hosts hijacker

Comentarios

Transcripción

hosts hijacker
Hacking y As
seguramiento
de servidorres VoIP/SIP
Aste
erisk
I
Ing.
A
André
d é
és Mauricio
M
i i M
Mujica
ji
Z
Zalamea
l
RHCE/RHCSA/RHCVA/DCAP
GERENTE SEAQ SERVICIOS CIA LTDA
ADVERT
TENCIA:
La información contenida
c
en esta
presentación es para
p
uso meramente
académico y se debe
d
aplicar para la
protección de sus
s sistemas de VoIP.
El mal uso de la misma implica la
yes nacionales e
y
violación de ley
interna
acionales
CONTINUE BAJO SU
U RESPONSABILIDAD
HACKING Y AS
SEGURAMIENTO
Conferencista:
Ing.
g Andrés Mauricio Mujjjica Zalamea
[email protected]
co
RHCE/RHCSA/RHCVA/DCAP
P
GERENTE SEAQ SERVICIO
OS CIA LTDA
*
OBJETIVOS
■
Conocer las diferentes
s modalidades de fraude
telefónico en redes VoIP
■
Conocer los diferenttes tipos
p
de ataque
q
y
herramientas utilizadas
s para los mismos
■
Determinar las mejores
s prácticas para prevenir
estos ataques
PLAN DE TRABAJO
■
Antecedentes del fraud
de telefónico
■
Tipos de Ataques
Negación de Servicio
o
‹ Hijacking, Intercepta
ación
‹ Caller ID Spoofing
‹ Vishing
‹
PLAN DE TRABAJO
■
Protocolos afectados
‹ H.323, SIP, IAX2
‹ Cisco, Avaya, 3CX, A
Asterisk
■
Herramientas
e a e tas Ut
Utilizada
ada
as
‹ VoIP Sniffing Tools
‹ VoIP Scanning
g and Enumeration
E
Tools
‹ VoIP Packet Creation
n and Flooding Tools
‹ VoIP Fuzzing
g Tools
‹ VoIP Signaling Manip
pulation Tools
‹ VoIP Media Manipula
ation Tools
PLAN DE TRABAJO
■
A áli i de
Análisis
d un ataque
t
■
Prácticas de prevenció
ón
■
Demo Real (limitado
o a disponibilidad de
tiempo)
PLAN DE TRABAJO
■
Antecedentes del fraud
de telefónico
■
Ejemplos de Ataques
Negación
egac ó de Se
Servicio
co
‹ Hijacking, Interceptaciión
‹ Caller ID Spoofing
p
g
‹ Vishing
‹
FRAUDE TELEFÓNICO
O
■
Llamadas gratuitas
■
Servicios adicionales
Ingresos
g esos po
por co
concepto
cepto
o de
llamadas
■
ANTECEDENTES
H/P Culture
■
Phreaking
Phone + Freak
‹ Oído más desarrollado
‹ Silbando a 2600Hz
‹ '50s (4 y.o.)
‹
Joybubbles /
Joe Engressia
http://www.nytimes.com/2007/08/20/us/20engressia.html
■
Hacking
ANTECEDENTES
Phreakers famosos
■
Único Telco
Ma Bell
■
Blue Box
‹ In-band signalling
g
g
‹ Fraudes hasta los '90
0s
‹ Resuelto con SS7
Steve Jobs
Steve Wozniack
ANTECEDENTES
FRAUDES
■
De las telco hacia el us
suario
Î
Î
■
Cramming:
g cargo
g s no deseados
Slamming: robo de
d clientes entre telcos
De terceros hacia el us
suario
PBX : Recepción transfiere a un número
externo
Î Wangiri: Devolver
r llamada perdida
Î
ANTECEDENTES
FRAUDES
■
De
terceros
usuario
Î
hacia
a
el
Marcadores : Desde el
PC marcar a un
número “premium
m”
ANTECEDENTES
FRAUDES
■
De terceros hacia el us
suario
Î
809 Scams: Engañ
ñar al usuario para que
marque un número
o que parece familiar
pero no lo
l es.
Î
C lli Cards
Calling
C d
Î
Telemarketing frau
uds
ANTECEDENTES
FRAUDES
■
El objetivo es simple
Î
Llamanos, querem
Llamanos
mos cobrarte el minuto
más costoso del mercado
m
ANTECEDENTES
ANTECEDENTES
PLAN DE TRABAJO
■
A t
Antecedentes
d t del
d l fraud
f
d
de telefónico
t l fó i
■
Tipos de Ataques
Negación de Servicio
o
‹ Hijacking, Intercepta
ación
‹ Caller ID Spoofing
‹ Vishing
‹ VoIP Spam
‹
D S / DD
DoS
DDoS
S
■
D
Denegación
ió del
d l Servic
S i io
Î
Î
Se inunda el servic
cio VoIP con peticiones
falsas afectando el
e servicio
Existen botnets qu
ue generan ataques
desde múltiples pu
untos (Denegación del
servicio distribuida)
TIPOS DE ATAQUES
VoIP BOTNETs
TIPOS DE ATAQUES
V IP BOTNET
VoIP
BOTNETs
TIPOS DE ATAQUES
HIJACKING
■
Registration hijacking
■
Media hijacking (chuza
adas!)
TIPOS DE ATAQUES
HIJACKING
TIPOS DE ATAQUES
HIJACKING
TIPOS DE ATAQUES
CALLER ID SPOOFING
G
■
Suplantar la identificac
ción
Î
Î
Î
S. 30: Truth in Caller ID
Act of 2009
SpoofCard.com
p
Paris escuchando
o los mensajes de Lohan
TIPOS DE ATAQUES
CALLER ID SPOOFING
G
■
Asterisk
A
t i k Start
St t Up
U
‹ Caller Id spoofing leg
gal
‹ Voice disguise
‹ Grabación de llamad
das
TIPOS DE ATAQUES
VISHING
■
No de clic sobre el enla
ace, mejor llamenos
Robar información personal (leáse tarjeta
p me
edio de engaños
g
de crédito)) por
Î SMS
Î IVR
Î email
Î
TIPOS DE ATAQUES
VISHING
TIPOS DE ATAQUES
VISHING
TIPOS DE ATAQUES
VoIP SPAM
■
Meussi Solutions
Î
Î
Empresa de seguridad en VoIP
Ataque
q masivo en
n el 2009
TIPOS DE ATAQUES
PLAN DE TRABAJO
■
Protocolos afectados
‹ H.323, SIP, IAX2
‹ Cisco,
, Avaya,
y , 3CX,, Asterisk
A
■
Herramientas Utilizada
as
‹ VoIP Sniffing Tools
‹ VoIP Scanning and Enumeration
E
Tools
‹ VoIP Packet Creation
n and Flooding Tools
‹ VoIP Fuzzing Tools
‹ VoIP Signaling Manip
pulation Tools
‹ VoIP Media Manipula
ation Tools
VoIP
■
Signaling
Session Initiation Protocol (SIP) : TCP/UDP
,
5060,5061
‹ Session Description Protocol (SDP) :
Encapsulated
p
in SIP
‹ Media Gateway Cont
trol Protocol (MGCP) :
UDP 2427,2727
‹ Skinny Client Contro
ol Protocol
(SCCP/Skinny) : TCP
P 2000,2001
‹
PROTO
OCOLOS AFECTADOS
VoIP
■
Signaling
‹
■
Real-time Transfer Control
C
Protocol (RTCP) :
( )
(S)RTP+1
Media
Real-time Transfer Protocol
P
(RTP) : Dynamic
‹ Secure Real-time Tra
ansfer Protocol (SRTP) :
Dynamic
‹
PROTO
OCOLOS AFECTADOS
VoIP
■
Signaling
■
Hybrid
Inter-Asterisk eXcha
ange v.1 (IAX): UDP 5036
(
(obsolete)
)
‹ Inter-Asterisk eXcha
ange v.2 (IAX2) : UDP
4569
‹
PROTO
OCOLOS AFECTADOS
VoIP
■
H.323
Primer protocolo VoIP popular
Î Actualmente en decadencia
Î Cerca de 40 imple
ementaciones diferentes
Î Vulnerabilidades en decoder parsing
p
g
(H.225 data exchan
nge)
Î Ejecución de códig
go con paquetes
malformados
Î Requiere puertos dinámicos
d
Î
PROTO
OCOLOS AFECTADOS
VoIP
■
H.323
Î
Î
Signaling
- H.245 - Call Para
ameters - Dynamic
y
TCP
- H.225.0
. Q.931 - Call Se
etup
p - TCP 1720
. RAS - UDP 1719
- Audio Call Control - TCP 1731
- RTCP - RTP Con
ntrol - Dynamic UDP
Media
- RTP - Audio - Dy
ynamic UDP
- RTP - Video - Dy
ynamic UDP
VoIP
■
H.323
PROTO
OCOLOS AFECTADOS
VoIP
■
H.323
PROTO
OCOLOS AFECTADOS
VoIP
■
H.323
PROTO
OCOLOS AFECTADOS
VoIP
■
SIP
Î
Î
Î
Î
Î
Î
Protocolo flexible
e
Actualmente el más p
popular
p
y usado
Estandarizado y abierto
a
Separa
p
señalización de media
Funciona primord
dialmente sobre UDP
No se diseño pensando en seguridad
PROTO
OCOLOS AFECTADOS
VoIP
■
SIP
PROTO
OCOLOS AFECTADOS
VoIP
■
SIP
PROTO
OCOLOS AFECTADOS
VoIP
■
SIP
PROTO
OCOLOS AFECTADOS
VoIP
■
IAX2
Exclusivo de aste
erisk (disponible en
algunos
g
vendors diferentes
d
a digium)
g
)
Î En proceso de estandarización ('09)
Î Unifica señalización y media
Î Amigable con fire
ewall y nat
Î Funciona sobre UDP
U
Î También tiene pro
oblemas de seguridad
Î
PROTO
OCOLOS AFECTADOS
VoIP
■
IAX2
PROTO
OCOLOS AFECTADOS
VoIP
■
IAX2
PROTO
OCOLOS AFECTADOS
At
Ataques
especificos
ifi
a estos
t
protocolos
t
l
■
■
Flooding
Fl
di
‹ SIP INVITE
‹ Bogus RTP
‹ TCP SYN
‹ ICMP
Flood Amplification
‹ Spoof source address
s
‹ Spread
‹ Invoke (respuesta con
n más datos)
PROTO
OCOLOS AFECTADOS
Ataques especificos a estos protocolos
■
■
■
Fuzzing
‹ Malformed message
Signaling Manipulation
n
‹ Malicious signalling messages
m
‹ New signalling messages
Forced Call teardown
‹ Inject spoof messages (call tear-down)
tear down)
Î SIP: BYE
Î IAX: HANGUP
PROTO
OCOLOS AFECTADOS
Ataques especificos a estos protocolos
■
■
■
■
Registration/Call Hijack
king
‹ Captura información de
d registro
‹ Suplantación de regist
tro
‹ Monitoreo de llamadas en proceso
Media Hijacking
‹ Inserción de señales maliciosas
m
Caller-ID
Caller
ID Spoofing
‹ Call iniciada con Calle
er-Id falso
Caller-ID Name Disclos
sure
‹ Sacarle a la PSTN el nombre
n
registrado
PROTO
OCOLOS AFECTADOS
Ataques especificos a estos protocolos
■
■
■
■
Eavesdropping
‹ Malformed call set-up signalling
‹ Captura de trafico RTP
Directory Enumeration
n
‹ Active: Specially crafte
ed protocol message
‹ Passive: Watch netwo
ork traffic
Media Injection
‹ Inject new media in active channel
‹ Replace
p
media en acttive channel
Covert Communication
n
‹ Insertar datos dentro de
d un canal activo
PLAN DE TRABAJO
■
Protocolos afectados
‹ H.323, SIP, IAX2
‹ Cisco, Avaya, 3CX, A
Asterisk
■
Herramientas
e a e tas Ut
Utilizada
ada
as
‹ VoIP Sniffing Tools
‹ VoIP Scanning
g and Enumeration
E
Tools
‹ VoIP Packet Creation
n and Flooding Tools
‹ VoIP Fuzzing
g Tools
‹ VoIP Signaling Manip
pulation Tools
‹ VoIP Media Manipula
ation Tools
SNIFFING
■
Primordialmente utiliza
adas para "escuchar”
Î
Î
Î
Î
AuthTool: Captura
a de Password
Cain & Abel: Reconstruye RTP
$ CommView VoIP
P Analyzer: Análisis de
VoIP
$ Etherpeek: Sniffe
er
HERRAMIIENTAS UTILIZADAS
SNIFFING
■
Soportan varios protoc
colos
Î
ILTY ("I'm Listenin
ng To You"): Skinny sniffer
Î
NetDude : Análisis de tcpdump files
Î
Oreka: Grabación de
d RTP audio streams
Î
SIPscan: Capturar sesiones SIP
HERRAMIIENTAS UTILIZADAS
SNIFFING
■
Versiones Windows, BSD y Linux
Î
RtpBreak: Captura
a de RTP en bruto
Î
SIPomatic: Escuch
ha de SIP
Î
SIPv6 Analyzer: SIIP sobre Ipv6
Î
UCSniff: VoIP eave
esdropping y ARP spoof
HERRAMIIENTAS UTILIZADAS
SNIFFING
■
Soportan varios protoc
colos
Î
VoiPong & VoiPon
ng ISO: Captura de RTP
para SIP,, H323,, Skinny
p
y
Î
VOMIT: Cisco Phon
ne to wav
Î
Wireshark: Networrk traffic analyzer
Î
WIST: Captura web
b de SIP signalling
HERRAMIIENTAS UTILIZADAS
SNIFFING
■
UCSniff
HERRAMIIENTAS UTILIZADAS
SNIFFING
■
VoiPong
HERRAMIIENTAS UTILIZADAS
SCANNING AND ENUMERATION
■
Utilizadas para ubicarr servidores VoIP y para
listar las extensiones
Î
Î
Î
$ EnableSecurity VoIPPack
V
for CANVAS:
Scan enumeration y ataques fuerza bruta
Scan,
EnumIAX: Login en
numerator con REGREQ
Iaxscan: Scanner p
para detectar hosts Iax2 y
luego enumerar porr fuerza bruta
HERRAMIIENTAS UTILIZADAS
SCANNING AND ENUMERATION
■
Vectores de ataque IAX
X, SIP, SKINNY
Î
Iwar: IAX2 protocol
p
wardialer
Î
Nessus: vulnerabillity
y scanner
Î
Nmap: network porrt scanner
Î
$ Passive Vulnerability Scanner: Análisis
pasivo de red, 40 ch
hecks VoIP
HERRAMIIENTAS UTILIZADAS
SCANNING AND ENUMERATION
■
La enumeración esta definida
d
en el RFC
Î
Î
SCTPScan: Enume
eración de puertos SCTP
abiertos sin asociac
ción. (SS7 over IP)
SIP Forum Test Frramework (SFTF):
Framework para qu
ue los SIP device vendor
validen sus equipos
s
HERRAMIIENTAS UTILIZADAS
SCANNING AND ENUMERATION
■
Los equipos IP están pensados para uso en
LAN
Î
Î
Î
SIP-Scan: Rápido Scanner
S
SIP
SIPcrack: Hace sniff para obtener SIP logins
y luego
g crack p
por fu
uerza bruta
Sipflanker:
p
Busca dispositivos
d p
SIP con
interfaz web accesib
ble
HERRAMIIENTAS UTILIZADAS
SCANNING AND ENUMERATION
■
Las herramientas no so
on fácilmente obtenibles
Î
SIPSCAN: Enumerrador q
que usa INVITE,,
REGISTER y OPTIO
ONS
Î
SiVuS: SIP Vulnera
ability Scanner
Î
VLANping: ping co
on VLAN tag
HERRAMIIENTAS UTILIZADAS
SCANNING AND ENUMERATION
■
SIPVicious es la más popular
p
SIPVicious Tool Suite
- Svmap is a sip sc
canner
-s
svwar
a identifies
de t es a
active
act
ee
extensions
te s o s o
on a
PBX
- svcrack is an online p
password cracker for
SIP PBX
Î $ VoIPAudit: Scanner de vulnerabilidades
Î SMAP: SIP stack fingerprint
Î
HERRAMIIENTAS UTILIZADAS
SCANNING AND ENUM
MERATION
■
SIPVicious
HERRAMIIENTAS UTILIZADAS
SCANNING AND ENUM
MERATION
■
SIPFlanker
HERRAMIIENTAS UTILIZADAS
SCANNING AND ENUMERATION
■
VoIPAudit
■
enumIAX
HERRAMIENTAS UTILIZADAS
PACKET CREATION & FLOODING
■
Usadas para DoS/DDoS
S
Î
Î
Î
IAXFlooder: Floode
er de paquetes IAX
INVITE Flooder: En
nvia una mareada de
mensajes SIP INVIT
TE a un telefono o proxy
kphone-ddos: Usa
ando Kphone para inundar
con SIP spoofing
p
g
HERRAMIIENTAS UTILIZADAS
PACKET CREATION & FLOODING
■
Usadas para Capacity Testing
T
Î
Î
Î
$ SiPBlast: Herram
mienta p
para p
pruebas de
infraestructura por medio
m
de colmado
capacidad
p
creando tráfico de llamadas CPE
masivo
$ NSAUDITOR Flooder: Generador de tráfico
SIP UDP para pruebas de stress
RTP Flooder: Paqu
uetes “well formed” RTP
PACKET CREATION & FLOODING
■
Usadas para explotarr vulnerabilidades en el
protocolo
Î
Î
Î
Scapy: Herramienta
a interactiva para
manipulación
a pu ac ó de pa
aquetes
aquetes.
Seagull:
g
Generado
or de tráfico multi protocolo
p
SIPBomber: Herramienta p
para p
probar SIP en
Linux
HERRAMIENTAS UTILIZADAS
PACKET CREATION & FLOODING
■
Algunas desarrolladas por HP
Î
Î
Î
SIPNess: SIP testin
ng tool que prueba
aplicaciones SIP
SIPp: generador de
e tráfico y pruebass para
SIP (muy utilizada)
SIPsak: SIP swiss army
a y knife
HERRAMIIENTAS UTILIZADAS
PACKET CREATION & FLOODING
■
Scapy
HERRAMIIENTAS UTILIZADAS
PACKET CREATION & FLOODING
■
SIPBomber
PACKET CREATION & FLOODING
■
NSAuditor
PACKET CREATION & FLOODING
■
SIPp
PACKET CREATION & FLOODING
■
SIPsak
FUZZING TOOLS
■
Generación de paquete
es malformados
Î
Î
Î
Asteroid: Juego de
e métodos SIP
malformados (INVIT
TE, CANCEL, BYE)
Codenomicon: Verrsión comercial de
PROTOS
Interstate Fuzzer: VoIP
V
Fuzzer
FUZZING TOOLS
■
Usualmente utilizados para DoS
Î
Î
Î
IMS Fuzzing plaffo
orm: Appiance para Fuzzy
SIP, H323 y MGCP
P
PROTOS: Herramie
enta java para generación
de p
paquetes
q
malformados H.323 y SIP
SIP-Proxy:
y MiM, Prroxy
y entre el UA y el PBX
FUZZING TOOLS
■
Usados en prueba de calidad
c
y robustez
Î
Î
Î
$ Spirent ThreatEx
x: Probador de robustez
VoIPER:
o
Security
Secu
ty to
oolkitt que pe
oo
permite
te p
probar
oba
dispositivos VoIP
SFTF: Framework para ser usado por los
SIP Vendors
FUZZING TOOLS
■
VoIPER
FUZZING TOOLS
■
FUZZER
FUZZING TOOLS
■
SIP Proxy
SIGNALING MANIPUL
LATION
■
Usadas para desconec
ctar llamadas
Î
Î
Î
BYE Teardown: Injjecta un SIP BYE
message para desc
conectar la llamada
Check Sync: Envia
a un SIP NOTIFY
haciendo reiniciar ciertos
c
telefonos
H225regregjet:
g gj Desconecta llamadas H.323
SIGNALING MANIPUL
LATION
■
Usadas
para
autenticación
Î
Î
Î
mod
dificar
procesos
de
IAXHangup: Herram
mienta usada para
desconectar llamad
das IAX,
IAX Injecta un IAX
HANGUP
$ SiPCPE: Evalua compliance
c
de protocolo
RedirectPoison: Por medio de SIP INVITE
redirecciona una lla
amada
SIGNALING MANIPUL
LATION
■
Manipulan flujo de med
dia procesos de registro
dia,
Î
Î
Reg Adder: Intenta
a adicionar al SIP
HEADER otra IP pa
ara que la llamada se
redireccione
ed ecc o e a dos C
CPE
Reg
g Eraser: Causa
a un DoS p
por medio de un
SIP REGISTER spo
oof message que hace
creer al SIP Proxy
yq
que no hay
y usuario
disponible
SIGNALING MANIPULA
ATION
■
Manipulan flujo de media,
a procesos de registro
Î
Î
Î
Reg Hijacker: Generra un mensaje SIP
REGISTER faso para
a que todas las llamadas
entrantes
e
t a tes se e
enruten
ute a
al ataca
atacante
te
SIP-KILL : Sniff de SIP
S INVITES p
para tumbar la
llamada
SIP-Proxy-Kill: Finalliza a nivel de señalización
una sesión SIP en el proxy remoto antes que el
SIGNALING MANIPUL
LATION
■
Son de las herramientas más avanzadas
disponibles
Î
Î
Î
SIP-RedirectRTP: Manipula encabezados
SDP redirigiendo el RTP a un Proxy
Proxy.
SIPRogue : Un proxxy SIP multifuncional
insertado entre dos partes
vnak: VoIP Network
k Attack Toolkit
SIGNALING MANIPUL
LATION
■
Son de las herramientas más avanzadas
disponibles
Î
VoIPHopper: Herra
amienta para validación de
seguridad que buscca simuar un telefono con
un PC para suplantarlo a nivel de VLAN
SIGNALING MANIPUL
LATION
■
VoIPHOPPER
MEDIA MANIPULATIO
ON
■
Buscan alterar las com
municaciones
Î
Î
Î
RTP InsertSound: Inserta el contenido de un
.wav dentro de una conversación activa
RTP MixSound: Similar a la anterior
RTPProxy: Espera paquetes RTP y los
redirecciona a dond
de se le indique
MEDIA MANIPULATIO
ON
■
Usadas por los espias
Î
Î
SteganRTP: Herram
mienta estenográfica que
establece un flujo de datos oculto dentro del
flujo de media.
media Incluye chat
chat, archivos y shell
remoto
VO²IP: Esconde una conversación dentro de
otra p
por medio de compresión
c p
y G.711
MEDIA MANIPULATIO
ON
■
SteganRTP
OTRAS HERRAMIENT
TAS
■
■
■
■
■
IAX.Brute:
IAX
Brute: Herramienta
a de ataque passive por
diccionario en el challenge/response IAX
SIP-Send-Fund:
SIP
Send Fund:
Utilidad
que
explota
vulnerabilidades especifficas
SIP.Tastic:
S
ast c Herramient
e a e tta de ataque pas
pasivo
o de
dictionario al método SIP
P Digest de autenticación
Spitter:
p
Herramientas p
para asterisk q
que hacen
pruebas de VoIP Spam
VSAP: Programa
g
de auditoria p
por medio de
preguntas y respuesta que
q valida la seguridad de
redes VoIP (SIP/H.323/R
RTP)
ALGUNOS VIDEOS DE
E LAS
HERRAMIENTAS
■
SIPgull
http://gull.sf.net/flvpla
ayer.swf?file http://gull.s
ayer.swf?file=http://gull.s
f.net/doc/seagull_01..flv
■
VoIPPack
http://www.vimeo.com
p
m/moogaloop.swf?clip
g
p
p_id
=2524735&serv
ver=www.vimeo.com&am
p
p;fullscreen=1&amp
p;show_title=1&sho
_
p
w_byline=0&show_portrait=0&colo
r=01AAEA
PLAN DE TRABAJO
■
Análisis de un ataque
■
Prácticas de prevenció
ón
■
Demo
e o Real
ea ((limitado
tado
o a d
disponibilidad
spo b dad de
tiempo)
LOGS ATAQUE
ANALISIS DE UN ATAQUE
Feb 3 22:54:31 NOTICE[2851
[
14]] chan_sip.c:
_ p
Registration
g
from '"613430211"<sip:613
[email protected]>'
failed for '86.72.2.248' - Username/auth name
mismatch
Un total de 19511 enttradas
LOGS ATAQUE
ANALIISIS DE UN ATAQUE
Feb 3 22:54:31 NOTICE[2851
[
14]] chan_sip.c:
_ p
Registration
g
from '"0"<sip:[email protected]
z.xxx>' failed for
'86.72.2.248' - Username/au
uth name mismatch
Feb 3 22:54:31 NOTICE[2851
14] chan
chan_sip.c:
sip c: Registration
from '"1"<sip:[email protected]
z.xxx>' failed for
'86.72.2.248' - Username/au
uth name mismatch
Feb 3 22:54:31 NOTICE[2851
14] chan_sip.c: Registration
from '"2"<sip:[email protected]
z.xxx>' failed for
'86.72.2.248'
86
8 - Use
Username/au
a e/au
uth name
ut
a e mismatch
s atc
Enumeración
LOGS ATAQUE
Feb 3 22:56:12 NOTICE[2851
14] chan_sip.c: Registration
from '"9996"<sip:[email protected]
x.yyy.zzz.xxx>' failed for
'86.72.2.248' - Username/au
uth name mismatch
Feb 3 22:56:12 NOTICE[2851
14] chan
chan_sip.c:
sip.c: Registration
from '"9997"<sip:[email protected]
x.yyy.zzz.xxx>' failed for
'86.72.2.248' - Username/au
uth name mismatch
F b 3 22
Feb
22:56:12
56 12 NOTICE[2851
14] chan_sip.c:
h
i
R
Registration
i t ti
from '"9998"<sip:[email protected]
x.yyy.zzz.xxx>' failed for
'86.72.2.248' - Username/au
uth name mismatch
Feb 3 22:56:12 NOTICE[2851
14] chan_sip.c: Registration
from '"9999"<sip:[email protected]
x.yyy.zzz.xxx>' failed for
'86
86.72.2.248
72 2 248' - Username/au
uth name mismatch
Escaneo todo el rango de 0 a 9999
LOGS ATAQUE
Cantidad de intentos por extensión e IP
LOGS ATAQUE
EL RESULTADO !!!
LOGS ATAQUE
ANALIS
SIS DE UN ATAQUE
ls -all /sbin/init.zk
MAS LEJOS ... ROOTK
KIT OWNED
KIT,
FreePBX backdoors and default passwords that
was published on Aprill 15, 2011.
http://nerdvittles.com/
p
m/?p=737
p
It recently came to our atttention that it is possible
to login to the Elastix se
erver unembedded
FreePBX Web interface (http://address/admin)
(
with
user name ‘asteriskuser’’ and password
‘eLaStIx.asteriskuser.2oo
oo7′. The user name and
password are the same user
p
u
name and password
p
used by FreePBX to acce
ess the ‘asterisk’ MySQL
database. They are defin
ned in the parameters
AMPDBUSER and
d AMPDB
BPASS in
i th
the
/etc/amportal.conf file.
PLAN DE TRABAJO
■
Análisis de un ataque
■
Prácticas de prevenció
ón
■
Demo Real (limitado
o a disponibilidad de
tiempo)
■
FIREWALL: Bloquear TODO
T
por defecto y solo
permitir acceso desde orrigenes autorizados
■
FIREWALL: Bloquear TODO
T
por defecto y solo
permitir acceso desde orrigenes autorizados
■
FIREWALL: Bloquear TODO
T
por defecto y solo
permitir acceso desde orrigenes
p
g
autorizados
■
FIREWALL: Bloquear
q
T
TODO
por defecto y solo
p
permitir acceso desde orrigenes autorizados
■
FIREWALL: Bloquear TODO
T
por defecto y solo
permitir acceso desde orrigenes autorizados
■
FIREWALL: Bloquear TODO
T
por defecto y solo
permitir acceso desde orrigenes autorizados
■
FIREWALL: Bloquear
q
T
TODO
por defecto y solo
p
permitir acceso desde orrigenes autorizados
■
FIREWALL: Bloquear TODO
T
por defecto y solo
permitir acceso desde orrigenes autorizados
■
FIREWALL: Bloquear TODO
T
por defecto y solo
permitir acceso desde orrigenes autorizados
■
FIREWALL: Bloquear TODO
T
por defecto y solo
permitir acceso desde orrigenes autorizados
■
FIREWALL: Bloquear TODO
T
por defecto y solo
permitir acceso desde orrigenes
p
g
autorizados
■
FIREWALL: Bloquear
q
T
TODO
por defecto y solo
p
permitir acceso desde orrigenes autorizados
Bloquear TODO
B
por defecto
d f t y solo
l permitir
iti
acceso
dessde
origenes
autorizados
■FIREWALL:
■
Monitoreo CDR y LO
OGS: Estar pendiente de
comportamientos anorm
males
■
Cambiar password por defecto: En todos los
servicios
■
NO utilizar logins númericos para las
extensiones: Debe serr diferente al número de la
extensión
■
NO utilizar password
ds númericos: Se deben
utilizar passwords alfanú
úmericos
■
Desactivar servicios no usados en PBX: DISA,
Voicemail remoto,, Callba
ack
■
Desactivar servicios no utilizados en SO:
Minimizar vectores de rie
esgo
■
Administración por VPN: El acceso a la
administración DEBE se
er por VPN
■
Administración local: El
administración DEBE se
er local.
acceso
a
la
■
Lea portales especializ
zados: Forums de Digium
■
Control de acceso parra administración: Defina
usuarios con niveles de acceso
■
Restringir acceso físico: y lógico también.
■
No habilite auto carg
ga en las tarjetaas de
credito: Para troncales internacionales
■
RESTRINGA DIAL PLAN LDI/LDN: Realmente
necesitan llamar a Zimba
abwe?
001|1NXXXXXXXXX
X <- USA
001|0052NXXXXXXX
|
XXX <- MEXICO
0012|N.
■
ASEGURE APACHE: Que sea inaccesible sin
autenticación a nivel de apache
mod_auth_mysql
mod_authz_ldap
■
ASEGURE SIP.CONF:
context non existantt
context=non-existant
alwaysauthreject=yes
allowguest no
allowguest=no
■
LIMITE C
CANTIDAD DE LLAMADAS
SS
SIP:
call-limit = 2
■
ASEGURE EL TIPO DE
E DEVICE SIP:
type=
yp user
type= peer
type= friend
■
ASEGURAMIENTO
IPTABLES:
AVANZADO
POR
iptables -I door 1 -p udp --dport 5060 -m string --string
"mysecretpass" --algo bm -m recent --set --name
portisnowopen
ti
iptables -A INPUT -p udp --dport 5060 -m recent --rcheck
seconds 4000 --name
name portisnowopen -jj ACCEPT
--seconds
■
RESTRINGA REDES VA
ALIDAS PARA SIP:
deny = 0.0.0.0/0.0.0.0
permit = 192.168.10..0/255.255.255.0
p
deny = 0.0.0.0/0.0.0.0
permit = 0.0.0.0/0.0..0.0
■
ASEGURE EL CONTEX
XTO DEFAULT:
[default]
[other-context]
■
ASEGURE EL MANAGE
ER.CONF:
deny = 0.0.0.0/0.0.0.0
permit = 192.168.10..0/255.255.255.0
deny = 0.0.0.0/0.0.0.0
permit
it = 0.0.0.0/0.0.
0 0 0 0/0 0.0.0
00
■
type=peer
peer al hacer un REG
GISTER recibe un
CHALLENGE (no challenge on consecutive
INVITEs)
■
■
type=user
user no se puede reg
gistrar y en INVITEs recibe
un CHALLENGE
type
type=friend
e d
friend ( peer+user ) hace
h
que asterisk intente
autenticar en INVIT
TEs.
If the device was defined only as peerr, asterisk would not try to authenticate
- peer must register first. The
T INVITE would be ignored.
■
UTILICE FAIL2BAN/AP
PF/BDF
‹
Versión “automatiza
ada” de
cat /var/log/asterisk/full | grep "Wrong password" | awk {'print
$9,$12'} | cut -c6-9,26-45 | un
niq -c
1288 1234' '208.38.181.6'
iptables -A
A INPUT -ss 208.38.18
208 38 18
81 6 -jj DROP
81.6
‹
Tenga en cuenta bug
g en asterisk que no
reporta ip en INVITES
S
■
UTILICE FAIL2BAN
Solamente protege in
ntentos de REGISTER
‹ type
type=peer
peer ayuda a garantizar esto
‹
failregex = NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Wrong password
NOTICE.* .*: Registration from '.*' failed
d for '<HOST>' - No matching peer found
NOTICE.* .*: Registration from '.*' failed
d for '<HOST>' - Username/auth name
mismatch
d for '<HOST>' - Device does not match ACL
NOTICE.* .*: Registration from '.*' failed
NOTICE.* ..*:: Registration from '.*'
NOTICE.
. failed
d for '<HOST>'
HOST - Peer is not supposed to
register
NOTICE.* .*: Registration from '.*' failed
d for '<HOST>' - ACL error (permit/deny)
NOTICE.* <HOST> failed to authentica
ate as '.*'$
NOTICE * .*:: No registration for peer '.*'
NOTICE.
* \(from <HOST>\)
5 authentication for '.*' (.*)
NOTICE.* .*: Host <HOST> failed MD5
NOTICE.* .*: Failed to authenticate use
er .*@<HOST>.*
■
UTILICE APF/BDF
‹
Advanced Policy Fire
ewall
/etc/apf/conf.apf
apf -d 202.86.128.0/24
‹
Brute Force Detectio
on
bfd -s
/ec/cron.d/bfd
PLAN DE TRABAJO
■
Análisis de un ataque
■
Prácticas de prevenció
ón
■
Demo
e o Real
ea ((limitado
tado
o a d
disponibilidad
spo b dad de
tiempo)
SEAQ SERVIC
CIOS CIA LTDA
Info
ormación de Contacto
Dirección: Carrera 15 # 79 – 37 Oficina
a 201A
Bogotá, Colombia
Teléfono: +57 – 1 655 98 00
Fax: +57 – 1 655 98 02
Internet:
Contacto:
www.seaq.com.co
o
[email protected]
@
q m.co
MUCHAS G
GRACIAS POR SU
ATENCIÓN.
Tome el control de la
Información en su
Empresa
http:://www.
http
//www.seaq
seaq..com
com..co

Documentos relacionados