VoIP x Wireshark - PoP-BA · III EnSI – CERT.Bahia Salvador/BA Novembro 2013 . 2 ... Todos os...
Transcript of VoIP x Wireshark - PoP-BA · III EnSI – CERT.Bahia Salvador/BA Novembro 2013 . 2 ... Todos os...
VoIP x Wireshark Quem ligou para você e o que
conversaram
André R. Landim – CAIS/RNP
III EnSI – CERT.Bahia
Salvador/BA
Novembro 2013
2
Copyright © 2013 CAIS/RNP Centro de Atendimento a Incidentes de Segurança da Rede Nacional
de Ensino e Pesquisa. Todos os direitos reservados.
É proibida a reprodução total ou parcial deste material, assim como seu uso para qualquer propósito, comercial ou não sem o
consentimento do proprietário autor
Objetivo • Esta apresentação tem o objetivo de mostrar
alguns dos problemas que a tecnologia VoIP possui, principalmente relacionados a privacidade de informações, e mostrar como alguns destes podem ser solucionados.
Tópicos
• Introdução
• Ameaças comuns
• Wireshark x VoIP
• Conclusão & Bate-papo 3
Sobre a RNP e o CAIS • Rede Nacional de Ensino e Pesquisa
– Criada em 1989 pelo MCT
– Primeira rede de acesso à internet no Brasil
– Conexão de internet para instituições de ensino superior e unidades de pesquisa (Rede Ipê)
– Desenvolvimento e uso de aplicações avançadas em rede
– Treinamento de profissionais em redes
– Atualmente, esta no 6o estágio de desenvolvimento do backbone
• CAIS – Centro de Atendimento a Incidentes de Segurança
– Área criada em 1997 dentro da RNP
– Gestão de Incidentes de Segurança
– Disseminação da Cultura de Segurança
– Gestão de Riscos e Segurança da Informação
– Infraestrutura e Serviços à Comunidade Acadêmica 5
Telefonia tradicional
• A telefonia tradicional “nasceu” em 1960
• Tecnologia baseada em circuitos analógicos dedicados
– TDM – Time Division Multiplex
» Circuitos dedicados de 64kb
– Centrais PBX atuais realizam conversão analogico > digital
• Extremamente estável
– 99,999…% de confiança/estabilidade no sistema
6
VoIP - Voz sobre IP (Voice over IP)
• Primeiras pesquisas surgem nos anos 90
• Consiste em transmitir voz sobre pacotes IP
• Principais vantagens
– Redução de custos
» Telefonia fixa e móvel (celular) ainda possuem custo elevado
– Mobilidade
» Conexão com Internet + Softphone = Chamadas VoIP
7
VoIP – Protocolos • A tecnologia VoIP faz uso de diversos protocolos
existentes e introduziu novos integrantes a este vasto mundo de siglas. Podemos agrupar estes protocolos em três grupos:
• Protocolos de suporte
– Fornecem o suporte básico a tecnologia VoIP
» IP, TCP, UDP, DHCP...
• Protocolos de sinalização e controle
– Utilizados para localizar usuários, iniciar e terminar uma chamada, negociar parâmetros da comunicação, etc
» SIP e H.323
• Protocolos de transmissão de dados e controle de fluxo
– Utilizados para transportar voz e dados entre dispositivos envolvidos na comunicação
» RTP, SRTP, RTCP...
8
Protocolo SIP
• Protocolo de sinalização definido pelo IETF como alternativa ao H.323
– Operação simplificada
– Codificação ASCII
– Transporte via UDP ou TCP
• Funcionamento semelhante ao HTTP
– Métodos INVITE, ACK, CANCEL, etc…
– Mensagens 1xx, 2xx, 3xx, 4xx, 5xx, 6xx
• Possui funcões de segurança nativas muito simples
– TLS é uma alternativa para aumentar a proteção
10
• Ataques baseados no “mundo IP”
– A simplicidade do protocolo SIP e a utilização de protocolos comuns (TCP, UDP, SNMP, etc) permite a maioria dos ataques conhecidos ocorram em VoIP;
» (T)DoS;
» Man-In-The-Middle (MITM);
» IP Spoofing;
» UDP Flood
» ...
Ameaças comuns
• Vazamento de informações
– Escutas telefônicas
» Através da coleta de tráfego RTP é possível reconstruir uma chamada VoIP e reproduzí-la como se fosse um arquivo de audio comum (.wav, .mp3, etc)
» Identificação de dados sigilosos durante as chamadas (CPF, Dados bancários, etc...)
– Manipulação de chamadas
» Injeção de áudio durante uma chamada estabelecida
» Remoção de audio
Ameaças comuns
• Ataques contra sinalização SIP
– Sequestro de sessão
– ID spoofing
– Injeção de códigos de controle
Ameaças comuns
• Nos últimos meses as maiores preocupações de instituições ao redor do mundo incluem:
– Negação de Serviço – (TDoS);
» Utilização massiva de mídias sociais para esta atividade
– Engenharia Social
» Vazamento de Informações
– Abuso do serviço e fraudes em chamadas
» SPIT – SPAM sobre VoIP (SPAM Over IP Telephony)
» Roubo de credenciais para ligações abusivas
» Ligações partindo de redes sociais
» Perda de produtividade e renda
Fonte: Voice & Unified Communications – State of Security Report 2013 - SecureLogix
Ameaças comuns – Acontece no mundo...
http://www.webroot.com/blog/2013/11/15/vendor-tdos-productsservices-releases-new-multi-threaded-sip-based-tdos-tool/
Ameaças comuns – Acontece no mundo...
http://www.webroot.com/blog/2013/10/03/vertically-integrating-ddos-hire-vendor-spotted-wild/
http://firechief.com/blog/phony-911-callers-shutting-down-critical-emergency-communications
• Massive DDoS attacks a growing threat to VoIP services
– http://www.networkworld.com/news/2011/100411-ddos-voip-251553.html – 04/10/2011
Ameaças comuns – Acontece no mundo...
• Snort 2.9.1: SIP preprocessor
– http://blog.snort.org/2011/09/snort-291-sip-preprocessor.html – 26/09/2011
Ameaças comuns – Acontece no mundo...
• Através da coleta do tráfego de rede é possível identificar, entre outras informações:
– Usuários (extensões)
» Analisando os campos “From:” e “To:” do cabeçalho SIP
– Padrões de chamadas
» Analisando a frequência de chamadas entre os destinos da rede ou fora dela
– Após a coleta destes dados um banco de informações pode ser gerado para realização de outros ataques
Levantamento de informações - SIP
• O processo de análise do protocolo/cabeçalho SIP é facilitado devido a simplicidade da sua arquitetura
– Semelhante ao HTTP
– Codificação ASCII
Levantamento de informações - SIP
Usuário/Extensões
Tipo de aplicação utilizada na chamada
Domínios
• Identificando o comportamento do servidor VoIP
– Mensagens SIP específicas (métodos)
» REGISTER
» OPTIONS
» INVITE
• De acordo com o comportamento do servidor VoIP em cada resposta é possível obter informações relevantes sobre o ambiente em questão
Levantamento de informações - SIP
• Ataques realizados contra fluxo de dados RTP podem ser caracterizados em:
– Escutas
» Gravação de uma chamada sem consentimento do usuário
– Vazamento de informação
» Quando uma determinada chamada é interceptada e seu conteúdo é reproduzido ou divulgado
– Manipulação de chamadas
» Injeção de audio/dados durante a execução de uma chamada
Escutas telefônicas – Fluxo RTP
• RTP – Problemas do protocolo
– Não fornece cifragem de dados por padrão
» É possível coletar os dados de uma chamada, reconstruí-la e escutá-la em qualquer reprodutor de áudio
» Apenas SRTP e ZRTP tem funções de cifragem de dados
– Controle de integridade de pacotes ineficiente
» Os pacotes podem ser modificados e injetados dentro de uma chamada em andamento
Escutas telefônicas – Fluxo RTP
• RTP – Escutas
– 1 - Coleta do tráfego de rede
» Alguns softphones possuem função de gravação de chamdas
– 2 - Identificação de tráfego RTP
– 3 - Reconstrução da chamada
• Que tipo de dados podemos encontrar?
– Conversas
– Tons DTMF
» senhas, informações bancarias, documentos pessoais, etc.
• GIGANTESCO impacto na privacidade do usuário
Escutas telefônicas – Fluxo RTP
• RTP – Manipulação de chamadas
– 1 - Coleta do tráfego de rede
– 2 - Identificação de tráfego RTP
– 3 - Reconstrução da chamada
– 4 - Modificação da mídia
» Injeção de áudio
» Remoção de áudio
• GIGANTESCO impacto na integridade da chamada
Escutas telefônicas – Fluxo RTP
• Medidas de contenção para ataques VoIP
– Implementação de recursos de rede
» VLAN’s
» VPN’s
– Hardening de servidores
– Auditorias e análises de vulnerabilidades
– Implementação de recursos de segurança dos protocolos VoIP
» Sinalização
» Transmissão
Medidas de contenção
• Medidas de contenção para ataques VoIP
– Tipos de ataques comuns
» Sequestro de Sessão
» MITM
» Escutas
» Identificação de padões de chamadas
» Coleta DTMF
– Medidas de contenção
» VLANs
» Cifragem de mídia (SRTP/ZRTP)
» Redução no TTL da sessão
» Autenticação
» Sinalização segura (SIP/TLS)
Medidas de contenção
• Ambientes VoIP estão sujeitos a maioria dos ataques comuns do mundo IP
• Aplicar contra-medidas existentes para o mundo IP pode ajudar a resolver parte dos problemas
• Procurar utilizar recursos de segurança específicos para VoIP visando evitar vazamento de informação, indisponibilidade e perda de integridade de dados
• Auditorias periódicas
• Conscientização dos usuários da tecnologia
Conclusão...
Obrigado!!!
Centro de Atendimento a Incidentes de Segurança - CAIS/RNP
http://www.rnp.br/cais/
@caisrnp
http://www.facebook.com/caisRNP
CAIS/RNP - Notificação de Incidentes
Para encaminhar incidentes de segurança envolvendo redes conectadas à RNP:
1. E-mail: [email protected]
Para envio de informações criptografadas use a chave PGP pública do CAIS:
http://www.rnp.br/cais/cais-pgp.key
2. Formulário para Notificação de Incidentes de Segurança: http://www.rnp.br/cais/atendimento_form.php
Telefone: (19) 3787-3300 / FAX: (19) 3787-3301
Hotline INOC-DBA (Inter-NOC Dial-By-ASN): 1916*800
Atendimento Emergencial: Para contato fora do horário comercial (09:00 - 18:00 - Horário de Brasília) por favor utilize o telefone (61) 3226-4699.
Alertas do CAIS: O CAIS mantém a lista [email protected]. Assinatura
aberta à comunidade de segurança. Inscrição através do formulário em:
http://www.rnp.br/cais/alertas/