MODELO DE ASEGURAMIENTO PARA REDES DE VOZ VoIP
Anuncio
CIS0830-SD02 MODELO DE ASEGURAMIENTO PARA REDES DE VOZ VoIP APLICABLE EN UN AMBIENTE REAL. NICOLAS ERNESTO ORTIZ HERNANDEZ ROBERTO ANTONIO HOYOS LOAIZA PONTIFICIA UNIVERSIDAD JAVERIANA FACULTAD DE INGENIERÍA CARRERA DE INGENIERÍA DE SISTEMAS BOGOTÁ, D.C. 2009 Ingeniería de Sistemas Proyecto de aplicación práctica - CIS0830-SD02 Página ii Pontificia Universidad Javeriana Memoria de Trabajo de Grado Proyecto de aplicación práctica CIS0830-SD02 MODELO DE ASEGURAMIENTO PARA REDES DE VOZ VoIP APLICABLE EN UN AMBIENTE REAL. Autores: Nicolás Ernesto Ortiz Hernández Roberto Antonio Hoyos Loaiza MEMORIA DEL TRABAJO DE GRADO REALIZADO PARA CUMPLIR UNO DE LOS REQUISITOS PARA OPTAR AL TITULO DE INGENIERO DE SISTEMAS Director: Ingeniero Fabián Alejandro Molina Molina, MSc PONTIFICIA UNIVERSIDAD JAVERIANA FACULTAD DE INGENIERÍA CARRERA DE INGENIERÍA DE SISTEMAS BOGOTÁ, D.C. NOVIEMBRE, 2009 http://pegasus.javeriana.edu.co/~CIS0830SD02/ Página i Ingeniería de Sistemas Proyecto de aplicación práctica - CIS0830-SD02 PONTIFICIA UNIVERSIDAD JAVERIANA FACULTAD DE INGENIERÍA CARRERA DE INGENIERÍA DE SISTEMAS Rector Magnífico Joaquín Emilio Sánchez García S.J. Decano Académico Facultad de Ingeniería Ingeniero Francisco Javier Rebolledo Muñoz Decano del Medio Universitario Facultad de Ingeniería Padre Sergio Bernal Restrepo S.J. Directora de la Carrera de Ingeniería de Sistemas Ingeniero Luis Carlos Díaz Chaparro Director Departamento de Ingeniería de Sistemas Ingeniero Germán Alberto Chavarro Flórez Página ii Pontificia Universidad Javeriana Memoria de Trabajo de Grado Proyecto de aplicación práctica Artículo 23 de la Resolución No. 1 de Junio de 1946 “La Universidad no se hace responsable de los conceptos emitidos por sus alumnos en sus proyectos de grado. Sólo velará porque no se publique nada contrario al dogma y la moral católica y porque no contengan ataques o polémicas puramente personales. Antes bien, que se vean en ellos el anhelo de buscar la verdad y la Justicia” Página iii Ingeniería de Sistemas Proyecto de aplicación práctica - CIS0830-SD02 TABLA DE CONTENIDOS 1. INTRODUCCIÓN 1. 1. OPORTUNIDAD Ó PROBLEMÁTICA 1 1 1. 1. 1 Descripción Del Contexto 1 1. 1. 2 Formulación 1 1. 2. DESCRIPCIÓN DEL PROYECTO 1 1. 2. 1 Visión Global 2 1. 2. 2 Justificación 2 1. 2. 3 Objetivo General 3 1. 2. 4 Objetivos Específicos 3 2. MARCO CONCEPTUAL 4 2. 1. DEFINICIÓN DE VOIP 4 2. 2. FUNCIONAMIENTO DE UNA RED VoIP 4 2. 2. 1 ¿Cómo Funciona? 5 2. 2. 2 ¿Por qué UDP y no TCP? 6 2. 3. LLAMADAS TELEFONÍCAS: TRADICIONAL VS IP 6 2. 4. COMPONENTES PRINCIPALES DE VOIP 8 2. 5. ARQUITECTURAS 9 2. 5. 1 Peer To Peer 9 2. 5. 2 Carrier 9 2. 5. 3 Enterprise 10 2. 5. 4 Softswitch 10 2. 5. 5 IMS (Internet Protocol Multimedia Subsystem) 11 2. 6. PROTOCOLOS 12 2. 6. 1 H.323 12 2. 6. 2 RTSP 12 2. 6. 3 SDP 12 Página iv Pontificia Universidad Javeriana Memoria de Trabajo de Grado Proyecto de aplicación práctica 2. 6. 4 MGCP 13 2. 6. 5 MEGACO/H.248 14 2. 6. 6 SIP 14 2. 6. 7 RTP/RTCP 15 2. 6. 8 SCCP 16 3. SEGURIDAD EN REDES DE VOIP 3. 1. TIPOS DE AMENAZAS 3. 1. 1 Interrupción Del Servicio Y SPIT 17 19 20 3. 1. 1. 1 Interrupción del servicio 21 3. 1. 1. 2 SPIT 23 3. 1. 2 Análisis Y Escucha De Tráfico (Eavesdropping) 23 3. 1. 3 Suplantación 24 3. 1. 4 Acceso No Autorizado 24 3. 1. 5 Fraude 24 3. 2. VULNERABILIDADES DE VOIP 3. 2. 1 3. 3. Clasificación De Las Vulnerabilidades 24 25 3. 2. 1. 1 Vulnerabilidades En VoIP 26 3. 2. 1. 2 Vulnerabilidades gestionando la configuración en VoIP 30 3. 2. 1. 3 Vulnerabilidades del comportamiento humano 31 MECANISMOS DE PROTECCIÓN EN SEÑALIZACIÓN 3. 3. 1 SIP Mecanismos De Protección 32 32 3. 3. 1. 1 Autenticación en SIP 32 3. 3. 1. 2 Protocolos seguros 35 3. 3. 2 H.323 Mecanismos De Protección 39 3. 3. 3 Mecanismos De Protección MGCP 40 3. 4. MECANISMOS DE PROTECCIÓN EN LA TRANSMISIÓN 3. 4. 1 3. 5. SRTP MECANISMOS DE MANEJO DE CLAVES 41 41 43 3. 5. 1 MIKEY 44 3. 5. 2 SRTP Security Descriptions 45 3. 5. 3 ZRTP 45 Página v Ingeniería de Sistemas 3. 6. Proyecto de aplicación práctica - CIS0830-SD02 CONTROLES DE SEGURIDAD EN REDES DE VOIP 45 3. 6. 1 Consideraciones De Arquitectura 46 3. 6. 2 Segmentación De Red 46 3. 6. 3 Gestión De La Administración De La Red 46 3. 6. 4 Direccionamiento Privado 47 3. 6. 5 Diameter: Autenticación, Autorización y Auditoria. 47 3. 6. 6 Firewalls Y NAT En VoIP 47 3. 6. 7 SBC: Session Border Controllers 48 3. 6. 8 IDS: Técnicas de Detección de Intrusos 49 4. ANÁLISIS DE MODELOS Y MEDIDAS DE SEGURIDAD RELEVANTES EN REDES DE VOIP 50 4. 1. RECOMENDACIONES CWE: COMMON WEAKNESS ENUMERATION 50 4. 2. RECOMENDACIONES OWASP: OPEN WEB APPLICATION SECURITY PROJECT 51 4. 3. RECOMENDACIONES DEL NIST 53 4. 4. RECOMENDACIONES ISO/IEC 27002:2007 54 4. 5. ITIL 55 4. 6. COBIT 55 4. 7. RESUMEN DE RECURSOS 56 4. 8. EL MODELO ASTERISK 57 4. 9. EL MODELO NORTEL 58 5. MODELO DE ASEGURAMIENTO 60 5. 1. DISEÑO DE RED E INFRAESTRUCTURA TECNOLÓGICA 62 5. 2. IDENTIFICAR Y DOCUMENTAR LA INFRAESTRUCTURA TECNOLÓGICA 65 5. 2. 1 Topología de Red 65 5. 2. 2 Cuadros de servidores, dispositivos, estaciones de trabajo 66 Página vi Pontificia Universidad Javeriana Memoria de Trabajo de Grado Proyecto de aplicación práctica 5. 3. IDENTIFICAR VULNERABILIDADES TECNOLÓGICAS EN VOIP 69 5. 4. IDENTIFICAR VULNERABILIDADES CAUSADAS POR EL COMPORTAMIENTO HUMANO 76 5. 5. elección y DIAGRAMA DE TECNOLOGÍAS USADAS EN EL MODELO 77 6. PRUEBA DE CONCEPTO DEL MODELO DESARROLLADO 80 7. CONCLUSIONES 82 8. BIBLIOGRAFÍA 84 9. ANEXOS 86 9. 1. ANEXO A: GLOSARIO DE ACRÓNIMOS Y TÉRMINOS VOIP 86 9. 2. ANEXO B: ESTRUCTURA DE LA AUTENTICACIÓN 95 9. 3. ANEXO D: RECOMENDACIONES ISO/IEC 27000:2005 97 9. 4. ANEXO E: CARTA DE CONFORMIDAD 98 Página vii Ingeniería de Sistemas Proyecto de aplicación práctica - CIS0830-SD02 TABLA DE ILUSTRACIONES ILUSTRACIÓN 1: OBJETIVOS 3 ILUSTRACIÓN 2: FLUJO DE LA VOZ POR MEDIO DE UNA RED VOIP 5 ILUSTRACIÓN 3: ARQUITECTURA Y COMPONENTES SOFTSWITCH 11 ILUSTRACIÓN 4: ARQUITECTURA MGCP 13 ILUSTRACIÓN 5: LA SEGURIDAD EN CAPAS 17 ILUSTRACIÓN 6: INTERRUPCIÓN DEL SERVICIO 21 ILUSTRACIÓN 7: VULNERABILIDADES DE VOIP 26 ILUSTRACIÓN 8: FLUJO EN LA AUTENTICACIÓN SIP 33 ILUSTRACIÓN 9: AUTENTICACIÓN EN SIP 34 ILUSTRACIÓN 10: ISO/IEC 27002:2007 54 ILUSTRACIÓN 11: MODELO NORTEL EMPRESARIAL 58 ILUSTRACIÓN 12: MODELO DE ASEGURAMIENTO 61 ILUSTRACIÓN 13: TOPOLOGÍA GENÉRICA DE LA RED DE UNA EMPRESA 65 ILUSTRACIÓN 14: MODELO ESTÁNDAR 77 ILUSTRACIÓN 15: INFRAESTRUCTURA TECNOLÓGICA APLICANDO EL MODELO 78 Página viii Pontificia Universidad Javeriana Memoria de Trabajo de Grado Proyecto de aplicación práctica ABSTRACT A complete model is build and presented for VoIP network securing using different recommendations from organizations across the world who are in charge of computer and networking security protection applying the ISO/IEC 27000:2007 standard recommendations, traffic segmentation using VLANs employing ACLs in the network devices, private routing with NAT, Diameter for authentication, authorization and auditing, SBC for the SIP services and IDS as intruder detection technique. Also formats were produced for technological infrastructure documentation and recommendations were made for identification and prevention of vulnerabilities created in their implementation and the ones caused by human behavior. RESUMEN Se construye y presenta un modelo completo para el aseguramiento de redes de VoIP utilizando diferentes recomendaciones de organizaciones en el mundo encargadas de la seguridad en los sistemas informáticos. Entre estas se encuentran las recomendaciones del estándar ISO/IEC 27000:2007, la segmentación de tráfico usando VLANs por medio de ACLs en los dispositivos de red, direccionamiento privado con el uso de NAT, Diameter para la autenticación, autorización y auditoria, SBC para los servicios SIP y IDs como técnica de detección de intrusos. Además se elaboraron formatos para la documentación de la infraestructura tecnológica y se realizaron recomendaciones para identificar y prevenir las vulnerabilidades originadas en su implementación y las causadas por el comportamiento humano. Página ix Ingeniería de Sistemas Proyecto de aplicación práctica - CIS0830-SD02 RESUMEN EJECUTIVO LA OPORTUNIDAD Día a día, la tecnología evoluciona y crece permitiendo un fácil acceso a la comunicación por diferentes medios, haciendo nuestra vida más sencilla, acortando distancias y manteniéndonos siempre en contacto. Una de esas tecnologías es VoIP (Voz sobre IP) que consiste en la utilización del protocolo IP (Internet Protocol) para la transmisión de las señales de voz convirtiéndolas en paquetes en vez de utilizar los circuitos de la compañía telefónica convencional (PSTN) derivando en un ahorro en el costo de telefonía al usar una misma red para transmitir voz y datos (Thermos & Takanen, 2008). La tecnología VoIP permite comunicar dos o más dispositivos de voz como una computadora o un teléfono tradicional mediante el uso de Internet y dispositivos codificadores como los PBX IP. Las redes IP son el siguiente paso de las comunicaciones tradicionales. Por un tiempo la familia de protocolos IP fue usada solo en Internet, y sus principales aplicaciones fueron la transferencia de archivos y el correo electrónico. Con la World Wide Web, Internet se transformó en un canal global y abierto para la distribución de información (Thermos & Takanen, 2008). Y finalmente con el advenimiento de VoIP, se está convirtiendo un medio de comunicación multimedia en tiempo real. Entre las varias razones para lo anterior, se destacan: • La expansión en el uso de los computadores en todos los ámbitos de la sociedad (sectores públicos y privados) ha contribuido a informatizar casi todos los aspectos de nuestra vida. • La rápida evolución de la tecnología de las comunicaciones (más rápido, más barato, mejor) ha acelerado aún más el empleo de Internet. • El carácter universal de Internet que permite la conectividad global y permanente de casi todo el planeta de forma económica y prácticamente instantánea, lo convierte en una herramienta ventajosa para cualquier tipo de comunicación. Página x Pontificia Universidad Javeriana Memoria de Trabajo de Grado Proyecto de aplicación práctica EL ESTUDIO BIBLIOGRÁFICO El primer paso realizado fue el estudio y comprensión de las redes de VoIP desde su funcionamiento dentro las redes de datos, las arquitecturas más comunes usadas (Peer To Peer, Carrier, Enterprise, Softswitch e IMS) y los protocolos implementados (H.323, RTSP, SDP, MGCP, MEGACO/H.248, SIP , RTP/RTCP, SCCP). Luego se procedió a realizar un listado de las amenazas y vulnerabilidades de las redes de VoIP y se complemento con los mecanismos de protección que deben ser usados para su contramedida en señalización, transmisión, manejo de claves y los controles de seguridad sugeridos en la literatura relacionados con las consideraciones necesarias en la arquitectura, la segmentación de red, el direccionamiento privado, entre otros. LOS MODELOS Gracias al estudio de una extensa bibliografía se documentaron varios modelos de seguridad para redes VoIP donde se pueden ver algunos de ellos actualmente implementados por diferentes fabricantes haciendo uso de sus y arquitecturas y el de asociaciones relacionadas con la seguridad informática. Es de destacar que la cantidad de asociaciones relacionadas directamente con la seguridad en VoIP va en aumento a medida que esta tecnología crece en uso y aplicaciones. Se comprobó además que no se encuentran recursos donde se detalle de un modelo genérico completo y mucho menos seguro donde un administrador pueda documentarse para la puesta en marcha, implementación, configuración y uso de una red segura de VoIP. Para la creación de un modelo de seguridad de redes VoIP no sólo se debe tener en cuenta las falencias derivadas del uso del protocolo IP sino también las nuevas provenientes de su Página xi Ingeniería de Sistemas Proyecto de aplicación práctica - CIS0830-SD02 composición arquitectónica sin olvidar su función primaria y las variables de calidad asociadas a ella. NUESTRO MODELO Para la construcción de nuestro modelo se tomaron las mejores prácticas de seguridad en redes de VoIP documentadas y se integraron en un solo modelo a manera de guía de fácil entendimiento para el personal relacionado con seguridad en redes IP. Nuestro modelo comprende la parte técnica de la implementación, desarrollo, uso de las redes VoIP y hace recomendaciones sobre vulnerabilidades varias encontradas tanto tecnológicas como derivadas del comportamiento humano. Para finalizar, se expuso nuestro modelo dentro de una organización real con planes de implementación de VoIP donde obtuvimos retroalimentación y comprobamos la validez del mismo. Página xii Pontificia Universidad Javeriana Memoria de Trabajo de Grado Proyecto de aplicación práctica 1. INTRODUCCIÓN 1. 1. OPORTUNIDAD Ó PROBLEMÁTICA 1. 1. 1 DESCRIPCIÓN DEL CONTEXTO Las nuevas tecnologías y protocolos que respaldan la infraestructura de las telecomunicaciones de las empresas son de gran importancia debido a que son utilizadas para el aumento de su productividad, eficiencia y reducción de costos lo que, además, convierte el manejo de su seguridad y eficiencia en un factor de extrema importancia. En el caso de VoIP, que provee servicios de voz, video y datos con proveedores, sucursales, distribuidores y diferentes personas involucradas en el negocio a un menor costo, el principal problema es el desconocimiento de las amenazas inherentes a su implementación. Lo anterior hace necesario un estudio de los requerimientos, necesidades y limitaciones de la empresa para el diseño de la estructura, funcionalidad y alcances de la red de VoIP con el objetivo de contrarrestar e identificar las posibles vulnerabilidades. 1. 1. 2 FORMULACIÓN ¿Cuál es la mejor manera de asegurar una red de Voz sobre IP (VoIP) en una organización real? 1. 2. DESCRIPCIÓN DEL PROYECTO El desarrollo de un modelo de aseguramiento para redes de VoIP en un entorno empresarial hace referencia al estudio de distintas formas de implementar una red IP y como por medio del manejo de diferentes herramientas, mejores prácticas y políticas de aseguramiento en diferentes puntos del sistema, se minimizan las falencias y vulnerabilidades que se puedan presentar desde que se inicia la trasmisión de un mensaje, ya sea por medio de software (por ejemplo, un softphone) o por medio de hardware (por ejemplo, un teléfono IP), hasta la recepción del mismo. Página 1 Ingeniería de Sistemas Proyecto de aplicación práctica - CIS0830-SD02 Se pretende dar a conocer algunos de los modelos estándar en la implementación de redes VoIP, exponiendo sus vulnerabilidades y deficiencias con el fin de crear un modelo de aseguramiento que pueda ser implementado en un ambiente real, mitigando las deficiencias reconocidas del protocolo IP mediante la creación de un diseño robusto, eficiente y seguro. Al principio del documento se explican los conceptos básicos de la VoIP haciendo énfasis en sus características, funcionalidad y utilidad para dar paso a la explicación de los diferentes tipos de arquitectura y protocolos. Después se detallan las amenazas y ataques comunes a los mismos. Se realizará además un análisis de los modelos mencionados enunciando su funcionamiento, ventajas, desventajas y posibles vulnerabilidades. Finalmente se verificará la guía en un ambiente real, para obtener retroalimentación y comprobar si el modelo es aplicable a una organización específica. 1. 2. 1 VISIÓN GLOBAL Dadas las problemática y oportunidad planteadas, se busca crear una guía que describa claramente como implantar una red VoIP maximizando su seguridad mediante la reducción de las posibles debilidades de la tecnología, en un entorno empresarial que necesite mitigar ataques, proteger servicios y posea mecanismos de seguridad para evitar la fuga de la información. Este documento contextualiza la guía para la aplicación del modelo de aseguramiento mencionado y proporciona una serie de pasos específicos para sugerir su implementación en un entorno empresarial para cualquier lector con conocimientos en redes de VoIP y seguridad informática. 1. 2. 2 JUSTIFICACIÓN El presente trabajo de grado está inmerso en una tecnología relativamente nueva, que viene siendo apetecida en organizaciones de diferente ámbito, la cual es diseñada e implementada con un criterio pobre en lo que corresponde a su seguridad, muchas veces por ignorancia, debido a la escasez de información estructurada. Página 2 Pontificia Universidad Javeriana Memoria de Trabajo de Grado Proyecto de aplicación práctica Este documento hace un aporte a los proveedores de soluciones para redes de VoIP y a las organizaciones que deseen implantar una, sintetizando la historia del surgimiento de éstas, aclarando la terminología usada en el mercado por algunos proveedores y proponiendo un modelo de aseguramiento para la implantación de un sistema de red VoIP robusto, eficiente y seguro. 1. 2. 3 OBJETIVO GENERAL Desarrollar un modelo de aseguramiento para redes de VoIP aplicable en un ambiente real. 1. 2. 4 OBJETIVOS ESPECÍFICOS La siguiente ilustración resume los objetivos específicos de la investigación: Ilustración 1: Objetivos Los objetivos específicos son: 1. Describir y detallar las redes, tecnologías y modelos de seguridad más usadas en redes de VoIP. 2. Comparar las redes, tecnologías y modelos anteriormente descritos. 3. Desarrollar un modelo utilizando las mejores prácticas según la comparación y análisis realizados para el aseguramiento de redes de VoIP. 4. Instanciar el modelo desarrollado en una organización real utilizando pruebas de concepto. Página 3 Ingeniería de Sistemas Proyecto de aplicación práctica - CIS0830-SD02 2. MARCO CONCEPTUAL 2. 1. DEFINICIÓN DE VOIP VoIP proviene del inglés Voice Over Internet Protocol y significa “voz sobre un protocolo de Internet”; se puede definir como la transmisión de paquetes de voz por medio de una red de datos, en la que se utiliza el protocolo IP que nos permite establecer diferentes tipos de comunicaciones, reduciendo los costos que implican las redes de telefonía convencional para una empresa. VoIP por lo tanto, no es un servicio sino una tecnología que establece no solo la comunicación de voz sino también de video, imágenes y datos; la cual encapsula la voz en paquetes para transportarlos por las redes empresariales intranet, extranet e internet a diferencia de la comunicación tradicional que se hace por medio de redes de circuitos conmutados convencionales de telefonía conocidos como PSTN (Thermos & Takanen, 2008). Las redes PSTN se basan en el concepto de conmutación de circuitos, es decir, la realización de una comunicación requiere el establecimiento de un circuito físico durante el tiempo que dura estableciendo un acuerdo entre las dos partes. A diferencia de la telefonía vía PSTN, la telefonía IP no utiliza circuitos físicos para la conversación sino que envía varias conversaciones por el mismo medio (circuito virtual) por medio de paquetes encapsulados que viajan por redes de datos en paquetes codificados y de diferentes flujos. VoIP ofrece una gran lista de ventajas en relación a la telefonía tradicional ya que con una infraestructura bien definida en un marco empresarial, ofrece una gran cantidad de nuevos servicios con mayor velocidad y mejor desempeño; aunque también está expuesta a diferentes amenazas, ataques y vulnerabilidades (Collins, 2004). 2. 2. FUNCIONAMIENTO DE UNA RED VOIP Página 4 Pontificia Universidad Javeriana Memoria de Trabajo de Grado Proyecto de aplicación práctica Según (Collins, 2004) en VoIP la voz es convertida en señales de datos mediante un ADC (Analog to digital Converter) y es transmitida al destino donde nuevamente se transforma en formato analógico con el DAC (Digital to Analog Converter) para su uso. Por lo tanto funciona mediante la digitalización de la voz en paquetes de datos, su envío y reconversión de nuevo en voz, en el destino. La voz se convierte a un formato digital debido a que se puede controlar mejor, comprimir, direccionar y su manipulación por medio de bits es más rápida. Otra de las ventajas de la señal digital es su mayor tolerancia al ruido. Las redes IP se basan en paquetes IP que contienen una cabecera (para el control de la comunicación) y una carga útil o payload de transporte de datos de datos: VoIP utiliza protocolo IP a través de la red para llegar a su destino. Ilustración 2: Flujo de la voz por medio de una red VoIP 2. 2. 1 ¿CÓMO FUNCIONA? Una vez la voz esta en paquetes de datos es enviada a su destino por medio de RTP, Real-Time Transport Protocol, el cual utiliza UDP, parte del protocolo TCP/IP. UDP no ofrece fiabilidad, es decir, no hay garantía de que el paquete llegue a su destino y tampoco ofrece garantía en el orden en Página 5 Ingeniería de Sistemas Proyecto de aplicación práctica - CIS0830-SD02 que puedan llegar, pero UDP nos permite reducir el paquete en pequeños “paqueticos” los que son guardados en datagramas UDP (Collins, 2004). 2. 2. 2 ¿POR QUÉ UDP Y NO TCP? Según (Thermos & Takanen, 2008) UDP utiliza menor ancho de banda y menor tiempo de procesamiento, mientras que TCP, al ser un protocolo fiable, hace verificación de envío de paquetes y reordena los paquetes para que lleguen adecuadamente; pero para aplicaciones y servicios en tiempo real, en el tiempo en que TCP haga re-envío y reordenamiento de paquetes, lo conversación se habrá interrumpido o simplemente caído, por lo cual se utiliza UDP. Si algún paquete se pierde se podrá oír algún fragmento de voz quebrado, pero la llamada no se interrumpirá. Una vez la voz esta en paquetes RTP un códec o decoder, según donde se encuentre, se encarga de codificar la voz, comprimiéndola para enviar mayor información a través de las tramas UDP. La utilización de codecs para la compresión de la voz juega un papel muy importante para el rendimiento de la red y la velocidad en la comunicación. Al enviar la voz comprimida se utilizarán más recursos de los equipos pero menos ancho de banda, es decir, en un paquete puede viajar más información mientras que si la enviamos sin comprimir tendremos una gran cantidad de paquetes que agotarían el ancho de banda. Actualmente de los codecs más usados en VoIP se encuentran los G.711, G.723.1 y G.729 especificados por la ITU-T (Thermos & Takanen, 2008). Una vez los paquetes están comprimidos y listos para enviar vía RTP, entra en juego los protocolos de señalización, entre los cuales encontramos H323, SIP, MGCP, MEGACO/H.248, los cuales se encargan de controlar las sesiones, ya sea el establecimiento, inicio, modificación, y terminación de la llamada entre dos o más personas. 2. 3. LLAMADAS TELEFONÍCAS: TRADICIONAL VS IP Para una mejor comprensión de la diferencia entre la telefonía convencional y VoIP, a continuación se presentan ambos procesos (Todo Sobre Voz IP): Página 6 Pontificia Universidad Javeriana Memoria de Trabajo de Grado Proyecto de aplicación práctica Llamada telefonía Tradicional 1. Levantar el teléfono y al oír tono de marcado, tenemos conexión con el proveedor. 2. Marcar número telefónico del receptor. 3. La llamada se transmite por el conmutador del operador hasta su destino. 4. Se crea una conexión entre el emisor y el receptor. 5. El operador enlaza varios conmutadores para lograr la llamada. 6. El teléfono del receptor suena, y contesta la llamada. 7. La conexión abre el circuito. 8. Se comunican las dos partes y finalizan la llamada. 9. Al momento de colgar el teléfono el circuito es cerrado, automáticamente y libera las líneas que participaron en la comunicación. Para la comunicación por VoIP, tanto el emisor como el receptor deben tener un servicio VoIP. Para este ejemplo, se manejan teléfonos conectados a un ATA, el cual se encarga de la conversión de las señales analógicas a digital y viceversa. El proceso es el siguiente (Todo Sobre Voz IP): Llamada telefonía IP 1. Levanta el auricular, se envíe una señal al ATA. 2. ATA la recibe y envía un tono de llamado, con esto se encuentra conectado a internet. 3. Se marca el número del receptor, los números son convertidos a digital y se almacenan por un tiempo. 4. Los datos del número telefónico son enviados al proveedor de VoIP. Los servidores del proveedor VoIP validan el número especificado por el emisor. 5. Los servidores determinan a quien corresponde el número ingresado por el emisor y lo convierte en una dirección IP valida asociada al número marcado. 6. El proveedor conecta los dos equipos que están realizando la llamada. En el otro lado, ocurre el mismo procedimiento pero al contrario la señal es enviada al ATA y este se encarga de convertirla a análoga la cual hace que el teléfono del receptor suene. 7. Una vez que el receptor levanta el auricular del teléfono, se establece una comunicación entre los servidores donde cada sistema espera recibir paquetes del otro. Se establece la llamada permitiendo la comunicación entre el emisor y el receptor, por un buen tiempo, durante la llamada los servidores intercambian paquetes RTP, con los paquetes de datos de voz. Página 7 Ingeniería de Sistemas Proyecto de aplicación práctica - CIS0830-SD02 8. Cuando finaliza la llamada el teléfono se cuelga y el circuito que estaba previamente establecido es cerrado. 9. El ATA del receptor o el emisor según el que haya colgado envía una señal al proveedor VoIP en el cual le dice que la llamada ha finalizado. 2. 4. COMPONENTES PRINCIPALES DE VOIP Los componentes de una red VoIP son similares en las diferentes arquitecturas. Conociéndolos y entendiéndolos se dará un mejor enfoque y conocimiento para la construcción de una red VoIP eficiente, robusta y segura según (Fong & Knipp, 2002) los principales componentes en una red VoIP son: Terminales: Son teléfonos VoIP utilizados por los usuarios finales para iniciar o recibir una llamada. Pueden ser basados en hardware, como los teléfonos tradicionales, o en software, más conocidos como softphone, que trabajan desde un computador personal, una PDA o hasta desde teléfonos móviles que soporten este tipo de infraestructura. Los softphone tiene como principal objetivo la movilidad de los usuarios. Call manager gatekeeper: Su función principal es la autenticación de los usuarios. Se encarga además del control de admisión, el enrutamiento, el manejo del ancho de banda, la parte de tiempos y la facturación. El Call Manager es el primer dispositivo que interactúa en la red VoIP, comunicándose así directamente con los terminales como un servidor de identificación de direcciones que traduce los números de teléfono a direcciones IP, para entablar la comunicación entre usuarios. También es conocido como HSS (Home Suscriber Server) o HLR (Home Location Register). Gateways: Se encargan, de forma transparente, de conectar las redes VoIP con las redes de telefonía tradicional. Signaling Server Gateway: Es responsable del enrutamiento y la señalización del mensaje al servidor de señalización correcto. Página 8 Pontificia Universidad Javeriana Media Server Gateway: Memoria de Trabajo de Grado Proyecto de aplicación práctica Es responsable de la comunicación entre los dos extremos, en arquitecturas de red empresariales juegan un papel más importante ya que controlan la transmisión y los flujos de información enviados, permitiendo validar que lo que se envié sea correcto entre protocolos y codecs, para un mejor establecimiento de la conexión. Session Border Elements: No hacen parte de una infraestructura de red VoIP, pero se han venido implementando como una opción para crear un perímetro de seguridad en redes VoIP. 2. 5. ARQUITECTURAS Existen diferentes tipos de arquitecturas implementadas según la adecuación a la empresa y al diseño que se hizo de la red VoIP. Según (Tanenbaum, 2003) ente las más comunes encontramos: 2. 5. 1 PEER TO PEER La comunicación peer-to-peer (P2P) no se basa en la existencia de servidores centralizados sino que transfiere el trabajo a los puntos finales (Thermos & Takanen, 2008). Este modelo de red contrasta con el modelo cliente-servidor, el cual se rige mediante una arquitectura monolítica donde no hay distribución de tareas entre sí, sino una comunicación entre un usuario y una terminal en la que el cliente y el servidor no pueden cambiar de roles. Aprovecha, administra y optimiza el uso de banda ancha acumulada de los demás usuarios en una red por medio de la conectividad entre los mismos participantes de la red, obteniendo como resultado un rendimiento mayor en las conexiones y transferencias que con algunos métodos centralizados convencionales donde una cantidad relativamente pequeña de servidores provee el total de banda ancha y recursos compartidos para un servicio o aplicación. Skype es un ejemplo de arquitectura peer to peer en VoIP (Thermos & Takanen, 2008). 2. 5. 2 CARRIER Arquitectura utilizada para proveer conexiones con anchos de banda bastante grandes que se localizan mayoritariamente en diferentes ciudades o países; es una arquitectura para grandes Página 9 Ingeniería de Sistemas Proyecto de aplicación práctica - CIS0830-SD02 distribuciones geográficas. Maneja velocidades relativamente grandes a través de conexiones de fibra óptica (Thermos & Takanen, 2008). 2. 5. 3 ENTERPRISE Arquitectura usada para implementar VoIP en una empresa principalmente por el beneficio de tener una infraestructura de red interna menos compleja, la cual optimiza la productividad debido a que utiliza aplicaciones disponibles con VoIP. Con esta arquitectura también se reducen los costos de servicios externos ya que lo hace dentro de la misma organización. Se puede hacer por medio de un Private Branch Exchange (PBX), hasta un IP-PBX, para conectar la telefonía IP interna de la empresa, e interconectarla hasta la red PSTN red externa pública (Thermos & Takanen, 2008). Lo más común en la actualidad es un modelo hibrido en el cual dentro de la organización se implementa una red IP para las comunicaciones a través de un IP-PBX, al cual se le agrega una tarjeta o interfaz que pueda dar salida a llamadas externas a la organización por medio de un canal dedicado ente las dos empresas, o a través de una VPN si el tráfico es direccionado por Internet. 2. 5. 4 SOFTSWITCH La arquitectura softswitch involucra la separación de la transmisión de datos, y las funciones de control de la llamada y señalización. En la Ilustración 3 puede observar como se hace esta separación: las entidades encargadas del control de llamadas reciben el nombre de Call agents o MGCs. Mientras que las entidades encargadas de la conversión y transmisión se conocen como MGs. Se llama softswitch porque muchas de las funciones de switching que tradicionalmente se manejaban por un gran sistema monolítico, son ahora manejadas por medio de sistemas de software (Collins, 2004). Página 10 Pontificia Universidad Javeriana Memoria de Trabajo de Grado Proyecto de aplicación práctica Ilustración 3: Arquitectura y componentes softswitch Fuente: (Collins, 2004) La arquitectura softswitch es apoyada por diferentes fabricantes en la industria VoIP, ya que el fin de softswitch es crear un estándar compatible entre diferentes empresas que desarrollan dispositivos de telecomunicaciones (Collins, 2004). 2. 5. 5 IMS (INTERNET PROTOCOL MULTIMEDIA SUBSYSTEM) El IMS (Internet Protocol Multimedia Subsystem) extiende la arquitectura softswitch para construir una arquitectura estándar para aplicaciones multimedia en tiempo real que permiten la movilidad de los usuarios (Thermos & Takanen, 2008). Así como se ha visto la convergencia de la voz y los datos en las redes, se puede hablar de una convergencia de los puntos de red estáticos y cómo ha evolucionado y continúa evolucionando a un mundo móvil, en el cual es posible tener acceso a diferentes servicios en cualquier lugar del mundo, en cualquier momento. Por esto IMS es la clave para dar el gran paso y evolucionar las diferentes arquitecturas existentes a un mundo móvil en donde se puede estar conectados con los sistemas 24/7 desde los dispositivos móviles teniendo acceso a cualquier tipo de servicio. IMS es la arquitectura más adaptable a los diferentes proveedores de VoIP, pues es diseñado para proveer movilidad, servicios de facturación y monitoreo de los diferentes servicios que se pueden implementar. IMS es una arquitectura que ofrece conectividad IP asegurada para usuarios móviles, ha sido especificada por 3GPP, y utiliza protocolos seguros como SIP, RTP, Diameter, IPv6, e IPSec entre otros (Thermos & Takanen, 2008) Página 11 Ingeniería de Sistemas Proyecto de aplicación práctica - CIS0830-SD02 2. 6. PROTOCOLOS Los protocolos frecuentemente usados en VoIP son: 2. 6. 1 H.323 Es un conjunto de protocolos especificados por la ITU que define la comunicación IP en tiempo real incluyendo audio, video e información permitiendo diferentes configuraciones para ello. H.323 es un protocolo binario, que emula la lógica del negocio de las redes PSTN. Utiliza transporte con fiabilidad (TCP) para la señalización, por lo cual tiene una mala reputación de un alto consumo de recursos de red, utiliza el protocolo H.225 para el iniciar la señalización, una vez inicializada utiliza el protocolo h.245 para continuar con la negociación y las diferentes servicios para trabajar con el flujo de datos. La calidad del servicio, QoS, es manejada por (RVSP). Y finalmente los datos son transferidos utilizando Real-Time Transport Protocol (Hersent & Petit, 2005) 2. 6. 2 RTSP RTSP (Real Time Streaming Protocol) se especifica en RFC 2326 por IETF. Su función es la de establecer y controlar el flujo de la transmisión, como video y audio. Es basado en texto, y retoma HTTP. RTSP es un protocolo de 2 vías es decir que tanto el cliente como el servidor pueden enviarse mensajes entre sí. Es orientado a conexión aunque en algunos casos utiliza flujos TCP si es necesario, para el envío de mensajes en algunas conexiones (Hersent & Petit, 2005). 2. 6. 3 SDP Session Description Protocol es un protocolo para describir los parámetros de inicialización de los flujos multimedia. Fue publicado por el IETF en el RFC 2327. El propósito de SDP es el de cubrir aspectos de comunicación multimedia, en cuanto a la sesión, se encarga de anunciar, invitar, y negociar los parámetros, no entrega ni viaja data por medio de este protocolo, su función es la de negociar entre las diferentes entidades que se encargan de la sesión (Hersent & Petit, 2005). Página 12 Pontificia Universidad Javeriana 2. 6. 4 Memoria de Trabajo de Grado Proyecto de aplicación práctica MGCP MGCP es un protocolo utilizado para la comunicación entre diferentes componentes de una arquitectura VoIP de Gateway descompuesto, el cual consta de Media Gateways (MGs.), y Media Gateway Controllers (MGC), que se encuentran físicamente en un mismo dispositivo. MGC se encarga del establecimiento de la señalización entre MGs, y otros componentes que hacen parte de la red como H.323, Gatekeepers, o servidores SIP. Los MGs, son los encargados de la traducción de la señal de audio, los cuales convierten las diferentes señales ya sea voz en paquetes de datos que viaja por los circuitos telefónicos convencionales (Hersent & Petit, 2005). Con MGCP, el servidor MGC o call agent es mandatorio y maneja llamadas y conferencias, y soporta los diferentes servicios que ofrece. Los terminales MG no mantiene estados de llamadas, MGs, ejecutan comandos enviados por los MGC call agents. MGCP asume que los call agent sincronizaran los MGs, enviando comandos y controlando los MGs. Se maneja la teoría donde un Gateway esclavo (MG, Media Gateway) es controlado por un maestro (MGC: Media Gateway Controller) también llamado Call Agent. En la siguiente imagen podemos verificar las diferentes identidades que juegan un papel importante. Ilustración 4: Arquitectura MGCP Fuente: (Hersent & Petit, 2005) Los datos RTP se intercambian directamente entre las entidades involucradas los media gateways. Los Call Agent utilizan MGCP para proveer a los gateways los parámetros de conexión como direcciones IP, puertos UDP, y perfiles RTP para la transmisión de los datos. Esto es proporcionado por (SDP) Session Description Protocol del RFC 2327. Página 13 Ingeniería de Sistemas Proyecto de aplicación práctica - CIS0830-SD02 MGCP está definido informalmente en la RFC 3435, y aunque no es estándar su sucesor, Megaco, está definido como una recomendación en la RFC 3015. 2. 6. 5 MEGACO/H.248 Se inicio como un trabaja adjunto de protocolos entre MGCP and MDCP. IETF MEGACO WG and ITU-T surgen en un solo documento describiendo un protocolo estándar de interfaces entre Media Gateway Controllers (MGCs) and Media Gateways (MGs) MEGACO/H.248. MEGACO/H.248. Se espera que sea el ganador y que sea retomado por las industrias como el protocolo estándar para arquitecturas de Gateway descompuesto (Kuhn & Walsh, 2005). Ya que MEGACO/H.248 se deriva de MGCP, se encuentran muchas similitudes como (Kuhn & Walsh, 2005): – La semántica y los comandos en las dos especificaciones. – El uso de Session Description Protocol (SDP) para especificar las propiedades de transmisión igual a MGCP. – El proceso de señalización y los eventos de transmisión como en MGCP. MEGACO/H.248 introduce nuevas técnicas que incluyen: – Soporte de servicios multimedia para conferencias multipunto. – Mejora en la sintaxis para eficiencia en el procesamiento de los mensajes – TCP y UDP como nuevas opciones de transporte. – Permite código en texto plano y binario (para soportar IETF e ITU-T compatibilidad). Wat MEGACO/H.248, el mecanismo primordial para las extensiones que ofrece es por medio de los paquetes en general, MEGACO/H.248 incluye mayor detalles que los paquetes de MGCP. Definen propiedades adicionales y estadísticas de lo que sucede durante los diferentes servicios que ofrece (Kuhn & Walsh, 2005). 2. 6. 6 SIP SIP (Session Initiation Protocol) protocolo de señalización que soporta, telefonía, notificación de eventos, mensajería instantánea, conferencia, por medio de internet. Estándar definido por la IETF en el RFC 2543, en 1999. Es basado en Simple Mail Transport Protocol (SMTP) y el Hypertext Página 14 Pontificia Universidad Javeriana Memoria de Trabajo de Grado Proyecto de aplicación práctica Transfer Protocol (HTTP). Es un protocolo de capa de aplicación por lo cual es independiente de los diferentes protocolos que utilizan paquetes como (TCP, UDP, ATM, X.25) (Fong & Knipp, 2002). SIP se basa en una arquitectura cliente/servidor en la cual el cliente inicia la llamada y el servidor responde. Al ser basado en texto bajo estándares como SMTP Y HTTP, la facilidad para resolver algún inconveniente en la comunicación es facilitada. Como es un protocolo abierto, SIP es soportado por una gran cantidad de fabricantes, y permite una compatibilidad alta. Se considera un protocolo con mayores ventajas que H.323. Algunas de sus ventajas frente a H.323 son (Fong & Knipp, 2002): Simplicidad: SIP es un protocolo muy simple. El tiempo de desarrollo de software para la plataforma SIP es rápido y simple pues utiliza HTTP y SMTP. Modularidad: SIP fue diseñado para ser altamente modular, ya que es independiente del uso de otros protocolos Escalabilidad SIP ofrece dos beneficios de escalabilidad. - Procesamiento de servidores - Conferencias en grupo, ya que no hay necesidad de punto central de controla coordinación de la conferencia puede ser distribuido o centralizado. Integración: SIP tiene la capacidad de integrarse con la Web, e-mail, aplicaciones de transmisión multimedia y otros protocolos. Interoperabilidad: al ser abierto SIP ofrece interoperabilidad entre diferentes fabricantes. 2. 6. 7 RTP/RTCP La gran mayoría de implementaciones VoIP, utiliza RTP (Real Time Transport Protocol) para la transmisión, es un protocolo simple especificado por IETF en el RFC 3550 y 3551. RTP trabaja en UDP y hace su mayor esfuerzo para la entrega de paquetes al destino, sin embargo no garantiza la entrega. Pues las propiedades de tiempo real son más importantes que la fiabilidad. Pues la pérdida de un paquete en tránsito es mejor que el reenvío del mismo pues estamos hablando de comunicaciones en tiempo real, por lo cual sería muy tarde intentar reenviarlo. El ancho de banda que requiere va de la mano con la tasa de compresión y la calidad del códec que se utiliza, la variante de RTP cifrada se conoce como SRTP. También se conoce RTCP (Real Time Control Protocol) el cual es un protocolo que trabaja en conjunto con RTP, y su función primordial es la de recolectar información para la calidad de la conexión. RTCP reporta latencia, y pérdida de paquetes (Hersent & Petit, 2005). Página 15 Ingeniería de Sistemas 2. 6. 8 Proyecto de aplicación práctica - CIS0830-SD02 SCCP Skinny Client Control Protocol es un protocolo propietario de Cisco utilizado entre Cisco Call Managers y los terminales VoIP Cisco. También es compatible con otros fabricantes. Skinny es un protocolo ligero que permite una comunicación eficiente con un sistema Cisco Call Manager. El Call Manager actúa como un proxy de señalización para llamadas iniciadas a través de otros protocolos como H.323, SIP, RDSI o MGCP (Fong & Knipp, 2002). Página 16 Pontificia Universidad Javeriana Memoria de Trabajo de Grado Proyecto de aplicación práctica 3. SEGURIDAD EN REDES DE VOIP La seguridad de un sistema es un conjunto de capas como lo podemos ver en el siguiente grafico, no solo depende de ciertos dispositivos de la red, de ciertas políticas y procedimientos, ni de la infraestructura de la empresa, es un conjunto que involucra no solo la arquitectura del sistema, sino también el recurso humano, y la buena utilización del sistema. Ilustración 5: La seguridad en capas Fuente: (Gutierrez, 2008) A medida que crece su popularidad aumentan las preocupaciones por la seguridad de las comunicaciones y la telefonía IP. VoIP es una tecnología que ha de apoyarse necesariamente muchas otras capas y protocolos ya existentes de las redes de datos. Por eso en cierto modo la telefonía IP va a heredar ciertos problemas de las capas y protocolos ya existentes, siendo algunas de las amenazas más importantes de VoIP problemas clásicos de seguridad que afectan al mundo de las redes de datos. (Gutierrez, 2008) Según (Gutierrez, 2008) en la siguiente tabla se enumeran una serie de ataques que afectan a un sistema de VoIP. Se estudiarán a fondo los que más competen al tema de este trabajo, sin olvidar Página 17 Ingeniería de Sistemas Proyecto de aplicación práctica - CIS0830-SD02 que la seguridad es un sistema completo que no solo se debe aplicar en algunos dispositivos o subsistemas. Tabla 1: Listado de ataques Contraseñas débiles. Políticas y Procedimientos Mala política de privilegios. Accesos permisivos a datos comprometidos. Acceso físico a dispositivos sensibles. Ejemplo: Acceso físico al gatekeeper. Seguridad Física Reinicio de máquinas. Negaciones de servicio. DDoS ICMP unreacheable Seguridad de Red SYN floods Gran variedad de floods SQL injections Seguridad en los Servicios Negación en DHCP DoS Buffer overflows Seguridad en el Sistema Operativo Gusanos y virus Malas configuraciones. Fraudes SPIT (SPAM) Vishing (Phising) Seguridad en las Fuzzing Aplicaciones y protocolos Floods (INVITE,REGISTER,etc..) de VoIP Secuestro de sesiones (Hijacking) Interceptación (Eavesdroping) Redirección de llamadas (CALL redirection) Reproducción de llamadas (CALL replay) Se encuentran muchas amenazas que una vez se identifican se convierten en vulnerabilidades, que pueden ser aprovechadas por personas mal intencionadas con conocimientos de la infraestructura y la tecnología, convirtiéndolas en ataques para derribar el sistema. Página 18 Pontificia Universidad Javeriana Memoria de Trabajo de Grado Proyecto de aplicación práctica Para hablar de seguridad en comunicaciones debemos tener claro las amenazas, ataques y vulnerabilidades que se presentan en los diferentes sistemas según las siguientes definiciones: • Amenaza: Según el NIST (National Institute of Standars and Technology) (Kissel, 2006), se define amenaza como: “es el medio por el cual algún agente intenta afectar un sistema, un equipo o alguna operación del mismo. Una violación potencial de seguridad”. • Ataque: Según el NIST (National Institute of Standars and Technology) (Kissel, 2006), se define ataque como: “Intento de pasar los controles de seguridad en un equipo. El ataque puede alterar, dar a conocer o denegar información. Será efectivo dependiendo de la vulnerabilidad del sistema y de la efectividad de los planes de contramedidas. Un ataque activo es resultado de la alteración de información y uno pasivo en dar a conocer alguna información. El grado de éxito de un ataque depende de la vulnerabilidad del sistema y la efectividad de las contramedidas existentes”. • Vulnerabilidad: Según el NIST (National Institute of Standars and Technology) (Kissel, 2006), se define vulnerabilidad como: “Es la debilidad que se presenta en un sistema de información , en procedimientos de seguridad del sistema, controles internos, o implementaciones que puedan ser explotadas o activadas por alguna amenaza originada”. 3. 1. TIPOS DE AMENAZAS Existe una gran variedad de amenazas cuando trabajamos con un sistema VoIP. Según Sarah Romero directora de La Flecha Diario de Ciencia y Tecnología describe a grandes rasgos los peligros a los que se expone un usuario al trabajar con tecnología VOIP: “Existe un gran número de amenazas relacionadas con infraestructuras VoIP, muchas de las cuales no resultan obvias para la mayoría de los usuarios. Son vulnerables los dispositivos de redes, los servidores, los sistemas operativos, los protocolos, los teléfonos y el software de cada uno de ellos. Página 19 Ingeniería de Sistemas Proyecto de aplicación práctica - CIS0830-SD02 La información sobre una llamada es tan valiosa como el su contenido. Por ejemplo, una señal comprometida en un servidor puede ser usada para obtener un listado de llamadas entradas y salidas, su duración y sus parámetros; usando esta información, un atacante puede obtener el mapa detallado de todas las llamadas realizadas en la red, creando grabaciones completas de conversaciones y datos de usuario. La conversación es en sí misma un riesgo y el objetivo más obvio de una red VoIP. Consiguiendo una entrada en una parte clave de la infraestructura, como una puerta de enlace de VoIP, un atacante puede capturar y volver a montar paquetes con el objetivo de escuchar la conversación; o incluso peor aún, grabarlo todo pudiendo retransmitir todas las conversaciones sucedidas en tu red. Las llamadas son también vulnerables al “secuestro”. En este escenario, un atacante puede interceptar una conexión y modificar los parámetros de la llamada sin que las víctimas noten algún tipo de cambio. Las posibilidades incluyen la técnica de spoofing o robo de identidad y re-direccionamiento de llamada, haciendo que la integridad de los datos estén bajo riesgo. Un ataque de denegación de servicio dirigidos a puntos clave de la red podrían incluso destruir la posibilidad de comunicación. En resumen, los riesgos contraídos por el uso del protocolo VoIP no son tenidos en cuenta. Desafortunadamente la seguridad no es un punto fuerte en la implementación inicial y en los diseños de hardware para voz, software y protocolos lo que es usual cada vez que aparece una nueva tecnología (Romero, 2004). 3. 1. 1 INTERRUPCIÓN DEL SERVICIO Y SPIT El intento de interrumpir el servicio VoIP, incluyendo el manejo, aprovisionamiento, acceso o las operaciones normales se denomina interrupción de servicio (Kissel, 2006). Página 20 Pontificia Universidad Javeriana Memoria de Trabajo de Grado Proyecto de aplicación práctica Un ataque en esta categoría puede afectar cualquier elemento de red, incluyendo la infraestructura de soporte, donde el core VoIP es implementado, exponiendo así los dispositivos finales y los servicios. 3. 1. 1. 1 Interrupción del servicio La interrupción del servicio puede tener diferentes objetivos en la implementación de una red de VoIP, incluyendo la administración, el control o el propio usuario (Kissel, 2006). Durante un ataque para la interrupción del servicio existen muchos objetivos que pueden ser atacados. La Ilustración 6 nos ayuda a entender esto: Ilustración 6: Interrupción del servicio Fuente: (Kissel, 2006) Según (Kissel, 2006) algunos de los ataques relacionados con los servicios de la telefonía son: • Correo de voz: Ataque a los diferentes servicios del correo de voz mediante el re- direccionando llamadas, cambio el mensaje de saludo o borrado de información vital. Un ataque típico es adivinar la contraseña usando palabras comunes o las contraseñas por defecto del sistema. Página 21 Ingeniería de Sistemas • Proyecto de aplicación práctica - CIS0830-SD02 Identificador de llamadas: Ataque a la validación del usuario pues muchos servicios utilizan la identificación del teléfono para verificación del usuario. • Servicio follow-me: Habilidad de asociar varios teléfonos y direccionarlos a uno diferente robando las llamadas del usuario, que nunca serán atendidas. • Redireccionamiento de llamadas: El atacante puede direccionar el teléfono para que la llamada salga por medio de la compañía evitando el costo de las llamadas que haga, pues son cargadas a la compañía. • Confidencialidad: Ataque a los dispositivos finales que están expuestos al robo de información sensible que puede llegar a ser escuchada y robada. Un ataque de denegación de servicios puede debilitar el cifrado o eliminarlo del todo. • Interceptación de información por ley: Algunos proveedores de telecomunicaciones deben apoyar a las instituciones de seguridad permitiendo por seguridad nacional escuchar algunas comunicaciones. • Servicios de emergencia: Ataque a los servicios de emergencia, por ejemplo servicios de respuesta o de vital importancia como la policía o los bomberos que puede convertirse en una amenaza para las vidas humanas. • Denegación de Servicios (DoS): La prioridad de un ataque de denegación de servicios es el dejar el sistema inservible por medio de intentos malintencionados de degradar seriamente el rendimiento de la red o un sistema incluso llegando al punto de impedir la utilización del mismo por parte de usuarios legítimos. Un ataque DoS se basa en dos ataques generales, uno de ellos es Load–Based que consiste en iniciar miles de sesiones en paralelo para recargar el sistema saturando la red de un sistema que da como resultado la degradación del ancho de banda y la calidad del servicio. El otro es enviar paquetes especialmente construidos para explotar alguna vulnerabilidad en el software o en el hardware del sistema, saturación de los flujos de datos y de la red o sobrecarga de procesos en los dispositivos. Por ejemplo un servidor DNS puede ser interrumpido y el ENUM (estándar para proveer resolución de direcciones a números telefónicos) es interrumpido. Página 22 Pontificia Universidad Javeriana 3. 1. 1. 2 Memoria de Trabajo de Grado Proyecto de aplicación práctica SPIT Voice SPAM o SPAM over Internet Telephony (SPIT) se refiere a la transmisión de llamadas no solicitadas en redes de VoIP, similar al SPAM en el correo electrónico. El telemarketing no se considera tradicionalmente como SPIT (Endler & Collier, 2007). Con VoIP los costos son reducidos por lo cual SPIT se parece más al SPAM que al telemarketing. Con un acceso a banda ancha el atacante puede generar múltiples llamadas simultáneas; por ejemplo, un atacante con un ancho de banda de 1.5 MB puede generar aproximadamente 150 intentos de llamada por segundo. Ahora, la mayoría de llamadas VoIP pasan a través del PSTN, lo que significa que el valor de las llamadas no se reduce, Sin embargo, cada vez son más las llamadas que evitan este paso, reduciendo su valor y llegando en algunas ocasiones a ser gratis. Esto hace al SPIT muy atractivo, especialmente para llamadas internacionales con valores prohibitivos con los métodos tradicionales. Con VoIP, esto puede cambiar, haciendo económico el generar SPIT internacional. Un ataque simple es crear un script que haga llamadas en un rango de direcciones IP y envíe alguna grabación. Esta amenaza involucra un conjunto de llamadas denominadas annoyance. 3. 1. 2 ANÁLISIS Y ESCUCHA DE TRÁFICO (EAVESDROPPING) Es la recolección de información confidencial para preparar un ataque u obtener inteligencia para el mismo donde el atacante tiene la habilidad de monitorear señales sin protección o diferentes tipos de media entre usuarios (Thermos & Takanen, 2008). El análisis de tráfico puede ser activo o pasivo, según el tipo de información; por ejemplo, cuando se oye una conversación y se tiene acceso a información delicada como la clave y el número de tarjeta de crédito de un usuario. Página 23 Ingeniería de Sistemas 3. 1. 3 Proyecto de aplicación práctica - CIS0830-SD02 SUPLANTACIÓN Es la habilidad de suplantar algún usuario, dispositivo o servicio para ganar acceso a la red. Se encuentra en una categoría especial ya que por medio de la suplantación se realizan ataques como fraude, acceso no autorizado a la información y hasta interrupción del servicio (VOIPSA,, 2005). 3. 1. 4 ACCESO NO AUTORIZADO Es la habilidad de acceder a un servicio, una funcionalidad o algún elemento de la red sin la debida autorización (VOIPSA,, 2005). Los ataques en esta categoría pueden desencadenar nuevos ataques como los mencionados anteriormente. Su diferencia es que el atacante no necesita personificar a algún usuario alguien, ya que puede ganar acceso por medio de alguna vulnerabilidad, debido al uso de configuraciones por defecto o a un pobre manejo del control de acceso. Es un ataque tradicional que involucra la seguridad física y lógica. Existen dos métodos comunes (VOIPSA,, 2005): 1. Man in the Middle: Donde el usuario real realiza la autenticación pero el atacante observa el intercambio de mensajes y puede llegar a tomar control de la sesión activa después de la autenticación. 2. Compromiso total: El atacante tiene control total del sistema y puede ejecutar cualquier servicio, comando o proceso a nombre del usuario. Un ejemplo es un ataque de gusano, donde el gusano corre en el computador de la víctima suplantándolo y creando nuevas sesiones de comunicación. 3. 1. 5 FRAUDE Es la habilidad de abusar de los servicio de VoIP para uso personal o ganancia monetaria (VOIPSA,, 2005). Este ataque es uno de los más críticos para los carriers de telecomunicaciones así como para los proveedores de servicio. Puede realizarse manipulando los componentes de VoIP, como por ejemplo, el sistema de facturación. 3. 2. VULNERABILIDADES DE VOIP La responsabilidad de permitir que las amenazas mencionadas anteriormente tengan éxito yace principalmente en vulnerabilidades del software utilizado, en la arquitectura de red sobre la cual Página 24 Pontificia Universidad Javeriana Memoria de Trabajo de Grado Proyecto de aplicación práctica trabaja el sistema o en descuidos en la utilización utilizar de los dispositivos. Eliminar la mayor cantidad de debilidades posible mediante su conocimiento y entendimiento es la mejor manera de proteger la seguridad del sistema. 3. 2. 1 CLASIFICACIÓN DE LAS VULNERABILIDADES Las vulnerabilidades se clasifican en (Thermos & Takanen, 2008): • Defectos en el diseño: Problemas en el diseño de protocolos y la arquitectura de las redes. Controles de seguridad inadecuados relacionados con: o El monitoreo, filtrado y gestión de tráfico de información. o La autenticación y autorización del usuario y los dispositivos. o La segmentación de red. o Los componentes de las políticas de de seguridad. • Defectos en la implementación y el desarrollo del software: pobre implementación en el software relacionado con: o Los servicios o funciones del sistema operativo y otras interfaces de servicio de la plataforma usadas para la gestión, administración y operación (por ejemplo, SSH, FTP, SNMP, HHTP) o Lógica de las aplicaciones, interfaces de aplicación o interfaces de control de aplicaciones (por ejemplo SIP, H.323, RTP). • Configuración del sistema: configuración pobre del sistema, incluyendo: o Uso de las configuraciones por defecto. o El uso de contraseñas pobres en seguridad. o Ausencia de auditorías y bitácoras. o Configuraciones inadecuadas en el control de acceso a las redes. Página 25 Ingeniería de Sistemas Proyecto de aplicación práctica - CIS0830-SD02 Ilustración 7: Vulnerabilidades de VoIP Fuente: (Thermos & Takanen, 2008) 3. 2. 1. 1 Vulnerabilidades En VoIP Resumiendo (Thermos & Takanen, 2008) se pueden listar las vulnerabilidades debidas a un mal diseño, implementación o configuración de la siguiente manera: 1. Insuficiencia en la verificación de data: El origen y la autenticidad de los datos debe ser verificado cuando se procesan los mensajes, esta verificación también incluye verificar la consistencia de los protocolos. Todas las entradas o conexiones a la red deben ser consideradas como hostiles, y deben ser validadas por estructuras aprobadas encargadas de este trabajo. Esta vulnerabilidad es explotada en muchos casos, uno de ellos es man in the middle donde el atacante genera tráfico falso permitiendo tomar control de alguna sesión mediante alguna deficiencia en la autenticación de los usuarios. 2. Fallas de ejecución: Las bases de datos son utilizadas en los servicios de VoIP y registros; por lo tanto se debe ser estricto y hasta paranoico a la hora de filtrar el contenido manejado especialmente en las soluciones middleware usadas y los servidores de aplicaciones VoIP. La mayoría de problemas relacionados con fallas de ejecución son resultado del un mal filtro de los datos de entrada y prácticas inseguras de programación. Página 26 Pontificia Universidad Javeriana Memoria de Trabajo de Grado Proyecto de aplicación práctica 3. Fallas de manipulación: Paquetes malformados incluyendo SIP, H.323 SDP, MGCP, RTP, SRTP, RTCP, y cualquier otra plataforma relacionada con los protocolos de uso en VoIP. La mayoría de mensajes malformados contiene ataques buffer-overflow el cual consiste en que una cadena de caracteres larga es copiada en por el software en memoria, donde el espacio es muy pequeño para almacenarlo, el resultado es que se almacena en otro espacio de la memoria interna, como registros y apuntadores que el atacante aprovecha para tomar control del proceso. 4. Pocos recursos: Los recursos que utiliza un sistema de VoIP no pueden ser escasos; poca memoria y capacidad de procesamiento limitado pueden ser una ventaja adicional para dejar el sistema inservible. Un atacante puede enviar miles de mensajes de señalización, que abren sesiones en el sistema, hasta que utiliza todos los sockets disponibles para conexiones validas resultando en una negación de servicios. Un ataque común es por medio de UDP enviando mensajes INVITE, abriendo puertos e inundando hasta utilizar todos los puertos disponibles. 5. Poco ancho de banda: Una falla común resultando en un DoS, es que a la hora de implementar el servicio o la arquitectura de red, los diseñadores no tienen en cuenta que alguien malintencionado puede inundar la red con peticiones para bajar el servicio. Mientras haya pocos usuarios utilizando el sistema siempre estará disponible, pero a la hora de intencionalmente inundar el servicio, o si hay muchos usuarios conectados en cierto momento que el ancho de banda sea muy limitado el servicio puede caer. Cualquier interfaz de comunicación abierta, puede ser inundada; existen varios blancos para ser inundados, puertos como el 5060 en TCP Y UDP, para SIP, o el puerto 1720 para H.323/H.225, pueden ser alcanzados por estos ataques, sin embargo RTP maneja puertos dinámicos para el control. Ciertos perímetros de defensa pueden eliminar ataques simples como repetición de mensajes rechazando estas conexiones y manteniendo disponible el ancho de banda. Página 27 Ingeniería de Sistemas Proyecto de aplicación práctica - CIS0830-SD02 Balanceadores de carga y técnicas de QoS pueden limitar el daño y mantener un servicio aceptable incluso durante un ataque. 6. Fallas debido a la manipulación de archivos y recursos: Los problemas por manipulación de archivos y recursos son típicas fallas de implementación, errores en la programación por el uso de prácticas inseguras de desarrollo, terminan siendo problemas de seguridad. Esta vulnerabilidad es explotada accediendo a ciertos archivos como el registro de Windows, archivos del sistema, y bases de datos. A la hora de manejar archivos confidenciales con información crítica o detalles como la autenticación de sesión, la implementación debe ser exigente para asegurar buenas medidas de protección como el cifrado y los permisos a ciertos archivos que se almacenan en datos temporales. 7. Incorrecta gestión de contraseñas: En VoIP, el manejo de la identificación se hace a través del número telefónico o el SIP URI, y la contraseña para tener acceso al servicio. Esta contraseña es almacenada tanto en el cliente como en el servidor, permitiendo que si alguna persona toma control de nuestra estación de trabajo tiene acceso a esta información confidencial, y puede tomar control de nuestra sesión, permitiendo cometer cualquier tipo de delito. Si el sistema es manejado por medio de validaciones Hash esto también debe permanecer confidencial pues existen muchas técnicas de fuerza bruta para comparación de hash que pueden llegar a revelar esta información. 8. Mala administración de permisos y privilegios: Los recursos deben ser protegidos desde diferentes perspectivas, ya sea desde la plataforma del sistema operativo o la arquitectura de la red escogida. La instalación del software debe ser manejada en una plataforma segura, que proteja el material confidencial que se maneja. Debe manejarse auditoria del sistema para monitorear el acceso a ciertos recursos críticos del sistema. Algunos servicios de un sistema VoIP pueden ser ejecutados con permisos no administrativos, poniéndolos en peligro. 9. Falta de criptografía y aleatoriedad: En la señalización en VoIP, se debe manejar cuidadosamente la información confidencial para evitar que esta sea escuchada o vista por algún ataque tipo eavesdropping. La aleatoriedad es requerida para la designación de Página 28 Pontificia Universidad Javeriana Memoria de Trabajo de Grado Proyecto de aplicación práctica puertos para establecer una comunicación y para asignar contraseñas para la sesión, de tal forma que sea difícil de adivinar para los atacantes. La vulnerabilidad más común en esta categoría es la falla que puede llegar a ocurrir a la hora de cifrar la información, así los mecanismos de cifrado estén disponibles, la señalización y la información en VoIP son confidenciales, y cualquier atacante que se encuentre en medio de la comunicación puede potencialmente acceder a esta con cualquier programa que pueda decodificar esta información, y escuchar la conversación. Siempre debemos usar criptografía por seguridad, y algoritmos robustos, ya que algunos son muy fáciles de romper. 10. Gestión errónea de autenticación y certificación de errores: Los usuarios y los dispositivos en VoIP necesitan autenticarse, otros servicios como la gestión o administración también, la mayoría de mensajes por la red también lo necesitan, ya que los mensajes pueden ser cambiados por medio de la conexión. Entre las más comunes se encuentran: Cuentas con contraseñas por defecto en servicios HTTP y SNMP. Inhabilidad de cambiar las credenciales. Accesos no autenticados debidos a inconsistencias del sistema. Estas vulnerabilidades son explotadas por el atacante permitiéndole acceder a los dispositivos VoIP reconfigurando y secuestrando las comunicaciones o simplemente deshabilitando el servicio. 11. Manejo incorrecto de errores: El manejo de errores es muy común en la implementación de cualquier servicio, pero su mal manejo puede crear una brecha en la cual el atacante puede acceder la infraestructura y perjudicar la comunicación. Un ejemplo muy común es cuando se intenta acceder a un teléfono que no existe, el servidor devuelve un error 404, mientras que si el teléfono existe devuelve un error 401 lo Página 29 Ingeniería de Sistemas Proyecto de aplicación práctica - CIS0830-SD02 que es explotado por el atacante que puede intentar acceder por fuerza bruta teniendo una lista de teléfonos existentes, o enviar SPIT a la lista. 12. Mal uso de redes homogéneas: Alguna vulnerabilidad impredecible en muchas infraestructuras de red, debida a los fabricantes y a la variedad de dispositivos en el mercado. Una red que depende de un solo fabricante se encuentra sujeta a un ataque autómata, creado especialmente para esos equipos, en forma de virus o un gusano que puede hacer que el sistema deje de funcionar. Es importante entonces actualizar regularmente el firmware e instalar las actualizaciones desarrolladas por los fabricantes para tener los equipos preparados para cualquier ataque. 13. Insuficiencia de sistemas de respaldo: Cuando un sistema esta caído, porque eventualmente puede llegar a suceder, debe existir un sistema de respaldo para que los usuarios puedan nuevamente conectarse. La disponibilidad de los servicios en telefonía es crítica por lo cual en algunos países las redes de telefonía móvil han sido remplazadas por redes más robustas para mantener servicios de respaldo. 14. Calidad de las conexiones físicas y colisión de paquetes: Muchos problemas en la calidad de la voz están relacionados con las conexiones físicas. La pérdida de paquetes o distorsión en la conectividad IP es usualmente debida a una mala infraestructura o al cableado físico. El cableado y la infraestructura debe ser planeados a futuro, si existe pérdida de paquetes en la infraestructura de datos probablemente la red no sea adecuada para la implementación de VoIP. La latencia de la red y el jitter debe ser mínimos pues los cuellos de botella serán revelados inmediatamente una vez el sistema VoIP sea implementado en la red, incluso los que pasaban desapercibidos en el sistema de red de datos, ya que VoIP maneja comunicaciones en tiempo real. 3. 2. 1. 2 Vulnerabilidades gestionando la configuración en VoIP Los servidores y clientes deben ser configurados con seguridad y correctamente, las contraseñas por defecto y las configuraciones de fábrica deben ser cambiadas, los dispositivos de los diferentes fabricantes deben ser actualizados y el sistema en si debe pasar por diferentes pruebas de penetración para probar su disponibilidad, integridad, consistencia y calidad del servicio. Las Página 30 Pontificia Universidad Javeriana Memoria de Trabajo de Grado Proyecto de aplicación práctica vulnerabilidades y ataques que día a día surgen deben ser mitigadas mientras el fabricante de los dispositivos usados crea alguna actualización que pueda mitigarlas (OWASP Community, 2009). La gestión de vulnerabilidades y una configuración que implique seguridad para el sistema parte de analizar y monitorear la red y validar la configuración del software cliente-servidor desde una perspectiva de seguridad. Según (OWASP Community, 2009) esta gestión consiste en cuatro tareas o fases: 1. Identificación: Especificando e identificando todos los ítems de configuración entre los cuales se encuentra el hardware, software, documentación y el personal relacionado con cada uno de los componentes del sistema. 2. Control: Tener claridad en la gestión de los procesos y las responsabilidades de cada uno de los ítems de configuración. 3. Estado: Establecer procesos de mantenimiento y de monitoreo para verificar el estado actual de configuración de cada uno de los componentes. 4. Verificación: Revisar e implementar procesos de auditoría para validar la información en la base de datos. Actualizaciones periódicas de la gestión de la configuración permite incrementar los tiempos de respuesta ante algún ataque o una nueva vulnerabilidad, permitiendo corregir la falla. 3. 2. 1. 3 Vulnerabilidades del comportamiento humano El factor humano en las comunicaciones también tiene que ver con las oportunidades para la explotación de diferentes vulnerabilidades, lo que es más conocido como ingeniería social (VOIPSA,, 2005). La ingeniería social puede empezar desde acciones básicos, como recoger hojas en la basura de alguna estación de trabajo en búsqueda de información que permita acceder al sistema o tener acceso a información confidencial que se asumía destruida. Empleados no satisfechos que filtran información crítica de la empresa, acceso a planos de la estructura, contraseñas anotadas en la pantalla del computador hacen parte de las vulnerabilidades más comunes. Página 31 Ingeniería de Sistemas Proyecto de aplicación práctica - CIS0830-SD02 La seguridad en los dispositivos va de la mano del entrenamiento del recurso humano que también hace parte del sistema de seguridad de una empresa. Un entrenamiento detallado dirigido al personal de toda la organización puede ser la solución a este tipo de vulnerabilidades. 3. 3. MECANISMOS DE PROTECCIÓN EN SEÑALIZACIÓN Uno de los puntos críticos para manejar la seguridad en VoIP es proteger los mensajes de señalización que se intercambian en una sesión por los diferentes participantes. Los mensajes de señalización se utilizan para establecer la comunicación y manejar el intercambio de llaves de criptografía para asegurar la transmisión. La protección adecuada de los mensajes de señalización juega un papel importante en la defensa del sistema de amenazas y ataques. 3. 3. 1 SIP MECANISMOS DE PROTECCIÓN La recomendación RFC 3261 (Rosenberg & Schulzrinne, 2002) menciona protocolos de seguridad que proveen integridad y confidencialidad en la señalización SIP, protocolos como IPSEC, S/MIME, TLS, DTLS se han usado por la industria desarrolladora de sistemas de VoIP. Dos de los factores más importantes para la adopción de estos protocolos es su fácil implementación y escalabilidad. Una de los pasos críticos en la seguridad de VoIP es el proceso de registro para iniciar una llamada, por lo cual debe ser autenticado para evitar cualquier tipo de ataque junto con todos los momentos donde hay intercambio de mensajes. 3. 3. 1. 1 Autenticación en SIP El protocolo SIP utiliza la autenticación digest para identificar clientes. Digest como autenticación se utilizo en primera medida y se diseño para HTTP protocolo de internet el cual se basa en hashes para evitar el envío de contraseñas en texto plano. En la siguiente ilustración se detalla el flujo de una llamada junto con el registro, inicio y terminación de sesión. Página 32 Pontificia Universidad Javeriana Memoria de Trabajo de Grado Proyecto de aplicación práctica Ilustración 8: Flujo en la autenticación SIP Fuente: (Rosenberg & Schulzrinne, 2002) Resumiendo (Rosenberg & Schulzrinne, 2002) el flujo habitual del establecimiento de una sesión mediante el protocolo SIP es el siguiente: En el paso 1 el teléfono SIP se registra con el servidor local (dominio A). Envía una petición tipo REGISTER, SIP proporciona un mecanismo desafío-respuesta para realizar la autenticación, por lo cual el servidor devuelve un mensaje 401 unauthorized que incluye un valor aleatorio (nonce) junto al dominio contra el que se va a autenticar. El cliente envía un ACK, e inmediatamente envía una respuesta cifrada al servidor en un mensaje de tipo REGISTER, indicando el nonce, el dominio junto con el nombre de usuario, el URI y la contraseña en un MD5. Una vez recibidos estos datos, el servidor compara el valor de la respuesta del cliente con el resultado de cifrar él por su cuenta los mismos datos, con la contraseña que tiene del cliente. Si la autenticación es exitosa entonces el servidor actualiza sus registros internos y trae la información necesaria para establecer la llamada, y responde con un mensaje OK. Página 33 Ingeniería de Sistemas Proyecto de aplicación práctica - CIS0830-SD02 Ilustración 9: Autenticación en SIP Fuente: (Villalón, 2008) Analizando parte de las cabeceras de autenticación SIP, podemos ver la estructura de la autenticación durante el registro del cliente. Ver anexo B. Debemos tener en cuenta que si un atacante captura los mensajes descritos en el anterior anexo durante la fase de registro del cliente, podría ser capaz de obtener el hash MD5 de la contraseña y quedar expuesto a ataques de fuerza bruta y diccionario. En el paso 2, el usuario inicia una llamada a otro dominio en este caso B, envía un INVITE al proxy local (dominio A), y este por medio del mecanismo desafío-respuesta devuelve un mensaje 407 PROXY AUTHENTICATION REQUIRED, el cliente envía un ACK, e inmediatamente envía una respuesta cifrada al servidor en un mensaje de tipo INVITE, que incluye las credenciales, adicionalmente en el campo Cseq es incrementado en 1 (101 - 102) que indica que es un nuevo mensaje INVITE, y corresponde a un nuevo dialogo. Inmediatamente suena el teléfono de la persona a la que estamos llamando en este caso Alice, y en ese momento el teléfono de Alice envía un mensaje OK. Se establece la comunicación y Bob envía un mensaje ACK. En el paso 3 la conversación es transmitida como datos vía RTP. Página 34 Pontificia Universidad Javeriana Memoria de Trabajo de Grado Proyecto de aplicación práctica En el paso 4 una vez la conversación termina la persona que cuelga envía un mensaje tipo BYE, se vuelve a autenticar, con el mensaje 407 PROXY AUTHENTICATION REQUIRED, envía nuevamente el mensaje BYE, y receptor responde con OK, en este momento finaliza la llamada. En resumen la llamada se hace en los siguientes pasos: 1. El teléfono llamante envía un INVITE. 2. Se solicita autenticación para establecer la llamada mediante la respuesta 407 (407 Autenticación Proxy Requerida). 3. El teléfono llamante responde con un ACK confirmado. 4. El teléfono al que se llama envía una respuesta informativa 100 (tratando). 5. Cuando el teléfono al que se llama empieza a sonar envía una respuesta 180 (sonando). 6. Cuando el receptor levanta el teléfono, el teléfono al que se llama envía una respuesta 200 (OK). 7. El teléfono llamante responde con un ACK confirmado. 8. Ahora la conversación es transmitida como datos vía RTP. 9. Cuando el receptor cuelga, una solicitud BYE es enviada al teléfono que llama. 10. El teléfono que llama responde con un 200 (OK). 3. 3. 1. 2 Protocolos seguros Transport Layer Security: TLS es uno de los protocolos que soportan confidencialidad en la capa de transporte, tiene la habilidad de autenticación mutua, cliente y servidor, confidencialidad e integridad. El protocolo se compone de dos capas TLS record protocol que es el encargado de mantener una conexión segura entre los dos puntos finales. La negociación de las propiedades de criptografía es manejada por el TLS handshake protocol que es encapsulado dentro del record protocol (Rosenberg & Schulzrinne, 2002). El RFC de SIP (Rosenberg & Schulzrinne, 2002) recomienda el uso de TLS para proveer la protección necesaria contra cualquier tipo de ataques. Cuando los usuarios quieren establecer una llamada y mantener un nivel de privacidad pueden utilizar SIPS URI (SIP seguros, o SIP por TLS) para garantizar un transporte seguro y cifrado para proteger los mensajes de señalización entre los usuarios. Página 35 Ingeniería de Sistemas Proyecto de aplicación práctica - CIS0830-SD02 Mensaje SIPS es igual la SIP (este último sin cifrado), las diferencias está en que el transporte es en TLS y no en UDP o TCP, SIPS utiliza puerto 5061, diferente al 5060 utilizado por UDP Y TCP. Cuando se utiliza SIPS todos los mensajes son transportados por TLS el cual provee un adecuado nivel de protección contra diferentes ataques, la suite de cifrado para utilizar con TLS es AES clave de 128 bits. Ventajas: Soporta autenticación mutua usando certificados. Provee confidencialidad e integridad, el cual protege los mensajes de diferentes ataques. Utiliza menos recursos comparado con IPSec. Protocolo con experiencia manejado en aplicaciones de internet como VPN, email. Protege la negociación de llaves criptográficas. Provee una mejor adopción e implementación. Limitaciones: Requiere una infraestructura PKI para forzar la autenticación mutua en la capa SSL. No provee confidencialidad de extremo a extremo pues requiere de la terminación y creación de nuevas sesiones en cada salto (entre proxies, o controladores de borde de sesión). Se puede usar con TCP o SCTP, pero no UDP, muchos implementaciones de carriers y empresariales utilizan SIP por UDP. Susceptible a ataques DoS, por medio de inundaciones TCP o RSTs que resetean la conexión, que pueden consumir los recursos de la RSA decryption DTLS: El protocolo Datagram Transport Layer Security fue desarrollado para suplir las necesidades de seguridad para protocolos de transporte UDP como SIP. DTLS es similar a TLS, una diferencia entre los dos es que DTLS posee un mecanismo para manejar la poca confiabilidad asociada con UDP, como la perdida de paquetes o reordenamiento. Recordemos que si ocurre la perdida de algún paquete durante TLS handshake la conexión se perderá, el TLS Record Layer donde se gestiona la data encryption, requiere que los registros vengan en orden, por uno que falte Página 36 Pontificia Universidad Javeriana Memoria de Trabajo de Grado Proyecto de aplicación práctica el siguiente no podrá descifrar el CBC (CHIPHER BLOCK CHAINING) (Thermos & Takanen, 2008). Para compensar la pérdida de paquetes DTLS utiliza un tiempo de retransmisión. Después que este expira el vuelve a retransmitir el paquete, evitando así la perdida de paquetes, y para la replay detection DTLS utiliza una ventana de 32 registros en la cual los registros antes de los últimos 32 son descartados, los 32 son procesados y más de 32 son verificados. Otra ventaja de DTLS es utilizar la técnica de cookies stateless donde cliente y servidor intercambian una cookie por medio de MD5 de esta forma se verifica también que sea el mismo cliente que se conecto en un inicio, evitando una personificación y un posible DoS. Ventajas: Fácil de implementar comparado a IPSec o S/MIME. Provee mecanismos para compensar las limitaciones de TLS handshake reliability y replay detection. El uso de cookies stateless previene ataques de DoS. Limitaciones: Requiere establecimiento de nuevas sesiones cifradas después de cada salto similar a TLS. Requiere una infraestructura PKI para forzar la autenticación mutua. S/MIME: Secure/Multipurpouse Internet Mail extensión, proporcionan confidencialidad, integridad, autenticidad, para protocolos de aplicación como SMTP y SIP. MIME define un set de mecanismos para codificar y representar formatos de mensajes complejos, como caracteres chinos o mensajes adjuntos como imágenes o audio (Thermos & Takanen, 2008). S/MIME en SIP se utiliza para proteger las cabeceras de los mensajes y proveer confidencialidad, Integridad y Autenticidad, de extremo a extremo entre los usuarios. Diferente a TLS O DTLS, S/MIME tiene la flexibilidad de una protección granular, es posible utilizarlo en diferentes partes del mensaje SIP, a diferencia con los anteriores que envolvían la totalidad del mensaje SIP. Además Página 37 Ingeniería de Sistemas Proyecto de aplicación práctica - CIS0830-SD02 puede ser usado con UDP O TCP lo cual supera las limitaciones de TLS DTLS IPSec, y proporciona protección de extremo a extremo (Thermos & Takanen, 2008). Desafortunadamente muchos teléfonos VoIP no lo soportan, adicionalmente se necesita una infraestructura PKI para soportar las funciones de S/MIME, que requiere el uso de certificados (firmas, verificación, autenticación y no repudio). Ventajas: Es independiente al transporte y se puede usar UDP o TCP Provee gran flexibilidad por su capacidad de proteger porciones del mensaje SIP. Provee confidencialidad, integridad, autenticación y no repudio. Limitaciones: Requiere un mayor esfuerzo en la implementación debido a la complejidad de los requerimientos de infraestructura (PKI), comparado a otros protocolos como TLS y DTLS. No es desarrollado ampliamente, en un futuro debería ser fácil la integración entre infraestructuras existentes. Poca escalabilidad por el requerimiento de una infraestructura PKI. IPSEC: Protocolo de seguridad que provee protección a aplicaciones que utilizan UDP o TCP para su transporte, IPSec puede ser usado en túnel o modo transporte para proteger su carga. IPSec puede proveer confidencialidad, Integridad, y autenticación Para señalización y transmisión de mensajes, por medio de la creación de túneles entre los extremos en este caso lo usuarios (Thermos & Takanen, 2008). Ventajas: Protocolo probado y ampliamente desarrollado. Opera en la capa de red, por lo cual soporta UDP TCP, SIP y RTP. Provee confidencialidad, integridad, autenticación y no repudio. Limitaciones: Página 38 Pontificia Universidad Javeriana Memoria de Trabajo de Grado Proyecto de aplicación práctica Requiere un mayor esfuerzo en la implementación debido a la complejidad de los requerimientos de infraestructura (PKI), comparado a otros protocolos como TLS y DTLS. Requiere una infraestructura PKI para soportar la autenticación, integridad, confidencialidad de los dispositivos de los extremos. Componentes intermedios no sabemos las políticas de seguridad por donde pasa. No escala bien para grandes redes distribuidas, y aplicaciones distribuidas. 3. 3. 2 H.323 MECANISMOS DE PROTECCIÓN El H.323 es una serie de recomendaciones del ITU donde específicamente el H.225.0, H.245 y H.235.x. describen los mecanismos de protección a usar (Black, 1999). En el cual H.225.0 se divide en 2 partes, la primera es RAS (Registration, Admission, Status), la cual es utilizada por los gatekeepers para manejar los extremos o dispositivos finales en su zona, estos se registran por medio de RAS, con sus gatekeeper correspondientes y obtienen acceso a los recursos y servicios de la red. La otra parte es la señalización de la llamada, que es usada por H.323 para establecer o terminar la conexión. Una diferencia entre los dos es el uso de UDP para el transporte de RAS, mientras la señalización soporta UDP Y TCP. El H.245 es un protocolo de control utilizado por los end points para manejar la transmisión entre los participantes, su objetivo principal es negociar los parámetros de transmisión entre los usuarios finales, como la dirección IP por RTP, puertos, codecs a utilizar, y otros más. Estos tres protocolos mencionados se utilizan para establecer, modificar o terminar las sesiones (Black, 1999). La recomendación H.235 discute los servicios de seguridad, como la autenticación, privacidad (cifrado de datos), y su última versión se V4 se divide en sub-recomendaciones, desde la H.235.0 hasta la H.235.9 que se podrán ver en el siguiente cuadro. Tabla 2: Recomendación H.235 Recomendación Descripción H.235.0 Security Framework serie H. H.235.1 Baseline security profile H.235.2 Signature security profile Página 39 Ingeniería de Sistemas Proyecto de aplicación práctica - CIS0830-SD02 Recomendación Descripción H.235.3 Hybrid Security Profile H.235.4 Direct and selective routed call security H.235.5 Security Profile for RAS authentication H.235.6 Voice encryption profile with “native” H.235/H.245 key management H.235.7 MIKEY + SRTP security profile H.235.8 Key exchange for SRTP on secure signaling channels H.235.9 Security gateway support for H.323 Fuente: (Black, 1999) Ventajas: Provee seguridad de extremo a extremo, dependiendo de la combinación de perfil de recomendación que se utilice. Soporta seguridad multicast o unicast. Usando una buena combinación de recomendaciones se puede asegurar a un nivel donde se puede proteger de ataques como DoS, man-in-the-middle replay, spoofing, secuestro de sesión escucha de tráfico. Limitaciones: No escala correctamente para comunicaciones Internet. Gran nivel de implementación, lo cual lo hace complejo comparado a SIP. H.235 no esta ampliamente desarrollado por lo cual su interoperabilidad entre diferentes fabricantes en cuestionable. ‘ 3. 3. 3 MECANISMOS DE PROTECCIÓN MGCP El Media Gateway Control Protocol, es usado por los gateways de las PSTN, para establecer llamadas en redes IP y entre PSTN y redes IP (Thermos & Takanen, 2008). Recomendaciones para protegerse de ataques contra MGCP: Fortalecer las ACL’s de la red para restringir el acceso a los puertos de MGCP, de fuentes sin autorización. Página 40 Pontificia Universidad Javeriana Memoria de Trabajo de Grado Proyecto de aplicación práctica Fortalecer las comunicaciones entre el los call agents y los gateways PSTN, para el intercambio de mensajes Si el gateway PSTN soporta IPSec, utilizarlo y cifrar el tráfico entre los call agentes y los PSTN gateways. Ventajas: Escalable para empresas y carriers de red. En términos de seguridad no hay ningún tipo de fortaleza exceptuando el uso de IPSec. Limitaciones: No provee autenticación, integridad, o confidencialidad para proteger los mensajes Utiliza UDP como transporte, heredando sus por lo tanto esta expuesto a ciertos ataques. 3. 4. MECANISMOS DE PROTECCIÓN EN LA TRANSMISIÓN Cualquier aplicación multimedia, como video, voz, utiliza un conjunto de protocolos para iniciar sesión entre los extremos, siendo el protocolo estándar para la transmisión el RTP (Real Time Protocol) que, como se comento anteriormente, puede ser interceptado y manipulado para recibir un ataque. Aunque podemos usar IPSec, RTP tiene algunas limitaciones al atravesar el NAT, la designación de sesiones dinámicas y la necesidad de una infraestructura PKI lo que lo convierte en un protocolo menos escalable y versátil. Por esto surge el SRTP (Secure Real Time Protocol), que utiliza un mecanismo de intercambio de llaves criptográficas antes de enviar cualquier transmisión. Protocolos como MIKEY y SDescription, de los cuales se hablará más adelante, se proponen como una solución para mantener la seguridad en las sesiones. 3. 4. 1 SRTP Protocolo que surge de RTP y provee confidencialidad, integridad, y autenticación para la transmisión, es considerado uno de los mecanismos estándar para proveer protección en tiempo real en aplicaciones multimedia. Adicionalmente, para proteger los paquetes, utiliza RTCP (Real Time Transport Control Protocol). RTCP es utilizado primordialmente para proveer QoS (Tucker, 2005). Página 41 Ingeniería de Sistemas Proyecto de aplicación práctica - CIS0830-SD02 El diseño de SRTP está enfocado en la protección de la transmisión a través de llaves que soporten redes alambradas e inalámbricas en las cuales el ancho de banda puede ser una limitación. Algunas de las propiedades más importantes son: • La habilidad de incorporar nueva transformaciones criptográficas. • Mantenimiento de poco ancho de banda, y bajo costo computacional. • Ahorro en el tamaño del código de implementación, para dispositivos con poca memoria (móviles). Las aplicaciones que implementan SRTP deben convertir lo paquetes RTP en SRTP, en los extremos antes del envío, el mismo proceso se utiliza al contrario para recibirlo. Una vez la aplicación captura los datos de entrada, en este caso la voz, codifica la señal y crea la carga del paquete RTP. Esta es cifrada, usando el algoritmo AES con una llave de 128 bits. También SRTP recomienda utilizar AES en F8 para dispositivos móviles. AES permite recibir paquetes en diferente orden, siendo así una ventaja para las aplicaciones de tiempo real. El algoritmo de autenticación es SHA-1 usando una llave de 160 bits. El MAC se genera computando un hash del mensaje RTP, incluyendo sus cabeceras y la carga cifrada, y ubicando el valor del resultado en la cabecera authentication tag (Tucker, 2005). SRTP utiliza el mismo formato de ensamble de mensajes de RTP con la diferencia en que se agregan dos cabeceras, el MKI (Máster Key Identifier) el cual es usado por el mecanismo de gestión de llaves, más adelante detallado, para identificar la llave maestra, de las sesiones y para verificar la autenticidad de la carga SRTP asociada. El authentication tag es importante para proveer protección de ataques como message replay (Tucker, 2005). Ventajas: • Provee confidencialidad, integridad, y autenticación de la carga del mensaje (el contenido del paquete). • Proporciona protección contra ataques message-replay para RTP y RTCP. • Soporta AES donde la recepción de paquetes no necesariamente es en orden y dependa de ellos para su conocimiento. • Minimiza el consumo de recursos computacionales para la generación de las llaves criptográficas por medio de mecanismos de gestión de llaves. Página 42 Pontificia Universidad Javeriana • Memoria de Trabajo de Grado Proyecto de aplicación práctica Algoritmos de derivación de llaves ayudan a la protección de algunos ataques criptoanalíticos. Limitantes: • La carencia en el cifrado de los encabezados en RTP permite el análisis de tráfico recogiendo información de las cabeceras y extensiones. • No puede mantener la integridad y la autenticación de un mensaje si la transmisión es enviada desde una red IP a una red PSTN. • La actualización de la llave y el procesamiento de la gestión de llaves en un grupo multicast puede verse en gran consumo de recursos, lo cual no es deseable en dispositivos móviles. • Pocos fabricantes lo han implementado como protocolo en sus dispositivos. 3. 5. MECANISMOS DE MANEJO DE CLAVES La gestión de llaves es un parte fundamental a la hora de proteger aplicaciones multimedia como VoIP. El diseño de un protocolo de gestión de llaves es difícil de implementar especialmente para aplicaciones multimedia que utilicen usuarios simultáneos como videoconferencia, o envío de audio, entre varios participantes. Existen diferentes mecanismos como IKE que soporta comunicaciones asincrónicas pero no soportan aplicaciones Internet multimedia para grupos. Por esto la IETF RFC 4046, arquitectura de gestión de llaves en grupo MSEC, define un set de requerimientos para desarrollar protocolos de gestión de llaves (Thermos & Takanen, 2008). A la hora de diseñar un protocolo de intercambio de claves se debe considerar dos aspectos importantes: El primero es el consumo de recursos computacionales debido a que los mecanismos de negociación de llaves utilizan recursos de procesamiento y la memoria, la cual consume energía, crítica para algunos dispositivos por ejemplo PDAs o teléfonos móviles. El segundo es el retardo en el establecimiento de la sesión porque la negociación de claves agrega otra capa de intercambio de mensajes para establecer una sesión segura entre dos o más dispositivos que genera retardo estableciendo la sesión lo cual puede impactar la QoS. Por lo tanto es necesario ser conservador y utilizar el mínimo número de mensajes para negociar las llaves. Página 43 Ingeniería de Sistemas Proyecto de aplicación práctica - CIS0830-SD02 Estos requerimientos hacen énfasis en las propiedades y principios que un protocolo de gestión de llaves debe tener como escalabilidad, políticas de seguridad grupal, asociaciones, es decir llave de cifrado, estados y recuperación (Thermos & Takanen, 2008). Más adelante se hablará de dos protocolos: MIKEY y SRTP Security Descriptions, que vienen siendo implementados por los fabricantes para soportar los requerimientos de seguridad y proveer autenticación, confidencialidad e integridad de la transmisión. Adicionalmente se hablará de ZRTP, protocolo en desarrollo por la IETF que puede ser muy atractivo por sus características. 3. 5. 1 MIKEY MIKEY, (Multimedia Internet KEYing), es un protocolo por la IETF RFC 3830 y fue desarrollado para soportar la negociación de llaves para protocolos de seguridad como SRTP (Secure Real-Time Time Protocol) e IPSec. También minimiza la latencia a la hora de intercambiar llaves criptográficas entre pequeños grupos de redes heterogéneas (Kuhn & Walsh, 2005). Las características relevantes de este protocolo son: • Fácil implementación, desempeño y seguridad debido a su simplicidad. • Minimiza el intercambio de mensajes. • Soporta seguridad extremo a extremo de la gestión de las llaves. • Permite transportar mensajes con diferentes protocolos. • Consume poco ancho de banda y carga computacional. El protocolo puede ser usado en los siguientes modos. • Peer to peer (de uno a uno, unicast) • Simple (de uno a varios multicast) • De varios a varios. Para el transporte e intercambio de llaves se utilizan tres métodos (Kuhn & Walsh, 2005): • Pre-shared secret key (PSK): es utilizado para derivar sub-claves para inscripción en integridad. Página 44 Pontificia Universidad Javeriana • Memoria de Trabajo de Grado Proyecto de aplicación práctica Public key encryption (PKE): El usuario origen genera aleatoriamente una llave cifrada, la cual es enviada al destinatario, usando la llave publica para cifrarla. Este método requiere un poco más de recursos del computador a diferencia de PSK, pero soporta negociación de llaves para comunicación en grupo y provee una mejor escalabilidad en infraestructuras PKI. • Intercambio de llaves Diffie-Hellman (DH): la implementación es opcional. Es el único de los tres que provee PFS (Perfect Forward Secrecy). Este método solo puede ser usado en infraestructuras PKI, para la negociación de llaves peer to peer. 3. 5. 2 SRTP SECURITY DESCRIPTIONS Aunque no es un mecanismo de gestión de llaves como MIKEY, es un excelente mecanismo de negociación de llaves criptográficas para usuarios unicast, utilizando SRTP como transporte. SRTP no soporta transmisión multicast o multipoint (Kuhn & Walsh, 2005). 3. 5. 3 ZRTP Protocolo de acuerdo de llaves que puede soportar SRTP. La diferencia fundamental entre ZRTP y los anteriores en que las llaves criptográficas son negociadas por medio de transmisión RTP por el mismo puerto UDP en vez de utilizar el camino de señalización como hace MIKEY o SDescriptions. La negociación se hace directamente por los extremos sin requerir intermediarios como SIP proxys y también provee la opción de intercambiar materia de llaves por medio de los mensajes de señalización. El protocolo utiliza llaves DH (Diffie-Hellman), para establecer un secreto compartido entre los extremos pero no requiere PKI lo cual lo hace un protocolo atractivo para empresas que no cuentan con esta infraestructura (Douskalis, 1999). Por ahora es un borrador de la IETF pero se espera que en un futuro sea implementado en los diferentes dispositivos de los fabricantes. 3. 6. CONTROLES DE SEGURIDAD EN REDES DE VOIP La seguridad en una red VoIP consta de muchos factores, entre ellos la red. Por esto el enfoque se hará en recomendaciones de arquitectura, mecanismos que soportan autenticación autorización y en algunos componentes que proveen control y protección contra ataques. Página 45 Ingeniería de Sistemas 3. 6. 1 Proyecto de aplicación práctica - CIS0830-SD02 CONSIDERACIONES DE ARQUITECTURA La arquitectura de red es un elemento fundamental para el aseguramiento de la implementación de una red VoIP; una arquitectura VoIP debe incorporar requerimientos como fiabilidad, disponibilidad, confidencialidad, autorización e integridad de los datos. Para esto se debe identificar, priorizar y categorizar los datos y la información que se intercambia por la red según el tipo de acceso que deban tener (Thermos & Takanen, 2008). La implementación de requerimientos de seguridad en una red permite construir un sistema robusto y escalable. Se debe entonces incluir una correcta segmentación de la red, un direccionamiento privado y una administración paralela, es decir que este aislada de los enlaces de servicios para no exponer la administración a un ataque. 3. 6. 2 SEGMENTACIÓN DE RED La segmentación de la red permite controlar la transmisión de datos y el tráfico que viaja entre los componentes. El uso de VLANs permite la segmentación de los distintos servidores, los dispositivos finales y de esta forma restringir la señalización de la transmisión (Thermos & Takanen, 2008). Una buena opción es forzar el filtrado de tráfico por medio de ACLs en los routers y switches. La granularidad depende del tamaño de la red y de los componentes asociados a ella; en grandes empresas, este mecanismo es complicado de implementar debido a la cantidad de usuarios, equipos y tráfico existentes. 3. 6. 3 GESTIÓN DE LA ADMINISTRACIÓN DE LA RED La arquitectura de red debe permitir el acceso al sistema desde la administración out-of-band, es decir, tener enlaces redundantes por medio de la VLAN administrativa la cual debe estar aislada de las otras VLANs donde los servicios están implementados con el fin de reducir la posibilidad de que por medio de algún servicio se pueda acceder a la configuración del sistema por un ataque generado. Con este procedimiento se logra un filtrado granular entre VLANs permitiendo el manejo de la administración, del sistema paralelo y un tráfico más seguro de la red (Douskalis, 1999). Página 46 Pontificia Universidad Javeriana 3. 6. 4 Memoria de Trabajo de Grado Proyecto de aplicación práctica DIRECCIONAMIENTO PRIVADO El direccionamiento privado es otro mecanismo de protección de posibles ataques. Debido a que todos los equipos están conectados a Internet directamente existe NAT, cuya función es traducir las direcciones privadas de cada equipo y lograr la salida a Internet. Esta opción provee seguridad a la red interna de la organización, pues cualquier tráfico malicioso externo que quiera acceder a la organización será filtrado por NAT y será desechado si no existe asociación en la tabla de estados (Douskalis, 1999). 3. 6. 5 DIAMETER: AUTENTICACIÓN, AUTORIZACIÓN Y AUDITORIA. Diameter es una evolución de RADIUS (Remote Authenticaction Dial In User Service) el cual se encarga de validar al usuario, usando su nombre y contraseña o certificado. Es un framework para aplicaciones para el acceso de red o IP móvil. Trabaja en situaciones locales o móviles de Autenticación, Autorización y Auditoría. Provee autenticación y autorización para el uso de los recursos de la red y se usa también para la parte contable en el proceso de facturación. Diameter es un protocolo P2P y es una arquitectura cliente-servidor parecida a SIP (Calhoun & Loughney, 2003). 3. 6. 6 FIREWALLS Y NAT EN VOIP Los firewalls en VoIP ayudan a la protección contra varios ataques, reforzando las políticas de la red controlando el tráfico de entrada y salida, y haciendo uso de NAPT (Network and Port Address Translation). Según (The MITRE Corporation, 2009) NAT ofrece una protección a la organización escondiendo su topología y suprimiendo los ataques desde afuera contra los usuarios dentro de la organización. Aunque los firewalls ofrecen una protección y pueden manejar un sistema VoIP no ofrecen la escalabilidad necesaria para manejar ambientes donde se requieren millones de sesiones simultáneas, para lo cual se utiliza SBC, detallado a continuación. Página 47 Ingeniería de Sistemas 3. 6. 7 Proyecto de aplicación práctica - CIS0830-SD02 SBC: SESSION BORDER CONTROLLERS Una de las principales funciones del SBC consiste en permitir que los servicios SIP sean proporcionados a través de los NAT y firewalls utilizados por la red o el usuario debido a que (Thermos & Takanen, 2008): 1. Generalmente los firewalls pueden abrir y cerrar puertos dinámicamente cuando lo pida la señalización, pero no suelen atender flujos de voz, video o datos no solicitados. 2. Los NATs impiden la comunicación multimedia bidireccional, dado que las direcciones IP privadas y los puertos de los dispositivos cliente (teléfonos IP, etc.) no se direccionan hacia la red pública. Por tanto, las llamadas entrantes no se pueden atender cuando hay NATs o firewalls. Sin embargo, los SBC permiten atravesar NAT/Firewalls sin que sea preciso instalar dispositivos adicionales. Según (Thermos & Takanen, 2008) sus características más importantes son: Seguridad: Los SBC protegen a los principales elementos de la red, como son los softswitches, de ataques externos e identifican a tiempo los ataques maliciosos a la señalización. También suelen tener funciones de ocultar la topología de la red y suprimir de la señalización la información interna de la red de modo que estos detalles privados no se propaguen al exterior. Calidad de Servicio: Por las características de los puntos frontera donde se instalan, los SBC están en un lugar privilegiado para controlar la calidad de las comunicaciones y facilitar el cumplimiento de los SLA (Service Level Agreements). Control de Admisión de la Sesión (de la llamada): Los SBC controlan el número de llamadas simultáneas, su ancho de banda y pueden rechazar nuevas llamadas para no perder la calidad de aquellas que estén en curso. Vigilancia: Los SBCs se ocupan que la señalización sea conforme al medio que se transmite y pueden descartar los excesos que se produzcan. Así se previene que haya robos de servicios y ataques de denegación de servicio, DoS. Liberación del Medio: Hay ocasiones en las que una sesión se puede transportar con absoluta eficacia dentro de la red del usuario sin que tenga que salir a otras redes. En estos casos el SBC hace que el medio fluya directamente entre los dispositivos clientes situados en los extremos de la llamada. Página 48 Pontificia Universidad Javeriana Memoria de Trabajo de Grado Proyecto de aplicación práctica Recalificación de la QoS: Los SBCs analizan y opcionalmente reescriben los parámetros de calidad de los datos del usuario, así el usuario recibe la QoS que haya contratado. Cuando se emplea un SBC en un Punto de Interconexión pueden hacer un mapeo de los parámetros de calidad de un operador a los del otro operador. Limitaciones: Si el SBC recibe un mensaje de señalización o de transmisión cifrado se verá en la necesitad de descifrar el paquete para procesarlo y nuevamente cifrarlo para enviarlo lo que ocasiona la pérdida de la confidencialidad por manipulación del paquete. Soporte para extensiones creadas por usuarios. Algunos los protocolos o mecanismos propietarios no son compatibles con los dispositivos SBC. Si la operación SBC es interrumpida por algún ataque o un mal funcionamiento, el estado de las sesiones se pierde y el procesamiento de paquetes de las sesiones que estaban establecidas se pierde. 3. 6. 8 IDS: TÉCNICAS DE DETECCIÓN DE INTRUSOS Existen dos categorías para clasificar los sistemas de detección de intrusos: basados en firmas y basados en anomalías. Las basadas en firmas identifican actividades maliciosas inspeccionando paquetes individuales y comparando patrones a una firma conocida. Las basadas en anomalías IDS identifican el ataque analizando el tráfico de la red por medio de heurística. Ambas tienen sus ventajas y sus desventajas, pero son muy efectivos cuando se utilizan apropiadamente (Kuhn & Walsh, 2005). Las comunicaciones en VoIP utilizan una combinación de protocolos para retransmitir los mensajes de señalización, pueden utilizar puertos asignados dinámicamente y usar diferentes rutas para la señalización y transmisión, lo que constituye un reto para los IDS, que aunque pueden detectar algunos ataques, no pueden detectarlos todos. Un mecanismo de detección llamado Snort IDS utiliza técnicas basadas en firmas para detectar actividades maliciosas asociadas con señalización SIP que son manejas por medio de reglas (Kuhn & Walsh, 2005). Estas reglas incluyen el manejo de diferentes ataques como inundación, monitoreo de los SIP y otros más. Página 49 Ingeniería de Sistemas 4. ANÁLISIS Proyecto de aplicación práctica - CIS0830-SD02 DE MODELOS Y MEDIDAS DE SEGURIDAD RELEVANTES EN REDES DE VOIP Se ha hablado de los beneficios de la tecnología de voz sobre IP y los graves problemas de seguridad que es posible encontrarse. Los riesgos inherentes del uso de la tecnología VoIP no son muy diferentes de los que nos encontrados en las redes habituales de IP. Desafortunadamente la seguridad no es un punto fuerte en los desarrollos iniciales y en los diseños de hardware para voz, software y protocolos lo que usualmente suele pasar cada vez que aparece una nueva tecnología. Diferentes organizaciones han evaluado de manera general las diferentes características, funcionalidad y propósitos de las redes VoIP y han determinado una serie de sugerencias globales que, debido a la inmadurez de la tecnología, son demasiado generales e imprecisas aunque no dejan de ser útiles y, en un primer paso, requeridas a ser tomadas en cuenta. A continuación se estudian los modelos y medidas de seguridad de diferentes organizaciones dedicadas al establecimiento de seguridad informática, tanto en software como en hardware, y se detallarán sus diferentes recomendaciones. Además se listarán algunos modelos que manejados por fabricantes de dispositivos utilizados en un sistema VoIP. Las vulnerabilidades de software son comunes no solo a un sistema VoIP, o una red IP, sino también un problema que afecta la mayor parte de los sistemas, por lo que se mencionaran algunas recomendaciones que han sido estudiadas y evaluadas por personas expertas a lo largo de los años. 4. 1. RECOMENDACIONES CWE: COMMON WEAKNESS ENUMERATION La CWE en un intento académico reciente por construir una taxonomía de fallas que involucra cualquier tipo de posible deficiencia en el software del sistema (The MITRE Corporation, 2009). Esta basada en la base de datos de CVE (Common Vulnerabilities Exposure). Página 50 Pontificia Universidad Javeriana Memoria de Trabajo de Grado Proyecto de aplicación práctica Provee un conjunto unificado y medible de debilidades de software que permite una eficiente discusión, descripción, selección y uso de herramientas y servicios de seguridad de software que permite encontrar esas debilidades en el código fuente y en los sistemas operativos y un mejor entendimiento y administración de las debilidades del software relacionadas con la arquitectura y diseño. Según (The MITRE Corporation, 2009) su tipología se encuentra dividida en: CWE-01 Insufficient Verification of Data: Insuficiente verificación de la información. CWE-02 Pointer Issues: Asuntos relacionados con los apuntadores. CWE-03 Resource Management Errors: Errores del manejo de los recursos. CWE-04 Race Condition: Condiciones de ejecución. CWE-05 Temporary File Issues: Asuntos relacionados con archivos temporales. CWE-06 Password Management: Administración de contraseñas. CWE-07 Permissions, privileges, and ACL’s: Permisos, privilegios y ACLs. CWE-08 Cryptographic Errors: Errores criptográficos. CWE-09 Randomness and predictability: Aleatoriedad y predictibilidad. CWE-10 Authenticacion Errors: Errores de autenticación. CWE-11 Certificate Issues: Asuntos relacionados con los certificados. CWE-12 Error Handling: Manejo de errores. 4. 2. RECOMENDACIONES OWASP: OPEN WEB APPLICATION SECURITY PROJECT El OWASP (Open Web Application Security Project: Proyecto de Seguridad de Aplicaciones Web Abiertas) es un proyecto de código abierto dedicado a determinar y combatir las causas que hacen que el software sea inseguro. La Fundación OWASP es un organismo sin ánimo de lucro que apoya y gestiona los proyectos e infraestructura de OWASP. La comunidad OWASP está formada por empresas, organizaciones educativas y particulares de todo mundo que constituyen una comunidad de seguridad informática que trabaja para crear artículos, metodologías, documentación, herramientas y tecnologías que se liberan y pueden ser usadas gratuitamente por cualquiera (OWASP Community, 2009) Página 51 Ingeniería de Sistemas Proyecto de aplicación práctica - CIS0830-SD02 OWASP es un nuevo tipo de entidad en el mercado de seguridad informática. Estar libre de presiones corporativas facilita que OWASP proporcione información imparcial, práctica y redituable sobre seguridad de aplicaciones informática. OWASP no está afiliado a ninguna compañía tecnológica, si bien apoya el uso informado de tecnologías de seguridad. OWASP recomienda enfocar la seguridad de aplicaciones informáticas considerando todas sus dimensiones: personas, procesos y tecnologías. Los documentos con más éxito de OWASP incluyen la Guía OWASP y el ampliamente adoptado documento de autoevaluación OWASP Top 10. Las herramientas OWASP más usadas incluyen el entorno de formación WebGoat, la herramienta de pruebas de penetración WebScarab y las utilidades de seguridad para entornos .NET OWASP DotNet. OWASP cuenta con unos 50 locales por todo el mundo y miles de participantes en las listas de correo del proyecto. Según (OWASP Community, 2009) las recomendaciones más destacadas de seguridad enfocadas particularmente a un sistema VoIP están divididas en: OWASP-01 Unvalidated Input Parameters: Parámetros inválidos de entrada. OWASP-02 Cross-Site Scripting Flaws: Defectos de script. OWASP-03 Injection Flaws: Defectos de inyección. OWASP-04 Buffer Overflows: Desbordamiento de búfer. OWASP-05 Denial of Service: Negación de servicio. OWASP-06 Broken Access Control: Control de acceso OWASP-07 Insecure Storage: Almacenamiento inseguro. OWASP-08 Broken Authentication and Session Management: Autenticación destruida y administración de sesión. OWASP-09 Improper Error Handling: Incorrecto manejo de errores. OWASP-10 Insecure Configuration Management: Administración insegura de configuración. Página 52 Pontificia Universidad Javeriana Memoria de Trabajo de Grado Proyecto de aplicación práctica 4. 3. RECOMENDACIONES DEL NIST El National Institute of Standards and Technology (NIST) en su publicación especial 800-58 (Kuhn & Walsh, 2005) proponen una serie de consideraciones prácticas iniciales para la implementación de una red de VoIP segura. Resumiendo (Kuhn & Walsh, 2005) cabe resaltar las siguientes recomendaciones: 1. Desarrollar la arquitectura de red apropiada: a. Independizar en lo posible las redes de voz y datos utilizando servidores DHCP separados para facilitar la detección de intrusos y la protección del firewall. b. Usar autenticación y control de acceso en el sistema gateway que hace interface con el PSTN de la red de voz y en cualquier componente crítico del sistema deshabilitando además el H.323, SIP o cualquier otro protocolo de VoIP de la red de datos. c. Implementar mecanismos para permitir el tráfico de VoIP a través de los firewalls. d. Usar filtros de paquetes con estado para monitorear el estado de las conexiones. e. Usar IPsec o Secure Shell (SSH) para el manejo remoto y la auditoria de accesos. f. Utilizar métodos de inscripción en el router u otro gateway dependiendo del poder computacional de los end-points. 2. Asegurar que la organización ha examinado y puede manejar y mitigar los riesgos relacionados con el manejo de la información, sistemas operativos y la continuidad de sus operaciones esenciales después de implementar el sistema de VoIP. 3. Desarrollar controles físicos apropiados en la red VoIP a menos que se encuentre cifrada. 4. Usar los sistemas de emergencia de energía requeridos para asegurar la operación continua durante apagones o fallas del fluido eléctrico. 5. Utilizar los mecanismos de protección apropiados y firewalls especializados en VoIP. 6. Utilizar productos que hacen uso del WiFi Protected Access 2 (WPA2) en vez de 802.11 Wired Equivalent Protocol (WEP) para las unidades móviles. Página 53 Ingeniería de Sistemas Proyecto de aplicación práctica - CIS0830-SD02 4. 4. RECOMENDACIONES ISO/IEC 27002:2007 ISO/IEC 27000 (ISO, 2005) es un conjunto de estándares desarrollados -o en fase de desarrollo- por la ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña. En (ISO, 2005) se definen: Política de seguridad. Organización de seguridad. Gestión de activos. Seguridad de los recursos humanos. Seguridad física y del entorno. Gestión de comunicaciones y operaciones. Control de acceso. Adquisición, desarrollo y mantenimiento de sistemas de información. Gestión de los incidentes de la seguridad de la información. Gestión de la continuidad del negocio. Cumplimiento de políticas y normatividad legal. Ilustración 10: ISO/IEC 27002:2007 Fuente: (ISO, 2005) Página 54 Pontificia Universidad Javeriana Memoria de Trabajo de Grado Proyecto de aplicación práctica Entre las recomendaciones finales enfocadas a VoIP encontramos. Proteger tráfico de VoIP. Cifrar. Riguroso manejo de llaves. Configurar apropiadamente firewalls. Segmentar tráfico de voz y de datos. Usar servidores proxy delante de los firewalls. Asegurar los IP-PBX’s 4. 5. ITIL La ITIL (IT Infrastructure Library) es un conjunto de publicaciones para las mejores prácticas en la gestión de servicios tecnologías de la información e incluye opciones que pueden ser adoptadas y adaptadas según necesidades, circunstancias y experiencia de cada proveedor de servicios. Sirve como base para el estándar ISO 20000 y es un excelente punto de partida para tener en cuenta a la hora de diseñar la infraestructura tecnología de una empresa (Itil User Community Forum, 2009) 4. 6. COBIT El IT Governance Institute fue establecido por ISACA (Information Systems Audit and Control Association) en 1998 para aclarar y orientar en cuestiones actuales y futuras relativas a la administración, seguridad y aseguramiento TI (ISACA, 2009). Como consecuencia de su rápida difusión internacional, ambas instituciones disponen de una amplia gama de publicaciones y productos diseñados para apoyar una gestión efectiva de las TI en el ámbito de la empresa. Uno de sus documentos más conocidos, referencia a nivel mundial, es CobiT (Objetivos de control para Tecnologías de la Información y Similares). Página 55 Ingeniería de Sistemas Proyecto de aplicación práctica - CIS0830-SD02 Se trata de un marco compatible con ISO 27002 (anterior ISO 17799:2005) y COSO, que incorpora aspectos fundamentales de otros estándares relacionados; por tanto, aquellas empresas y organizaciones que hayan evolucionado según las prácticas señaladas por CobiT están más cerca de adaptarse y lograr la certificación en ISO 27001 (ISACA, 2009). 4. 7. RESUMEN DE RECURSOS A medida que el uso de las redes VoIP se incrementa, ha surgido una gran colección de referencias bibliográficas relacionadas con su seguridad como (Endler & Collier, 2007) o (Thermos & Takanen, 2008), organizaciones específicas relacionadas el tema como Voice over IP Security Alliance (VOIPSA,, 2005) y entidades de capacitación como el SysAdmin, Audit, Network, Security Institute (SANS Institute) (Tucker, 2005) con cursos y currículos especializados en el tema. Realizando una inspección a los recursos anteriores, se pueden resumir sus observaciones en: 1. Identificar los dispositivos de la red VoIP y la infraestructura de soporte tanto externa como interna utilizando una combinación de técnicas de escaneo de UDP, TCP, SNMP e ICMP. 2. Restringir los accesos a los servicios administrativos a través de las reglas estándar en la implementación de firewalls y switches. 3. Cambiar las contraseñas de administrador y nombres de usuario por defecto. 4. Apagar la mayoría de servicios dentro de lo posible. 5. Realizar barridos periódicos de seguridad utilizando escaneos automáticos o manuales. 6. Implementar firewalls y sistemas de prevención de intrusos orientados a redes VoIP. 7. Proteger los dispositivos y servidores de la red VoIP y además la red de datos y su infraestructura de soporte. 8. Utilizar un diseño arquitectónico orientado al soporte de los sistemas de cifrado necesarios usados en toda la sesión VoIP o solamente sobre las porciones inseguras de la red e Internet. Página 56 Pontificia Universidad Javeriana Memoria de Trabajo de Grado Proyecto de aplicación práctica 4. 8. EL MODELO ASTERISK Asterisk es una plataforma de código abierto para comunicaciones que soporta las interfaces tradicionales de telefonía H.323, Session Initiation Protocol (SIP), Media Gateway Control Protocol (MGCP) y Skinny Client Control Protocol (SCCP). Podemos resumir las indicaciones encontradas en su sitio Web y en (Jackson & Clark III, 2007): 1. Minimizar la ocurrencia de DoS asegurando que el software de los teléfonos y servidores IP sea constantemente actualizado a la última versión estable. 2. Utilizar servidores de procesamiento de mensajes encargados de limitar el número de registraciones por minuto de una dirección particular (de o para una dirección IP específica). 3. Implementar herramientas de software que monitoreen el mapeo de los direccionamiento MAC a direcciones IP como Arpwatch para disminuir el daño debido a la manipulación del protocolo ARP. A nivel de la red, este mapeo puede ser codificado en el switch aunque es una tarea administrativa no sostenible a menos que se posea hardware con inspección dinámica de ARP (DAI: Dynamic ARP Inspection). 4. Eliminar los servicios que permiten el cambio de la dirección IP en las terminales sin la necesidad de una contraseña de administrador. Página 57 Ingeniería de Sistemas Proyecto de aplicación práctica - CIS0830-SD02 4. 9. EL MODELO NORTEL Un modelo empresarial Nortel estándar puede ser diagramado: Ilustración 11: Modelo Nortel empresarial Fuente: (NORTEL, 2009) Debido a su complejidad, antes de definir la seguridad del modelo deben ser claros sus componentes y escenarios. Podemos resumir las recomendaciones de NORTEL, empresa reconocida y líder en comunicaciones, en (NORTEL, 2009): 1. Utilizar siempre VLANs separadas para los clientes VoIP independientes de la red de datos. 2. Asegurar todos los elementos incluyendo los dispositivos que aseguran el CORE VoIP como servidores, protocolos y prioridades entre otros Página 58 Pontificia Universidad Javeriana Memoria de Trabajo de Grado Proyecto de aplicación práctica 3. Usar políticas de enrutamiento en routers y switches para forzar el flujo de trafico a través de segmentos de seguridad, firewalls, IDS y SBCs para analizar el tráfico y evitar cualquier tipo de ataque. 4. Instalar servidores VoIP en una separación lógica segura, Secure VoIP Zone, protegida por un firewall interno de alto rendimiento que soporte H.323 and SIP. El firewall actúa como guardián entre todos los dispositivos IP, y los servidores críticos VoIP, asegurando que solo las sesiones específicas sean permitidas previniendo cualquier ataque DoS o de protocolos que pueda poner en riesgo la disponibilidad del sistema. 5. Usar filtros IP en los switches L3 y en los routers de borde para eliminar cualquier ataque malicioso que se pueda originar dentro de la organización y pueda comprometer la red. 6. Utilizar túneles IPSec cuando es necesario el cifrado por WAN y sea permitido ysoportado por el sistema. 7. Deshabilitar los puertos que no se usan en los switches corporativos y afianzar las políticas con el perímetro de seguridad. 8. Apagar cualquier servicio innecesario o aplicación que ejecutada en los servidores VoIP, firewalls, routers o otros dispositivos de la red. 9. Utilizar direcciones IP estáticas para los equipos y dispositivos de la red. Y en caso de usar IP dinámicas, usar un servidor DHCP diferente para las redes de VoIP y de datos. 10. Utilizar un servidor (NTP), Network Time Protocol, para el manejo de los tiempos en la red. 11. Usar listas de acceso, contraseñas y listas de permiso por IP, que permitan restringir el acceso a la administración de dispositivos. 12. Utilizar los servicios de bitácora y habilitar los de los equipos y los sistemas de seguridad para auditar, monitorear, y rastrear cualquier cambio en la configuración de los servidores VoIP, firewalls y otros dispositivos de la red. 13. Configurar un servidor DNS separado que sea utilizado solamente para la administración de las aplicaciones de la red, y los administradores que provean una segura resolución de los nombres de los dispositivos utilizados en la red. Página 59 Ingeniería de Sistemas Proyecto de aplicación práctica - CIS0830-SD02 5. MODELO DE ASEGURAMIENTO Como se ha detallado, existen muchos métodos de implementar un modelo de red VoIP debido a la existencia de una gran variedad de protocolos, arquitecturas, dispositivos, estándares y modelos junto con una larga lista de fabricantes que de una u otra forma nos permiten obtener un excelente core VoIP. En esta sección se definirá un modelo de aseguramiento de una red VoIP para ser implementado en un ambiente real, ya sea en empresas grandes o pequeñas. Las medidas presentadas a continuación son la clave para proveer seguridad en la infraestructura de la red de VoIP de la empresa. La seguridad debe ser vista como un sistema completo y por lo tanto se debe hablar de toda la infraestructura de la empresa debido a que las vulnerabilidades en VoIP existen en el software que se utiliza, en la arquitectura de red sobre la cual trabaja el sistema o en el cuidado con que se manejan los diferentes dispositivos y servicios del mismo. Eliminar la mayor cantidad de vulnerabilidades posibles además de un profundo conocimiento y entendimiento completo de la red junto con una reacción proactiva a la hora de buscar soluciones a nuevas vulnerabilidad que pueda surgir en cualquier lugar de la empresa es tal vez la mejor forma de defensa. El modelo se desarrolla en cinco fases, donde cada una depende de la anterior formando un ciclo constante de aseguramiento sobre la red VoIP de la empresa. La primera fase se enfoca en el diseño de la infraestructura tecnológica de la empresa, este procedimiento debe ser riguroso y muy bien planeado pues constituye la base de todo el sistema. En la segunda fase se identifican todos los activos tecnológicos de la empresa para lo cual se ha creado un conjunto de formatos con el fin de documentar totalmente la infraestructura tecnológica permitiendo su mejor conocimiento y control por parte de sus administradores. En la tercera fase se identifican las vulnerabilidades tecnológicas principales que existen en una red VoIP junto con una posible solución a las mismas. En la fase cuatro se identifican las vulnerabilidades causadas por el comportamiento humano hallando además una estrategia para combatirlas. En la fase cinco se Página 60 Pontificia Universidad Javeriana Memoria de Trabajo de Grado Proyecto de aplicación práctica implementa el modelo PPM de Prevención, Protección y Mitigación para combatir las posibles vulnerabilidades que puedan surgir en cualquier momento. Ilustración 12: Modelo de aseguramiento Prevención Se deben identificar cualquier tipo de riesgo o amenazas proactivamente. Se deben trabajar y evaluar los dispositivos del Core VoIP antes, durante y después de la implementación del sistema. Se debe estudiar los posibles ataques para identificar vulnerabilidades en el sistema. Protección Se debe trabajar proactivamente, protegiendo el sistema VoIP contra amenazas de seguridad durante la implementación. Se debe orientar a una arquitectura VoIP para reducir el impacto en la calidad y confiablidad del sistema. Página 61 Ingeniería de Sistemas Proyecto de aplicación práctica - CIS0830-SD02 Se debe implementar una infraestructura de múltiples capas que proteja la red perimetral. – La utilización de diferentes dispositivos de seguridad y aplicaciones SBCs, IPS e IDS con servidores AAA y motores de cifrado. Lo ideal es que todos estos dispositivos sean coordinados con una aplicación de alto nivel para mostrar un sistema de seguridad unificado de toda la infraestructura VoIP. Mitigación Mantener la disponibilidad de los servicios VoIP, en cuanto se presente alguna amenaza a la infraestructura. Elementos de mitigación en VoIP: o Detección: el uso de IDS, basado en anomalías utilizando diferentes conceptos para la identificación de alguna amenaza. o Correlación: Correlacionar la información que se conoce cuando se detecta una amenaza de los equipos involucrados. Se requiere una taza baja de falsos/positivos en la correlación de los logs, con conocimientos específicos del sistema VoIP. o Respuesta: La respuesta a estos ataques debe ser de forma automática; es la única forma en la cual según políticas establecidas se puede mitigar el ataque responder en tiempo real. Lo primero es diseñar, conocer e implementar una red VoIP robusta y segura en la empresa. 5. 1. DISEÑO DE RED E INFRAESTRUCTURA TECNOLÓGICA La arquitectura de red es un elemento fundamental para el aseguramiento de la implementación de una red VoIP. Una arquitectura VoIP debe incorporar requerimientos como fiabilidad, disponibilidad, confidencialidad, autorización e integridad de los datos para lo cual se debe identificar, priorizar y categorizar los datos y la información que se intercambian por la red identificando los elementos secretos, confidenciales y públicos. Como primera medida para hacer un diseño de infraestructura tecnológica para una empresa, se deben seguir las recomendaciones del estándar ISO/IEC 27000:2007 (ISO, 2005). Página 62 Pontificia Universidad Javeriana Memoria de Trabajo de Grado Proyecto de aplicación práctica La implementación de requerimientos de seguridad en una red permite construir un sistema robusto y escalable. Se debe entonces incluir una correcta segmentación de la red, un direccionamiento privado y una administración paralela, aislada de los enlaces de servicios para no exponerla a un ataque. Las recomendaciones a tener en cuenta a la hora de diseñar e implementar una arquitectura de red VoIP apropiada son: 1. Segmentación de red La segmentación de la red permite controlar la transmisión de datos y el tráfico que viaja entre los componentes. Se puede segmentar el tráfico haciendo usos de VLANs, segmentando los distintos servidores, los dispositivos finales consiguiendo restringir la señalización de las transmisiones. Una buena opción es forzar el filtrado de tráfico por medio de ACLs en los routers y switches; al conocer nuestra red, se pueden construir ACLs conociendo los protocolos usados. Esta granularidad obviamente depende del tamaño de la red y de los componentes asociados a ella; en grandes empresas, este mecanismo es complicado de implementar debido a la cantidad de usuarios, equipos y tráfico existente. 2. Direccionamiento Privado El direccionamiento privado es otro mecanismo de protección de posibles ataques. No todos los equipos están conectados a Internet directamente, por lo cual existe NAT cuya su función es traducir las direcciones privadas de cada equipo y lograr la salida a Internet. Esta opción provee seguridad a la red interna de la organización pues cualquier tráfico malicioso externo que quiera acceder a la organización será filtrado y desechado si no existe asociación en la tabla de estados. 3. Uso de Diameter: Autenticación, Autorización y Auditoria. Se recomienda usar Diameter para la autenticación y autorización del uso de los recursos de la red. 4. Uso de Firewalls Y NAT En VoIP Los firewalls en VoIP ayudan a la protección contra varios ataques, reforzando las políticas de la red controlando el tráfico de entrada y salida, y haciendo uso de NAPT (Network and Port Address Translation). NAT, ofrece una protección a la organización, escondiendo su topología, y suprimiendo ataques desde afuera contra los usuarios dentro de la organización. Página 63 Ingeniería de Sistemas Proyecto de aplicación práctica - CIS0830-SD02 Aunque los firewalls ofrecen una protección y pueden manejar un sistema VoIP, no ofrecen la escalabilidad necesaria para manejar ambientes donde se requiere millones de sesiones simultaneas, por esto se utilizan SBC, su función es manejar varias sesiones. 5. Uso de SBC: Session Border Controllers Una de las principales funciones del SBC consiste en que se pueda proporcionar servicios SIP a través de los NAT y firewalls que tenga la red o el usuario. Los SBC permiten atravesar NAT/firewalls sin que sea preciso instalar dispositivos adicionales. 6. Uso de IDS: Técnicas de detección de intrusos Existen dos categorías para clasificar los sistemas de detección de intrusos, basados en firmas y basados en anomalías. Basado en firmas, identifica actividades maliciosas inspeccionando paquetes individuales, y comparando patrones a una firma conocida. Basada en anomalías IDS identifican el ataque analizando el tráfico de la red por medio de heurística. Los dos tienen sus ventajas y sus desventajas, pero son muy efectivos cuando se utilizan apropiadamente. 7. Integración a una infraestructura de red existente En la mayoría de casos las empresas poseen una infraestructura de datos existente y es necesario integrar la red de voz lo que constituye un desafío debido a que los servicios de voz son más delicados y necesitan una mayor fiabilidad que la red de datos, ya que es una transmisión en tiempo real. Por ejemplo, en el envío de datos por la red si algún paquete se pierde o se cae, es posible reenviarlo mitigando la pérdida ocurrida mientras que en una red de VoIP, si algún paquete se pierde puede traer como consecuencia la caída de la comunicación entre las dos partes. Por eso al integrar una infraestructura VoIP se debe tener en cuenta, cuanto a los temas de fiabilidad: La pérdida de paquetes debido a al congestión de la red o la corrupción de la información. La variación en la demora de la entrega de paquetes que puede resultar en una calidad pobre de la comunicación. La llegada de los paquetes en desorden. En VoIP no podemos re-ensamblar la transmisión ya que sucede en tiempo real y el resultado sería la interrupción del servicio. Página 64 Pontificia Universidad Javeriana Memoria de Trabajo de Grado Proyecto de aplicación práctica Para ayudar a prevenir estos problemas, la red IP debe soportar QoS, calidad del servicio, cuyos mecanismos permitan a los administradores dar prioridad a los paquetes VoIP. Esto significa que la red VoIP exige un mayor esfuerzo a la hora de gestionar y administrar los servicios junto con un mayor nivel de preparación y experticia respecto a una red de datos. 5. 2. IDENTIFICAR Y DOCUMENTAR LA INFRAESTRUCTURA TECNOLÓGICA Hacer un diagrama de la topología de red de la empresa, ubicando los dispositivos, las velocidades de conexión, los canales de comunicación, servidores, estaciones de trabajo, teléfonos y todos los dispositivos que de alguna forma se conecten a la red de la empresa, también el personal y las personas responsables de cada uno de ellos. Para esto se utilizarán los formatos descritos a continuación. 5. 2. 1 TOPOLOGÍA DE RED Se debe detallar en un diagrama la topología de red de la empresa con absolutamente todos los dispositivos que están conectados a ella. Por ejemplo: Ilustración 13: Topología genérica de la red de una empresa Fuente: (Network Secure, 2009) Página 65 Ingeniería de Sistemas 5. 2. 2 Proyecto de aplicación práctica - CIS0830-SD02 CUADROS DE SERVIDORES, DISPOSITIVOS, ESTACIONES DE TRABAJO Se debe elaborar además un cuadro detallado donde se listen todos los servidores, estaciones de trabajo y dispositivos utilizados en la red VoIP donde periódicamente se actualice la siguiente información: Nombre estación de trabajo, dispositivo VoIP. Dominio al que pertenece Dirección IP ID VLAN Especificaciones técnicas Sistema Operativo Servicios de seguridad como antivirus y firewall usados Servicios prestados (en caso de servidores o servicios utilizados en los otros casos). Persona encargada Fecha último mantenimiento o actualización Página 66 Pontificia Universidad Javeriana Memoria de Trabajo de Grado Proyecto de aplicación práctica Página 67 Ingeniería de Sistemas Proyecto de aplicación práctica - CIS0830-SD02 En los siguientes cuadros se debe especificar cada uno de los dispositivos que se encuentran en la red. Cuadro dispositivos para servidores Nombre Dominio Direccion ID Especificaciones Sistema Antivirus, Servicio Persona Fecha ultimo Servidor al que IP Vlan técnicas Operativo firewall que presta encargada mantenimiento pertenece o actualización Cuadro dispositivos para estaciones de trabajo. Nombre Dominio Direccion ID Especificaciones Sistema Antivirus, Servicios Persona Fecha ultimo estación de al que IP Vlan técnicas Operativo firewall que se encargada mantenimiento trabajo, pertenece utilizan o actualización dispositivo VoIP Página 68 Pontificia Universidad Javeriana Memoria de Trabajo de Grado Proyecto de aplicación práctica 5. 3. IDENTIFICAR VULNERABILIDADES TECNOLÓGICAS EN VOIP En la ilustración 7 podemos ver claramente los ataques a los que está expuesta una red VoIP y como cada uno de ellos viola algún principio de seguridad como la confidencialidad, la integridad, la disponibilidad y/o la calidad del servicio. Para evitar estos ataques se debe abordar cada una de las vulnerabilidades que afectan a un sistema VoIP identificando en qué puntos puede surgir un posible ataque. 1. Defectos en el diseño Problemas en el diseño de protocolos y la arquitectura de las redes. Controles de seguridad inadecuados relacionados con: El monitoreo, filtrado y gestión de tráfico de información. La autenticación y autorización del usuario y los dispositivos. La segmentación de red. Los componentes de las políticas de de seguridad. 2. Defectos en la implementación y el desarrollo del software Pobre implementación en el software relacionada con: Los servicios o funciones del sistema operativo y otras interfaces de servicio de la plataforma usadas para la gestión, administración y operación (por ejemplo, SSH, FTP, SNMP, HHTP) Lógica de las aplicaciones, interfaces de aplicación o interfaces de control de aplicaciones (por ejemplo SIP, H.323, RTP). 3. Configuración pobre del sistema Relacionada con: Uso de las configuraciones por defecto. El uso de contraseñas pobres en seguridad. Ausencia de auditorías y bitácoras. Configuraciones inadecuadas en el control de acceso a las redes. Página 69 Ingeniería de Sistemas Proyecto de aplicación práctica - CIS0830-SD02 En los siguientes cuadros mencionaremos cada una de las vulnerabilidades que afectan todo el sistema clasificándolas por Diseño, Implementación y Configuración junto con una solución para mitigarlas. 1. Vulnerabilidades de diseño Vulnerabilidad Descripción Posible ataque Solución Insuficiencia en la El origen y la autenticidad de los datos debe ser Man-in-the Middle Uso de protocolos de seguridad como IPSEC, verificación de data verificado cuando se procesan los mensajes, esta S/MIME DTLS. verificación también incluye chequear la consistencia Uso de la suite de las recomendaciones H.225.0, de los protocolos. H.245 y H.235.x. Uso del protocolo SRTP para la transmisión de datos en tiempo real. Utilización de mecanismos de gestión de llaves como MIKEY, SRTP Security Descriptions o ZRTP. Mal uso de la La vulnerabilidad más común en esta categoría es la Eavesdropping Siempre debemos usar criptografía por seguridad, y Criptografía falla que puede llegar a ocurrir a la hora de cifrar la algoritmos sofisticados, ya que algunos son muy información, así los mecanismos de cifrado estén fáciles de romper. disponibles, la señalización y la transmisión en VoIP es información confidencial, y cualquier atacante que Con una criptografía bien desarrollada la integridad se encuentre en medio de la comunicación puede de los mensajes es garantizada. potencialmente acceder a esta con cualquier programa que pueda decodificar esta información, y escuchar la conversación. Página 70 Pontificia Universidad Javeriana Memoria de Trabajo de Grado Carencia de Cuando un sistema esta caído, porque eventualmente sistemas de respaldo puede llegar a suceder, debe existir un sistema de Proyecto de aplicación práctica Eventualidad Mantener un servicio de respaldo en las comunicaciones de la empresa, un canal redundante respaldo, para que los usuarios puedan nuevamente - Desastre natural para la red, usar los sistemas de emergencia de conectarse. La disponibilidad de los servicios en - Apagón energía requeridos para asegurar la operación telefonía es algo muy crítico por lo cual en algunos - Falla de disco continua durante apagones o fallas del fluido países las redes de telefonía móvil han sido eléctrico, tener un respaldo de la información, como remplazadas por redes más robustas para mantener bases de datos, contraseñas, configuración de los servicios de respaldo diferentes servidores, datos, en un área diferente a la empresa, para evitar perdida de la información vital. 2. Vulnerabilidades de implementación Vulnerabilidad Descripción Posible ataque Fallas en la Las bases de datos, son un componente importante para Suplantación, ejecución VoIP, para los servicios de registro de usuarios y personificación. Solución Si se solicito software adicional para la organización enfocado en el sistema VoIP, contraseñas, se debe ser estricto y paranoico a la hora Software INHOUSE, Validar el software que se de filtrar el contenido que se maneja, la mayoría de utiliza problemas relacionados con fallas de ejecución es el comunicaciones, resultado de el filtrado de los datos de entrada y las prácticas de programación, y buscar todo tipo de practicas inseguras de programación. fallas en la plataforma, para que el sistema no sea para el establecimiento hacer barridos de de las buenas corrupto por esta vulnerabilidad. Fallas de .Los problemas por manipulación de archivos y DoS manipulación, recursos son típicas fallas de implementación, errores Buffer overflows A la hora de manejar archivos confidenciales con información crítica o detalles como la Página 71 Ingeniería de Sistemas archivos y recursos. Proyecto de aplicación práctica - CIS0830-SD02 en la programación por el uso de prácticas inseguras de autenticación de sesión, la implementación debe desarrollo, terminan siendo problemas de seguridad. ser exigente para asegurar buenas medidas de Esta vulnerabilidad es explotada accediendo a ciertos protección como el cifrado y los permisos a archivos como el registro de Windows, archivos del ciertos archivos que se almacenan en datos sistema, y bases de datos. Paquetes malformados con temporales. estructuras y contenido inesperado, incluyendo SIP, Si H.323 SDP, MGCP, RTP, SRTP, RTCP, y cualquier organización enfocado en el sistema VoIP, otra plataforma relacionada con los protocolos de uso Software en VoIP. programación a la hora de desarrollar la se solicito software INHOUSE, adicional Buenas para prácticas la de plataforma de comunicaciones, extensas pruebas por parte de la empresa, enfocado hacia un correcto funcionamiento de la misma. Deterioro en la Muchos problemas en la calidad de la voz están DoS Hacer revisiones de la infraestructura física de la calidad de las relacionados con las conexiones físicas, la perdida de empresa, para un mejor servicio, si es posible, conexiones físicas y paquetes o distorsión en la conectividad IP es actualizar equipos y dispositivos utilizados con la colisión de usualmente debido a la mala infraestructura y el mucha frecuencia. paquetes cableado físico. El cableado y la infraestructura debe ser planeado a futuro, si existe perdida de paquetes en la infraestructura de datos, probablemente la red no sea adecuada para la implementación de VoIP. Página 72 Pontificia Universidad Javeriana Memoria de Trabajo de Grado Proyecto de aplicación práctica 3. Vulnerabilidades de gestión y configuración Vulnerabilidad Descripción Posible ataque Solución Escasez de Los recursos que utiliza un sistema de VoIP no DoS A la hora de diseñar el sistema, exigir los recursos recursos y ancho pueden ser escasos, poca memoria, y capacidad SPIT necesarios, y hacer un estudio de posibles escenarios de banda de procesamiento pueden ser una ventaja mas donde el sistema pueda fallar, de esta forma evitaremos para el atacante de dejar el sistema inservible. una caída del mismo. Mientras hayan pocos usuarios utilizando el Organizar los servicios, gestionarlos correctamente, no sistema siempre estará disponible, pero a la hora siempre deben estar disponibles, se deben administrar de intencionalmente inundar el servicio, o si hay correctamente y auditar la red constantemente para muchos usuarios conectados en cierto momento prevenir cualquier inundación de la red del sistema. que el ancho de banda sea muy limitado el Nombrar un administrador de red que haga un servicio puede caer. seguimiento constante de la red. Implementar perímetros de defensa que pueden eliminar ataques simples como repetición de mensajes, rechazando estas conexiones y manteniendo disponible el ancho de banda. Balanceadores de carga y técnicas de QoS, pueden limitar el daño y mantener un servicio aceptable incluso durante un ataque. Mala gestión de En VoIP, el manejo de la identificación se hace Redirección de contraseña a través del número telefónico o el SIP URI, y la llamadas contraseña para tener acceso al servicio. Esta Utilización de mecanismos de gestión de llaves como MIKEY, SRTP security descriptions, o ZRTP. Capacitaciones y campañas de sensibilización sobre la contraseña es almacenada tanto en el cliente Hijacking (secuestro importancia de la seguridad informática en el puesto de como en el servidor, permitiendo que si alguna de sesiones) trabajo, hacer campañas de seguridad para que las persona toma control de nuestra estación de personas no sean ignorantes en este aspecto tan Página 73 Ingeniería de Sistemas Proyecto de aplicación práctica - CIS0830-SD02 trabajo tiene acceso a esta información Spoofing importante para la empresa. confidencial, y puede tomar control de nuestra sesión, permitiendo cometer cualquier tipo de delito. Mala Los recursos deben ser protegidos de diferentes Fraude administración de perspectivas, ya sea desde la plataforma del permisos y sistema operativo, como la arquitectura de la red Acceso no por parte de las personas encargadas de la misma privilegios escogida. La instalación del software debe ser autorizado (administradores de red). Correcta administración de la infraestructura tecnológica manejado en una plataforma segura, que proteja el material confidencial que se maneja, la En cuanto a la señalización utilizar protocolos seguros. Capacitaciones y campañas de sensibilización sobre la Suplantación importancia de la seguridad informática en el puesto de auditoria del sistema debe manejarse para trabajo, hacer campañas de seguridad para que las monitorear el acceso a ciertos recursos críticos personas no sean ignorantes en este aspecto tan del sistema. importante para la empresa. Los servicios necesariamente de un deben sistema ser VoIP ejecutados no con permisos administrativos, lo cual no pone en peligro algunos servicios críticos del sistema. Inadecuada Los usuarios y los dispositivos en VoIP Hijacking (secuestro Autenticación y necesitan autenticarse, otros servicios como la de sesiones) certificación de gestión o administración también, la mayoría de errores mensajes por la red también lo necesitan, ya que DTLS. Uso de la suite de recomendaciones H.225.0, H.245 y Spoofing los mensajes pueden ser cambiados por medio de la conexión. Uso de protocolos de seguridad como IPSEC, S/MIME H.235.x. Uso del protocolo SRTP para la transmisión de datos en SPIT tiempo real. Estas vulnerabilidades son explotadas por el Utilización de mecanismos de gestión de llaves como atacante permitiéndole accede a los dispositivos MIKEY, SRTP security descriptions, o ZRTP. Página 74 Pontificia Universidad Javeriana VoIP Memoria de Trabajo de Grado reconfigurando y secuestrando Proyecto de aplicación práctica las Capacitaciones de la importancia de la seguridad comunicaciones o simplemente deshabilitando el informática en el puesto de trabajo, hacer campañas de servicio. seguridad para que las personas no sean ignorantes en este aspecto tan importante para la empresa. Incompatibilidad Redes homogéneas Alguna vulnerabilidad impredecible en muchas infraestructuras de red, dependen de Ataque autómata. los fabricantes y la variedad de dispositivos en el Utilizar protocolos de transmisión estándar entre fabricantes para permitir una mejor compatibilidad y DoS. usar protocolos seguros como SRTP, SRCTP mercado, una red que depende de un solo Utilizar Protocolos de gestión de llaves como MIKEY, fabricante está sujeta a un ataque autómata, SRTP Security Descrptions. creado especialmente para esos equipos, un Extensas pruebas por parte de la empresa, enfocado ataque como un virus o un gusano pueden hacer hacia un correcto funcionamiento de la misma. que el sistema deje de funcionar. Por eso es La persona encargada de la infraestructura tecnológica importante estar actualizando el firmware y los de la empresa, debe estar pendiente de las nuevas posibles parches que se van desarrollando por actualizaciones que sacan los fabricantes para sus los diferentes fabricantes así tener los equipos diferentes preparados para cualquier ataque. vulnerabilidad debe ser reportado a los fabricantes para dispositivos, si se encuentra alguna desarrollar un parche o una actualización del firmware o software de los diferentes dispositivos. Página 75 Ingeniería de Sistemas 5. 4. IDENTIFICAR Proyecto de aplicación práctica - CIS0830-SD02 VULNERABILIDADES CAUSADAS POR EL COMPORTAMIENTO HUMANO El recurso humano hace parte fundamental del sistema de seguridad de una empresa. La ingeniería social es un término usado entre crackers para referirse a las técnicas de violación que se sustentan en las debilidades de las personas más que en el software. El objetivo es engañar a la gente para que revele contraseñas u otra información que comprometa la seguridad del sistema (Bernz, 2002). Entre los ataques más comunes relacionados con VoIP tenemos: Caller ID Spoofing e Incoming Call Spoofing: hacer creer al usuario que se es alguien más intentando acceder a información privilegiada. Outgoing Call Redirection: re-direccionamiento de las llamadas salientes. Algunos ejemplos de cómo se puede producir una vulnerabilidad debida a comportamientos humanos son: La ejecución por parte de un usuario de algún archivo anexo proveniente del correo electrónico puede habilitar a un atacante a suplantarlo o a tener acceso a la red de VoIP. Además puede provocar que un softphone corriendo en un computador personal pueda ser infectado por algún virus troyano, software de navegación remota y/o screen rendering. La falta de solicitud de autenticación en las llamadas posibilita la solicitud de contraseñas del teléfono VoIP mediante la personificación del personal de help desk o CRM además de la obtención de información para adivinar las contraseñas mediante encuestas, concursos y falsas actualizaciones de datos. Debido a que en los teléfonos IP las contraseñas son introducidas mediante las teclas del mismo, una política blanda puede llevar al uso de contraseñas de pocos dígitos o de fácil adivinación posibilitando su rápida predicción. Es necesario entonces un entrenamiento detallado a todo el personal de la organización sobre el uso de información y la inducción a la creación de contraseñas “fuertes” para el acceso a la red VoIP con una normatividad obligada en su generación (establecer un mínimo de caracteres con reglas sobre el mínimo de caracteres usados examinando la historia y estructura de las mismas). Página 76 Pontificia Universidad Javeriana Memoria de Trabajo de Grado Proyecto de aplicación práctica La sensibilización sobre los factores de riesgo se vuelve esencial donde un área especializada se encargue de realizar campañas preventivas continuas y se instruya a los usuarios sobre los riesgos inherentes de seguridad. Además de no confiar en los identificadores de llamada que fácilmente pueden ser adulterados. Los sistemas de VoIP deben ser auditados continuamente para asegurar que no han sido comprometidos permitiendo a usuarios maliciosos re-direccionar las llamadas salientes. 5. 5. ELECCIÓN Y DIAGRAMA DE TECNOLOGÍAS USADAS EN EL MODELO A continuación, en la primera ilustración se observa una topología de red VoIP estándar antes de aplicar el modelo de aseguramiento y en segunda ilustración observamos una topología de red aplicando el modelo sugerido en este trabajo de grado que reduce el número de vulnerabilidades y evita posibles ataques a la red VoIP. Ilustración 14: Modelo estándar Página 77 Ingeniería de Sistemas Proyecto de aplicación práctica - CIS0830-SD02 En la ilustración se observa el uso de un firewall, la implementación del Call Manager con los servidores proxy, el empleo de SIP y el IP-PBX, con los terminales pero se observa una infraestructura muy pobre en seguridad. Ilustración 15: Infraestructura Tecnológica Aplicando el modelo Una vez aplicamos el modelo observamos cómo se aplicaron cada una de las fases del mismo: La primera medida en la fase de diseño de red e infraestructura tecnológica es la segmentación de la red aplicando subnetting con el fin de ahorrar direcciones IP y simplificar y agilizar el proceso de enrutamiento para un mejor desempeño y control de la red A continuación se aplican VLANs con el fin de segmentar el tráfico de datos y el de VoIP para un mayor control de cada una de las redes. Después se utilizan listas de control de acceso ACLs en los firewalls y en los router para controlar el tráfico de entrada y salida. Página 78 Pontificia Universidad Javeriana Memoria de Trabajo de Grado Proyecto de aplicación práctica Se implementa además NAT con el fin de utilizar direcciones privadas para evitar un ataque externo a la organización ocultando las direcciones públicas por las que algún atacante pueda alcanzarla. Se fortalece el perímetro y se utilizan dispositivos más eficientes a la hora de controlar el tráfico en VoIP como Session Border Controllers para el manejo de múltiples sesiones seguras en VoIP y se utiliza IDS sobre IPS debido al rendimiento y la eficiencia en redes VoIP basado en firmas, contrario a basados en anomalías, ya que en firmas es posible identificar más fácil haciendo comparaciones con patrones existentes. Se recomienda el el uso de Snort Rules, o reglas Snort, que son reglas estándar y buscan posibles vulnerabilidades en el trafico por medio de los IDS. Una vez diseñada la infraestructura se procede a identificar y documentar todos los activos tecnológicos, incluido el personal encargado de cada uno de ellos, con el fin de poder reconocer en cierto momento alguna posible falencia y mitigarla rápidamente ubicando la infraestructura de forma ágil. En la tercera fase una vez se identifican las diferentes vulnerabilidades tecnológicas a las que está expuesto el sistema VoIP, se procede a mitigarlas con el uso de protocolos seguros, donde se recomienda el uso de SIP como protocolo de señalización por sus ventajas y compatibilidades entre los diferentes fabricante. Se recomienda la utilización de DTLS, a diferencia de TLS, ya que es más seguro, eficiente y evolucionado en seguridad. También se recomienda el uso de SRTP, que mitiga muchas vulnerabilidades que se encontraban en RTP, su antecesor, para el transporte de flujos de dato VoIP y en cuanto al manejo de llaves se utiliza MIKEY que permite una buena compatibilidad a diferencia de security description que necesita una infraestructura PKI que no todas las organizaciones pueden adquirir. Como última medida para asegurar la comunicación de la organización con la red de telefonía pública PSTN, se recomienda el uso de MGCP para una mayor seguridad en el transporte de datos. Página 79 Ingeniería de Sistemas Proyecto de aplicación práctica - CIS0830-SD02 6. PRUEBA DE CONCEPTO DEL MODELO DESARROLLADO Como prueba de concepto se realizó la presentación del modelo a las áreas de Seguridad Informática y de Telecomunicaciones encargadas del proyecto de VoIP de la empresa del sector real donde se validó la aplicabilidad del mismo. La presentación tuvo como objetivo la evaluación y posicionamiento del modelo dentro de una organización real mediante métodos cualitativos de pregunta/respuesta y la ubicación objetiva del modelo dentro de una implementación real. Los especialistas del banco dieron el visto bueno haciendo algunas observaciones importantes a la hora de generar el modelo. La agenda de la presentación fue la siguiente: 1. Trabajo de grado a. Formulación b. Visión Global c. Objetivos 2. VoIP: definición, arquitecturas y protocolos usados 3. Modelo a. Diseño de red e infraestructura tecnológica b. Identificación y documentación de la infraestructura tecnológica c. Identificación de las vulnerabilidades tecnológicas en VoIP d. Identificación de las vulnerabilidades del comportamiento humano 4. Agradecimientos 5. Preguntas Además las personas encargadas realizaron una introducción del proyecto de implementación de VoIP en la empresa y explicaron su desarrollo, etapas, alcances y estado actual. Página 80 Pontificia Universidad Javeriana Memoria de Trabajo de Grado Proyecto de aplicación práctica El modelo fue verificado, retroalimentado y validado con el fin de ser aplicado en el futuro. En los anexos se presenta una carta de conformidad como soporte de este proceso. Página 81 Ingeniería de Sistemas Proyecto de aplicación práctica - CIS0830-SD02 7. CONCLUSIONES La seguridad debe ser vista como un sistema completo y por lo tanto se debe hablar de toda la infraestructura de la empresa debido a que las vulnerabilidades en VoIP existen en el software que se utiliza, en la arquitectura de red sobre la cual trabaja el sistema y en el cuidado con que se manejan los diferentes dispositivos y servicios del mismo. Utilizar seguir las recomendaciones del estándar ISO/IEC 27000:2007 (ISO, 2005) para el diseño de infraestructura tecnológica. Implementar segmentación de red, direccionamiento privado, Diameter, firewalls y NAT en VoIP, SBC e IDS junto con una administración paralela aislada de los enlaces de servicios para prevenir ataques. Conocer en su totalidad los recursos de la red utilizada incluyendo cada uno de sus componentes, características, tecnologías y personal humano encargado. Sensibilizar a todos los usuarios sobre la importancia de usar buenas prácticas relacionadas con la seguridad de la red. Continuamente capacitar sobre el tema y desarrollar campañas sobre la implementación de buenas contraseñas, uso adecuado de los dispositivos y peligros inherentes a su mal uso. El uso de softphones constituye un riesgo de seguridad mayor al uso de teléfonos IP debido a que un softphone trabaja en una infraestructura de red normal la cual debe ser altamente protegida y a que cada teléfono se basa en un software que se instala en un equipo, el cual debe ser protegido de diferentes formas ya que si el equipo es vulnerado, las comunicaciones IP por medio del mismo serán vulneradas y podrá generar algún tipo de ataque no solo a la estación de trabajo sino a toda la red de datos y la red VoIP. Página 82 Pontificia Universidad Javeriana Memoria de Trabajo de Grado Proyecto de aplicación práctica Minimizar el uso de softphones en caso que se tenga una red VoIP utilizando teléfonos IP; en caso contrario, proteger las estaciones de trabajo donde se encuentran instalados los softphones. Página 83 Ingeniería de Sistemas Proyecto de aplicación práctica - CIS0830-SD02 8. BIBLIOGRAFÍA Bernz. (17 de Agosto de 2002). The Complete Social Engineering FAQ! Recuperado el 21 de Marzo de 2009, de http://packetstorm.linuxsecurity.com/docs/social-engineering/ Black, U. D. (1999). Voice Over IP. Prentice Hall PTR. Calhoun, P., & Loughney, J. (2003). Diameter Base Protocol. Network Working Group. Collins, D. (2004). Carrier Grade Voice Over IP. McGraw Hill. Dolores, T. C. (29 de Septiembre de 2004). VoIP. Recuperado el 3 de Enero de 2009, de http://observatorio.cnice.mec.es/modules.php?op=modload&name=News&file=article&sid=219 Douskalis, B. (1999). IP Telephony: The Integration of Robust VolP Services. Prentice Hall PTR. Endler, D., & Collier, M. (2007). Hacking Exposed VoIP: Voice over IP Security Secrets and Solutions. McGraw-Hill/Osborne . Fong, P. J., & Knipp, E. (2002). Configuring Cisco Voice Over IP. Syngress Publishing, Inc. Greene, N., & Ramalho, M. (2000). Media Gateway Control Protocol Architecture and Requirements. Network Working Group. Gutierrez, G. (2008). Seguridad en VoIP: Ataques, Amenazas y Riesgos. Trabajo de grado. Hersent, O., & Petit, J.-P. (2005). IP Telephony: Deploying Voice-over-IP Protocols. John Wiley & Sons Inc. ISACA. (2009). CobiT. Recuperado el 23 de Abril de 2009, de http://www.isaca.org/cobit/ ISO. (14 de Octubre de 2005). ISO/IEC 27001:2005. Itil User Community Forum. (2009). Itil User Community Forum. Recuperado el 17 de Abril de 2009, de http://www.itilcommunity.com/index.php Página 84 Pontificia Universidad Javeriana Memoria de Trabajo de Grado Proyecto de aplicación práctica Jackson, B., & Clark III, C. (2007). Asterisk Hacking. Elsevier, Inc. Kissel, R. (2006). Glossary of Key Information Security Terms. NIST. Kuhn, D. R., & Walsh, T. J. (2005). Security Considerations for Voice Over IP Systems. NIST. Network Secure. (2009). Network Secure. Recuperado el 18 de Abril de 2009, de http://networksecure.com.sv/index.php NORTEL. (2009). Securing Enterprise VoIP. Recuperado el 6 de Abril de 2009, de http://www.nortel.com/support/news/articles/newsarticle080301a.html OWASP Community. (2009). OWASP. Recuperado el 19 de Mayo de 2009, de http://www.owasp.org Romero, S. (6 de Mayo de 2004). Seguridad en el protocolo VoIP. Recuperado el 17 de Mayo de 2009, de http://www.laflecha.net/articulos/seguridad/voip Rosenberg, J., & Schulzrinne, H. (2002). SIP: Session Initiation Protocol. Network Working Group. Tanenbaum, A. (2003). Redes de computadores. Pearson. The MITRE Corporation. (2009). Common Weakness Enumeration. Recuperado el 19 de Mayo de 2009, de http://cwe.mitre.org/ Thermos, P., & Takanen, A. (2008). Securing VoIP Networks. Pearson Education. Todo Sobre Voz IP. (s.f.). Recuperado el 15 de Junio de 2009, de http://www.telefoniavozip.com/index.htm Tucker, G. S. (2005). Voice Over Internet Protocol (VoIP) and Security. SANS Institute. Villalón, J. L. (7 de Marzo de 2008). VoIP: SIP, Autenticación y cracking. Recuperado el 21 de Febrero de 2009, de http://www.securityartwork.es/2008/03/07/voip-sip-autenticacion-y-cracking/ VOIPSA,. (2005). VoIP Security and Privacy Threat Taxonomy. VOIPSA. Página 85 Ingeniería de Sistemas Proyecto de aplicación práctica - CIS0830-SD02 9. ANEXOS 9. 1. ANEXO A: GLOSARIO DE ACRÓNIMOS Y TÉRMINOS VOIP ACRÓNIMOS ADC Analog to Digital Converter (Convertidor de análogo a digital). ATM Asynchronous Transfer Mode (Modo de Transferencia Asíncrona). CCITT Consultative Committee for International Telegraph and Telephone (Comité Consultivo Internacional de Telefonía y Telegrafía) CPE Customer Premises Equipment (Equipo en Instalaciones de Cliente) CTI Computer Telephony Integration (Integración Computador - Telefonía) DAC Digital to Analog Converter (Convertidor de digital a análogo). DiffServ Differentiated Services Internet QoS model (Modelo de Calidad de Servicio en Internet basado en Servicios Diferenciados) DNS Domain Name System (Sistema de Nombres de Dominio) E.164 Recomendación de la ITU-T para la numeración telefónica internacional, eespecialmente para ISDN, BISDN y SMDS. ENUM Telephone Number Mapping (Integración de Números de Teléfono en DNS) FDM Frequency Division Multiplexing (Multiplexado por División de Frecuencia) Página 86 Pontificia Universidad Javeriana Memoria de Trabajo de Grado Proyecto de aplicación práctica FoIP Fax over IP (Fax sobre IP) H.323 Estándar de la ITU-T para voz y videoconferencia interactiva en tiempo real en redes de área local, LAN, e Internet. IETF Internet Engineering Task Force (Grupo de Trabajo de Ingeniería de Internet) IGMP Internet Group Management Protocol (Protocolo de Gestión de Grupos en Internet) IMS Internet Protocol Multimedia Subsystem (Subsistema Multimedia para Protocolo de Internet) IN Intelligent Network (Red Inteligente) IntServ Integrated Services Internet QoS model (Modelo de Calidad de Servicio en Servicios Integrados de Internet) IP Internet Protocol (Protocolo Internet) IP Multicast Extensión del Protocolo Internet para dar soporte a comunicaciones multidifusión IPBX Internet Protocol Private Branch Exchange (Centralita Privada basada en IP) IPSec IP Security (Protocolo de Seguridad IP) ISDN Integrated Services Data Network (Red Digital de Servicios Integrados, RDSI) ISP Internet Service Provider (Proveedor de Servicios Internet, PSI) ITSP Internet Telephony Service Provider (Proveedor de Servicios de Telefonía Internet, PSTI) ITU-T International Telecommunications Union - Telecommunications (Unión Internacional de Telecomunicaciones - Telecomunicaciones) Página 87 Ingeniería de Sistemas Proyecto de aplicación práctica - CIS0830-SD02 LDP Label Distribution Protocol (Protocolo de Distribución de Etiquetas) LSR Label Switching Router (Encaminador de Conmutación de Etiquetas) MBONE Multicast Backbone (Red Troncal de Multidifusión) MCU Multipoint Control Unit (Unidad de Control Multipunto) MEGACO Media Gateway Control (Control de Pasarela de Medios) MGC Media Gateway Controller (Controlador de Pasarela de Medios) MGCP Media Gateway Control Protocol (Protocolo de Control de Pasarela de Medios) MOS Mean Opinion Score (Nota Media de Resultado de Opinión) MPLS Multiprotocol Label Switching (Conmutación de Etiquetas Multiprotocolo) NGN Next Generation Network (Red de Siguiente Generación) OLR Overall Loudness Rating (Índice de Sonoridad Global) PBX Private Branch Exchange (Centralita Telefónica Privada) PCM Pulse Code Modulation (Modulación Pulso Código) PHB Per Hop Behaviour (Comportamiento por Salto) PoP Point of Presence (Punto de Presencia) POTS Plain Old Telephone Service (Servicio Telefónico Tradicional) Página 88 Pontificia Universidad Javeriana Memoria de Trabajo de Grado Proyecto de aplicación práctica PPP Point to Point Protocol (Protocolo Punto a Punto) PSTN Public Switched Telephone Network (Red de Telefonía Conmutada Pública) QoS Quality of Service (Calidad de Servicio) RAS Registration, Authentication and Status (Registro, Autentificación y Estado) RSVP Reservation Protocol (Protocolo de Reserva) RTCP Real Time Control Protocol (Protocolo de Control de Tiempo Real) RTP Real Time Protocol (Protocolo de Tiempo Real) SAP Session Annunciation Protocol (Protocolo de Anuncio de Sesión) SCN Switched Circuit Network (Red de Circuitos Conmutados) SDP Session Description Protocol (Protocolo de Descripción de Sesión) SIP Session Initiation Protocol (Protocolo de Inicio de Sesión) SLA Service Level Agreement (Acuerdo de Nivel de Servicio) SS7 Signalling System Number 7 (Sistemas de Señales número 7) STMR Side Tone Masking Rating (Índice de Enmascaramiento para el Efecto Local) TCP Transmission Control Protocol (Protocolo de Control de Transmisión) TDM Time Division Multiplexing (Multiplexado por División de Tiempo) Página 89 Ingeniería de Sistemas TIPHON Telecommunications Proyecto de aplicación práctica - CIS0830-SD02 and Internet Protocol Harmonization Over Networks (Armonización de Protocolos de Redes de Telecomunicación e Internet) UDP User Datagram Protocol (Protocolo de Datagramas de Usuario) UMTS Universal Mobile Telephone System (Sistema Universal de Telecomunicaciones Móviles) VLAN Virtual Local Area Network (Red de Área Local Virtual) VPN Virtual Private Network (Red Privada Virtual) xDSL Cualquiera de las tecnologías de Líneas de SuscripciónDigital (por ejemplo, ADSL) TÉRMINOS Acuerdo de nivel de servicio (SLA, Service Level Agreement): El SLA, es un contrato entre el proveedor de servicios y el cliente que estipula y compromete al proveedor del servicio a un nivel requerido de servicio. Circuit switching (conmutación de circuitos). Técnica de comunicación en la que se establece un canal (o circuito dedicado) durante toda la duración de la comunicación. La red de conmutación de circuitos más ubicua es la red telefónica, que asigna recursos de comunicaciones (sean segmentos de cable, ranuras de tiempo o frecuencias) dedicados para cada llamada telefónica. Codec (codec). Algoritmo software usado para comprimir/ descomprimir señales de voz o audio. Se caracterizan por varios parámetros como la cantidad de bits, el tamaño de la trama (frame), los retardos de proceso, etc. Algunos ejemplos de codecs típicos son G.711, G.723.1, G.729 o G.726. Dirección IP: Las direcciones IP son el método mediante el cual se identifican los computadores individuales (o, en una interpretación más estricta, las interfaces de red de dichos computadores) dentro de un red TCP/IP. Todas las direcciones IP consisten en cuatro números separados por puntos, donde cada número está entre 0 y 255. Página 90 Pontificia Universidad Javeriana Memoria de Trabajo de Grado Proyecto de aplicación práctica Dirección MAC: dirección del control de acceso a medios (MAC, media Access control). Número de hardware exclusivo de un sistema en una red. Extranet (extranet). Red que permite a una empresa compartir información contenida en su Intranet con otras empresas y con sus clientes. Las extranets transmiten información a través de Internet y por ello incorporan mecanismos de seguridad para proteger los datos. Framework: (plataforma, entorno, marco de trabajo). Desde el punto de vista del desarrollo de software, un framework es una estructura de soporte definida, en la cual otro proyecto de software puede ser organizado y desarrollado. Gatekeeper (portero). Entidad de red H.323 que proporciona traducción de direcciones y controla el acceso a la red de los terminales, pasarelas y MCUs H.323. Puede proporcionar otros servicios como la localización de pasarelas. Gateway (pasarela). Dispositivo empleado para conectar redes que usan diferentes protocolos de comunicación de forma que la información puede pasar de una a otra. En VoIP existen dos tipos principales de pasarelas: la Pasarela de Medios (Media Gateways), para la conversión de datos (voz), y la Pasarela de Señalización (Signalling Gateway), para convertir información de señalización. Gusano (Worm): Es un programa computacional que puede replicarse a si mismo e infectar otros dispositivos conectados a la red. HIDS: IDS Orientados a Host. Un sistema de detección de intrusos orientado a host (Host Intrusion Detection System) monitorea archivos, audita y registra la configuración de una Workstation y puede alertar ante cualquier acceso, modificación, borrado o copia del objeto monitoreado. IDS o Intrusion Detection System: Un sistema de detección de intrusos es usado para detectar todo tipo de tráfico malicioso de red y cualquier comportamiento de una estación de trabajo que no pueda ser detectado por cortafuegos convencionales. Página 91 Ingeniería de Sistemas Proyecto de aplicación práctica - CIS0830-SD02 Impairments (defectos). Efectos que degradan la calidad de la voz cuando se transmite a través de una red. Los defectos típicos los causan el ruido, el retardo el eco o la pérdida de paquetes. Intranet (intranet). Red propia de una organización, diseñada y desarrollada siguiendo los protocolos propios de Internet, en particular el protocolo TCP/IP. Puede tratarse de una red aislada, es decir no conectada a Internet. Jitter (variación de retardo). Es un término que se refiere al nivel de variación de retado que introduce una red. Una red con variación 0 tarda exactamente lo mismo en transferir cada paquete de información, mientras que una red con variación de retardo alta tarda mucho más tiempo en entregar algunos paquetes que en entregar otros. La variación de retardo es importante cuando se envía audio o video, que deben llegar a intervalos regulares si se quieren evitar desajustes o sonidos inintelegibles. Malware: Software diseñado con el fin de generar algún daño al equipo que lo ejecuta. NIST (National Institute of Standards and Technology): Agencia del gobierno de EUA, que es responsable por establecer y proveer estándares de todo tipo, incluyendo estándares de referencia de gases. NOC (Network Operation Center): Representa al centro de operaciones en el cual se realiza el monitoreo y resolución de fallas en una red de servicios. Packet switching (conmutación de paquetes). Técnica de conmutación en la cual los mensajes se dividen en paquetes antes de su envío. A continuación, cada paquete se transmite de forma individual y puede incluso seguir rutas diferentes hasta su destino. Una vez que los paquetes llegan a éste se agrupan para reconstruir el mensaje original. Políticas de Seguridad: Las políticas de seguridad son las reglas y procedimientos que regulan la forma en que una organización previene, protege y maneja los riesgos de diferentes daños. RAID: Redundant Arrays of Independent Disks. Dispositivo con el que pueden utilizarse dos o más discos duros en lugar de uno. Esto permite un mejor desempeño de los discos, recuperación en caso Página 92 Pontificia Universidad Javeriana Memoria de Trabajo de Grado Proyecto de aplicación práctica de errores y tolerancia de fallos. Los discos se colocan de tal forma que en caso de fallo la información del disco defectuoso pasará automáticamente a los otros. Registro o Log: se denomina así a un fichero que registra y almacena todas las acciones de un sistema operativo o aplicación. Rendimiento sobre la inversión (ROI <Return On Investment>): Es calculado tomando el valor de la inversión sostenido al principio del período de ROI comparado con el valor actual. En otros términos: ((Valor actual) - (Valor inicial) + (Ingreso)) / (Valor inicial), dónde (Valor Actual) = (el número de acciones totales actuales) * (el último precio), (Valor inicial) = (número de acciones al principio del período - cualquier porción vendida de acciones) * (el precio del cierre antes de al período) + la "Costo Base" de cualquier acción agregada en este período (Compras, Reinversiones, emisión de acciones, etc), e (Ingreso) = cualquier ingreso como Dividendos o Intereses (no Reinvertidos) y ganancias o pérdidas de ventas en este período. RFP. Request for Proposal. [Petición para propuesta: Documento producido por una empresa buscando bienes o servicios, este documento se entrega a los proveedores para que éstos hagan una propuesta basándose en los criterios especificados por el RFP. Router (encaminador, enrutador). Dispositivo que distribuye tráfico entre redes. La decisión sobre a donde enviar los datos se realiza en base a información de nivel de red y tablas de direccionamiento. Es el nodo básico de una red IP. Script: Los scripts son un conjunto de instrucciones generalmente almacenadas en un archivo de texto que deben ser interpretados línea a línea en tiempo real para su ejecución, se distinguen de los programas, pues deben ser convertidos a un archivo binario ejecutable para correrlos. SNMP (Simple Network Management Protocol): Protocolo que se encarga del direccionamiento de red, se utiliza para grandes redes. Softswitch (conmutación por software). Programa que realiza las funciones de un conmutador telefónico y sustituye a éste al emular muchas de sus funciones de dirigir el tráfico de voz, pero además añade la flexibilidad y las prestaciones propias del tráfico de paquetes. Página 93 Ingeniería de Sistemas Proyecto de aplicación práctica - CIS0830-SD02 Software libre: Programa informático que surge gracias a la colaboración de diversas personas y que permite a los usuarios copiar, modificar o distribuir su contenido sin tener que pagar permisos de propiedad intelectual, bajo ciertas normas de colaboración y uso. SOW: El Manifiesto de Trabajo (Statement of Work = SOW) es la documentación / descripción de los productos o servicios a ser provistos por el proyecto. Página 94 Pontificia Universidad Javeriana Memoria de Trabajo de Grado Proyecto de aplicación práctica 9. 2. ANEXO B: ESTRUCTURA DE LA AUTENTICACIÓN Estructura de la autenticación durante el registro del cliente. 1. El cliente solicita el registro: SIP/2.0 100 Trying Via: SIP/2.0/UDP 192.168.3.21:2051;branch=z9hG4bK- t88fqbra1bie;received=192.168.3.21;rport=2051 From: <sip:[email protected]>;tag=3w6dbu6uyc To: <sip:[email protected]> Call-ID: 3c26700d8165-v62iicjqkocw@snom300-00041325BC30 CSeq: 1 REGISTER User-Agent: Asterisk PBX Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY Supported: replaces Contact: <sip:[email protected]> Content-Length: 0 2. El servidor envía al cliente el desafío: SIP/2.0 401 Unauthorized Via: SIP/2.0/UDP 192.168.3.21:2051;branch=z9hG4bK- e4uj8qvx5f95;received=192.168.3.21;rport=2051 From: <sip:[email protected]>;tag=fegspc9i4c To: <sip:[email protected]>;tag=as4d3ce180 Call-ID: 3c26700d7ef4-x4kkws5ejsgn@snom300-00041325BC30 CSeq: 1 REGISTER User-Agent: PBX Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY Supported: replaces WWW-Authenticate: Digest algorithm=MD5, realm=bernia.s2grupo.es, nonce=5812ed07 Página 95 Ingeniería de Sistemas Proyecto de aplicación práctica - CIS0830-SD02 Content-Length: 0 3. El cliente envía la respuesta al desafío generado por el servidor: REGISTER sip:192.168.3.1 SIP/2.0 Via: SIP/2.0/UDP 192.168.3.21:2051;branch=z9hG4bK-f1jw8puwjx5t;rport From: <sip:[email protected]>;tag=fegspc9i4c To: <sip:[email protected]> Call-ID: 3c26700d7ef4-x4kkws5ejsgn@snom300-00041325BC30 CSeq: 2 REGISTER Max-Forwards: 70 User-Agent: snom300/6.2.3 Supported: gruu Allow-Events: dialog Authorization: Digest username=21, realm=xxxxx.s2grupo.es, nonce=5812ed07, uri=sip:192.168.3.1, response=0d0cdfcd73a9bf6a936e248dc368fcfd, algorithm=md5 Expires: 3600 Content-Length: 0. Página 96 Pontificia Universidad Javeriana Memoria de Trabajo de Grado Proyecto de aplicación práctica 9. 3. ANEXO D: RECOMENDACIONES ISO/IEC 27000:2005 Página 97 Ingeniería de Sistemas Proyecto de aplicación práctica - CIS0830-SD02 9. 4. ANEXO E: CARTA DE CONFORMIDAD Página 98