PENTESTING VOIP PARA DETERMINAR LAS VULNERABILIDADES DEL SERVIDOR DE COMUNICACION DEL AREA DE SOPORTE DE LA EMPRESA CHAPACUETE DE LA CIUDAD DE HUÁNUCO PERIODO 2019

Abstract

La investigación se enfocó que en análisis de las vulnerabilidades del servidor VOIP de la empresa Chapacuete de la ciudad de Huánuco. El proceso de pentesting consistió en la aplicación de una serie de herramientas bajo software libre para la determinación de vulnerabilidades del servidor de telefonía bajo el sistema operativo GNU/Linux usando la distribución Asterisk. Se realizaron pruebas de ataque usando técnicas como Man In The Middle y ARP spoofing, y se llegaron a descubrir una serie de vulnerabilidades como por ejemplo: puertos abiertos en el servidor, servicios innecesarios habilitados, contraseña del root débil, extensiones con la configuración por defecto, y la vulnerabilidad más importante fue que en el servidor se estaba utilizando como protocolo de comunicación a SIP un protocolo con muchas vulnerabilidad en relación al cifrado de la comunicación. Se pudo advertir a tiempo y corregir las vulnerabilidades, como por ejemplo de utilizar el protocolo IAX para mejorar la seguridad en cuanto al transporte de las comunicaciones por la red de datos. Las pruebas se realizaron en diferentes escenarios, tanto virtual como físico, así mismo se implementó un cronograma de pruebas para llevar a cabo la aplicación de estas herramientas y determinar el proceso o la repetición de las vulnerabilidades en el servidor. En la fase de ataque se simulo un agente en la cual se asumió un cliente conectado a la red para interceptar las llamadas realizadas por los usuarios, con las herramientas especificas se pudo obtener dichas llamadas y guardarlas como archivo para su posterior análisis.