PDF de programación - Ataque de man in the middle para protocolo sip mediante análisis de caja negra

Universidad de Buenos Aires

Facultades de Ciencias Económicas, Ciencias Exactas y

Naturales e Ingeniería



Carrera de Especialización en Seguridad Informática



Trabajo Final

Ataque de man in the middle para protocolo sip mediante análisis de

caja negra







Autor: Ing. Ignacio Benedini

Tutor de Trabajo Final: Ing.Diego, Alonso

Año de presentación: 2013

Cohorte: 2011





Declaración Jurada de origen de los contenidos

Por medio de la presente, el autor manifiesta conocer y aceptar el

Reglamento de Trabajos Finales vigente y se hace responsable que la

totalidad de los contenidos del presente documento son originales y de su

creación exclusiva, o bien pertenecen a terceros u otras fuentes, que han

sido adecuadamente referenciados y cuya inclusión no infringe la legislación

Nacional e Internacional de Propiedad Intelectual.





















































FIRMADO

Ignacio Benedini

DNI 28.863.191

i



Resumen

El protocolo SIP permite el establecimiento de sesiones entre dos o

más equipos, el cual puede ser usado para la trasmisión de video, audio o

cualquier otro formato multimedia.

En la actualidad, el protocolo ha cobrado importancia en los sistemas

de telefonía IP, dado su versatilidad y capacidad en el manejo de sesiones.

Este manejo permite el uso de diferentes funciones tales como transferencia

de llamadas, conferencia, llamada en espera, etc.

Durante el transcurso del trabajo se analizaran los componentes

básicos del protocolo, las funciones principales del mismo, y como se inicia y

finaliza una sesión. Además se analizaran los tipos de ataques más

conocidos en lo que respecta a seguridad informática.

Basándonos en la premisa que el ataque más peligros es aquel que

pasa inadvertido a los ojos de la víctima, se encuentra que el ataque de

mayor criticidad es aquel conocido como hombre en el medio. Se analizara

en detalle dicho ataque y que es lo que debe realizar un atacante para

cumplir dicho fin. Ya analizado los distintos métodos de ataque, se

plantearán contramedida contra los mismos; buscando asegurar una

conexión SIP segura.

El protocolo SIP es considerado un protocolo joven, el cual aun

necesita ser revisado y modificado. En la actualidad existen varios

documentos RFCs que proponen diversas mejoras en el mismo. Es por esto

que con el fin de asegurar una conexión segura, es necesaria el uso de otros

protocolos o sistema como TLS e IPsec que sirvan de apoyo al mismo.










ii




INDICE

NÓMINA DE ABREVIATURAS (ACRÓNIMO EN INGLES) ...................................IV

INTRODUCCIÓN .................................................................................................... 1

CAPITULO 1 - ENTENDIENDO EL PROTOCOLO SIP .......................................... 2







1.1 INTRODUCCIÓN ......................................................................................... 2

1.2 HISTORIA DEL PROTOCOLO .................................................................... 2

1.3 FUNCIÓN DEL PROTOCOLO .................................................................... 3

CAPITULO 2 - ESTRUCTURA DEL PROTOCOLO SIP ......................................... 5







2.1 CARACTERÍSTICAS ................................................................................... 5

2.2 IDENTIFICADOR UNIVERSAL DE RECURSOS - URI ............................... 5

2.3 COMPONENTES DE UNA RED TÍPICA ..................................................... 7

CAPITULO 3 - COMUNICACIÓN ENTRE DISPOSITIVOS .................................... 9

CAPITULO 4 – SEGURIDAD EN SIP ................................................................... 11













4.1 SESIÓN SEGURA ..................................................................................... 11

4.2 BASIC AUTHENTICATION ....................................................................... 11

4.3 AUTHENTICATION DIGEST ..................................................................... 11

4.4 S/MIME ...................................................................................................... 14

4.5 TLS ............................................................................................................ 15

4.6 IPSEC ........................................................................................................ 16

CAPITULO 5 – VULNERABILIDADES Y ATAQUES ............................................ 18







5.1 VECTOR DE ATAQUE .............................................................................. 18

5.2 ATAQUES TÍPICOS .................................................................................. 19

5.3 TÉCNICAS DE ATAQUE ........................................................................... 22

CAPÍTULO 6 - CONTRAMEDIDAS PARA MITIGAR LAS AMENAZAS ............... 29

CONCLUSIONES ................................................................................................. 32

BIBLIOGRAFÍA ESPECÍFICA ............................................................................... 34

BIBLIOGRAFÍA GENERAL ................................................................................... 37

INDICE ESPECÍFICO ........................................................................................... 39









iii


Network Address Translation
Open System Interconnection
Public Key Identificator

Intrusion Detection System
Internet Engineering Task Force
Internet Key Exchange
Intrusion Predictive System
Internet Protocol security

3GPP 3rd Generation Partnership Project
ARP
CBC
HTTP Hypertext Transport Protocol
IDS
IETF
IKE
IPS
IPsec
MD5 Message-Digest Algorithm 5
NAT
OSI
PKI
s/MIME Secure/Multipurpose Internet Mail Extensions
SCIP
SDP
SIP
SMTP Simple Mail Transfer Protocol
TCP
Transmission Control Protocol
TLS
Transport Layer Security
UA
User Agent
UAC
User Agent Client
UAS
User Agent Server
UDP
User Datagram Protocol
URI
Uniform Resource Identifier
URL
Uniform Resource Locator
VLAN Virtual LAN
VPN

Simple Conference Invitation Protocol
Session Description Protocol
Session Initiation Protocol



Nómina de abreviaturas (Acrónimo en ingles)

Address Resolution Protocol
Cipher-Block Chaining

Virtual Private Network











iv




Introducción

En este documento se analizará la vulnerabilidad que presenta frente

al protocolo SIP el ataque conocido como hombre en el medio.

El uso del protocolo SIP crece exponencialmente, en especial en el

rubro de las telecomunicaciones para centrales telefónicas. Esto se debe a

que el este esta enfocado en el manejo de sesiones, donde cada sesión

implica una llamada telefónica, realizada en la central. Además el protocolo

ofrece una amplia gama de opciones para el manejo de las mismas, lo que

permite el desarrollo de funciones tales como conferencias, transferencias

de llamadas, llamada en espera, etc.

Para entender las implicancias del ataque en análisis primero hay que

entender que es el protocolo SIP y como funciona. Esto se analizará en el

documento dentro de los capítulos uno, dos y tres

Entendiendo como funciona y los procesos que se realizan por

ejemplo para el inicio y cierre de una sesión. Mientras que en el cuarto

capítulo se analizaran los diferentes métodos existentes que permiten

asegurar la confidencialidad, integridad y autenticidad de cada mensaje.

Este proceso tiene como fin el de mitigar el riesgo de ser atacado.

En el quinto capítulo analizaremos que amenazas existen. También

revisaremos los diferentes métodos conocidos que pueden lograr con éxito

que el atacante pueda interceptar la llamada entre dos o más extensiones

específicas.

Por último abordaremos las diferentes contramedidas que uno puede

realizar para defenderse ante estos ataques.





1



Capitulo 1 - Entendiendo el Protocolo SIP



1.1 Introducción

El protocolo SIP creado por el IETF, fue creado con el fin de

estandarizar la inicialización, modificación y finalización de sesiones de

usuarios en donde intervienen elementos multimedia, tales como video, voz,

mensajería instantánea, etc.

La sintaxis del protocolo SIP es similar a la de los protocolos HTTP y

SMTP, usado para servicios de páginas Web y distribución de emails

respectivamente. Todo sistema usado para las telecomunicaciones se

encuentra referenciado dentro del modelo OSI.

El modelo posee 7 capas o categorías. La capa 1, capa física, hace

referencia al medio físico usado para establecer las conexiones. La capa 2,

capa de enlace de datos, refiere a la topología de red implementada,

características de las tramas implementadas y el método empleado para el

control de errores durante la transmisión.

Por otro lado, la capa 6, nivel de presentación, analiza la forma en

que los datos recibidos serán analizados, por ultimo la capa 7, capa de

aplicación, define los protocolos a ser usados por los diferentes servicios

disponibles. El protocolo SIP se encuentra dentro de dicha capa.



1.2 Historia del protocolo

La estructura del protocolo SIP usado actualmente es el resultado de

la mezcla de dos proyectos presentados a la IETF para el manejo de

sesiones. En 1996 Mark Handley y Eve Schooler presentaron el proyecto

conocido en la actualidad como SIPv.1. El mismo año el Dr. Henning

Schulzrinne presentó el proyecto conocido como SCIP basado en el

protocolo H