• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Presentacion Hacking Asterisk
 

Presentacion Hacking Asterisk

on

  • 3,537 views

This is a technical presentation about hacking and hardening asterisk servers. ...

This is a technical presentation about hacking and hardening asterisk servers.

The information contained here should be use only for legal and ethical purposes

Desde hace un tiempo se vienen presentando ataques contra servidores de VoIP e incluso se han presentado casos de fraudes telefónicos en los cuales los atacantes han ganado acceso a extensiones SIP de los servidores y las han usado para sacar llamadas locales, larga distancia nacional y larga distancia internacional. Esta charla pretende mostrar las características de estos ataques, las herramientas utilizadas, el análisis de los mismos y las mejores prácticas para prevenir y evitarlos.

Statistics

Views

Total Views
3,537
Views on SlideShare
3,523
Embed Views
14

Actions

Likes
3
Downloads
0
Comments
0

5 Embeds 14

http://www.techgig.com 7
http://www.linkedin.com 4
http://www.docshut.com 1
http://www.slashdocs.com 1
https://www.linkedin.com 1

Accessibility

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Presentacion Hacking Asterisk Presentacion Hacking Asterisk Presentation Transcript

    • HACKING Y ASEGURAMIENTO *
      • Hacking y Aseguramiento de servidores VoIP/SIP Asterisk
    • HACKING Y ASEGURAMIENTO *
      • ADVERTENCIA:
      • La información contenida en esta presentación es para uso meramente académico y se debe aplicar para la protección de sus sistemas de VoIP.
      • El mal uso de la misma implica la violación de leyes nacionales e internacionales
      • CONTINUE BAJO SU RESPONSABILIDAD
    • HACKING Y ASEGURAMIENTO *
      • Conferencista:
      • Ing. Andrés Mauricio Mujica Zalamea
      • [email_address]
      • RHCE/RHCSA/RHCVA/DCAP
      • GERENTE SEAQ SERVICIOS CIA LTDA
      • OBJETIVOS
      • Conocer las diferentes modalidades de fraude telefónico en redes VoIP
      • Conocer los diferentes tipos de ataque y herramientas utilizadas para los mismos
      • Determinar las mejores prácticas para prevenir estos ataques
      HACKING Y ASEGURAMIENTO *
      • PLAN DE TRABAJO
      • Antecedentes del fraude telefónico
      • Tipos de Ataques
        • Negación de Servicio
        • Hijacking, Interceptación
        • Caller ID Spoofing
        • Vishing
      HACKING Y ASEGURAMIENTO *
      • PLAN DE TRABAJO
      • Protocolos afectados
        • H.323, SIP, IAX2
        • Cisco, Avaya, 3CX, Asterisk
      • Herramientas Utilizadas
        • VoIP Sniffing Tools
        • VoIP Scanning and Enumeration Tools
        • VoIP Packet Creation and Flooding Tools
        • VoIP Fuzzing Tools
        • VoIP Signaling Manipulation Tools
        • VoIP Media Manipulation Tools
      HACKING Y ASEGURAMIENTO *
      • PLAN DE TRABAJO
      • Análisis de un ataque
      • Prácticas de prevención
      • Demo Real (limitado a disponibilidad de tiempo)
      HACKING Y ASEGURAMIENTO *
      • PLAN DE TRABAJO
      • Antecedentes del fraude telefónico
      • Ejemplos de Ataques
        • Negación de Servicio
        • Hijacking, Interceptación
        • Caller ID Spoofing
        • Vishing
      HACKING Y ASEGURAMIENTO *
    • ANTECEDENTES
      • FRAUDE TELEFÓNICO
      • Llamadas gratuitas
      • Servicios adicionales
      • Ingresos por concepto de
      • llamadas
    • ANTECEDENTES
      • H/P Culture
      • Phreaking
        • Phone + Freak
        • Oído más desarrollado
        • Silbando a 2600Hz
        • '50s (4 y.o.)
      • Hacking
      Joybubbles / Joe Engressia http://www.nytimes.com/2007/08/20/us/20engressia.html
    • ANTECEDENTES
      • Phreakers famosos
      • Único Telco
          • Ma Bell
      • Blue Box
        • In-band signalling
        • Fraudes hasta los '90s
        • Resuelto con SS7
      Steve Jobs Steve Wozniack
    • ANTECEDENTES
      • FRAUDES
      • De las telco hacia el usuario
          • Cramming: cargos no deseados
          • Slamming: robo de clientes entre telcos
      • De terceros hacia el usuario
          • PBX : Recepción transfiere a un número externo
          • Wangiri: Devolver llamada perdida
    • ANTECEDENTES
      • FRAUDES
      • De terceros hacia el usuario
          • Marcadores : Desde el PC marcar a un número “premium”
    • ANTECEDENTES
      • FRAUDES
      • De terceros hacia el usuario
          • 809 Scams: Engañar al usuario para que marque un número que parece familiar pero no lo es.
          • Calling Cards
          • Telemarketing frauds
    • ANTECEDENTES
      • FRAUDES
      • El objetivo es simple
          • Llamanos, queremos cobrarte el minuto más costoso del mercado
    • ANTECEDENTES
      • PLAN DE TRABAJO
      • Antecedentes del fraude telefónico
      • Tipos de Ataques
        • Negación de Servicio
        • Hijacking, Interceptación
        • Caller ID Spoofing
        • Vishing
        • VoIP Spam
      HACKING Y ASEGURAMIENTO *
    • TIPOS DE ATAQUES
      • DoS / DDoS
      • Denegación del Servicio
          • Se inunda el servicio VoIP con peticiones falsas afectando el servicio
          • Existen botnets que generan ataques desde múltiples puntos (Denegación del servicio distribuida)
    • TIPOS DE ATAQUES
      • VoIP BOTNETs
    • TIPOS DE ATAQUES
      • VoIP BOTNETs
    • TIPOS DE ATAQUES
      • HIJACKING
      • Registration hijacking
      • Media hijacking (chuzadas!)
    • TIPOS DE ATAQUES
      • HIJACKING
    • TIPOS DE ATAQUES
      • HIJACKING
    • TIPOS DE ATAQUES
      • CALLER ID SPOOFING
      • Suplantar la identificación
          • S. 30: Truth in Caller ID
              • Act of 2009
          • SpoofCard.com
          • Paris escuchando los mensajes de Lohan
    • TIPOS DE ATAQUES
      • CALLER ID SPOOFING
      • Asterisk Start Up
        • Caller Id spoofing legal
        • Voice disguise
        • Grabación de llamadas
    • TIPOS DE ATAQUES
      • VISHING
      • No de clic sobre el enlace, mejor llamenos
          • Robar información personal (leáse tarjeta de crédito) por medio de engaños
          • SMS
          • IVR
          • email
    • TIPOS DE ATAQUES
      • VISHING
    • TIPOS DE ATAQUES
      • VISHING
    • TIPOS DE ATAQUES
      • VoIP SPAM
      • Meussi Solutions
          • Empresa de seguridad en VoIP
          • Ataque masivo en el 2009
      • PLAN DE TRABAJO
      • Protocolos afectados
        • H.323, SIP, IAX2
        • Cisco, Avaya, 3CX, Asterisk
      • Herramientas Utilizadas
        • VoIP Sniffing Tools
        • VoIP Scanning and Enumeration Tools
        • VoIP Packet Creation and Flooding Tools
        • VoIP Fuzzing Tools
        • VoIP Signaling Manipulation Tools
        • VoIP Media Manipulation Tools
      HACKING Y ASEGURAMIENTO *
    • PROTOCOLOS AFECTADOS
      • VoIP
      • Signaling
        • Session Initiation Protocol (SIP) : TCP/UDP 5060,5061
        • Session Description Protocol (SDP) : Encapsulated in SIP
        • Media Gateway Control Protocol (MGCP) : UDP 2427,2727
        • Skinny Client Control Protocol (SCCP/Skinny) : TCP 2000,2001
    • PROTOCOLOS AFECTADOS
      • VoIP
      • Signaling
        • Real-time Transfer Control Protocol (RTCP) : (S)RTP+1
      • Media
        • Real-time Transfer Protocol (RTP) : Dynamic
        • Secure Real-time Transfer Protocol (SRTP) : Dynamic
    • PROTOCOLOS AFECTADOS
      • VoIP
      • Signaling
      • Hybrid
        • Inter-Asterisk eXchange v.1 (IAX): UDP 5036 (obsolete)
        • Inter-Asterisk eXchange v.2 (IAX2) : UDP 4569
    • PROTOCOLOS AFECTADOS
      • VoIP
      • H.323
          • Primer protocolo VoIP popular
          • Actualmente en decadencia
          • Cerca de 40 implementaciones diferentes
          • Vulnerabilidades en decoder parsing (H.225 data exchange)
          • Ejecución de código con paquetes malformados
          • Requiere puertos dinámicos
    • PROTOCOLOS AFECTADOS
      • VoIP
      • H.323
          • Signaling
            • H.245 - Call Parameters - Dynamic TCP
            • H.225.0
              • Q.931 - Call Setup - TCP 1720
              • RAS - UDP 1719
            • Audio Call Control - TCP 1731
            • RTCP - RTP Control - Dynamic UDP
          • Media
            • RTP - Audio - Dynamic UDP
            • RTP - Video - Dynamic UDP
    • PROTOCOLOS AFECTADOS
      • VoIP
      • H.323
    • PROTOCOLOS AFECTADOS
      • VoIP
      • H.323
    • PROTOCOLOS AFECTADOS
      • VoIP
      • H.323
    • PROTOCOLOS AFECTADOS
      • VoIP
      • SIP
          • Protocolo flexible
          • Actualmente el más popular y usado
          • Estandarizado y abierto
          • Separa señalización de media
          • Funciona primordialmente sobre UDP
          • No se diseño pensando en seguridad
    • PROTOCOLOS AFECTADOS
      • VoIP
      • SIP
    • PROTOCOLOS AFECTADOS
      • VoIP
      • SIP
    • PROTOCOLOS AFECTADOS
      • VoIP
      • SIP
    • PROTOCOLOS AFECTADOS
      • VoIP
      • IAX2
          • Exclusivo de asterisk (disponible en algunos vendors diferentes a digium)
          • En proceso de estandarización ('09)
          • Unifica señalización y media
          • Amigable con firewall y nat
          • Funciona sobre UDP
          • También tiene problemas de seguridad
    • PROTOCOLOS AFECTADOS
      • VoIP
      • IAX2
    • PROTOCOLOS AFECTADOS
      • VoIP
      • IAX2
    • PROTOCOLOS AFECTADOS
      • Ataques especificos a estos protocolos
      • Flooding
        • SIP INVITE
        • Bogus RTP
        • TCP SYN
        • ICMP
      • Flood Amplification
        • Spoof source address
        • Spread
        • Invoke (respuesta con más datos)
    • PROTOCOLOS AFECTADOS
      • Ataques especificos a estos protocolos
      • Fuzzing
        • Malformed message
      • Signaling Manipulation
        • Malicious signalling messages
        • New signalling messages
      • Forced Call teardown
        • Inject spoof messages (call tear-down)
          • SIP: BYE
          • IAX: HANGUP
    • PROTOCOLOS AFECTADOS
      • Ataques especificos a estos protocolos
      • Registration/Call Hijacking
        • Captura información de registro
        • Suplantación de registro
        • Monitoreo de llamadas en proceso
      • Media Hijacking
        • Inserción de señales maliciosas
      • Caller-ID Spoofing
        • Call iniciada con Caller-Id falso
      • Caller-ID Name Disclosure
        • Sacarle a la PSTN el nombre registrado
    • PROTOCOLOS AFECTADOS
      • Ataques especificos a estos protocolos
      • Eavesdropping
        • Malformed call set-up signalling
        • Captura de trafico RTP
      • Directory Enumeration
        • Active: Specially crafted protocol message
        • Passive: Watch network traffic
      • Media Injection
        • Inject new media in active channel
        • Replace media en active channel
      • Covert Communication
        • Insertar datos dentro de un canal activo
      • PLAN DE TRABAJO
      • Protocolos afectados
        • H.323, SIP, IAX2
        • Cisco, Avaya, 3CX, Asterisk
      • Herramientas Utilizadas
        • VoIP Sniffing Tools
        • VoIP Scanning and Enumeration Tools
        • VoIP Packet Creation and Flooding Tools
        • VoIP Fuzzing Tools
        • VoIP Signaling Manipulation Tools
        • VoIP Media Manipulation Tools
      HACKING Y ASEGURAMIENTO *
    • HERRAMIENTAS UTILIZADAS
      • SNIFFING
      • Primordialmente utilizadas para "escuchar”
          • AuthTool: Captura de Password
          • Cain & Abel: Reconstruye RTP
          • $ CommView VoIP Analyzer: Análisis de VoIP
          • $ Etherpeek: Sniffer
    • HERRAMIENTAS UTILIZADAS
      • SNIFFING
      • Soportan varios protocolos
          • ILTY ("I'm Listening To You"): Skinny sniffer
          • NetDude : Análisis de tcpdump files
          • Oreka: Grabación de RTP audio streams
          • SIPscan: Capturar sesiones SIP
    • HERRAMIENTAS UTILIZADAS
      • SNIFFING
      • Versiones Windows, BSD y Linux
          • RtpBreak: Captura de RTP en bruto
          • SIPomatic: Escucha de SIP
          • SIPv6 Analyzer: SIP sobre Ipv6
          • UCSniff: VoIP eavesdropping y ARP spoof
    • HERRAMIENTAS UTILIZADAS
      • SNIFFING
      • Soportan varios protocolos
          • VoiPong & VoiPong ISO: Captura de RTP para SIP, H323, Skinny
          • VOMIT: Cisco Phone to wav
          • Wireshark: Network traffic analyzer
          • WIST: Captura web de SIP signalling
    • HERRAMIENTAS UTILIZADAS
      • SNIFFING
      • UCSniff
    • HERRAMIENTAS UTILIZADAS
      • SNIFFING
      • VoiPong
    • HERRAMIENTAS UTILIZADAS
      • SCANNING AND ENUMERATION
      • Utilizadas para ubicar servidores VoIP y para listar las extensiones
          • $ EnableSecurity VoIPPack for CANVAS: Scan, enumeration y ataques fuerza bruta
          • EnumIAX: Login enumerator con REGREQ
          • Iaxscan: Scanner para detectar hosts Iax2 y luego enumerar por fuerza bruta
    • HERRAMIENTAS UTILIZADAS
      • SCANNING AND ENUMERATION
      • Vectores de ataque IAX, SIP, SKINNY
          • Iwar: IAX2 protocol wardialer
          • Nessus: vulnerability scanner
          • Nmap: network port scanner
          • $ Passive Vulnerability Scanner: Análisis pasivo de red, 40 checks VoIP
    • HERRAMIENTAS UTILIZADAS
      • SCANNING AND ENUMERATION
      • La enumeración esta definida en el RFC
          • SCTPScan: Enumeración de puertos SCTP abiertos sin asociación. (SS7 over IP)
          • SIP Forum Test Framework (SFTF): Framework para que los SIP device vendor validen sus equipos
    • HERRAMIENTAS UTILIZADAS
      • SCANNING AND ENUMERATION
      • Los equipos IP están pensados para uso en LAN
          • SIP-Scan: Rápido Scanner SIP
          • SIPcrack: Hace sniff para obtener SIP logins y luego crack por fuerza bruta
          • Sipflanker: Busca dispositivos SIP con interfaz web accesible
    • HERRAMIENTAS UTILIZADAS
      • SCANNING AND ENUMERATION
      • Las herramientas no son fácilmente obtenibles
          • SIPSCAN: Enumerador que usa INVITE, REGISTER y OPTIONS
          • SiVuS: SIP Vulnerability Scanner
          • VLANping: ping con VLAN tag
    • HERRAMIENTAS UTILIZADAS
      • SCANNING AND ENUMERATION
      • SIPVicious es la más popular
          • SIPVicious Tool Suite
            • Svmap is a sip scanner
            • svwar identifies active extensions on a PBX
            • svcrack is an online password cracker for SIP PBX
          • $ VoIPAudit: Scanner de vulnerabilidades
          • SMAP: SIP stack fingerprint
    • HERRAMIENTAS UTILIZADAS
      • SCANNING AND ENUMERATION
      • SIPVicious
    • HERRAMIENTAS UTILIZADAS
      • SCANNING AND ENUMERATION
      • SIPFlanker
    • HERRAMIENTAS UTILIZADAS
      • SCANNING AND ENUMERATION
      • VoIPAudit
      • enumIAX
    • HERRAMIENTAS UTILIZADAS
      • PACKET CREATION & FLOODING
      • Usadas para DoS/DDoS
          • IAXFlooder: Flooder de paquetes IAX
          • INVITE Flooder: Envia una mareada de mensajes SIP INVITE a un telefono o proxy
          • kphone-ddos: Usando Kphone para inundar con SIP spoofing
    • HERRAMIENTAS UTILIZADAS
      • PACKET CREATION & FLOODING
      • Usadas para Capacity Testing
          • $ SiPBlast: Herramienta para pruebas de infraestructura por medio de colmado capacidad creando tráfico de llamadas CPE masivo
          • $ NSAUDITOR Flooder: Generador de tráfico SIP UDP para pruebas de stress
          • RTP Flooder: Paquetes “well formed” RTP
    • HERRAMIENTAS UTILIZADAS
      • PACKET CREATION & FLOODING
      • Usadas para explotar vulnerabilidades en el protocolo
          • Scapy: Herramienta interactiva para manipulación de paquetes.
          • Seagull: Generador de tráfico multi protocolo
          • SIPBomber: Herramienta para probar SIP en Linux
    • HERRAMIENTAS UTILIZADAS
      • PACKET CREATION & FLOODING
      • Algunas desarrolladas por HP
          • SIPNess: SIP testing tool que prueba aplicaciones SIP
          • SIPp: generador de tráfico y pruebass para SIP (muy utilizada)
          • SIPsak: SIP swiss army knife
    • HERRAMIENTAS UTILIZADAS
      • PACKET CREATION & FLOODING
      • Scapy
    • HERRAMIENTAS UTILIZADAS
      • PACKET CREATION & FLOODING
      • SIPBomber
    • HERRAMIENTAS UTILIZADAS
      • PACKET CREATION & FLOODING
      • NSAuditor
    • HERRAMIENTAS UTILIZADAS
      • PACKET CREATION & FLOODING
      • SIPp
    • HERRAMIENTAS UTILIZADAS
      • PACKET CREATION & FLOODING
      • SIPsak
    • HERRAMIENTAS UTILIZADAS
      • FUZZING TOOLS
      • Generación de paquetes malformados
          • Asteroid: Juego de métodos SIP malformados (INVITE, CANCEL, BYE)
          • Codenomicon: Versión comercial de PROTOS
          • Interstate Fuzzer: VoIP Fuzzer
    • HERRAMIENTAS UTILIZADAS
      • FUZZING TOOLS
      • Usualmente utilizados para DoS
          • IMS Fuzzing plafform: Appiance para Fuzzy SIP, H323 y MGCP
          • PROTOS: Herramienta java para generación de paquetes malformados H.323 y SIP
          • SIP-Proxy: MiM, Proxy entre el UA y el PBX
    • HERRAMIENTAS UTILIZADAS
      • FUZZING TOOLS
      • Usados en prueba de calidad y robustez
          • $ Spirent ThreatEx: Probador de robustez
          • VoIPER: Security toolkit que permite probar dispositivos VoIP
          • SFTF : Framework para ser usado por los SIP Vendors
    • HERRAMIENTAS UTILIZADAS
      • FUZZING TOOLS
      • VoIPER
    • HERRAMIENTAS UTILIZADAS
      • FUZZING TOOLS
      • FUZZER
    • HERRAMIENTAS UTILIZADAS
      • FUZZING TOOLS
      • SIP Proxy
    • HERRAMIENTAS UTILIZADAS
      • SIGNALING MANIPULATION
      • Usadas para desconectar llamadas
          • BYE Teardown: Injecta un SIP BYE message para desconectar la llamada
          • Check Sync: Envia un SIP NOTIFY haciendo reiniciar ciertos telefonos
          • H225regregjet: Desconecta llamadas H.323
    • HERRAMIENTAS UTILIZADAS
      • SIGNALING MANIPULATION
      • Usadas para modificar procesos de autenticación
          • IAXHangup: Herramienta usada para desconectar llamadas IAX, Injecta un IAX HANGUP
          • $ SiPCPE: Evalua compliance de protocolo
          • RedirectPoison: Por medio de SIP INVITE redirecciona una llamada
    • HERRAMIENTAS UTILIZADAS
      • SIGNALING MANIPULATION
      • Manipulan flujo de media, procesos de registro
          • Reg Adder: Intenta adicionar al SIP HEADER otra IP para que la llamada se redireccione a dos CPE
          • Reg Eraser: Causa un DoS por medio de un SIP REGISTER spoof message que hace creer al SIP Proxy que no hay usuario disponible
    • HERRAMIENTAS UTILIZADAS
      • SIGNALING MANIPULATION
      • Manipulan flujo de media, procesos de registro
          • Reg Hijacker: Genera un mensaje SIP REGISTER faso para que todas las llamadas entrantes se enruten al atacante
          • SIP-KILL : Sniff de SIP INVITES para tumbar la llamada
          • SIP-Proxy-Kill : Finaliza a nivel de señalización una sesión SIP en el proxy remoto antes que el endpoint originial
    • HERRAMIENTAS UTILIZADAS
      • SIGNALING MANIPULATION
      • Son de las herramientas más avanzadas disponibles
          • SIP-RedirectRTP: Manipula encabezados SDP redirigiendo el RTP a un Proxy.
          • SIPRogue : Un proxy SIP multifuncional insertado entre dos partes
          • vnak : VoIP Network Attack Toolkit
    • HERRAMIENTAS UTILIZADAS
      • SIGNALING MANIPULATION
      • Son de las herramientas más avanzadas disponibles
          • VoIPHopper: Herramienta para validación de seguridad que busca simuar un telefono con un PC para suplantarlo a nivel de VLAN
    • HERRAMIENTAS UTILIZADAS
      • SIGNALING MANIPULATION
      • VoIPHOPPER
    • HERRAMIENTAS UTILIZADAS
      • MEDIA MANIPULATION
      • Buscan alterar las comunicaciones
          • RTP InsertSound: Inserta el contenido de un .wav dentro de una conversación activa
          • RTP MixSound: Similar a la anterior
          • RTPProxy: Espera paquetes RTP y los redirecciona a donde se le indique
    • HERRAMIENTAS UTILIZADAS
      • MEDIA MANIPULATION
      • Usadas por los espias
          • SteganRTP: Herramienta estenográfica que establece un flujo de datos oculto dentro del flujo de media. Incluye chat, archivos y shell remoto
          • VO²IP: Esconde una conversación dentro de otra por medio de compresión y G.711
    • HERRAMIENTAS UTILIZADAS
      • MEDIA MANIPULATION
      • SteganRTP
    • HERRAMIENTAS UTILIZADAS
      • OTRAS HERRAMIENTAS
      • IAX.Brute: Herramienta de ataque passive por diccionario en el challenge/response IAX
      • SIP-Send-Fund: Utilidad que explota vulnerabilidades especificas
      • SIP.Tastic: Herramienta de ataque pasivo de dictionario al método SIP Digest de autenticación
      • Spitter: Herramientas para asterisk que hacen pruebas de VoIP Spam
      • VSAP: Programa de auditoria por medio de preguntas y respuesta que valida la seguridad de redes VoIP (SIP/H.323/RTP)
    • HERRAMIENTAS UTILIZADAS
      • ALGUNOS VIDEOS DE LAS HERRAMIENTAS
      • SIPgull
        • http://gull.sf.net/flvplayer.swf?file=http://gull.sf.net/doc/seagull_01.flv
      • VoIPPack
        • http://www.vimeo.com/moogaloop.swf?clip_id=2524735&server=www.vimeo.com&fullscreen=1&show_title=1&show_byline=0&show_portrait=0&color=01AAEA
      • PLAN DE TRABAJO
      • Análisis de un ataque
      • Prácticas de prevención
      • Demo Real (limitado a disponibilidad de tiempo)
      HACKING Y ASEGURAMIENTO *
    • ANALISIS DE UN ATAQUE
      • LOGS ATAQUE
      • Feb 3 22:54:31 NOTICE[28514] chan_sip.c: Registration from '&quot;613430211&quot;<sip:613430211@xxx.yyy.zzz.xxx>' failed for '86.72.2.248' - Username/auth name mismatch
      • Un total de 19511 entradas
    • ANALISIS DE UN ATAQUE
      • LOGS ATAQUE
      • Feb 3 22:54:31 NOTICE[28514] chan_sip.c: Registration from '&quot;0&quot;<sip:0@xxx.yyy.zzz.xxx>' failed for '86.72.2.248' - Username/auth name mismatch
      • Feb 3 22:54:31 NOTICE[28514] chan_sip.c: Registration from '&quot;1&quot;<sip:1@xxx.yyy.zzz.xxx>' failed for '86.72.2.248' - Username/auth name mismatch
      • Feb 3 22:54:31 NOTICE[28514] chan_sip.c: Registration from '&quot;2&quot;<sip:2@xxx.yyy.zzz.xxx>' failed for '86.72.2.248' - Username/auth name mismatch
      • Enumeración
    • ANALISIS DE UN ATAQUE
      • LOGS ATAQUE
      • Feb 3 22:56:12 NOTICE[28514] chan_sip.c: Registration from '&quot;9996&quot;<sip:9996@xxx.yyy.zzz.xxx>' failed for '86.72.2.248' - Username/auth name mismatch
      • Feb 3 22:56:12 NOTICE[28514] chan_sip.c: Registration from '&quot;9997&quot;<sip:9997@xxx.yyy.zzz.xxx>' failed for '86.72.2.248' - Username/auth name mismatch
      • Feb 3 22:56:12 NOTICE[28514] chan_sip.c: Registration from '&quot;9998&quot;<sip:9998@xxx.yyy.zzz.xxx>' failed for '86.72.2.248' - Username/auth name mismatch
      • Feb 3 22:56:12 NOTICE[28514] chan_sip.c: Registration from '&quot;9999&quot;<sip:9999@xxx.yyy.zzz.xxx>' failed for '86.72.2.248' - Username/auth name mismatch
      • Escaneo todo el rango de 0 a 9999
    • ANALISIS DE UN ATAQUE
      • LOGS ATAQUE
      • Cantidad de intentos por extensión e IP
    • ANALISIS DE UN ATAQUE
      • LOGS ATAQUE
      • EL RESULTADO !!!
    • ANALISIS DE UN ATAQUE
      • LOGS ATAQUE
      • ls -all /sbin/init.zk
      • MAS LEJOS ... ROOTKIT, OWNED
    • ANALISIS DE UN ATAQUE
      • FreePBX backdoors and default passwords that was published on April 15, 2011.
      • http://nerdvittles.com/?p=737
      • It recently came to our attention that it is possible to login to the Elastix server unembedded FreePBX Web interface (http://address/admin) with user name ‘asteriskuser’ and password ‘eLaStIx.asteriskuser.2oo7′. The user name and password are the same user name and password used by FreePBX to access the ‘asterisk’ MySQL database. They are defined in the parameters AMPDBUSER and AMPDBPASS in the /etc/amportal.conf file .
      • PLAN DE TRABAJO
      • Análisis de un ataque
      • Prácticas de prevención
      • Demo Real (limitado a disponibilidad de tiempo)
      HACKING Y ASEGURAMIENTO *
    • PRACTICAS DE PREVENCION
      • FIREWALL: Bloquear TODO por defecto y solo permitir acceso desde origenes autorizados
      • FIREWALL: Bloquear TODO por defecto y solo permitir acceso desde origenes autorizados
      • FIREWALL: Bloquear TODO por defecto y solo permitir acceso desde origenes autorizados
      • FIREWALL: Bloquear TODO por defecto y solo permitir acceso desde origenes autorizados
    • PRACTICAS DE PREVENCION
      • FIREWALL: Bloquear TODO por defecto y solo permitir acceso desde origenes autorizados
      • FIREWALL: Bloquear TODO por defecto y solo permitir acceso desde origenes autorizados
      • FIREWALL: Bloquear TODO por defecto y solo permitir acceso desde origenes autorizados
      • FIREWALL: Bloquear TODO por defecto y solo permitir acceso desde origenes autorizados
    • PRACTICAS DE PREVENCION
      • FIREWALL: Bloquear TODO por defecto y solo permitir acceso desde origenes autorizados
      • FIREWALL: Bloquear TODO por defecto y solo permitir acceso desde origenes autorizados
      • FIREWALL: Bloquear TODO por defecto y solo permitir acceso desde origenes autorizados
      • FIREWALL: Bloquear TODO por defecto y solo permitir acceso desde origenes autorizados
    • PRACTICAS DE PREVENCION
      • FIREWALL: Bloquear TODO por defecto y solo permitir acceso desde origenes autorizados
    • PRACTICAS DE PREVENCION
      • Monitoreo CDR y LOGS: Estar pendiente de comportamientos anormales
      • Cambiar password por defecto: En todos los servicios
      • NO utilizar logins númericos para las extensiones: Debe ser diferente al número de la extensión
      • NO utilizar passwords númericos: Se deben utilizar passwords alfanúmericos
    • PRACTICAS DE PREVENCION
      • Desactivar servicios no usados en PBX: DISA, Voicemail remoto, Callback
      • Desactivar servicios no utilizados en SO: Minimizar vectores de riesgo
      • Administración por VPN: El acceso a la administración DEBE ser por VPN
      • Administración local: El acceso a la administración DEBE ser local.
    • PRACTICAS DE PREVENCION
      • Lea portales especializados: Forums de Digium
      • Control de acceso para administración: Defina usuarios con niveles de acceso
      • Restringir acceso físico: y lógico también.
      • No habilite auto carga en las tarjetaas de credito: Para troncales internacionales
    • PRACTICAS DE PREVENCION
      • RESTRINGA DIAL PLAN LDI/LDN: Realmente necesitan llamar a Zimbabwe?
          • 001|1NXXXXXXXXX <- USA
          • 001|0052NXXXXXXXXX <- MEXICO
          • 0012|N.
      • ASEGURE APACHE: Que sea inaccesible sin autenticación a nivel de apache
          • mod_auth_mysql
          • mod_authz_ldap
    • PRACTICAS DE PREVENCION
      • ASEGURE SIP.CONF:
          • context=non-existant
          • alwaysauthreject=yes
          • allowguest=no
      • LIMITE CANTIDAD DE LLAMADAS SIP:
          • call-limit = 2
      • ASEGURE EL TIPO DE DEVICE SIP:
          • type= user
          • type= peer
          • type= friend
    • PRACTICAS DE PREVENCION
      • ASEGURAMIENTO AVANZADO POR IPTABLES:
          • iptables -I door 1 -p udp --dport 5060 -m string --string &quot;mysecretpass&quot; --algo bm -m recent --set --name portisnowopen
          • iptables -A INPUT -p udp --dport 5060 -m recent --rcheck --seconds 4000 --name portisnowopen -j ACCEPT
      • RESTRINGA REDES VALIDAS PARA SIP:
          • deny = 0.0.0.0/0.0.0.0
          • permit = 192.168.10.0/255.255.255.0
          • deny = 0.0.0.0/0.0.0.0
          • permit = 0.0.0.0/0.0.0.0
    • PRACTICAS DE PREVENCION
      • ASEGURE EL CONTEXTO DEFAULT:
          • [default]
          • [other-context]
      • ASEGURE EL MANAGER.CONF:
          • deny = 0.0.0.0/0.0.0.0
          • permit = 192.168.10.0/255.255.255.0
          • deny = 0.0.0.0/0.0.0.0
          • permit = 0.0.0.0/0.0.0.0
    • PRACTICAS DE PREVENCION
      • type=peer
          • peer al hacer un REGISTER recibe un CHALLENGE (no challenge on consecutive INVITEs)
      • type=user
          • user no se puede registrar y en INVITEs recibe un CHALLENGE
      • type=friend
          • friend ( peer+user ) hace que asterisk intente autenticar en INVITEs.
      • If the device was defined only as peer, asterisk would not try to authenticate - peer must register first. The INVITE would be ignored.
    • PRACTICAS DE PREVENCION
      • UTILICE FAIL2BAN/APF/BDF
        • Versión “automatizada” de
        • cat /var/log/asterisk/full | grep &quot;Wrong password&quot; | awk {'print $9,$12'} | cut -c6-9,26-45 | uniq -c
        • 1288 1234' '208.38.181.6'
        • iptables -A INPUT -s 208.38.181.6 -j DROP
        • Tenga en cuenta bug en asterisk que no reporta ip en INVITES
    • PRACTICAS DE PREVENCION
      • UTILICE FAIL2BAN
        • Solamente protege intentos de REGISTER
        • type=peer ayuda a garantizar esto
      • failregex = NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Wrong password
      • NOTICE.* .*: Registration from '.*' failed for '<HOST>' - No matching peer found
      • NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Username/auth name mismatch
      • NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Device does not match ACL
      • NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Peer is not supposed to register
      • NOTICE.* .*: Registration from '.*' failed for '<HOST>' - ACL error (permit/deny)
      • NOTICE.* <HOST> failed to authenticate as '.*'$
      • NOTICE.* .*: No registration for peer '.*' (from <HOST>)
      • NOTICE.* .*: Host <HOST> failed MD5 authentication for '.*' (.*)
      • NOTICE.* .*: Failed to authenticate user .*@<HOST>.*
    • PRACTICAS DE PREVENCION
      • UTILICE APF/BDF
        • Advanced Policy Firewall
        • /etc/apf/conf.apf
        • apf -d 202.86.128.0/24
        • Brute Force Detection
        • bfd -s
        • /ec/cron.d/bfd
      • PLAN DE TRABAJO
      • Análisis de un ataque
      • Prácticas de prevención
      • Demo Real (limitado a disponibilidad de tiempo)
      HACKING Y ASEGURAMIENTO *
    • OTRAS CONFERENCIAS 1.- Virtualización de VoIP: Del cobre hasta la nube 2.- Virtualización de Escritorios, de vuelta al mainframe. Pero mejor!!! 3.- Implementando Cloud Privados. De la propaganda a la acción. 4.- Por qué el Open Source es la alternativa ideal para el desarrollo tecnológico de Colombia y Latinoamerica
    • ALIANZAS
    • MUCHAS GRACIAS POR SU ATENCIÓN. Dirección: Carrera 15 # 79 – 37 Oficina 201A Bogotá, Colombia Teléfono: +57 – 1 655 98 00 Fax: +57 – 1 655 98 02 Internet: www.seaq.com.co Contacto: [email_address] Información de Contacto INFORMACION DE CONTACTO
      • Tome el control de la Información en su Empresa
      • http://www.seaq.com.co
      HACKING Y ASEGURAMIENTO *