Professional Documents
Culture Documents
Seguridad en Implementaciones Voip
Seguridad en Implementaciones Voip
Seguridad en Implementaciones Voip
M18HGDOI0912 DS2091018JD6200NS12 1406MGR27017 T28GHY620110 BE4ET2763JH7 BE4ET2763JH7 UTW510200RQ1 D39HA83090K2 M18HGDOI0912 328MGD 17 BE4ET2763JH7 328MGDS20910 1406MGR27017 TW510200RQ1 M18HGDOI0912 D39HA83090K2 18JD6200NS12 T28GHY620110 UT 1406MGR27017 BE4ET2763JH7 D39HA83090K2 328MGDS20910 110 UTW510200RQ1 M18HGDOI0912 18JD6200NS12 T28GHY620 63JH7 BE4ET2763JH7 UTW510200RQ1 D39HA83090K2 M18HGDOI0912 328MGDS2091018JD6200NS12 1406MGR27017 T28GHY620110 BE4ET276 090K2 18JD6200NS12 328MGDS20910 1406MGR27017 T28GHY620110 UTW510200RQ1 BE4ET2763JH7 M18HGDOI0912 D39HA83 90K2 328MGDS20910 1406MGR27017 BE4ET2763JH7 D39HA830 18JD6200NS12 T28GHY620110 UTW510200RQ1 M18HGDOI0912 018JD6200NS12 1406MGR27017 T28GHY620110 BE4ET2763JH7 BE4ET2763JH7 UTW510200RQ1 D39HA83090K2 M18HGDOI0912 328MGDS20910 328MGDS20910 1406MGR27017 0RQ1 BE4ET2763JH7 M18HGDOI0912 D39HA83090K2 18JD6200NS12 T28GHY620110 UTW510200 JH7 M18HGDOI0912 D39HA83090K2 18JD6200NS12 328MGDS20910 T28GHY620110 1406MGR27017 UTW510200RQ1 BE4ET2763J 18HGDOI0912 328MGDS2091018JD6200NS12 1406MGR27017 T28GHY620110 BE4ET2763JH7 BE4ET2763JH7 UTW510200RQ1 D39HA83090K2 M1 1406MGR27017 328MGDS20910 HY620110 UTW510200RQ1 BE4ET2763JH7 M18HGDOI0912 D39HA83090K2 18JD6200NS12 T28GH BE4ET2763JH7 M18HGDOI0912 D39HA83090K2 18JD6200NS12 328MGDS20910 T28GHY620110 1406MGR27017 UTW510200 A83090K2 M18HGDOI0912 328MGDS2091018JD6200NS12 1406MGR27017 T28GHY620110 BE4ET2763JH7 BE4ET2763JH7 UTW510200RQ1 MGDS20910 1406MGR27017 T28GHY620110 UTW510200RQ1 BE4ET2763JH7 M18HGDOI0912 D39HA83090K2 18JD6200NS12 D39HA83090K2 328MGDS20910 1406MGR27017 BE4ET2763JH7 D3 18JD6200NS12 T28GHY620110 UTW510200RQ1 M18HGDOI0912 DS2091018JD6200NS12 1406MGR27017 T28GHY620110 BE4ET2763JH7 BE4ET2763JH7 UTW510200RQ1 D39HA83090K2 M18HGDOI0912 328MGD 17 BE4ET2763JH7 328MGDS20910 1406MGR27017 TW510200RQ1 M18HGDOI0912 D39HA83090K2 18JD6200NS12 T28GHY620110 UT 1406MGR27017 BE4ET2763JH7 D39HA83090K2 328MGDS20910 110 UTW510200RQ1 M18HGDOI0912 18JD6200NS12 T28GHY620 63JH7 BE4ET2763JH7 UTW510200RQ1 D39HA83090K2 M18HGDOI0912 328MGDS2091018JD6200NS12 1406MGR27017 T28GHY620110 BE4ET276 090K2 18JD6200NS12 328MGDS20910 1406MGR27017 T28GHY620110 UTW510200RQ1 BE4ET2763JH7 M18HGDOI0912 D39HA83 90K2 328MGDS20910 1406MGR27017 BE4ET2763JH7 D39HA830 18JD6200NS12 T28GHY620110 UTW510200RQ1 M18HGDOI0912 018JD6200NS12 1406MGR27017 T28GHY620110 BE4ET2763JH7 BE4ET2763JH7 UTW510200RQ1 D39HA83090K2 M18HGDOI0912 328MGDS20910 328MGDS20910 1406MGR27017 0RQ1 BE4ET2763JH7 M18HGDOI0912 D39HA83090K2 18JD6200NS12 T28GHY620110 UTW510200 Por: Juan Oliva JH7 D39HA83090K2 328MGDS20910 1406MGR27017 BE4ET2763J M18HGDOI0912 18JD6200NS12 T28GHY620110 UTW510200RQ1 Editor: Paul Estrella 18HGDOI0912 328MGDS20910 18JD6200NS12 1406MGR27017 T28GHY620110 BE4ET2763JH7 BE4ET2763JH7 UTW510200RQ1 D39HA83090K2 M1 1406MGR27017 328MGDS20910 HY620110 UTW510200RQ1 BE4ET2763JH7 M18HGDOI0912 D39HA83090K2 18JD6200NS12 T28GH
WWW.ELASTIX.ORG
Seguridad en Implementaciones de voz sobre IP 328MGDS20910 1406MGR27017 2 T28GHY620110 UTW510200RQ1 GR27017 T28GHY620110 BE4ET2763JH7 BE4ET2763JH7 UTW510200RQ1 3JH7 18HGDOI0912 D39HA83090K2 18JD6200NS12 0RQ1 Estado actual de la seguridad en sistemas VoIP Q1 H7
S20910 1406MGR27017 T28GHY620110 UTW510200RQ1 red de datos, como por ejemplo inyecciones de SQL a nivel de aplicaciones 7 T28GHY620110 BE4ET2763JH7 BE4ET2763JH7 UTW510200RQ1 Web, DoS (denial of service) en servicios como RDP o http y robo de sesiones o OI0912 D39HA83090K2 18JD6200NS12 password cracking1 en SSH y sistemas Web. 90K2 328MGDS20910 1406MGR27017 18JD6200NS12 T28GHY620110 UTW510200RQ1 018JD6200NS12 1406MGR27017 T28GHY620110 BE4ET2763JH7 BE4ET2763JH7 UTW510200RQ1 Varios de los servicios mencionados son parte de una plataforma Voz sobre IP en 0RQ1 BE4ET2763JH7 M18HGDOI0912 D39HA83090K2 18JD6200NS12
Algunas amenazas no son muy diferentes a las que existen actualmente en una
0RQ1 Q1 H7
la actualidad, as que no hacen mas que arrastrar este tipo de problemas, o visto desde otro punto de vista, incrementan el inters de un atacante. No estamos hablando slo de conseguir acceso a una base de datos o a un servidor, sino de la posibilidad de hacer una buena cantidad de llamadas telefnicas que podran 328MGDS20910 1406MGR27017 2 T28GHY620110 UTW510200RQ1 GR27017 T28GHY620110 BE4ET2763JH7 BE4ET2763JH7 UTW510200RQ1 traducirse en miles de dlares.
OI0912 D39HA83090K2 18JD6200NS12 Eavesdropping (escucha no autorizada) 90K2 328MGDS20910 1406MGR27017 18JD6200NS12 T28GHY620110 UTW510200RQ1 018JD6200NS12 1406MGR27017 T28GHY620110 BE4ET2763JH7 BE4ET2763JH7 UTW510200RQ1 Es una tcnica que se desarrolla para realizar capturas de llamadas. Esto, 0RQ1 BE4ET2763JH7 M18HGDOI0912 D39HA83090K2 18JD6200NS12 evidentemente, est ms ligado con el espionaje y es un estado colateral de
realizar un ataque conocido como Man-in-the-middle u hombre en el medio. Si este se puede realizar, es posible capturar comunicaciones. Esto se basa en lo que se denomina envenenamiento de la tabla ARP, que es enviar mensajes ARP falsos con la nalidad de asociar la direccin MAC del atacante, con la direccin IP del objetivo atacado, hacindose pasar por un router o una PBX, por ejemplo. Una vez conseguido, es posible no slo capturar conversaciones basadas en protocolo RTP, sino tambin toda informacin que pase a travs de servicios que no estn encriptados.
Sin embargo si hablamos de Voz sobre IP, de manera exclusiva, nos encontramos con SIP que es el protocolo de sealizacin que ha tenido mayor aceptacin en la industria, y sobre el cual podemos puntualizar algunas S20910 1406MGR27017 T28GHY620110 UTW510200RQ1 amenazas potenciales. 7 T28GHY620110 BE4ET2763JH7 BE4ET2763JH7 UTW510200RQ1
UDP PACKETS
WWW.ELASTIX.ORG
Caller ID Spoofing
Es la capacidad de modicar el Caller ID para personicar a una persona o a una empresa, por ejemplo un banco. En el pasado implementar este tipo de ataques requera una infraestructura de telefona bastante compleja y costosa, hoy esto ya no es as, ya que la gran mayora de plataformas Voz sobre IP permiten reescribir este campo telefnico.
WWW.ELASTIX.ORG
Para "descubrir" estos fallos basta dar un recorrido por sitios como exploit-db http://www.exploit-db.com - o Packet Storm - http://packetstormsecurity.com - y realizar bsquedas de algunas de las marcas ms representativas. Basado en ello, no es posible vender ninguna solucin como la ms segura. Un tema importante a mencionar, est relacionado con las remediaciones o correcciones, las cuales suelen ser mucho ms costosas. Lo ms sencillo que puede pasar, es que slo estn dirigidas a un cambio en la versin de rmware, lo cual puede implicar inversin a nivel de licencias. La otra cara de la moneda es ms compleja e incluye un cambio de equipo total. En este caso podramos enfrentarnos a la disyuntiva de comprar una caja nuevamente o quedarnos vulnerables.
Elastix es una solucin de comunicaciones unicadas de cdigo abierto basada en Linux y Asterisk, con funcionalidades que van mas all de una central telefnica convencional. La plataforma contiene herramientas que proveen mensajera unicada, fax virtual, sistema de mensajera instantnea corporativa, entre otras. Un sistema de comunicaciones unicadas como Elastix no es un elemento aislado en una empresa, forma parte del ujo de procesos de la misma de tal manera que establezca un estado ideal de convergencia. Un claro ejemplo es el desarrollo de sistemas para consulta de datos desde la lnea telefnica, lo cual combinado con motores de Text-to-Speech (texto a voz), automatiza y hace ms giles los procesos de atencin, permitiendo optimizar recursos.
WWW.ELASTIX.ORG
Otro ejemplo importante es la posibilidad de que un cliente pueda realizar una llamada telefnica y ser atendido automticamente al hacer clic en la pgina web de una empresa usando un navegador2. El conjunto de estos elementos proveen valor agregado, no solo a la empresa, sino a los clientes que esperan siempre una respuesta inmediata.
UDP PACKETS
El mdulo permite adems hacer una auditora, la cual muestra todos los accesos permitidos y fallidos a la interfaz de administracin, esto es til para hacer un seguimiento de accesos. Otra funcionalidad, denominada claves dbiles, hace un recorrido de las contraseas de todas las extensiones conguradas, vericando si estas cumplen con las polticas de contraseas seguras.
2 Un proceso que combina varias tecnologas, incluyendo WebRTC, VoIP y una distro VoIP.
WWW.ELASTIX.ORG
Estos escenarios no son nicos y el acceso a la tecnologa hace que se vuelvan cada vez ms complejos. Sin embargo, actualmente existen herramientas y modelos de infraestructura que se pueden implementar para brindar aseguramiento. Un desafo importante es el posicionamiento de un rewall de permetro, sobre todo cuando la gestin del mismo no est a cargo del cliente. Hay que ser claro desde el inicio, no es imposible hacer funcionar correctamente Elastix detrs de un rewall, pero es necesario mucha coordinacin y anamiento. Ms importante an, el rewall no se debe considerar como un elemento que garantice al 100% la seguridad, eso sera un gran error. Es necesario ir mucho ms all y una de las opciones es implementar software que reaccione proactivamente ante ataques desde su inicio. Dos soluciones que funcionan bastante bien son Fail2ban y Snort, y es recomendable considerarlas en la etapa de diseo de la implementacin.
WWW.ELASTIX.ORG
Responsabilidades
Establecer obligaciones es un aspecto muy delicado, ya que existen diferentes personas involucradas en un proceso de implementacin y sobre todo en el mantenimiento de la plataforma. Cada persona necesita de coordinacin y establecimiento de roles y responsabilidades. Dos roles bsicos en una implementacin son: Rol de Integrador o Especialista Es el profesional que provee la solucin y quien realiza la implementacin despus de un anlisis adecuado, el cual debe ser realizado junto al cliente. Algunas de sus responsabilidades son: . Identicar las necesidades del cliente. . Establecer el posicionamiento adecuado de la plataforma en base a las necesidades. . Implementar las funcionalidades solicitadas por el cliente. . Conocimientos de riesgos inherentes a la plataforma. Rol de cliente Este es probablemente el rol ms importante, ya que es la persona que nalmente mantiene el sistema, pero ms an, es quien establece el requerimiento inicial, quien elige el proveedor, quien establece el presupuesto de la implementacin y quien debe tomar las decisiones previas a la implementacin. Es un rol que incluye al gerente de la empresa, el encargado de TI5 y al administrador de sistemas, esto tomando en cuenta un escenario ideal. Debe tener suciente conocimiento para preservar el funcionamiento de la plataforma. Algunas de sus responsabilidades son: . Conocer los riesgos internos (LAN) y externos (internet). . Mantener contraseas seguras en general. . Establecer como prioridad la seguridad frente a la exibilidad. . Asesorarse siempre con una empresa especialista, ya sea mediante un contrato de soporte o por servicios puntuales. . Solicitar al operador telefnico brindar lmites de salida hacia la PSTN. . Capacitar al personal tcnico en las soluciones implementadas. . Capacitar al personal tcnico de manera frecuente en temas de seguridad.
5 Tecnologas de la Informacin
WWW.ELASTIX.ORG
Otro ejemplo se relaciona con ambientes colaborativos como el teletrabajo, en donde las extensiones remotas son una necesidad clave. Para este caso, la implementacin de redes privadas virtuales o "VPNs", brindan mucha exibilidad, ya que existe una amplia gama de ordenadores, laptops, terminales telefnicas y dispositivos mviles que incorporan software tipo cliente para VPN. Esta solucin no slo nos permite establecer conexin a nuestra red privada de manera segura, sino que adems, en el caso de implementaciones VoIP, elimina los problemas relacionados con NAT Transversal.
WWW.ELASTIX.ORG
Parte del desafo incluye adems la difusin de medidas de seguridad de manera paralela con el lanzamiento y evolucin de soluciones de software y hardware. La tecnologa ha avanzado tan rpido, que no ha permitido transmitir adecuadamente las necesidades de implementacin a nivel de infraestructura y conocimiento. Cada vez se hace ms necesario contar con un asesor adecuado en tecnologa, ya sea casa adentro o con empresas especializadas. De esta forma se logra que la organizacin se pueda enfocar en el ncleo de su negocio, el cual en la mayora de los casos no es la tecnologa, sino el uso de ella para alcanzar objetivos. Evidentemente, la capacitacin y el entrenamiento constante es vital. Hoy el profesional tiene una mayor responsabilidad y es claro que contar con destrezas o conocimientos en seguridad es un valor agregado que marca una diferencia importante a la hora de realizar una implementacin. El equipo de Elastix, por ejemplo, est consciente de esta necesidad, por lo cual ha diseado un curso de seguridad como parte de su programa de entrenamiento. El objetivo es complementario, ya que las buenas prcticas se transmiten desde la instalacin de la plataforma.
Conclusiones
Es claro que con el avance tecnolgico seguirn apareciendo vulnerabilidades, sin embargo tambin se desarrollan mecanismos de proteccin que son necesarios seguir, el reto siempre va a estar en el orden del conocimiento, anlisis y aplicacin, de tal manera que determinemos una solucin para cada necesidad.
WWW.ELASTIX.ORG