Juan Oliva - Seguridad Preventiva y Reactiva en VoIP

Juan Oliva
Security Consultant
SILCOM
26/05/2016
Seguridad Preventiva y Reactiva
en VoIP

who I am @jroliva
Bio
 Pentester - Proyectos de Ethical Hacking
 Consultor de soluciones de VoIP, especialmente las enfocadas en seguridad
 Instructor de Elastix para los cursos Elastix Security Master y ECE
 Instructor LPI para curso LPIC-1
 Php y Python lover
 Linux user forever and ever
 Technical writer : Papper “Seguridad en Implementaciones de Voz Sobre IP”
 Twitter: @jroliva
 Blog: http://jroliva.wordpress.com/

Seguridad en nuestra
plataforma VoIP

Seguridad En Nuestra
Plataforma VoIP
 Asegurar VoIP es una tarea importante para proteger la
información de las personas que utilizan el servicio.
 Recordemos que el servicio SIP no es el único con el que
está involucrado una plataforma VoIP .. También
tenemos ... HTTP, HTTPS , SNMP, SSH , TFTP ,etc,etc.

Factores que aumentan la
Inseguridad (1)
 Poca experiencia en el manejo de la plataforma o la
tecnología.
 Mala administración del sistema.
 Centrarse solo en aspectos relativos a la configuración de la
plataforma VoIP.
 Estudio pobre en cuanto la solución a implementar.
 “Descuidos” a la hora de configurar.

Factores que aumentan la
Inseguridad (2)
 Poca o inexistente monitorización.
 No estar al día con las actualizaciones de seguridad.
 No conocer completamente por dentro el sistema.
 Entre otros…

Fuente: Communications Fraud Control Association (www.cfca.org)

•Tipos de ataques
• SIP BRUTE FORCE ATTACK, fuerza bruta contra el protocolo

•Tipos de ataques
• APLICACIÓN WEB, Fallas a nivel de código
Tipos : VULNERABILIDADES WEB (1)
23/03/2012 Ejecución de código remoto
FreePBX 2.10.0
Exploit :
http://packetstormsecurity.org/files/111130/freepbx2100-exec.txt
Tipos : VULNERABILIDADES WEB (2)
22/04/2012 Exposición de credenciales por Directorio transversal
Vtiger CRM 5.1.0
Exploit :
http://www.exploit-db.com/exploits/18770/

•Tipos de ataques
MAN IN THE MIDDLE , captura y construcción de datos/voz

•Estoy protegido!!
•Nunca van a llegar a mi IP!!

•Tipos de ataques
• SHODAN , Exposición de servicios innecesarios

Se puede realmente proteger esto ??

Seguridad Preventiva
Alcance
 Análisis de Vulnerabilidades
 Determinar el nivel de seguridad de la infraestructura
informática
 Vectores de ataque internos y externos
 Subsanar y recomendar soluciones.

Actividades
- Evaluación de Aplicaciones Web
- Evaluación de Aplicaciones Móviles
- Pruebas de Intrusión contra protocolos y servicios
- Revisión de Código Fuente de Aplicaciones
- Ingeniería Social
- Intrusión Física
- Seguridad en dispositivos ATM/POS

Metodologías
- Open Source Security Testing Methodology Manual (OSSTMM)
- Open Web Application Security Project (OWASP)
- Common Vulnerability Score System CVSS

Demos
- SIP BRUTE FORCE ATTACK
Fuerza bruta contra el protocolo
- APLICACIÓN WEB
Fallas a nivel de código

Seguridad Reactiva
Alcance
 Análisis de incidentes ocurridos
 Causas desencadenantes
 Medidas de corrección y adecuación


Seguridad Reactiva
Actividades
 Gestión de Incidentes de Seguridad.
 Determinación de los niveles de seguridad de la
infraestructura.
 Identificación las brechas y ejecutamos protocolos de
recuperación y aseguramiento de la seguridad.
 Análisis forense de incidentes de seguridad.

Seguridad Reactiva
Monitor de archivos modificados para Elastix
1.- Instalar servicio
#yum install incron
#service incrond start


Seguridad Reactiva
2.- Configurar servicio
#vim /etc/incron.d/monitor_archivos_elastix
# contenido del archivo /etc/incron.d/monitor_elastix
# <directorio> <cambio a monitorear> <comando que se debe ejecutar>
<parámetros del comando>
/etc/asterisk IN_MODIFY /root/incrond/incrond_email.sh $@ $# $%
Lo que hace el archivo lo siguiente :
/etc/asterisk : Carpeta a monitorear
IN_MODIFY : Evento que deseamos monitorear en este caso modificación.
/root/incrond/incrond_email.sh : Script al cual vamos a enviar los parámetros que se
disparan al activarse el evento
$@ : path del fichero o directorio.
$# : Nombre del fichero o directorio, sin el path.
$% : nombre del evento que se disparó


Seguridad Reactiva
3.- Preparar programa de alertas
3.1.- Crear la carpeta y los archivos
#mkdir /root/incrond
#touch /root/incrond/incrond_email.sh
3.2.- Crear el script incrond_email.sh
#vim /root/incrond/incrond_email.sh
#!/bin/bash
/bin/echo “ALERTA DE MONITOR DE ARCHIVOS / Se ha producido cambios en los
archivos del servidor ELASTIX , los detalles son : Ruta archivo modificado: $1
Nombre archivo modificado: $2 Evento/Accion: $3 n” >
/root/incrond/incrond_email.txt
/bin/mail -s ALERTA-MODIFICACION-ARCHIVOS-ELASTIX
jroliva@gmail.com</root/incrond/incrond_email.txt


Seguridad Reactiva
4.- Desarrollando las pruebas
Ahora vamos a crear un archivo dentro de la carpeta “/etc/asterisk” que
generará el evento.
– Creamos el archivo
#touch /etc/asterisk/prueba1.txt
- Visualizando Log
#tail -f /var/log/maillog


Seguridad Reactiva
5.- Agregando funciones horarias
#vi /root/incrond/incrond_funcionhoraria.sh
#!/bin/bash
HORA=$(date +%H)
echo $HORA
if [ $HORA > 18 ]; then
/sbin/service incrond start
else
/sbin/service incrond stop
fi


Preguntas ??
Juan Oliva
Security Consultant
SILCOM
joliva@silcom.com.pe
Hangouts :
jroliva@gmail.com
twitter : @jroliva

Juan Oliva - Seguridad Preventiva y Reactiva en VoIP

Más contenido relacionado

La actualidad más candente (17)

Destacado (18)

Similar a Juan Oliva - Seguridad Preventiva y Reactiva en VoIP (20)

Último (20)

Juan Oliva - Seguridad Preventiva y Reactiva en VoIP