Kit que proporciona módulos para Metasploit de test de penetración para las redes VoIP.

Share this…

Viproy es un kit que proporciona módulos para Metasploit de test de penetración para las redes VoIP. Está desarrollado para las pruebas de
seguridad de VoIP y los servicios de comunicaciones unificados. Viproy tiene soporte  para SIP y bibliotecas MSRP ( Message Session Relay Protocol) para desarrollar pruebas de seguridad personalizadas, así como módulos de pruebas de seguridad de PoC.

voip

Los módulos siguientes se pueden utilizar para probar diseños de SIP: autentificación por defecto, problemas de servicios, problemas de diseño en nube de VoIP y las vulnerabilidades de software de cliente. Con soporte de TCP/TLS para SIP, soporte de extensiones de proveedores, spoofer y sniffer Cisco CDP, analizadores de protocolo Cisco, exploits para Voss y módulos de análisis de red.

Los módulos que formar este kit son:

  • SIP Register.
  • SIP Invite.
  • SIP Message.
  • SIP Negotiate.
  • SIP Options.
  • SIP Subscribe.
  • SIP Enumerate.
  • SIP Brute Force.
  • SIP Trust Hacking.
  • SIP UDP Amplification DoS.
  • SIP Proxy Bounce.
  • Skinny Register.
  • Skinny Call.
  • Skinny Call Forward.
  • CUCDM Call Forwarder.
  • CUCDM Speed Dial Manipulator.
  • MITM Proxy TCP.
  • MITM Proxy UDP.
  • Cisco CDP Spoofer.
  • Boghe VoIP Client INVITE PoC Exploit.
  • Boghe VoIP Client MSRP PoC Exploit.
  • SIP Message with INVITE Support.
  • Sample SIP SDP Fuzzer.
  • MSRP Message Tester with SIP INVITE Support.
  • Sample MSRP Message Fuzzer with SIP INVITE Support.
  • Sample MSRP Message Header Fuzzer with SIP INVITE Support.

Con este kit para  Metasploit es posible realizar las siguientes pruebas:

  • Test de seguridad  para comprobar los procesos de autenticación.
  • Manipulación de las opciones de comunicación en VoIP, con el protocolo SIP se puede indicar el codec que se utiliza en la comunicación, así como el puerto de conexión. Se pueden poner a prueba todas estas opciones.
  • Ataques de fuerza bruta en el proceso de identificación de cada teléfono/usuario.
  • Se puede conseguir información sobre los usaurios y/o terminales de VoIP, que tiene el servidor registrados.
  • Pruebas en el proceso de llamada de los usuarios de VoIP.
  • Evaluar la seguridad del proceso de registro y la comunicación a través de proxy, mediante un ataque MITM tanto a nivel UDP como TCP.

Fuente:https://www.gurudelainformatica.es/