Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Smau 2010 Milano: Seminario AIPSI Sicurezza del VoIP

547 views

Published on

Esempi di vulnerabilità di una implementazione VoIP non accorta, strumenti per mitigare i rischi e strumenti per l'analisi

Published in: Technology
  • Be the first to comment

Smau 2010 Milano: Seminario AIPSI Sicurezza del VoIP

  1. 1. Alessio L.R. Pennasilico mayhem@aipsi.org twitter: mayhemspp FaceBook: alessio.pennasilico Antonio Dr. Ing. Mauro, a.mauro@aipsi.org Comitato Tenico Scientifico GCIH, CCSP, Network+, LoCSI VoIP: è davvero sicuro? Friday, 22 October, 2010
  2. 2. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org Antonio Mauro • Antonio Mauro è un Ingegnere Informatico - Doctor of Science in Computer Engineering • Ph. D. Information Technology – Electronic Communications and Cybercrime Security Governance - Particular case: Military Defense and Public Safety and Security • Docente al Master in Computer Forensics ed Investigazioni Digitali – Univeristà degli Studi di Milano • Consulente Tecnico Ufficio pesso il Tribunale di Roma e Perito di Parte • GCIH, CCSP, INFOSEC Professional certificate (NSA), Network+, CCVP, LoCSI • ANC - Associazione Nazionale Carabinieri • AFCEA - Associazione delle Comunicazioni e dell'Elettronica per le Forze Armate • IACP – International Association of Chief of Police • ICAA – International Crime Analysis Association - Ricercatore e Docente • CLUSIT - Associazione Italiana per la Sicurezza Informatica • AIPSI – Associazione Italiana Professionisti Sicurezza Informatica – Comitato Tecnico Scientifico • AISF – Accademia Internazionale Scienze Forensi - Ricercatore in ambito Digital Forensics e docente • AICA – Associazione Italiana per l’Informatica ed il Calcolo Automatico • MANUALE DI INVESTIGAZIONE CRIMINALE - Nuovo Studio Tecna edizioni, Roma, 2008 • CIBERSPAZIO E DIRITTO – Mucchi editore – 2010 – Capitolo sul VoIP Security • Docente di informatica presso l’Istituto per Sovrintendenti e di Perfezionamento per Ispettori • Docente in Digital e Network Forensics / Investigation 2 Friday, 22 October, 2010
  3. 3. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org $ whois mayhem Board of Directors: CLUSIT, Associazione Informatici Professionisti, Associazione Italiana Professionisti Sicurezza Informatica, Italian Linux Society, OpenBSD Italian User Group, Hacker’s Profiling Project 3 Security Evangelist @ Friday, 22 October, 2010
  4. 4. Il giuoco delle parti... Friday, 22 October, 2010
  5. 5. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org 5 Friday, 22 October, 2010
  6. 6. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org Accendo il telefono I telefoni IP, per funzionare, possono eseguire diverse azioni preliminari, vulnerabili a diversi attacchi: ✓ottengono l'indirizzo IP da un server DHCP ✓ottengono dal DHCP l'indirizzo di un TFTP server ➡ io sono il server DHCP, ti indirizzo al mio TFTP ✓scaricano il firmware dal TFTP server ➡ io sono il TFTP e ti do il mio firmware/configurazione ✓scaricano la configurazione dal TFTP server ➡ io leggo la configurazione dal server TFTP ✓si autenticano sul server VoIP ➡ sniffo, o mi fingo il PBX e forzo auth plain text 6 Friday, 22 October, 2010
  7. 7. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org Man in the middle Tutti i protocolli/servizi utilizzati sono particolarmente vulnerabili ad una serie di attacchi MITM, essendo tutti protocolli che si basano su broadcast e su UDP non autenticato. 7 Friday, 22 October, 2010
  8. 8. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org Attacco al DHCP Posso impersonare il server DHCP, ma devo fornire parametri di rete compatibili con la topologia per poter interagire con il device. Tra i parametri che invio vi è l’option 150, che specifica l’IP del server TFTP dal quale scaricare firmware e configurazione. 8 Friday, 22 October, 2010
  9. 9. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org Il server TFTP Poter reindirizzare i telefoni su un server TFTP gestito dall’attaccante permette di danneggiare irreparabilmente il telefono, installare una backdoor o configurarlo a suo piacimento. 9 Friday, 22 October, 2010
  10. 10. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org TFTP spoofing Nel caso non si riesca ad impersonare il server DHCP è sempre possibile tentare di impersonare il server TFTP, con tutte le conseguenze elencate precedentemente. 10 Friday, 22 October, 2010
  11. 11. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org Attacco al server TFTP La configurazione dei telefoni viene spesso conservata sul server in formato XML. Conoscendo i nomi dei file è possibile, in alcuni casi, spacciarsi per il telefono e richiedere la propria configurazione, che comprende username e password. 11 Friday, 22 October, 2010
  12. 12. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org Autenticazione del telefono Molto spesso l’autenticazione verso il server VoIP avviene in chiaro. Basterà quindi utilizzare uno dei diversi strumenti in grado di identificare le credenziali all’interno di un flusso di traffico, dopo esserci messi in grado di “sniffare” le connessioni. 12 Friday, 22 October, 2010
  13. 13. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org Impersonare il VoIP PBX E’ possibile tentare di impersonare il server VoIP, per ricevere eventuali tentativi di autenticazione dei telefoni, forzando l’autenticazione in chiaro, al fine di avere le credenziali di accesso di tutti i telefoni dell’infrastruttura. 13 Friday, 22 October, 2010
  14. 14. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org Il telefono in funzione Nel caso in cui nessuno degli attacchi sopra citati possa essere portato a termine, è sempre possibile lavorare sulle operazioni di gestione delle chiamate. 14 Friday, 22 October, 2010
  15. 15. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org Chiamiamoci! Completato lo startup il telefono conversa con il server in merito al proprio stato ed allo stato delle chiamate (signaling). Quando si effettua una chiamata tra due telefoni, conclusa la fase iniziale di signaling, si instaura un flusso RTP tra gli end-point o tra ogni SIP-UA ed il proprio server VoIP. 15 Friday, 22 October, 2010
  16. 16. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org Traffico in chiaro Il traffico di signaling e di RTP è spesso in chiaro. Questo consente di catturare ed analizzare tutti i dati che transitano all’interno di quei flussi dati. 16 Friday, 22 October, 2010
  17. 17. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org RTP Il flusso RTP può essere tra ogni telefono ed il proprio server VoIP o direttamente tra i due telefoni una volta che il call-setup è stato completato. Questo è da tenere presente quando si disegna la rete, per garantire performance adeguate. 17 Friday, 22 October, 2010
  18. 18. Testare l’infrastruttura Friday, 22 October, 2010
  19. 19. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org Ettercap #1 http://ettercap.sourceforge.net/ La suite per gli attacchi Man in the Middle. Multipiattaforma, da usare in console o in un windows manager, Ettercap permette di lanciare tutti quegli attacchi a Layer 2 che permettono di capire quanto la nostra rete switchata sia vulnerabile se non adeguatamente protetta. Keywords: arp spoofing, arp poisoning, hijacking, sniffing, decoding, dns spoofing, dos, flood. 19 Friday, 22 October, 2010
  20. 20. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org Ettercap #2 20 Friday, 22 October, 2010
  21. 21. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org Wireshark #1 http://www.wireshark.org/ Sniffer multipiattaforma, corredato di molti decoder, che lo mettono in grado di interpretare il traffico intercettato. Wireshark può interpretare tanto i flussi di signaling, quanto quelli RTP, ed estrarne tutte le informazioni necessarie per una successiva analisi. 21 Friday, 22 October, 2010
  22. 22. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org Wireshark #2 22 Friday, 22 October, 2010
  23. 23. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org Vomit http://vomit.xtdnet.nl/ Voice Over Misconfigured Internet Telephones, a partire dal file di dump creato da uno sniffer, in formato tcpdump, vomit crea un file audio contenente la conversazioneVoIP transitata sulla rete monitorata. Supporta il protocollo MGCP con codec G.711 e funziona solo con Linux. ./vomit -r elisa.dump | waveplay -S 8000 -B 16 -C 1 23 Friday, 22 October, 2010
  24. 24. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org Oreka http://oreka.sourceforge.net/ Distribuito per Windows e Linux, supporta i protocolli di Cisco CallMananager, Lucent APX8000, Avaya, S8500, Siemens HiPath, VocalData, Sylantro, Asterisk SIP channel. Intercetta e registra le conversazioni basate su flussi RTP. Semplice, intuitivo, via web e con supporto per MySQL. 24 Friday, 22 October, 2010
  25. 25. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org SipSak #1 http://sipsak.org/ Si tratta del coltellino svizzero del VoIPAdmin. Permette di interagire con qualsiasi device SIP inviando traffico creato ad hoc per interagire con il server e verificare il suo comportamento in situazioni create da noi. 25 Friday, 22 October, 2010
  26. 26. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org SipSak #2 26 Friday, 22 October, 2010
  27. 27. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org Ohrwurm http://mazzoo.de/blog/2006/08/25#ohrwurm Il “verme delle orecchie” è un RTP fuzzer. Il suo scopo è testare l'implementazione del protocollo SIP del device verificato, inviando una enorme quantità di richieste con diverse combinazioni di parametri, più o meno sensati, allo scopo di individuare eventuali comportamenti anomali. Le anomalie riscontrate spesso si rivelano essere bug di implementazione. 27 Friday, 22 October, 2010
  28. 28. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org Smap http://www.wormulon.net/index.php?/archives/1125-smap-released.html Unendo nmap e SipSak otteniamo uno strumento in grado di rilevare i device SIP, dedurre di che marca e modello di device si tratta dal fingerprint e creare una mappa della rete analizzata. E' inoltre possibile interagire direttamente con il device, fingendosi un apparato SIP, per ottenere maggiori informazioni. 28 Friday, 22 October, 2010
  29. 29. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org SiVus http://www.vopsecurity.org/html/tools.html Si tratta di un SIP security scanner: verifica le caratteristiche del target dello scan rispetto ad un database di vulnerabilità conosciute. 29 Friday, 22 October, 2010
  30. 30. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org SIPVicious http://sipvicious.org/blog/ Suite che comprende uno scanner, un enumeratore ed un password cracker. Multipiattaforma, anche per MacOSX. 30 Friday, 22 October, 2010
  31. 31. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org Cain & Abel http://www.oxid.it/ 31 Friday, 22 October, 2010
  32. 32. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org Altri strumenti Packet Gen & Packet Scan Shoot Sipness Sipshare Sip scenario Siptest harness Sipv6analyzer Winsip Call Generator Sipsim Mediapro Netdude SipBomber RTP Flooder Invite flooder RTP injector Sipscan reg. hijacker eraser/adder Fuzzy Packet Iax Flooder Cain & Abel SipKill SFTF VoIPong SipP 32 Friday, 22 October, 2010
  33. 33. Conclusioni Friday, 22 October, 2010
  34. 34. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org Posso dormire tranquillo? Se qualcuno controlla… gestisce… verifica... Io posso dormire sonni tranquilli Friday, 22 October, 2010
  35. 35. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org Posso dormire tranquillo? 35 Hey, non distrarti! Friday, 22 October, 2010
  36. 36. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org Conclusioni Il VoIP può essere più sicuro della telefonia tradizionale. Questo tuttavia si ottiene attraverso una corretta progettazione, implementazione e verifica, seguendo alcune best practice, sia dal punto di vista tecnico che dal punto di vista della formazione. 36 Friday, 22 October, 2010
  37. 37. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org INFRASTRUTTURA  VLAN segmentation  Layer 2 protection  Firewall  Intrusion detection  QoS and thresholds  Secure VPN  Wireless security END POINT  Digital certificates  Authenticated phones  GARP protection  TLS protected signaling  SRTP media encryption  Centralized management CALL MANAGEMENT  Hardened Windows OS  Digital certificates  Signed software images  TLS signaling APPLICAZIONI ED INTEGRAZIONI  Multi-level administration  Toll fraud protection  Secure management  Hardened platforms  h.323 and SIP signaling Consigli pratici? 37 ALCUNI TIPI DI ATTACCO ➡ MAC Address spoofing ➡ DHCP Starvation ➡ Denial of service ➡ Autenticazione ➡ Privacy ➡ Impersonation ➡ Chiamate fraudolente Friday, 22 October, 2010
  38. 38. Alessio L.R. Pennasilico mayhem@aipsi.org twitter: mayhemspp FaceBook: alessio.pennasilico Antonio Dr. Ing. Mauro, a.mauro@aipsi.org Comitato Tenico Scientifico GCIH, CCSP, Network+, LoCSI Domande? These slides are written by Alessio L.R. Pennasilico aka mayhem. They are subjected to Creative Commons Attribution- ShareAlike 2.5 version; you can copy, modify or sell them. “Please” cite your source and use the same licence :) Grazie per l’attenzione! Friday, 22 October, 2010

×