Etapa 3 Examinar la seguridad de la red VOIP

Existen interrupciones en el servicio de VoIP que no se producen necesariamente por ataques de intrusos, para ellos hay algunos síntomas a tener en cuenta para la identificación de un ataque de denegación de servicio (DoS). Por ejemplo si la red estuviera funcionando en forma mucho más lenta de lo habitual, el servicio no estuviera disponible, o si se recibe una enorme cantidad de peticiones, probablemente es víctima de un ataque de denegación de servicio.

En este sentido es importante establecer ciertas recomendaciones a la hora de diagnosticar si nuestra red está siendo víctima de un ataque de DoS en el servicio deVoIP, para ello el Modelo de Seguridad recomienda:

1. Monitorizar Recursos

Para determinar si se está siendo víctima de un ataque se deben recoger los datos de utilización de recursos como CPU, memoria, tráfico de red, disco, etc, de los equipos implicados en la red VoIP y compararlos con los valores "normales" que suele tener el servicio. Se sugiere:

1. Implementar herramientas de monitoreo de red en tiempo real, que permita monitoreo proactivo tanto de la infraestructura de equipos y servidores así como de la red de datos en tiempo real.

2. Definir un baseline del consumo de recursos en condiciones normales de operación del servidor VOIP, monitoreando el consumo de CPU, memoria y disco.

3. Instalar el agente de SNMP en el servidor de VOIP para monitorear los recursos del host y recolectar los datos de rendimiento.

4. Especificar umbrales y configurar alertas basadas en umbrales para cada monitor de recursos. Cuando estos patrones se superen se debe generar una alarma. Cuando:

- El porcentaje de uso de CPU alcanza el 70%, cambiar el estado a

WARNING y enviar un correo electrónico.

- El porcentaje de uso de CPU alcanza entre 80% - 100%, cambiar el estado a

CRÍTICO y enviar un correo electrónico y sms.

- El porcentaje de uso de la Memoria sea mayor al 90%, generar un

WARNING y enviar un correo electrónico o sms.

Generalmente los ataques por flooding tienden a consumir muchos recursos. Si el consumo de nuestro servidor VoIP recae sobre los umbrales especificados, se podría sospechar de un ataque basado en "inundación".

2. Supervisar el Tráfico SIP de la red VoIP

Explorar y analizar el tráfico de la red VoIP permite identificar desde ataques de fuerza bruta dirigidos a usuarios SIP hasta detectar spam de telefonía porInternet (SPIT). Esto es posible, mediante el empleo de sniffers y/o analizadores de protocolos. En esencia, los analizadores de protocolos capturan y almacenan los datos que viajan por la red. Es posible detectar un ataque de fuzzing por medio de analizadores de protocolos, puesto que el paquete enviado por este tipo

ataques de flooding, ya que si se observa que la red recibe peticiones masivas de mensajes SIP (INVITE, REGISTER, BYE), posiblemente sea víctima de ataques por fuzzing y flooding.

Se recomienda generar una tarea que permita automatizar el proceso de identificación de anomalías en la red.

1.

Generar un Script en el servidor de VoIP que permita capturar paquetes de la red por background, mediante la utilización del comando tcpdump

2.

Las capturas deberán actualizarse cada cierto tiempo, de preferencia cada 40 mins

3.

Guardar los paquetes capturados, para futuros análisis.

4.

El archivo guardado puede ser visto por el mismo comando tcpdump. También se puede utilizar el software de código abierto Wireshark para leer los archivostcpdump pcap.

5.

Buscar la cadena“malformed packet” y/o identificar si existe más de 1000 mensajes “INVITE”, “REGISTER” o “TCP SYN”en el archivo tcpdump pcap.

6.

Configurar una alerta, para ser enviada en cuanto se encuentre dicho parámetro

Así mismo se sugiere:

1. Implementar una herramienta de Monitoreo de tráfico SIP, RTCP y RTCP-XR 2. Obtener capturas actualizadas constantemente

3. Realizar búsquedas de llamadas y paquetes SIP fácilmente aplicando diferentes filtros como tiempos, Call-id, método SIP, IP origen, IP destino, etc

4. Descargar el contenido en un archivo pcap o txt (opcional)

5. Configurar el sistema de alarmas para detectar y alertar de ciertos errores o ataques a SIP (por ejemplo, los paquetes enviados desde SIPVicious).

6. Contabilizar ciertos paquetes (403, 482, spoofing… ) y configurarlo para que al superar un umbral, sea notificado vía email. Esto nos puede alertar de funcionamientos anómalos de nuestros sistemas, pudiendo detectarlos rápidamente.

7. Presentar reportes gráficos, acelerando el descubrimiento de posibles irregularidades como problemas de audio de una llamada, jitters o pérdidas de paquetes.

3. Monitorear y Analizar Logs

El análisis de logs puede revelar información trascendente para la operación del servicio de telefonía IP, como alertar sobre la posible sospecha de un ataque por Floodig (Invite, Bye, Cancel y Register), Malformación de mensajes, Manipulación de la Señalización SIP, Ataques de fuerza bruta, Enumeración, etc. Con la ayuda de un software que escanea los logs de los equipos en búsqueda de repetidos intentos de autenticación fallida y bloqueando de forma automática dicha IP, de tal forma que la IP del atacante será bloqueada después de cierto número de intentos no permitiéndole así adivinar o descifrar las contraseñas. Para ello se sugiere:

1. Implementar software para escaneo y análisis de logs

2. Configurar parámetros para que analice los logs que se desea y bloque IP,s 3. Enviar notificaciones vía e-mail.

In document Modelo de seguridad contra ataques de denegación de servicio (DoS) de tráfico SIP en Servicios VoIP para redes LAN corporativas. (página 62-65)