HACKING Y ASEGURAMIENTO

Hacking y Aseguramiento de servidores VoIP/SIP Asterisk

HACKING Y ASEGURAMIENTO

ADVERTENCIA:
La informacin contenida en esta presentacin es para uso meramente acadmico y se debe aplicar para la proteccin de sus sistemas de VoIP. El mal uso de la misma implica la violacin de leyes nacionales e internacionales CONTINUE BAJO SU RESPONSABILIDAD

HACKING Y ASEGURAMIENTO

Conferencista: Ing. Andrs Mauricio Mujica Zalamea

andres.mujica@seaq.com.co RHCE/RHCSA/RHCVA/DCAP GERENTE SEAQ SERVICIOS CIA LTDA

HACKING Y ASEGURAMIENTO
OBJETIVOS

Conocer las diferentes modalidades de fraude telefnico en redes VoIP Conocer los diferentes tipos de ataque y herramientas utilizadas para los mismos Determinar las mejores prcticas para prevenir estos ataques

HACKING Y ASEGURAMIENTO
PLAN DE TRABAJO

Antecedentes del fraude telefnico Tipos de Ataques

Negacin de Servicio Hijacking, Interceptacin Caller ID Spoofing Vishing

HACKING Y ASEGURAMIENTO
PLAN DE TRABAJO

Protocolos afectados H.323, SIP, IAX2 Cisco, Avaya, 3CX, Asterisk Herramientas Utilizadas VoIP Sniffing Tools VoIP Scanning and Enumeration Tools VoIP Packet Creation and Flooding Tools VoIP Fuzzing Tools VoIP Signaling Manipulation Tools VoIP Media Manipulation Tools

HACKING Y ASEGURAMIENTO
PLAN DE TRABAJO

Anlisis de un ataque Prcticas de prevencin Demo Real (limitado a disponibilidad de tiempo)

HACKING Y ASEGURAMIENTO
PLAN DE TRABAJO

Antecedentes del fraude telefnico Ejemplos de Ataques

Negacin de Servicio Hijacking, Interceptacin Caller ID Spoofing Vishing

ANTECEDENTES
FRAUDE TELEFNICO

Llamadas gratuitas Servicios adicionales Ingresos por concepto de llamadas

ANTECEDENTES
H/P Culture

Phreaking

Phone + Freak Odo ms desarrollado Silbando a 2600Hz '50s (4 y.o.)

Joybubbles / Joe Engressia

http://www.nytimes.com/2007/08/20/us/20engressia.html

Hacking

ANTECEDENTES
Phreakers famosos

nico Telco Ma Bell Blue Box In-band signalling Fraudes hasta los '90s Resuelto con SS7

Steve Jobs Steve Wozniack

ANTECEDENTES
FRAUDES

De las telco hacia el usuario

Cramming: cargos no deseados Slamming: robo de clientes entre telcos

De terceros hacia el usuario PBX : Recepcin transfiere a un nmero externo Wangiri: Devolver llamada perdida

ANTECEDENTES
FRAUDES

De terceros usuario

hacia

el

Marcadores : Desde el PC marcar a un nmero premium

ANTECEDENTES
FRAUDES

De terceros hacia el usuario

809 Scams: Engaar al usuario para que marque un nmero que parece familiar pero no lo es. Calling Cards Telemarketing frauds

ANTECEDENTES
FRAUDES

El objetivo es simple

Llamanos, queremos cobrarte el minuto ms costoso del mercado

ANTECEDENTES

HACKING Y ASEGURAMIENTO
PLAN DE TRABAJO

Antecedentes del fraude telefnico Tipos de Ataques

Negacin de Servicio Hijacking, Interceptacin Caller ID Spoofing Vishing VoIP Spam

TIPOS DE ATAQUES
DoS / DDoS

Denegacin del Servicio

Se inunda el servicio VoIP con peticiones falsas afectando el servicio Existen botnets que generan ataques desde mltiples puntos (Denegacin del servicio distribuida)

TIPOS DE ATAQUES
VoIP BOTNETs

TIPOS DE ATAQUES
VoIP BOTNETs

TIPOS DE ATAQUES
HIJACKING

Registration hijacking Media hijacking (chuzadas!)

TIPOS DE ATAQUES
HIJACKING

TIPOS DE ATAQUES
HIJACKING

TIPOS DE ATAQUES
CALLER ID SPOOFING

Suplantar la identificacin

S. 30: Truth in Caller ID Act of 2009 SpoofCard.com Paris escuchando los mensajes de Lohan

TIPOS DE ATAQUES
CALLER ID SPOOFING

Asterisk Start Up Caller Id spoofing legal Voice disguise Grabacin de llamadas

TIPOS DE ATAQUES
VISHING

No de clic sobre el enlace, mejor llamenos Robar informacin personal (lese tarjeta de crdito) por medio de engaos SMS IVR email

TIPOS DE ATAQUES
VISHING

TIPOS DE ATAQUES
VISHING

TIPOS DE ATAQUES
VoIP SPAM

Meussi Solutions

Empresa de seguridad en VoIP Ataque masivo en el 2009

HACKING Y ASEGURAMIENTO
PLAN DE TRABAJO

Protocolos afectados H.323, SIP, IAX2 Cisco, Avaya, 3CX, Asterisk Herramientas Utilizadas VoIP Sniffing Tools VoIP Scanning and Enumeration Tools VoIP Packet Creation and Flooding Tools VoIP Fuzzing Tools VoIP Signaling Manipulation Tools VoIP Media Manipulation Tools

PROTOCOLOS AFECTADOS
VoIP

Signaling

Session Initiation Protocol (SIP) : TCP/UDP 5060,5061 Session Description Protocol (SDP) : Encapsulated in SIP Media Gateway Control Protocol (MGCP) : UDP 2427,2727 Skinny Client Control Protocol (SCCP/Skinny) : TCP 2000,2001

PROTOCOLOS AFECTADOS
VoIP

Signaling

Real-time Transfer Control Protocol (RTCP) : (S)RTP+1

Media

Real-time Transfer Protocol (RTP) : Dynamic Secure Real-time Transfer Protocol (SRTP) : Dynamic

PROTOCOLOS AFECTADOS
VoIP

Signaling Hybrid

Inter-Asterisk eXchange v.1 (IAX): UDP 5036 (obsolete) Inter-Asterisk eXchange v.2 (IAX2) : UDP 4569

PROTOCOLOS AFECTADOS
VoIP

H.323 Primer protocolo VoIP popular Actualmente en decadencia Cerca de 40 implementaciones diferentes Vulnerabilidades en decoder parsing (H.225 data exchange) Ejecucin de cdigo con paquetes malformados Requiere puertos dinmicos

PROTOCOLOS AFECTADOS
VoIP

H.323

Signaling - H.245 - Call Parameters - Dynamic TCP - H.225.0 . Q.931 - Call Setup - TCP 1720 . RAS - UDP 1719 - Audio Call Control - TCP 1731 - RTCP - RTP Control - Dynamic UDP Media - RTP - Audio - Dynamic UDP - RTP - Video - Dynamic UDP

PROTOCOLOS AFECTADOS
VoIP

H.323

PROTOCOLOS AFECTADOS
VoIP

H.323

PROTOCOLOS AFECTADOS
VoIP

H.323

PROTOCOLOS AFECTADOS
VoIP

SIP

Protocolo flexible Actualmente el ms popular y usado Estandarizado y abierto Separa sealizacin de media Funciona primordialmente sobre UDP No se diseo pensando en seguridad

PROTOCOLOS AFECTADOS
VoIP

SIP

PROTOCOLOS AFECTADOS
VoIP

SIP

PROTOCOLOS AFECTADOS
VoIP

SIP

PROTOCOLOS AFECTADOS
VoIP

IAX2 Exclusivo de asterisk (disponible en algunos vendors diferentes a digium) En proceso de estandarizacin ('09) Unifica sealizacin y media Amigable con firewall y nat Funciona sobre UDP Tambin tiene problemas de seguridad

PROTOCOLOS AFECTADOS
VoIP

IAX2

PROTOCOLOS AFECTADOS
VoIP

IAX2

PROTOCOLOS AFECTADOS
Ataques especificos a estos protocolos Flooding SIP INVITE Bogus RTP TCP SYN ICMP Flood Amplification Spoof source address Spread Invoke (respuesta con ms datos)

PROTOCOLOS AFECTADOS
Ataques especificos a estos protocolos Fuzzing Malformed message Signaling Manipulation Malicious signalling messages New signalling messages Forced Call teardown Inject spoof messages (call tear-down) SIP: BYE IAX: HANGUP

PROTOCOLOS AFECTADOS
Ataques especificos a estos protocolos Registration/Call Hijacking Captura informacin de registro Suplantacin de registro Monitoreo de llamadas en proceso Media Hijacking Insercin de seales maliciosas Caller-ID Spoofing Call iniciada con Caller-Id falso Caller-ID Name Disclosure Sacarle a la PSTN el nombre registrado

PROTOCOLOS AFECTADOS
Ataques especificos a estos protocolos Eavesdropping Malformed call set-up signalling Captura de trafico RTP Directory Enumeration Active: Specially crafted protocol message Passive: Watch network traffic Media Injection Inject new media in active channel Replace media en active channel Covert Communication Insertar datos dentro de un canal activo

HACKING Y ASEGURAMIENTO
PLAN DE TRABAJO

Protocolos afectados H.323, SIP, IAX2 Cisco, Avaya, 3CX, Asterisk Herramientas Utilizadas VoIP Sniffing Tools VoIP Scanning and Enumeration Tools VoIP Packet Creation and Flooding Tools VoIP Fuzzing Tools VoIP Signaling Manipulation Tools VoIP Media Manipulation Tools

HERRAMIENTAS UTILIZADAS
SNIFFING

Primordialmente utilizadas para "escuchar

AuthTool: Captura de Password Cain & Abel: Reconstruye RTP $ CommView VoIP Analyzer: Anlisis de VoIP $ Etherpeek: Sniffer

HERRAMIENTAS UTILIZADAS
SNIFFING

Soportan varios protocolos

ILTY ("I'm Listening To You"): Skinny sniffer NetDude : Anlisis de tcpdump files Oreka: Grabacin de RTP audio streams SIPscan: Capturar sesiones SIP

HERRAMIENTAS UTILIZADAS
SNIFFING

Versiones Windows, BSD y Linux

RtpBreak: Captura de RTP en bruto SIPomatic: Escucha de SIP SIPv6 Analyzer: SIP sobre Ipv6 UCSniff: VoIP eavesdropping y ARP spoof

HERRAMIENTAS UTILIZADAS
SNIFFING

Soportan varios protocolos

VoiPong & VoiPong ISO: Captura de RTP para SIP, H323, Skinny VOMIT: Cisco Phone to wav Wireshark: Network traffic analyzer WIST: Captura web de SIP signalling

HERRAMIENTAS UTILIZADAS
SNIFFING

UCSniff

HERRAMIENTAS UTILIZADAS
SNIFFING

VoiPong

HERRAMIENTAS UTILIZADAS
SCANNING AND ENUMERATION

Utilizadas para ubicar servidores VoIP y para listar las extensiones

$ EnableSecurity VoIPPack for CANVAS: Scan, enumeration y ataques fuerza bruta EnumIAX: Login enumerator con REGREQ Iaxscan: Scanner para detectar hosts Iax2 y luego enumerar por fuerza bruta

HERRAMIENTAS UTILIZADAS
SCANNING AND ENUMERATION

Vectores de ataque IAX, SIP, SKINNY

Iwar: IAX2 protocol wardialer Nessus: vulnerability scanner Nmap: network port scanner $ Passive Vulnerability Scanner: Anlisis pasivo de red, 40 checks VoIP

HERRAMIENTAS UTILIZADAS
SCANNING AND ENUMERATION

La enumeracin esta definida en el RFC

SCTPScan: Enumeracin de puertos SCTP abiertos sin asociacin. (SS7 over IP) SIP Forum Test Framework (SFTF): Framework para que los SIP device vendor validen sus equipos

HERRAMIENTAS UTILIZADAS
SCANNING AND ENUMERATION

Los equipos IP estn pensados para uso en LAN

SIP-Scan: Rpido Scanner SIP SIPcrack: Hace sniff para obtener SIP logins y luego crack por fuerza bruta Sipflanker: Busca dispositivos SIP con interfaz web accesible

HERRAMIENTAS UTILIZADAS
SCANNING AND ENUMERATION

Las herramientas no son fcilmente obtenibles

SIPSCAN: Enumerador que usa INVITE, REGISTER y OPTIONS SiVuS: SIP Vulnerability Scanner VLANping: ping con VLAN tag

HERRAMIENTAS UTILIZADAS
SCANNING AND ENUMERATION

SIPVicious es la ms popular SIPVicious Tool Suite - Svmap is a sip scanner - svwar identifies active extensions on a PBX - svcrack is an online password cracker for SIP PBX $ VoIPAudit: Scanner de vulnerabilidades SMAP: SIP stack fingerprint

HERRAMIENTAS UTILIZADAS
SCANNING AND ENUMERATION

SIPVicious

HERRAMIENTAS UTILIZADAS
SCANNING AND ENUMERATION

SIPFlanker

HERRAMIENTAS UTILIZADAS
SCANNING AND ENUMERATION

VoIPAudit

enumIAX

HERRAMIENTAS UTILIZADAS
PACKET CREATION & FLOODING

Usadas para DoS/DDoS

IAXFlooder: Flooder de paquetes IAX INVITE Flooder: Envia una mareada de mensajes SIP INVITE a un telefono o proxy kphone-ddos: Usando Kphone para inundar con SIP spoofing

HERRAMIENTAS UTILIZADAS
PACKET CREATION & FLOODING

Usadas para Capacity Testing

$ SiPBlast: Herramienta para pruebas de infraestructura por medio de colmado capacidad creando trfico de llamadas CPE masivo $ NSAUDITOR Flooder: Generador de trfico SIP UDP para pruebas de stress RTP Flooder: Paquetes well formed RTP

HERRAMIENTAS UTILIZADAS
PACKET CREATION & FLOODING

Usadas para explotar vulnerabilidades en el protocolo

Scapy: Herramienta interactiva para manipulacin de paquetes. Seagull: Generador de trfico multi protocolo SIPBomber: Herramienta para probar SIP en Linux

HERRAMIENTAS UTILIZADAS
PACKET CREATION & FLOODING

Algunas desarrolladas por HP

SIPNess: SIP testing tool que prueba aplicaciones SIP SIPp: generador de trfico y pruebass para SIP (muy utilizada) SIPsak: SIP swiss army knife

HERRAMIENTAS UTILIZADAS
PACKET CREATION & FLOODING

Scapy

HERRAMIENTAS UTILIZADAS
PACKET CREATION & FLOODING

SIPBomber

HERRAMIENTAS UTILIZADAS
PACKET CREATION & FLOODING

NSAuditor

HERRAMIENTAS UTILIZADAS
PACKET CREATION & FLOODING

SIPp

HERRAMIENTAS UTILIZADAS
PACKET CREATION & FLOODING

SIPsak

HERRAMIENTAS UTILIZADAS
FUZZING TOOLS

Generacin de paquetes malformados

Asteroid: Juego de mtodos SIP malformados (INVITE, CANCEL, BYE) Codenomicon: Versin comercial de PROTOS Interstate Fuzzer: VoIP Fuzzer

HERRAMIENTAS UTILIZADAS
FUZZING TOOLS

Usualmente utilizados para DoS

IMS Fuzzing plafform: Appiance para Fuzzy SIP, H323 y MGCP PROTOS: Herramienta java para generacin de paquetes malformados H.323 y SIP SIP-Proxy: MiM, Proxy entre el UA y el PBX

HERRAMIENTAS UTILIZADAS
FUZZING TOOLS

Usados en prueba de calidad y robustez

$ Spirent ThreatEx: Probador de robustez VoIPER: Security toolkit que permite probar dispositivos VoIP SFTF: Framework para ser usado por los SIP Vendors

HERRAMIENTAS UTILIZADAS
FUZZING TOOLS

VoIPER

HERRAMIENTAS UTILIZADAS
FUZZING TOOLS

FUZZER

HERRAMIENTAS UTILIZADAS
FUZZING TOOLS

SIP Proxy

HERRAMIENTAS UTILIZADAS
SIGNALING MANIPULATION

Usadas para desconectar llamadas

BYE Teardown: Injecta un SIP BYE message para desconectar la llamada Check Sync: Envia un SIP NOTIFY haciendo reiniciar ciertos telefonos H225regregjet: Desconecta llamadas H.323

HERRAMIENTAS UTILIZADAS
SIGNALING MANIPULATION

Usadas para autenticacin

modificar

procesos

de

IAXHangup: Herramienta usada para desconectar llamadas IAX, Injecta un IAX HANGUP $ SiPCPE: Evalua compliance de protocolo RedirectPoison: Por medio de SIP INVITE redirecciona una llamada

HERRAMIENTAS UTILIZADAS
SIGNALING MANIPULATION

Manipulan flujo de media, procesos de registro

Reg Adder: Intenta adicionar al SIP HEADER otra IP para que la llamada se redireccione a dos CPE Reg Eraser: Causa un DoS por medio de un SIP REGISTER spoof message que hace creer al SIP Proxy que no hay usuario disponible

HERRAMIENTAS UTILIZADAS
SIGNALING MANIPULATION

Manipulan flujo de media, procesos de registro

Reg Hijacker: Genera un mensaje SIP REGISTER faso para que todas las llamadas entrantes se enruten al atacante SIP-KILL : Sniff de SIP INVITES para tumbar la llamada SIP-Proxy-Kill: Finaliza a nivel de sealizacin una sesin SIP en el proxy remoto antes que el endpoint originial

HERRAMIENTAS UTILIZADAS
SIGNALING MANIPULATION

Son de las herramientas ms avanzadas disponibles

SIP-RedirectRTP: Manipula encabezados SDP redirigiendo el RTP a un Proxy. SIPRogue : Un proxy SIP multifuncional insertado entre dos partes vnak: VoIP Network Attack Toolkit

HERRAMIENTAS UTILIZADAS
SIGNALING MANIPULATION

Son de las herramientas ms avanzadas disponibles

VoIPHopper: Herramienta para validacin de seguridad que busca simuar un telefono con un PC para suplantarlo a nivel de VLAN

HERRAMIENTAS UTILIZADAS
SIGNALING MANIPULATION

VoIPHOPPER

HERRAMIENTAS UTILIZADAS
MEDIA MANIPULATION

Buscan alterar las comunicaciones

RTP InsertSound: Inserta el contenido de un .wav dentro de una conversacin activa RTP MixSound: Similar a la anterior RTPProxy: Espera paquetes RTP y los redirecciona a donde se le indique

HERRAMIENTAS UTILIZADAS
MEDIA MANIPULATION

Usadas por los espias

SteganRTP: Herramienta estenogrfica que establece un flujo de datos oculto dentro del flujo de media. Incluye chat, archivos y shell remoto VOIP: Esconde una conversacin dentro de otra por medio de compresin y G.711

HERRAMIENTAS UTILIZADAS
MEDIA MANIPULATION

SteganRTP

HERRAMIENTAS UTILIZADAS
OTRAS HERRAMIENTAS IAX.Brute: Herramienta de ataque passive por diccionario en el challenge/response IAX SIP-Send-Fund: Utilidad que explota vulnerabilidades especificas SIP.Tastic: Herramienta de ataque pasivo de dictionario al mtodo SIP Digest de autenticacin Spitter: Herramientas para asterisk que hacen pruebas de VoIP Spam VSAP: Programa de auditoria por medio de preguntas y respuesta que valida la seguridad de redes VoIP (SIP/H.323/RTP)

HERRAMIENTAS UTILIZADAS
ALGUNOS VIDEOS DE LAS HERRAMIENTAS

SIPgull http://gull.sf.net/flvplayer.swf?file=http://gull.sf

VoIPPack http://www.vimeo.com/moogaloop.swf?clip_id=

HACKING Y ASEGURAMIENTO
PLAN DE TRABAJO

Anlisis de un ataque Prcticas de prevencin Demo Real (limitado a disponibilidad de tiempo)

ANALISIS DE UN ATAQUE
LOGS ATAQUE
Feb 3 22:54:31 NOTICE[28514] chan_sip.c: Registration from '"613430211"<sip:613430211@xxx.yyy.zzz.xxx>' failed for '86.72.2.248' - Username/auth name mismatch

Un total de 19511 entradas

ANALISIS DE UN ATAQUE
LOGS ATAQUE
Feb 3 22:54:31 NOTICE[28514] chan_sip.c: Registration from '"0"<sip:0@xxx.yyy.zzz.xxx>' failed for '86.72.2.248' Username/auth name mismatch Feb 3 22:54:31 NOTICE[28514] chan_sip.c: Registration from '"1"<sip:1@xxx.yyy.zzz.xxx>' failed for '86.72.2.248' Username/auth name mismatch Feb 3 22:54:31 NOTICE[28514] chan_sip.c: Registration from '"2"<sip:2@xxx.yyy.zzz.xxx>' failed for '86.72.2.248' Username/auth name mismatch Enumeracin

ANALISIS DE UN ATAQUE
LOGS ATAQUE
Feb 3 22:56:12 NOTICE[28514] chan_sip.c: Registration '"9996"<sip:9996@xxx.yyy.zzz.xxx>' failed for '86.72.2.248' - Username/auth name mismatch Feb 3 22:56:12 NOTICE[28514] chan_sip.c: Registration '"9997"<sip:9997@xxx.yyy.zzz.xxx>' failed for '86.72.2.248' - Username/auth name mismatch Feb 3 22:56:12 NOTICE[28514] chan_sip.c: Registration '"9998"<sip:9998@xxx.yyy.zzz.xxx>' failed for '86.72.2.248' - Username/auth name mismatch Feb 3 22:56:12 NOTICE[28514] chan_sip.c: Registration '"9999"<sip:9999@xxx.yyy.zzz.xxx>' failed for '86.72.2.248' - Username/auth name mismatch Escaneo todo el rango de 0 a 9999 from from from from

ANALISIS DE UN ATAQUE
LOGS ATAQUE

Cantidad de intentos por extensin e IP

ANALISIS DE UN ATAQUE
LOGS ATAQUE

EL RESULTADO !!!

ANALISIS DE UN ATAQUE
LOGS ATAQUE

ls -all /sbin/init.zk

MAS LEJOS ... ROOTKIT, OWNED

ANALISIS DE UN ATAQUE
FreePBX backdoors and default passwords that was published on April 15, 2011.

http://nerdvittles.com/?p=737
It recently came to our attention that it is possible to login to the Elastix server unembedded FreePBX Web interface (http://address/admin) with user name asteriskuser and password eLaStIx.asteriskuser.2oo7. The user name and password are the same user name and password used by FreePBX to access the asterisk MySQL database. They are defined in the parameters AMPDBUSER and AMPDBPASS in the /etc/amportal.conf file.

HACKING Y ASEGURAMIENTO
PLAN DE TRABAJO

Anlisis de un ataque Prcticas de prevencin Demo Real (limitado a disponibilidad de tiempo)

PRACTICAS DE PREVENCION

FIREWALL: Bloquear TODO por defecto y solo permitir acceso desde origenes autorizados FIREWALL: Bloquear TODO por defecto y solo permitir acceso desde origenes autorizados FIREWALL: Bloquear TODO por defecto y solo permitir acceso desde origenes autorizados FIREWALL: Bloquear TODO por defecto y solo permitir acceso desde origenes autorizados

PRACTICAS DE PREVENCION

FIREWALL: Bloquear TODO por defecto y solo permitir acceso desde origenes autorizados FIREWALL: Bloquear TODO por defecto y solo permitir acceso desde origenes autorizados FIREWALL: Bloquear TODO por defecto y solo permitir acceso desde origenes autorizados FIREWALL: Bloquear TODO por defecto y solo permitir acceso desde origenes autorizados

PRACTICAS DE PREVENCION

FIREWALL: Bloquear TODO por defecto y solo permitir acceso desde origenes autorizados FIREWALL: Bloquear TODO por defecto y solo permitir acceso desde origenes autorizados FIREWALL: Bloquear TODO por defecto y solo permitir acceso desde origenes autorizados FIREWALL: Bloquear TODO por defecto y solo permitir acceso desde origenes autorizados

PRACTICAS DE PREVENCION

FIREWALL:

Bloquear TODO por defecto y solo permitir acceso desde origenes autorizados

PRACTICAS DE PREVENCION

Monitoreo CDR y LOGS: Estar pendiente de comportamientos anormales Cambiar password por defecto: En todos los servicios NO utilizar logins nmericos para las extensiones: Debe ser diferente al nmero de la extensin NO utilizar passwords nmericos: Se deben utilizar passwords alfanmericos

PRACTICAS DE PREVENCION

Desactivar servicios no usados en PBX: DISA, Voicemail remoto, Callback Desactivar servicios no utilizados en SO: Minimizar vectores de riesgo Administracin por VPN: El acceso a la administracin DEBE ser por VPN Administracin local: El administracin DEBE ser local. acceso a la

PRACTICAS DE PREVENCION

Lea portales especializados: Forums de Digium Control de acceso para administracin: Defina usuarios con niveles de acceso Restringir acceso fsico: y lgico tambin. No habilite auto carga en las tarjetaas de credito: Para troncales internacionales

PRACTICAS DE PREVENCION

RESTRINGA DIAL PLAN LDI/LDN: Realmente necesitan llamar a Zimbabwe? 001|1NXXXXXXXXX <- USA 001|0052NXXXXXXXXX <- MEXICO 0012|N. ASEGURE APACHE: Que sea inaccesible sin autenticacin a nivel de apache mod_auth_mysql mod_authz_ldap

PRACTICAS DE PREVENCION

ASEGURE SIP.CONF: context=non-existant alwaysauthreject=yes allowguest=no LIMITE CANTIDAD DE LLAMADAS SIP: call-limit = 2 ASEGURE EL TIPO DE DEVICE SIP: type= user type= peer type= friend

PRACTICAS DE PREVENCION

ASEGURAMIENTO IPTABLES:

AVANZADO

POR

iptables -I door 1 -p udp --dport 5060 -m string --string "mysecretpass" --algo bm -m recent --set --name portisnowopen iptables -A INPUT -p udp --dport 5060 -m recent --rcheck --seconds 4000 --name portisnowopen -j ACCEPT

RESTRINGA REDES VALIDAS PARA SIP: deny = 0.0.0.0/0.0.0.0 permit = 192.168.10.0/255.255.255.0 deny = 0.0.0.0/0.0.0.0 permit = 0.0.0.0/0.0.0.0

PRACTICAS DE PREVENCION

ASEGURE EL CONTEXTO DEFAULT: [default] [other-context] ASEGURE EL MANAGER.CONF: deny = 0.0.0.0/0.0.0.0 permit = 192.168.10.0/255.255.255.0 deny = 0.0.0.0/0.0.0.0 permit = 0.0.0.0/0.0.0.0

PRACTICAS DE PREVENCION

type=peer peer al hacer un REGISTER recibe un CHALLENGE (no challenge on consecutive

INVITEs)

type=user user no se puede registrar y en INVITEs recibe un CHALLENGE type=friend friend ( peer+user ) hace que asterisk intente autenticar en INVITEs.

If the device was defined only as peer, asterisk would not try to authenticate - peer must register first. The INVITE would be ignored.

PRACTICAS DE PREVENCION

UTILICE FAIL2BAN/APF/BDF

Versin automatizada de
cat /var/log/asterisk/full | grep "Wrong password" | awk {'print $9,$12'} | cut -c6-9,26-45 | uniq -c 1288 1234' '208.38.181.6' iptables -A INPUT -s 208.38.181.6 -j DROP

Tenga en cuenta bug en asterisk que no reporta ip en INVITES

PRACTICAS DE PREVENCION

UTILICE FAIL2BAN

Solamente protege intentos de REGISTER type=peer ayuda a garantizar esto

failregex = NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Wrong password
NOTICE.* .*: Registration from '.*' failed for '<HOST>' - No matching peer found NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Username/auth name mismatch NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Device does not match ACL NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Peer is not supposed to register NOTICE.* .*: Registration from '.*' failed for '<HOST>' - ACL error (permit/deny) NOTICE.* <HOST> failed to authenticate as '.*'$ NOTICE.* .*: No registration for peer '.*' \(from <HOST>\) NOTICE.* .*: Host <HOST> failed MD5 authentication for '.*' (.*) NOTICE.* .*: Failed to authenticate user .*@<HOST>.*

PRACTICAS DE PREVENCION

UTILICE APF/BDF

Advanced Policy Firewall

/etc/apf/conf.apf apf -d 202.86.128.0/24

Brute Force Detection

bfd -s /ec/cron.d/bfd

HACKING Y ASEGURAMIENTO
PLAN DE TRABAJO

Anlisis de un ataque Prcticas de prevencin Demo Real (limitado a disponibilidad de tiempo)

OTRAS CONFERENCIAS
1.- Virtualizacin de VoIP: nube Del cobre hasta la

2.- Virtualizacin de Escritorios, de vuelta al mainframe. Pero mejor!!! 3.- Implementando Cloud Privados. De la propaganda a la accin. 4.- Por qu el Open Source es la alternativa ideal para el desarrollo tecnolgico de Colombia y Latinoamerica

ALIANZAS

INFORMACION DE CONTACTO MUCHAS GRACIAS POR SU ATENCIN. Informacin de Contacto

Direccin: Carrera 15 # 79 37 Oficina 201A Bogot, Colombia Telfono: +57 1 655 98 00 Fax: +57 1 655 98 02 Internet: Contacto:

www.seaq.com.co ventas@seaq.com.co

HACKING Y ASEGURAMIENTO

Tome el control de la Informacin en su Empresa

http://www.seaq.com.co