seguridad en voip open source: poniendo el punto sobre la i

Seguridad VoIP en Open Source

|

Poniendo el punto sobre la Í

Juan Oliva@jroliva

who I am @jrolivaBio

Pentester - Proyectos de Ethical Hacking Consultor de soluciones de VoIP, especialmente las enfocadas en seguridad Instructor de Elastix para los cursos Elastix Security Master y ECE Instructor LPI para curso LPIC-1 Php y Python lover Linux user forever and ever Technical writer : Papper “Seguridad en Implementaciones de Voz Sobre IP” Twitter: @jroliva Blog: http://jroliva.wordpress.com/

Seguridad en nuestra plataforma VoIP

Seguridad En Nuestra Plataforma VoIP

Asegurar VoIP es una tarea importante para proteger la información de las personas que utilizan el servicio.

Recordemos que el servicio SIP no es el único con el que está involucrado una plataforma VoIP .. También tenemos ... HTTP, HTTPS , SNMP, SSH , TFTP ,etc,etc.

Factores que aumentan la Inseguridad (1)

Poca experiencia en el manejo de la plataforma o la tecnología.

Mala administración del sistema.

Centrarse solo en aspectos relativos a la configuración de la plataforma VoIP.

Estudio pobre en cuanto la solución a implementar.

“Descuidos” a la hora de configurar.

Factores que aumentan la Inseguridad (2)

Poca o inexistente monitorización.

No estar al día con las actualizaciones de seguridad.

No conocer completamente por dentro el sistema.

Entre otros…

Que dicen las estadísticas ?

Fuente: Communications Fraud Control Association (www.cfca.org)

Fuente: Communications Fraud Control Association (www.cfca.org)

Fuente: Communications Fraud Control Association (www.cfca.org)

VSActualidad y requerimientos

Movilidad Billing QoS Aprovisionamiento automático Soporte para múltiples protocolos Integración entre la VoIP y la TDM Encriptar comunicaciones Seguridad anti fradude

Tipos de software en el Mercado

•Tipos de software en el mercado

• - Propietarios o de marca

•Tipos de software en el mercado

• - Mixtos, que usan software libre en algún punto

•Tipos de software en el mercado

• - Basados en Opensource nativos

Arquitectura de soluciones

Arquitectura de soluciones

Arquitectura de soluciones

Motivaciones para causar fraude

•Motivaciones para causar fraude

Los ataques mas comunes

•Tipos de ataques• SIP BRUTE FORCE ATTACK, fuerza bruta contra el protocolo

•Tipos de ataquesMAN IN THE MIDDLE , captura y construcción de datos/voz

•Mi implementación es de marca !!

•Nunca van a llegar a mi IP

•Tipos de ataques• SHODAN , Exposición de servicios innecesarios

•Tipos de ataques• SHODAN , Exposición de servicios innecesarios

•Tipos de ataques• SHODAN , Exposición de servicios innecesarios

•Tipos de ataques• SHODAN , Exposición de servicios innecesarios

•Bueno, pero como soy de marca• .... no soy vulnerable xD

Vulnerabilidades reportadas

Vulnerabilidades reportadas

•Análisis de vulnerabilidades

• ¿ Qué es eso ?

•Análisis de Vulnerabilidades

•Análisis de Vulnerabilidades

Pero usa Bash ?

osea software libre...

•Análisis de Vulnerabilidades

•Tipos de ataquesVulnerabilidades reportadas

•Ahora, quien es mas vulnerable ?

Pero como protegemos plataformas basadas en

Open Source ??

Conoces FAIL2BAN ??

Conoces IPTABLES ??

O te da flojera por que no es llave en mano ?

Gestión de contrafuegos (Iptables) basado en web

Que trae Elastix En temas de seguridad

Gestión de contraseñas débiles

Que trae Elastix En temas de seguridad

Auditoría Web

Que trae Elastix En temas de seguridad

Y por si fuera poco !!

Un montón de Addons !!

http://addons.elastix.org/index.php?lang=es

Pero no quiero gestionar la seguridad en la PBX

Elastix SIP FIREWALL

Elastix SIP FIREWALL

Fingerprinting de dispositivos SIP, Enumeración de usuarios, Intento de obtención de contraseñas o password crackging)Ataques basados en Cross Site ScriptingAtaques basados en anomalías SIPVulnerabilidades de proveedores tercerosServicio de actualización de lista negra dinámica para amenazas VoIP/PBX/Gateways Soporte para el bloqueo basado en la ubicación geográficaProvee la opción de aseguramiento contra vulnerabilidades de aplicaciones de PBX

No existe seguridad completa

Si no... pregúntale a ellas ...

Sin embargo...

Quien es mas inseguro ?

La plataforma

o la persona que lo implementa

Gracias !!

Juan OlivaConsultor en VoIP y Ethical HackingECE®, ESM, dCAA®, C|EH™, C)PTE™, OSEH, BNS, LPIC-1™, Novell CLA®

•Correo : joliva@silcom.com.pe•Hangout : jroliva@gmail.com•Twiter : @jroliva•Blog : http://jroliva.wordpress.com/