Este documento describe el proceso de correlación de eventos de seguridad para detectar presagios de ataques a sistemas de VoIP. Explica cómo normalizar eventos de diferentes fuentes, identificar patrones a través de la correlación lógica y cruzada, y determinar las acciones a tomar cuando se detecta un posible incidente de seguridad.

1. Un Evento Aislado + Un Patrón + Una
Vulnerabilidad = Un Presagio para la VoIP
Luis Gerardo Sánchez Canaan

2. Notas de Aclaración
El contenido que forma parte de esta presentación, no representa una
buena practica para iniciarse en el mundo de la seguridad en VoIP,
este no se encuentra orientado en buena medida a:
• Introducción a la seguridad en VoIP.
• Despliegues para Seguridad Básica en VoIP.
• Desarrollo de Auditorias de Seguridad en VoIP.
Participar en esta presentación produce efectos adversos, en la etapa de iniciación…!

3. Notas de Aclaración
¿Aun no hemos logrado captar su atención?
No…! Entonces no esperes que hablemos sobre:
• Interpretación de los Aspectos de la Seguridad hacia VoIP.
• Enumeración de los Principales Vectores de Ataque en VoIP.
• Descripción de Métodos de Ataque Orientados a la VoIP.

4. Notas de Aclaración
¿Ahora si?, ¿Ya captamos su atención?
Si…! Que bien…! definitivamente no profundizaremos sobre:
• Buenas Practicas en la configuración del Plan de Marcado.
• Configuración de Equipos de Seguridad Avanzada como SBC.
• Desarrollo de Fases dentro de un Pentest de Seguridad para VoIP.

5. Una buena entrada…!
¿En que momento comienza la Paranoia?
Dependerá de las repercusiones ante un posible Incidente:
Misiones Diplomática Contact Center Operador VoIP
Escucha no Autorizada
Denegación de Servicios
Suplantación de Identidad
Denegación de Servicios
Fuerza Bruta en SIP
Denegación de Servicios
ü Exposición a la luz publica de
conversaciones confidenciales.
ü Imposibilidad de realizar
consultas gubernamentales.
ü Robo de información o
beneficios de contactos.
ü Imposibilidad de cumplir con
campañas contratadas.
ü Perdidas económicas por
trafico de llamadas anónimas.
ü Múltiples abonados sin
comunicaciones telefónicas.
Riesgos

6. Una buena máxima…!
“Adaptarse permanentemente al propósito del enemigo para
alcanzar el éxito de la guerra”
Falsos Positivos
o
Presagio
Captar Eventos
Reconocer Patrones
Identificar Vulnerabilidades
Determinando sus Conexiones

7. Una visión sobre seguridad en VoIP
IP-PBX
O.S.
Servidor Web
Base de Datos
Plan de Marcado
Servicios
Conexiones
Conmutador Enrutador
Estaciones Teléfonos Gateway
Proveedores VoIP
Extensiones en Móviles
Extensiones WebRTC
Oficinas Remotas
Firewall
SIP Firewall
SBC
IDS - IPS
Host LAN Internet – MPLS Perímetro
“Cada elemento o persona asociada al contexto operacional de una
IP-PBX influye en su seguridad y se debe considerar como un activo”
Detección

8. Una visión sobre seguridad en VoIP
“Confiamos en los diferentes métodos y mecanismos de seguridad
pero pocas veces Confirmamos su comportamiento en tiempo real”
Seguridad Básica
Mecanismos básicos
para evitar exposiciones
ante posibles ataques a
las seguridad.
Dispositivos de Seguridad
Despliegue de equipos
con funcionalidades
especializadas en
seguridad perimetral,
protocolo SIP y VoIP en
general.
Auditorias de Seguridad
Pruebas destinadas a
determinar riesgos,
vulnerabilidades y
debilidades que
pudiesen exponernos a
un incidente o ataque.
Detección
Ofensiva
Prevención

9. Una visión sobre seguridad en VoIP
“En Seguridad desde un enfoque holístico buscamos orquestar en
tiempo real toda posible fuente de información”
VULNERABILIDADES
FICHEROS
PUERTOS
TRAFICO IP REPUTACION IP
SERVICIOS
INVENTARIO
EVENTOS
CONEXIONES
DISPONIBILIDAD
REGISTROS CONFIGURACIONES
FIREWALL
SWITCHS
HIDS
IDS - IPS SIP FIREWALL
IP-PBX
SBC
ANTIVIRUS
SIP-PROXY ROUTER
GATEWAY
HARDPHONE
ESTACION DE TRABAJO
SNIFFERS
NETFLOW SOCKET
SQL
SNMP
SYSLOG
WMI
SCAN
RecolecciónActivos Información

10. Un gran reto
“Cada fuente de información o activo de nuestra red genera su
bitácora de eventos o reporta bajo un esquema propio”
Authentification Failed for user root
from 200.43.24.01 01.04.2016
10:00:00
DROP 192.168.10.10 200.192.20.45
Ene 04 2016 10:00:00
[oct 3 09:17:44] … Registration from
‘”400” <sip:400@200.43.24.02’ failed
for ‘216.254.220.166:5060’ - Wrong
password
Proxy Reverso
Debian - Sshd
Firewall Perimetral
FreeBSD - Iptables
IP-PBX
CentOS - Asterisk

11. Ante un gran reto, una gran solución…!
“Traducir cada uno de los eventos recolectados a un formato único y
apoyados con el uso de expresiones regulares”
[oct 3 09:17:44] … Registration from ‘”400”
<sip:400@200.43.24.02’ failed for
‘216.254.220.166:5346’ - Wrong password
Normalización
Log
Asterisk
plugin_id=4303 plugin_sid=3 peer=400
date”1295472603” src_ip=216.254.220.166
dst_ip=200.43.24.02
Evento
Normalizado
Fuente de Información: “Log de Asterisk”
Evento: “Registro SIP Fallido por Password Incorrecto” SIP peer: “400”
Fecha:”10-03-2019 09:17:44” IP Origen: 216.254.220 IP Destino: 200.43.23.02
Información
del evento
syslog

12. No todo es importante, pero…
“Dos aspectos a tomar en cuenta a la hora de normalizar eventos es
el filtrado y clasificación en base al tipo de incidencia”
[oct 3 09:17:44] … Registration from ‘”400” <sip:
400@200.43.24.02’ failed for ‘216.254.220.166:5346’ -
Wrong password
[oct 3 09:18:25] … Call from ‘ ‘ (77.247.110.182:53210)
to extensión ‘0034645012345’ rejected because
extension not found in context ‘public’
[oct 3 09:21:24] … Retransmission timeout reached on
transmission 1012346537-1123948366-100293648547
for segno 1 (Critical Response)
plugin_id=4303 plugin_sid=3 peer=400
date”1295472603” src_ip=216.254.220.166
dst_ip=200.43.24.02
plugin_id=4303 plugin_sid=5 peer=
date”1295472603” src_ip=216.254.220.166
dst_ip=200.43.24.02
No se hace Normalización por
Reglas de Filtrado
Incidente de Seguridad
Contraseña Incorrecta
Incidente de Seguridad
Llamada SIP Anónima
Clasificación de evento
No Incidente de Seguridad

13. Un incidente o un Ataque
“Un Presagio no siempre viene de las palabras de un profeta, en
nuestro caso es una consecuencia del detectar patrones”
Inventario Vulnerabilidades
Identificar nuevas extensiones,
la agregación de aplicaciones o
cambios de configuración es
muy importante.
En ocasiones es imposible
actualizar versiones de
aplicaciones con
vulnerabilidades conocidas…
Detectar Amenazas
Los ataques conocidos
presentan patrones o conductas
muy bien definidas e incluso
documentadas, esto ayuda.
Monitoreo
Las métricas de conducta de
nuestra plataforma y mantener
un seguimiento ante cualquier
desviación, también ayuda.
Inteligencia
La reputación de sitios y
direcciones IP nos facilitan
conocer las intenciones de los
responsables de las peticiones
Visibilidad Completa de la Seguridad

14. Llegamos a la Correlación de Eventos
“Parte del definir las condiciones que puedan determinar cuando
existe en realidad un riesgo de seguridad, considerando la
recurrencia o relación de los eventos agregados”
SSH
Successfull Auth
Event from
216.254.220.166 to
200.43.24.02
SSH
Auth Failed
Event from
216.254.220.166 to
200.43.24.02
¿ Comprometidos? ¿ Ataque de
Fuerza Bruta?
SSH
Auth Failed
Event from
216.254.220.166 to
200.43.24.02
SSH
Auth Failed
Event from
216.254.220.166 to
200.43.24.02
. . .
Recurrencias: 1 2 3 1
Lapsos: 2 Horas 2 Horas

15. Cuando la lógica no es suficiente
“La efectividad de la correlación lógica es relativamente efectiva
ante algunos atacantes excepcionales, en este punto aparece la
opción de la correlación cruzada ”
¿ Comprometidos?
SSH
Successfull Auth
Event from
216.254.220.166 to
200.43.24.02
SSH
Auth Failed
Event from
216.254.220.166 to
200.43.24.02
Recurrencias: 1 1
Lapsos: 24 Horas
HIDS
Cambios en el archivo sip.conf y extensions.conf de Asterisk
SNMP
Uso de todos los canales salientes con DID China

16. Correlación entre conducta e inteligencia
“Mediante la correlación cruzada es posible evaluar los eventos
provenientes de múltiples fuentes de información y diferentes
activos de la red ”
¿ Comprometidos?
SYSLOG
[oct 3 09:18:25] … Call from ‘ ‘ (77.247.110.182:53210)
to extensión ‘0034645012345’ rejected because
extension not found in context ‘public’
Recurrencias: 1 1
Lapsos: 24 Horas
INTELIGENCIA
La IP 77.247.110.182 se encuentra reportada o en listas negras
SNMP
Uso de recursos de Hardware supera los limites operacionales

17. Correlación basada en vulnerabilidades
“Mediante la correlación cruzada es posible evaluar los eventos
provenientes de detección de vulnerabilidades, un IDS y un HIDS
¿ Comprometidos?
Recurrencias: 1 1
Lapsos: 24 Horas
INTEGRIDAD
Cambios sin autorización en la Base de Datos
IDS
Escaneo de Puertos Detectado
VULNERABILIDAD
A2BILLING SQL Injection
INTEGRIDAD
Nuevo Contexto en Asterisk

18. Correlación = Presagios…!
“Es momento de nombras las acciones a tomar luego de la
detección de un ataque”
Recolección Procesamiento Acciones
WMI
Filtrado
Alertas
FTP
Syslog
SQL
SNMP
Reportes
Clasificación
Normalización
Almacenamiento
Instrucciones
Correlación
Enviar correo al Administrador de
la PBX
Desabilitar puerto ethernet en el
Conmutador
Envio de comando al firewall para
bloquear la IP Origen
Abrir un ticket al Help Desk
Instrucciones

19. Abstracción de la Información
Riesgo
Eventos de Seguridad
Incidentes
Logs
Alto Nivel
(Métricas)
Medio Nivel
(Decenas de Incidentes)
Bajo Nivel
(Millones de Evento)

20. Herramientas y Apps
NMS
Log Manager
SIEM
UBA

21. MUCHAS GRACIAS…!
Luis Gerardo Sanchez Canaan
lgsanchez@tamgoit.com
@sr_redesip