hosts hijacker
Transcripción
hosts hijacker
Hacking y As seguramiento de servidorres VoIP/SIP Aste erisk I Ing. A André d é és Mauricio M i i M Mujica ji Z Zalamea l RHCE/RHCSA/RHCVA/DCAP GERENTE SEAQ SERVICIOS CIA LTDA ADVERT TENCIA: La información contenida c en esta presentación es para p uso meramente académico y se debe d aplicar para la protección de sus s sistemas de VoIP. El mal uso de la misma implica la yes nacionales e y violación de ley interna acionales CONTINUE BAJO SU U RESPONSABILIDAD HACKING Y AS SEGURAMIENTO Conferencista: Ing. g Andrés Mauricio Mujjjica Zalamea [email protected] co RHCE/RHCSA/RHCVA/DCAP P GERENTE SEAQ SERVICIO OS CIA LTDA * OBJETIVOS ■ Conocer las diferentes s modalidades de fraude telefónico en redes VoIP ■ Conocer los diferenttes tipos p de ataque q y herramientas utilizadas s para los mismos ■ Determinar las mejores s prácticas para prevenir estos ataques PLAN DE TRABAJO ■ Antecedentes del fraud de telefónico ■ Tipos de Ataques Negación de Servicio o Hijacking, Intercepta ación Caller ID Spoofing Vishing PLAN DE TRABAJO ■ Protocolos afectados H.323, SIP, IAX2 Cisco, Avaya, 3CX, A Asterisk ■ Herramientas e a e tas Ut Utilizada ada as VoIP Sniffing Tools VoIP Scanning g and Enumeration E Tools VoIP Packet Creation n and Flooding Tools VoIP Fuzzing g Tools VoIP Signaling Manip pulation Tools VoIP Media Manipula ation Tools PLAN DE TRABAJO ■ A áli i de Análisis d un ataque t ■ Prácticas de prevenció ón ■ Demo Real (limitado o a disponibilidad de tiempo) PLAN DE TRABAJO ■ Antecedentes del fraud de telefónico ■ Ejemplos de Ataques Negación egac ó de Se Servicio co Hijacking, Interceptaciión Caller ID Spoofing p g Vishing FRAUDE TELEFÓNICO O ■ Llamadas gratuitas ■ Servicios adicionales Ingresos g esos po por co concepto cepto o de llamadas ■ ANTECEDENTES H/P Culture ■ Phreaking Phone + Freak Oído más desarrollado Silbando a 2600Hz '50s (4 y.o.) Joybubbles / Joe Engressia http://www.nytimes.com/2007/08/20/us/20engressia.html ■ Hacking ANTECEDENTES Phreakers famosos ■ Único Telco Ma Bell ■ Blue Box In-band signalling g g Fraudes hasta los '90 0s Resuelto con SS7 Steve Jobs Steve Wozniack ANTECEDENTES FRAUDES ■ De las telco hacia el us suario Î Î ■ Cramming: g cargo g s no deseados Slamming: robo de d clientes entre telcos De terceros hacia el us suario PBX : Recepción transfiere a un número externo Î Wangiri: Devolver r llamada perdida Î ANTECEDENTES FRAUDES ■ De terceros usuario Î hacia a el Marcadores : Desde el PC marcar a un número “premium m” ANTECEDENTES FRAUDES ■ De terceros hacia el us suario Î 809 Scams: Engañ ñar al usuario para que marque un número o que parece familiar pero no lo l es. Î C lli Cards Calling C d Î Telemarketing frau uds ANTECEDENTES FRAUDES ■ El objetivo es simple Î Llamanos, querem Llamanos mos cobrarte el minuto más costoso del mercado m ANTECEDENTES ANTECEDENTES PLAN DE TRABAJO ■ A t Antecedentes d t del d l fraud f d de telefónico t l fó i ■ Tipos de Ataques Negación de Servicio o Hijacking, Intercepta ación Caller ID Spoofing Vishing VoIP Spam D S / DD DoS DDoS S ■ D Denegación ió del d l Servic S i io Î Î Se inunda el servic cio VoIP con peticiones falsas afectando el e servicio Existen botnets qu ue generan ataques desde múltiples pu untos (Denegación del servicio distribuida) TIPOS DE ATAQUES VoIP BOTNETs TIPOS DE ATAQUES V IP BOTNET VoIP BOTNETs TIPOS DE ATAQUES HIJACKING ■ Registration hijacking ■ Media hijacking (chuza adas!) TIPOS DE ATAQUES HIJACKING TIPOS DE ATAQUES HIJACKING TIPOS DE ATAQUES CALLER ID SPOOFING G ■ Suplantar la identificac ción Î Î Î S. 30: Truth in Caller ID Act of 2009 SpoofCard.com p Paris escuchando o los mensajes de Lohan TIPOS DE ATAQUES CALLER ID SPOOFING G ■ Asterisk A t i k Start St t Up U Caller Id spoofing leg gal Voice disguise Grabación de llamad das TIPOS DE ATAQUES VISHING ■ No de clic sobre el enla ace, mejor llamenos Robar información personal (leáse tarjeta p me edio de engaños g de crédito)) por Î SMS Î IVR Î email Î TIPOS DE ATAQUES VISHING TIPOS DE ATAQUES VISHING TIPOS DE ATAQUES VoIP SPAM ■ Meussi Solutions Î Î Empresa de seguridad en VoIP Ataque q masivo en n el 2009 TIPOS DE ATAQUES PLAN DE TRABAJO ■ Protocolos afectados H.323, SIP, IAX2 Cisco, , Avaya, y , 3CX,, Asterisk A ■ Herramientas Utilizada as VoIP Sniffing Tools VoIP Scanning and Enumeration E Tools VoIP Packet Creation n and Flooding Tools VoIP Fuzzing Tools VoIP Signaling Manip pulation Tools VoIP Media Manipula ation Tools VoIP ■ Signaling Session Initiation Protocol (SIP) : TCP/UDP , 5060,5061 Session Description Protocol (SDP) : Encapsulated p in SIP Media Gateway Cont trol Protocol (MGCP) : UDP 2427,2727 Skinny Client Contro ol Protocol (SCCP/Skinny) : TCP P 2000,2001 PROTO OCOLOS AFECTADOS VoIP ■ Signaling ■ Real-time Transfer Control C Protocol (RTCP) : ( ) (S)RTP+1 Media Real-time Transfer Protocol P (RTP) : Dynamic Secure Real-time Tra ansfer Protocol (SRTP) : Dynamic PROTO OCOLOS AFECTADOS VoIP ■ Signaling ■ Hybrid Inter-Asterisk eXcha ange v.1 (IAX): UDP 5036 ( (obsolete) ) Inter-Asterisk eXcha ange v.2 (IAX2) : UDP 4569 PROTO OCOLOS AFECTADOS VoIP ■ H.323 Primer protocolo VoIP popular Î Actualmente en decadencia Î Cerca de 40 imple ementaciones diferentes Î Vulnerabilidades en decoder parsing p g (H.225 data exchan nge) Î Ejecución de códig go con paquetes malformados Î Requiere puertos dinámicos d Î PROTO OCOLOS AFECTADOS VoIP ■ H.323 Î Î Signaling - H.245 - Call Para ameters - Dynamic y TCP - H.225.0 . Q.931 - Call Se etup p - TCP 1720 . RAS - UDP 1719 - Audio Call Control - TCP 1731 - RTCP - RTP Con ntrol - Dynamic UDP Media - RTP - Audio - Dy ynamic UDP - RTP - Video - Dy ynamic UDP VoIP ■ H.323 PROTO OCOLOS AFECTADOS VoIP ■ H.323 PROTO OCOLOS AFECTADOS VoIP ■ H.323 PROTO OCOLOS AFECTADOS VoIP ■ SIP Î Î Î Î Î Î Protocolo flexible e Actualmente el más p popular p y usado Estandarizado y abierto a Separa p señalización de media Funciona primord dialmente sobre UDP No se diseño pensando en seguridad PROTO OCOLOS AFECTADOS VoIP ■ SIP PROTO OCOLOS AFECTADOS VoIP ■ SIP PROTO OCOLOS AFECTADOS VoIP ■ SIP PROTO OCOLOS AFECTADOS VoIP ■ IAX2 Exclusivo de aste erisk (disponible en algunos g vendors diferentes d a digium) g ) Î En proceso de estandarización ('09) Î Unifica señalización y media Î Amigable con fire ewall y nat Î Funciona sobre UDP U Î También tiene pro oblemas de seguridad Î PROTO OCOLOS AFECTADOS VoIP ■ IAX2 PROTO OCOLOS AFECTADOS VoIP ■ IAX2 PROTO OCOLOS AFECTADOS At Ataques especificos ifi a estos t protocolos t l ■ ■ Flooding Fl di SIP INVITE Bogus RTP TCP SYN ICMP Flood Amplification Spoof source address s Spread Invoke (respuesta con n más datos) PROTO OCOLOS AFECTADOS Ataques especificos a estos protocolos ■ ■ ■ Fuzzing Malformed message Signaling Manipulation n Malicious signalling messages m New signalling messages Forced Call teardown Inject spoof messages (call tear-down) tear down) Î SIP: BYE Î IAX: HANGUP PROTO OCOLOS AFECTADOS Ataques especificos a estos protocolos ■ ■ ■ ■ Registration/Call Hijack king Captura información de d registro Suplantación de regist tro Monitoreo de llamadas en proceso Media Hijacking Inserción de señales maliciosas m Caller-ID Caller ID Spoofing Call iniciada con Calle er-Id falso Caller-ID Name Disclos sure Sacarle a la PSTN el nombre n registrado PROTO OCOLOS AFECTADOS Ataques especificos a estos protocolos ■ ■ ■ ■ Eavesdropping Malformed call set-up signalling Captura de trafico RTP Directory Enumeration n Active: Specially crafte ed protocol message Passive: Watch netwo ork traffic Media Injection Inject new media in active channel Replace p media en acttive channel Covert Communication n Insertar datos dentro de d un canal activo PLAN DE TRABAJO ■ Protocolos afectados H.323, SIP, IAX2 Cisco, Avaya, 3CX, A Asterisk ■ Herramientas e a e tas Ut Utilizada ada as VoIP Sniffing Tools VoIP Scanning g and Enumeration E Tools VoIP Packet Creation n and Flooding Tools VoIP Fuzzing g Tools VoIP Signaling Manip pulation Tools VoIP Media Manipula ation Tools SNIFFING ■ Primordialmente utiliza adas para "escuchar” Î Î Î Î AuthTool: Captura a de Password Cain & Abel: Reconstruye RTP $ CommView VoIP P Analyzer: Análisis de VoIP $ Etherpeek: Sniffe er HERRAMIIENTAS UTILIZADAS SNIFFING ■ Soportan varios protoc colos Î ILTY ("I'm Listenin ng To You"): Skinny sniffer Î NetDude : Análisis de tcpdump files Î Oreka: Grabación de d RTP audio streams Î SIPscan: Capturar sesiones SIP HERRAMIIENTAS UTILIZADAS SNIFFING ■ Versiones Windows, BSD y Linux Î RtpBreak: Captura a de RTP en bruto Î SIPomatic: Escuch ha de SIP Î SIPv6 Analyzer: SIIP sobre Ipv6 Î UCSniff: VoIP eave esdropping y ARP spoof HERRAMIIENTAS UTILIZADAS SNIFFING ■ Soportan varios protoc colos Î VoiPong & VoiPon ng ISO: Captura de RTP para SIP,, H323,, Skinny p y Î VOMIT: Cisco Phon ne to wav Î Wireshark: Networrk traffic analyzer Î WIST: Captura web b de SIP signalling HERRAMIIENTAS UTILIZADAS SNIFFING ■ UCSniff HERRAMIIENTAS UTILIZADAS SNIFFING ■ VoiPong HERRAMIIENTAS UTILIZADAS SCANNING AND ENUMERATION ■ Utilizadas para ubicarr servidores VoIP y para listar las extensiones Î Î Î $ EnableSecurity VoIPPack V for CANVAS: Scan enumeration y ataques fuerza bruta Scan, EnumIAX: Login en numerator con REGREQ Iaxscan: Scanner p para detectar hosts Iax2 y luego enumerar porr fuerza bruta HERRAMIIENTAS UTILIZADAS SCANNING AND ENUMERATION ■ Vectores de ataque IAX X, SIP, SKINNY Î Iwar: IAX2 protocol p wardialer Î Nessus: vulnerabillity y scanner Î Nmap: network porrt scanner Î $ Passive Vulnerability Scanner: Análisis pasivo de red, 40 ch hecks VoIP HERRAMIIENTAS UTILIZADAS SCANNING AND ENUMERATION ■ La enumeración esta definida d en el RFC Î Î SCTPScan: Enume eración de puertos SCTP abiertos sin asociac ción. (SS7 over IP) SIP Forum Test Frramework (SFTF): Framework para qu ue los SIP device vendor validen sus equipos s HERRAMIIENTAS UTILIZADAS SCANNING AND ENUMERATION ■ Los equipos IP están pensados para uso en LAN Î Î Î SIP-Scan: Rápido Scanner S SIP SIPcrack: Hace sniff para obtener SIP logins y luego g crack p por fu uerza bruta Sipflanker: p Busca dispositivos d p SIP con interfaz web accesib ble HERRAMIIENTAS UTILIZADAS SCANNING AND ENUMERATION ■ Las herramientas no so on fácilmente obtenibles Î SIPSCAN: Enumerrador q que usa INVITE,, REGISTER y OPTIO ONS Î SiVuS: SIP Vulnera ability Scanner Î VLANping: ping co on VLAN tag HERRAMIIENTAS UTILIZADAS SCANNING AND ENUMERATION ■ SIPVicious es la más popular p SIPVicious Tool Suite - Svmap is a sip sc canner -s svwar a identifies de t es a active act ee extensions te s o s o on a PBX - svcrack is an online p password cracker for SIP PBX Î $ VoIPAudit: Scanner de vulnerabilidades Î SMAP: SIP stack fingerprint Î HERRAMIIENTAS UTILIZADAS SCANNING AND ENUM MERATION ■ SIPVicious HERRAMIIENTAS UTILIZADAS SCANNING AND ENUM MERATION ■ SIPFlanker HERRAMIIENTAS UTILIZADAS SCANNING AND ENUMERATION ■ VoIPAudit ■ enumIAX HERRAMIENTAS UTILIZADAS PACKET CREATION & FLOODING ■ Usadas para DoS/DDoS S Î Î Î IAXFlooder: Floode er de paquetes IAX INVITE Flooder: En nvia una mareada de mensajes SIP INVIT TE a un telefono o proxy kphone-ddos: Usa ando Kphone para inundar con SIP spoofing p g HERRAMIIENTAS UTILIZADAS PACKET CREATION & FLOODING ■ Usadas para Capacity Testing T Î Î Î $ SiPBlast: Herram mienta p para p pruebas de infraestructura por medio m de colmado capacidad p creando tráfico de llamadas CPE masivo $ NSAUDITOR Flooder: Generador de tráfico SIP UDP para pruebas de stress RTP Flooder: Paqu uetes “well formed” RTP PACKET CREATION & FLOODING ■ Usadas para explotarr vulnerabilidades en el protocolo Î Î Î Scapy: Herramienta a interactiva para manipulación a pu ac ó de pa aquetes aquetes. Seagull: g Generado or de tráfico multi protocolo p SIPBomber: Herramienta p para p probar SIP en Linux HERRAMIENTAS UTILIZADAS PACKET CREATION & FLOODING ■ Algunas desarrolladas por HP Î Î Î SIPNess: SIP testin ng tool que prueba aplicaciones SIP SIPp: generador de e tráfico y pruebass para SIP (muy utilizada) SIPsak: SIP swiss army a y knife HERRAMIIENTAS UTILIZADAS PACKET CREATION & FLOODING ■ Scapy HERRAMIIENTAS UTILIZADAS PACKET CREATION & FLOODING ■ SIPBomber PACKET CREATION & FLOODING ■ NSAuditor PACKET CREATION & FLOODING ■ SIPp PACKET CREATION & FLOODING ■ SIPsak FUZZING TOOLS ■ Generación de paquete es malformados Î Î Î Asteroid: Juego de e métodos SIP malformados (INVIT TE, CANCEL, BYE) Codenomicon: Verrsión comercial de PROTOS Interstate Fuzzer: VoIP V Fuzzer FUZZING TOOLS ■ Usualmente utilizados para DoS Î Î Î IMS Fuzzing plaffo orm: Appiance para Fuzzy SIP, H323 y MGCP P PROTOS: Herramie enta java para generación de p paquetes q malformados H.323 y SIP SIP-Proxy: y MiM, Prroxy y entre el UA y el PBX FUZZING TOOLS ■ Usados en prueba de calidad c y robustez Î Î Î $ Spirent ThreatEx x: Probador de robustez VoIPER: o Security Secu ty to oolkitt que pe oo permite te p probar oba dispositivos VoIP SFTF: Framework para ser usado por los SIP Vendors FUZZING TOOLS ■ VoIPER FUZZING TOOLS ■ FUZZER FUZZING TOOLS ■ SIP Proxy SIGNALING MANIPUL LATION ■ Usadas para desconec ctar llamadas Î Î Î BYE Teardown: Injjecta un SIP BYE message para desc conectar la llamada Check Sync: Envia a un SIP NOTIFY haciendo reiniciar ciertos c telefonos H225regregjet: g gj Desconecta llamadas H.323 SIGNALING MANIPUL LATION ■ Usadas para autenticación Î Î Î mod dificar procesos de IAXHangup: Herram mienta usada para desconectar llamad das IAX, IAX Injecta un IAX HANGUP $ SiPCPE: Evalua compliance c de protocolo RedirectPoison: Por medio de SIP INVITE redirecciona una lla amada SIGNALING MANIPUL LATION ■ Manipulan flujo de med dia procesos de registro dia, Î Î Reg Adder: Intenta a adicionar al SIP HEADER otra IP pa ara que la llamada se redireccione ed ecc o e a dos C CPE Reg g Eraser: Causa a un DoS p por medio de un SIP REGISTER spo oof message que hace creer al SIP Proxy yq que no hay y usuario disponible SIGNALING MANIPULA ATION ■ Manipulan flujo de media, a procesos de registro Î Î Î Reg Hijacker: Generra un mensaje SIP REGISTER faso para a que todas las llamadas entrantes e t a tes se e enruten ute a al ataca atacante te SIP-KILL : Sniff de SIP S INVITES p para tumbar la llamada SIP-Proxy-Kill: Finalliza a nivel de señalización una sesión SIP en el proxy remoto antes que el SIGNALING MANIPUL LATION ■ Son de las herramientas más avanzadas disponibles Î Î Î SIP-RedirectRTP: Manipula encabezados SDP redirigiendo el RTP a un Proxy Proxy. SIPRogue : Un proxxy SIP multifuncional insertado entre dos partes vnak: VoIP Network k Attack Toolkit SIGNALING MANIPUL LATION ■ Son de las herramientas más avanzadas disponibles Î VoIPHopper: Herra amienta para validación de seguridad que buscca simuar un telefono con un PC para suplantarlo a nivel de VLAN SIGNALING MANIPUL LATION ■ VoIPHOPPER MEDIA MANIPULATIO ON ■ Buscan alterar las com municaciones Î Î Î RTP InsertSound: Inserta el contenido de un .wav dentro de una conversación activa RTP MixSound: Similar a la anterior RTPProxy: Espera paquetes RTP y los redirecciona a dond de se le indique MEDIA MANIPULATIO ON ■ Usadas por los espias Î Î SteganRTP: Herram mienta estenográfica que establece un flujo de datos oculto dentro del flujo de media. media Incluye chat chat, archivos y shell remoto VO²IP: Esconde una conversación dentro de otra p por medio de compresión c p y G.711 MEDIA MANIPULATIO ON ■ SteganRTP OTRAS HERRAMIENT TAS ■ ■ ■ ■ ■ IAX.Brute: IAX Brute: Herramienta a de ataque passive por diccionario en el challenge/response IAX SIP-Send-Fund: SIP Send Fund: Utilidad que explota vulnerabilidades especifficas SIP.Tastic: S ast c Herramient e a e tta de ataque pas pasivo o de dictionario al método SIP P Digest de autenticación Spitter: p Herramientas p para asterisk q que hacen pruebas de VoIP Spam VSAP: Programa g de auditoria p por medio de preguntas y respuesta que q valida la seguridad de redes VoIP (SIP/H.323/R RTP) ALGUNOS VIDEOS DE E LAS HERRAMIENTAS ■ SIPgull http://gull.sf.net/flvpla ayer.swf?file http://gull.s ayer.swf?file=http://gull.s f.net/doc/seagull_01..flv ■ VoIPPack http://www.vimeo.com p m/moogaloop.swf?clip g p p_id =2524735&serv ver=www.vimeo.com&am p p;fullscreen=1& p;show_title=1&sho _ p w_byline=0&show_portrait=0&colo r=01AAEA PLAN DE TRABAJO ■ Análisis de un ataque ■ Prácticas de prevenció ón ■ Demo e o Real ea ((limitado tado o a d disponibilidad spo b dad de tiempo) LOGS ATAQUE ANALISIS DE UN ATAQUE Feb 3 22:54:31 NOTICE[2851 [ 14]] chan_sip.c: _ p Registration g from '"613430211"<sip:613 [email protected]>' failed for '86.72.2.248' - Username/auth name mismatch Un total de 19511 enttradas LOGS ATAQUE ANALIISIS DE UN ATAQUE Feb 3 22:54:31 NOTICE[2851 [ 14]] chan_sip.c: _ p Registration g from '"0"<sip:[email protected] z.xxx>' failed for '86.72.2.248' - Username/au uth name mismatch Feb 3 22:54:31 NOTICE[2851 14] chan chan_sip.c: sip c: Registration from '"1"<sip:[email protected] z.xxx>' failed for '86.72.2.248' - Username/au uth name mismatch Feb 3 22:54:31 NOTICE[2851 14] chan_sip.c: Registration from '"2"<sip:[email protected] z.xxx>' failed for '86.72.2.248' 86 8 - Use Username/au a e/au uth name ut a e mismatch s atc Enumeración LOGS ATAQUE Feb 3 22:56:12 NOTICE[2851 14] chan_sip.c: Registration from '"9996"<sip:9996@xxx x.yyy.zzz.xxx>' failed for '86.72.2.248' - Username/au uth name mismatch Feb 3 22:56:12 NOTICE[2851 14] chan chan_sip.c: sip.c: Registration from '"9997"<sip:9997@xxx x.yyy.zzz.xxx>' failed for '86.72.2.248' - Username/au uth name mismatch F b 3 22 Feb 22:56:12 56 12 NOTICE[2851 14] chan_sip.c: h i R Registration i t ti from '"9998"<sip:9998@xxx x.yyy.zzz.xxx>' failed for '86.72.2.248' - Username/au uth name mismatch Feb 3 22:56:12 NOTICE[2851 14] chan_sip.c: Registration from '"9999"<sip:9999@xxx x.yyy.zzz.xxx>' failed for '86 86.72.2.248 72 2 248' - Username/au uth name mismatch Escaneo todo el rango de 0 a 9999 LOGS ATAQUE Cantidad de intentos por extensión e IP LOGS ATAQUE EL RESULTADO !!! LOGS ATAQUE ANALIS SIS DE UN ATAQUE ls -all /sbin/init.zk MAS LEJOS ... ROOTK KIT OWNED KIT, FreePBX backdoors and default passwords that was published on Aprill 15, 2011. http://nerdvittles.com/ p m/?p=737 p It recently came to our atttention that it is possible to login to the Elastix se erver unembedded FreePBX Web interface (http://address/admin) ( with user name ‘asteriskuser’’ and password ‘eLaStIx.asteriskuser.2oo oo7′. The user name and password are the same user p u name and password p used by FreePBX to acce ess the ‘asterisk’ MySQL database. They are defin ned in the parameters AMPDBUSER and d AMPDB BPASS in i th the /etc/amportal.conf file. PLAN DE TRABAJO ■ Análisis de un ataque ■ Prácticas de prevenció ón ■ Demo Real (limitado o a disponibilidad de tiempo) ■ FIREWALL: Bloquear TODO T por defecto y solo permitir acceso desde orrigenes autorizados ■ FIREWALL: Bloquear TODO T por defecto y solo permitir acceso desde orrigenes autorizados ■ FIREWALL: Bloquear TODO T por defecto y solo permitir acceso desde orrigenes p g autorizados ■ FIREWALL: Bloquear q T TODO por defecto y solo p permitir acceso desde orrigenes autorizados ■ FIREWALL: Bloquear TODO T por defecto y solo permitir acceso desde orrigenes autorizados ■ FIREWALL: Bloquear TODO T por defecto y solo permitir acceso desde orrigenes autorizados ■ FIREWALL: Bloquear q T TODO por defecto y solo p permitir acceso desde orrigenes autorizados ■ FIREWALL: Bloquear TODO T por defecto y solo permitir acceso desde orrigenes autorizados ■ FIREWALL: Bloquear TODO T por defecto y solo permitir acceso desde orrigenes autorizados ■ FIREWALL: Bloquear TODO T por defecto y solo permitir acceso desde orrigenes autorizados ■ FIREWALL: Bloquear TODO T por defecto y solo permitir acceso desde orrigenes p g autorizados ■ FIREWALL: Bloquear q T TODO por defecto y solo p permitir acceso desde orrigenes autorizados Bloquear TODO B por defecto d f t y solo l permitir iti acceso dessde origenes autorizados ■FIREWALL: ■ Monitoreo CDR y LO OGS: Estar pendiente de comportamientos anorm males ■ Cambiar password por defecto: En todos los servicios ■ NO utilizar logins númericos para las extensiones: Debe serr diferente al número de la extensión ■ NO utilizar password ds númericos: Se deben utilizar passwords alfanú úmericos ■ Desactivar servicios no usados en PBX: DISA, Voicemail remoto,, Callba ack ■ Desactivar servicios no utilizados en SO: Minimizar vectores de rie esgo ■ Administración por VPN: El acceso a la administración DEBE se er por VPN ■ Administración local: El administración DEBE se er local. acceso a la ■ Lea portales especializ zados: Forums de Digium ■ Control de acceso parra administración: Defina usuarios con niveles de acceso ■ Restringir acceso físico: y lógico también. ■ No habilite auto carg ga en las tarjetaas de credito: Para troncales internacionales ■ RESTRINGA DIAL PLAN LDI/LDN: Realmente necesitan llamar a Zimba abwe? 001|1NXXXXXXXXX X <- USA 001|0052NXXXXXXX | XXX <- MEXICO 0012|N. ■ ASEGURE APACHE: Que sea inaccesible sin autenticación a nivel de apache mod_auth_mysql mod_authz_ldap ■ ASEGURE SIP.CONF: context non existantt context=non-existant alwaysauthreject=yes allowguest no allowguest=no ■ LIMITE C CANTIDAD DE LLAMADAS SS SIP: call-limit = 2 ■ ASEGURE EL TIPO DE E DEVICE SIP: type= yp user type= peer type= friend ■ ASEGURAMIENTO IPTABLES: AVANZADO POR iptables -I door 1 -p udp --dport 5060 -m string --string "mysecretpass" --algo bm -m recent --set --name portisnowopen ti iptables -A INPUT -p udp --dport 5060 -m recent --rcheck seconds 4000 --name name portisnowopen -jj ACCEPT --seconds ■ RESTRINGA REDES VA ALIDAS PARA SIP: deny = 0.0.0.0/0.0.0.0 permit = 192.168.10..0/255.255.255.0 p deny = 0.0.0.0/0.0.0.0 permit = 0.0.0.0/0.0..0.0 ■ ASEGURE EL CONTEX XTO DEFAULT: [default] [other-context] ■ ASEGURE EL MANAGE ER.CONF: deny = 0.0.0.0/0.0.0.0 permit = 192.168.10..0/255.255.255.0 deny = 0.0.0.0/0.0.0.0 permit it = 0.0.0.0/0.0. 0 0 0 0/0 0.0.0 00 ■ type=peer peer al hacer un REG GISTER recibe un CHALLENGE (no challenge on consecutive INVITEs) ■ ■ type=user user no se puede reg gistrar y en INVITEs recibe un CHALLENGE type type=friend e d friend ( peer+user ) hace h que asterisk intente autenticar en INVIT TEs. If the device was defined only as peerr, asterisk would not try to authenticate - peer must register first. The T INVITE would be ignored. ■ UTILICE FAIL2BAN/AP PF/BDF Versión “automatiza ada” de cat /var/log/asterisk/full | grep "Wrong password" | awk {'print $9,$12'} | cut -c6-9,26-45 | un niq -c 1288 1234' '208.38.181.6' iptables -A A INPUT -ss 208.38.18 208 38 18 81 6 -jj DROP 81.6 Tenga en cuenta bug g en asterisk que no reporta ip en INVITES S ■ UTILICE FAIL2BAN Solamente protege in ntentos de REGISTER type type=peer peer ayuda a garantizar esto failregex = NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Wrong password NOTICE.* .*: Registration from '.*' failed d for '<HOST>' - No matching peer found NOTICE.* .*: Registration from '.*' failed d for '<HOST>' - Username/auth name mismatch d for '<HOST>' - Device does not match ACL NOTICE.* .*: Registration from '.*' failed NOTICE.* ..*:: Registration from '.*' NOTICE. . failed d for '<HOST>' HOST - Peer is not supposed to register NOTICE.* .*: Registration from '.*' failed d for '<HOST>' - ACL error (permit/deny) NOTICE.* <HOST> failed to authentica ate as '.*'$ NOTICE * .*:: No registration for peer '.*' NOTICE. * \(from <HOST>\) 5 authentication for '.*' (.*) NOTICE.* .*: Host <HOST> failed MD5 NOTICE.* .*: Failed to authenticate use er .*@<HOST>.* ■ UTILICE APF/BDF Advanced Policy Fire ewall /etc/apf/conf.apf apf -d 202.86.128.0/24 Brute Force Detectio on bfd -s /ec/cron.d/bfd PLAN DE TRABAJO ■ Análisis de un ataque ■ Prácticas de prevenció ón ■ Demo e o Real ea ((limitado tado o a d disponibilidad spo b dad de tiempo) SEAQ SERVIC CIOS CIA LTDA Info ormación de Contacto Dirección: Carrera 15 # 79 – 37 Oficina a 201A Bogotá, Colombia Teléfono: +57 – 1 655 98 00 Fax: +57 – 1 655 98 02 Internet: Contacto: www.seaq.com.co o [email protected] @ q m.co MUCHAS G GRACIAS POR SU ATENCIÓN. Tome el control de la Información en su Empresa http:://www. http //www.seaq seaq..com com..co