Seguridad en redes de VoIP

La transmisión de VoIP (Voice over IP —envío de paquetes de voz a través de redes conmutadas mediante el protocolo de Internet o IP—) es una de las tecnologías con un auge conside rable en las telecomunicaciones en la actualidad. Como muchas de las nuevas tecnologías presenta situaciones favorables, así como algunos riesgos o inconvenientes.
El modo en que funciona la VoIP y la telefonía tradicional es totalmente diferente en sus arquitecturas. Mientras la segunda está basada en “circuitos conmutados” que envían la información a través de un canal no compartido, formado por un camino fijo a todo lo largo de la llamada telefónica; la VoIP tiene su fundamento en “paquetes conmutados”, donde se transmite la información fragmentando la llamada de voz en paquetes de datos en red, estructurada por una versatilidad de rutas alternas, sobre un medio compartido.
Comúnmente, los administradores de redes cometen el error de pensar de que al momento de digitalizar la voz y que ésta viaje en paquetes a través de sus instalaciones de red con medidas de seguridad, le sea transferida a la voz dicha seguridad de la red IP, tecnología donde por naturaleza se comparte el medio. Para el buen funcionamiento del servicio VoIP, es necesario reforzar la seguridad de la digitalización de la voz, de manera independiente de la establecida en la red.
El hecho de que la voz esté en un medio compartido que comunica servicios y/o recursos, base del diseño del protocolo IP que no se diseñó para brindar seguridad por sí misma, resulta problemático ofrecer las bases de la seguridad que son: confidencialidad, integridad, autenticidad y disponibilidad.
Estos inconvenientes no significan que la VoIP acarreé mayores problemas que beneficios; gracias a ella se reducen los costos administrativos y de uso de recursos, dentro de una gran flexibilidad de maniobra para las empresas, además de privilegios para todos los usuarios; sólo se deben tener ciertos cuidados en su implementación.
Conformación de una red VoIP
Los sistemas de VoIP cuentan con una amplia variedad de equipos y características, siendo los más importantes los equipos procesadores de llamadas o administradores de llamadas IP facultados para establecer control, acceso y estado de los diferentes integrantes de la red telefónica, además de gateways de voz que sirven de puente entre servicio de VoIP y el servicio local telefónico.
Asimismo, routers encargados de llevar las reglas de tráfico y transporte entre redes IP, firewalls o cortafuegos encomendados para proteger a la red de ataques externos a ésta, y protocolos de señalización telefónica IP basados en un conjunto de estándares que determinan cuáles operaciones (detección de estado, establecimiento de llamada, gestión y mantenimiento de la voz) se efectúan en la red telefónica.
Para servicio de los usuarios existe otra gama de componentes que incluyen teléfonos IP, teléfonos inalámbricos IP (Wi-Fi), softphones (software instalado en PCs que las habilita como teléfonos IP), unidades de conferencia IP e incluso, teléfonos tradicionales.
Al activar una red con VoIP segura, se requiere de una infraestructura de red de paquete conmutada basada en switches, que garantizan un ancho de banda fijo y calidad de servicio (Qos), un ente de control (como un Gatekeeper regido por la señalización H.323 o Proxy SIP Server con señalización SIP –Session Initiation Protocol–, que registran los dispositivos telefónicos IP para acceder al servicio), teléfonos IP y, de manera opcional, una salida a la red local de telefonía a través de un gateway de voz conectado a uno o varios switches. Ejemplo:
Debido a que el medio es compartido con cualquier usuario malintencionado, que tiene el conocimiento y herramientas suficientes como para escuchar el tráfico de voz que viaja en la red. Por ello hay que considerar, en un principio, que no se puede “escuchar” el tráfico en un switch de datos (“conmutador” equipo de interconexión de dispositivos de red) debido a que dispone de una tabla ARP, siendo este protocolo el encomendado de encontrar la dirección hardware o MAC (Media Access Control Address), que es un identificador hexadecimal de 48 bits, único e irrepetible, similar a una huella digital, de tal forma que se asocian Dirección MAC y Dirección IP del dispositivo en red donde al realizarse una petición a una dirección X, sólo responderá X y no todos los que se encuentren conectados al switch, ya que la consulta a la tabla ARP realiza esta tarea. Otra ventaja de la dirección MAC es que permite identificar fácilmente al fabricante de los dispositivos de red.
Además, es imposible que un sniffer común (aplicación de red que tiene habilidad de escuchar todo lo que viaja a través de la red basada en concentradores) conectado a un switch, pueda escuchar a los demás, ya que sólo escucharía el tráfico generado por el mismo.
Para un buen funcionamiento de red VoIP, el administrador debe habilitar estándares de cifrado de la voz, pues existen aplicaciones llamadas switch sniffers, que interfieren con el funcionamiento del switch y lo engañan para desbordar la información hacia un puerto intruso y, sin que el usuario lo note, capturan su conversación de voz.
A su vez, los sniffers pueden escuchar los paquetes de datos que se transmitan dentro del switch, esta técnica se llama ARP Spoofing, que sustituye las MAC de los equipos por la suya, capturando los paquetes y reenviándolos a su destino original sin que el usuario lo note (ver ejemplo).
Dirección IP
Dirección MAC
192.168.1.102
0001E6900069
192.168.1.109
000625108A24
192.168.1.1
001217CDA4B6
192.168.1.104
0030652BB823
192.168.138.254
005056F3C76E
Tabla ARP Normal
Dirección IP
Dirección MAC
192.168.1.102
0001E6900069
192.168.1.109
0001E6900069
192.168.1.1
0001E6900069
192.168.1.104
0001E6900069
192.168.138.254
0001E6900069
Tabla ARP Atacada
Una vez capturados los paquetes de voz se reensamblan mediante otras aplicaciones como VOMIT (Voice Over Misconfigured Internet Telephones), que guarda las conversaciones en archivos WAV, listos para ser escuchados en cualquier reproductor de sonidos. Asimismo, otros productos, como CAIN, combinan técnicas ARP spoofing, sniffer y grabado de voz en archivos WAV, con la finalidad de facilitar esta tarea.
El sistema de seguridad debe contemplar políticas de autenticación e integridad de la fuente de señalización, pues si algún intruso la manipula puede controlar el sistema telefónico e intervenir en la conversación de los usuarios, modificando o fabricando información “falsa” a un usuario o todos los usuarios, además de que manipula las funcionalidades operacionales-administrativas brindadas por el sistema de VoIP, presentándose la posibilidad de ataques informáticos al servicio de telefonía IP.
Actualmente, otra tecnología importante para estos sistemas de comunicación son las redes inalámbricas o Wi-Fi que, por su naturaleza, son inseguras pues el medio compartido es el aire, al cual todos pueden acceder libremente. En ese sentido, cualquiera con un sniffer puede escuchar dicho tráfico, reensamblarlo e interpretarlo; algunos son Kismet, Ethereal, Wireshark o el propio CAIN, por lo cual es mucho más fácil tener ingerencia en esta tecnología que en las mencionadas anteriormente, de tal forma que nuestro sistema de seguridad VoIP debe incluir políticas de configuración segura en los equipos inalámbricos, los cuales son independientes al propio sistema de VoIP.
Cómo brindar seguridad en VoIP.
Las medidas de seguridad con las cuales podemos evitar los peligros de nuestro sistema de VoIP son:
  • Separar la voz y datos en diferentes redes lógicas formando VLAN (Virtual Local Area Network) y segmentar la red. Es como dividir un campo de fútbol en dos partes, A y B, para formar dos campos más pequeños, donde nadie de la mitad B puede jugar en la mitad A, ya que pertenecen a partidos diferentes, de esta manera se segmenta la red y se dedican algunas partes de direcciones IPs con reglas propias para voz y otras para datos, con lo que se separa el tráfico de ambos.
    De esta forma, no se puede escuchar lo que pasa en la parte de voz, además de que se configuran reglas que impiden que alguien ajeno a la red de voz pueda colocar un sniffer, como lo es la autenticación de MAC o portales de seguridad, donde si no se cuenta con un login y password no se puede acceder a la red, colocando al intruso en cuarentena, con lo que se acaban los problemas en esta parte.
  • No solamente hay que considerar estas medidas, también es necesario habilitar protocolos de cifrado para una protección más estricta, que no sea entendible por el intruso o atacante a pesar de que cuente con las herramientas necesarias para su captura y sólo sea comprensible por los interlocutores. Esta operación se lleva a cabo con AES (Advanced Encryption Standard), mediante algoritmos matemáticos con diferentes operaciones de sustitución, desplazamiento, mezcla de estado, etcétera; con la finalidad de garantizar un cifrado fuerte.
    Actualmente se maneja AES 128, lo que significa que su llave de cifrado es de 128 bits, es decir, un 1 seguido de 128 ceros, por lo que descifrar una llave de este tipo llevaría algunos cientos de años y me quedo corto en el número de años. Si la llave cambiara cada cierto tiempo, sería “imposible” poder siquiera descifrar unos cuantos segundos de conversación.
  • Un punto más de seguridad es la señalización, la que puede cifrarse a través de TLS (Transport Layer Security), herramienta que garantiza el servidor donde se registran los dispositivos telefónicos IP, ya que autentica y avala su identidad; en otras palabras: no nos pueden cambiar unos por otros, pues se usan entidades certificadoras como VeriSign que verifican las identidades, garantizando al usuario plena confianza en el servidor o servicio en cuestión, por medio de la generación de llaves privadas y públicas.
    A este sistema de seguridad se le conoce como RSA (Rivest, Shamir y Adleman, creadores del sistema). Tomemos en cuenta el siguiente ejemplo para ver cómo funciona: Miguel envía a Beto una caja abierta sin llave, de la que sólo el primero tiene la llave. Beto la recibe, escribe un mensaje, lo pone en la caja y la cierra (ahora Beto no puede abrir la caja). Beto envía la caja a Miguel, quien la abre con su llave. En este ejemplo, la caja es la llave pública de Miguel, y la llave de la caja es su llave privada.
  • En cuanto a las tecnologías Wi-Fi, existen distintos métodos de cifrado, pero WPA2 Enterprise (Wired Equivalent Privacy-802.11i) es el más seguro, siendo el estándar de seguridad en Wi-Fi que integra confidencialidad, integridad y autenticación del servicio, ya que sólo da acceso a la red inalámbrica si cuenta el usuario con su login y password, usando como algoritmo de cifrado AES 128, de esta manera se protegerá la información que corre por la red inalámbrica de manera rápida y efectiva.
Un detalle importante por observar en la planeación del sistema de seguridad del sistema de VoIP es identificar porqué se utiliza un método de cifrado en vez de otro, ya sea RSA, AES, o alguno otro. Por ejemplo, se elige AES para cifrar la voz y las redes Wi-Fi, porque requieren menor poder de cómputo para su ejecución, al contrario de RSA que maneja llaves más fuertes de 1024 o 2048 bits, lo que exige más tiempo de cómputo y provoca retardos, por lo tanto se sugiere elegir el método más conveniente dada la situación que se afronte, además de tener los cuidados pertinentes ¿Ustedes dejarían las llaves de su carro pegadas? Creo que no. De esta manera, protegemos nuestro derecho de privacidad.

Comentarios

Publicar un comentario

Entradas más populares de este blog

Espectro, estandarización y regularización de redes móviles

Imagen
Se denomina espectro electromagnético a la distribución energética del conjunto de las ondas electromagnéticas.  Los espectros se pueden observar mediante espectroscopios que, además de permitir ver el espectro, permiten realizar medidas sobre el mismo, como son la longitud de onda, la frecuencia y la intensidad de la radiación. Se conoce como estandarización al proceso mediante el cual se realiza una actividad de manera estándar o previamente establecida. El término estandarización proviene del término estándar, aquel que refiere a un modo o método establecido, aceptado y normalmente seguido para realizar determinado tipo de actividades o funciones. Un estándar es un parámetro más o menos esperable para ciertas circunstancias o espacios y es aquello que debe ser seguido en caso de recurrir a algunos tipos de acción.  Espectro  El espectro electromagnético (o simplemente espectro) es el rango de todas las radiaciones electromagnéticas posibles. E...
Leer más

Protocolos de enlace VLAN

Durante todo el proceso de configuración y funcionamiento de una VLAN es necesaria la participación de una serie de protocolos entre los que destacan el IEEE 802.1Q, STP y VTP (cuyo equivalente IEEE es GVRP). El protocolo IEEE 802.1Q se encarga del etiquetado de las tramas que es asociada inmediatamente con la información de la VLAN. El cometido principal de Spanning Tree Protocol (STP) es evitar la aparición de bucles lógicos para que haya un sólo camino entre dos nodos. VTP (VLAN Trunking Protocol) es un protocolo propietario de Cisco que permite una gestión centralizada de todas las VLAN. El protocolo de etiquetado IEEE 802.1Q es el más común para el etiquetado de las VLAN. Antes de su introducción existían varios protocolos propietarios, como el ISL (Inter-Switch Link) de Cisco, una variante del IEEE 802.1Q, y el VLT (Virtual LAN Trunk) de 3Com. El IEEE 802.1Q se caracteriza por utilizar un formato de trama similar a 802.3 (Ethernet) donde solo cambia el valor del ca...
Leer más

Dirección IP Clases A, B, C, D y E

Imagen
Es una etiqueta numérica que identifica, de manera lógica y jerárquica, a un interfaz (elemento de comunicación/conexión) de un dispositivo (habitualmente una computadora) dentro de una red que utilice el protocolo IP (Internet Protocol), que corresponde al nivel de red del protocolo TCP/IP. Dicho número no se ha de confundir con la que es un identificador de 48bits para identificar de forma única a la y no depende del protocolo de conexión utilizado ni de la red. Existen 5 tipos de clases de IP más ciertas direcciones especiales: Red por defecto (default) - La dirección IP de 0.0.0.0 se utiliza para la red por defecto. Clase A - Esta clase es para las redes muy grandes, tales como las de una gran compañía internacional. Del IP con un primer octeto a partir de 1 al 126 son parte de esta clase. Los otros tres octetos son usados para identificar cada anfitrión. Esto significa que hay 126 redes de la clase A con 16,777,214 (224 -2) posibles anfitriones para un total de 2,147,...
Leer más