Seguridad en VoIP
Seguridad en VoIP
Centro de Nuevas Tecnologías de Galicia
8 de mayo de 2013
Seguridad en VoIP
Presentación
• Ponente: Francisco Javier Nóvoa (Grupo Academia Postal)
– En twitter: @fjnovoa_ – http://www.academiapostal.es – http://[email protected]
• Ciclo de Seminarios de Voz sobre IP con Tecnología Cisco (2012-2013)
– Fundamentos de VoIP con Tecnología Cisco (29 de noviembre de 2012) – Despliegue de VoIP en entornos corporativos con Tecnología Cisco (13 de marzo de
2013) – Seguridad en entornos VoIP (08 de mayo de 2013)
• Ciclo de Seminarios sobre Seguridad en Redes (2011-2012)
1. Arquitecturas de Seguridad Perimetral 2. Seguridad en Redes de Área Local 3. Firewalls 4. Redes Privadas Virtuales con IPsec
Seguridad en VoIP
Presentación
• Grupo Academia Postal es Partner de Formación de Cisco en su programa académico, desempeñando los roles de:
– Academia Cisco – Centro de Soporte – Centro de Formación de Instructores
• Formación Oficial del Programa Cisco Networking Academy:
– CCNA, CCNA Security y CCNP
• Otra formación orientada a Certificación Oficiales Cisco: CCNA Voice
• Formación Oficial de otros fabricantes: Microsoft IT Academy Program
• Colaboración con el Centro de Nuevas Tecnologías de Galicia
Seguridad en VoIP
Objetivos
• Dar a conocer las ideas clave relacionadas con la seguridad en entornos IP
• Presentar los componentes básicos de la infraestructura VoIP
• Estrategias de Seguridad Clásicas en Redes IP
• …
• A continuación, Jesús Pérez Rubio de Quobis hablará de aspectos específicos de Seguridad en Aplicaciones VoIP
“Si conoces a tus enemigos y a ti mismo, en cien batallas nunca saldrás derrotado”
(El arte de la guerra)
Seguridad en VoIP
¿Qué es Telefonía IP?
Seguridad en VoIP
Introducción
• Factores que determinan la importancia de VoIP:
– Aceptación del uso de IP como tecnología de transporte – Utilización de redes convergentes que intentan reducir costes – Dependencia de las organizaciones de los servicios de telefonía
• Ataques a los sistemas de VoIP son especialmente problemáticos
• Gran cantidad de amenazas:
– Propios de la red IP – Propios de las aplicaciones de telefonía – Proliferación de herramientas de ataque – Aprovechamiento económico
Seguridad en VoIP
¿Qué es la Telefonía IP?
• Telefonía IP es una tecnología que permite el establecimiento de conversaciones telefónicas utilizando como medio de transporte el protocolo IP
– La voz es muestreada, cuantificada y codificada Se transporta en paquetes IP – Se utilizan 2 tipos de protocolos:
• Protocolos de Transporte de Información (IP) • Protocolos de Señalización Ayudan a establecer la llamada
Seguridad en VoIP
Principales protocolos de VoIP
• Voz sobre IP en el modelo OSI:
Seguridad en VoIP
Principales protocolos de VoIP
• Voz sobre IP en el modelo OSI
– Característica constante: El tráfico de voz se transmite utilizando RTP/UDP. – Características variables: La señalización
• H.323 y SIP definen métodos de señalización de extremo a extremo (end-to-end) • MGCP define un método para separar la función de señalización de la función de
llamada. – MGCP utiliza un “CallAgent” para realizar la señalización de control – El dispositivo central, el “CallAgent”, participa solamente en la configuración
de la llamada – El tráfico de voz, va de dispositivo final a dispositivo final
Seguridad en VoIP
RTP
• Real Time Transport Protocol es un protocolo que opera en capa de sesión (por encima de la capa de transporte) del modelo OSI, sobre UDP
– RTP se ejecuta sobre UDP: • UDP Multiplexación de conexiones (nº de puerto) y comprobación de cabeceras • RTP proporciona: Nº de secuencia y marcas de tiempo Reordenar los
datagramas recibidos (nº de secuencia) y utilizar un pequeño buffer para eliminar el efecto del jitter, proporcionando una reproducción suave del audio
• El campo “payload” de la cabecera RTP indica cuál es la naturaleza del contenido que transporta: audio o vídeo
– Cuando un dispositivo intenta establecer una sesión de audio, RTP elige un puerto aleatorio entre 16.384 y 32.767 para cada flujo RTP
• Los flujos RTP son “símplex”, es decir, solamente transmiten información unidireccionalmente Comunicación bidireccional 2 flujos RTP, uno en cada sentido
• Los números de puerto se mantienen durante toda la sesión
Seguridad en VoIP
RTCP
• Al mismo tiempo que se establecen las conexiones RTP, se establecen también las conexiones RTCP Información estadística de los paquetes que participan en la llamada: Nº de paquetes, retardo, pérdida de paquetes y jitter
– Proporciona información útil, pero el protocolo no es crítico – Utiliza un puerto impar (normalmente el siguiente) del mismo rango que RTP – Intercambia información cada 5 segundos – Ayuda a determinar causas de error
Seguridad en VoIP
Principales protocolos de VoIP
• SIP:
– Es un protocolo IETF que especifica los comandos y respuestas para establecer y finalizar llamadas
– Proporciona servicios de seguridad, proxy y transporte – Junto con SAP y SDP, proporciona información acerca de las sesiones multicast
existentes – Es un protocolo de señalización de extremo a extremo. – Se basa en HTTP y en la utilización del esquema de nombre URL – Es el protocolo de señalización más utilizado en la actualidad
• Skinny Client Control Protocol:
– Es un protocolo de señalización patentado por Cisco – Se utiliza para que los teléfonos IP se registren en el Call Manager y para la
señalización de llamadas a través dicho Call Manager
Seguridad en VoIP
Principales protocolos de VoIP
• H.323:
– Es un protocolo estándar ITU definido para realizar conferencias interactivas. – Se diseñó originalmente para la distribución de multimedia en entornos no orientados a
la conexión. – En la actualidad, es un conjunto de estándares que define todos los aspectos de la
sincronización de voz, vídeo y transmisión de datos – Define la señalización de llamada de extremo a extremo
• MGCP:
– Es un estándar de control de pasarelas PSTN o de dispositivos ligeros (RFC 2705) – Define un protocolo para controlar a las pasarelas de VoIP conectadas da dispositivos
de control de llamadas externos (call agents) – Proporciona capacidad de señalización para dispositivos frontera (pasarelas) menos
costosa. – Evita que los dispositivos deban implementar el conjunto entero de protocolos H.323.
Seguridad en VoIP
Redes de telefonía basada en paquetes: Componentes
Seguridad en VoIP
Redes de telefonía basada en paquetes: Componentes
• Teléfonos: Teléfonos IP, teléfonos software instalados en PCs, teléfonos convencionales
• Gatekeepers: Proporcionan administración y control centralizados del ancho de banda para todos los dispositivos de una determinada zona (“management zone”).
– Es un dispositivo opcional – Proporciona el servicio de “Call Admision Control” (evitar la sobresuscripción) – Traduce números o nombres a direcciones IP para el enrutamiento de llamada (H.323)
• Gateways: Interconectan las redes de VoIP con dispositivos de telefonía tradicional.
– Suelen ser routers con interfaces de voz, a la que se conecta una línea de voz. – Tienen también interfaces de datos que se conectan a la red de VoIP. – Recibe una señal de teléfono por la interfaz de voz, la digitaliza, comprime y
empaqueta en IP y la envía hacia su destino en la red IP. – Realiza la operación contraria cuando recibe paquetes de VoIP dirigidos a un
dispositivo de telefonía tradicional. Ambas operaciones las hace de forma simultánea (full-dúplex).
• Multipoint Control Units: Es un dispositivo necesario para gestionar conferencias (+ de 2 partes). Los participantes envían los datos al MCU y éste los reenvía a todos los destinos.
Seguridad en VoIP
Redes de telefonía basada en paquetes: Componentes
• Servidores de aplicaciones: Proporcionan servicios a los teléfonos IP basados en XML (Cisco Call Manager Attendant Console).
• Call Agents: Proporcionan control de llamadas, CAC, control de ancho de banda y servicios de traducción de direcciones a los teléfonos IP o a las pasarelas “Media Gateway Control Protocol”
– Producto “Call Agent” de Cisco Call Manager • Realiza el seguimiento de todos los dispositivos de la red VoIP • Suele utilizar el protocolo “Skinny Client Control Protocol (SCCP)” para la
señalización a los dispositivos finales • Para pasar la señalización de llamada a las pasarelas se puede utilizar:
– H.323 – MGCP – Session Initiation Protocol (SIP)
• Call Manager actúa en cierto modo como una centralita IP • Dispositivos finales de vídeo: Añaden funcionalidades de vídeo a la voz: Incorporan
elementos para la captura y emisión de vídeo y audio.
Seguridad en VoIP
Seguridad en VoIP
Seguridad en VoIP
Seguridad en VoIP
• La telefonía IP es un servicio en tiempo real que depende del correcto funcionamiento de elementos de las 7 capas del modelo OSI durante el proceso de comunicación
– Infraestructura de red subyacente • Ventajas • Inconvenientes
– En cuanto a la seguridad: • Ataques propios en redes IP • Ataques específicos a aplicaciones de Telefonía IP
• La seguridad en Telefonía IP consiste en proteger todos los componentes del sistema de
Telefonía IP, sobre una infraestructura de red de datos segura, para proporciona tolerancia a fallos, estabilidad y escalabilidad:
– Teléfonos IP, Servidores, Enlaces, Sistemas de Mensajería, Pasarelas,… – Infraestructura de red (LAN/WAN), Red Inalámbrica,…
Seguridad en VoIP
Seguridad en Telefonía IP: Ejemplo
Seguridad en VoIP
Seguridad en Telefonía IP
• Por lo tanto, en primer lugar es necesario proteger la red de datos:
– Arquitecturas de Seguridad Perimetral – Seguridad en Redes de Área Local – Firewalls – Redes Privadas Virtuales con Ipsec
• No debe olvidarse la seguridad en el propio sistema de telefonía IP
• ¿Por qué proliferan los ataque a entornos Telefonía IP?: Motivos económicos:
• Robo de identidad o información • Fraude de llamadas • Espionaje • Interrupción de servicios
Seguridad en VoIP
Seguridad en Telefonía IP
• Elementos clave a proteger:
– La infraestructura de red: • Protección en las redes Ethernet
– Control de acceso, protección de STP, DHCP snooping,… • Protección en las redes WLAN:
– Control de Acceso, Cifrado • Control de tráfico entre diferentes zonas de seguridad
– Seguridad Perimetral – Las conversaciones individuales
• Diferentes tipos de VPN – Autenticación, Cifrado, Integridad
• Continuidad del negocio
• Valor del negocio
Seguridad en VoIP
Cómo Implementar Seguridad en Entornos VoIP
Seguridad en VoIP
Metodología de Seguridad en VoIP
• Las amenazas para un sistema de VoIP son tanto internas como externas
• La estrategia de seguridad a utilizar debe ser multicapa “Defensa en Profundidad”
• Servicios de seguridad básicos:
– Confidencialidad – Integridad – Disponibilidad
• Principios básicos:
– La seguridad de la red es un elemento consustancial a la red de VoIP – La seguridad del sistema de telefonía IP es un elemento fundamental para el buen
funcionamiento de una organización
Seguridad en VoIP
Metodología de Seguridad en VoIP
• Cuando se piensa en un sistema de telefonía IP ¿Qué se piensa en un primer momento que se debe proteger?
– Servicio de Control de llamadas: Dispositivos relacionados: Servidores SIP, Call Managers, Gatekeepers…
– Servicio de Buzón de Voz – Conectividad con la Red Telefónica Pública – Los dispositivos finales VoIP: Teléfonos, Softphones, …
• ¿Cómo proteger estos componentes?
– Autenticación y Cifrado Tráfico de Señalización como al Tráfico RTP – Establecimiento de elementos de control de llamadas – Conferencias Seguras – Enlaces troncales seguros – Etc.
Seguridad en VoIP
Metodología de Seguridad en VoIP
• Pero… ¿Qué pasaría si alguien consiguiese atravesar la defensa que se aplica a los sistemas específicos de VoIP?
• ¿Qué sucedería si un atacante consiguiese hacer “IP spoofing”, “MAC spoofing” o manipular una tabla ARP?
– La seguridad del sistema de Telefonía IP se vería comprometida
• Enfoque:
Seguridad en VoIP
Metodología de Seguridad en VoIP
• La seguridad de los sistemas de Telefonía IP solamente será estable, robusta y escalable si se asienta sobre otro bloque mayor, qué es la “Seguridad de la Red IP sobre la que se despliega el Sistema de Telefonía
– Modelo OSI Estrategia de defensa por capas • Como todo el mundo conoce, antes de proteger cualquier red IP deben contestarse las
siguientes preguntas:
– ¿Cuál es el nivel de seguridad que se requiere? – ¿Cuál es la política de seguridad de la organización?
• Una vez contestadas estas preguntas Planificación y Preparación del Despliegue de Seguridad: Aproximación “bottom-up”
– Considerar la seguridad como parte de la Arquitectura de la Red de Telefonía IP • Análisis de Riesgos + Definición de la Política de Seguridad de la Red VoIP
– Verificar el nivel actual de seguridad de la red Identificar problemas – Garantizar la seguridad física, de capa 2 y capa 3 de la red subyacente – Proteger las aplicaciones de VoIP: Servidores, dispositivos finales, buzones de voz …
Seguridad en VoIP
Metodología de Seguridad en VoIP
• Por lo tanto, la seguridad de un sistema de Telefonía IP descansa sobre cuatro pilares:
– Evaluación de Riesgos • Evaluación del impacto en el negocio de amenazas y vulnerabilidades • Probabilidad de explotación de amenazas • Ayuda a convertir un “gasto” en una “inversión”
– Arquitectura y Diseño de Seguridad • Directivas de seguridad corporativas • Estándares • Decisiones de gestión de riesgo • Recomendaciones de la Industria
– Implementación de los Sistemas de Telefonía IP y de Seguridad de Red • Implementación de procesos y servicios de seguridad, concurrentemente con el
despliegue de los servicios de telefonía – Operación y Mantenimiento de la Red de Telefonía IP
• Monitorización de los sistemas de seguridad y telefonía • Descubrimiento de fallos Mejora Continua
Seguridad en VoIP
Evaluar la Seguridad VoIP y Despliegue de la Política de Seguridad
• Es la capa base de la pirámide de seguridad
• La organización define la estrategia de seguridad corporativa
• Evaluación de la seguridad de red:
– Inventario de los componentes de la red – Ejecución de pruebas de penetración (Pentesting)
• Escáneres de red • Herramientas de manipulación • Herramientas de enumeración de dispositivos
– Fases: • Descubrimiento y recopilación de información: Política de Seguridad de Telefonía
IP y Seguridad Desplegada • Análisis de la Información: Evaluar la efectividad de la solución desplegada • Recomendaciones
Seguridad en VoIP
Evaluar la Seguridad VoIP y Despliegue de la Política de Seguridad
Seguridad en VoIP
Implementación de Seguridad en una Red de Telefonía IP
• “Sin una red IP segura, un sistema de telefonía IP no puede considerarse seguro”
Implementación de seguridad en la red subyacente: 1. Seguridad Física 2. Seguridad en Capa 2 3. Seguridad en Capa 3 4. Seguridad Perimetral
Seguridad en VoIP
Implementación de Seguridad en una Red de Telefonía IP
Seguridad en VoIP
Seguridad Física
• Elementos Implicados en la Seguridad Física:
– Candados, Cámaras, lectores de tarjetas de seguridad, cerraduras… guardias de seguridad
– Elementos propios de una red de soporte para VoIP: routers, switches, servidores, teléfonos, puntos de acceso, etc.
• Control de acceso
• Principales amenazas:
– Destrucción de los mismos – Robo de equipos – Aplicación de procedimientos de recuperación de contraseñas
Seguridad en VoIP
Seguridad de Capa 2
• En los entornos LAN, la seguridad en capa 2 es una de las grandes olvidadas, con el consiguiente riesgo que ello conlleva
– El entorno LAN se considera tradicionalmente como una red interna, y por lo tanto es una red protegida “por defecto”
– No se aplican los mecanismos de seguridad que se deberían • Mecanismos de seguridad a tener en cuenta:
– DHCP Snooping – Autenticación basada en IEEE 802.1x – Limitación de VLANs en los puertos troncales y en los puertos a los que se conectan
los teléfonos IP – Limitación del número de MACs aprendidas por puerto – Control del tráfico de broadcast… – Protección de STP
Seguridad en VoIP
Seguridad de Capa 2
• Amenazas:
– Uso de sniffers para la obtención de contraseñas – Cambio del switch raíz de la topología STP – Bloqueo de los teléfonos IP – Cambio de la pasarela por defecto – Cambio de los servidores que albergan la configuración de los teléfonos IP – Sniffing de conversaciones de telefonía IP – … y muchas otras
• Aplicar medidas de seguridad a partir de la capa 3 no será efectivo si no se considera la
seguridad en capa 2
Seguridad en VoIP
Seguridad de Capa 3
• Establece la conectividad de los dispositivos de VoIP de “extremo a extremo”
• Amenazas en capa 3:
– Ataques de DoS – IP spoofing – Ataques “Man-in-the-middle” – Envenenamiento de rutas – … entre otros
• La protección del intercambio de información en esta capa y de los mecanismos que se
utilizan para establecer cuál es la mejor ruta, son fundamentales para proporcionar seguridad en las capas superiores
Seguridad en VoIP
Seguridad Perimetral
• El perímetro se define como el punto de tránsito entre zonas de diferente nivel de seguridad en una red corporativa
• Zonas de seguridad típicas:
– Red Interna – Red Externa – DMZ
• En este punto deben reforzarse las medidas de seguridad, pues es donde la red corporativa se conecta con redes públicas
• Mecanismos de Defensa: Firewalls, IPS/IDS, Concentradores de VPNs
• Amenazas habituales provenientes de las redes externas:
– Intentos de intrusión – Malware – Explotación de vulnerabilidades – Ataques contra la privacidad e integridad
Seguridad en VoIP
Implementación de Seguridad en las Aplicaciones de VoIP
• Se consideran aplicaciones de VoIP aquellas donde el usuario interactúa utilizando procesos de alto nivel, es decir, son las aplicaciones que permiten que los usuarios “hablen”, realicen “vídeo-llamadas” o cualquier tipo de conferencia
• Las vulnerabilidades existentes en la capa de aplicación NO pueden ser mitigadas por los mecanismos de seguridad de las capas inferiores
Deben asegurarse servicios y aplicaciones de VoIP: • Actualización y parcheo de software • Blindaje de servidores • Comunicaciones cifradas • Autenticación fuerte
• Protocolos Implicados:
– HTTP/HTTPS, TFTP/SFTP, DNS, SMTP, Telnet/SSH/RDP/SNMP, SCCP/SIP/H.323/ MGCP
Seguridad en VoIP
Implementación de Seguridad en las Aplicaciones de VoIP
• Elementos a proteger:
– Dispositivos de Control de Llamada – Elementos relacionados con el sistema de buzones de voz – Elementos de Presencia – Pasarelas – “Gatekeepers” – Dispositivos Finales
Top Related