La principal preocupaci\u00f3n de los administradores de redes de VoIP, es proteger los dispositivos de la gran cantidad de ataques a los que son objeto las 24 horas del d\u00eda y los 365 d\u00edas del a\u00f1o, la mayor\u00eda de estos ataques vienen muchas veces por el mismo descuido, y omisiones a la hora de configurar los diferentes dispositivos involucrados<\/p>\n
Son muchas las llamadas de nuestros clientes y proveedores referentes a los ataques dirigidos a la VoIP, que se ven reflejandos muchas veces en el incremento inesperado de la tarificaci\u00f3n, ocupaci\u00f3n de canales de voz y la factura de tel\u00e9fonos. Casi siempre en este \u00faltimo toca pagar cifras muy altas.<\/p>\n
Existen muchas clases de ataques, unos generados por terceros mediante m\u00e9todos automatizados desde la red p\u00fablica (Internet), o bien por personas vinculadas a\u00a0 las redes internas de los afectados, desde los inicios de la VoIP, los ataque proven\u00edan mediante la captura de paquetes para escuchar las llamadas, y lo cual dio origen a los algoritmos de encriptaci\u00f3n de algunos fabricantes (Unify, Cisco, Alcatel, Digium, Sangoma, etc), luego la usurpaci\u00f3n de identidad, mediante el hurto de credenciales de acceso, el aprovechamiento de la vulnerabilidad del protocolo SIP, mediante la captura de paquetes de VoIP que suelen tener abierto el puerto 5060 en las llamada externa, normalmente estos ataques terminan en largos \u00a0registros de llamadas con n\u00fameros internacionales: Normalmente a destinos con tarifas de alto costo, ejemplo: Cuba, China, Sur Africa, etc\u2026<\/p>\n
Muchos administradores de redes, creen que con tener un buen firewall es m\u00e1s que suficiente para bloquear este tipo de ataque, pero nada m\u00e1s lejos de la realidad, existen dispositivos vinculados a nuestra red que muchas veces desconocemos que pueden tener una mala configuraci\u00f3n o una simple omisi\u00f3n los cuales pueden abrir las puertas a los ataques mal intencionados, un ejemplo caracter\u00edstico de estos son algunos tipos de routers de mediana gama, que traen activo los famosos protocolo UPnP que abren el puerto 5060 de forma autom\u00e1tica tras detectar algunos dispositivos como \u00a0tel\u00e9fonos, gateways, ata\u00b4s, etc, en una red LAN. Tambi\u00e9n debemos cuidarnos de los abonados que se registran a nuestra PABX VoIP de forma remota, tenemos que tener mucho cuidado a la hora de configurar los equipos y abrir puertos, incluso aunque tengan NAT detr\u00e1s de una red interna, siempre estar\u00e1n vulnerables. La buena configuraci\u00f3n siempre ser\u00e1 la clave m\u00e1s importante<\/p>\n
Los ataques de VoIP generalmente se ejecutan autom\u00e1ticamente desde servidores ocultos, con aplicaciones dedicadas que se encargan de pescar los puertos conocidos del protocolo SIP, mediante las IP Publicas, bloquear, contra-atacar o denunciar estas IP\u00b4s no es la soluci\u00f3n. Los administradores de red deben conocer con mucho detalle toda la configuraci\u00f3n de la red y adicionalmente deben conocer c\u00f3mo funcionan los atacantes, para tomar decisiones oportunas y poder descubrir los motivos de los ataques basados en c\u00f3mo se maneja el negocio de los operadores y empresas de comunicaciones (con algunas excepciones), que son los beneficiarios de estos ataques<\/p>\n
El objetivo final de estos ataques, es conseguir tr\u00e1fico para cobrar por cada llamada. Cuantas m\u00e1s llamadas, m\u00e1s dinero y para eso, se hace uso de aplicaciones que escanean redes, detectan servidores, descubren vulnerabilidades y haciendo llamadas a destinatarios y lugares con la tarifas m\u00e1s altas y poder ganar m\u00e1s dinero. Todo esto lo logran usando aplicaciones autom\u00e1tica llamadas\u00a0Bots<\/strong>.<\/p>\n \u201cBot<\/em><\/strong>\u00a0<\/em>es la palabra robot acortada. Se refiere a un tipo de programa inform\u00e1tico aut\u00f3nomo que es capaz de llevar a cabo tareas concretas e imitar el comportamiento humano. Los\u00a0bots<\/strong>\u00a0pueden estar dise\u00f1ados en cualquier lenguaje de programaci\u00f3n\u201d<\/em><\/p>\n Cuando un bot realiza m\u00faltiples llamadas el \u00fanico objetivo, es producir dinero, si el n\u00famero destino es un n\u00famero de alta tarificaci\u00f3n con un alto coste de establecimiento. El beneficiario suele ser una de las empresas intermedias o incluso la empresa que recibe la llamada, aunque est\u00e1 lo suficientemente oculto como para que no haya pruebas acerca de qui\u00e9n se beneficia del ataque del bot.<\/p>\n Los bots se ejecutan en m\u00faltiples sistemas pueden estar ejecut\u00e1ndose simult\u00e1neamente en decenas de ellos, por tal motivo cuando detectemos un ataque desde una \u00a0IP en espec\u00edfico y la bloqueamos, r\u00e1pidamente recibamos otros tantos de muchas otras m\u00e1quinas.<\/p>\n Ahora bien. \u00bfC\u00f3mo funciona y bajo que mecanismo?<\/strong><\/p>\n Este tipo de algoritmos programados en Bots, lo que hacen es realizar un b\u00fasquedas en las redes p\u00fablicas o privadas con el fin encontrar dispositivos, servidores, gateways, ATA\u00b4s, PABX de VoIP, que tenga vulnerabilidades con los puertos com\u00fanmente conocidos espec\u00edficamente del protocolo SIP, por ejemplo puerto 5060, si este puerto se encuentra abierto y una vez cruzado este umbral de vulnerabilidad las aplicaciones disparadas por los Bots en poco tiempo encontrar alg\u00fan dispositivo de VoIP disponible, y se iniciara un proceso de comprobar si puede hacer \u00a0<\/strong>una petici\u00f3n de llamada an\u00f3nima a un n\u00famero de tel\u00e9fono\u00a0de la red beneficiaria (por ejemplo, un n\u00famero de alto costo de tarificaci\u00f3n de alg\u00fan \u00a0pa\u00eds donde se pueda sacar beneficios econ\u00f3micos).<\/em> Si el sistema responde la llamada entonces se consuma el prop\u00f3sito del atacante, la llamada se conmuta y la operador beneficiario comienza a ganar dinero, posteriormente enviar\u00e1 miles de peticiones simultaneas. Pero si los dispositivos bloquean el ataque registrando \u201cForbidden\u201d o\u00a0 \u201cDeclined\u201d, entonces los bots incrementaran el nivel de ataque.<\/p>\n Intentaran buscar cuentas SIP con vulnerabilidad donde podr\u00e1n registrarse y hacer llamada como cliente locales. Inician utilizando n\u00fameros de extensiones com\u00fanmente usados iniciando por ejemplo con el n\u00famero 100 hasta el 999999 y por cada intento de usuario SIP, prueba\u00a0 varias combinaciones de contrase\u00f1as, como por ejemplo:<\/p>\n Usuario: 100 \u2026. y as\u00ed por tiempo indefinido hasta conseguir el objetivo, si no ha logrado encontrar la contrase\u00f1a, el bot probar\u00e1 con el siguiente n\u00famero: 101\u00a0y as\u00ed, consecutivamente continuar\u00e1 hasta que encuentre una cuenta vulnerable, y llegue a la cuenta 999999 o hasta que el servidor se quede sin ancho de banda y el afectado detecte un \u201cataque tipo DOS\u201d y nos desconecte temporalmente.<\/p>\n El Bot continuara los intentos de autentificarse por fuerza bruta y ser\u00e1 mucho peor, se multiplicaran los intentos, se incrementa el ancho de banda, y el procesador se sobrecarga, llegando a perores consecuencias si encuentra una cuenta SIP.<\/p>\n Si encuentra una cuenta vulnerable logrando registrase con usuario y contrase\u00f1a de un dispositivo valido SIP, lo que puede suceder es lo siguiente.<\/p>\n El bot se registra como si fuera un softphone y empieza a hacer llamadas a n\u00fameros de pa\u00edses donde se pueda sacar provecho de la tarifa, aunque si el n\u00famero no descuelga, alg\u00fan operador intermedio descolgar\u00e1\u2026 y nos cobrar\u00e1 la llamada internacional, esto no suele ser legal, pero que es muy complicado y dif\u00edcil de detectar, y mucho m\u00e1s dif\u00edcil, de denunciar.<\/p>\n El bot detecta el n\u00famero de canales salientes disponibles, de forma que env\u00eda 100 peticiones de llamada y cuenta el n\u00famero de llamadas en progreso y cuantas han fallado, de esta forma, si recibe 60 llamadas en progreso, las llamadas ir\u00e1n de 60 en 60\u2026 para maximizar el n\u00famero de llamadas por tiempo y minimizar el n\u00famero de peticiones a realizar.<\/strong><\/p>\n Lo com\u00fan es que este tipo ataques se haga por la noche o los fines de semana, cuando la detecci\u00f3n es probablemente poco monitorizada.<\/p>\n Despu\u00e9s de esta breve explicaci\u00f3n resumida de lo que es un ataque de VoIP, dejamos estas 7 recomendaciones, que recopilamos en nuestra investigaci\u00f3n, siempre partiendo de la premisa de que la regla de oro es evitar en la medida de lo posible abrir el puerto 5060.<\/p>\n El puerto 5060 tiene que estar bloqueado por el firewall, en los Router principales e intermedios para que no puedan acceder a tus servidores o dispositivos de VoIP. Nunca hay que abrir el puerto 5060 ya que eso supondr\u00eda una invitaci\u00f3n a los atacantes.<\/p>\n 1) No aceptes solicitudes de identificaci\u00f3n desde todas las direcciones IP (solo IP conocidas) o registradas en tus DB<\/p>\n 2 Utiliza contrase\u00f1as FUERTES para dispositivos SIP<\/p>\n 3) Bloquea tus puertos AMI, API, Etc<\/p>\n 4) Permitir s\u00f3lo una o dos llamadas a la vez por dispositivo SIP donde sea posible<\/p>\n 5) Diferencia los nombres de tus usuarios SIP de los de tus extensiones<\/p>\n 6) Mant\u00e9n tus contextos seguros en todo momento<\/p>\n 7) Utiliza algoritmos de encriptaci\u00f3n en tus servidores de VoIP<\/p>\n","protected":false},"excerpt":{"rendered":" La principal preocupaci\u00f3n de los administradores de redes de VoIP, es proteger los dispositivos de la gran cantidad de ataques a los que son objeto las 24 horas del d\u00eda y los 365 d\u00edas del a\u00f1o, la mayor\u00eda de estos Leer mas…<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-29","post","type-post","status-publish","format-standard","hentry","category-articulos"],"_links":{"self":[{"href":"https:\/\/vozglobal.net\/blog\/wp-json\/wp\/v2\/posts\/29","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/vozglobal.net\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/vozglobal.net\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/vozglobal.net\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/vozglobal.net\/blog\/wp-json\/wp\/v2\/comments?post=29"}],"version-history":[{"count":8,"href":"https:\/\/vozglobal.net\/blog\/wp-json\/wp\/v2\/posts\/29\/revisions"}],"predecessor-version":[{"id":42,"href":"https:\/\/vozglobal.net\/blog\/wp-json\/wp\/v2\/posts\/29\/revisions\/42"}],"wp:attachment":[{"href":"https:\/\/vozglobal.net\/blog\/wp-json\/wp\/v2\/media?parent=29"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/vozglobal.net\/blog\/wp-json\/wp\/v2\/categories?post=29"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/vozglobal.net\/blog\/wp-json\/wp\/v2\/tags?post=29"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
\nContrase\u00f1a:\u00a0100<\/em>
\nContrase\u00f1a:\u00a00100<\/em>
\nContrase\u00f1a:\u00a000100<\/em>
\nContrase\u00f1a:\u00a0abc100<\/em>
\nContrase\u00f1a:\u00a0000<\/em>
\nContrase\u00f1a:\u00a01234<\/em>
\nContrase\u00f1a:\u00a012345<\/em>
\nContrase\u00f1a:\u00a0pass100<\/em><\/p>\n