Es una técnica de seguridad muy particular, fácil, simple y útil. Es utilizado para no dejar puertos a la escucha, por ejemplo en entornos Linux utilizamos el puerto 22 para administración remota, pero continuamente recibimos varios ataques como fuerza bruta por tener este puerto abierto. Podemos evitar dichos ataques e incluso prevenir escaneos utilizando dicha técnica.

Por ejemplo, una analogía del portknocking podría ser el presidente de una importante empresa suele cerrar con llave electrónica su oficina y nadie tiene acceso a esta cuando él se encuentra dentro, no suele atender nadie salvo a su secretaria de confianza, la cual posee una especie de contraseña para el acceso. Dicha contraseña es una serie de golpes en su puerta (knock, knock), si es la correcta el presidente habilita el paso de la secretaria mediante un pulsador, caso contrario, si su puerta es golpeada con otra serie de golpes distinta a la que conoce la secretaria no autorizará el acceso.

El PortkKnoking consiste en tener un puerto bloqueado por el firewall hasta que se reciba “el golpe correcto” (knock), en nuestro caso utilizaremos el envió de paquetes a determinados puertos configurados previamente en un orden determinado.

Por ejemplo si deseamos abrir el puerto 22 para una conexión SSH de una determinada ip, enviaremos un knock de dicho host a los puertos 7000, 8000 y 9000 en el orden correcto, esto habilitará una regla en el firewall permitiendo tener acceso a dicho puerto desde la ip de donde fue realizado el “golpe”. En cambio si ejecutamos el knock a los puertos en orden inverso, es decir 9000, 8000 y 7000, en este caso se habilitaría una regla bloqueando el acceso al puerto 22. Cabe aclarar que estos puertos son configurados previamente y en un orden establecido por nosotros, puede modificarse a gusto de cada uno.

Vamos recorrer este camino, que al final del mismo nos dirá que es recomendable realizar. Para no tener que plantearnos este interrogante debemos tener en cuenta algunos puntos importantes, en la configuración de nuestro sistema.

Estos puntos son:

• Tener una política de acceso físico al servidor adecuada.
• Tener un firewall correctamente configurado. En el caso de no tener la posibilidad de contar con un equipo dedicado, configurar las reglas de filtrado directamente en el servidor de comunicaciones.
• Política de password fuertes, tanto para los usuarios como para las extensiones.
• Políticas de acceso remoto limitado por firewall, ACL, y usuarios.
• Tener listas de Acceso (ACL) para las registraciones de las extensiones.
• Rotación de password periódicas (SIP y del sistema).
• No dejar los usuarios y password por defectos en los productos como FreePBX, Elastix, Trixbox.
• Utilizar un IPS.
• En el caso de utilizar el protocolo SIP, autentificar el paquete de INVITE.
• No permitir llamadas sin autentificar.
• Validar la integridad de los ejecutables del sistema.
• Tener un control de la integridad de los directorios y archivos.
• Correr solo los servicios que realmente sean necesarios.
• Implementar Monitoreo y log remotos.
• Una solución a conciencia de Backup y desaster recovery.

Actualmente el protocolo mas difundido para VoIP es SIP, el software de PBX mas difundido es Asterisk. Al tratarse de una solución Open Source, existen muchos ojos puestos sobre él. Sin embargo la mayoría de los “hackeos” son realizados por malas implementaciones, generalmente por no tomar algunos recaudos más arriba mencionados.

De esta manera lo primero que necesita realizar es una revisión de los puntos mencionados. Después de implementar estos puntos debe tener una política de revisión de logs. Si usted implementa correctamente un servidor de comunicaciones, no debería correr ningún sobresalto, sin embargo, siempre es una buena práctica revisar a diario los logs de sistema, como así también estar al día con las actualizaciones de seguridad.

Ahora volvamos a pregunta del principio.

¿Qué hacer una vez, que el servidor de comunicaciones ha sido vulnerado?

Revisar si ha cumplido con todas las buenas prácticas mencionadas.

Detectar cual fue el punto de acceso al servidor.

Preparar una lista de tareas a realizar.

Hacerse responsable de la falla de seguridad (de esta manera se concientizara para que no vuelva a suceder).

Buscar ayuda profesional si lo considera necesario, siempre será más económico pagar una empresa para que realice estas tareas que tener que pagar una factura telefónica de miles de dólares.

Por último REINSTALAR el servidor de comunicaciones, ya que NO podrá garantizar la integridad del sistema una vez que este ha sido vulnerado.

Una vez finalizada la nueva instalación implementar todas las buenas prácticas arriba mencionadas.

Es difícil conseguir seguridad total o vulnerabilidad 0. La mayoría de los atacantes intentara algunas de las técnicas mencionadas en la entrada Seguridad en SIP, de este blog, si esta adecuadamente configurado el firewall el servidor de comunicaciones será “invisible” para el atacante. Si por algún motivo el firewall no está bien configurado o se decide dejar a la vista algunos servicios, el IPS debería bloquearlo e impedir cualquier tipo de ataque, ya sea, al acceso por SSH, atacando una cuenta SIP, etc. Por ello siempre es necesario tener un segundo o tercer cordón de seguridad. Generalmente los atacantes no pretenden perder tiempo, si detectan que su víctima tiene algún nivel de seguridad implementado, buscan a otra, que tal vez no tenga los recaudos necesarios.

Si al momento de leer estas líneas nota que no tiene implementado alguna de estas buenas prácticas, o las implementadas no están completas, tome su tiempo para planificar estas medidas. Si nota que no puede planificar o implementar una o algunas de las políticas presentadas aquí, busque ayuda, su empresa se lo agradecerá.

Espero que estas líneas los ayuden a no tener que hacerse la tan temida pregunta y en el caso desafortunado de tener hacerla tenga alguna referencia de las tareas que deba realizar.

Pronto seguiremos con más artículos de seguridad.

El avance constante de la telefonía y la VOIP hace que día a día aumenten las instalaciones de servidores de comunicaciones. Paralelo a este avance van las técnicas de ataques a estos servidores. Las herramientas actuales hacen que cualquier persona con un mínimo de conocimiento pueda realizar un daño grande en estos servidores.

Uno de los protocolos más utilizados en el mundo de VOIP es SIP RFC3261.

Session Initiation Protocol, protocolo del IETF para VoIP, texto y sesiones multimedia.

Protocolo de señalización de capa de aplicación para iniciación, modificación y terminación de sesiones de comunicación multimedia entre usuarios.

SIP utiliza HTTP Digest (RFC2617) como mecanismo de autenticación

• Sencillo
• Eficiente
• Inseguro

Funcionamiento

El UAC envía el mensaje SIP de REGISTER al Servidor de autentificación (Proxy, registrar). Se genera el texto del desafío (digest) y se le envía al usuario que se quiere autenticar (junto al error 407)

El usuario lo cifra con su información (realm, usuario, contraseña) y lo envía

El autentificador podrá validar las credenciales gracias al digest

Dentro de un digest:

• Realm: Identifica el dominio del cual el servidor es responsable
• Nonce: String generado de forma única para cada desafío (string arbitrario + marca de tiempo)
• Algorithm: De momento solo esta soportado MD5

Debido a la naturaleza del protocolo, y con las herramientas actuales es posible realizar ataques contra los softswitch o pbx. Vamos a ver algunos tipos de ataques y las herramientas necesarias para realizarlos.

Tipo de ataques:

Fuzzing

Existen diversas formas de intrusión en un sistema, desde el acceso físico al remoto, para aprovechar los servicios que estos ofrecen. Generalmente se cree que un buen antivirus, un firewall y una buena política de parcheo alcanza. Sin embargo, no se piensa en las vulnerabilidades de 0-day. De estas nadie tiene conocimiento y se descubren diariamente en diferentes servicios. En definitiva se llama así a las vulnerabilidades que los fabricantes o desarrolladores no tienen conocimiento, o no tienen una solución para el mismo.

Si este descubrimiento lo realiza un investigador de seguridad no será problemático, pero si lo realiza alguien con malas intenciones los resultados pueden ser desastrosos.

Se llama fuzzing a las diferentes técnicas de testeo de software capaces de generar y enviar datos secuenciales o aleatorios a una o varias áreas puntos de una aplicación, con el objeto de detectar defectos o vulnerabilidades existentes en el software auditado.

Envío de paquetes mal formados en busca de fallas en la programación puede producir.

• Buffer over flow
• Fallos de segmentación

Flooding

Consiste en realizar un comportamiento abusivo de la red de comunicaciones (inundación) normalmente realizado por repetición de un mensaje corto en un determinado lapso de tiempo.

Produciendo denegación de servicio (DoS) por inundación  (flood)

La víctima se ve saturada de paquetes inservibles y es incapaz de procesar peticiones válidas

Esta tarea se puede realizar de diferentes maneras

• Flooding de mensajes SIP
• Flooding UDP
• Flooding RTP

Estas técnicas buscan sacar de servicio al servidor de comunicaciones. Teniendo en cuenta la importancia que tienen las comunicaciones en el día a día de las empresas (algunas mas otras menos), el daño puede significar mucho dinero.

Muchas de estas técnicas son usadas también por los administradores para realizar test de performance en la etapa de desarrollo de la solución.

Man in the middle

En este tipo de ataque, el atacante, consigue escuchar, leer y modificar a voluntad los mensajes entre el usuario y el servidor. En el caso de SIP consigue ver:

• Señalización
• Flujo multimedia

De esta manera puede realizar un análisis del tráfico y comprometer la privacidad de usuario. Este es uno de los ataques más temidos por su eficacia. Sin embargo la tarea más compleja es llegar a producir el ataque.

Fuerza buta

Los ataques de fuerza bruta son muy comunes en todos los ámbitos de comunicaciones y sistemas. Consiste en probar combinaciones de usuario y contraseña hasta llegar a la correcta. De esta manera utiliza los datos de usuario y contraseña obtenidos por esta técnica para realizar llamadas, generalmente, de larga distancia a destinos caros (Cuba, Sierra Leona, Latvia, etc)

Con esto finalizamos nuestro primer pantallazo de seguridad en SIP, como habrán notado, es general, sin entrar en detalles. En las próximas entradas iremos analizando cada una de estas técnicas con ejemplos prácticos de cómo prevenirlos.