PBX IP

Vulnerabilidades e Precaues

SIG VoIP 2013 Braslia, DF Brasil Ago/2013

AGENDA
O problema comum Principais vulnerabilidades Pontos de falha Precaues

O problema comum

* http://ihumannetwork.blogspot.com/2011/06/1-msoftx3000-wcdma-core-network.html

O problema comum
VoIP == Voice Over * IP * A tecnologia VoIP carrega praticamente todos os problemas encontrados no mundo IP; Spoofing DoS MITM Flooding

O problema comum
Protocolos do mundo VoIP
Protocolos de suporte
Fornecem o suporte bsico a tecnologia VoIP IP, TCP, UDP, DHCP...

Protocolos de sinalizao e controle

Utilizados para localizar usurios, iniciar e terminar uma chamada, negociar parmetros da comunicao, etc SIP e H.323

Protocolos de transmisso de dados e controle de fluxo

Utilizados para transportar voz e dados entre dispositivos envolvidos na comunicao RTP, SRTP, RTCP...

Principais vulnerabilidades
Vazamento de informaes
Escutas telefnicas
Atravs da coleta de trfego RTP possvel reconstruir uma chamada VoIP e reproduzi-la como se fosse um arquivo de audio comum (.wav, .mp3, etc) Identificao de dados sigilosos enviados durante as chamadas via DTMF (CPF, Dados bancrios, etc...)

Manipulao de chamadas
Injeo de udio durante uma chamada estabelecida Remoo de audio

Principais vulnerabilidades
Ataques contra o sistema de sinalizao
Sequestro de sesso ID spoofing Injeo de cdigos de controle

Abuso do encaminhamento de chamadas

Utilizao indevida do encaminhamento de chamadas burlando o sistema convencional de telefonia

Principais vulnerabilidades
Segundo dados do CERT.Br, a porta 5060/UDP foi a mais explorada nos ltimos meses
http://honeytarg.cert.br/honeypots/stats/portsum/24hour/current/#top-udp http://www.cert.br/docs/palestras/certbr-ctir2013-1.pdf

Nos ltimos 12 meses, foram detectados mais de 40 TB de trfego na porta 5060/UDP na RNP
No possvel precisar se este trfego malicioso ou no, pois a ferramenta no est 100% configurada para detectar atividades maliciosas relacionadas ao VoIP Um trabalho conjunto entre GSER/CAIS/ENG/OPER precisa ser realizado e assim iniciar um monitoramento mais agressivo e efetivo de atividades maliciosas contra o fone@RNP

Principais vulnerabilidades
Vulnerabilidades encontradas no Asterisk em 2013
AST-2013-002: Denial of Service in HTTP Server
Mar 27, 2013 http://downloads.asterisk.org/pub/security/AST-2013-002.pdf

AST-2013-003: Username Disclosure in SIP Channel Driver

Mar 27, 2013 http://downloads.asterisk.org/pub/security/AST-2013-003.pdf

AST-2013-001: Buffer Overflow Exploit Through SIP SDP Header

Mar 27, 2013 http://downloads.asterisk.org/pub/security/AST-2013-001.pdf

Pontos de falha
Desenho da soluo; SO de suporte ao PBX IP; Vulnerabilidades nos compontes VoIP

Precaues
Implementao de recursos de rede
VLANs VPNs

Hardening de servidores
Hardening de SO Implantao de ferramentas como fail2ban

Auditorias e anlises de vulnerabilidades Implementao de recursos de segurana dos protocolos VoIP

Sinalizao Transmisso

Mais informaes...
Lista de discusso VoIP RNP voip@listas.rnp.br
VoIP Security Blog http://www.voipsecurityblog.com VoIP Security Alliance (desatualizado) http://voipsa.org/blog/

Obrigado!!! ;)
Andr Ricardo Landim Analista de Segurana andre.landim@cais.rnp.br http://www.cais.rnp.br