seguridad en voip open source: poniendo el punto sobre la i
DESCRIPTION
Juan Oliva VoIP Security Advisor SilcomTRANSCRIPT
Seguridad VoIP en Open Source
|
Poniendo el punto sobre la Í
Juan Oliva@jroliva
who I am @jrolivaBio
Pentester - Proyectos de Ethical Hacking Consultor de soluciones de VoIP, especialmente las enfocadas en seguridad Instructor de Elastix para los cursos Elastix Security Master y ECE Instructor LPI para curso LPIC-1 Php y Python lover Linux user forever and ever Technical writer : Papper “Seguridad en Implementaciones de Voz Sobre IP” Twitter: @jroliva Blog: http://jroliva.wordpress.com/
Seguridad en nuestra plataforma VoIP
Seguridad En Nuestra Plataforma VoIP
Asegurar VoIP es una tarea importante para proteger la información de las personas que utilizan el servicio.
Recordemos que el servicio SIP no es el único con el que está involucrado una plataforma VoIP .. También tenemos ... HTTP, HTTPS , SNMP, SSH , TFTP ,etc,etc.
Factores que aumentan la Inseguridad (1)
Poca experiencia en el manejo de la plataforma o la tecnología.
Mala administración del sistema.
Centrarse solo en aspectos relativos a la configuración de la plataforma VoIP.
Estudio pobre en cuanto la solución a implementar.
“Descuidos” a la hora de configurar.
Factores que aumentan la Inseguridad (2)
Poca o inexistente monitorización.
No estar al día con las actualizaciones de seguridad.
No conocer completamente por dentro el sistema.
Entre otros…
Que dicen las estadísticas ?
Fuente: Communications Fraud Control Association (www.cfca.org)
Fuente: Communications Fraud Control Association (www.cfca.org)
Fuente: Communications Fraud Control Association (www.cfca.org)
VSActualidad y requerimientos
Movilidad Billing QoS Aprovisionamiento automático Soporte para múltiples protocolos Integración entre la VoIP y la TDM Encriptar comunicaciones Seguridad anti fradude
Tipos de software en el Mercado
•Tipos de software en el mercado
• - Propietarios o de marca
•Tipos de software en el mercado
• - Mixtos, que usan software libre en algún punto
•Tipos de software en el mercado
• - Basados en Opensource nativos
Arquitectura de soluciones
Arquitectura de soluciones
Arquitectura de soluciones
Motivaciones para causar fraude
•Motivaciones para causar fraude
Los ataques mas comunes
•Tipos de ataques• SIP BRUTE FORCE ATTACK, fuerza bruta contra el protocolo
•Tipos de ataquesMAN IN THE MIDDLE , captura y construcción de datos/voz
•Mi implementación es de marca !!
•Nunca van a llegar a mi IP
•Tipos de ataques• SHODAN , Exposición de servicios innecesarios
•Tipos de ataques• SHODAN , Exposición de servicios innecesarios
•Tipos de ataques• SHODAN , Exposición de servicios innecesarios
•Tipos de ataques• SHODAN , Exposición de servicios innecesarios
•Bueno, pero como soy de marca• .... no soy vulnerable xD
Vulnerabilidades reportadas
Vulnerabilidades reportadas
•Análisis de vulnerabilidades
• ¿ Qué es eso ?
•Análisis de Vulnerabilidades
•Análisis de Vulnerabilidades
Pero usa Bash ?
osea software libre...
•Análisis de Vulnerabilidades
•Tipos de ataquesVulnerabilidades reportadas
•Ahora, quien es mas vulnerable ?
Pero como protegemos plataformas basadas en
Open Source ??
Conoces FAIL2BAN ??
Conoces IPTABLES ??
O te da flojera por que no es llave en mano ?
Gestión de contrafuegos (Iptables) basado en web
Que trae Elastix En temas de seguridad
Gestión de contraseñas débiles
Que trae Elastix En temas de seguridad
Auditoría Web
Que trae Elastix En temas de seguridad
Y por si fuera poco !!
Un montón de Addons !!
http://addons.elastix.org/index.php?lang=es
Pero no quiero gestionar la seguridad en la PBX
Elastix SIP FIREWALL
Elastix SIP FIREWALL
Fingerprinting de dispositivos SIP, Enumeración de usuarios, Intento de obtención de contraseñas o password crackging)Ataques basados en Cross Site ScriptingAtaques basados en anomalías SIPVulnerabilidades de proveedores tercerosServicio de actualización de lista negra dinámica para amenazas VoIP/PBX/Gateways Soporte para el bloqueo basado en la ubicación geográficaProvee la opción de aseguramiento contra vulnerabilidades de aplicaciones de PBX
No existe seguridad completa
Si no... pregúntale a ellas ...
Sin embargo...
Quien es mas inseguro ?
La plataforma
o la persona que lo implementa
Gracias !!
Juan OlivaConsultor en VoIP y Ethical HackingECE®, ESM, dCAA®, C|EH™, C)PTE™, OSEH, BNS, LPIC-1™, Novell CLA®
•Correo : [email protected]•Hangout : [email protected]•Twiter : @jroliva•Blog : http://jroliva.wordpress.com/