Embed Size (px)
Citation preview
Juan OlivaSecurity Consultant
SILCOM26/05/2016
Seguridad Preventiva y Reactivaen VoIP
who I am @jrolivaBio
Pentester - Proyectos de Ethical Hacking Consultor de soluciones de VoIP, especialmente las enfocadas en seguridad Instructor de Elastix para los cursos Elastix Security Master y ECE Instructor LPI para curso LPIC-1 Php y Python lover Linux user forever and ever Technical writer : Papper “Seguridad en Implementaciones de Voz Sobre IP” Twitter: @jroliva Blog: http://jroliva.wordpress.com/
Seguridad en nuestra plataforma VoIP
Seguridad En Nuestra Plataforma VoIP
Asegurar VoIP es una tarea importante para proteger la información de las personas que utilizan el servicio.
Recordemos que el servicio SIP no es el único con el que está involucrado una plataforma VoIP .. También tenemos ... HTTP, HTTPS , SNMP, SSH , TFTP ,etc,etc.
Factores que aumentan la Inseguridad (1)
Poca experiencia en el manejo de la plataforma o la tecnología.
Mala administración del sistema.
Centrarse solo en aspectos relativos a la configuración de la plataforma VoIP.
Estudio pobre en cuanto la solución a implementar.
“Descuidos” a la hora de configurar.
Factores que aumentan la Inseguridad (2)
Poca o inexistente monitorización.
No estar al día con las actualizaciones de seguridad.
No conocer completamente por dentro el sistema.
Entre otros…
Que dicen las estadísticas ?
Fuente: Communications Fraud Control Association (www.cfca.org)
Fuente: Communications Fraud Control Association (www.cfca.org)
Fuente: Communications Fraud Control Association (www.cfca.org)
Los ataques mas comunes
•Tipos de ataques• SIP BRUTE FORCE ATTACK, fuerza bruta contra el protocolo
•Tipos de ataques• APLICACIÓN WEB, Fallas a nivel de código
Tipos : VULNERABILIDADES WEB (1) 23/03/2012 Ejecución de código remotoFreePBX 2.10.0Exploit :http://packetstormsecurity.org/files/111130/freepbx2100-exec.txt
Tipos : VULNERABILIDADES WEB (2) 22/04/2012 Exposición de credenciales por Directorio transversalVtiger CRM 5.1.0 Exploit :http://www.exploit-db.com/exploits/18770/
•Tipos de ataquesMAN IN THE MIDDLE , captura y construcción de datos/voz
•Estoy protegido!!•Nunca van a llegar a mi IP!!
•Tipos de ataques• SHODAN , Exposición de servicios innecesarios
•Tipos de ataques• SHODAN , Exposición de servicios innecesarios
•Tipos de ataques• SHODAN , Exposición de servicios innecesarios
•Tipos de ataques• SHODAN , Exposición de servicios innecesarios
Se puede realmente proteger esto ??
Seguridad Preventiva
Seguridad PreventivaAlcance
Análisis de Vulnerabilidades
Determinar el nivel de seguridad de la infraestructura informática
Vectores de ataque internos y externos
Subsanar y recomendar soluciones.
Seguridad PreventivaActividades
- Evaluación de Aplicaciones Web- Evaluación de Aplicaciones Móviles- Pruebas de Intrusión contra protocolos y servicios- Revisión de Código Fuente de Aplicaciones- Ingeniería Social- Intrusión Física- Seguridad en dispositivos ATM/POS
Seguridad PreventivaMetodologías
- Open Source Security Testing Methodology Manual (OSSTMM)- Open Web Application Security Project (OWASP)- Common Vulnerability Score System CVSS
Seguridad PreventivaDemos
- SIP BRUTE FORCE ATTACKFuerza bruta contra el protocolo
- APLICACIÓN WEBFallas a nivel de código
Seguridad Reactiva
Seguridad ReactivaAlcance
Análisis de incidentes ocurridos
Causas desencadenantes
Medidas de corrección y adecuación
Seguridad ReactivaActividades
Gestión de Incidentes de Seguridad. Determinación de los niveles de seguridad de la
infraestructura. Identificación las brechas y ejecutamos protocolos de
recuperación y aseguramiento de la seguridad. Análisis forense de incidentes de seguridad.
Seguridad Reactiva
Monitor de archivos modificados para Elastix
1.- Instalar servicio
#yum install incron#service incrond start
Seguridad Reactiva2.- Configurar servicio#vim /etc/incron.d/monitor_archivos_elastix
# contenido del archivo /etc/incron.d/monitor_elastix# <directorio> <cambio a monitorear> <comando que se debe ejecutar> <parámetros del comando>/etc/asterisk IN_MODIFY /root/incrond/incrond_email.sh $@ $# $%
Lo que hace el archivo lo siguiente :
/etc/asterisk : Carpeta a monitorear
IN_MODIFY : Evento que deseamos monitorear en este caso modificación.
/root/incrond/incrond_email.sh : Script al cual vamos a enviar los parámetros que se
disparan al activarse el evento
$@ : path del fichero o directorio.
$# : Nombre del fichero o directorio, sin el path.
$% : nombre del evento que se disparó
Seguridad Reactiva3.- Preparar programa de alertas3.1.- Crear la carpeta y los archivos#mkdir /root/incrond#touch /root/incrond/incrond_email.sh
3.2.- Crear el script incrond_email.sh#vim /root/incrond/incrond_email.sh#!/bin/bash/bin/echo “ALERTA DE MONITOR DE ARCHIVOS / Se ha producido cambios en los archivos del servidor ELASTIX , los detalles son : Ruta archivo modificado: $1 Nombre archivo modificado: $2 Evento/Accion: $3 \n” > /root/incrond/incrond_email.txt/bin/mail -s ALERTA-MODIFICACION-ARCHIVOS-ELASTIX [email protected]</root/incrond/incrond_email.txt
Seguridad Reactiva
4.- Desarrollando las pruebasAhora vamos a crear un archivo dentro de la carpeta “/etc/asterisk” que generará el evento.
– Creamos el archivo#touch /etc/asterisk/prueba1.txt
- Visualizando Log#tail -f /var/log/maillog
Seguridad Reactiva
5.- Agregando funciones horarias#vi /root/incrond/incrond_funcionhoraria.sh
#!/bin/bashHORA=$(date +%H)echo $HORA
if [ $HORA > 18 ]; then/sbin/service incrond startelse/sbin/service incrond stopfi
