Gestión de la Información de Seguridad en VoIP Correlación de Evento de Seguridad
Luis Gerardo Sanchez Canaán
Estoy convencido que términos de seguridad informática no existe la solución perfecta ya que en un cerrar de ojos podemos encontrarnos
expuestos a cualquier nueva vulnerabilidad…
Es por esto que mi trabajo se enfoca en detectar, predecir y reaccionar de manera oportuna ante cualquier amenaza…
Mi visión sobre la seguridad en VoIP
Seguridad de la Información
(OSI)
Integridad del mensaje en las Llamadas
Confidencialidad de las Comunicaciones
Disponibilidad de los Servicios de VoIP
Autenticidad del Origen de la Llamada
Aspectos de la seguridad asociado a VoIP
Enumeración de usuarios y ext
Identificación los Servicios
Man in the M
iddle
Explotación de vulnerabilidades
Ataques contra terminales VoIP
Ataque de Fuerza Bruta Captura de trafico de la Red
Fallos de Configuraciones
Escuchas Ilegales
Fraude telefónico mediante VoIP
Vishing H
urto de Información
Algunos métodos y facilidades para atentar contra VoIP
DoS / DDoS SNMP / DDoS TFTP
¿Como tratamos de asegurar VoIP?
Internet MPLS
IP-PBX SIP-PROXY
Softphone PC Admin
Teléfono IP
Gateway VoIP E1, FXO, FXS, GSM
Conmutador
Firewall IDS/IPS
SBC
VPN
Enrutador
TLS / SRTP Oficina Remota
Extensión IP Remota
Proveedor SIP
HIDS TLS / SRTP
TLS / SRTP
¿Como tratamos de asegurar VoIP?
Servicios de Pruebas de Penetración
Ocultar huellas de distribución y versiones
Políticas de Contraseña
Cambiar puertos por defecto Limitar administración remota
Restricciones en la configuración
Restricciones de Acceso Físico
Deshabilitar servicios innecesarios
Objetivos de Ataques en VoIP
IP-PBX SIP-PROXY
Softphone PC Admin Host
Teléfono IP
Gateway VoIP E1, FXO, FXS, GSM
Conmutador
Firewall IDS/IPS
SBC
Enrutador
Web Server
Base de Datos
LDAP NMS
Telnet SSH SSL SNMP NTP
SMTP IMAP POP DNS ICMP
SIP RTP IAX FTP TFTP
Gestión Avanzada de la Seguridad en VoIP
Gestión de Rendimiento
Log Management
SIEM
UBA
SIEM para la Gestión de la Información de Seguridad en VoIP
SEM
Gestión de Eventos
SIM
Gestión de la Seguridad de la Información
SIEM
Gestión de la Seguridad de la Información y Gestión de Eventos.
Se basa en la Agregación de Datos, Correlación de Eventos y
Alertas
Registros (Log)
Descubrimiento de Actividades Sospechosas
Tiempo Real Análisis Histórico
OSSIM para la Gestión de la Información de Seguridad en VoIP
“OSSIM como SIEM es ideal para la gestión de amenazas y el cumplimiento de normativas, nos permite el análisis de
seguridad, ya que monitorea los eventos de seguridad, registros del sistema operativo, eventos de aplicaciones y los registros de
tráfico de red, pero también hace mucho más.”
Fuentes de Información
Múltiples Formatos
Correlación de Eventos
Métricas
Detección de Ataques en Tiempo Real
Directivas y Políticas
Acciones
OSSIM para la Gestión de la Información de Seguridad en VoIP
Agregación de Datos:
Recolección
Sensor
WMI
SNMP
Syslog
OSSEC
SQL Socket
OSSIM para la Gestión de la Información de Seguridad en VoIP
Sensor
Eventos Eventos
Authen<fica<on Failed for user root from 200.43.24.01 01.04.2016
10:00:00
DROP 192.168.10.10 200.192.20.45 Ene 04 2016 10:00:00
Plugin_id=3303 plugin_sid=1 username=root date”1295472603”
src_ip=192.168.10.10
Plugin_id=4301 plugin_sid=3 date”1295472603” src_ip=192.168.10.10 dst_ip=200.192.20.45
OSSIM para la Gestión de la Información de Seguridad en VoIP
Agregación de Datos:
Normalización
OSSIM para la Gestión de la Información de Seguridad en VoIP
Correlación de Eventos:
Sensor
Eventos
SIEM
SSH Successfull Auth
Event from 192.168.10.10 to 200.192.20.45
SSH Auth Failed Event from
192.168.10.10 to 200.192.20.45
SSH Auth Failed Event from
192.168.10.10 to 200.192.20.45
¿ Ataque de Fuerza Bruta ?
¿ Ataque de Fuerza Bruta Efec<vo?
OSSIM para la Gestión de la Información de Seguridad en VoIP
Alertas:
Enviar correo al Administrador de la PBX
Desabilitar puerto ethernet en el Conmutador
Envio de comando al firewall para bloquear la IP Origen
DoS al servidor Web
Disco sin Espacio disponible
Enumeracion SIP desde Estacion de Trabajo
Inclusion de nuevas Extensiones no autorizadas
Abrir un <cket al Help Desk
SIEM
OSSIM mas que un SIEM
Gestión Unificada de Amenazas:
ASSET DISCOVERY Ac<ve Network Scanning Passive Network Scanning Asset Inventory
VULNERABILITY ASSESSMENT Con<nuous Vulnerability Monitoring Authen<cated / Unauthen<cated Ac<ve Scanning
BEHAVIORAL MONITORING Neelow Analysis
Service Availability Monitoring
SIEM Log Collec<on
OTX Threat Data SIEM Event Correla<on
Incident Response
THREAT DETECTION Network IDS
Host IDS File Integrity Monitoring
OSSIM mas que un SIEM
Visión Global de la Infraestructura TI:
Monitoreo de Iden;dad
Descubrimiento de la Red
Monitoreo de Recursos
Detección de Anomalías
Ldap Ac;ve Directory
Logs
SNMP Fingerprin;ng Tiempo de Uso
Flujo de la Red SNMP
Agentes / ICMP
Eventos Perfiles de Red Fingerprin;ng
Topología de Red Inventario Perfiles
Monitoreo de Red Disponibilidad de la Red
Recursos de Host
OSSIM mas que un SIEM
Abstracción de la Información:
Riesgo
Eventos de Seguridad SIEM OSSIM
Incidentes
Sensor OSSIM Logs
Alto Nivel (Métricas)
Medio Nivel (Decenas de Incidentes)
Bajo Nivel (Millones de Evento)
OSSIM mas que un SIEM
Unificación de Tecnologías:
Ges;ó
n Ap
licacione
s
SIEM OSSIM
Manejo de Incidentes
Riesgos Inteligencia
Storage
Detección Prevención Awareness IDS / IPS / WIDS
HIDS File Integrity
Evaluación de Vulnerabilidades
Evaluación de Amenazas
Iden;dad
Inventario
Recursos
Métodos de Recolección
Conector (Detectores y Monitores)
Salidas
WMI
Filtrado
LM
FTP
Syslog
SQL
SNMP
SIEM
Clasificación
Normalización
Flujo de los Eventos:
Administración de los Eventos de Seguridad
Procesamiento de un Evento:
SIEM
Almacenamiento SQL
Correlación
Valoración de Riesgo
Polí<cas
Recolección
Eventos
Administración de los Eventos de Seguridad
SIEM
Los eventos son almacenados en la basa de datos
Los eventos son correlacionados por diversos métodos y analizados en base a posibles vulnerabilidades
Un valor de riesgo (0-‐10) se calcula para cada evento, valor 8 por comprometer el funcionamiento de la PBX
Las Polí<cas indicaran que en la noche no esta permi<do realizar cambios de configuración
Recopila eventos enviado por HIDS cambios en el archivo del plan de marcafo
Eventos
Tipos de Correlación:
Administración de los Eventos de Seguridad
Correlación Lógica
Correlación Cruzada
Correlación de Inventario
AND OR
Ataques Vulnerabilidades
DB de Vulnerabilidades Inventario
Correlación Cruzada:
Administración de los Eventos de Seguridad
Sensor SIEM
SSH Auth Failed Event from
192.168.10.10 to 200.192.20.45
Vulnerabilidad en Servidor via SSH por versión
instalada
Hands-‐On: Ges;ón de Eventos e Información de Seguridad en IPPBX basadas en Elas;x Comunicaciones Unificadas
Procesamiento de un Evento:
ELASTIX
Asterisk
O.S.
APACHE
MYSQL
Firewall
Eventos
ELASTIX
Eventos de Asterisk, Integridad de Archivos de Configuraciones
Vulnerabilidades de Componentes, Eventos de O.S., Rendimiento, Recursos, Servicios, Inventario.
Integridad en Archivos, Eventos de Apache, Permisos y Servicio.
Disponibilidad, Vulnerabilidades, Cambios, Eventos.
Eventos de Seguridad y Cambios de Poli<cas
Eventos
Administración de los Eventos de Seguridad en Elastix
Administración de los Eventos de Seguridad en Elastix
Internet MPLS Softphone PC Admin
Teléfono IP
Gateway VoIP E1, FXO, FXS, GSM
Conmutador Layer 3 - Vlans
Firewall IDS/IPS
SBC
VPN
Enrutador
TLS / SRTP Oficina Remota
Extensión IP Remota
Proveedor SIP
HIDS TLS / SRTP
TLS / SRTP
Muchas gracias…!
Luis Gerardo Sanchez Canaán
@sr_redesip