(in)seguridad en VoIP - Asterisk-ES

(in)seguridad en VoIP 

¿Son nuestras comunicaciones seguras 

Saúl Ibarra Corretgé 

Índice 

Seguridad en la PSTN 

Seguridad en VoIP 

Ataques 

Herramientas 

Contramedidas 

Conclusiones 

(in)seguridad en VoIP – voip2day 2k8 

2

¿Estamos seguros en la PSTN 

Escuchas 

Captura de tráfico 

SPAM 

... 

¿Y en la VoIP, y en Internet 

Seguridad en la PSTN 


3

Seguridad en VoIP 

Autenticación: ¿Puede un usuario 'robar' la identidad 

de otro 

Integridad: ¿El mensaje SIP recibido es igual al 

enviado 

Confidencialidad: ¿Puede alguien escuchar nuestros 

mensajes SIP 

No repudio: ¿Sabemos quién es quién 


4

¡Al ataque! 

Terminales 

PBX 

Red 


5

Ataques 


6

Ataques: Fuzzing 

Black-Box Testing 

Envío de paquetes malformados en busca de errores 

en la programación 

Desbordamientos de buffer, sobrescritura de 

memoria... 

Fallos de segmentación 


PROTOS SIP Fuzzer 

VoIPER 

SiVuS 


7

Ataques: Flooding 

Ataques de denegación de servicio (DoS) por 

inundación 

La víctima se ve saturada de paquetes inservibles y 

es incapaz de procesar peticiones válidas 

Diferentes opciones 

Flooding de mensajes SIP 

Flooding UDP 

Flooding RTP 


Inviteflood 

Udpflood 

Rtpflood 

Sipsak 

Sipp 


8

Ataques: Eavesdropping 

El ataque más temido / impactante 

A través de un Man-In-The-Middle previo, el atacante 

consigue “ver” toda la información 

Señalización 

Flujo multimedia 

Se compromete la privacidad del usuario 

Análisis de tráfico 


9

Ataques: SIP Password Cracking 

SIP utiliza HTTP Digest (RFC2617) como mecanismo 

de autenticación 

Sencillo 

Eficiente 

Inseguro 

Funcionamiento 

Se genera el texto del desafío (digest) y se le envía al 

usuario que se quiere autenticar (junto al error 407) 

El usuario lo cifra con su información (realm, usuario, 

contraseña) y lo envía 

El autenticador podrá validar las credenciales gracias al 

digest 


10

Ataques: SIP Password Cracking (2) 

Dentro de un digest: 

Realm: Identifica el dominio del cual el servidor es 

responsable 

Nonce: String generado de forma única para cada 

desafío (string arbitrario + marca de tiempo) 

Algorithm: De momento solo esta soportado MD5 -> se 

puede romper! 


SIPdump y SIPcrack 

Cain & Abel 

John The Ripper 


11

Ataques: Exploits 

Pequeños programas o scripts que se aprovechan de 

una vulnerabilidad para atacar un servicio 

Ataques DoS 

Vulnerabilidades de Asterisk -> ASA 

Asterisk 1.4.0 se cae si se llega un INVITE con el 

Content-Length en negativo 

Xlite 1103 

Al enviarle un INVITE con el Content-Length >= 

1073741823 se pone a consumir RAM y decae el 

rendimiento del sistema 

... 


12

Ataques: Errores de configuración 

Asterisk 

;allowguest=no ; Allow or reject guest calls 

(default is yes) 

Contextos adecuados al nivel de privilegios del 

usuario. 

T: Allow the calling user to transfer the call by 

hitting the blind xfer keys (features.conf) 

OpenSER/Kamailio/OpenSIPS/... 

Tenemos todo el control a muy bajo nivel 

Auntenticación de RE-INVITEs 

Comprobaciones de to tag 

... 


13

Ataques: SPIT 

Spam Over Internet Telephony 

¡Hola amigo! ¿Desea ser tan feliz como yo Pues 

ya puede serlo enviando 1 dolar a Hombre Feliz al 

742 de Evergreen Terrace , no lo dude ¡la felicidad 

eterna esta a solo un dolar! 

--Homer J. Simpson 


14

Ataques: Servicios 

Los servidores Asterisk normalmente incluyen 

muchos servicios 

DHCP 

TFTP 

E-Mail 

... 

El ataque a estos servicios puede comprometer la 

integridad del sistema 


15

Ataques: Otros 

Toll fraud 

Register hijacking 

Media and signalling mangling 

Call teardown 

... 


16



17

Herramientas básicas de flooding 

Ataque DoS por inundación 

Paquet loss 

Latencia 

Jitter 

RTPflood, INVITEflood, UDPflood 

Uso (enviamos 1.000.000 de paquetes): 

udpflood 192.168.1.3 192.168.1.251 9 5060 1000000 

inviteflood br0 200 192.168.21 192.168.1.251 1000000 

rtpflood 192.168.1.3 192.168.1.251 9 16384 1000000 

15000 2000 1886986910 


18

RTPflood, INVITEflood, UDPflood 

Consecuencias 

Interrupción del servicio 

No recuperación 

Degradación del funcionamiento 


19

Sipsak y SIPp 

Herramientas estándar para benchmarking y testing 

de SIP 

También las podemos usar para hacer flooding ;) 

Uso: 

sipsak -F -s sip:saghul@192.168.1.111 

sipp 192.168.1.111 (pulsar ++++) 


20

Ettercap 

Herramienta popular para realizar ataques MitM (Man 

In The Middle) 

Para capturar señalización / flujo multimedia 

necesitamos ponernos “en medio” 

Uso: 

Habilitamos el forwarding de paquetes IP 

echo 1 > /proc/sys/net/ipv4/ip_forward 

Nos ponemos “en medio” :) 

ettercap -o -T -P repoison_arp -M arp:remote / 

192.168.1.111/ // 

¡Ahora podemos capturar todo el tráfico! :) 


21

SIPdump y SIPcrack 

Herramientas para capturar tráfico SIP y crackear las 

contraseñas 

Alternativas 

Wireshark 

John The Ripper 

Uso: 

sipdump -i eth0 superdump.pcap 

mkfifo mififo 

john --incremental=alpha --stdout=8 > mififo 

sipcrack -w mififo superdump.pcap 

Ejemplo: Password 'saghul' crackeado ¡en 118s! 


22

VoIPER 

Potente fuzzer con muchos casos de prueba 

Testing para detectar fallos en software y hardware 

Uso: 

python fuzzer.py -f SIPInviteCommonFuzzer -i 

192.168.3.101 -p 5060 -a sessions/scen1 -c 0 

python fuzzer.py -f SIPInviteCommonFuzzer -c 2 -i 

192.168.3.101 -p 5060 -a sessions/scen2 -m 1024 

python torturer.py -i 192.168.1.2 -p 5060 -c 0 -t invalid 


23

Conjunto de herramientas de seguridad en VoIP 

Svmap (escaneador SIP) 

Svcrack (crackeador de contraseñas) 

Svwar (enumerador de extensiones) 

Uso: 

svmap.py 192.168.1.1-254 

svwar.py -e200-299 192.168.1.111 

svcrack.py -u200 dict.dat 192.168.1.111 

SIPVicious 


24

Wireshark 

Potente herramienta de análisis de redes 

Plugins para VoIP 

Análisis de tráfico 

Podemos analizar los streams RTP 

¡Si el audio es g711, podemos escucharlo! 

Ettercap + Wireshark = EAVESDROPPING 

Escuchas no autorizadas 


25

Wireshark(2) 


26

Wireshark(3) 


27

Cain & Abel 

Herramienta completa de cracking con 

funcionalidades de VoIP 

ARP Pisoning con 1 click 

¡Eavesdropping con cualquier codec! 


28

SiVuS 

Herramienta de auditoría, seguridad y generación de 

tráfico SIP 

Permite testear dispositivos SIP en busca de 

vulnerabilidades 


29

SiVuS(2) 


30

SiVuS(3) 


31

SiVuS(4) 


32

Herramientas para ataques a servicios 

DHCP 

Si se agota el rango los terminales no podrán solicitar 

una nueva IP 

Dhcpx 

dhcpx -i eth0 -vv -D 192.168.1.254 

TFTP 

TFTP no requiere autenticación 

Los terminales siempre piden los ficheros con un 

nombre concreto 

Se puede automatizar un ataque por fuerza bruta 


33

Herramientas: Asterisk 

Números de teléfono 

+ 

scripting 

+ 

callfiles 

= 

SPIT 


34

Contramedidas 


35

Evitamos el flooding (en gran medida) 

Números de secuencia 

Three way handshake 

Si se usa TCP es necesario que TODOS los 

terminales usen exclusivamente TCP. 

SIP sobre TCP/TLS 

Posibilidad de usar TLS (RFC2246) 

Cifrado de la señalización 

Mecanismo fuerte de autenticación 

¡Ojo! No es end-to-end 

Se garantiza la autenticidad, confidencialidad, 

integridad y no repudio 

A menos que sea un insider 


36

SRTP y ZRTP 

Objetivo de SRTP (RFC3711): Asegurar el tráfico 

RTP 

Cifrado 

Autenticación 

Integridad 

Mecanismo de clave maestra y claves derivadas para 

el cifrado (AES) 

Obtención de la primera clave maestra 

ZRTP 

MIKEY 


37

SRTP y ZRTP (2) 

ZRTP: Draft lanzado por Phil Zimmerman, John 

Callas y Alan Johnston en 2006 

Especifica un mecanismo de intercambio de claves 

basado en Diffie-Hellman 

La negociación se realiza a nivel de RTP (inband) 

Agnóstico a la señalización (H323, Jabber,...) 

No se necesitan claves compartidas ni estructura PKI 

(claves efímeras) 

Una vez negociadas las claves la comunicación se 

cifra mediante SRTP 


38

Túneles VPN 

Posibilidad de establecer conexiones seguras en 

medios hostiles 

Internet 

Relativamente sencillas de implementar 

Bajo coste 

Algunos terminales implementan soluciones VPN 

Snom 370 (OpenVPN) 


39

VLANs 

Nos permiten separar las redes 

Voz 

Datos 

Restricciones de acceso 

Filtrado por MAC 

Filtrado por puerto 802.x 

QoS 

... 

No imposibilitan los ataques pero lo ponen más 

difícil :) 


40

Sistemas de Detección de Intrusos (IDS) 

Sistema para detectar accesos no autorizados 

Sistema IDS/IDP 

Software Libre 

Plugins libres (Community) 

Plugins propietarios (VRT) 

Plugins para VoIP y SIP 

Comunity 


41

Personas 

Alguien que configure bien tu 

sistema ;) 


42

Conclusiones 


43

Conclusiones 

Mantener un sistema 100% seguro es complicado 

$$$ 

La gente no suele preocuparse mucho por la 

seguridad 

Preguntas en Asterisk-ES 

Las herramientas actuales (algunas) requieren 

amplios conocimientos por parte del atacante 

Es necesario disponer de acceso a recursos 

privilegiados 

La VoIP tradicional (todo sobre UDP) es INSEGURA 

PERO, sabremos solucionarlo ;) 


44

Fin 

“The power to destroy a thing is the absolute 

control over it.” 

-- Paul Atreides 


45

Referencias 

Hacking Exposed: VoIP (David Endler & Mark Collier) 

Presentación de Txipi (http://www.slideshare.net/txipi) 

http://www.voipsa.org/Resources/tools.php 

Todas las imágenes son propiedad de sus 

respectivos autores. 


46

Licencia 

Saúl Ibarra Corretgé - http://www.saghul.net 

Reconocimiento - No comercial - Compartir igual: El 

material creado por un artista puede ser distribuido, 

copiado y exhibido por terceros si se muestra en los 

créditos. No se puede obtener ningún beneficio 

comercial y las obras derivadas tienen que estar bajo 

los mismos términos de licencia que el trabajo original. 


47

(in)seguridad en VoIP - Asterisk-ES

Create successful ePaper yourself

Delete template?

Save as template?