Elastixword 2016 - Buenos Aires. Presentación sobre la intoducción hacia la seguridad avanzada en VoIP aplicada hacia correlación de los eventos de seguridad mediante SIEM y otras fuentes de información como vulnerabilidades, enumeración, politicas, compliance para la gestión inteligente de amenazas de seguridad IT.

1. Gestión de la Información de Seguridad en VoIP
Correlación de Evento de Seguridad
Luis Gerardo Sanchez Canaán

2. Estoy convencido que términos de seguridad informática no existe la
solución perfecta ya que en un cerrar de ojos podemos encontrarnos
expuestos a cualquier nueva vulnerabilidad…
Es por esto que mi trabajo se enfoca en detectar, predecir y reaccionar
de manera oportuna ante cualquier amenaza…
Mi visión sobre la seguridad en VoIP

3. Seguridad de la
Información
(OSI)
Integridad del mensaje en las Llamadas
Confidencialidad de las Comunicaciones
Disponibilidad de los Servicios de VoIP
Autenticidad del Origen de la Llamada
Aspectos de la seguridad asociado a VoIP

4. Enumeración de usuarios y ext
IdentificaciónlosServicios
ManintheMiddle
Explotación de vulnerabilidades
Ataques contra terminales VoIP
AtaquedeFuerzaBruta
Captura de trafico de la Red
Fallos de Configuraciones
EscuchasIlegales
Fraude telefónico mediante VoIP
Vishing
HurtodeInformación
Algunos métodos y facilidades para atentar
contra VoIP
DoS / DDoS SNMP / DDoS TFTP

5. ¿Como tratamos de asegurar VoIP?
Internet
MPLS
IP-PBX
SIP-PROXY
Softphone
PC Admin
Teléfono IP
Gateway VoIP
E1, FXO, FXS, GSM
Conmutador
Firewall
IDS/IPS
SBC
VPN
Enrutador
TLS / SRTPOficina
Remota
Extensión IP
Remota
Proveedor SIP
HIDS
TLS / SRTP
TLS / SRTP

6. ¿Como tratamos de asegurar VoIP?
Servicios de Pruebas de Penetración
Ocultar huellas de distribución y versiones
Políticas de Contraseña
Cambiar puertos por defecto
Limitar administración remota
Restricciones en la configuración
Restricciones de Acceso Físico
Deshabilitar servicios innecesarios

7. Objetivos de Ataques en VoIP
IP-PBX
SIP-PROXY
Softphone
PC Admin
Host
Teléfono IP
Gateway VoIP
E1, FXO, FXS, GSM
Conmutador
Firewall
IDS/IPS
SBC
Enrutador
Web
Server
Base de
Datos
LDAP NMS
Telnet
SSH
SSL
SNMP
NTP
SMTP
IMAP
POP
DNS
ICMP
SIP
RTP
IAX
FTP
TFTP

8. Gestión Avanzada de la Seguridad en VoIP
Gestión de Rendimiento
Log Management
SIEM
UBA

9. SIEM para la Gestión de la Información de
Seguridad en VoIP
SEM
Gestión de
Eventos
SIM
Gestión de la
Seguridad
de la Información
SIEM
Gestión de la Seguridad
de la Información y Gestión
de Eventos.
Se basa en la Agregación de
Datos, Correlación de Eventos y
Alertas
Registros
(Log)
Descubrimiento de
Actividades Sospechosas
Tiempo Real
Análisis Histórico

10. OSSIM para la Gestión de la Información
de Seguridad en VoIP
“OSSIM como SIEM es ideal para la gestión de amenazas y el
cumplimiento de normativas, nos permite el análisis de
seguridad, ya que monitorea los eventos de seguridad, registros
del sistema operativo, eventos de aplicaciones y los registros de
tráfico de red, pero también hace mucho más.”

11. Fuentes de Información
Múltiples Formatos
Correlación de Eventos
Métricas
Detección de Ataques
en Tiempo Real
Directivas y Políticas
Acciones
OSSIM para la Gestión de la Información
de Seguridad en VoIP

12. Agregación de Datos:
Recolección
Sensor
WMI
SNMP
Syslog
OSSEC
SQL
Socket
OSSIM para la Gestión de la Información
de Seguridad en VoIP

13. Sensor
Eventos
Eventos
Authen<fica<on
Failed
for
user
root
from
200.43.24.01
01.04.2016
10:00:00
DROP
192.168.10.10
200.192.20.45
Ene
04
2016
10:00:00
Plugin_id=3303
plugin_sid=1
username=root
date”1295472603”
src_ip=192.168.10.10
Plugin_id=4301
plugin_sid=3
date”1295472603”
src_ip=192.168.10.10
dst_ip=200.192.20.45
OSSIM para la Gestión de la Información
de Seguridad en VoIP
Agregación de Datos:
Normalización

14. OSSIM para la Gestión de la Información
de Seguridad en VoIP
Correlación de Eventos:
Sensor
Eventos
SIEM
SSH
Successfull
Auth
Event
from
192.168.10.10
to
200.192.20.45
SSH
Auth
Failed
Event
from
192.168.10.10
to
200.192.20.45
SSH
Auth
Failed
Event
from
192.168.10.10
to
200.192.20.45
¿
Ataque
de
Fuerza
Bruta
?
¿
Ataque
de
Fuerza
Bruta
Efec<vo?

15. OSSIM para la Gestión de la Información
de Seguridad en VoIP
Alertas:
Enviar
correo
al
Administrador
de
la
PBX
Desabilitar
puerto
ethernet
en
el
Conmutador
Envio
de
comando
al
firewall
para
bloquear
la
IP
Origen
DoS
al
servidor
Web
Disco
sin
Espacio
disponible
Enumeracion
SIP
desde
Estacion
de
Trabajo
Inclusion
de
nuevas
Extensiones
no
autorizadas
Abrir
un
<cket
al
Help
Desk
SIEM

16. OSSIM mas que un SIEM
Gestión Unificada de Amenazas:
ASSET
DISCOVERY
Ac<ve
Network
Scanning
Passive
Network
Scanning
Asset
Inventory
VULNERABILITY
ASSESSMENT
Con<nuous
Vulnerability
Monitoring
Authen<cated
/
Unauthen<cated
Ac<ve
Scanning
BEHAVIORAL
MONITORING
Neelow
Analysis
Service
Availability
Monitoring
SIEM
Log
Collec<on
OTX
Threat
Data
SIEM
Event
Correla<on
Incident
Response
THREAT
DETECTION
Network
IDS
Host
IDS
File
Integrity
Monitoring

17. OSSIM mas que un SIEM
Visión Global de la Infraestructura TI:
Monitoreo
de
Iden;dad
Descubrimiento
de
la
Red
Monitoreo
de
Recursos
Detección
de
Anomalías
Ldap
Ac;ve
Directory
Logs
SNMP
Fingerprin;ng
Tiempo
de
Uso
Flujo
de
la
Red
SNMP
Agentes
/
ICMP
Eventos
Perfiles
de
Red
Fingerprin;ng
Topología
de
Red
Inventario
Perfiles
Monitoreo
de
Red
Disponibilidad
de
la
Red
Recursos
de
Host

18. OSSIM mas que un SIEM
Abstracción de la Información:
Riesgo
Eventos
de
Seguridad
SIEM
OSSIM
Incidentes
Sensor
OSSIM
Logs
Alto
Nivel
(Métricas)
Medio
Nivel
(Decenas
de
Incidentes)
Bajo
Nivel
(Millones
de
Evento)

19. OSSIM mas que un SIEM
Unificación de Tecnologías:
Ges;ón
Aplicaciones
SIEM
OSSIM
Manejo
de
Incidentes
Riesgos
Inteligencia
Storage
Detección
Prevención
Awareness
IDS
/
IPS
/
WIDS
HIDS
File
Integrity
Evaluación
de
Vulnerabilidades
Evaluación
de
Amenazas
Iden;dad
Inventario
Recursos

20. Métodos
de
Recolección
Conector
(Detectores
y
Monitores)
Salidas
WMI
Filtrado
LM
FTP
Syslog
SQL
SNMP
SIEM
Clasificación
Normalización
Flujo de los Eventos:
Administración de los Eventos de
Seguridad

21. Procesamiento de un Evento:
SIEM
Almacenamiento
SQL
Correlación
Valoración
de
Riesgo
Polí<cas
Recolección
Eventos
Administración de los Eventos de
Seguridad
SIEM
Los
eventos
son
almacenados
en
la
basa
de
datos
Los
eventos
son
correlacionados
por
diversos
métodos
y
analizados
en
base
a
posibles
vulnerabilidades
Un
valor
de
riesgo
(0-­‐10)
se
calcula
para
cada
evento,
valor
8
por
comprometer
el
funcionamiento
de
la
PBX
Las
Polí<cas
indicaran
que
en
la
noche
no
esta
permi<do
realizar
cambios
de
configuración
Recopila
eventos
enviado
por
HIDS
cambios
en
el
archivo
del
plan
de
marcafo
Eventos

22. Tipos de Correlación:
Administración de los Eventos de
Seguridad
Correlación
Lógica
Correlación
Cruzada
Correlación
de
Inventario
AND
OR
Ataques
Vulnerabilidades
DB
de
Vulnerabilidades
Inventario

23. Correlación Cruzada:
Administración de los Eventos de
Seguridad
Sensor
SIEM
SSH
Auth
Failed
Event
from
192.168.10.10
to
200.192.20.45
Vulnerabilidad
en
Servidor
via
SSH
por
versión
instalada

24. Hands-­‐On:
Ges;ón
de
Eventos
e
Información
de
Seguridad
en
IPPBX
basadas
en
Elas;x
Comunicaciones
Unificadas

25. Procesamiento de un Evento:
ELASTIX
Asterisk
O.S.
APACHE
MYSQL
Firewall
Eventos
ELASTIX
Eventos
de
Asterisk,
Integridad
de
Archivos
de
Configuraciones
Vulnerabilidades
de
Componentes,
Eventos
de
O.S.,
Rendimiento,
Recursos,
Servicios,
Inventario.
Integridad
en
Archivos,
Eventos
de
Apache,
Permisos
y
Servicio.
Disponibilidad,
Vulnerabilidades,
Cambios,
Eventos.
Eventos
de
Seguridad
y
Cambios
de
Poli<cas
Eventos
Administración de los Eventos de
Seguridad en Elastix

26. Administración de los Eventos de
Seguridad en Elastix
Internet
MPLS
Softphone
PC Admin
Teléfono IP
Gateway VoIP
E1, FXO, FXS, GSM
Conmutador
Layer 3 - Vlans
Firewall
IDS/IPS
SBC
VPN
Enrutador
TLS / SRTPOficina
Remota
Extensión IP
Remota
Proveedor SIP
HIDS
TLS / SRTP
TLS / SRTP

27. Muchas gracias…!
Luis Gerardo Sanchez Canaán
@sr_redesip