View
1.480
Download
1
Category
Preview:
Citation preview
¿Es segura mi red de VoIP?
ÍNDICE
Quobis Networks SLU Todos los derechos reservados 2
ATAQUES
DEFENSA
ROBUSTEZ
preguntas y respuestas
IAGO SOTO CMO @ Quobis Iago.soto@quobis.com @iagosoto
ANTÓN ROMÁN CTO @ Quobis anton.roman@quobis.com
@antonroman
SOBRE QUOBIS
Quobis Networks SLU Todos los derechos reservados 3
Corporate Headquarters Pol industrial A Granxa P260 36400 O Porrino Spain Tel: +34-902-999-465
SOBRE QUOBIS
Quobis Networks SLU Todos los derechos reservados 4
TELCOS ENTERPRISE
Professional services using opensource solutions
INTERCONNECTION & BORDER MANAGEMENT
VOIP SECURITY AND ENCRYPTION
SERVICE ASSURANCE & OPTIMIZATION
SOFTSWITCHING & IP CENTREX SYSTEMS
MULTI-TENANT APPLICATION SERVERS MCU MTRP
Powered by
C2C AUTH
Multiconference Call recording Click to Call IdentityCall: call authentication
Larger
Including Managed services
INTRODUCCION
Quobis Networks SLU Todos los derechos reservados 5
¿ES LA SEGURIDAD UN PROBLEMA EN VOIP?
Sí, y ya lo era con la telefonía convencional (phreaking). La tecnología IP facilita la convergencia de servicios sobre la infraestructura de datos reduciendo costes y aumentando servicios, pero facilita la accesibilidad y los ataques a sistemas desprotegidos. Hay muchos puntos de ataque en un sistema. Un ataque en VoIP provoca un perjuicio económico de manera inmediata al atacado y un beneficio económico directo al atacante. Esto no ocurre con otro tipo de ataques.
INTRODUCCION
Quobis Networks SLU Todos los derechos reservados 6
¿ES LA SEGURIDAD UN PROBLEMA EN VOIP?
● La seguridad completa no existe... pero hay que buscarla.
● Tan importante como blindar tu red es darte cuenta de que algo no va bien lo más rápido posible.
● No podemos tener en cuenta todas las eventuallidades que pueden derivar en un ataque, p.ej. que un atacante obtenga de algún modo los credenciales de un usuario: si esto pasa lo único que nos queda es detectar patrones extraños de tráfico que delaten su presencia.
INTRODUCCION
Quobis Networks SLU Todos los derechos reservados 7
ESTADÍSTICAS SOBRE SEGURIDAD EN VOIP
En un estudio(*) realizado sobre 1.2M de IPs españolas en los puertos 5060, 5061 y 5062 se ha detectado lo siguiente: - 441.316 hosts detectados de entre los que se pueden distinguir los siguientes equipos: - 469 Gateways Cisco + 105 Equipos VoIP Cisco. - 40 Equipos Polycom, casi todo equipos de teleconferencia. - 3373 ATAs Linksys. - 374 Asterisk (**) + 103 FreePBX. - 3 OpenSIPS + 7 (OpenSER/Kamailio) (**). - 6 Panasonic - 893 IPs ejecutando SIPVicious!
(*) El estudio fue realizado por nuestro compañero Jesús Pérez Rubio para presentar en las Jornadas G.S.I.C mediante técnicas de sondeo no invasivas.
(**) En aplicaciones Open Source es posible modificar el User-Agent enviado en los métodos SIP por lo que es probable que muchos de estos equipos no se hayan identificado en el estudio.
INTERCONEXIÓN ATAQUES
Quobis Networks SLU Todos los derechos reservados 9
ATAQUES DENEGACIÓN DE SERVICIO
IVR
AAA SoftSwitch
VoIP
BILLING
Flujo serializado
Avalancha de registros
RED DE ACCESO
El objetivo de un ataque de DoS es degradar la calidad del servicio que percibe el usuario mediante el envío masivo de mensajes que requieran del uso de recursos (CPU, BW o memoria) en el sistema atacado. Ejemplos: avalancha de registros o llamadas contra el softswitch o centralita que puede pretender: Simple caída del servicio. Ataque de fuerza bruta para fraude telefónico. También existen ataques “no intencionados” que se deben tener en cuenta: Avalancha tras un apagón. Bugs en terminales. Virus multipropósito.
Quobis Networks SLU Todos los derechos reservados 10
ATAQUES FRAUDE EN LLAMADAS
El objetivo es que un atacante se registre en el sistemas con un usuario válido (a través de la averiguación de una password, suplantando una IP,….) con el objetivo de hacer llamadas a números internacionales de alta facturación. No sólo son llamadas a través de la red VoIP (SIP), sino que en muchos casos el atacante obtiene acceso remoto a un SIP proxy o softswitch desde donde puede originar llamadas por consola que pueden ser facturables.
• El ataque supone muchas veces no sólo pérdidas económicas, sino que se cargue inicialmente el coste del ataque a un usuario legítimo.
• Es difícil determinar la responsabilidad (cliente o operador) en muchas
ocasiones con este tipo de ataques.
Quobis Networks SLU Todos los derechos reservados 11
ATAQUES ESCUCHAS ILEGALES
Debido a su naturaleza IP es más sencillo capturar el tráfico de señalización y audio por parte de posibles atacantes para obtener información bien sea del propio audio de la llamada, así como la propia información de las llamadas intercambiadas por un usuario. Esto es especialmente peligroso en redes Wi-Fi sobre las que se curse tráfico VoIP y que no estén debidamente protegidas.
Quobis Networks SLU Todos los derechos reservados 12
ATAQUES CONTROL ILEGAL
Si un atacante consigue las credenciales de un usuario tiene control absoluto sobre la línea: ✔ Puede utilizarla para hacer llamadas de alto coste: perjudica al operador y al cliente.
✔Estás líneas se pueden utilizar para terminar llamadas de otros clientes a los que el atacante vende servicios (Ojo a permitir varias líneas simultáneas a clientes!).
✔Para actividades ilegales, dificultando en gran medida el seguimiento judicial de las llamadas.
Quobis Networks SLU Todos los derechos reservados 13
ATAQUES METODOLOGÍA DE UN ATAQUE VOIP
1.- Sondeo y localización. 2.- Identificación y planificación ataque. 3.- Ataque de fuerza bruta. 4.- Acto criminal.
Quobis Networks SLU Todos los derechos reservados 14
ATAQUES METODOLOGÍA DE UN ATAQUE VOIP
1.- Sondeo y localización. Objetivo: identificar IPs y puertos con servicios VoIP. Método: ping IP y ping SIP (principalmente método OPTIONS)
Quobis Networks SLU Todos los derechos reservados 15
ATAQUES METODOLOGÍA DE UN ATAQUE VOIP
2.- Identificación y planificación ataque. Objetivo: averiguar qué hardware y/o software da el servicio y qué tipo de servicio se trata. Método: se planifica el ataque en función del sistema a atacar. Se consultan BBDD con información de vulnerabilidades conocidas del sistema y/o prestador de servicio de telefonía.
Quobis Networks SLU Todos los derechos reservados 16
ATAQUES METODOLOGÍA DE UN ATAQUE VOIP
3.- Ataque de fuerza bruta. Objetivo: obtener usuarios y password válidas. Método: mediante el envío de mensajes de forma repetitiva con diferentes identificadores de usuario y passwords.
Quobis Networks SLU Todos los derechos reservados 17
ATAQUES METODOLOGÍA DE UN ATAQUE VOIP
4.- Acto criminal. Objetivo: casi siempre, ganar dinero con llamadas internacionales de facturación elevada. Método: realización de llamadas telefónicas para realizar fraude telefónico, suplantación de identidad y/o uso de línea para fines delictivos.
Quobis Networks SLU Todos los derechos reservados 18
ATAQUES OTROS PUNTOS DE ENTRADA
1.- SIP trunk contra proveedor: si no se
asegura correctamente puede ser una
puerta de entrada sencilla.
2.- Acceso ssh/telnet/web al servidor
del servicio: muchas aplicaciones
permiten generar llamadas externas
mediante línea de comandos. Es posible
acceder a interfaces de gestión de PBX
a través de buscadores públicos!!.
3.- Obtención de datos de acceso
mediante ingeniería social y phising.
INTERCONEXIÓN
DEFENSA
Quobis Networks SLU Todos los derechos reservados 20
PROTECCIÓN DISEÑO DE LA INFRAESTRUCTURA
La primera de la medidas para fijar un estándar de protección es dotar a al red de los elementos lógicos y físicos necesarios para evitar ataques:
• El correcto dimensionamiento de los equipos (CPU, memoria, puertos disponibles, etc)
• El uso de una VLAN o varias VLANs dedicadas para el transporte del tráfico VoIP.
• Sistema de prevención de intrusiones externas (firewalls, gestión de acceso a la interfaz de gestión de los equipos).
• Utilización de VPNs para acceso /interconexión de sistemas VoIP cuando sea posible.
Quobis Networks SLU Todos los derechos reservados 21
PROTECCIÓN TECNOLOGÍAS SEGURAS. ENCRIPTACIÓN
Podemos mejorar la seguridad y confianza de la red VoIP mediante técnicas de encriptación
Encriptación a dos niveles:
Señalización: mediante protocolo TLS. Ante una eventual intrusión, no se conocen datos de la llamada (códecs, número A/B, IP’s, etc…)
Media: mediante protocolo SRTP. Impide la escucha de llamada en caso de captura del flujo, que es relativamente sencillo.
La encriptación se puede realizar en varios puntos:
En el IP TRUNK entre clientes y operadores
En escenario de acceso, donde los clientes se registran contra un softswitch.
IVR Grabador
Centro principal Centro secundario
PBX
Encriptación señalización (TLS) Centro principal
Autenticación (MTLS)
Encriptación media (SRTP) PBX SIP
Quobis Networks SLU Todos los derechos reservados 22
PROTECCIÓN TECNOLOGÍAS SEGURAS . TLS, SRTP Y ZRTP
1. TLS (Transport Layer Security)
• Dificulta en gran medida los ataques ya que encripta la señalización de la comunicación, pero por si solo no consituye la medida definitiva anti-fraude.
• Exige un mayor número de recursos en el servidor.
• Se puede utilizar para autenticar al operador, o también al operador y cliente, que el escenario ideal.
• Conlleva una gestión de certificados que puede ser muy costosa si no se utilizan técnicas adecuadas.
2. SRTP (secure Real Time Protocol)
• Encripta el audio, por lo que favorece la seguridad pero puede dificultar tareas de troubleshooting.
• Debe ser usado siempre con TLS para que sea realmente útil
3. ZRTP
• Las claves de encriptado se negocian dentro del propio flujo de audio, por lo que los dos extremos deben soportarlo.
• Del creador de PGP. No está totalmente definido el estándar. En producción se utiliza SRTP.
Quobis Networks SLU Todos los derechos reservados 23
PROTECCIÓN SESSION BORDER CONTROLLERS
Los SBC son los elementos de red diseñados específicamente para garantizar la Interconexión y seguridad en las redes VoIP, cubriendo aspectos como el control de QoS, encriptación o ocultación de la red interna, entre otras muchas cosas.
Por ejemplo, aplicando tecnología de manipulación de cabeceras, es capaz de ocultar nuestra topología de red hacia el exterior: - Enmascarando direcciones IP de nuestros elementos de red. - Enmascarando los campos Via de la cabecera SIP. - Eliminando rutas de direccionamiento internas.
Quobis Networks SLU Todos los derechos reservados 24
PROTECCIÓN SBC. Punto de acceso y enrutamiento
Los session border controller enrutan llamadas en base a diferentes políticas.
Las políticas de enrutado pueden ser tanto internas como externas: • Estáticas • ENUM (interno o externo) • DNS SRV
Aplicación típica: • Balanceo de carga (robustez)
• Punto de control de acceso desde redes no seguras
24 24
IVR
ACD CRM
PBX
CPD SECUNDARIO
IVR
ACD CRM
AS
CPD PRINCIPAL
Operador #1
Operador #2
GW GW
PSTN
Clientes
CallCenter Externalizado
Teleagentes
Internet
OPERADORES
PBX
SBC
Quobis Networks SLU Todos los derechos reservados 25
PROTECCIÓN SESSION BORDER CONTROLLERS. Control QoS Ya que el tráfico SIP o H323 atraviesa el SBC, éste puede controlar de forma dinámica la
calidad llamada a llamada
Verificación de varios puntos de cada sesión: • Revisión del SLA en el IP PEERING. ¿Nos ofrecen lo que dicen?
• Revisión del SLA con nuestros clientes. ¿Ofrecemos lo que decimos?
El SBC comprueba varios parámetros de QoS: De red: jitter, latencia, retardo
De audio: factor R, factor MOS
El SBC no sólo registra y monitoriza la calidad del enlace, sino que toma decisiones (enrutamiento, denegación de llamada, alarma, etc…) para garantizar la calidad de servicio.
Operador #1
Operador #2
Plataforma Propia
Medida y routing en función de parámetro de QoS
SBC
Pu
nto
de
co
ntr
ol
Quobis Networks SLU Todos los derechos reservados 26
PROTECCIÓN SESSION BORDER CONTROLLERS. Duplicación de tráfico
Los SBC no son un grabador de llamadas, pero permiten replicar el flujo de una llamada hacia un grabador especializado. La grabación en IP aporta flexibilidad a las configuraciones:
• Grabación sobre un IP TRUNK completo • Grabación selectiva sobre un IP TRUNK, con varias políticas
En función del número origen o destino En función de la ruta En función del código
• Grabación bajo demanda (intercepción legal)
IVR
Centro principal
ACD
Cliente #1
Cliente #2
BD grabaciones
SBC
Replicación tráfico para reenvío al grabador
CRM PBX SIP
Quobis Networks SLU Todos los derechos reservados 27
PROTECCIÓN Ejemplo de sistema: IDENTITYCALL
Posibilidad de garantizar la identidad de los interlocutores, ya que el usuario debe usar su certificado digital o DNI electrónico
Aplicaciones principales de IdentityCall:
Quobis Networks SLU Todos los derechos reservados 28
Solución PC/MAX y Smartphones
Encriptación extremo a extremo
Plataforma hw orientada a banca, sanidad y grandes corporaciones
PROTECCIÓN Ejemplo de sistema: IDENTITYCALL
Quobis Networks SLU Todos los derechos reservados 29
MONITORIZACIÓN
Además de medidas de seguridad preventiva es importante tener una monitorización absoluta de la red, especialmente de los eventos que son tarificados a clientes. Ideas clave:
• Las herramientas de monitorización de red (SNMP, IDS, IPS,…) no cubren los posibles ataques a las redes de voz.
• Una parte importante de los ataques (fraudes en llamadas,…) no se pueden bloquear preventivamente sin comprometer el negocio.
• Una estrategia mixta de prevención y monitorización es lo más adecuado.
IVR
Centro
ACD CRM PBX SIP
Quobis Networks SLU Todos los derechos reservados 30
MONITORIZACIÓN PALLADION. INTRODUCCIÓN
Powered by:
Solución de troubleshooting y monitorización de usuarios en redes NGN
Orientada a operadores para ser instalada en el NOC
Visión unificada de toda la red, verificando el servicio que recibe cada usuario y detectando ataques e identificando y alertando de fraudes.
Independiente de los fabricantes
Basada en estándares
Integración sencilla
Aporta mucha más información que el softswitch
Quobis Networks SLU Todos los derechos reservados 31
MONITORIZACIÓN PALLADION. INTRODUCCIÓN
Monitorización y testeo de los niveles de calidad y seguridad en redes de voz de operadores, basados en la definición de alertas e indicadores (KPI) como:
• Llamadas en curso
• Llamadas no cursadas
• Intentos de llamada
• Duración media
• Calidad audio (MOS,R)
• ASR
• CSR
• Info por IP y/o user
• etc (hasta varios cientos
de indicadores diferentes)
Quobis Networks SLU Todos los derechos reservados 32
MONITORIZACIÓN PALLADION. EJEMPLO
Troubleshooting. Problema: el usuario A dice que no es capaz de realizar algunas llamadas desde su softphone. Consulta en Palladion: con Palladion podemos comprobar todas las llamadas realizadas por el cliente en los últimos meses pudiendo reproducir la traza completa (si la llamada se encuentra en el búfer) de forma que podamos identificar el problema.
Quobis Networks SLU Todos los derechos reservados 33
MONITORIZACIÓN PALLADION. EJEMPLO
Fraud Detection and Prevention. Problema: el usuario ha excedido un umbral fijado de minutos en un día. Consulta en Palladion: Palladion nos avisa por correo y mediante traps SNMP del evento, que podemos consultar en la plataforma de Fraud Detection como incidentes.
INTERCONEXIÓN
ROBUSTEZ
Quobis Networks SLU Todos los derechos reservados 35
ROBUSTEZ ALTA DISPONIBILIDAD
Los sistemas deben ser lo más robustos posibles para minimizar los tiempos de caída. Es importante tener en cuenta la interacción que tiene el sistema telefónico con otros servicios: LDAP, BBDD. En un ataque DoS lo primero en caer serán los cuellos de botella, por lo que el dimensionamiento tiene que ser cuidadoso. Al depender de la infraestructura de datos, es importante que ésta también proporcione a redundancia necesaria.
Quobis Networks SLU Todos los derechos reservados 36
ROBUSTEZ ALTA DISPONIBILIDAD
Para garantizar Alta Disponibilidad los sitemas siempre se redundan. Esta redundancia puede ser Activo-Activo o Activo-Pasivo e implica la instalación de dos o más sistemas equivalentes. La instalación en Alta Disponibilidad también es importante para poder dar servicio mientras se realizan tareas de mantenimiento (actualizaciones, recambios hw, etc). La virtualización, y cada vez más los despliegues de sistemas en la nube permiten dar aún más sobustez a las soluciones.
EN RESUMEN
Quobis Networks SLU Todos los derechos reservados 37
ATAQUES • Denegación de servicio • Fraude • Escuchas y control ilegal
DEFENSA PROTECCIÓN
• Diseño de la arquitectura y encriptación • Session border controllers • Autentificación de llamadas
MONITORIZACION
ROBUSTEZ • Alta Disponibilidad • Redundancia
QUOBIS NETWORKS Pol. A Granxa P.260
36400 Porriño (Spain)
Tlf. +34 902 999 465
Sip://sip.quobis.com
www.quobis.com
Recommended