3. Introducción
● En los últimos años los sistemas VoIP han
experimentado un auge debido a sus
bondades:
– Flexibilidad
– Precio
– Funcionalidades avanzadas (conferencias,
desvíos,etc.)
– Ventajas de tener tu propia centralita
● Los entornos corporativos son los que más
han apostado por la migración
Carlos Cruz Luengo <carlos@irontec.com> 3
4. Introducción
● Como suele ser habitual, ese aumento
ha atraído la atención de 'los malos'
● Los ataques también han aumentado por
lo 'jugoso' del premio:
– Hackear una centralita IP permite hacer
llamadas a costa del dueño de la
infraestructura
– Los hay incluso que montan un negocio a
su costa
Carlos Cruz Luengo <carlos@irontec.com> 4
6. Protocolos involucrados
● La debilidad del sistema dependerá de los
protocolos que implemente
● El sistema será tan seguro como el más débil
de sus protocolos
● También habrá que tener en cuenta la
seguridad de los equipos y su entorno
● Analizamos ahora una llamada VoIP 'clásica'
Carlos Cruz Luengo <carlos@irontec.com> 6
7. Protocolos involucrados
● Este diagrama muestra un flujo SIP clásico:
Carlos Cruz Luengo <carlos@irontec.com> 7
8. Protocolos involucrados
● SIP, Session Initiation Protocol (RFC 3261):
– Protocolo human readable del nivel de
aplicación, similar a HTTP
– Encargado del establecimiento, mantenimiento y
finalización de las llamadas
– Normalmente viaja, en claro, sobre UDP (puerto
5060)
– Existen otros protocolos de señalización, pero...
● SIP es el más utilizado (~ estándar de facto)
● En esta presentación, nos centraremos en SIP
Carlos Cruz Luengo <carlos@irontec.com> 8
9. Protocolos involucrados
● RTP, Real-time Transport Protocol (RFC 3550):
– A pesar del nombre, protocolo del nivel de
aplicación empleado para transferir el flujo de voz
– Utiliza los puertos UDP que acuerda el protocolo SIP
(vía SDP)
– Puede ir directamente de usuario a usuario o
atravesar varios media-proxies (para tratar el
NAT)
– No provee ningún tipo de cifrado
Carlos Cruz Luengo <carlos@irontec.com> 9
10. Debilidad de los protocolos
● La ausencia de cifrado en ambos protocolos
convierte una simple captura en una situación
comprometida:
– Conversaciones privadas al descubierto
– Contraseñas de autenticación de los terminales
– Secretos corporativos, personales, etc.
● A esto hay que añadir el hecho de que los
terminales IP reciben su configuración
(incluyendo contraseñas) por TFTP, en claro
– Se le conoce como provisioning
Carlos Cruz Luengo <carlos@irontec.com> 10
12. Tipos de ataques
(1) Ataques a la Confidencialidad/Privacidad:
● Las conversaciones privadas, pasan a estar
grabadas, lo que puede dar pie a chantajes,
airear secretos personales/corporativos, etc.
● La técnica empleada, conocida como
eavesdropping, consiste en capturar paquetes
SIP o RTP mediante un sniffer para su posterior
análisis/reproducción
● Para capturar desde el mismo segmento de red, se
utiliza ARP Spoofing para situarse entre ambos
interlocutores (MITM, Man-In-The-Middle)
Carlos Cruz Luengo <carlos@irontec.com> 12
13. Tipos de ataques
(2) Ataques a la disponibilidad:
● La telefonía es un recurso valioso, en muchas
empresas vital para el desempeño de su
actividad
● Hay ataques que buscan impedir el correcto
funcionamiento del sistema:
● DoS Exploits: paquetes malformados para
provocar errores (VoIP fuzzing)
– INVITE con content-length negativo, etc.
● DoS Flood: Inundación de paquetes (DDoS si es
de forma distribuida)
– Saturacion mediante RTP
– Mensajes BYE y CANCEL conocido el Call-ID
● Media and signalling mangling: introducir
jitter, modificar paquetes SIP, manipular
negociación de codecs, etc.
Carlos Cruz Luengo <carlos@irontec.com> 13
14. Tipos de ataques
(3) Ataques a la Autenticidad:
● Los terminales IPs registrados no tienen porqué
ser los que cree el servidor (Caller-ID
Spoofing):
● REGISTER hijacking (capturar paquete
REGISTER de usuario legítimo y enviarlo tal cual
salvo por el campo CONTACT, donde pones tu IP)
● REGISTER cracking: consiste en capturar
paquetes REGISTER y realizar un ataque de
diccionario para intentar reventar el débil
sistema de autenticación por defecto (Message
Digest (MD5) authentication).
– Las herramientas SIPdump y SIPcrack lo
consiguen en cuestión de minutos:
Carlos Cruz Luengo <carlos@irontec.com> 14
15. Tipos de ataques
● Detectamos los paquetes REGISTER con SIPdump:
● Y luego crackeamos la contraseña partiendo de un
archivo con contraseñas típicas:
Carlos Cruz Luengo <carlos@irontec.com> 15
16. Tipos de ataques
(4) Toll Fraud:
● Buscan hacerse pasar por un terminal autorizado
para así poder llamar a costa del dueño de la
infraestructura (facturas muy cuantiosas)
● El acceso a la red de voz puede facilitar el acceso
a la red de datos con el peligro que esto
conlleva en un entorno empresarial
● VoIP + PHISHING = VHISHING: Aplicación de
la ingeniería social para obtener información
confidencial (números de tarjetas de crédito,
etc.) por medio de sistemas VoIP
(5) SPIT, SPam over Internet Telephony:
● Papel homólogo al SPAM del correo electrónico,
pero por medio de llamadas de voz
Carlos Cruz Luengo <carlos@irontec.com> 16
18. Hay que tomar medidas...
● Con todo lo mencionado hasta el momento,
queda claro que securizar los sistemas de
Telefonía IP es algo imprescindible
● Esta securización hay que abordarla en dos
frentes:
✔ Securizar los protocolos.
✔ Securizar el equipo y su entorno, optimizar
configuraciones y, en definitiva, adquirir
buenas prácticas.
Carlos Cruz Luengo <carlos@irontec.com> 18
19. Securizar los protocolos
● Securizar SIP, a priori, 3 opciones:
– Secure Multipurpose Internet Mail Extensions (S/MIME)
● Añade demasiada complejidad debido al uso de
infraestructuras PKI
– IPsec: Seguridad extremo-a-extremo
● A diferencia de HTTP, una petición SIP puede dar varios
saltos, cambiando, hasta llegar a destino
● Por este motivo necesitamos una seguridad salto-a-
salto, para que los servidores intermedios puedan
acceder al contenido cifrado de los paquetes
– SIPS, SIP over TLS: Misma metodología que con HTTP
para ofrecer una seguridad salto-a-salto sin tanto
overhead como S/MIME
RECOMENDACIÓN
SIPS, comunicación mediante un canal seguro, cifrado y
con los extremos autenticados
Carlos Cruz Luengo <carlos@irontec.com> 19
20. Securizar los protocolos
● El canal de voz también hay que protegerlo,
principalmente, 2 opciones:
– SRTP (RFC3711), opción más utilizada. Necesita que
SIP vaya sobre TLS para que el negociado de claves
que se utilizarán para cifrar los canales de audio no
vaya en claro
– ZRTP, opción desarrollada por Phil Zimmermann
(creador de Pretty Good Privacy), el negociado de
claves se hace en el propio canal RTP utilizando
Diffie-Helmann (procedimiento de intercambio de
claves en un medio hostil)
RECOMENDACIÓN:
Si queremos cifrar sólo voz, ZRTP y SIP en claro
Si queremos una seguridad más completa, SIPS y SRTP
Carlos Cruz Luengo <carlos@irontec.com> 20
21. Securizar los protocolos
● Y por último, en caso de que nuestro terminal
IP deba recibir la configuración de un servidor
(provisioning), hay que evitar:
– TFT o HTTP, ya que estos protocolos transmiten
la configuración (normalmente en un archivo
xml) en claro, y cualquiera podría capturar
dicho archivo y hacerse pasar por nosotros
RECOMENDACIÓN
– Provisioning mediante HTTPS (algunos terminales lo
soportan)
– Si no lo soporta, plantearse desactivar el
provisioning
Carlos Cruz Luengo <carlos@irontec.com> 21
22. Securizar el entorno y adquirir buenas prácticas
● Las conclusiones anteriores han de ir acompañadas
por una serie de buenas prácticas, entre las que
destacan las siguientes:
✔ Firewall perimetral
Puerto UDP 5060 (SIP) nunca abierto
En caso de Road warriors, acceso mediante VPNs
✔ Detector de Intrusos (IDS) para detectar ataques y
escaneos de puertos
✔ Segmentación red de datos/red de voz mediante VLANs
✔ Software actualizado al máximo
✔ Configuración revisada y mantenida en el tiempo
✔ Revisión continua de los logs del sistema
✔ Contraseñas robustas en los equipos terminales
✔ Telefonos IP con direcciones privadas y sin acceso HTTP
✔ Aplicación interesante para checkear la seguridad:
http://www.sinologic.net/proyectos/asterisk/checkSecurity/
Carlos Cruz Luengo <carlos@irontec.com> 22
23. Securizar el entorno y adquirir buenas prácticas
● También cabe destacar los siguiente puntos
en caso de usar Asterisk como PBX:
✔ Opción sip.conf allowguest=no
✔ NUNCA utilizar ‘includes’ si no sabemos exactamente qué
estamos haciendo
✔ Evitar a toda costa la configuración de todas las
extensiones como nat=yes
✔ Comprobar en el log del Asterisk los intentos fallidos de
autenticación y en el caso de varios intentos fallidos
desde la misma IP, añadir de forma automática en
iptables la dirección IP de nuestro ’supuesto’ atacante
(script sipcheck en cron)
Carlos Cruz Luengo <carlos@irontec.com> 23
25. Conclusiones
En un entorno cada vez más
hostil como Internet y ante un
sistema tan 'goloso' como el de
VoIP, la seguridad ha de ser una
prioridad en el momento de su
implementación y mantenimiento
Las soluciones cada vez estarán
más maduras, hay que estar al
tanto. De lo contrario, Internet
nos dará una lección en forma de
factura de teléfono desmesurada
Carlos Cruz Luengo <carlos@irontec.com> 25