Embed Size (px)
Citation preview
Tecnología IPLección 3: Tráfico,
resolución de problemas y de seguridad
Ing. Gabriel Astudillo B.
Escuela Superior Politécnica del Litoral
Marzo del 2011
Agenda
• Variables a considerar en un sistema de VoIP• Mean Opinion Score (MOS)• Seguridad en Redes Convergentes• Revisión de protocolos• Listado de Ataques de Red• Denegación de servicio (DoS)• Denegación Distribuida de servicios (DDoS)• Implementación de VLAN• Detección de Intrusos
Retardo, latencia y jitter
• Retardo y latencia son términos similares que se refieren a la cantidad de tiempo que tarda un bit para ser transmitidos desde el origen al destino.
• Jitter es la variación de retardo en el tiempo.
MOS• En la comunicación de voz y vídeo, la calidad por lo general
determina si la experiencia es buena o mala. • Además de la descripción cualitativa que escuchamos, como
"bastante buena" o "muy mala", no es un método numérico de expresar la voz y la calidad de vídeo. Se llama mala de la opinión (MOS). MOS da una indicación numérica de la calidad percibida de los medios de comunicación recibieron después de ser transmitida y, finalmente, comprimido con los códecs.
• MOS se expresa en un número, del 1 al 5, siendo 1 el peor y 5 la mejor. MOS es muy subjetivo, ya que se basa en cifras que resultan de lo que es percibido por la gente durante las pruebas. Sin embargo, hay aplicaciones de software que MOS medida en redes, como vemos a continuación.
Listado de Ataques
Listado de Ataques
DoS (Denial of Service)
• Es un ataque a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos.
• Normalmente provoca la pérdida de la conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos computacionales del sistema de la víctima.
• Se genera mediante la saturación de los puertos con flujo de información, haciendo que el servidor se sobrecargue y no pueda seguir prestando servicios, por eso se le dice "denegación", pues hace que el servidor no dé abasto a la cantidad de usuarios.
DoS (Denial of Service)
• U na ampliación del ataque Dos es el llamado ataque distribuido de denegación de servicio, también llamado ataque DDoS (de las siglas en inglés Distributed Denial of Service) el cual lleva a cabo generando un gran flujo de información desde varios puntos de conexión.
• La forma más común de realizar un DDoS es a través de una botnet, siendo esta técnica el ciberataque más usual y eficaz.
• En ocasiones, esta herramienta ha sido utilizada como un notable método para comprobar la capacidad de tráfico que un ordenador puede soportar sin volverse inestable y perjudicar los servicios que desempeña. Un administrador de redes puede así conocer la capacidad real de cada máquina
DoS: Tipos de ataques• El ataque se puede dar de muchas formas. Pero todas tienen algo
en común: utilizan el protocolo TCP/IP para conseguir su propósito.
• Un ataque DoS puede ser perpetrado de varias formas:– Consumo de recursos computacionales, tales como ancho de banda,
espacio de disco, o tiempo de procesador.– Alteración de información de configuración, tales como información de
rutas de encaminamiento.– Alteración de información de estado, tales como interrupción de
sesiones TCP (TCP reset).– Interrupción de componentes físicos de red.– Obstrucción de medios de comunicación entre usuarios de un servicio y
la víctima, de manera que ya no puedan comunicarse adecuadamente.
Inundación SYN (SYN Flood)
• Principios de TCP/IP• Cuando una máquina se comunica mediante TCP/IP con otra,
envía una serie de datos junto a la petición real. Estos datos forman la cabecera de la solicitud.
• Dentro de la cabecera se encuentran unas señalizaciones llamadas Flags (banderas).
• Estas señalizaciones (banderas) permiten iniciar una conexión, cerrarla, indicar que una solicitud es urgente, reiniciar una conexión, etc. Las banderas se incluyen tanto en la solicitud (cliente), como en la respuesta (servidor).
• Para aclararlo, veamos cómo es un intercambio estándar TCP/IP:
Inundación SYN (SYN Flood)
1. Establecer Conexión: El cliente envía una Flag SYN, si el servidor acepta la conexión, éste, debería responderle con un SYN/ACK luego el cliente debería responder con una Flag ACK.
1-Cliente --------SYN-----> 2 Servidor4-Cliente <-----SYN/ACK---- 3 Servidor5-Cliente --------ACK-----> 6 Servidor
2. Resetear Conexión: Al haber algún error o perdida de paquetes de envío se establece envío de Flags RST:
1-Cliente -------Reset-----> 2-servidor 4-Cliente <----Reset/ACK---- 3-Servidor5-Cliente --------ACK------> 6-Servidor
Inundación SYN (SYN Flood)• La inundación SYN envía un flujo de paquetes TCP/SYN (varias
peticiones con Flags SYN en la cabecera), muchas veces con la dirección de origen falsificada.
• Cada uno de los paquetes recibidos es tratado por el destino como una petición de conexión, causando que el servidor intente establecer una conexión al responder con un paquete TCP/SYN-ACK y esperando el paquete de respuesta TCP/ACK
• Sin embargo, debido a que la dirección de origen es falsa o la dirección IP real no ha solicitado la conexión, nunca llega la respuesta.
• Estos intentos de conexión consumen recursos en el servidor y limitan el número de conexiones que se pueden hacer, reduciendo la disponibilidad del servidor para responder peticiones legítimas de conexión.
SYN Cookies
• SYN Cookies es una técnica usada para defensa del ataque inundación SYN.
• En particular, el uso de SYN Cookies, permite al servidor, evitar el rechazo de nuevas conexiones cuando la cola SYN se llena.
• En su lugar, el servidor se comporta como si la cola SYN, hubiera sido extendida. El servidor responde el correspondiente paquete SYN+ACK al cliente, pero descartando la entrada SYN en su cola.
• El servidor entonces recibe el correspondiente ACK desde el cliente, estando en condiciones de reconstruir la entrada SYN en la cola, usando la información codificada en el numero de secuencia TCP elegido.
Inundación ICMP (ICMP Flood)
• Es una técnica DoS que pretende agotar el ancho de banda de la víctima.
• Consiste en enviar de forma continua un número elevado de paquetes ICMP Echo request (ping) de tamaño considerable a la víctima, de forma que esta ha de responder con paquetes ICMP Echo reply (pong) lo que supone una sobrecarga tanto en la red como en el sistema de la víctima.
• Dependiendo de la relación entre capacidad de procesamiento de la víctima y el atacante, el grado de sobrecarga varía, es decir, si un atacante tiene una capacidad mucho mayor, la víctima no puede manejar el tráfico generado
Inundación ICMP (ICMP Flood)• En este tipo de ataque, el perpetrador envía grandes cantidades
de tráfico ICMP (ping) a la dirección de broadcast, todos ellos teniendo la dirección de origen cambiada (spoofing) a la dirección de la víctima.
• Si el dispositivo de ruteo envía el tráfico a esas direcciones de broadcast lo hace en capa 2 donde está la función de broadcast, y la mayoría de los host tomarán los mensajes ICMP de echo request y lo responderán, multiplicando el tráfico por cada host de la subred.
• En las redes que ofrecen múltiples accessos a broadcast, potencialmente miles de máquinas responderán a cada paquete. Todas esas respuestas vuelven a la IP de origen (la IP de la víctima atacada).
Inundación ICMP (ICMP Flood)
• Debido a que el éxito del ataque está dado por la respuesta afirmativa al requerimiento ICMP echo request (ping), si cada uno de los equipos de la red local no respondiera este requerimiento, el ataque no tendría efecto.
• Esto se encuentra respaldado por el RFC 1122, apartado 3.2.2.6, donde se especifica:“Una solicitud de echo ICMP con destino a una dirección IP de difusión o la dirección IP multicast PUEDE ser descartado silenciosamente, RFC 1122, Apartado 3.2.2.6.”
• En los sistemas GNU/Linux, esta función se activa colocando 1, en el archivo especial /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts como sigue :echo "1" >/proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
Inundación UDP (UDP Flood)
• Básicamente este ataque consiste en generar grandes cantidades de paquetes UDP contra la víctima elegida. Debido a la naturaleza sin conexión del protocolo UDP, este tipo de ataques suele venir acompañado de IP spoofing.
• Es usual dirigir este ataque contra máquinas que ejecutan el servicio Echo, de forma que se generan mensajes Echo de un elevado tamaño.
Spoofing
• Hace referencia al uso de técnicas de suplantación de identidad generalmente con usos maliciosos o de investigación.
• Existen diferentes tipos dependiendo de la tecnología a la que nos refiramos, los cuales se describirán más adelante, como el IP spoofing (quizás el más conocido), ARP spoofing, DNS spoofing, W eb spoofing o e-mail spoofing, aunque en general se puede englobar dentro de spoofing cualquier tecnología de red susceptible de sufrir suplantaciones de identidad.
IP Spoofing: Suplantación de IP
• Consiste básicamente en sustituir la dirección IP origen de un paquete TCP/IP por otra dirección IP a la cual se desea suplantar.
• Esto se consigue generalmente gracias a programas destinados a ello y puede ser usado para cualquier protocolo dentro de TCP/IP como ICMP, UDP o TCP. Hay que tener en cuenta que las respuestas del host que reciba los paquetes alterados irán dirigidas a la IP falsificada.
• Por ejemplo si enviamos un ping (paquete icmp "echo request") suplantado, la respuesta será recibida por el host al que pertenece la IP legalmente.
Footprinting
• Se conoce como footprinting el proceso de acumulación de información de un entorno de red especifico, usualmente con el propósito de buscar formas de introducirse en el entorno.
• La herramienta básica para esta etapa del reconocimiento será Google.
• Las búsquedas se centrarán entorno a la web de la empresa y en su dominio. Se intentarán encontrar perfiles o direcciones de contacto, correos y teléfonos.
• Estos datos ofrecerán información al hacker para poder realizar ataques de suplantación de identidad y/o ingeniería social.
Footprinting
• La mayoría de dispositivos VoIP corren algún servicio web de administración remota. Es posible encontrarlos con google:inurl:”NetworkConfiguration” cisco
Crackeo de contraseñas SIP
• Entre las herramientas encontramos SIPCrack que como su nombre indica, crackea las contraseñas del protocolo SIP en Linux.
• Contiene dos programas sipdump para esnifar los hashes de la autenticación y sipcrack para crackear los logins capturados.
• Se puede descargar de las siguientes direcciones: página oficial http://www.codito.de o PacketStorm http://packetstormsecurity.org.
Crackeo de contraseñas SIP
• El programa sipdump actúa a modo de sniffer, analizando el tráfico y extrayendo autenticaciones SIP que encuentre.
Crackeo de contraseñas SIP
Una vez tenemos el hash de la contraseña del usuario, se pueden crackear de dos modos diferentes: Por fuerza bruta y utilizando diccionario
Suplantación de identidad en el registro
• El registro de usuarios es la primera comunicación que se estable en el entorno SIP entre el usuario y el servidor de registro.
• Necesariamente esta comunicación debe de realizarse de forma segura, ya que en caso contrario no hay garantías de que el usuario registrado sea quien dice ser durante todo el resto de la sesión.
• A través de los mensajes REGISTER, los agentes de usuario SIP informan al servidor de su localización actual de manera que el servidor sepa dónde tiene que enviar peticiones posteriores.
Suplantación de identidad en el registro
1. Deshabilitando el registro legítimo del usuario2. Enviando el mensaje REGISTER con la IP del atacante.3. En el servidor de registro queda registrado el usuario
atacado con la dirección IP del hacker.4. Cuando recibe la llamada, el servidor Proxy consulta la
dirección del destinatario, pero obtendrá la dirección IP del atacante.
5. El ataque ha tendido éxito. El intruso ha suplantado la identidad del usuario y mientras mantenga el registro todas las llamadas dirigidas a el llegaran a su teléfono IP.
Suplantación de identidad en el registro
• En esta petición, todo los parámetros de la cabecera son iguales excepto por el campo contact que se ha modificado para escribir la IP del atacante.
• Para generar la petición se ha utilizado la herramienta SiVus.
• Además de la potente herramienta SiVus existen un conjunto de tres herramientas para manipular los aspectos del registro de usuarios en SIP:– Registration Hijacker: http://www.hackingexposedvoip.com/tools/reghijacker.tar.gz– Registration Eraser:
http://www.hackingexposedvoip.com/tools/erase_registrations.tar.gz– Registration Adder:
http://www.hackingexposedvoip.com/tools/add_registrations.tar.gz
Suplantación de identidad en el registro
Desregistrar Usuarios
• El desregistro de usuarios legítimos es una necesidad para conseguir suplantar su identidad como hemos visto en el ejemplo anterior. Básicamente el intruso podrá conseguirlo de las siguientes formas:– Realizando un ataque de DoS al usuario.– Generando una condición de carrera en la que el
atacante envía repetidamente peticiones REGISTER en un corto espacio de tiempo con el objetivo de superponerse a la petición de registro legítima del usuario.
– Desregistrando el usuario con mensajes REGISTER.
Desregistrar Usuarios
• El intruso puede ser capaz de desregistrar fácilmente un usuario, enviando al servidor de registro una petición REGISTER (simulando ser la victima) con el siguiente campo “Contact: *” y valor del atributo “Expires” a cero. Esta petición eliminará cualquier otro registro de la dirección del usuario (especificada en el campo “To” de la cabecera).
• El atacante deberá realizar este envío periódicamente para evitar el re-registro del usuario legítimo o en su defecto provocarle una ataque DoS para evitar que vuelva a registrarse al menos por el tiempo que necesite para realizar el secuestro de la llamada.
Desconexión de Usuarios
• El hecho de que muchos de los protocolos se utilizan sin encriptación alguna y de que los mensajes no se autentican de forma adecuada, es trivial para un intruso desconectar a los usuarios de sus llamadas enviando mensajes BYE con la identidad falsificada simulando ser el usuario del otro lado de la línea.– Teardown – Injector de mensajes SIP.http://www.hackingexposedvoip.com/tools/teardown.tar.gz– sip-kill – Inyecta mensajes BYE válidos en una sesión
existente:http://skora.net/uploads/media/sip-kill
Redirección de llamadas.
• Existen diferentes métodos que van desde comprometer los servidores o el call manager de la red para que redirijan las llamadas donde el intruso quiera.
• Una posibilidad es utilizar una herramienta como RedirectPoison que escucha la señalización SIP hasta encontrar una petición INVITE y responder rápidamente con un mensaje SIP de redirección, causando que el sistema envié un nuevo INVITE a la localización especificado por el atacante.
• Otro modo de redirección el flujo de datos se consigue con las herramientas: sipredirectrtp y rtpproxy. Se basan en utilizar mensajes la cabecera SDP para cambiar la ruta de los paquete RTP y dirigirlas a un rtproxy que a su vez serán reenviados donde el intruso quiera.
Eavesdropping
• Capturar y decodificar los paquetes RTP. Esnifar el tráfico de la comunicación con el wireshark, este sniffer permite además interpretar los paquetes UDP indicándole que son del protocolo RTP.
• Seleccionar la opción “Analizar Sesión”. Permite seleccionar un flujo de datos y analizarlo ya no como paquetes individuales sino común flujo continuo de datos.
• Salvar a un fichero de audio, para reproducirlo posteriormente. Ethereal permite analizar los datos RTP y salvarlos como un fichero de audio.
Eavesdropping• Oreka: Es un sniffer de VoIP que captura conversaciones y registros y
que soporta los protocolos más utilizados: Bidirectional SIP, SCCP de Cisco, Bidirectional Raw RTP.
• Orktrack y Orkweb: proporcionan una interfaz web para la administración de los registros guardados con orkaudio.
• Voipong: Voipong es una herramienta que detecta todas las llamadas de VoIP que se producen en una red. Además codifica dichas conversaciones a ficheros de audio, si se utiliza un códec G711 los convertirá en formato WAV. Soporta SIP, H323, Cisco's Skinny Client Protocol, RTP y RTCP.
• Angst : Angst es un snifer que puede funcionar en modo pasivo y activo utilizando diversas técnicas para sniffer dentro de redes conmutadas.
• Vomit: Convierte las conversaciones de teléfonos Ciso a un fichero wav.
Ataques DoS
• Las redes VoIP siguen siendo vulnerables a los tradicionales ataques de DoS como pueden ser los SYN flood, UDP flood etc.
• Las aplicaciones VoIP escuchan en ciertos puertos determinados, es posible atacar esos servicios causando un ataque DoS.
• Existen gran cantidad de flooders disponibles en la red, podemos descargar y testear el UDP flooder de las siguiente dirección :– http://www.hackingexposedvoip.com/tools/udpflood.tar.gz
• O en cambio se puede utilizar algún generador de paquetes convencional como Scapy:– http://www.secdev.org/projects/scapy/
Ataques DoS
• VoIP presenta cierta dependencia del protocolo DNS por la necesidad de resolver los nombres de dominio.
• Un ataque a los servidores DNS de la red podría derivar en una denegación de servicio de la red VoIP.
• Una herramienta interesante para testear el servicio de resolución de nombres es DNS Auditing tool que se encuentra disponible en la dirección web :– http://www.packetfactory.net/projects/dnsa
Ingeniería Social
• SPIT: Spam over Internet Telephony• El SPAM es uno de los problemas más graves en las
comunicaciones hoy en día, y la telefonía IP tampoco se escapa. Recibe el nombre de SPIT (Spam over Internet Telephony).
• A pesar que hoy por hoy no es una práctica demasiado extendida y no se han registrados demasiados casos, las redes VoIP son inherentemente vulnerables al envío de “mensajes de voz basura”.
• Se prevé que esta tendencia de realizar llamadas y llenar los voicemail de los usuarios con mensajes pregrabados crecerá durante los próximos años a medida que se generalice el uso de telefonía por IP.
Ingeniería Social
Vishing: Voip Phishing• Al igual que ocurría con el SPAM las amenazas de phishing
suponen un gran problema para el correo electrónico. Las denuncias por robo de información confidencial de forma fraudulenta están a la orden del día y exactamente las mismas técnicas son aplicables a la plataforma VoIP.
• Gracias a la telefonía IP un intruso puede realizar llamadas desde cualquier lugar del mundo al teléfono IP un empleado de la empresa y con técnicas de ingeniería social y mostrando la identidad falsa o suplantando otra conocida por la victima, obtener información confidencial, datos personales, números de cuenta o cualquier otro tipo de información.
Seguridad en Redes convergentes
• La primera regla de oro: Mantener los sistemas actualizados y parcheados.
• Es totalmente imprescindible, y ya no solo en infraestructura VoIP, que el administrador de la red esté al corriente de los nuevo parches y actualizaciones y los aplique en sus sistemas.
• Es esencial que VoIP se asiente sobre una infraestructura de red segura, protegidas por cortafuegos bien administrado
Seguridad en Redes convergentes
• Es muy recomendable la existencia en la red de sistemas de antivirus actualizados que la protejan de ataques de virus, gusanos y troyanos.
• La detección de muchos ataques se puede realizar instalando sistemas de detección de intrusos (IDS) o de prevención (IPS) en los lugares estratégicos de la red.
• Serán capaces de detectar y prevenir ataques contra los protocolos (fuzzing), ataques contra servicios (exploits y vulnerabilidades), escaneos y ciertos tipos de ataques DoS.
• Es evidente que el IDS/IPS requerirá una configuración adecuada adaptada a la red en que funcione para conseguir su fiabilidad se al adecuada.
Encriptacion
SRTP• Secure Real-time Transport Protocol (o SRTP)
define un perfil de RTP (Real-time Transport Protocol), con la intención de proporcionar cifrado, autenticación del mensaje e integridad, y protección contra reenvíos a los datos RTP en aplicaciones unicast y multicast.
• IETF en marzo de 2004 como el RFC 3711.
Encriptacion
SRTP• Dado que RTP está muy relacionado con RTCP (RTP control
protocol), que puede ser usado para controlar una sesión RTP, SRTP también tiene un protocolo hermano llamado Secure RTCP (or SRTCP). SRTCP proporciona las mismas características relacionadas con la seguridad a RTCP, al igual que hace SRTP con RTP.
• El empleo de SRTP o SRTCP es opcional al empleo de RTP o RTCP; pero incluso utilizando SRTP/SRTCP, todas las características que estos protocolos proporcionan (tales como cifrado y autenticación) son opcionales y pueden ser habilitadas o deshabilitadas por separado. La única excepción a esto último es la autenticación de los mensajes, que es obligatoria cuando se está usando SRTCP.
VPNs
• Las VPNs son ampliamente usadas y existe un proyecto de código llamado OpenVPN que funciona sobre Linux.
• Una VPN (Virtual Private Network) o Red Privada Virtual es un concepto que nos permite simular una red privada sobre una red pública como el Internet.
• Para poner un ejemplo una Empresa X tiene oficinas en varias ciudades llamadas A, B y C, y estas ciudades se encuentran conectadas entre sí a través de Internet. Sucede que esta empresa desea que todos los computadores y equipos de red de todas estas ciudades se encuentren dentro del mismo segmento de red privada 192.168.100.X.
• De esta manera se podrán compartir impresoras entre ciudades pues VIRTUALMENTE estas impresoras se encontrarían en la misma ubicación o segmento de red.
VPNs
• Bueno, para que esto sea posible de manera segura existe un concepto llamado tunneling que nos permite que estas comunicaciones transiten por la red pública de manera encriptada de tal forma que se asocia esta tecnología con un túnel virtual ya que se encuentra aislado del exterior.
• Para establecer el túnel virtual se utilizan protocolos seguros.
• En concreto se puede establecer una VPN para meter en dicha red todos los dispositivos de voz y de esta manera hacer que las comunicaciones de voz viajen seguras.
Auditorías de seguridad
• Las auditorías de seguridad se suelen realizar cuando se sospecha que un servidor ha sido hacheado.
• Sin embargo, lo recomendable es que sea una práctica constante que se realice periódicamente para detectar a tiempo problemas de seguridad que podrían poner en riesgo nuestros equipos.
• Existen algunas prácticas comunes indispensables en una auditoría de seguridad.
Auditorías de seguridad
Escaneo de puertos de red• En muchas ocasiones un equipo atacado es instalado con software
que ejecuta servicios de red. • Es útil verificar esto y se puede realizar fácilmente desde el mismo
equipo atacado mediante el comando netstat. • También se debe inspeccionar el equipo desde fuera y para esto
podemos usar el comando nmap ejecutado desde un equipo remoto.
• Un puerto sospechoso en equipos vulnerados suele ser el 6666 o 6667 que son puertos relacionados con servidores IRC pues sucede que una costumbre de los hackers es instalar un servidor IRC para, a través de una simple aplicación de chat IRC, controlar el servidor mediante comandos.
Auditorías de seguridad• Revisión de logs del sistema• Revisar los logs del sistema siempre es útil aunque en muchas ocasiones el
hacker tratará de borrarlos para que no veamos su actividad. En todo caso ver un log borrado también puede ser útil pues puede confirmar nuestras sospechas de que el equipo ha sido vulnerado.
• /var/log/messages – Por información general como nuevos usuarios creados por el hacker o mensajes de ERROR inusuales
• - /var/log/maillog – Por si el hacker intentó ingresar por el servidor de correos
• - /var/log/httpd/error_log* - Por si el hacker intentó ingresar por el servidor Apache
• La salida del comando dmesg• El historial de comandos ejecutados. Para el usuario actual se puede
ejecutar el comando history
