{"id":6941,"date":"2016-08-19T14:45:55","date_gmt":"2016-08-19T19:45:55","guid":{"rendered":"http:\/\/www.servervoip.com\/blog\/?p=6941"},"modified":"2019-06-11T07:28:45","modified_gmt":"2019-06-11T12:28:45","slug":"explotando-nivel-de-aplicacion-autenticacion-voip","status":"publish","type":"post","link":"http:\/\/www.servervoip.com\/blog\/explotando-nivel-de-aplicacion-autenticacion-voip\/","title":{"rendered":"Explotando nivel de aplicacion autenticacion VoIP"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n <\/div>\n
\n
<\/div>\n <\/div>\n
\n
<\/div>\n <\/div>\n
\n
<\/div>\n <\/div>\n
\n
<\/div>\n <\/div>\n <\/div>\n
\n
\n
<\/div>\n <\/div>\n
\n
<\/div>\n <\/div>\n
\n
<\/div>\n <\/div>\n
\n
<\/div>\n <\/div>\n
\n
<\/div>\n <\/div>\n <\/div>\n<\/div>\n
\n <\/span>\n <\/div>\n<\/div>\n

Explotando el nivel de Aplicaci\u00f3n:<\/strong> El nivel de aplicaci\u00f3n de la red IP es quiz\u00e1s uno de los m\u00e1s vulnerables, debido en parte a que VoIP engloba gran cantidad de protocolos y est\u00e1ndares a\u00f1adiendo cada uno ellos su propio riesgo de segundad. Un ejemplo claro de ellos es el protocolo SIP, muy discutido desde el punto de vista de la seguridad. Entre los ataques espec\u00edficos contra el nivel de aplicaci\u00f3n de VoIP encontramos ataques de secuestro de sesi\u00f3n, desconexiones ilegales, inundaci\u00f3n de peticiones, generaci\u00f3n de paquetes malformados, falsificaci\u00f3n de llamadas y algunos otros que se explicaran a continuaci\u00f3n utilizando el protocolo SIP como base. <\/p>\n

Autenticaci\u00f3n en VoIP <\/strong> <\/p>\n

En toda comunicaci\u00f3n, servicio o transmisi\u00f3n de dato existe la necesidad de demostrar que los clientes son quien dicen ser. En VoIP la autenticaci\u00f3n requiere que los dos dispositivos que se van a comunicar se autentiquen uno al otro antes de que se produzca cualquier intercambio de informaci\u00f3n.
\nEsta autenticaci\u00f3n mutua est\u00e1 basada en alg\u00fan tipode secreto compartido que es conocido a priori por los dos. <\/p>\n

Autenticaci\u00f3n del protocolo SIP <\/strong><\/p>\n

El protocolo SIP utiliza la autenticaci\u00f3n digest para comprobar la identidad de sus clientes. La autenticaci\u00f3n digest fue originalmente dise\u00f1ada para el protocolo HTTP, y se trata de un mecanismo bastante simple, basado en has hes que evita que se env\u00ede la contrase\u00f1a delos usuarios en texto claro. Cuando el servidor quiere autenticar un usuario gen era un desaf\u00edo digest que env\u00eda al usuario. <\/p>\n

Crackeo de contrase\u00f1as SIP <\/strong><\/p>\n

Una vez entendido el proceso de autenticaci\u00f3n se va n a mostrar los m\u00e9todos y las herramientas para romper esa autenticaci\u00f3n y crackear los hashes digest con el fin deobtener el password de un usuario y poder utiliza r la identidad de la v\u00edctima de forma maliciosa. Entre las herramientas encontramos SIPCrack, que co mo su nombre indica, crackea las contrase\u00f1as del protocolo SIP en Linux. Contien e dos programas sipdump para esnifar los hashes de la autenticaci\u00f3n y sip crack p ara crackear los logins capturados. En caso de encontrarnos una vez m\u00e1s en redes conmutadas puede que sea necesario el uso de herramientas como ettercap para realizar la t\u00e9cnica de man in the middle y poder esnifar el tr\u00e1fico necesario. Como es normal, el \u00e9xito de este ataque depender\u00e1 d e lo bueno y preciso que sea el diccionario que utilicemos. <\/p>\n

Otra herramienta que sin duda merece la pena comentar para el crackeo de contrase\u00f1as es Cain. Una vez m\u00e1s permite realizar todo el proceso de captura de tr\u00e1fico, envenenamiento ARP, decodificaci\u00f3n de protocolos y crackeo de hash por diccionario y fuerza bruta. <\/p>\n

\"Ca\u00edn

Ca\u00edn y Abel, herramienta de crackeo de contrase\u00f1as<\/p><\/div>\n

Tomado de:
\nArroba, M, & Salazar, M. (2011). Propuesta de soluci\u00f3nes a las vulnerabilidades del protocolo de se\u00f1alizaci\u00f3n SIP en voz sobre IP: Red IP-PBX (tesis de pregrado). Escuela Superior Polit\u00e9cnica de Chimborazo, Riobamba, Ecuador.<\/p>\n

Fuente:
\nhttp:\/\/dspace.espoch.edu.ec\/bitstream\/123456789\/872\/1\/38T00263.pdf<\/p>\n

[rev_slider captions]
\n[rev_slider ServerVoip]
\n <\/p>\n

\n

Telefon\u00eda VoIP con SoftSwitch<\/h2>\n

ServerVoIP<\/strong> te proporciona todas las herramientas necesarias para que crees y desarrolles tu negocio de comunicaci\u00f3n por internet.<\/strong><\/p>\n

Pertenece al Selecto Grupo de Emprendedores que decidieron cambiar su vida invirtiendo en un Server con ServerVoIP.<\/strong><\/p>\n

\"empresario\"<\/a>
\n