Zpět na seznam článků     Číst komentáře (4)     Verze pro tisk

Bezpečnost VoIP (5)

Autor: phr3akDom   
19.1.2013

Další díl překládaného seriálu o bezpečnosti VoIP. Tentokrát na téma zachytávání hovorů a dekódování dat na zvukový výstup.


Monitorování trafficu a zachytávání hovorů

Monitorováním VoIP trafficu může útočník získat SIP requesty nebo RTP data odeslaná clientem na server a zpět.

Pro demonstraci použijme následující scénář:

Jak můžeme vidět, naše síť se skládá ze tří uživatelů. Jedním z nich je útočník, s IP adresou 192.168.1.105. Adresy 192.168.1.100 a 192.168.1.118 jsou přiděleny normálním uživatelům.

První z nich, říkejme mu uživatel "A" má operační systém Linux a k hovorům používá software Twinkle. Druhým je uživatel OS Windows, v našem případě používající aplikaci X-Lite. Pro náš účel ho označíme jako "uživatele B"

Abychom mohli zachytávat probíhající hovory, musíme dosáhnout MITM (Man In The Middle) postavení, čeká nás tedy následující:

  • ARP poisioning/spoofing
  • Sniffing
  • Decódování RTP dat do audio souboru

    ARP poisioning za použití Arpspoof

    Předtím než začneme se sniffováním trafficu, budeme potřebovat přesvědčit klienta že jsme switch a naopak. Použijeme k tomu nástroj Arpspoof, v případě že používáme distribuci BackTrack 5, nalezneme ho v “/usr/sbin/Arpspoof” , ale v podstatě ho můžeme spustit odkudkoliv příkazem arpspoof.

    Nejdříve však zapneme IP forwarding:

    1. root@bt:~# echo 1 >/proc/sys/net/ipv4/ip_forward

    Arpspoof syntaxe vypadá následovně:

    1. root@bt:~# arpspoof
    2. Version: 2.4
    3. Usage: arpspoof [-i interface] [-t target] host

    Pro úspěšný MITM útok musíme zachytávat traffic proudící oběma směry (gateway->client i client->gateway):

    1. arpspoof –t victim gateway
    2. arpspoof –t gateway victim

    V našem případě je adresa klienta 192.168.1.100, první krok (arp poisioning client->gateway) pak vypadá následovně:


    Arp poisioning můžeme nechat běžet na pozadí, v dalším kroku se budeme věnovat sniffování trafficu s nástrojem Wireshark.

    Zachytávání trafficu a odposlech s použitím Wiresharku

    Populární program Wireshark, sloužící k zachytávání provozu na síti, využijeme i my.

    Necháme Wireshark aby zachytil nějaký traffic s použitím následujícího filteru:

    1. not broadcast and not multicast and host 192.168.1.118

    Výše uvedeným filterem jsme se zbavili broadcast a multicast trafficu, zároveň jsme odfiltrovali provoz který generujeme my.

    Zatímco sniffujeme, uživatel “B” na svém počítači zapnul X-Lite soft phone a vytočil uživatele “A”.


    Můžeme si všimnout že Wireshark zachytil nějaký traffic, po chvíli ho zastavíme a uložíme session do souboru “sip.pcap”.

    Jak vidíme, Wireshark zachytil SIP requesty, ale v této sekci nás budou více zajímat RTP data.

    Wireshark má již v základu rozšíření které umožňuje decódovat VoIP hovory do audio formátu. Naleznete jej v Statistics -> VoIP. Pomocí něj si zachycená data můžeme dekódovat a následně i přehrát:





    To je pro dnešek vše, doufám že se vám i tento díl líbil a že jste si z něj odnesli nové znalosti z této zajímavé oblasti počítačové bezpečnosti. Příště se budeme zabývat dalšími způsoby dekódování RTP dat. Případné (nejen) překladové chyby pište do komentářů.


    ZDROJ


    • Líbil se Vám článek?
    Budeme potěšeni, pokud vás zaujme také reklamní nabídka

    Social Bookmarking

         




    Hodnocení/Hlasovalo: 2.63/38

    1  2  3  4  5    
    (známkování jako ve škole)
    © 2003–2024 SOOM.cz | ISSN 1804-7270 | info@soom.cz | IRC #soom | changelog | NTY2NzY1