RHCE/RHCSA/RHCVA/DCAP

Transcripción

1 Hacking y Aseguramiento de servidor res VoIP/SIP Asterisk Ing. André és Mauricio i Mujica Zalamea RHCE/RHCSA/RHCVA/DCAP GERENTE SEAQ SERVICIOS CIA LTDA

2 ADVERT TENCIA: La información contenida en esta presentación es para uso meramente académico y se debe aplicar para la protección de suss sistemas de VoIP. El mal uso de la misma implica la violación de leyes nacionales e internacionales CONTINUE BAJO SU RESPONSABILIDAD

3 * HACKING Y ASEGURAMIENTO Conferencista: Ing. Andrés Mauricio Muj jica Zalamea andres.mujica@seaq.com.co RHCE/RHCSA/RHCVA/DCAP GERENTE SEAQ SERVICIO OS CIA LTDA

4 OBJETIVOS Conocer las diferentes modalidades de fraude telefónico en redes Vo IP Conocer los diferentes tipos de ataque y herramientas utilizadas para los mismos Determinar las mejores prácticas para prevenir estos ataques

5 PLAN DE TRABAJO Antecedentes del fraude telefónico Tipos de Ataques Negación de Servicio Hijacking, Interceptación Caller ID Spoofing Vishing

6 PLAN DE TRABAJO Protocolos afectados H.323, SIP, IAX2 Cisco, Avaya, 3CX, Asterisk Herramientas e Utilizada as VoIP Sniffing Tools VoIP Scanning and Enumeration Tools VoIP Packet Creation and Flooding Tools VoIP Fuzzing Tools VoIP Signaling Manipulation Tools VoIP Media Manipulation Tools

7 PLAN DE TRABAJO Análisis i de unataque Prácticas de prevenció ón Demo Real (limitado a disponibilidad de tiempo)

8 PLAN DE TRABAJO Antecedentes del fraud de telefónico Ejemplos de Ataques Negación de Servicio Hijacking, Interceptación Caller ID Spoofing Vishing

9 FRAUDE TELEFÓNICO Llamadas gratuitas Servicios adicionales Ingresos por concepto cepto de llamadas ANTECEDENTES

10 H/P Culture Phreaking Phone + Freak Oído más desarrollado Silbando a 2600Hz '50s (4 y.o.) Hacking Joybubbles / Joe Engressia ANTECEDENTES

11 Phreakers famosos Único Telco Ma Bell Blue Box In-band signalling g Fraudes hasta los '90s Resuelto con SS7 Steve Jobs Steve Wozniack ANTECEDENTES

12 FRAUDES De las telco hacia el us suario Cramming: cargo s no deseados Slamming: robo de clientes entre telcos De terceros hacia el usuario PBX : Recepción transfiere a un número externo Wangiri: Devolver llamada perdida ANTECEDENTES

13 FRAUDES De terceros hacia a usuario el Marcadores : Desde el PC marcar a un número premium ANTECEDENTES

14 FRAUDES De terceros hacia el usuario 809 Scams: Engañar al usuario para que marque un número que parece familiar pero no lo es. Calling C Cards Telemarketing frau uds ANTECEDENTES

15 FRAUDES El objetivo es simple Llamanos, querem mos cobrarte el minuto más costoso del mercado ANTECEDENTES

16 ANTECEDENTES

17 PLAN DE TRABAJO Antecedentes t del fraud de telefónico Tipos de Ataques Negación de Servicio Hijacking, Interceptación Caller ID Spoofing Vishing VoIP Spam

18 DoS / DDoS Denegación del Servic io Se inunda el servic cio VoIP con peticiones falsas afectando el servicio Existen botnets que generan ataques desde múltiples pu untos (Denegación del servicio distribuida) TIPOS DE ATAQUES

19 VoIP BOTNETs TIPOS DE ATAQUES

20 VoIP BOTNETs TIPOS DE ATAQUES

21 HIJACKING Registration hijacking Media hijacking (chuzadas!) TIPOS DE ATAQUES

22 HIJACKING TIPOS DE ATAQUES

23 HIJACKING TIPOS DE ATAQUES

24 CALLER ID SPOOFING Suplantar la identificac ción S. 30: Truth in Caller ID Act of 2009 SpoofCard.com Paris escuchando los mensajes de Lohan TIPOS DE ATAQUES

25 CALLER ID SPOOFING Asterisk Startt Up Caller Id spoofing legal Voice disguise Grabación de llamadas TIPOS DE ATAQUES

26 VISHING No de clic sobre el enlace, mejor llamenos Robar información personal (leáse tarjeta de crédito) )por medio de engaños SMS IVR TIPOS DE ATAQUES

27 VISHING TIPOS DE ATAQUES

28 VISHING TIPOS DE ATAQUES

29 VoIP SPAM Meussi Solutions Empresa de seguridad en VoIP Ataque masivo en el 2009 TIPOS DE ATAQUES

30 PLAN DE TRABAJO Protocolos afectados H.323, SIP, IAX2 Cisco, Avaya, 3CX, Asterisk Herramientas Utilizadas VoIP Sniffing Tools VoIP Scanning and Enumeration Tools VoIP Packet Creation and Flooding Tools VoIP Fuzzing Tools VoIP Signaling Manipulation Tools VoIP Media Manipulation Tools

31 VoIP Signaling Session Initiation Protocol (SIP) : TCP/UDP 5060,5061 Session Description Protocol (SDP) : Encapsulated in SIP Media Gateway Control Protocol (MGCP) : UDP 2427,2727 Skinny Client Control Protocol (SCCP/Skinny) : TCP 2000,2001 PROTOCOLOS AFECTADOS

32 VoIP Signaling Real-time Transfer Control Protocol (RTCP) : (S)RTP+1 Media Real-time Transfer Protocol (RTP) : Dynamic Secure Real-time Transfer Protocol (SRTP) : Dynamic PROTOCOLOS AFECTADOS

33 VoIP Signaling Hybrid Inter-Asterisk exchange v.1 (IAX): UDP 5036 (obsolete) Inter-Asterisk exchange v.2 (IAX2) : UDP 4569 PROTOCOLOS AFECTADOS

34 VoIP H.323 Primer protocolo VoIP popular Actualmente en decadencia Cerca de 40 implementaciones diferentes Vulnerabilidades en decoder parsing (H.225 data exchange) Ejecución de código con paquetes malformados Requiere puertos dinámicos PROTOCOLOS AFECTADOS

35 VoIP H.323 Signaling - H Call Parameters -Dynamic TCP - H Q Call Setup - TCP RAS - UDP Audio Call Control - TCP RTCP - RTP Control - Dynamic UDP Media - RTP - Audio - Dynamic UDP - RTP - Video - Dynamic UDP

36 VoIP H.323 PROTOCOLOS AFECTADOS

37 VoIP H.323 PROTOCOLOS AFECTADOS

38 VoIP H.323 PROTOCOLOS AFECTADOS

39 VoIP SIP Protocolo flexiblee Actualmente el más popular p y usado Estandarizado y abierto Separa señalización de media Funciona primordialmente sobre UDP No se diseño pensando en seguridad PROTOCOLOS AFECTADOS

40 VoIP SIP PROTOCOLOS AFECTADOS

41 VoIP SIP PROTOCOLOS AFECTADOS

42 VoIP SIP PROTOCOLOS AFECTADOS

43 VoIP IAX2 Exclusivo de asterisk (disponible en algunos vendors diferentes a digium) En proceso de estandarización ('09) Unifica señalización y media Amigable con firewall y nat Funciona sobre UDP También tiene problemas de seguridad PROTOCOLOS AFECTADOS

44 VoIP IAX2 PROTOCOLOS AFECTADOS

45 VoIP IAX2 PROTOCOLOS AFECTADOS

46 Ataques especificos a estos protocolos Flooding SIP INVITE Bogus RTP TCP SYN ICMP Flood Amplification Spoof source addresss Spread Invoke (respuesta con más datos) PROTOCOLOS AFECTADOS

47 Ataques especificos a estos protocolos Fuzzing Malformed message Signaling Manipulationn Malicious signalling messages New signalling messa ges Forced Call teardown Inject spoof messag es (call tear-down) SIP: BYE IAX: HANGUP PROTOCOLOS AFECTADOS

48 Ataques especificos a estos protocolos Registration/Call Hijack king Captura información de registro Suplantación de regist tro Monitoreo de llamadas en proceso Media Hijacking Inserción de señales maliciosas Caller-ID Spoofing Call iniciada con Caller-Id falso Caller-ID Name Disclosure Sacarle a la PSTN el nombre registrado PROTOCOLOS AFECTADOS

49 Ataques especificos a estos protocolos Eavesdropping Malformed call set-up signalling Captura de trafico RT P Directory Enumerationn Active: Specially crafte ed protocol message Passive: Watch network traffic Media Injection Inject new media in active channel Replace media en active channel Covert Communicationn Insertar datos dentro de un canal activo

50 PLAN DE TRABAJO Protocolos afectados H.323, SIP, IAX2 Cisco, Avaya, 3CX, Asterisk Herramientas e Utilizada as VoIP Sniffing Tools VoIP Scanning and Enumeration Tools VoIP Packet Creation and Flooding Tools VoIP Fuzzing Tools VoIP Signaling Manipulation Tools VoIP Media Manipulation Tools

51 SNIFFING Primordialmente utilizadas para "escuchar AuthTool: Capturaa de Password Cain & Abel: Reconstruye RTP $ CommView VoIP Analyzer: Análisis de VoIP $ Etherpeek: Sniffer HERRAMIENTAS UTILIZADAS

52 SNIFFING Soportan varios protocolos ILTY ("I'm Listening To You"): Skinny sniffer NetDude : Análisis de tcpdump files Oreka: Grabación de RTP audio streams SIPscan: Capturar sesiones SIP HERRAMIENTAS UTILIZADAS

53 SNIFFING Versiones Windows, BSD y Linux RtpBreak: Capturaa de RTP en bruto SIPomatic: Escucha de SIP SIPv6 Analyzer: SIP sobre Ipv6 UCSniff: VoIP eavesdropping y ARP spoof HERRAMIENTAS UTILIZADAS

54 SNIFFING Soportan varios protocolos VoiPong & VoiPong ISO: Captura de RTP para SIP, H323, Skinny VOMIT: Cisco Phone to wav Wireshark: Network traffic analyzer WIST: Captura web de SIP signalling HERRAMIENTAS UTILIZADAS

55 SNIFFING UCSniff HERRAMIENTAS UTILIZADAS

56 SNIFFING VoiPong HERRAMIENTAS UTILIZADAS

57 SCANNING AND ENU MERATION Utilizadas para ubicar servidores VoIP y para listar las extensiones $ EnableSecurity VoIPPack for CANVAS: Scan, enumeration y ataques fuerza bruta EnumIAX: Login en numerator con REGREQ Iaxscan: Scanner para detectar hosts Iax2 y luego enumerar por fuerza bruta HERRAMIENTAS UTILIZADAS

58 SCANNING AND ENU MERATION Vectores de ataque IAX X, SIP, SKINNY Iwar: IAX2 protocol wardialer Nessus: vulnerability scanner Nmap: network port scanner $ Passive Vulnerability Scanner: Análisis pasivo de red, 40 checks VoIP HERRAMIENTAS UTILIZADAS

59 SCANNING AND ENU MERATION La enumeración esta definida en el RFC SCTPScan: Enume eración de puertos SCTP abiertos sin asociación. (SS7 over IP) SIP Forum Test Framework (SFTF): Framework para qu ue los SIP device vendor validen sus equipos HERRAMIENTAS UTILIZADAS

60 SCANNING AND ENU MERATION Los equipos IP están LAN pensados para uso en SIP-Scan: Rápido Scanner SIP SIPcrack: Hace sniff para obtener SIP logins y luego crack por fuerza bruta Sipflanker: p Busca dispositivos SIP con interfaz web accesible HERRAMIENTAS UTILIZADAS

61 SCANNING AND ENU MERATION Las herramientas no so on fácilmente obtenibles SIPSCAN: Enumerador que usa INVITE, REGISTER y OPTIONS SiVuS: SIP Vulnerability Scanner VLANping: ping con VLAN tag HERRAMIENTAS UTILIZADAS

62 SCANNING AND ENU MERATION SIPVicious es la más popular SIPVicious Tool S uite - Svmap is a sip scanner - svwar identifies es active extensions so s on a PBX - svcrack is an online password cracker for SIP PBX $ VoIPAudit: Scanner de vulnerabilidades SMAP: SIP stack fingerprint HERRAMIENTAS UTILIZADAS

63 SCANNING AND ENUM MERATION SIPVicious HERRAMIENTAS UTILIZADAS

64 SCANNING AND ENUM MERATION SIPFlanker HERRAMIENTAS UTILIZADAS

65 SCANNING AND ENU MERATION VoIPAudit enumiax HERRAMIENTAS UTILIZADAS

66 PACKET CREATION & FLOODING Usadas para DoS/DDoSS IAXFlooder: Floode er de paquetes IAX INVITE Flooder: En nvia una mareada de mensajes SIP INVITE a un telefono o proxy kphone-ddos: Usando Kphone para inundar con SIP spoofing HERRAMIENTAS UTILIZADAS

67 PACKET CREATION & FLOODING Usadas para Capacity Testing $ $ SiPBlast: Herramienta para pruebas de infraestructura por medio de colmado capacidad creando tráfico de llamadas CPE masivo $ NSAUDITOR Flooder: Generador de tráfico SIP UDP para pruebas de stress RTP Flooder: Paquetes well formed RTP

68 PACKET CREATION & FLOODING Usadas para explotar vulnerabilidades en el protocolo Scapy: Herramientaa interactiva para manipulación ac de pa aquetes. Seagull: g Generador de tráfico multi protocolo SIPBomber: Herramienta para probar SIP en Linux HERRAMIENTAS UTILIZADAS

69 PACKET CREATION & FLOODING Algunas desarrolladas por HP SIPNess: SIP testin ng tool que prueba aplicaciones SIP SIPp: generador de tráfico y pruebass para SIP (muy utilizada) SIPsak: SIP swiss army knife HERRAMIENTAS UTILIZADAS

70 PACKET CREATION & FLOODING Scapy HERRAMIENTAS UTILIZADAS

71 PACKET CREATION & FLOODING SIPBomber

72 PACKET CREATION & FLOODING NSAuditor

73 PACKET CREATION & FLOODING SIPp

74 PACKET CREATION & FLOODING SIPsak

75 FUZZING TOOLS Generación de paquete es malformados Asteroid: Juego de métodos SIP malformados (INVITE, CANCEL, BYE) Codenomicon: Versión comercial de PROTOS Interstate Fuzzer: VoIP Fuzzer

76 FUZZING TOOLS Usualmente utilizados para DoS IMS Fuzzing plaffo orm: Appiance para Fuzzy SIP, H323 y MGCP PROTOS: Herramienta java para generación de paquetes malformados H.323 y SIP SIP-Proxy: y MiM, Proxy entre el UA y el PBX

77 FUZZING TOOLS Usados en prueba de calidad y robustez $ Spirent ThreatEx x: Probador de robustez VoIPER: o Security to oolkit que permite probar dispositivos VoIP SFTF: Framework SIP Vendors para ser usado por los

78 FUZZING TOOLS VoIPER

79 FUZZING TOOLS FUZZER

80 FUZZING TOOLS SIP Proxy

81 SIGNALING MANIPUL LATION Usadas para desconec ctar llamadas BYE Teardown: Inj jecta un SIP BYE message para desconectar la llamada Check Sync: Envia un SIP NOTIFY haciendo reiniciar ciertos telefonos H225regregjet: g gj Desconecta llamadas H.323

82 SIGNALING MANIPUL LATION Usadas para mod dificar procesos de autenticación IAXHangup: Herramienta usada para desconectar llamad das IAX, Injecta un IAX HANGUP $ SiPCPE: Evalua compliance de protocolo RedirectPoison: Por medio de SIP INVITE redirecciona una llamada

83 SIGNALING MANIPUL LATION Manipulan flujo de med dia, procesos de registro Reg Adder: Intenta adicionar al SIP HEADER otra IP para que la llamada se redireccione ecc e a dos CPE Reg g Eraser: Causaa un DoS por medio de un SIP REGISTER spoof message que hace creer al SIP Proxy yq que no hay usuario disponible

84 SIGNALING MANIPULA ATION Manipulan flujo de medi a, procesos de registro Reg Hijacker: Gener ra un mensaje SIP REGISTER faso paraa que todas las llamadas entrantes tes se enruten al atacantete SIP-KILL : Sniff de SIP INVITES para tumbar la llamada SIP-Proxy-Kill: Finaliza a nivel de señalización una sesión SIP en el proxy remoto antes que el

85 SIGNALING MANIPUL LATION Son de las herram ientas más avanzadas disponibles SIP-RedirectRTP: Manipula encabezados SDP redirigiendo el RTP a un Proxy. SIPRogue :Unprox xy SIP multifuncional insertado entre dos partes vnak: VoIP Network Attack Toolkit

86 SIGNALING MANIPUL LATION Son de las herram ientas más avanzadas disponibles VoIPHopper: Herramienta para validación de seguridad que busc ca simuar un telefono con un PC para suplantarlo a nivel de VLAN

87 SIGNALING MANIPUL LATION VoIPHOPPER

88 MEDIA MANIPULATIO ON Buscan alterar las com municaciones RTP InsertSound:.wav dentro de una Inserta el contenido de un conversación activa RTP MixSound: Similar a la anterior RTPProxy: Espera paquetes RTP y los redirecciona a donde se le indique

89 MEDIA MANIPULATIO ON Usadas por los espias SteganRTP: Herram mienta estenográfica que establece un flujo de datos oculto dentro del flujo de media. Incl uye chat, archivos y shell remoto VO²IP: Esconde una conversación dentro de otra por medio de compresión y G.711

90 MEDIA MANIPULATIO ON SteganRTP

91 OTRAS HERRAMIENT TAS IAX.Brute: Herramienta a de ataque passive por diccionario en el challenge/response IAX SIP-Send-Fund: Send Utilidad que explota vulnerabilidades especificas SIP.Tastic: Herramient e ta de ataque pasivo de dictionario al método SIP Digest de autenticación Spitter: Herramientas para asterisk que hacen pruebas de VoIP Spam VSAP: Programa de auditoria por medio de preguntas y respuesta que valida la seguridad de redes VoIP (SIP/H.323/RTP)

92 ALGUNOS VIDEOS DE LAS HERRAMIENTAS SIPgull f.net/doc/seagull_01..flv VoIPPack m/moogaloop.swf?clip p_ id = &server= p;fullscreen=1&amp p;show_title=1&sho w_byline=0&show_portrait=0&colo r=01aaea

93 PLAN DE TRABAJO Análisis de un ataque Prácticas de prevenció ón Demo Real (limitado a disponibilidad dspo dad de tiempo)

94 LOGS ATAQUE ANALI SIS DE UN ATAQUE Feb 3 22:54:31 NOTICE[ ] chan_sip.c: Registration from '" "<sip: @xxx.yyy.zzz.xxx>' failed for ' ' - Username/auth name mismatch Un total de entradas

95 LOGS ATAQUE ANALI ISIS DE UN ATAQUE Feb 3 22:54:31 NOTICE[ ] chan_sip.c: Registration from '"0"<sip:0@xxx.yyy.zzz.xxx>' failed for ' ' - Username/auth name mismatch Feb 3 22:54:31 NOTICE[ ] chan_sip.c: c: Registration from '"1"<sip:1@xxx.yyy.zzz.xxx>' failed for ' ' - Username/auth name mismatch Feb 3 22:54:31 NOTICE[28514] chan_sip.c: Registration from '"2"<sip:2@xxx.yyy.zzz.xxx>' failed for ' ' 8 - Username/au e/auth name mismatch Enumeración

96 LOGS ATAQUE Feb 3 22:56:12 NOTICE[28514] chan_sip.c: Registration from '"9996"<sip:9996@xxx.yyy.zzz.xxx>' failed for ' ' - Username/auth name mismatch Feb 3 22:56:12 NOTICE[ ] chan_sip.c: Registration from '"9997"<sip:9997@xxx.yyy.zzz.xxx>' failed for ' ' - Username/auth name mismatch Feb 3 22:56:12 NOTICE[ ] chan_sip.c: Registration ti from '"9998"<sip:9998@xxx.yyy.zzz.xxx>' failed for ' ' - Username/auth name mismatch Feb 3 22:56:12 NOTICE[28514] chan_sip.c: Registration from '"9999"<sip:9999@xxx.yyy.zzz.xxx>' failed for ' ' - Username/au uth name mismatch Escaneo todo el rango de 0 a 9999

97 LOGS ATAQUE Cantidad de intentos por extensión e IP

98 LOGS ATAQUE EL RESULTADO!!!

99 LOGS ATAQUE ANALIS SIS DE UN ATAQUE ls -all /sbin/init.zk MAS LEJOS... ROOTK KIT, OWNED

100 FreePBX backdoors and default passwords that was published on April 15, m/?p=737 It recently came to our attention that it is possible to login to the Elastix server unembedded FreePBX Web interface ( with user name asteriskuser and password elastix.asteriskuser.2oo7. The user name and password are the same user name and password used by FreePBX to access the asterisk MySQL database. They are defined in the parameters AMPDBUSER and AMPDB BPASS in the /etc/amportal.conf file.

101 PLAN DE TRABAJO Análisis de un ataque Prácticas de prevenció ón Demo Real (limitado a disponibilidad de tiempo)

102 FIREWALL: Bloquear TODO por defecto y solo permitir acceso desde or rigenes autorizados FIREWALL: Bloquear TODO por defecto y solo permitir acceso desde origenes autorizados FIREWALL: Bloquear TODO por defecto y solo permitir acceso desde origenes autorizados FIREWALL: Bloquear TODO por defecto y solo permitir acceso desde origenes autorizados

103 FIREWALL: Bloquear TODO por defecto y solo permitir acceso desde origenes autorizados FIREWALL: Bloquear TODO por defecto y solo permitir acceso desde or rigenes autorizados FIREWALL: Bloquear TODO por defecto y solo permitir acceso desde origenes autorizados FIREWALL: Bloquear TODO por defecto y solo permitir acceso desde origenes autorizados

104 FIREWALL: Bloquear TODO por defecto y solo permitir acceso desde or rigenes autorizados FIREWALL: Bloquear TODO por defecto y solo permitir acceso desde origenes autorizados FIREWALL: Bloquear TODO por defecto y solo permitir acceso desde origenes autorizados FIREWALL: Bloquear TODO por defecto y solo permitir acceso desde origenes autorizados

105 FIREWALL: Bloquear TODO por defecto y solo permitir acceso des sde origenes autorizados

106 Monitoreo CDR y LOGS: Estar pendiente de comportamientos anorm males Cambiar password p or defecto: En todos los servicios NO utilizar logins númericos para las extensiones: Debe ser diferente al número de la extensión NO utilizar passwords númericos: Se deben utilizar passwords alfanúmericos

107 Desactivar servicios nousadosenpbx:disa, Voic remoto, Callback Desactivar servicios no utilizados en SO: Minimizar vectores de riesgo Administración por VPN: El acceso a la administración DEBE ser por VPN Administración local: El acceso a la administración DEBE ser local.

108 Lea portales especializados: Forums de Digium Control de acceso para administración: Defina usuarios con niveles de acceso Restringir acceso físic o: y lógico también. No habilite auto carg ga en las tarjetaas de credito: Para troncales internacionales

109 RESTRINGA DIAL PLAN LDI/LDN: Realmente necesitan llamar azimbabwe? 001 1NXXXXXXXXXX <- USA NXXXXXXX XXX <- MEXICO 0012 N. ASEGURE APACHE: autenticación a nivel de mod_auth_mysql mod_authz_ldap Que sea inaccesible sin apache

110 ASEGURE SIP.CONF: context=non-existant non existantt alwaysauthreject=yes allowguest=no LIMITE CANTIDAD DE call-limit = 2 LLAMADAS SIP: ASEGURE EL TIPO DE DEVICE SIP: type= user type= peer type= friend

111 ASEGURAMIENTO IPTABLES: AVANZADO iptables -I door 1 -p udp --dport m string --string "mysecretpass" --algo bm -m recent --set --name portisnowopen iptables -A INPUT -p udp --dport m recent --rcheck --seconds name portisnowopen -j ACCEPT RESTRINGA REDES VALIDAS PARA SIP: deny = / permit = / deny = / permit = / POR

112 ASEGURE EL CONTEXTO DEFAULT: [default] [other-context] ASEGURE EL MANAGER.CONF: deny = / permit = / deny = / permit = / /00.0.0

113 type=peer peer al hacer un REG GISTER recibe un CHALLENGE (no ch INVITEs) allenge on consecutive type=user user no se puede reg gistrar y en INVITEs recibe un CHALLENGE type=friend e friend ( peer+user ) hace que asterisk intente autenticar en INVITEs. If the device was defined only as peer, asterisk would not try to authenticate - peer must register first. The INVITE would be ignored.

114 UTILICE FAIL2BAN/APF/BDF Versión automatizada de cat /var/log/asterisk/full grep "Wrong password" awk {'print $9,$12'} cut -c6-9,26-45 uniq -c ' ' ' iptables -A INPUT -s j DROP Tenga en cuenta bug en asterisk que no reporta ip en INVITES

115 UTILICE FAIL2BAN Solamente protege intentos de REGISTER type=peer peer ayuda a g arantizar esto failregex = NOTICE.*.*: Registration from '.*' failed for '<HOST>' - Wrong password NOTICE.*.*: Registration from '.*' failed for '<HOST>' - No matching peer found NOTICE.*.*: Registration from '.*' failed for '<HOST>' - Username/auth name mismatch NOTICE.*.*: Registration from '.*' failed for '<HOST>' - Device does not match ACL NOTICE.*.*: Registration from '.*' failedfor'<host>' - Peer is not supposed to register NOTICE.*.*: Registration from '.*' failed for '<HOST>' - ACL error (permit/deny) NOTICE.* <HOST> failed to authenticate as '.*'$ NOTICE. *.: *: No registration for peer '. *' \(from <HOST>\) NOTICE.*.*: Host <HOST> failed MD5 authentication for '.*' (.*) NOTICE.*.*: Failed to authenticate user.*@<host>.*

116 UTILICE APF/BDF Advanced Policy Firewall /etc/apf/conf.apf apf -d /24 Brute Force Detection bfd -s /ec/cron.d/bfd

117 PLAN DE TRABAJO Análisis de un ataque Prácticas de prevenció ón Demo Real (limitado a disponibilidad dspo dad de tiempo)

118 SEAQ SERVICIOS CIA LTDA Información de Contacto Dirección: Carrera 15 # Oficina 201A Bogotá, Colombia Teléfono: Fax: Internet: Contacto: ventas@seaq.com m.co MUCHAS GRACIAS POR SU ATENCIÓN.

119 Tome el control de la Información en su Empresa