Este documento proporciona información sobre técnicas de hacking de VoIP y contramedidas de seguridad. Describe herramientas y métodos para realizar escaneos de puertos, enumeración de usuarios, intercepción de llamadas, ataques de denegación de servicio y más. También recomienda medidas como firewalls, encriptación, autenticación, segmentación de VLAN y filtros de red para proteger sistemas VoIP.
6. Teléfonos y extensiones provistas
Números de Soporte Técnico y Mesa de
Ayuda
Búsquedas laborales
7.
8. Google Hacking
site:avaya.com case study
site:avaya.com [Nombre Empresa]
inurl:”ccmuser/logon.asp” [Opcional site:sitio-
empresa.com]
intitle:asterisk.management.portal web-access
Base de datos de Google Hacking:
http://www.hackersforcharity.org/ghdb/
9. Productos Search
Series Snom “(e.g. 0114930398330)” snom
Series Polycom SoundPoint inurl:”coreConf.htm”
intitle:”SoundPoint IP Configuration
Utility”
Series Linksys (Sipura) intitle:”Sipura SPA Configuration”
Series Zultys intitle:”VoIP Phone Web
Configuration Pages”
Series Grandstream intitle:”Grandstream Device
Configuration” Password
Muchas veces, no solo se encuentra la consola de
administración, sino también el archivo de passwords.
12. Contramedidas
◦ Recortar el acceso de los bots de los buscadores. (robot.txt)
◦ Solamente publicar en la web y los registros de dominio teléfonos de línea
y si es posible, no publicarlos.
◦ Restringir el acceso administrativo a los dispositivos desde el exterior
(WAN) y su interface HTTP.
17. Tipo Nombre
0 ECHO REPLY
3 DESTINATION UNREACHABLE
4 SOURCE QUENCH
5 REDIRECT
8 ECHO
11 TIME EXCEEDED
12 PARAMETER PROBLEM
13 TIMESTAMP
14 TIMESTAMP REPLY
15 INFORMATION REQUEST
16 INFORMATION REPLY
Otras formas de ICMP Sweep
18. Contramedidas de
ICMP Sweep:
◦ ICMP es de extrema
utilidad para
administradores de
red
◦ Es un verdadero riesgo
de seguridad
◦ Deberían filtrarse
todos los protocolos
ICMP que no utilicen
los administradores.
19. ¿Que hacer si los ICMP están filtrados?
Combinación ARP-ICMP
29. Contramedidas
Firewalls con inteligencia
(De aplicación, de
inspección de sesión, etc.)
IDSs/IPSs
Modificación de los stacks
(En casos de ser posible)
Modificación de las
Direcciones MAC (En caso
de ser posible)
30.
31. Una vez identificada la red y los dispositivos,
es momento de buscar sus servicios y
vulnerabilidades. Ojo! Hace mucho ruido.
33. Elementos de SIP
User Agents (UA): Cualquier aplicación o dispositivo que inicia una
sesión SIP
Proxy Server: Recibe los requerimientos de los UA y los rutea al
próximo hop.
Redirect Server: Es un Proxy Server que redirecciona a otros hops
para alivianar la carga
Registrar Server: Procesa los requerimientos REGISTER (Mapea URIs a
otros). Ej: ferHomer@cisco.com lo mapeo a ferHomer@24.232.58.145
Location Server: Este server lo utilizan el Redirect o el Registrar para
encontrar el destino.
34. Requerimientos SIP
SIP Request Propósito
INVITE Inicia una conversación
BYE Termina una conexión
OPTIONS Determina los mensajes SIP
REGISTER Hace un Register de un User
ACK Acknowledgement de un INVITE
CANCEL Cancela un INVITE previo
REFER Transfiere llamadas a recursos externos
SUBSCRIBE Indica futuros requerimientos NOTIFY
NOTIFY Provee informaciones que no están relacionadas con una sesión.
35. Respuestas SIP
Respuesta Categoría Código
Respuestas 1xx Respuesta Informativa 100 Trying
180 Ringing
…
Respuestas 2xx Respuesta Exitosa 200 OK
Respuestas 3xx Respuesta de redireccionamiento 300 Multiple Choices
301 Moved Permanently
…
Respuestas 4xx Respuestas de Fallas en el Requerimiento 400 Bad Request
401 Unauthorized
…
Respuestas 5xx Respuestas de Falla en el Servidor 500 Internal Server Error
501 Not Implemented
…
Respuestas 6xx Respuestas de falla global 600 Busy Everyone
603 Decline
…
37. RTP 101 (Real-Time Protocol)
Transporta el Audio
Generalmente usa el codec G.711 para transportar paquetes
de 160 bytes.
Envía un paquete UDP con Audio cada 50Hz (20 ms). Lo que
hace un sample de voz entre los 50Hz y 8 KHz (160 bytes x
50 Hz) Rango de voz humana.
El Segmento UDP de RTP tiene campos como “Sequence
Number”, Timestamp o SSRC lo cual dificulta modificarlo en el
camino. Obliga a hacer un MITM
44. Herramientas de Banner Grabbing – SAINT
http://www.saintcorporation.com
45. Herramientas de Banner Grabbing – Nessus
http://www.tenable.com/products/nessus
46. REGISTER Username Enumeration
Usuario SIP Server
REGISTER F1
200 OK F2 (Si no se implementa autorización)
401 Unauthorized F2 o
407 Proxy Authentication Required F2
REGISTER F3
200 OK F4
•Un “Wardialing” haría
mucho ruido.
•Utilizar las técnicas de
Footprinting para averiguar
las líneas/extensiones.
•Generalmente las
extensiones 100 o 200 son
las más usadas.
•Respuestas como “Invalid
Username/Password”, indica
n que la extensión existe.
47. INVITE Username Enumeration
El escaneo de INVITE es
más ruidoso, ya que
implica hacer sonar el
teléfono, y aunque no
haya nadie, las llamadas
perdidas quedan
registradas y hacer un
“Traceback” se torna
simple.
48. OPTIONS Username Enumeration
Es más silencioso. Usa el request de options bajo un usuario
determinado.
Usuario SIP Server
OPTIONS F1
200 OK F2 (Si no se implementa autorización) o
404 Not Found F2
Existe una tool SIPsack que permite hace un OPTIONS
scan en forma automática: http://sipsack.org
49. Scanning a través de INVITE, REGISTER y OPTIONS
con SIPSCAN http://www.hackingvoip.com/tools/sipscan.msi
50. Enumeration de otros servicios VoIP: TFTP
•TFTP Servers: Muchos nodos y PBX
tienen servicios de TFTP para
cargar/descargar firmware
(Especialmente CISCO).
•Buscar puertos UDP 69.
(Utilizando tftptheft, ncat, nmap,
telnet, putty, winSCP, clientes tftp,
etc. Todos gratuitos y disponibles
en Internet).
•TFTP es un protocolo inseguro
que no autentica, nos puede
permitir inclusive tomar control del
Sistema Operativo.
51. Enumeration de otros servicios VoIP: SNMP
SNMP es un protocolo
inseguro que expone hasta
el más mínimo detalle el
estado del nodo.
Escaneando el puerto UDP
162 con ncat, nmap,
SNMPSweep o cualquier
aplicación gratuita de
chequeo de SNMP.
52. Contramedidas
Firewall de aplicación. IDS/IPS. Configurado para aplicaciones y
firmas en protocolos SIP y RTP
Cerrar y/o restringir al máximo posible los servicios en cada
host y filtro de red.
De ser posible, modificar los banners y configuración de los
stacks para que no puedan ser identificados.
53.
54. VoIP es más susceptible y sensible al ancho de
banda y disponibilidad de la red que los
demás protocolos.
Una comunicación puede ser afectada por:
Alta Latencia
Jitter
Pérdida de paquetes (Recordar que es UDP y
el paquete perdido no se retransmite)
57. Existen hoy más de 250 exploits para hacer
Flooding Attacks
58. UDP Flooding
SIP y RTP utilizan UDP
Es fácil de ejecutar ya que hacer un
spoofing via UDP es más sencillo
que TCP porque no responde al
IP/Puerto de origen.
Existen herramientas como
UdpFlood que se puede bajar de:
http://www.hackingvoip.com/too
ls/udpflood.tar.gz o también con
soporte para VLANs en:
http://www.hackingvoip.com/too
ls/udpfloodVLAN.tar.gz o en su
versión para Windows en
http://www.mcafee.com/us/dow
nloads/free-tools/udpflood.aspx.
60. Otros floods
Established Connection Flood (o Application
Flooding Attack)
Sobrecarga en la demanda de la interface o la
red por ejecución de Malware
Sobrecargar Firewalls o balanceadores con
QoS.
61. Contramedidas al Flooding
Firewalls e IDS/IPS con
soluciones Anti DoS/DDoS
Hardening del perímetro de red
Hardening de las terminales
VoIP (Teléfonos, PCs, Tablets, etc)
VLANs
62. Ataques a la disponibilidad de la red
Stress testing con paquetes
malformados. (IP Stack Integrity
Checker – ISIC -
http://packetfactory.openwall.net/
projects/ISIC/)
Fragmentación de paquetes
(openTear -
ftp://ftp.ntua.gr/mirror/technotron
ic/denial/opentear.c)
Vulnerabilidades en el OS o en el
Firmware
64. Contramedidas a los ataques DoS
Segmentación en VLANs
NIDS/NIPS
Configurar el DHCP para que otorgue IPs solo a MAC
conocidas
Configurar y filtrar los forwards de los DNS
65.
66. VoIP no deja de ser
más que un
protocolo de
transferencia de
datos. Es susceptible
como cualquier otro
protocolo a los
mismos ataques (Y
otros más).
67. Además de la aplicación, la
vulnerabilidad puede estar en la red.
Mal configurada o uso de WiFi en
algún lugar de la red.
Tools
NetStumbler: http://www.netstumbler.com/
AirCrack: http://www.aircrack-ng.org/
Kismet: http://www.kismetwireless.net/
68. Para acceder a una red VoIP basta con
comprometer sólo un nodo. Se puede
comprometer:
Cualquier Server o PBX
Un teléfono
Un Switch
Un Proxy
Un Gateway
Una PC/Workstation/Smartphone/Tablet
Cualquier nodo que esté físicamente en la red, aunque tenga otro
uso ajeno a VoIP (Mail Server, Web Server, SCADA, etc…)
70. Saltar entre VLANs (VLAN Hopping)
Por ataque MAC Flood
Manipulando el tag 802.1Q o ISL como trunk
Doble encapsulación
Enviando al IP destino pero MAC del router (Private VLAN attack).
Ataques Spanning Tree (BPDU)
Ataques al router VTP
73. Number Harvesting
(De los tonos de números tipeados surgen Números de Cuenta,
Números de Tarjeta, PINs, Claves, etc.)
74. Intercepción de llamadas
Tools
Wireshark: http://www.wireshark.org/
Cain And Abel: http://oxid.netsons.org/download/ca_setup.exe
Vomit: http://vomit.xtdnet.nl/
Voipong: http://www.enderunix.org/voipong/
Oreka: http://oreka.sourceforge.net/
75. Contramedidas
TFTP Sniff: Separar VLANs administrativas de
operativas. Firewalls filtrando sólo IP
correspondientes
Number Harvesting: Encriptar el canal (IPSec, SIP
TLS), separar en VLANs.
Intercepción de llamadas: Encriptar el canal. Filtrar
sólo los IPs permitidos. Implementar ZRTP
(http://zfone.com/zrtp_ietf.html)
76.
77. Hijacking de red tradicional
Estrategias
•Eavesdropping de la conversación
•Causar un DoS en la conversación
•Alterar la conversación eliminando
o insertando audio, o inclusive
“Replaying” audio.
•Redireccionando el llamado a otro
nodo.
Métodos
•DNS Spoofing
•DHCP Spoofing
•ICMP Redirection
•TFTP Spoofing
•Redireccionamiento de
ruteo.
83. Contramedidas del ARP Poisoning
Hacer mapeos manuales ARP (MAC<->IP) (Vulnerable al MAC
Spoofing)
Agregar seguridad a los puertos del Switch (Vulnerable si
desconecta el teléfono y conecta su laptop)
VLANs
Encriptación de la sesión (Con autenticación)
88. Reemplazar o alterar el audio
Es factible insertar paquetes con audio en el que
tengan palabras o frases con un determinado
tono de voz.
Existen cientos de aplicaciones disponibles que
detectan las frecuencias y las aplican a
grabaciones estipuladas. Ej: Uno graba la frase
“Estas despedido” y le puede asignar la voz de el
Director de la empresa.
Algunos software disponibles:
NCH Voxal Voice Changer: http://www.nchsoftware.com/voicechanger/index.html
Morph Vox: http://www.screamingbee.com/product/MorphVOXJunior.aspx
Skype Voice Changer: http://skypefx.codeplex.com/
89.
90. Con estas técnicas también se pueden hacer
otros ataques como:
•Monitorear las llamadas (En vivo o previo
almacenaje de paquetes)
•Identificar tonos de números que indican
números de teléfono, números de cuentas,
números de tarjeta, PINs, etc.
•Cancelar llamadas
•Crear patrones de llamados de ciertos
usuarios.
91. Haciendo Drop de llamadas con la técnica
“Rogue SIP Proxy”
Para llevarlo a cabo, debería resetearse el teléfono para que se registre a este falso Proxy.
También puede utilizarse este Drop entre Proxies, causando problemas aún mayores.
92. Redireccionar las llamadas a otros nodos en
forma aleatoria también con la técnica “Rogue
SIP Proxy”
Al igual que con el drop, se debe resetear el teléfono si no se
regsitró con nuestro falso Proxy, y nuevamente hacerlo entre
Proxies traería problemas de gran magnitud.
93. Otros ataques utilizando Rogue SIP Proxy
Negociación entre nodos eliminando la encriptación
Monitoreo de llamadas
Análisis de patrones de usuarios
Drop de llamadas en forma masiva
98. Soluciones en Hardware y Software para
prevenir:
Barracuda www.barracudanetworks.com
BlackSpider www.blackspider.com
Postini www.postini.com
Proofpoint www.proofpoint.com
Concientizar a los usuarios
Nunca responder con datos críticos por más verídico que parezca.
Siempre verificar.
Nunca llamar a los números que indica la llamada. Hacerlo a los
números de teléfono formalmente establecidos.
Ante cualquier duda, avisar a los superiores y/o al departamento de
IT.