Seguridad en VoIPSeguridad en VoIP
12/10/2010 Santa Cruz de la Sierra/ Bolivia WALC 2010
Ing. Leonardo Uzcátegui
Introducción
• ¿Qué es VoIP?
– Una sola red para voz, video y datos
– Seguridad, fiabilidad y QoS
• Infraestructura básica• Infraestructura básica
– Terminales
– Gateways
– Gatekeepers
12/10/2010 Santa Cruz de la Sierra/ Bolivia WALC 2010
Introducción
• Protocolos y estándares VoIP– H.323 , RTP/RTCP y SIP– Muchos otros:
• CMMS, H.225, H.245, RAS, MGCP, TGCP, NC, H.284, Megaco, SKINNY, SCCP, Q.931+, SIGTRAN, ISTOP, SS7, RUDP, RADIUS, COPS
• SIP (Session Initation Protocol)Creado por IETF MMUSIC Working Group
• SIP (Session Initation Protocol)– Creado por IETF MMUSIC Working Group– Similar HTTP y SMTP– Escalable– Fácil de integrar con otro protocolos– Simple…(o lo era)
• Componentes de la red SIP– Agentes de Usuario (UA)– Servidores
• Proxy Server• Redirect Server• Location Server• Register Server
12/10/201012/10/2010 Santa Cruz de la Sierra/ Bolivia WALC 2010
Ejemplo SIP
12/10/201012/10/2010 Santa Cruz de la Sierra/ Bolivia WALC 2010Santa Cruz de la Sierra/ Bolivia WALC 2010
Seguridad en VoIP
� Se apoya en muchas otras capas◦ Hereda problemas
�Clasificación de los ataques◦ Accesos desautorizados y fraudes◦ Enumeración y descubrimiento◦ Accesos desautorizados y fraudes◦ Enumeración y descubrimiento◦ Ataques de denegación de servicio◦ Ataques a los dispositvos◦ Vulnerabilidades de la red subyacente◦ Ataques a nivel de aplicación
12/10/201012/10/2010 Santa Cruz de la Sierra/ Bolivia WALC 2010
Descubrimiento objetivos
• Footprinting– Métodos no intrusivos
– Información publica: Web de la empresa, DNS,Whois…
– El poder de Google:• inurl:”NetworkConfiguration” cisco
• Escaneos– La mejor herramienta: NMAP
• Listado de IP• Listado de IP
• Listado de Servicios
• Identifica los dispositivos VoIP
• Enumeración– Vulnerabilidades servicios
– Extensiones y usuarios validos• Método REGISTER
• Método INVITE
• Método OPTION
– TFTP
– SNMP
12/10/201012/10/2010 Santa Cruz de la Sierra/ Bolivia WALC 2010
Capa de red
�Ataques en la capa de red◦ Afectan a VoIP directamente
�Ataques DoS◦ SYN flood◦ UDP flood◦ SYN flood◦ UDP flood◦ Fragmentación IP
�Ataques contra la confidencialidad◦ Sniffers◦ Man in the Middle
� Arp Spoofing
12/10/201012/10/2010 Santa Cruz de la Sierra/ Bolivia WALC Santa Cruz de la Sierra/ Bolivia WALC
20102010
Aplicado a
VoIP
EAVESDROPPING
Eavesdropping
12/10/201012/10/2010 Santa Cruz de la Sierra/ Bolivia WALC 2010Santa Cruz de la Sierra/ Bolivia WALC 2010
Desconexión de Usuarios
• Desconexión
– Mensajes BYE - SIP
– Mensajes Reset - SCCP
– Mensajes HUNGUP - AIX– Mensajes HUNGUP - AIX
12/10/201012/10/2010 Santa Cruz de la Sierra/ Bolivia WALC 2010
Ataques a los Dispositivos
• Objetivos principales
– Vulnerabilidad y errores en el HW y SW
– Malas configuraciones• Puertos por defecto• Puertos por defecto
• Servicios innecesarios
• Password “de casa”
– Ejemplo: Linksys SPA-921 v1.0• La petición de una URL larga al servidor http del dispositivo
provoca que el teléfono se reinicie.
• Un nombre de usuario o un password demasiado largo en la autenticación http provoca que el teléfono se reinicie.
12/10/201012/10/2010 Santa Cruz de la Sierra/ Bolivia WALC 2010
Crackeando la autenticación SIP• Autenticación SIP
– Método Digest
• Pasos:
– Esnifar el tráfico y la autenticación del usuario
• sipdump
– Crackear por diccionario– Crackear por diccionario
• sipcrack
– Crackear por fuerza bruta
• John the ripper + sipcrack
• Todo en uno:
– CAIN
• Snifer
• Man in the middle
• crackeo
12/10/201012/10/2010 Santa Cruz de la Sierra/ Bolivia WALC 2010
Suplantación de identidad en el
registro SIP
12/10/201012/10/2010 Santa Cruz de la Sierra/ Bolivia WALC 2010
FUZZING
• Llevan los protocolos al limite
• Buscan fallos en
– Dispositivos HW VoIP
• Firmware
• Sistema Operativo
– Dispositivos SW VoIP
INVITE sip:[email protected] SIP/2.0
Via:aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
aaaaaaaaaaaaaaaaaaaaaaaa
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
aaaaaaaaaaaaaaaaaaaaaaaaa
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
aaaaaaaaaaaaaaaaaaaaaaaaa
aaaaaaaaaa
Via: SIP/2.0/UDP 10.1.3.3:5060– Dispositivos SW VoIP
• Software
• Sistema Operativo
• Provocan
– Cuelgues, reinicios,etc = DoS
– Vulnerabilidades más graves
12/10/201012/10/2010 Santa Cruz de la Sierra/ Bolivia WALC 2010
Via: SIP/2.0/UDP 10.1.3.3:5060
To: Bob <sip:[email protected]>
From: Alice
<sip:[email protected]>;tag=1928301774
Call-ID: [email protected]
CSeq: 314159 INVITE
Contact: <sip:[email protected]>
Content-Type: application/sdp
Contact-Length: 142
Otros
• Otros ataques
– Redirección de llamadas• Método 1: RedirectPoison• Método 2 : Sip-redirect-rtp
– Inserción de Audio– Inserción de Audio• RTP
– ¿Dos tramas con el mismo nº secuencia?
• Herramientas:– RTP InsertSound– RTP MixSound
• Ingeniería Social– SPIT (SPam over Ip Telephony)– VISHING (VoIP Phishing)
12/10/201012/10/2010 Santa Cruz de la Sierra/ Bolivia WALC 2010
Contramedidas
• Medidas básicas de seguridad
– Infraestructura de red segura
• Cortafuegos, antivirus, IDS, IPS, etc…
• Separar Voz y datos en VLAN’s
– Actualizaciones y parches
– Autenticación en los protocolos–
– Configuración correcta de los dispositivos
– Cifrado
• VPN,Ipsec
• TLS/SSL
• Secure RTP
– Formar al usuario
• Evitar ataques de ingeniería social
– Registro y control de las llamadas12/10/201012/10/2010 Santa Cruz de la Sierra/ Bolivia WALC 2010
Referencias
• Voice Over IP (VOIP) Security– Rick Doten, Managing Principal, Verizon Business Security Services
• SIP.edu & VoIP Security– Ben Teitelbaum, .internet2.edu
• Seguridad en VoIPAtaques, Amenazas y Riesgos– Roberto Gutiérrez Gil, uv.es
12/10/201012/10/2010 Santa Cruz de la Sierra/ Bolivia WALC 2010