VOIP Ağlara Yönelik Sızma Testleri Ozan UÇAR <ozan.ucar@bga.com.tr> ÖZET: [Bu belge VOIP ağlara yönelik sızma testleri gerçekleştirmek isteyenlere yönelik kılavuz olma amacı taşımaktadır. ]
2 VOIP Ağlara Yönelik Sızma Testleri Ön Söz VOIP Pentest Lab. Network Şeması Ön Gereksinimler Trixbox IP-PBX Sunucu Zoiper Softphone VulnVOIP İmajı Backtrack 5 R3 GNS3 Lab Trixbox Kurulumu Network Ayarları Kullanıcı Tanımlama Minimum Kullanıcı Ayarları Zoiper Kurulumu Örnek Uygulama VulnVOIP Kurulumu VOIP Saldırı Teknikleri Enumeration Uygulamalar : Google, Shadanhq, Smap, Svmap Google VoIP Google Hacking Database Shodanhq Türkiye deki VOIP Sistemler Snom VOIP Telefonlar Smap Svmap Denial of Service (DoS) attacks Uygulama : InviteFlood Authentication attacks Uygulama : Wireshark Sipdump Sipcrack Caller ID spoofing
VOIP Ağlara Yönelik Sızma Testleri 3 Uygulamalar : invitespoof Metasploit Auxiliary (sip_invite_spoof) Man-in-the-middle Saldırısı ve Sniffing Uygulama : Ettercap VLAN Hopping Uygulama : Spamming over Internet Telephony (SPIT) Uygulama : VoIP phishing (Vishing) Uygulama : VoIP Exploitation Kaynaklar VOIP Ağlara Yönelik Sızma Testleri 3
4 VOIP Ağlara Yönelik Sızma Testleri Ön Söz Bu belge VOIP ağlara yönelik sızma testleri gerçekleştirmek isteyenlere yönelik temel kılavuz niteliğini taşımaktadır. Belgenin ilk sürümünde VOIP sızma testleri için gerekli olan laboratuvar ortamının kurulması ve temel saldırı teknik ve araçlarından bahseilmiştir. İlerleyen sürümlerde VOIP amaçlı kullanılan protokollerin çalışma yapıları ve protokol istismarı gibi daha detaylı bilgilere yer verilecektir. VOIP Pentest Lab. Network Şeması Ön Gereksinimler Trixbox IP-PBX Sunucu
VOIP Ağlara Yönelik Sızma Testleri 5 Centos işletim sistemi üzerine kurulu, Asterix tabanlı web arabirimine sahip http://fonality.com/trixbox/downloads Zoiper Softphone Voip client yazılımı, windows,linux,mac versiyonları bulunmakta. Kurban makina. http://www.zoiper.com/download_list.php VulnVOIP İmajı AsterixNOW voip sunucusunu kullanan üzerinde bir çok zayıf parola ve bilinen güvenlik açıklıklarını barındıran bir vmware imajıdır. http://www.rebootuser.com/wp-content/uploads/vulnvoip/vulnvoip.7z Backtrack 5 R3 Saldırgan GNS3 Lab Cisco vb. ios ları sanallaştırma Trixbox Kurulumu Trixbox kuruldukdan sonra http://ip_adresi ile web arayüzüne bağlantı kurulur. Kurulum bittikden sonra root kullanıcısı ve kurulum esnasında belirlediğiniz parola ile giriş yaparak komut satırından da yönetim yapabilirsiniz. Network Ayarları Kurulum sonrası ip adresi otomotik olarak DHCP den alınacaktır. Çalışma ortamınızda bir DHCP sunucu yoksa, sabit ip adresi tanımlamak için komut satırından system-config-network komutu çalıştırarak sabip ip adresi tanımlayabilirsiniz. VOIP Ağlara Yönelik Sızma Testleri 5
6 VOIP Ağlara Yönelik Sızma Testleri Erişim paneli varsayılan olarak User modunda açılmaktadır. Admin yetkileri ile giriş yapmak için sağ üst menüdeki User mode {switch} seçeneğine tıklanarak aşağıdaki bilgiler ile giriş yapılabilir. Kullanıcı Adı: maint Parola: password Kullanıcı Tanımlama Yönetici seviyesinde giriş yaptıkdan sonra, PBX > PBX Settings sayfasında Basic menüsü altında bulunan Extensions seçeneğine tıklayarak açılan pencereden Generic SIP Device seçiminde bulunarak kullanıcı hesaplarını tanımlayabilirsiniz.
Minimum Kullanıcı Ayarları VOIP Ağlara Yönelik Sızma Testleri 7 User Extension = Aramalarda kullanıcıya ulaşılacak numara (rakam olmalıdır) Display Name = Aramalarada görünecek kullanıcı adı (Ad/Soyad gibi) Secret = Tam olarak olmasada, kullanıcı parolası olarak düşünebilirsiniz (daha detay açıklama yapılacak) Zoiper Kurulumu Asterix sunucuya bağlanıp ses iletişimi sağlayacak istemci uygulamasıdır. Multiplatform çalışmaktadır. Trixbox da tanımlanan kullanıcı hesabı zoiper uygulamasına aşağıdaki şekilde tanımlanır. Bu aşamadan sonra, aranacak kişinin caller id numarası ekrana yazılarak arama sağlanır. Örnek Uygulama VOIP Ağlara Yönelik Sızma Testleri 7
8 VOIP Ağlara Yönelik Sızma Testleri Ozan UCAR, Huzeyfe ONAL ı arıyor.
VOIP Ağlara Yönelik Sızma Testleri 9 VulnVOIP Kurulumu http://www.rebootuser.com/wp-content/uploads/vulnvoip/vulnvoip.7z adresinden indirildikden sonra 7zip (veya muadili) yazılımlarla açıldıkdan sonra vmware sanallaştırma platformuna eklenebilir. Dosyayı belirlediğiniz bir dizine açtıkdan sonra vulnvoip.vmx dosyasını çift tıklayarak vmware aracılığı ile açabilirsiniz. VOIP Ağlara Yönelik Sızma Testleri 9
10 VOIP Ağlara Yönelik Sızma Testleri VOIP Saldırı Teknikleri Enumeration VOIP sistemleri tespit etmek ve uygulamalar hakkında bilgi toplamak. Shodanhq, Google, Smap,Svmap Uygulamalar : Google, Shadanhq, Smap, Svmap Google Google için kullanılan şöyle bir tabir var; herşeyi bilmeye en yakın şey. Bu büyük ve gelişmiş arama motoru sürekli interneti gezip aramalar ve indekslemeler yaparken çeşitli arama operatörleri ile sorgulama yapmamıza izin veriyor. Google arama teknikleri kullanılarak hacking amaçlı bilgi açığa çıkarma ve hacking olayları gerçekleştirmeye Google Hacking denilmektedir. Çeşitli kritik bilgilere (kullanıcı adı, parola, veritabanı bilgisi gibi gibi) ve çeşitli güvenlik zaafiyetlerine erişim için hali hazırda google hacking filtreleri oluşturulmuştur ve her geçen gün yenileri eklenmektedir. Bu arama filtrelerinin bulunduğu veritabanı yapısına Google Hacking Database (GHDB) denilmektedir. VoIP Google Hacking Database Asterisk Management Portal: inotle:asterisk.management.portal web-access Cisco Phones: inurl:"networkconfiguraoon" cisco Cisco CallManager: inurl:"ccmuser/logon.asp" D-Link Phones: inotle:"d-link DPH" "web login sesng Grandstream Phones: inotle:"grandstream Device ConfiguraOon" password Linksys (Sipura) Phones: inotle:" SPA ConfiguraOon"
VOIP Ağlara Yönelik Sızma Testleri 11 Polycom Soundpoint Phones: inotle:"soundpoint IP ConfiguraOon" Snom Phones: "(e.g. 0114930398330)" snom Örnek Arama Sonuçları Shodanhq Shodanhq, pentest çalışmaları yapan güvenlik uzmanları ve hackerlar için oluşturulmuş bilgi toplama amaçlı bir arama motorudur. Bu arama motoru ile dünya üzerinde taranmış ve sistemin veritabanına kaydedilmiş bilgilere arama filtreleri ile hızlıca erişebiliyorsunuz. Türkiye deki VOIP Sistemler VoIP portları internete açık kaç sistem var? Arama Filtresi: country:tr port:5060 Veya yalnızca başlık bilgisinde voip, sip ifadeleri arandığında bir çok voip sunucu keşfedilecektir. VOIP Ağlara Yönelik Sızma Testleri 1 1
12 VOIP Ağlara Yönelik Sızma Testleri Snom VOIP Telefonlar Kimlik doğrulama gerektirmeyen VOIP sistemlere erişim için shodanhq dan aşağıdaki gibi bir arama gerçekleştirilebilir. Arama filtresi: snom embedded Örnek bir arama sonucu
VOIP Ağlara Yönelik Sızma Testleri 13 Smap Voip sunucu ve istemcileri tespit etmek için smap yazılımı kullanılabilir. Smap ile tek bir hedefe yönelik veya bir ağa yönelik tarama yapılabilir. VOIP Ağlara Yönelik Sızma Testleri 1 3
14 VOIP Ağlara Yönelik Sızma Testleri User-Agent bilgisinden hangi SIP sunucu ve/veya VoIP istemcisinin kullanıldığı öğrenmiş olduk. Wireshark ile gönderilen/alınan paketler ve içeriği aşağıdaki gibi görüntülenecektir.
VOIP Ağlara Yönelik Sızma Testleri 15 Svmap Svmap, Sipvision araçları içerisinde bulunan bir diğer güçlü bilgi toplama aracıdır. Varsayılan olarak SIP sunucuya OPTIONS isteğinde bulunur. 172.16.136.130 ve 172.16.136.155 arası ip adreslerini tarayalım. VOIP Ağlara Yönelik Sızma Testleri 1 5
16 VOIP Ağlara Yönelik Sızma Testleri Denial of Service (DoS) attacks VoIP alt yapısını çalışmaz hale getirmek veya erişim kesintileri oluşturmak. invitespoof, hping3 Uygulama : Hedef SIP sunucuya veya VoIP istemcisine yoğun bir invite mesajı göndererek sistemin kitlenemesini sağlayabiliriz. SIP sunucular varsayılan olarak UDP protokolünü kullanırlar. UDP protokolü kullanan servislere yönelik IP Spoofing yapılarak payload (içerik) gönderilebilir. Bu saldırıda, kaynak IP adresini spoof ederek (herhangi bir ip adresinden geliyormuş gibi) yığınla çağrı açabiliriz. InviteFlood Temel kullanımı şu şekildedir;./inviteflood Ag_Arabirimi isteksayısı sahte_ipadresi sip_sunucu caller_id -a fake_callerid./inviteflood eth0 3 85.95.238.172 85.95.238.171 100 -a ozanus./inviteflood eth0 3 85.95.238.172 85.95.238.171 100 -a PATRON Hedef sisteme üst üste bir çok çağrı açılacaktır ve eş zamanlı çağrı sayısı dolduğu sürece yeni çağrı alamayacaktır.
VOIP Ağlara Yönelik Sızma Testleri 17 Authentication attacks VoIP kullanıcı bilgilerini (kullanıcı adı ve parola) ele geçirmek. Wireshark, Arpspoof, sipcrack Uygulama : Bir voip kullanıcısı, ağa dahil olduğunda SIP sunucuya kayıt olmak için mesaj gönderir. Bu mesaj içeriğinde saldırganı ve/veya pentesterı ilgilendiren hassas bilgiler yer almaktadır. Bu bilgiler; kullanıcı bilgileri, kimlik doğrulama bilgileri ve SIP sunucuya gönderilen çeşitli mesajları içermektedir. VOIP Ağlara Yönelik Sızma Testleri 1 7
18 VOIP Ağlara Yönelik Sızma Testleri Wireshark Trafiği izleyen bir saldırgan wireshark vb. bir araç ile voip istemcisinin register bilgilerini yakalayabilir. Trafiği izleyebilmek için mitm saldırısı yapılmalı yada ağ trafiğini izleyebilecek bir konumda bulunmalısınız (mirror port, tap vb.) REGISTER mesajının içeriğinde, voip kullanıcısının caller id, ip adresi, parola bilgisi ve SIP extensionları bulunmaktadır.
VOIP Ağlara Yönelik Sızma Testleri 19 Trafiği kaydederek, sipdump ve sipcrack yazılımları kendimize özel parola listemiz ile md5 hash kırılabilir. Sipdump Wireshark ile elde edilen trafiği, /pentest/passwords/sipcrack dizini altına sip.cap adıyla kaydedip, aşağıdaki şekilde simdump aracı ile authentication bilgileri ayıklanır. User 1111 bilgileri sip-auth.txt dosyasına aktarıldı. Bir parola sözlüğü ile md5 hash kırılabilir. Sipcrack User 1111 parolası hedehodo olarak tespit edilmiştir. Bu bilgiler ile o kullanıcı adına aramalar yapılabilir. Yeni saldırılar gerçekleştirilebilir. Caller ID spoofing VOIP Ağlara Yönelik Sızma Testleri 1 9
20 VOIP Ağlara Yönelik Sızma Testleri Yetkisiz olarak farklı bir kullanıcı adına, bir hedefi arayıp meşgul etmek ve sosyal mühendislik saldırıları geliştirmek. invitespoof, metasploit aux. Uygulamalar : invitespoof Saldırgan, Huzeyfe ONAL (1112) voip kullanıcısını Omer kullanıcısı adına arıyor. Saldırgan Komut:./inviteflood eth1 1112 172.16.136.134 172.16.136.134 1 -a "Omer Patron" Saldırı başladığında, saldırgan tarafından yetkisiz olarak başlatılan bir çağrı kurban ekranında görünecektir. Huzeyfe ONAL kullanıcısı (Kurban)
VOIP Ağlara Yönelik Sızma Testleri 21 Metasploit Auxiliary (sip_invite_spoof) VOIP Ağlara Yönelik Sızma Testleri 2 1
22 VOIP Ağlara Yönelik Sızma Testleri Kurban belirlenen sahte caller id den arama alır,
VOIP Ağlara Yönelik Sızma Testleri 23 Man-in-the-middle Saldırısı ve Sniffing Voip trafiğinde araya girip VOIP trafiğini izlemek. ettercap, wireshark Uygulama : Ettercap ile voip istemcisinin voip sunucuya olan trafiği zehirlenir ve voip istemcisinin yaptığı bir arama voip sunucusuna gitmeden önce saldırganın üzerinden geçer. Saldırgan üzerinden geçen voip trafiğini kaydederek, görüşmeleri dinleyebilir. Aşağıda saldırının şeması yer almaktadır. VOIP Ağlara Yönelik Sızma Testleri 2 3
24 VOIP Ağlara Yönelik Sızma Testleri Ettercap
VOIP Ağlara Yönelik Sızma Testleri 25 Voip istemcisi kurban (172.16.136.134) ve sip server (172.16.136.151) arasında mitm saldırısı yapılmıştır. Saldırı anında trafik kaydetmek ve anlamlaştırmak için wireshark kullanılabilir. Wireshark da sip filtresi ile yalnızca sip trafiği görüntülenebilir. VOIP Ağlara Yönelik Sızma Testleri 2 5
26 VOIP Ağlara Yönelik Sızma Testleri Wireshark anamenüsünde sırası ile Telephony > Voip Call menüsünden kaydedilen ses trafiğini görüntüleyebilirsiniz. Kaydedilen voip aramalarını görüntülemektesiniz, bu aramaları dinlemek için Player butonuna basmanız yeterli. Wireshark görüşmeleri decode edip (decoder ı varsa) dinlemenizi sağlayacaktır.
VOIP Ağlara Yönelik Sızma Testleri 27 VLAN Hopping Uygulama : Spamming over Internet Telephony (SPIT) Uygulama : VoIP phishing (Vishing) Uygulama : VOIP Ağlara Yönelik Sızma Testleri 2 7
28 VOIP Ağlara Yönelik Sızma Testleri VoIP Exploitation VoIP sunucular ve istemci yazılımlarında çeşitli güvenlik açıklıkları duyurulmaktadır. Bu açıklıklar arasında kritik seviyede önem taşıyan, VoIP sistemler üzerinde uzakdan kod/komut çalıştırmayı sağlayan türde açıklıklarda bulunmaktadır. Hedef VoIP sunucunun ve istemcilerin versiyon bilgisine bakılarak çeşitli exploit kaynaklarında araştırmalar yapılabilir. Uygulamalar Bu uygulamada VunlVoIP imajı kullanılmıştır ve hedef sistemin IP adresi 192.168.1.4 olarak tanımlanmıştır. Sızma testlerinde metodoloji genelde şu başlıklarla ilerler, bilgi toplama, zafiyet analizi, sızma ve kalıcı erişim elde etme, iz temizleme Port Tarama Hedefin TCP/UDP portları Nmap ile taranarak sızma girişimi için bilgi toplayalım. # nmap -st -su 192.168.1.4 -sv Starting Nmap 6.01 ( http://nmap.org ) at 2013-04-07 15:29 EDT Nmap scan report for 192.168.1.4 Host is up (0.21s latency). Not shown: 997 open filtered ports, 994 closed ports PORT STATE SERVICE VERSION 22/tcp open ssh OpenSSH 4.3 (protocol 2.0) 53/tcp open domain dnsmasq 2.45 80/tcp open http Apache httpd 2.2.3 ((CentOS)) 111/tcp open rpcbind 3306/tcp open mysql MySQL (unauthorized) 4445/tcp open upnotifyp? 53/udp open domain dnsmasq 2.45 111/udp open rpcbind 5060/udp open sip Asterix 1.6.2.11 Service Info: Device: PBX Zafiyet analizi için nessus kullanabilirsiniz veya Asterix 1.6.2.11 sürümü için bilinen açıklıkları araştırabilirsiniz. Bu uygulamada, FreePBX sunucu üzerinde uzakdan kod/komut çalıştırmayı sağlayacak güvenlik açığını kullanacağız. Açıklıkla ilgili detaylı bilgiyi şu kaynaklardan elde edebilirsiniz;
VOIP Ağlara Yönelik Sızma Testleri 29 http://seclists.org/fulldisclosure/2012/mar/234 http://www.exploit-db.com/exploits/18650/ Metasploit ile Exploitation Hedef sistemin IP adresini ve Extension numarasını bilmeniz (bilmiyorsanız extension aralığı vererek tahmin edebilirsiniz) gerekiyor. Exploit gönderdikden sonra EXTENSION numarası tanımlı kullanıcı bir çağrı alacaktır, bu çağrıya yanıt verdiği anda sistem exploit olacak ve hedef sistemi root yetkileri ile ele geçirmiş olacağız. Kaynaklar http://www.blackhat.com/presentations/bh-usa-06/bh-us-06-endler.pdf http://www.freepbx.org/support/documentation/administration-guide/asterisk-cli-commands http://www.rebootuser.com/?page_id=1041 http://www.hackingvoip.com/ VOIP Ağlara Yönelik Sızma Testleri 2 9