МАСТЕР-КЛАСС «CALL TRACKING — MUST HAVE ИНСТРУМЕНТ ДЛЯ БИЗНЕСА»
Positive Hack Days. Грицай. Мастер-класс: БезопасностьVOIP
-
Upload
positive-hack-days -
Category
Technology
-
view
5.713 -
download
2
Transcript of Positive Hack Days. Грицай. Мастер-класс: БезопасностьVOIP
![Page 1: Positive Hack Days. Грицай. Мастер-класс: БезопасностьVOIP](https://reader031.fdocuments.in/reader031/viewer/2022032122/55d57ad2bb61eb9a2f8b470e/html5/thumbnails/1.jpg)
^безопасность
VOIPмастер-класс
“I just called to say I pwn youI just called to say how much I care
I just called to say I own youAnd I mean it from the bottom of my heart”
Stevie Wonder
![Page 2: Positive Hack Days. Грицай. Мастер-класс: БезопасностьVOIP](https://reader031.fdocuments.in/reader031/viewer/2022032122/55d57ad2bb61eb9a2f8b470e/html5/thumbnails/2.jpg)
План мастер-класса
О VOIP• PSTN & VOIP• PSTN vs. VOIP• Протоколы VOIP• Безопасность VOIP
Атаки на VOIP• Поиск устройств• RTP (+практика)• SIP (+практика)• Материалы для дальнейшего изучения
![Page 3: Positive Hack Days. Грицай. Мастер-класс: БезопасностьVOIP](https://reader031.fdocuments.in/reader031/viewer/2022032122/55d57ad2bb61eb9a2f8b470e/html5/thumbnails/3.jpg)
PSTN / Public switched telephone network
PSTN - Телефонная сеть общего пользования
![Page 4: Positive Hack Days. Грицай. Мастер-класс: БезопасностьVOIP](https://reader031.fdocuments.in/reader031/viewer/2022032122/55d57ad2bb61eb9a2f8b470e/html5/thumbnails/4.jpg)
VOIP / Voice over Internet Protocol
VOIP
![Page 5: Positive Hack Days. Грицай. Мастер-класс: БезопасностьVOIP](https://reader031.fdocuments.in/reader031/viewer/2022032122/55d57ad2bb61eb9a2f8b470e/html5/thumbnails/5.jpg)
PSTN vs. VOIP
Среда передачи данных• PSTN – Закрытая сеть• VOIP – Открытая сеть – Интернет
Конечные устройства• PSTN – Простые устройства – Ограниченный
функционал• VOIP – Сложные устройства
Идентификация (Аутентификация)• PSTN – Отсутствие мобильности – Идентификация
осуществляется по физическому каналу• VOIP – Мобильность
![Page 6: Positive Hack Days. Грицай. Мастер-класс: БезопасностьVOIP](https://reader031.fdocuments.in/reader031/viewer/2022032122/55d57ad2bb61eb9a2f8b470e/html5/thumbnails/6.jpg)
Протоколы VOIP
Signaling Сигнальные протоколыMedia Потоковые протоколы
Установка соединения и передача потоковых данных происходит по разным маршрутам
![Page 7: Positive Hack Days. Грицай. Мастер-класс: БезопасностьVOIP](https://reader031.fdocuments.in/reader031/viewer/2022032122/55d57ad2bb61eb9a2f8b470e/html5/thumbnails/7.jpg)
Протоколы VOIP: Сигнальные
• SIP Session Initiation Protocol• SDP Session Description Protocol• H.323 H.323• MGCP Media Gateway Control Protocol• SCCP Skinny Client Control Protocol• RTCP Real-time Transfer Control Protocol
![Page 8: Positive Hack Days. Грицай. Мастер-класс: БезопасностьVOIP](https://reader031.fdocuments.in/reader031/viewer/2022032122/55d57ad2bb61eb9a2f8b470e/html5/thumbnails/8.jpg)
Протоколы VOIP: Потоковые и Гибридные
Потоковые• RTP/SRTP
Гибридные signaling + media• IAX/IAX2
![Page 9: Positive Hack Days. Грицай. Мастер-класс: БезопасностьVOIP](https://reader031.fdocuments.in/reader031/viewer/2022032122/55d57ad2bb61eb9a2f8b470e/html5/thumbnails/9.jpg)
Проблемы безопасности VOIP
Конфиденциальность• перехват звонков, запись звонков, …
Доступность• DoS, переполнение буфера, …
Аутентичность• перехват регистрации, подмена Caller ID, …
Хищения• toll fraud, маскирование данных под VOIP трафик,
…
SPIT (SPAM over IP Telephony)• voice phishing, нежелательные звонки, …
![Page 10: Positive Hack Days. Грицай. Мастер-класс: БезопасностьVOIP](https://reader031.fdocuments.in/reader031/viewer/2022032122/55d57ad2bb61eb9a2f8b470e/html5/thumbnails/10.jpg)
Проблемы безопасности VOIPОбсуждаем сегодня
Поиск VOIP устройств• поиск в открытых источниках• использование порт сканеров
Протокол RTP• перехват/запись звонков• внедрение потока в звонок• DoS
Протокол SIP• ищем телефонные номера • подмена Caller name• DoS
![Page 11: Positive Hack Days. Грицай. Мастер-класс: БезопасностьVOIP](https://reader031.fdocuments.in/reader031/viewer/2022032122/55d57ad2bb61eb9a2f8b470e/html5/thumbnails/11.jpg)
Поиск VOIP устройствGoogle hacking
Google hacking• GHDB• User manual -> запрос Google
inurl: intitle: site:<Customer> !
Примеры:Asterisk Management Portal: intitle:asterisk.management.portal web-accessCisco Phones: inurl:"NetworkConfiguration" ciscoCisco CallManager: inurl:"ccmuser/logon.asp"D-Link Phones: intitle:"D-Link DPH" "web login setting"Grandstream Phones: intitle:"Grandstream Device Configuration" passwordLinksys (Sipura) Phones: intitle:" SPA Configuration"Polycom Soundpoint Phones: intitle:"SoundPoint IP Configuration"
![Page 12: Positive Hack Days. Грицай. Мастер-класс: БезопасностьVOIP](https://reader031.fdocuments.in/reader031/viewer/2022032122/55d57ad2bb61eb9a2f8b470e/html5/thumbnails/12.jpg)
Поиск VOIP устройствShodan [1/2]
www.shodanhq.com• поиск по хостам/портам/etc в сети
![Page 13: Positive Hack Days. Грицай. Мастер-класс: БезопасностьVOIP](https://reader031.fdocuments.in/reader031/viewer/2022032122/55d57ad2bb61eb9a2f8b470e/html5/thumbnails/13.jpg)
Поиск VOIP устройствShodan [2/2]
shodanhq индексирует баннеры сервисов• поиск телефонов Snom без паролей
![Page 14: Positive Hack Days. Грицай. Мастер-класс: БезопасностьVOIP](https://reader031.fdocuments.in/reader031/viewer/2022032122/55d57ad2bb61eb9a2f8b470e/html5/thumbnails/14.jpg)
Поиск VOIP устройствnmap
Специализированные VOIP сканеры
• smap• svmap (sipvicious)
Fyodor’s nmap• -sU
Проблемы сканирования UDP
![Page 15: Positive Hack Days. Грицай. Мастер-класс: БезопасностьVOIP](https://reader031.fdocuments.in/reader031/viewer/2022032122/55d57ad2bb61eb9a2f8b470e/html5/thumbnails/15.jpg)
Поиск VOIP устройствРаспространенные порты
VOIP протоколы• 5060-5070, 1718-1720, 2517, ….• RTP порты выделяются динамически
Протоколы управления (вектор вне контекста)• TCP 21-23, 80, 443, 8088, …• UDP 161, 162, 69, …
IANA• Internet Assigned Numbers Authority• grep <vendor> www.iana.org/assignments/port-numbers
![Page 16: Positive Hack Days. Грицай. Мастер-класс: БезопасностьVOIP](https://reader031.fdocuments.in/reader031/viewer/2022032122/55d57ad2bb61eb9a2f8b470e/html5/thumbnails/16.jpg)
RTP
Real-time Transport Protocol• RFC 1889 (1996) заменен на RFC 3550 (2003)• Передача мультимедийных потоков через IP/UDP• Переупорядочивание пакетов• Пересылка времени отправителя получателю• Используется c сигнальными протоколами (SIP, H.323,
MGCP)
RTCP (Real-time Transport Control Protocol)• RTP (обычно) использует четный порт, RTCP использует
RTP port + 1
![Page 17: Positive Hack Days. Грицай. Мастер-класс: БезопасностьVOIP](https://reader031.fdocuments.in/reader031/viewer/2022032122/55d57ad2bb61eb9a2f8b470e/html5/thumbnails/17.jpg)
RTP Атаки
Перехват сессии• Атакуем уровни < UDP• Декодируем перехваченную информацию
Внедрение трафика• Ищем RTP порт• Внедряем медиа поток
Отказ в обслуживании• Флудим RTP
![Page 18: Positive Hack Days. Грицай. Мастер-класс: БезопасностьVOIP](https://reader031.fdocuments.in/reader031/viewer/2022032122/55d57ad2bb61eb9a2f8b470e/html5/thumbnails/18.jpg)
RTP АтакиПерехват сессии
ARP spoofing• Cain & abel• ettercap• arpspoof (dsniff)
Wireshark• Telephony• VOIP calls
Демонстрация
![Page 19: Positive Hack Days. Грицай. Мастер-класс: БезопасностьVOIP](https://reader031.fdocuments.in/reader031/viewer/2022032122/55d57ad2bb61eb9a2f8b470e/html5/thumbnails/19.jpg)
RTP АтакиВнедрение трафика: Синхронизация
sequence number позиция в медиа потоке +=1
timestamp воспроизведение потока +=1(сэпмлинг)
SSRC идентификация отправителя const(32 битное случайное число)
payload type используемый кодек
![Page 20: Positive Hack Days. Грицай. Мастер-класс: БезопасностьVOIP](https://reader031.fdocuments.in/reader031/viewer/2022032122/55d57ad2bb61eb9a2f8b470e/html5/thumbnails/20.jpg)
RTP АтакиВнедрение трафика
Отсутствие шифрования• сложность настройки (отладки)• нагрузка на канал – качество потока
UDP – нет установки соединения
Мониторинг/что нужно перехватить• SSRC – константа• timestamp, sequence number – монотонно
возрастающие• timestamp, sequence number можно фаззить
![Page 21: Positive Hack Days. Грицай. Мастер-класс: БезопасностьVOIP](https://reader031.fdocuments.in/reader031/viewer/2022032122/55d57ad2bb61eb9a2f8b470e/html5/thumbnails/21.jpg)
RTP АтакиВнедрение трафика
Поиск RTP порта• Перехватываем SDP• Сканируем порты
Внедряем данные• Готовим данные для внедрения
Частота Кодек
Демонстрация• SDP || nmap• rtpinsertsound• Срабатывание != 100%
![Page 22: Positive Hack Days. Грицай. Мастер-класс: БезопасностьVOIP](https://reader031.fdocuments.in/reader031/viewer/2022032122/55d57ad2bb61eb9a2f8b470e/html5/thumbnails/22.jpg)
RTP АтакиОтказ в обслуживании
Флуд• Низкие требования к нагрузке канала• Медиа поток - вычислительные мощности• Идентификация - SIP• UDP - нет установки соединения
Демонстрация• rtpflood
![Page 23: Positive Hack Days. Грицай. Мастер-класс: БезопасностьVOIP](https://reader031.fdocuments.in/reader031/viewer/2022032122/55d57ad2bb61eb9a2f8b470e/html5/thumbnails/23.jpg)
SIP
Session Initiation ProtocolApplication layer (TCP/UDP)ASCII сообщенияЗаголовок SIP ~= Заголовок e-mail Сообщение
• URI
![Page 24: Positive Hack Days. Грицай. Мастер-класс: БезопасностьVOIP](https://reader031.fdocuments.in/reader031/viewer/2022032122/55d57ad2bb61eb9a2f8b470e/html5/thumbnails/24.jpg)
SIP Компоненты
UA (User agent), Proxy, Registrar, Redirect
Звонок через Proxy Звонок через Redirect
![Page 25: Positive Hack Days. Грицай. Мастер-класс: БезопасностьVOIP](https://reader031.fdocuments.in/reader031/viewer/2022032122/55d57ad2bb61eb9a2f8b470e/html5/thumbnails/25.jpg)
SIP Атаки
Звоним через PBX по соседству • Ищем extension-ы• Брутим пароли
Подмена Caller name
Перехват регистрации
Отказ в обслуживании• Занимаем линии
![Page 26: Positive Hack Days. Грицай. Мастер-класс: БезопасностьVOIP](https://reader031.fdocuments.in/reader031/viewer/2022032122/55d57ad2bb61eb9a2f8b470e/html5/thumbnails/26.jpg)
SIP Запросы
INVITE инициализация звонкаBYE завершение соединенияOPTIONS типы SIP сообщений и кодекиREGISTER регистрация пользователяACK подтверждение INVITE-аCANCEL завершение неустановленных
соединенийдругие
![Page 27: Positive Hack Days. Грицай. Мастер-класс: БезопасностьVOIP](https://reader031.fdocuments.in/reader031/viewer/2022032122/55d57ad2bb61eb9a2f8b470e/html5/thumbnails/27.jpg)
SIP Ответы
1хх Informational (100 Trying, 180 Ringing)2xx Successful (200 OK, 202 Accepted)3xx Redirection (302 Moved Temporarily)4xx Request Failure (404 Not Found, 482 Loop Detected)5xx Server Failure (501 Not Implemented)6xx Global Failure (603 Decline)
![Page 28: Positive Hack Days. Грицай. Мастер-класс: БезопасностьVOIP](https://reader031.fdocuments.in/reader031/viewer/2022032122/55d57ad2bb61eb9a2f8b470e/html5/thumbnails/28.jpg)
SIP соединение
![Page 29: Positive Hack Days. Грицай. Мастер-класс: БезопасностьVOIP](https://reader031.fdocuments.in/reader031/viewer/2022032122/55d57ad2bb61eb9a2f8b470e/html5/thumbnails/29.jpg)
SIP АтакиЗвоним через PBX по соседству
Звоним через PBX по соседству • Ищем extension-ы• Брутим пароли• Совершаем звонок
Практика с Sipvicious• svmap <ip>• svwar –e<extensions> <ip> -m<ЗАПРОС>• svcrack –u<extension> -d <словарь> <ip>• Настраиваем softphone
![Page 30: Positive Hack Days. Грицай. Мастер-класс: БезопасностьVOIP](https://reader031.fdocuments.in/reader031/viewer/2022032122/55d57ad2bb61eb9a2f8b470e/html5/thumbnails/30.jpg)
SIP АтакиПодмена Caller name
Подмена Caller Name• Softphone
Практика c X-Lite• Настраиваем softphone – caller name spoofing
Display name ‘ 1=1 -- Domain ip телефона Register отключить
![Page 31: Positive Hack Days. Грицай. Мастер-класс: БезопасностьVOIP](https://reader031.fdocuments.in/reader031/viewer/2022032122/55d57ad2bb61eb9a2f8b470e/html5/thumbnails/31.jpg)
SIP АтакиПерехват регистрации
Перехват регистрации• INVITE на PBX• Поиск пользователя в базе регистраций• Register
Contact header: ip address
Практика c X-Lite• Настраиваем softphone – registration hijacking
Register settings• rate
![Page 32: Positive Hack Days. Грицай. Мастер-класс: БезопасностьVOIP](https://reader031.fdocuments.in/reader031/viewer/2022032122/55d57ad2bb61eb9a2f8b470e/html5/thumbnails/32.jpg)
SIP АтакиОтказ в обслуживании
Отказ в обслуживании• Без аутентификации
-> INVITE <- TRYING … <- Busy here
• HTTP digest -> INVITE Генерация и хранение nonce
Практика• inviteflood
![Page 33: Positive Hack Days. Грицай. Мастер-класс: БезопасностьVOIP](https://reader031.fdocuments.in/reader031/viewer/2022032122/55d57ad2bb61eb9a2f8b470e/html5/thumbnails/33.jpg)
Материалы для дальнейшего изучения
Подготовить лабораторию• http://enablesecurity.com/resources/how-to-set-up-a-
voip-lab-on-a-shoe-string/
Читать книгу и экспериментировать• Hacking Exposed VoIP—Voice Over IP Security
Secrets & Solutions
Разбираться с более сложными и современными атаками
• “Having fun with RTP” by kapejod• “SIP home gateways under fire” by Anhängte
Dateien
Fuzzing
![Page 34: Positive Hack Days. Грицай. Мастер-класс: БезопасностьVOIP](https://reader031.fdocuments.in/reader031/viewer/2022032122/55d57ad2bb61eb9a2f8b470e/html5/thumbnails/34.jpg)
QA