaling

Real-time TransferS RTP+1

Media

Real-time TransferSecure Real-time Tr

Dynamic

PROTO

ontrol Protocol (RTCP) :

rotocol (RTP) : Dynamicnsfer Protocol (SRTP) :

COLOS AFECTADOS


33/119

VoIP

Signaling

Hybrid

Inter-Asterisk eXchaobsolete

Inter-Asterisk eXcha

4569

PROT

nge v.1 (IAX): UDP 5036

nge v.2 (IAX2) : UDP

COLOS AFECTADO


34/119

VoIP

H.323

Primer protocoloActualmente en dCerca de 40 implVulnerabilidades(H.225 data excha

Ejecucin de cdimalformadosRequiere puertos

PROT

VoIP popularecadencia

mentaciones diferentesen decoder arsinge)

o con paquetes

inmicos

COLOS AFECTADO


35/119

VoIP

H.323

Signaling-H.245 - Call Par

-H.225.0. Q.931 - Call S. RAS - UDP 17

-Audio Call Cont-RTCP - RTP Co

Media

-RTP - Audio - Dy-RTP - Video - Dy

meters - D namic TCP

tu - TCP 172019

rol - TCP 1731trol - Dynamic UDP

namic UDPnamic UDP


36/119

VoIP

H.323

PROTOCOLOS AFECTADOS


37/119

VoIP

H.323

PROT COLOS AFECTADO


38/119

VoIP

H.323

PROT COLOS AFECTADOS


39/119

VoIP

SIP

Protocolo flexiblActualmente el mEstandarizado ySe ara sealizaciFunciona primorNo se diseo pen

PROT

s o ular usado

bierton de mediaialmente sobre UDP

sando en seguridad

COLOS AFECTADOS


40/119

VoIP

SIP

PROT COLOS AFECTADO


41/119

VoIP

SIP

PROT COLOS AFECTADOS


42/119

VoIP

SIP

PROT COLOS AFECTADO


43/119

VoIP

IAX2

Exclusivo de astal unos vendors

En proceso de esUnifica sealizaciAmigable con firFunciona sobreTambin tiene pr

PROT

risk (disponible eniferentes a di ium

tandarizacin ('09)n mediawall y nat

DPblemas de seguridad

COLOS AFECTADO


44/119

VoIP

IAX2

PROT COLOS AFECTADO


45/119

VoIP

IAX2

PROT COLOS AFECTADO


46/119

aques espec cos

oo ng SIP INVITE TCP SYN

Flood Amplification

Spread

PROT

a es os pro oco os

COLOS AFECTADO


47/119

Malformed message

Malicious signalling m

Forced Call teardown

SIP: BYEIAX: HANGUP

PROT

essages

-

COLOS AFECTADOS


48/119

Captura informacin

Monitoreo de llamada

Insercin de seales

- Call iniciada con Call

Caller-ID Name Disclo

PROT Sacarle a la PSTN el

e registro

s en proceso

aliciosas

r-Id falsoure

COLOS AFECTADOnombre registrado


49/119

Malformed call set-up

Directory Enumeration

Passive: Watch netw

Inject new media in a Re lace media en ac

Covert Communicatio Insertar datos dentro

signalling

rk traffic

ctive channelive channel

e un canal activo


50/119

H.323, SIP, IAX2, , ,

Herramientas UtilizadVoIP Sniffing ToolsVoIP Scannin andVoIP Packet CreatioVoIP Fuzzing ToolsVoIP Signaling ManiVoIP Media Manipul

s




51/119

SNIFFING

Primordialmente utiliz

AuthTool: Captur

Cain & Abel: Reco

$ CommView VoI

VoIP

$ Etherpeek: Sniff

HERRAM

das para "escuchar

de Password

nstruye RTP

Analyzer:Anlisis de

r

ENTAS UTILIZADAS


52/119

SNIFFING

Soportan varios proto

ILTY (" I'm Listeni

NetDude :Anlisis

Oreka: Grabacin

SIPscan: Capturar

HERRAM

olos

g To You"): Skinny sniffer

de tcpdump files

e RTP audio streams

sesiones SIP

ENTAS UTILIZADAS


53/119

SNIFFING

Versiones Windows, B

RtpBreak: Captura

SIPomatic: Escuc

SIPv6 Analyzer: S

UCSniff: VoIP eav

HERRAM

SD y Linux

de RTP en bruto

a de SIP

P sobre Ipv6

sdropping y ARP spoof

ENTAS UTILIZADAS


54/119

SNIFFING

Soportan varios proto

VoiPong & VoiPoara SIP H323 Sk

VOMIT: Cisco Pho

Wireshark: Netwo

WIST: Captura we

HERRAM

olos

g ISO: Captura de RTPinn

e to wav

k traffic analyzer

de SIP signalling

ENTAS UTILIZADA


55/119

SNIFFING

UCSniff

HERRAM ENTAS UTILIZADA


56/119

SNIFFING

VoiPong



57/119

listar las extensiones

$ EnableSecurity,

Iaxscan: Scanner

HERRAMluego enumerar po

oIPPack for CANVAS:

ara detectar hosts Iax2

ENTAS UTILIZADASfuerza bruta


58/119

SCANNING AND ENU

Vectores de ata ue IA

Iwar: IAX2 rotocol

Nessus: vulnerabi

Nmap: network po

$ Passive Vulnera

HERRAMpasivo de red, 40 c

MERATION

SIP SKINNY

wardialer

lity scanner

t scanner

bility Scanner:Anlisis

ENTAS UTILIZADAecks VoIP


59/119

abiertos sin asocia

SIP Forum Test Fr

validen sus equipo

HERRAM

in. (SS7 over IP)

amework (SFTF):

ENTAS UTILIZADA


60/119

LAN

SIP-Scan: Rpido

SIPcrack: Hace sn

lue o crack or f

Sipflanker: Busca

HERRAMinterfaz web accesi

canner SIP

iff para obtener SIP logins

erza bruta

ispositivos SIP con

ENTAS UTILIZADASble


61/119

SCANNING AND ENU

Las herramientas no sSIPSCAN: Enumer

REGISTER y OPTI

SiVuS: SIP Vulner

VLANping: ping c

HERRAM

MERATION

n fcilmente obteniblesador ue usa INVITE

NS

bility Scanner

n VLAN tag

ENTAS UTILIZADAS


62/119

-Svmap is a sip s-svwaridentifiesPBX

-svcrack is an onSIP PBX$ VoIPAudit: Scan

HERRAMSMAP: SIP stack fi

annerctive extensions on a

line assword cracker for

ner de vulnerabilidades

ENTAS UTILIZADASngerprint


63/119



64/119

HERRAM ENTAS UTILIZADAS


65/119

SCANNING AND ENU

VoIPAudit

enumIAX

HERRAMI

MERATION

ENTAS UTILIZADAS


66/119

mensajes SIP INVI

kphone-ddos: Uscon SIP s oofin

HERRAM

E a un telefono o proxy

ndo Kphone para inundar

ENTAS UTILIZADAS


67/119

PACKET CREATION

Usadas ara Ca acit$ SiPBlast: Herra

infraestructura porcapacidad creandomasivo

$ NSAUDITOR FloSIP UDP para prue

RTP Flooder: Paq

FLOODING

Testinienta ara ruebas de

edio de colmadotrfico de llamadas CPE

oder: Generador de trficobas de stress

etes well formed RTP


68/119

protocolo

Scapy: Herramientmani ulacin de

Sea ull: Generado

SIPBomber: Herra

HERRAMILinux

interactiva parauetes.

r de trfico multi rotocolo

mienta para probar SIP en

ENTAS UTILIZADAS


69/119

aplicaciones SIP

SIPp: generador d

SIPsak: SIP swiss

HERRAM

trfico y pruebass para

rm knife

ENTAS UTILIZADAS


70/119

HERRAM

ENTAS UTILIZADA


71/119


72/119


73/119


74/119


75/119

malformados (INVI

Codenomicon: Ve

Interstate Fuzzer:

E, CANCEL, BYE)

rsin comercial de

oIP Fuzzer


76/119

SIP, H323 y MGCP

PROTOS: Herrami

de a uetes malfor

SIP-Proxy: MiM, P

nta java para generacin

mados H.323 SIP

oxy entre el UA y el PBX


77/119

VoIPER: Securit tdispositivos VoIP

SFTF: FrameworkSIP Vendors

olkit ue ermite robar

para ser usado por los


78/119

FUZZING TOOLSVoIPER


79/119

FUZZING TOOLSFUZZER


80/119

FUZZING TOOLSSIP Proxy


81/119

message para des

Check Sync: Envi

haciendo reiniciar

H225regregjet: De

onectar la llamada

un SIP NOTIFY

iertos telefonos

sconecta llamadas H.323


82/119

autenticacin

IAXHangup: HerraHANGUP

$ SiPCPE: Evalua

RedirectPoison: Predirecciona una ll

mienta usada para,

ompliance de protocolo

or medio de SIP INVITEmada


83/119

HEADER otra IP predireccione a dos

Re Eraser: CausSIP REGISTER spcreer al SIP Proxy

disponible

,

ra que la llamada sePE

un DoS or medio de unof message que haceue no hay usuario


84/119

REGISTER faso parentrantes se enruten

SIP-KILL : Sniff dellamada

SIP-Proxy-Kill: Finauna sesin SIP en el

,

que todas las llamadasal atacante

IP INVITES ara tumbar la

iza a nivel de sealizacinproxy remoto antes que el


85/119

disponibles

SIP-RedirectRTP:

insertado entre dos

vnak: VoIP Networ

Manipula encabezados.

partes

Attack Toolkit


86/119

disponibles

VoIPHopper: Herrun PC para suplant

mienta para validacin de

arlo a nivel de VLAN


87/119

SIGNALING MANIPU

VoIPHOPPER

ATION


88/119

MEDIA MANIPULATI

Buscan alterar las coRTP InsertSound:.wav dentro de una

RTP MixSound: Si

RTPProxy: Esperaredirecciona a don

N

unicacionesInserta el contenido de unconversacin activa

milar a la anterior

paquetes RTP y lose se le indique


89/119

establece un flujo d .remoto

VOIP: Esconde unotra or medio de

e datos oculto dentro del,

a conversacin dentro deom resin G.711


90/119


91/119

.diccionario en el challen- -

vulnerabilidades especifSIP.Tastic: Herramien

dictionario al mtodo SI

S itter: Herramientaspruebas de VoIP SpamVSAP: Programa de

preguntas y respuestaredes VoIP (SIP/H.323/

ge/response IAX

icasa de ata ue asivo deDigest de autenticacin

ara asterisk ue hacen

auditoria por medio de

ue valida la seguridad deTP)


92/119

HERRAMIENTAS

SIPgull. .

f.net/doc/seagull_01VoIPPack

htt ://www.vimeo.co=2524735&servp;fullscreen=1&amp

w_byline=0&shr=01AAEA

=. .

.flv

/moo aloo .swf?cli id_er=www.vimeo.com&am;show_title=1&sho

ow_portrait=0&colo


93/119

Demo Real limitadtiempo)

a dis onibilidad de

LOGS ATAQUE


94/119

Feb 3 22:54:31 NOTICE 285from '"613430211"'ername/auth name

radas

LOGS ATAQUE


95/119

Feb 3 22:54:31 NOTICE 285from '"0"' failed for

th name mismatch


96/119

LOGS ATAQUEOGS ATAQUEFeb 3 22:56:12 NOTICE[285

from '"9996"' failed forth name mismatch

c an_s p.c: eg s ra on.yyy.zzz.xxx>' failed for

th name mismatch4] chan_sip.c: Registration.yyy.zzz.xxx>' failed for

9999

LOGS ATAQUE


97/119

LOGS ATAQUE


98/119

LOGS ATAQUE


99/119

ls all /sbin/init.zk

... ,


100/119

FreePBX backdoors andreePBX backdoors andwas published on April

http://nerdvittles.com/It recently came to our at

to login to the Elastix se

FreePBX Web interface

eLaStIx.asteriskuser.2o

assword are the sameused by FreePBX to acc

database. They are defi

an

/etc/amportal.conf file.

default passwords thatdefault passwords thatl 15 2011.

m/?p=737ention that it is possible

rver unembedded

http://address/admin) with

o7. The user name and

ser name and asswordss the asterisk MySQL

ed in the parameters

n e


101/119

tiempo)


102/119

FIREWALL: Bloquear

permitir acceso desde o

FIREWALL: Bloquear

ermitir acceso desde o

FIREWALL: Blo uear


ODO por defecto y solo

igenes autorizados


i enes autorizados

ODO or defecto solo

igenes autorizados


103/119


FIREWALL: Bloquearermitir acceso desde o

FIREWALL: Blo uearpermitir acceso desde o

FIREWALL: Bloquearermitir acceso desde o

igenes autorizados

ODO por defecto y soloi enes autorizados

ODO or defecto soloigenes autorizados

ODO por defecto y soloi enes autorizados


104/119

FIREWALL: Bloquear


FIREWALL: Bloquear

ermitir acceso desde o

FIREWALL: Blo uear



igenes autorizados


i enes autorizados

ODO or defecto solo

igenes autorizados


105/119

FIREWALL:por e ec o

loquear TODOso o perm r


106/119

Monitoreo CDR y L

servicios

NO utilizar logins

extensiones: Debe seextensin

NO utilizar passworutilizar asswords alfan

GS: Estar pendiente de

nmericos para las

diferente al nmero de la

s nmericos: Se debenmericos


107/119

Desactivar servicios nVoicemail remoto Callb

Desactivar serviciosMinimizar vectores de ri

Administracin poradministracinDEBE s

Administracin locaadministracinDEBE s

o usados en PBX: DISA,ck

no utilizados en SO:sgo

VPN: El acceso a lar por VPN

l: El acceso a lar local.


108/119

Lea portales especiali

Control de acceso pa

No habilite auto carcredito: Para troncales

ados: Forums de Digium

a administracin: Defina

a en las tar etaas deinternacionales


109/119

RESTRINGA DIAL PLnecesitan llamar a Zimb

001|1NXXXXXXXX001 0052NXXXXXX0012|N.

ASEGURE APACHE:autenticacin a nivel de

mod_auth_mysqlmod_authz_ldap

AN LDI/LDN: Realmentebwe?


110/119

ASEGURE SIP.CONF:= -

alwaysauthreject=ye=

LIMITE CANTIDAD DEcall-limit = 2

ASEGURE EL TIPO DEt e= user

type= peertype= friend

s

LLAMADAS SIP:

DEVICE SIP:


111/119

ASEGURAMIENTO

iptables -I door 1 -p udp -"mysecretpass" --algo bpor snowopen

iptables -A INPUT -p udp-- --

RESTRINGA REDES Vdeny = 0.0.0.0/0.0.0.ermit = 192.168.10.

deny = 0.0.0.0/0.0.0permit = 0.0.0.0/0.0.

AVANZADO POR

-dport 5060 -m string --stringm -m recent --set --name

--dport 5060 -m recent --rcheck-

LIDAS PARA SIP:00/255.255.255.0

.00.0

ASEGURE EL CONTE TO DEFAULT


112/119

ASEGURE EL CONTE[default]

[other-context]

ASEGURE EL MANAGdeny = 0.0.0.0/0.0.0.permit = 192.168.10.deny = 0.0.0.0/0.0.0

perm = . . . . .

TO DEFAULT:

R.CONF:00/255.255.255.0.0

.


113/119

type=peer

CHALLENGE (no ch

type=userun CHALLENGE

t e=friendfriend ( peer+user )autenticar en INVIT

If the device was defined only as pee

- peer must register first.

allenge on consecutive

ace que asterisk intenteEs., asterisk would not try to authenticate

he INVITE would be ignored.

UTILICE FAIL2BAN/A F/BDF


114/119

UTILICE FAIL2BAN/A

Versin automatiza

cat /var/log/asterisk/full | grep

$9,$12'} | cut -c6-9,26-45 | u

1288 1234' '208.38.181.6'

- - . .

Tenga en cuenta bureporta ip en INVITE

F/BDF

da de

"Wrong password" | awk {'print

iq -c

-.

en asterisk que no


115/119

UTILICE FAIL2BAN

Solamente protege i=

failregex = NOTICE.* .*: Registration from '.*'NOTICE.* .*: Registration from '.*' faileNOTICE.* .*: Registration from '.*' faile

mismatchNOTICE.* .*: Registration from '.*' faileNOTICE.* .*: Re istration from '.*' faile

registerNOTICE.* .*: Registration from '.*' faileNOTICE.* failed to authentic

* * '. . .NOTICE.* .*: Host failed MD

NOTICE.* .*: Failed to authenticate us

tentos de REGISTER

failed for '' - Wrong passwordfor '' - No matching peer foundfor '' - Username/auth name

for '' - Device does not match ACLfor '' - Peer is not su osed to

for '' - ACL error (permit/deny)te as '.*'$'authentication for '.*' (.*)

r .*@.*

C /


116/119

UTILICE APF/BDF

Advanced Policy Fir

/etc/apf/conf.apf

apf -d 202.86.128.0/24

Brute Force Detecti

bfd -s/ec/cron.d/bfd

wall

n


117/119

Demo Real limitadtiempo)

a dis onibilidad de

SEAQ SERVI

IOS CIA LTDA


118/119

InfSEAQ SERVI

Direccin: Carrera 15 # 79 37 Oficin

,

Telfono: +57 1 655 98 00

Fax: +57 1 655 98 02

Internet: www.seaq.com.cContacto: ventas sea .com

M HA

rmacin de ContactoIOS CIA LTDA

201A

.co

RA IA P R

ATENCIN.


119/119

TomeTome elel controlcontrol dede lala

EmpresaEmpresa

httphttp:://www//www..seaqseaq..comcom..coco

PresentacionAndresMujica-HackingServidoresVOIP

Documents

Transcript of PresentacionAndresMujica-HackingServidoresVOIP