Securización de sistemas de VoIP - JOSÉ LUIS VERDEGUER - VoIP2DAY 2017

Securización de
sistemas de VoIP
<

@pepeluxx
Sobre mi
Jose Luis Verdeguer (aka Pepelux)
Ingeniero Técnico de Sistemas Informáticos por la U.A.
Máster en Desarrollo y Programación de Apps y Servicios Web
CTO en Zoonsuite (operador de VoIP)
Ponente en diferentes congresos de seguridad nacionales
Autor del libro Hacking y Seguridad VoIP (de 0xWORD)

@pepeluxx
Agenda
¿Por qué nos atacan?
Herramientas
Tipos de ataques
Centralitas de VoIP
Tipos de centralitas
Securizando una PBX
Operadores de VoIP
Diferentes infraestructuras
Securizando un proxy

@pepeluxx
Motivaciones
¿Por qué nos atacan?
Llamar gratis
Ganar dinero

@pepeluxx
Ataques típicos
1. Ataque no dirigido => Escaneo de grandes rangos de red
2. Ataque dirigido => Fuerza bruta (REGISTER / INVITE)
Características
Protocolo UDP
Acceso por IP (nunca por dominio)
Herramientas conocidas y fácilmente detectables

@pepeluxx
Herramientas
Auditar / monitorizar / atacar sistemas de VoIP
SIPVicious (svmap.py, svwar.py, svmap.py - UDP)
Smap (SIP scanner - UDP y TCP)
Sipcli (emisión de llamadas - UDP, TCP y TLS)
VaxVoip (SIP SDK)
SIPp/SIPSak (generador de tráﬁco/realizar test)
Otras herramientas: SiVuS, SipDump, SipCrack, …
Monitorización: tcpdump, wireshark, ngrep, sngrep, …

@pepeluxx
SIPVicious
Ataque típico por fuerza bruta con SIPVicious
svmap para escanear rangos en busca de dispositivos/servidores
svwar para enumerar extensiones de un servidor
svcrack para crackear cuentas por fuerza bruta

@pepeluxx
Sipcli
Intentos de llamada sin registro
Envío de solicitud de llamada
Soporta UDP, TCP y TLS
Manipulación de SDP
Si el servidor no pide autenticación, a probar combinaciones
Diferentes países
Diferentes preﬁjos de salida
Diferentes usuarios en el From

@pepeluxx
SDK
Creando paquetes personalizados
Evitar la detección de aplicaciones conocidas
Estudiar la respuesta ante paquetes mal formados
SQL Injection
Fuzzing
Envíos de solicitudes de llamada (más soﬁsticado)

@pepeluxx
Securizando el sistema
Objetivos
Bloquear herramientas conocidas
Ocultar información de nuestro sistema
Evitar llamadas sin autenticar
Cifrar nuestras comunicaciones
Minimizar el daño ante un robo

@pepeluxx
Centralitas telefónicas
¿Para qué se utiliza?
¿Qué servicios se necesitan?
¿Dónde está montado?
¿Tipo de dispositivos conectados?
¿Necesario el acceso desde el exterior?
¿Cómo se conecta con los operadores?

@pepeluxx
Caso 1: Oficina SIN terminales externos
No necesitamos abrir servicios al exterior
Trunk con operador:
Por usuario: es una conexión saliente
Por IP: filtro en el firewall
¿FreePBX? ¿Elastix?:
Cuidado con los paneles web
Mantenerse al día sobre los bugs

@pepeluxx
Caso 2: Oﬁcina CON terminales externos
Uso de VPN si es posible
Filtrado por IP
¿Conexiones con IP dinámica?:
Cambiar puertos por defecto
Intentar no usar UDP
Fail2ban

@pepeluxx
Caso 3: Centralita en la nube
Filtro por IP si es posible
VPN si es posible
Publicar sólo los servicios necesarios
¿Conexiones con IP dinámica?:
Cambiar puertos por defecto
Intentar no usar UDP
Fail2ban

@pepeluxx
Securizando un Asterisk
Tipo de transporte (señalización)
UDP (5060/udp)
Nos van a llover los escaneos
TCP (5060/tcp)
Sufriremos muchos menos ataques
TLS (5061/tcp)
Nuestras comunicaciones van cifradas

@pepeluxx
Tipo de transporte (media)
RTP
Vulnerable a escuchas
SRTP
Comunicaciones cifradas

@pepeluxx
Ocultando la huella de nuestra centralita
useragent (sip.conf)
Por defecto muestra la versión y release
Cambiar por otra cosa

@pepeluxx
Ocultando la huella de nuestra centralita
realm (sip.conf)
Puede ofrecer información sobre la PBX
Cambiar por otra cosa

@pepeluxx
Llamadas anónimas
allowguest (sip.conf)
Por defecto está a YES
Cualquiera puede enviarnos mensajes INVITE
Importante poner a NO

@pepeluxx
allowguest

@pepeluxx
allowguest=yes

@pepeluxx
allowguest=no

@pepeluxx
Información enviada ante errores
alwaysauthreject (sip.conf)
YES -> Siempre la misma respuesta ante una petición errónea
Importante para no dar información a un atacante
Para mensajes INVITE y REGISTER

@pepeluxx
alwaysauthreject=no

@pepeluxx
alwaysauthreject=yes

@pepeluxx
Uso de dominios
domain (sip.conf)
Podemos establecer dominios permitidos
Evitamos la conexión a través de la IP (usado por un atacante)
domain=mypbxdomain.com,internal
allowexternaldomains=no

@pepeluxx
Uso de dominios

@pepeluxx
Mensajes OPTIONS
A través de un mensaje OPTIONS se pueden enumerar extensiones
Si es posible, debemos pedir autenticación ante este tipo de
mensajes
auth_options_requests=yes

@pepeluxx
Mensajes OPTIONS
Solicitando autenticación

@pepeluxx
Otros ataques
Registration Hijacking
Eavesdropping
DoS
Signaling attack
Flood
CANCEL/BYE Attack

@pepeluxx
Conﬁguración de las cuentas
Límite de canales
Dos por extensión
Usuario SIP
Diferente de la extensión (ej: regexten: 200 -> user: usuario200)
Almacenar la contraseña cifrada
md5secret en lugar de secret

@pepeluxx
Política de llamadas
Bloquear destinos que no vamos a utilizar
¿Necesitamos llamar a Cuba o a Palestina?
; llamadas a cualquier destino
exten => _X.,1,Dial(SIP/trunk/${EXTEN},30)
; llamadas a números nacionales
exten => _[6789]XXXXXXXX,1,Dial(SIP/trunk/${EXTEN},30)
; llamadas internacionales
exten => _00X.,1,Dial(SIP/trunk/${EXTEN},30)
; llamadas a Francia
exten => _0033X.,1,Dial(SIP/trunk/${EXTEN},30)

@pepeluxx
Restricciones de horarios
¿Necesitamos llamar por las noches o los ﬁnes de semana?
; permitir llamadas de lunes a viernes de 8:00 a 20:00
exten => _X.,1,GotoIfTime(08:00-20:00,mon-fri,*,*?open:close)
exten => _X.,n(open),Dial(SIP/trunk/${EXTEN},30)
exten => _X.,n(close),Hangup()

@pepeluxx
Límites de consumo
Impedir la emisión de llamadas si el gasto mensual o diario supera
un tope establecido
; Comprobar si podemos llamar usando un AGI
exten => _X.,1,Agi(permissions.agi)
exten => _X.,n,GotoIf($[“${ALLOWCALL}”=“no”]?notallowed)
exten => _X.,n,Dial(SIP/trunk/${EXTEN},30)
exten => _X.,n(notallowed),Hangup()

@pepeluxx
Bloqueando ataques
fail2ban
Para bloquear ataques por fuerza bruta
Firewall
Para bloquear escáner conocidos

@pepeluxx
Operadores de VoIP
Infraestructura
¿Un Asterisk para todos los clientes?
¿Un Asterisk por cliente?
¿Un Proxy + N Asterisk?
¿N Proxies + N Asterisk?
¿Paneles de administración?

@pepeluxx
Operadores de VoIP
Estructura muy poco segura
PBX CUSTOMERS
PBX CUSTOMERS
PROXY CARRIERS

@pepeluxx
Operadores de VoIP
Estructura un poco más segura
PROXY
(CUSTOMERS Y CARRIERS)
BALANCED
PBX
NO ACCESIBLE

@pepeluxx
Operadores de VoIP
Estructura segura
PROXY
CUSTOMERS
PROXY
CARRIERS
BALANCED
PBX
NO ACCESIBLE

@pepeluxx
Proxy SIP
Ventajas de tener un proxy
Autenticación por Radius
Programación de scripts
Análisis de mensajes SIP (control total)
Módulos anti ﬂood (pike)
Módulos de geolocalización (geoip)
Módulos para ocultar información interna de la red (topoh)

@pepeluxx
Securizando nuestro proxy
PROXY
CUSTOMERS
PROXY
CARRIERS
BALANCED
PBX
NO ACCESIBLE

@pepeluxx
Proxy de clientes
Autenticación de usuarios
No dejamos esta tarea al Asterisk
Bloqueo temporal ante N registros erróneos
¿El usuario pone mal la contraseña o es un ataque por fuerza bruta?
Análisis de mensajes SIP
Detección de fuzzers
Detección de scanners conocidos
Ataques DoS, SQLi, spooﬁng, …

@pepeluxx
Ocultar información
Sistema y versión
server_header
user_agent_header
www_authenticate

@pepeluxx
Forzar uso de dominio
No permitimos conectar por IP

@pepeluxx
Ataques de denegación de servicio
Módulo anti ﬂood (pike)
Bloqueo por IP ante un alto número de peticiones

@pepeluxx
Ataques por fuerza bruta
Bloqueo de peer tras N autenticaciones incorrectas

@pepeluxx
Bloqueo por países
Módulo de geolocalización (geoip)
Bloqueo de IPs por países

@pepeluxx
Bloqueo de escáners conocidos
Escáners conocidos
Bloqueo según User-Agent

@pepeluxx
Ataques de SQL injection
Detectando ataques de SQLi
Usando transformaciones escape.common y unescape.common
Manualmente, en Auth-User, Contact, From, To, …

@pepeluxx
SQL injection

@pepeluxx
Ataques de spooﬁng
Detectando ataques de spooﬁng
Register Hijacking en Contact (SiVuS)

@pepeluxx
Replay attack
Impedimos que se reutilice un digest

@pepeluxx
Topoh
Seguridad por oscuridad
Evitamos enviar información sensible al exterior

@pepeluxx
Kamailio & Homer Security Checks
https://www.kamailio.org/wiki/tutorials/security/kamailio-security
https://www.kamailio.org/events/2011-Cluecon/DCM-kamailio-
security.pdf

@pepeluxx
Proxy de carriers (el que decide si una llamada se cursa o no)
Accesible únicamente por nuestras máquinas
Antes de permitir llamar, veriﬁcar si el usuario …
¿Tiene saldo? ¿Cuánto lleva gastado hoy?
¿Tiene bloqueadas las llamadas salientes?
¿Puede llamar a ese destino?
¿Demasiadas llamadas seguidas a ese país?
¿Tiene canales disponibles?
¿Alguna actividad extraña en sus llamadas?

@pepeluxx
Permiso de llamada basado en estadísticas:
Límite de gasto mensual
Límite de llamadas internacionales
Límite de llamadas a ciertos países
Límite de canales concurrentes

@pepeluxx
Elección de carriers
Límites y bloqueos de nuestros carriers
¿Tenemos límite de gasto?
Nuestros carriers, ¿nos avisan/bloquean ante un uso elevado?
¿Dispone de herramientas de detección de fraude?
¿Cuántos canales nos ofrecen?

@pepeluxx
Monitorización del sistema
Monitorización constante del sistema. Alertas por SMS y Mail ante …
Uso elevado de llamadas a un cierto destino/país
Consumo elevado de algún cliente (métodos estadísticos)
Registro de detección de ataques
Cualquier comportamiento anómalo en el sistema

@pepeluxx
¿ Y si todo falla ?
Mejor prevenir
Establecer un gasto máximo diario en todo nuestro sistema
Autobloqueo de llamadas, servicios, …
Plan de emergencias
Tener preparada una acción de bloqueo masivo de clientes, grupos
de usuarios, destinos, conexiones de ciertos países, …

@pepeluxx
Gracias
¿ Preguntas ?

Securización de sistemas de VoIP - JOSÉ LUIS VERDEGUER - VoIP2DAY 2017

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Similar a Securización de sistemas de VoIP - JOSÉ LUIS VERDEGUER - VoIP2DAY 2017

Similar a Securización de sistemas de VoIP - JOSÉ LUIS VERDEGUER - VoIP2DAY 2017 (20)

Último

Último (19)

Securización de sistemas de VoIP - JOSÉ LUIS VERDEGUER - VoIP2DAY 2017