La principal preocupación de los administradores de redes de VoIP, es proteger los dispositivos de la gran cantidad de ataques a los que son objeto las 24 horas del día y los 365 días del año, la mayoría de estos ataques vienen muchas veces por el mismo descuido, y omisiones a la hora de configurar los diferentes dispositivos involucrados
Son muchas las llamadas de nuestros clientes y proveedores referentes a los ataques dirigidos a la VoIP, que se ven reflejandos muchas veces en el incremento inesperado de la tarificación, ocupación de canales de voz y la factura de teléfonos. Casi siempre en este último toca pagar cifras muy altas.
Existen muchas clases de ataques, unos generados por terceros mediante métodos automatizados desde la red pública (Internet), o bien por personas vinculadas a las redes internas de los afectados, desde los inicios de la VoIP, los ataque provenían mediante la captura de paquetes para escuchar las llamadas, y lo cual dio origen a los algoritmos de encriptación de algunos fabricantes (Unify, Cisco, Alcatel, Digium, Sangoma, etc), luego la usurpación de identidad, mediante el hurto de credenciales de acceso, el aprovechamiento de la vulnerabilidad del protocolo SIP, mediante la captura de paquetes de VoIP que suelen tener abierto el puerto 5060 en las llamada externa, normalmente estos ataques terminan en largos registros de llamadas con números internacionales: Normalmente a destinos con tarifas de alto costo, ejemplo: Cuba, China, Sur Africa, etc…
Muchos administradores de redes, creen que con tener un buen firewall es más que suficiente para bloquear este tipo de ataque, pero nada más lejos de la realidad, existen dispositivos vinculados a nuestra red que muchas veces desconocemos que pueden tener una mala configuración o una simple omisión los cuales pueden abrir las puertas a los ataques mal intencionados, un ejemplo característico de estos son algunos tipos de routers de mediana gama, que traen activo los famosos protocolo UPnP que abren el puerto 5060 de forma automática tras detectar algunos dispositivos como teléfonos, gateways, ata´s, etc, en una red LAN. También debemos cuidarnos de los abonados que se registran a nuestra PABX VoIP de forma remota, tenemos que tener mucho cuidado a la hora de configurar los equipos y abrir puertos, incluso aunque tengan NAT detrás de una red interna, siempre estarán vulnerables. La buena configuración siempre será la clave más importante
Los ataques de VoIP generalmente se ejecutan automáticamente desde servidores ocultos, con aplicaciones dedicadas que se encargan de pescar los puertos conocidos del protocolo SIP, mediante las IP Publicas, bloquear, contra-atacar o denunciar estas IP´s no es la solución. Los administradores de red deben conocer con mucho detalle toda la configuración de la red y adicionalmente deben conocer cómo funcionan los atacantes, para tomar decisiones oportunas y poder descubrir los motivos de los ataques basados en cómo se maneja el negocio de los operadores y empresas de comunicaciones (con algunas excepciones), que son los beneficiarios de estos ataques
El objetivo final de estos ataques, es conseguir tráfico para cobrar por cada llamada. Cuantas más llamadas, más dinero y para eso, se hace uso de aplicaciones que escanean redes, detectan servidores, descubren vulnerabilidades y haciendo llamadas a destinatarios y lugares con la tarifas más altas y poder ganar más dinero. Todo esto lo logran usando aplicaciones automática llamadas Bots.
“Bot es la palabra robot acortada. Se refiere a un tipo de programa informático autónomo que es capaz de llevar a cabo tareas concretas e imitar el comportamiento humano. Los bots pueden estar diseñados en cualquier lenguaje de programación”
Cuando un bot realiza múltiples llamadas el único objetivo, es producir dinero, si el número destino es un número de alta tarificación con un alto coste de establecimiento. El beneficiario suele ser una de las empresas intermedias o incluso la empresa que recibe la llamada, aunque está lo suficientemente oculto como para que no haya pruebas acerca de quién se beneficia del ataque del bot.
Los bots se ejecutan en múltiples sistemas pueden estar ejecutándose simultáneamente en decenas de ellos, por tal motivo cuando detectemos un ataque desde una IP en específico y la bloqueamos, rápidamente recibamos otros tantos de muchas otras máquinas.
Ahora bien. ¿Cómo funciona y bajo que mecanismo?
Este tipo de algoritmos programados en Bots, lo que hacen es realizar un búsquedas en las redes públicas o privadas con el fin encontrar dispositivos, servidores, gateways, ATA´s, PABX de VoIP, que tenga vulnerabilidades con los puertos comúnmente conocidos específicamente del protocolo SIP, por ejemplo puerto 5060, si este puerto se encuentra abierto y una vez cruzado este umbral de vulnerabilidad las aplicaciones disparadas por los Bots en poco tiempo encontrar algún dispositivo de VoIP disponible, y se iniciara un proceso de comprobar si puede hacer una petición de llamada anónima a un número de teléfono de la red beneficiaria (por ejemplo, un número de alto costo de tarificación de algún país donde se pueda sacar beneficios económicos). Si el sistema responde la llamada entonces se consuma el propósito del atacante, la llamada se conmuta y la operador beneficiario comienza a ganar dinero, posteriormente enviará miles de peticiones simultaneas. Pero si los dispositivos bloquean el ataque registrando “Forbidden” o “Declined”, entonces los bots incrementaran el nivel de ataque.
Intentaran buscar cuentas SIP con vulnerabilidad donde podrán registrarse y hacer llamada como cliente locales. Inician utilizando números de extensiones comúnmente usados iniciando por ejemplo con el número 100 hasta el 999999 y por cada intento de usuario SIP, prueba varias combinaciones de contraseñas, como por ejemplo:
Usuario: 100
Contraseña: 100
Contraseña: 0100
Contraseña: 00100
Contraseña: abc100
Contraseña: 000
Contraseña: 1234
Contraseña: 12345
Contraseña: pass100
…. y así por tiempo indefinido hasta conseguir el objetivo, si no ha logrado encontrar la contraseña, el bot probará con el siguiente número: 101 y así, consecutivamente continuará hasta que encuentre una cuenta vulnerable, y llegue a la cuenta 999999 o hasta que el servidor se quede sin ancho de banda y el afectado detecte un “ataque tipo DOS” y nos desconecte temporalmente.
El Bot continuara los intentos de autentificarse por fuerza bruta y será mucho peor, se multiplicaran los intentos, se incrementa el ancho de banda, y el procesador se sobrecarga, llegando a perores consecuencias si encuentra una cuenta SIP.
Si encuentra una cuenta vulnerable logrando registrase con usuario y contraseña de un dispositivo valido SIP, lo que puede suceder es lo siguiente.
El bot se registra como si fuera un softphone y empieza a hacer llamadas a números de países donde se pueda sacar provecho de la tarifa, aunque si el número no descuelga, algún operador intermedio descolgará… y nos cobrará la llamada internacional, esto no suele ser legal, pero que es muy complicado y difícil de detectar, y mucho más difícil, de denunciar.
El bot detecta el número de canales salientes disponibles, de forma que envía 100 peticiones de llamada y cuenta el número de llamadas en progreso y cuantas han fallado, de esta forma, si recibe 60 llamadas en progreso, las llamadas irán de 60 en 60… para maximizar el número de llamadas por tiempo y minimizar el número de peticiones a realizar.
Lo común es que este tipo ataques se haga por la noche o los fines de semana, cuando la detección es probablemente poco monitorizada.
Después de esta breve explicación resumida de lo que es un ataque de VoIP, dejamos estas 7 recomendaciones, que recopilamos en nuestra investigación, siempre partiendo de la premisa de que la regla de oro es evitar en la medida de lo posible abrir el puerto 5060.
El puerto 5060 tiene que estar bloqueado por el firewall, en los Router principales e intermedios para que no puedan acceder a tus servidores o dispositivos de VoIP. Nunca hay que abrir el puerto 5060 ya que eso supondría una invitación a los atacantes.
1) No aceptes solicitudes de identificación desde todas las direcciones IP (solo IP conocidas) o registradas en tus DB
2 Utiliza contraseñas FUERTES para dispositivos SIP
3) Bloquea tus puertos AMI, API, Etc
4) Permitir sólo una o dos llamadas a la vez por dispositivo SIP donde sea posible
5) Diferencia los nombres de tus usuarios SIP de los de tus extensiones
6) Mantén tus contextos seguros en todo momento
7) Utiliza algoritmos de encriptación en tus servidores de VoIP