Smau 2010 Milano: Seminario AIPSI Sicurezza del VoIP

Alessio L.R. Pennasilicomayhem@aipsi.orgtwitter: mayhemsppFaceBook: alessio.pennasilico

Antonio Dr. Ing. Mauro, a.mauro@aipsi.orgComitato Tenico ScientificoGCIH, CCSP, Network+, LoCSI

VoIP: è davvero sicuro?

Friday, 22 October, 2010

VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org

Antonio Mauro• Antonio Mauro è un Ingegnere Informatico - Doctor of Science in Computer Engineering

• Ph. D. Information Technology – Electronic Communications and Cybercrime Security Governance - Particular case: Military Defense and Public Safety and Security

• Docente al Master in Computer Forensics ed Investigazioni Digitali – Univeristà degli Studi di Milano

• Consulente Tecnico Ufficio pesso il Tribunale di Roma e Perito di Parte

• GCIH, CCSP, INFOSEC Professional certificate (NSA), Network+, CCVP, LoCSI

• ANC - Associazione Nazionale Carabinieri

• AFCEA - Associazione delle Comunicazioni e dell'Elettronica per le Forze Armate

• IACP – International Association of Chief of Police

• ICAA – International Crime Analysis Association - Ricercatore e Docente

• CLUSIT - Associazione Italiana per la Sicurezza Informatica

• AIPSI – Associazione Italiana Professionisti Sicurezza Informatica – Comitato Tecnico Scientifico

• AISF – Accademia Internazionale Scienze Forensi - Ricercatore in ambito Digital Forensics e docente

• AICA – Associazione Italiana per l’Informatica ed il Calcolo Automatico

• MANUALE DI INVESTIGAZIONE CRIMINALE - Nuovo Studio Tecna edizioni, Roma, 2008

• CIBERSPAZIO E DIRITTO – Mucchi editore – 2010 – Capitolo sul VoIP Security

• Docente di informatica presso l’Istituto per Sovrintendenti e di Perfezionamento per Ispettori

• Docente in Digital e Network Forensics / Investigation

$ whois mayhem

Board of Directors:CLUSIT, Associazione Informatici Professionisti,

Associazione Italiana Professionisti Sicurezza Informatica, Italian Linux Society, OpenBSD Italian User Group,

Hacker’s Profiling Project

Security Evangelist @

Il giuoco delle parti...

VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org 5

Accendo il telefonoI telefoni IP, per funzionare, possono eseguire diverse azioni preliminari, vulnerabili a diversi attacchi:

✓ottengono l'indirizzo IP da un server DHCP✓ottengono dal DHCP l'indirizzo di un TFTP server

➡ io sono il server DHCP, ti indirizzo al mio TFTP✓scaricano il firmware dal TFTP server

➡ io sono il TFTP e ti do il mio firmware/configurazione✓scaricano la configurazione dal TFTP server

➡ io leggo la configurazione dal server TFTP✓si autenticano sul server VoIP

➡ sniffo, o mi fingo il PBX e forzo auth plain text6

Man in the middle

Tutti i protocolli/servizi utilizzati sono particolarmente vulnerabili ad una serie di attacchi MITM, essendo tutti protocolli che

si basano su broadcast e su UDP non autenticato.

Attacco al DHCP

Posso impersonare il server DHCP, ma devo fornire parametri di rete compatibili con la topologia per poter interagire con il device.Tra i parametri che invio vi è l’option 150,

che specifica l’IP del server TFTP dal quale scaricare firmware e configurazione.

Il server TFTP

Poter reindirizzare i telefoni su un server TFTP gestito dall’attaccante permette di danneggiare irreparabilmente il telefono, installare una backdoor o configurarlo a

suo piacimento.

TFTP spoofing

Nel caso non si riesca ad impersonare il server DHCP è sempre possibile tentare di

impersonare il server TFTP, con tutte le conseguenze elencate precedentemente.

Attacco al server TFTP

La configurazione dei telefoni viene spesso conservata sul server in formato XML.

Conoscendo i nomi dei file è possibile, in alcuni casi, spacciarsi per il telefono e

richiedere la propria configurazione, che comprende username e password.

Autenticazione del telefono

Molto spesso l’autenticazione verso il server VoIP avviene in chiaro.

Basterà quindi utilizzare uno dei diversi strumenti in grado di identificare le credenziali all’interno di un flusso di

traffico, dopo esserci messi in grado di “sniffare” le connessioni.

Impersonare il VoIP PBX

E’ possibile tentare di impersonare il server VoIP, per ricevere eventuali tentativi di autenticazione dei telefoni, forzando

l’autenticazione in chiaro, al fine di avere le credenziali di accesso di tutti i telefoni

dell’infrastruttura.

Il telefono in funzione

Nel caso in cui nessuno degli attacchi sopra citati possa essere portato a termine, è

sempre possibile lavorare sulle operazioni di gestione delle chiamate.

Chiamiamoci!

Completato lo startup il telefono conversa con il server in merito al proprio stato ed

allo stato delle chiamate (signaling).

Quando si effettua una chiamata tra due telefoni, conclusa la fase iniziale di

signaling, si instaura un flusso RTP tra gli end-point o tra ogni SIP-UA ed il proprio

server VoIP.

Traffico in chiaro

Il traffico di signaling e di RTP è spesso in chiaro. Questo consente di catturare ed

analizzare tutti i dati che transitano all’interno di quei flussi dati.

Il flusso RTP può essere tra ogni telefono ed il proprio server VoIP o direttamente tra i due telefoni una volta che il call-setup è

stato completato.Questo è da tenere presente quando si disegna la rete, per garantire performance

adeguate.

Testare l’infrastruttura

Ettercap #1

http://ettercap.sourceforge.net/

La suite per gli attacchi Man in the Middle. Multipiattaforma, da usare in console o in un windows manager, Ettercap permette di lanciare tutti quegli attacchi a Layer 2 che permettono di capire quanto la nostra rete switchata sia vulnerabile se non adeguatamente protetta.

Keywords: arp spoofing, arp poisoning, hi jacking, sniff ing, decoding, dns spoofing, dos, flood.

Ettercap #2

Wireshark #1

http://www.wireshark.org/

Sniffer multipiattaforma, corredato di molti decoder, che lo mettono in grado di interpretare il traffico intercettato.Wireshark può interpretare tanto i flussi di signaling, quanto quelli RTP, ed estrarne tutte le informazioni necessarie per una successiva analisi.

Wireshark #2

http://vomit.xtdnet.nl/

Voice Over Misconfigured Internet Telephones, a partire dal file di dump creato da uno sniffer, in formato tcpdump,

vomit crea un file audio contenente la conversazione VoIP transitata sulla rete monitorata. Supporta il protocollo

MGCP con codec G.711 e funziona solo con Linux.

./vomit -r elisa.dump | waveplay -S 8000 -B 16 -C 1

http://oreka.sourceforge.net/

Distribuito per Windows e Linux, supporta i protocolli di Cisco CallMananager, Lucent APX8000, Avaya, S8500, Siemens HiPath, VocalData, Sylantro, Asterisk SIP channel.Intercetta e registra le conversazioni basate su flussi RTP. Semplice, intuitivo, via web e con supporto per MySQL.

SipSak #1

http://sipsak.org/Si tratta del coltellino svizzero del

VoIPAdmin. Permette di interagire con qualsiasi device SIP inviando traffico

creato ad hoc per interagire con il server e verificare il suo comportamento in

situazioni create da noi.

SipSak #2

Ohrwurm

http://mazzoo.de/blog/2006/08/25#ohrwurm

Il “verme delle orecchie” è un RTP fuzzer. Il suo scopo è testare l'implementazione del protocollo SIP del device verificato, inviando una enorme quantità di richieste con diverse combinazioni di parametri, più o meno sensati, allo scopo di individuare eventuali comportamenti anomali.Le anomalie riscontrate spesso si rivelano essere bug di implementazione.

http://www.wormulon.net/index.php?/archives/1125-smap-released.html

Unendo nmap e SipSak otteniamo uno strumento in grado di rilevare i device SIP, dedurre di che marca e modello di device si tratta dal fingerprint e creare una mappa della rete analizzata. E' inoltre possibile interagire direttamente con il device, fingendosi un apparato SIP, per ottenere maggiori informazioni.

http://www.vopsecurity.org/html/tools.html

Si tratta di un SIP security scanner: verifica le caratteristiche del target dello scan rispetto ad un database di vulnerabilità conosciute.

SIPVicious

http://sipvicious.org/blog/

Suite che comprende uno scanner, un enumeratore ed un password cracker. Multipiattaforma, anche per MacOSX.

Cain & Abel

http://www.oxid.it/

Altri strumenti

Packet Gen & Packet ScanShootSipnessSipshareSip scenarioSiptest harnessSipv6analyzerWinsip Call GeneratorSipsimMediaproNetdudeSipBomber

RTP FlooderInvite flooderRTP injectorSipscanreg. hijacker eraser/adderFuzzy PacketIax FlooderCain & AbelSipKillSFTFVoIPongSipP

Conclusioni

Posso dormire tranquillo?

Se qualcuno controlla… gestisce… verifica...

Io posso dormire sonni tranquilli

Posso dormire tranquillo?

Hey, non distrarti!

Conclusioni

Il VoIP può essere più sicuro della telefonia tradizionale. Questo tuttavia si ottiene attraverso una corretta progettazione, implementazione e verifica, seguendo

alcune best practice, sia dal punto di vista tecnico che dal punto di vista della

formazione.

INFRASTRUTTURA VLAN segmentation Layer 2 protection Firewall Intrusion detection QoS and thresholds Secure VPN Wireless security

END POINT Digital certificates Authenticated phones GARP protection TLS protected signaling SRTP media encryption Centralized management

CALL MANAGEMENT

Hardened Windows OS

Digital certificates

Signed software images

TLS signaling

APPLICAZIONI ED INTEGRAZIONI

Multi-level administration

Toll fraud protection

Secure management

Hardened platforms

h.323 and SIP signaling

Consigli pratici?

ALCUNI TIPI DI ATTACCO ➡ MAC Address spoofing➡ DHCP Starvation➡ Denial of service➡ Autenticazione➡ Privacy➡ Impersonation➡ Chiamate fraudolente

Alessio L.R. Pennasilicomayhem@aipsi.orgtwitter: mayhemsppFaceBook: alessio.pennasilico

Antonio Dr. Ing. Mauro, a.mauro@aipsi.orgComitato Tenico ScientificoGCIH, CCSP, Network+, LoCSI

Domande?

These slides are written by Alessio L.R. Pennasilico aka mayhem. They are subjected to Creative Commons Attribution-ShareAlike 2.5 version; you can copy, modify or sell them. “Please” cite your source and use the same licence :)

Grazie per l’attenzione!

Smau 2010 Milano: Seminario AIPSI Sicurezza del VoIP

Technology

Transcript of Smau 2010 Milano: Seminario AIPSI Sicurezza del VoIP

Interconnessione VoIP e paradigma della standardizzazione€¦ · Interconnessione VoIP e paradigma della standardizzazione nel contesto di Internet e della “Next Generation Network”

VOIP DAY 2010 Roma, 25 marzo 2010

Smau Milano 2016 - Marco Parretti, Aipsi

Gigaset A540 IPgse.gigaset.com/.../A5x/A540IP/A31008-M2607-K101-1-7219_it_IT.pdf · IP 01 Connessione VoIP instaurata (— connessione rete fissa) Con connessioni VoIP: numero della

SMAU BARI 12-13 FEBBRAIO SMAU ROMA 19-20 MARZO SMAU … · SMAU BARI 12-13 FEBBRAIO SMAU ROMA 19-20 MARZO SMAU PADOVA 16-17 APRILE SMAU TORINO 14-15 MAGGIO SMAU BOLOGNA 4-5 GIUGNO

Smau Milano 2016 - Marco Bozzetti, Aipsi

Il VoIP parla Wireless - ncp-italy.eu fileIl VoIP parla Wireless Giuseppe Tetti Ambiente Demo Internet IP PBX SIP VoIP Soft Phone. 2 Obiettivi • Realizzare un sistema di comunicazione

IP Telephony & VoIP Solutions - Mariotto · IP Telephony & VoIP Solutions Caratteristiche Principali Nuove funzionalità Sei linee: Il telefono supporta fino a 6 accounts SIP, ognuno

Smau Torino 2016 - Marco Bozzetti, AIPSI

Giuseppe Tetti - NCP Italy · Tutto il VoIP in 45 minuti !! Giuseppe Tetti Ambiente Demo IP PBX SIP VoIP. 2 Ambiente Demo IP PBX SIP VoIP Ambiente Demo IP PBX SIP VoIP. 3 Ambiente

Smau Padova 2015 - Aipsi

Vpn Mobility VoIP

Smau bologna2014

Architettura VoIP con FreeSWITCH + gazzurbo

VoIP e sicurezza - aiea.it€¦ · VoIP, infatti, molte aziende possono gestire in modo flessibile le proprie risorse, accentrandole o decentrandole a seconda delle necessità aziendali,

VoIP-Fe: progetto e sviluppo del sistema VoIP Open Source dell'Ateneo di Ferrara Relatori: Enrico Ardizzoni, Federico Fergnani voip@unife.it.

Configurazione router VoIP TeleTu P.RG A4101N

VoIP (Limplementazione AdR-BO) Franco Tinarelli. Franco Tinarelli 5 dicembre 2006 2 Voice over IP: definizioni VoIP è lacronimo di Voice over IP (Voce.

Listino VOIP Wish Networks - WishNet

I Vantaggi del VoIP per le aziende