Seguridad en VoIPSeguridad en VoIP

12/10/2010 Santa Cruz de la Sierra/ Bolivia WALC 2010

Ing. Leonardo Uzcátegui

luzcategui@idtic.com

Introducción

• ¿Qué es VoIP?

– Una sola red para voz, video y datos

– Seguridad, fiabilidad y QoS

• Infraestructura básica• Infraestructura básica

– Terminales

– Gateways

– Gatekeepers

12/10/2010 Santa Cruz de la Sierra/ Bolivia WALC 2010

Introducción

• Protocolos y estándares VoIP– H.323 , RTP/RTCP y SIP– Muchos otros:

• CMMS, H.225, H.245, RAS, MGCP, TGCP, NC, H.284, Megaco, SKINNY, SCCP, Q.931+, SIGTRAN, ISTOP, SS7, RUDP, RADIUS, COPS

• SIP (Session Initation Protocol)Creado por IETF MMUSIC Working Group

• SIP (Session Initation Protocol)– Creado por IETF MMUSIC Working Group– Similar HTTP y SMTP– Escalable– Fácil de integrar con otro protocolos– Simple…(o lo era)

• Componentes de la red SIP– Agentes de Usuario (UA)– Servidores

• Proxy Server• Redirect Server• Location Server• Register Server

12/10/201012/10/2010 Santa Cruz de la Sierra/ Bolivia WALC 2010

Ejemplo SIP

12/10/201012/10/2010 Santa Cruz de la Sierra/ Bolivia WALC 2010Santa Cruz de la Sierra/ Bolivia WALC 2010

Seguridad en VoIP

� Se apoya en muchas otras capas◦ Hereda problemas

�Clasificación de los ataques◦ Accesos desautorizados y fraudes◦ Enumeración y descubrimiento◦ Accesos desautorizados y fraudes◦ Enumeración y descubrimiento◦ Ataques de denegación de servicio◦ Ataques a los dispositvos◦ Vulnerabilidades de la red subyacente◦ Ataques a nivel de aplicación

12/10/201012/10/2010 Santa Cruz de la Sierra/ Bolivia WALC 2010

Descubrimiento objetivos

• Footprinting– Métodos no intrusivos

– Información publica: Web de la empresa, DNS,Whois…

– El poder de Google:• inurl:”NetworkConfiguration” cisco

• Escaneos– La mejor herramienta: NMAP

• Listado de IP• Listado de IP

• Listado de Servicios

• Identifica los dispositivos VoIP

• Enumeración– Vulnerabilidades servicios

– Extensiones y usuarios validos• Método REGISTER

• Método INVITE

• Método OPTION

– TFTP

– SNMP

12/10/201012/10/2010 Santa Cruz de la Sierra/ Bolivia WALC 2010

Capa de red

�Ataques en la capa de red◦ Afectan a VoIP directamente

�Ataques DoS◦ SYN flood◦ UDP flood◦ SYN flood◦ UDP flood◦ Fragmentación IP

�Ataques contra la confidencialidad◦ Sniffers◦ Man in the Middle

� Arp Spoofing

12/10/201012/10/2010 Santa Cruz de la Sierra/ Bolivia WALC Santa Cruz de la Sierra/ Bolivia WALC

20102010

Aplicado a

VoIP

EAVESDROPPING

Eavesdropping

12/10/201012/10/2010 Santa Cruz de la Sierra/ Bolivia WALC 2010Santa Cruz de la Sierra/ Bolivia WALC 2010

Ataques de Denegación de

Servicio

12/10/201012/10/2010 Santa Cruz de la Sierra/ Bolivia WALC 2010

Desconexión de Usuarios

• Desconexión

– Mensajes BYE - SIP

– Mensajes Reset - SCCP

– Mensajes HUNGUP - AIX– Mensajes HUNGUP - AIX

12/10/201012/10/2010 Santa Cruz de la Sierra/ Bolivia WALC 2010

Ataques a los Dispositivos

• Objetivos principales

– Vulnerabilidad y errores en el HW y SW

– Malas configuraciones• Puertos por defecto• Puertos por defecto

• Servicios innecesarios

• Password “de casa”

– Ejemplo: Linksys SPA-921 v1.0• La petición de una URL larga al servidor http del dispositivo

provoca que el teléfono se reinicie.

• Un nombre de usuario o un password demasiado largo en la autenticación http provoca que el teléfono se reinicie.

12/10/201012/10/2010 Santa Cruz de la Sierra/ Bolivia WALC 2010

Crackeando la autenticación SIP• Autenticación SIP

– Método Digest

• Pasos:

– Esnifar el tráfico y la autenticación del usuario

• sipdump

– Crackear por diccionario– Crackear por diccionario

• sipcrack

– Crackear por fuerza bruta

• John the ripper + sipcrack

• Todo en uno:

– CAIN

• Snifer

• Man in the middle

• crackeo

12/10/201012/10/2010 Santa Cruz de la Sierra/ Bolivia WALC 2010

Suplantación de identidad en el

registro SIP

12/10/201012/10/2010 Santa Cruz de la Sierra/ Bolivia WALC 2010

FUZZING

• Llevan los protocolos al limite

• Buscan fallos en

– Dispositivos HW VoIP

• Firmware

• Sistema Operativo

– Dispositivos SW VoIP

INVITE sip:bob@biloxi.com SIP/2.0

Via:aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa

aaaaaaaaaaaaaaaaaaaaaaaa

aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa

aaaaaaaaaaaaaaaaaaaaaaaaa

aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa

aaaaaaaaaaaaaaaaaaaaaaaaa

aaaaaaaaaa

Via: SIP/2.0/UDP 10.1.3.3:5060– Dispositivos SW VoIP

• Software

• Sistema Operativo

• Provocan

– Cuelgues, reinicios,etc = DoS

– Vulnerabilidades más graves

12/10/201012/10/2010 Santa Cruz de la Sierra/ Bolivia WALC 2010

Via: SIP/2.0/UDP 10.1.3.3:5060

To: Bob <sip:bob@biloxi.com>

From: Alice

<sip:alice@atlanta.com>;tag=1928301774

Call-ID: a84b4c76e66710@10.1.3.3

CSeq: 314159 INVITE

Contact: <sip:alice@10.1.3.3>

Content-Type: application/sdp

Contact-Length: 142

Otros

• Otros ataques

– Redirección de llamadas• Método 1: RedirectPoison• Método 2 : Sip-redirect-rtp

– Inserción de Audio– Inserción de Audio• RTP

– ¿Dos tramas con el mismo nº secuencia?

• Herramientas:– RTP InsertSound– RTP MixSound

• Ingeniería Social– SPIT (SPam over Ip Telephony)– VISHING (VoIP Phishing)

12/10/201012/10/2010 Santa Cruz de la Sierra/ Bolivia WALC 2010

Contramedidas

• Medidas básicas de seguridad

– Infraestructura de red segura

• Cortafuegos, antivirus, IDS, IPS, etc…

• Separar Voz y datos en VLAN’s

– Actualizaciones y parches

– Autenticación en los protocolos–

– Configuración correcta de los dispositivos

– Cifrado

• VPN,Ipsec

• TLS/SSL

• Secure RTP

– Formar al usuario

• Evitar ataques de ingeniería social

– Registro y control de las llamadas12/10/201012/10/2010 Santa Cruz de la Sierra/ Bolivia WALC 2010

Referencias

• Voice Over IP (VOIP) Security– Rick Doten, Managing Principal, Verizon Business Security Services

• SIP.edu & VoIP Security– Ben Teitelbaum, .internet2.edu

• Seguridad en VoIPAtaques, Amenazas y Riesgos– Roberto Gutiérrez Gil, uv.es

12/10/201012/10/2010 Santa Cruz de la Sierra/ Bolivia WALC 2010