Gestionando una plataforma de UC Segura Giovanni Cruz Forero Consultor de Seguridad CEH – GSEC Digiware de Colombia
VoIP y Unified Communications Plataformas inteligentes que dan una máxima relación de costo/beneficio a la tecnología disponible en las infraestructuras actuales Crecimiento rápido 9.9 millones de equipos en 2006 45.8 millones en 2010 Los sistemas de VoIP y UC son redes de datos
VoIP y Unified Communications SOA UNIFIED COMMUNICATIONS $18 billion in 2011 IP PBX $12 billion in 2011 Fuente: Synergy, Datamonitor, Wainhouse, Ovum, Cisco, Avaya
VoIP y Unified Communications Integración total de plataformas de comunicación Más de un 80% de las compañías que integran plataformas de VoIP o UC a su tecnología no tienen un plan de seguridad en la implementación Aun no existe amplio conocimiento en los peligros de seguridad que implica VoIP y UC
Unified Communications Database Server Farm Presence/UC Server Farm Web Server Farm Email Server Farm Enterprise C IP PBX Server Farm Enterprise B Mainframes IPS-DPI Anti-SPAM DB Firewall Enterprise Service Provider UMA/GSM WiFi/WiMax Dual-Mode BYOB “Broadband” Voice Everywhere!!! WiFi Dual-Mode SOHO/Remote
VoIP y Unified Communications Nuevos protocolos, aplicaciones y dispositivos Exposición de los servicios a diferentes vectores de amenaza que se transforman en puntos de entrada que generan un desafío de seguridad y confiabilidad Problemas de seguridad en la capa de aplicación.
VoIP y Unified Communications GARTNER 2007 “Las empresas que no inviertan en seguridad en telefonía IP el día de hoy estarán gastando más del 40% de su presupuesto de seguridad en el 2011 por las amenazas propias de esta tecnología” “Las empresas proactivas gastaran solo el 5% en seguridad de telefonía IP”
Incidentes Recientes Vulnerabilidad en la tarjeta Nortel CS 1000 M permite a atacantes remotos causar un negación de servicio (card hang) en diferentes vectores Algunos servidores SIP permiten la ejecución del parámetro “gop” en los mensajes de negociación, permitiendo a un atacante inyectar código de señalización
Incidentes Recientes Las implementaciones de registro SIP no generan revisiones de las cabeceras de autorización y destino, permitiendo a un atacante volver a usar cabeceras de autorización capturadas en red dentro de cabeceras de destino Los servidor proxy SIP aceptan credenciales reenviadas en el proceso de establecimiento de llamada, permitiendo a un atacante usar credenciales capturadas en mensajes determinados
Incidentes Recientes Un atacante puede usar credenciales capturadas en red para generar sobrecargas en los servidores generando un numero muy alto de subscripciones El manejo de errores hecho por SIP permite a los atacantes deducir información sensible como nombres de usuarios o extensiones basados en respuestas a estímulos predeterminados
VoIP Fuzzing Peticiones malformadas Mensajes de protocolo malformados PROTOS Codenomicon Spirent ThreatEx Mu Security
Eavesdropping Rastreo de patrones de llamada Number Harvesting Análisis y escucha de conversaciones
Eavesdropping Reconstrucción de mensajes de voz Revisión de configuraciones en archivos TFTP Reconstrucción de llamadas
Intercepción / Modificación de VoIP Call Blackholing Alteración de conversaciones Degradación de conversaciones Secuestro de conversaciones Identificación falsa de la fuente Alteración o grabación de DTMF
Abuso y daño a la integridad del servicio Abuso de conferencias Robo de llamadas Robo de identidades Ataques / Spoofing de Registro Mala configuración de endpoints Fraude de servicios premium
Interrupción del servicio por inundación Inundación de registro Inundación de llamadas Inundación de servicios de directorio DoS en señalización Ataque de DoS RTP DDoS
Manipulación de protocolos de señalización y multimedia Mensajes falsos de perdida de llamadas Secuestro de llamadas Adición, secuestro, extracción de registro Wiretapping SPIT Key Logging DTMF Logging
Vulnerabilidades de SO Vulnerabilidades en Cisco Call Manager Avaya Communication Manager Microsoft LCS/OCS Server Nortel Alcatel / Lucent Siemens / NEC
Herramientas de escaneo y enumeración Nessus SIP-scan SIPp Sivus iWAR SIPCrack
Amenazas de aplicaciones UC Ataques UM – MWI Manipulación del correo de voz de los usuarios Degradación de QoS Ataques de Integración/Desconexión Ilegal de una conferencia Ataques a funciones de moderador en conferencias
Amenazas de aplicaciones UC Amenazas de ataque con music hold Amenazas en interfaces web colaborativas Amenaza en transferencia de archivos no autorizadas Amenazas en chat multimodal
Necesidades de seguridad Categoría I – Requerimientos en tiempo real Confiabilidad de 5 9’s Baja latencia QoS Categoría 2 – Requerimientos de seguridad Baja tolerancia a falsos positivos Baja tolerancia a falsos negativos No existe aceptación a reintentos de llamada Trafico cifrado
Necesidades de seguridad Categoría 3 – Requerimientos de tecnología Inspección de paquetes de capa 3 a capa 7 especializados en UC y VoIP Soluciones proactivas y reactivas por medio de arquitecturas heterogéneas Mantenimiento de múltiples niveles de estados de llamada Correlación avanzada de estados del protocolo y eventos de seguridad a través de las diferentes capas
Necesidades de Seguridad Categoría 4 – Enfoque de negocio Interoperabilidad con diferentes sistemas Solución de seguridad única Fácil implementación Categoría 5 – Enfoque en UC Integración con IP – PBX y sistemas de comunicaciones Visibilidad y monitoreo de tráfico de VoIP y UC
Administración de seguridad Equipos especializados Administración centralizada Conocimiento de amenazas y medidas de seguridad Necesidad de nuevas políticas Cifrado de tráfico Seguridad de IP - PBX