Hardware y software

solo capturo trafico en una dirección

Z3R0KULL
Z3R0KULL #1 Ago '12 Inesperado suceso

Hola,

Necesito capturar el trafico que hay entre un telefono voip (es hw avaya, no es softphone) y la clan a la que se conecta, y con esta captura decodificar el audio de la llamada.
La conexión es la siguiente

clan----macrolan---EDC (cisco)---pila sw voz (avaya)------telefonos voip (avaya)

He conectado un equipo en la pila de sw donde están conectados los telefonos, en la misma vlan.
En este equipo, hago un ARP spoofing en ambos sentidos con arpspoof de la siguiente manera:
echo 1 > /proc/sys/net/ipv4/ip_forward (para no cortar el trafico)
arpspoof –t terminal gateway
arpspoof –t gateway terminal

Una vez hecho esto, lanzo wireshark para realizar la captura del trafico.
En el trafico RTP veo que toda la información de origen SIEMPRE es de la clan y el destino el terminal, no hay información en la que el origen de los datos sea el terminal y el destino la clan.
Cuando decodifico el audio, solo se escucha la parte que viene de la clan y no a la persona que está hablando por el terminal de voip.
No se si alguien ha realizado ya algo parecido o se ha encontrado con el mismo problema, por si me puede ayudar a encontrar una solución.

Muchas gracias!!!

Edit: Se me olvidaba, poner el puerto en modo port mirror no me valdría, ya que al realizarlo me tira el puerto y me lo vuelve a levantar, por lo que afectaría a la otra persona que está conectada al telefono.

ekelon
ekelon #2 Ago '12

#1 Buff, no tengo ni idea de VoIP pero vamos por partes...

Asumo que tienes la tarjeta en modo promiscuo.

Tienes un telefono en clan, eso es otra vlan distinta ? si estan en distintas vlan, seguramente tengas ahi el problema.

arpspoof –t terminal gateway, aqui le dices al telefono que inicia la llamada que el gateway eres tu, no ?

1 respuesta
Z3R0KULL
Z3R0KULL #3 Ago '12 Inesperado suceso

#2 Si, la tarjeta de red está en modo promiscuo.
Los telefonos están en una vlan y conectan a una clan a traves de una macrolan. Cuando digo clan me refiero al callserver
arpsoof -t terminal gateway , donde gateway es el EDC (el router cisco por donde sale para conectar a traves de la macrolan al callserver)

No se si me he explicado bien, si necesitas que te lo aclare mejor, comentamelo.

Gracias!!!

1 respuesta
ekelon
ekelon #4 Ago '12

#3 tu te estas haciendo pasar por el router cisco o por la centralita?, si es por el router, con lo poco que entiendo de VoIP :

Telefono realiza llamada -te envia los datos a ti- intentando alcanzar la centralita

Tu los reenvias al router

El router a la centralita

La centralita otra vez al router, y en este paso el router no tiene necesidad de devolverte a ti los datos se fija en la IP destino que es la del telefono que inicio la llamada.

No se que es una macrolan pero estoy entendiendo que la llamada tiene que pasar por el router para acceder al call server.

1 respuesta
Z3R0KULL
Z3R0KULL #5 Ago '12 Inesperado suceso

#4 Yo hago un MITM, por lo que me pongo en medio de la comunicación entre el router y el telefono. Es decir, yo para el telefono soy el router, y para el router yo soy el telefono.
Por lo que quedaria asi:

Telefono envia datos, yo los recibo y se los envio al router y éste se lo envia a la centralita.
La centralita se los envia al router, el router a mi y yo al telefono.
El problema es, que el primer paso no se está haciendo, el telefono pasa completamente de mi y se los envia directamente al router.

Una macrolan es una lan que interconecta dos o más sedes (o redes) que están en distintas ciudades y asi tener interconectividad como si estuvieran en la misma fisicamente, es decir el telefono está en una ciudad y la centralita o callserver está en otra pero a traves de la macrolan el telefono cree que está en la misma red, en la misma sede

1 respuesta
ekelon
ekelon #6 Ago '12

#5 vale, no iba muy desencaminado, en ese caso de funcionar el MITM te pasaria lo que he expuesto, el router pasaria de ti y se lo enviaria directamente al telefono, a menos que hicieses NAT y seguramente no se lleve NADA bien con VoIP.

Tienes forma de consultar la tabla ARP del telefono ? -si es que tiene-

Z3R0KULL
Z3R0KULL #7 Ago '12 Inesperado suceso

#5 al hacer un MITM, estoy justo en medio de las comunicaciones por lo que tanto el trafico que genera el telefono hacia el router y viceversa debe pasar por mi. Es más, es el trafico del router al telefono el que SI pasa por mi, y no el del telefono al router.

En un principio no tengo forma de consultar la tabla arp del telefono :(

1 respuesta
ekelon
ekelon #8 Ago '12

#7 Eso es raro de cojones, a no ser que estes haciendo NAT no me explico como el router te devuelve a ti el trafico si la IP de destino nunca cambia, es la del telefono.

Solo se me ocurre que pruebes otra vez el ARP spoof con hping3 o con otras herramientas.

Lo del port mirroring, es switch cisco ? las veces que lo he probado nunca me tiro el puerto, puede que sea algo caracteristico de la vlan de voz o vete a saber.

1 respuesta
Z3R0KULL
Z3R0KULL #9 Ago '12 Inesperado suceso

#8 a mi me vas a decir que es raro de cojones xD

Pienso que la unica solucion es el port mirroring, y no se si es porque son avaya los sw, si tiren y levante en el puerto cuando se realiza la configuración. Estoy buscando un sw cisco porque con ellos no me dan problemas al hacerlo, pero necesito que sea a giga y poe y que no cueste se exceda de precio

No se si con hping3 podré hacer algo, ya que necesito que sea sobre RTP

1 respuesta
ekelon
ekelon #10 Ago '12

#9 Una ultima pregunta, el funcionamiento es el siguiente ? sin contar el ARP spoof

telefono1 - router - centralita - router - telefono2 - router - centralita - router - telefono1

osea que la llamada tenga que pasar por la centralita tanto al inicio como a la vuelta ?

Z3R0KULL
Z3R0KULL #11 Ago '12 Inesperado suceso

#9 Sería asi:

telefono1 - sw - router1- centralita - primario- telefono2 - primario - centralita - router -sw -telefono1

Contamos que el telefono 2 es un telefono externo, no está dentro de la centralita.

De todos modos, he conseguido que me envien un sw cisco, con lo que podré hacer el port mirroring sin problema

Muchisimas gracias ekelon :)

ekelon
ekelon #12 Ago '12

La verdad es que el port mirroring lo simplifica muchisimo, aun asi quedara como un enigma el hecho de capturar la llamada de vuelta y no la de inicio xDD.

Z3R0KULL
Z3R0KULL #13 Ago '12 Inesperado suceso

ya te digo, y es extraño porque solo me pasa con RTP, con los demás protocolos si captura en las dos direcciones

_Akiles_
_Akiles_ #14 Ago '12 Sellsword

#1 Llego un poco tarde pero 2 cosillas:

La unica explicación que encuentro a ese comportamiento es que el router crea que la MAC del telefono es tu IP, vamos que la tabla ARP del router este envenenada y la del telefono no.

En el caso de que eso sea una prueba controlada por ti, en los switches cisco si haces un overflow de la tabla CAM una vez la tiene llena, cambia el comportamiento del switch y hace flood por todos los puertos de cualquier paquete que le llegue, asi seguramente capturases todo sin problema aunque habria un trafico de broadcast del copon.

Usuarios habituales

  • _Akiles_
  • Z3R0KULL
  • ekelon

Tags