Professional Documents
Culture Documents
introduccin
etapas
avance
proyecciones
Voz sobre IP
Tecnologas VoIP. Protocolo SIP. TrixBox: CentOS + Asterisk + freePBX. Telfonos Linksys SPA922 + X-Lite. Vulnerabilidades Protocolo SIP.
introduccin
etapas
avance
proyecciones
Plan de accin
1) Listado de potenciales falencias asociadas. 2) Montaje del sistema VoIP. 3) Levantamiento de servicios y testeo de vulnerabilidades.
4) Resultados
introduccin
etapas
avance
proyecciones
Montaje sistema
Red rea local
PBX
PBX Softphone
Softphone
Telfono IP
Telfono IP
introduccin
etapas
avance
proyecciones
Listado falencias
1. Ruptura de protocolos de autenticacin usados en VoIP. 2. Secuestro de sesiones 3. Captura de trfico VoIP
introduccin
etapas
avance
proyecciones
1. Autenticacin
Mtodo de Autenticacin de VoIP : HTTP Digest - sencillo, eficiente (ancho de banda, CPU) pero inseguro.
esquema desafo Digest realm qop
auth, auth-int
nonce
opaque
algorithm
asterisk
4f8c2free
MD5
qop
auth,
nc 00000001
cnonce err98dsa
response
e987sad613etg
introduccin
etapas
avance
proyecciones
1. Autenticacin
Cracking HTTP - Digest. - GNU/Linux
sipdump: captura trfico. sipcrack: ataque criptogrfico.
SIPcrack
- MS Windows
Cain&Abel
introduccin
etapas
avance
proyecciones
2. Secuestro sesiones
Operando con SIPcrack
comandos utilizados envenenamiento de la red
introduccin
etapas
avance
proyecciones
2. Secuestro sesiones
Operando con SIPcrack
cracking de contraseas por diccionario
introduccin
etapas
avance
proyecciones
2. Secuestro sesiones
Operando con Cain&Abel
captura de paquetes
introduccin
etapas
avance
proyecciones
2. Secuestro sesiones
Operando con Cain&Abel
resultado sniffer
introduccin
etapas
avance
proyecciones
2. Secuestro sesiones
Operando con Cain&Abel
descifrando passwd por diccionario
introduccin
etapas
avance
proyecciones
2. Secuestro sesiones
Operando con Cain&Abel
descifrando passwd por fuerza bruta
introduccin
etapas
avance
proyecciones
2. Secuestro sesiones
Operando con Cain&Abel
resultado
introduccin
etapas
avance
proyecciones
3. Captura trfico
Operando con Cain&Abel
captura de paquetes resultado
introduccin
etapas
avance
proyecciones
Listado falencias
Ataques de Denegacin de Servicio ( DoS )
Ataques a terminales Ataques en redes VoWiFi ( VoIP sobre WiFi )
Preguntas?
Bibliografa
- Building telephony systems with asterisk. ( D Gomillion, B Dempster ) - Asterisk: the future of the telephony ( Jim Van Meggelen 2005 ) - Hacking Exposed VoIP Voice Over IP Security Secrets & Solutions
( David Endler, Mark Collier )