Your SlideShare is downloading. ×

Seguridad en VoIP con Tecnología Cisco

2,566

Published on

Estas son las transparencias usadas en la Conferencia impartida en el Centro de Nuevas Tecnologías de Galicia el 8 de Mayo de 2013. En ella se abordaron diferentes aspectos específicos relacionados …

Estas son las transparencias usadas en la Conferencia impartida en el Centro de Nuevas Tecnologías de Galicia el 8 de Mayo de 2013. En ella se abordaron diferentes aspectos específicos relacionados con la seguridad en entornos donde se despliegan soluciones de VoIP.
La segunda parte de la charla fue impartida por Jesús Pérez Rubio y puedes ver información al respecto de lo que comentó en la charla en http://nicerosniunos.blogspot.com.es

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
2,566
On Slideshare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
240
Comments
0
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Seguridad en VoIPSeguridad en VoIPCentro de Nuevas Tecnologías de Galicia8 de mayo de 2013
  • 2. Seguridad en VoIPPresentación• Ponente: Francisco Javier Nóvoa (Grupo Academia Postal)– En twitter: @fjnovoa_– http://www.academiapostal.es– http://cisconetworkingspain@blogspot.com• Ciclo de Seminarios de Voz sobre IP con Tecnología Cisco (2012-2013)– Fundamentos de VoIP con Tecnología Cisco (29 de noviembre de 2012)– Despliegue de VoIP en entornos corporativos con Tecnología Cisco (13 de marzo de2013)– Seguridad en entornos VoIP (08 de mayo de 2013)• Ciclo de Seminarios sobre Seguridad en Redes (2011-2012)1. Arquitecturas de Seguridad Perimetral2. Seguridad en Redes de Área Local3. Firewalls4. Redes Privadas Virtuales con IPsec
  • 3. Seguridad en VoIPPresentación• Grupo Academia Postal es Partner de Formación de Cisco en su programa académico,desempeñando los roles de:– Academia Cisco– Centro de Soporte– Centro de Formación de Instructores• Formación Oficial del Programa Cisco Networking Academy:– CCNA, CCNA Security y CCNP• Otra formación orientada a Certificación Oficiales Cisco: CCNA Voice• Formación Oficial de otros fabricantes: Microsoft IT Academy Program• Colaboración con el Centro de Nuevas Tecnologías de Galicia
  • 4. Seguridad en VoIPObjetivos• Dar a conocer las ideas clave relacionadas con la seguridad en entornos IP• Presentar los componentes básicos de la infraestructura VoIP• Estrategias de Seguridad Clásicas en Redes IP• …• A continuación, Jesús Pérez Rubio de Quobis hablará de aspectos específicos deSeguridad en Aplicaciones VoIP“Si conoces a tus enemigos y a ti mismo, en cien batallas nunca saldrás derrotado”(El arte de la guerra)
  • 5. Seguridad en VoIP¿Qué es Telefonía IP?
  • 6. Seguridad en VoIPIntroducción• Factores que determinan la importancia de VoIP:– Aceptación del uso de IP como tecnología de transporte– Utilización de redes convergentes que intentan reducir costes– Dependencia de las organizaciones de los servicios de telefonía• Ataques a los sistemas de VoIP son especialmente problemáticos• Gran cantidad de amenazas:– Propios de la red IP– Propios de las aplicaciones de telefonía– Proliferación de herramientas de ataque– Aprovechamiento económico
  • 7. Seguridad en VoIP¿Qué es la Telefonía IP?• Telefonía IP es una tecnología que permite el establecimiento de conversacionestelefónicas utilizando como medio de transporte el protocolo IP– La voz es muestreada, cuantificada y codificada  Se transporta en paquetes IP– Se utilizan 2 tipos de protocolos:• Protocolos de Transporte de Información (IP)• Protocolos de Señalización  Ayudan a establecer la llamada
  • 8. Seguridad en VoIPPrincipales protocolos de VoIP• Voz sobre IP en el modelo OSI:
  • 9. Seguridad en VoIPPrincipales protocolos de VoIP• Voz sobre IP en el modelo OSI– Característica constante: El tráfico de voz se transmite utilizando RTP/UDP.– Características variables: La señalización• H.323 y SIP definen métodos de señalización de extremo a extremo (end-to-end)• MGCP define un método para separar la función de señalización de la función dellamada.– MGCP utiliza un “CallAgent” para realizar la señalización de control– El dispositivo central, el “CallAgent”, participa solamente en la configuraciónde la llamada– El tráfico de voz, va de dispositivo final a dispositivo final
  • 10. Seguridad en VoIPRTP• Real Time Transport Protocol es un protocolo queopera en capa de sesión (por encima de la capa detransporte) del modelo OSI, sobre UDP– RTP se ejecuta sobre UDP:• UDP  Multiplexación de conexiones (nº de puerto) y comprobación de cabeceras• RTP proporciona: Nº de secuencia y marcas de tiempo  Reordenar losdatagramas recibidos (nº de secuencia) y utilizar un pequeño buffer para eliminarel efecto del jitter, proporcionando una reproducción suave del audio• El campo “payload” de la cabecera RTP indica cuál es la naturaleza del contenidoque transporta: audio o vídeo– Cuando un dispositivo intenta establecer una sesión de audio, RTP elige un puertoaleatorio entre 16.384 y 32.767 para cada flujo RTP• Los flujos RTP son “símplex”, es decir, solamente transmiten informaciónunidireccionalmente  Comunicación bidireccional  2 flujos RTP, uno en cadasentido• Los números de puerto se mantienen durante toda la sesión
  • 11. Seguridad en VoIPRTCP• Al mismo tiempo que se establecen las conexiones RTP, se establecen también lasconexiones RTCP  Información estadística de los paquetes que participan en la llamada:Nº de paquetes, retardo, pérdida de paquetes y jitter– Proporciona información útil, pero el protocolo no es crítico– Utiliza un puerto impar (normalmente el siguiente) del mismo rango que RTP– Intercambia información cada 5 segundos– Ayuda a determinar causas de error
  • 12. Seguridad en VoIPPrincipales protocolos de VoIP• SIP:– Es un protocolo IETF que especifica los comandos y respuestas para establecer yfinalizar llamadas– Proporciona servicios de seguridad, proxy y transporte– Junto con SAP y SDP, proporciona información acerca de las sesiones multicastexistentes– Es un protocolo de señalización de extremo a extremo.– Se basa en HTTP y en la utilización del esquema de nombre URL– Es el protocolo de señalización más utilizado en la actualidad• Skinny Client Control Protocol:– Es un protocolo de señalización patentado por Cisco– Se utiliza para que los teléfonos IP se registren en el Call Manager y para laseñalización de llamadas a través dicho Call Manager
  • 13. Seguridad en VoIPPrincipales protocolos de VoIP• H.323:– Es un protocolo estándar ITU definido para realizar conferencias interactivas.– Se diseñó originalmente para la distribución de multimedia en entornos no orientados ala conexión.– En la actualidad, es un conjunto de estándares que define todos los aspectos de lasincronización de voz, vídeo y transmisión de datos– Define la señalización de llamada de extremo a extremo• MGCP:– Es un estándar de control de pasarelas PSTN o de dispositivos ligeros (RFC 2705)– Define un protocolo para controlar a las pasarelas de VoIP conectadas da dispositivosde control de llamadas externos (call agents)– Proporciona capacidad de señalización para dispositivos frontera (pasarelas) menoscostosa.– Evita que los dispositivos deban implementar el conjunto entero de protocolos H.323.
  • 14. Seguridad en VoIPRedes de telefonía basada en paquetes: Componentes
  • 15. Seguridad en VoIPRedes de telefonía basada en paquetes: Componentes• Teléfonos: Teléfonos IP, teléfonos software instalados en PCs, teléfonos convencionales• Gatekeepers: Proporcionan administración y control centralizados del ancho de banda paratodos los dispositivos de una determinada zona (“management zone”).– Es un dispositivo opcional– Proporciona el servicio de “Call Admision Control” (evitar la sobresuscripción)– Traduce números o nombres a direcciones IP para el enrutamiento de llamada (H.323)• Gateways: Interconectan las redes de VoIP con dispositivos de telefonía tradicional.– Suelen ser routers con interfaces de voz, a la que se conecta una línea de voz.– Tienen también interfaces de datos que se conectan a la red de VoIP.– Recibe una señal de teléfono por la interfaz de voz, la digitaliza, comprime yempaqueta en IP y la envía hacia su destino en la red IP.– Realiza la operación contraria cuando recibe paquetes de VoIP dirigidos a undispositivo de telefonía tradicional. Ambas operaciones las hace de forma simultánea(full-dúplex).• Multipoint Control Units: Es un dispositivo necesario para gestionar conferencias (+ de 2partes). Los participantes envían los datos al MCU y éste los reenvía a todos los destinos.
  • 16. Seguridad en VoIPRedes de telefonía basada en paquetes: Componentes• Servidores de aplicaciones: Proporcionan servicios a los teléfonos IP basados en XML(Cisco Call Manager Attendant Console).• Call Agents: Proporcionan control de llamadas, CAC, control de ancho de banda y serviciosde traducción de direcciones a los teléfonos IP o a las pasarelas “Media Gateway ControlProtocol”– Producto “Call Agent” de Cisco  Call Manager• Realiza el seguimiento de todos los dispositivos de la red VoIP• Suele utilizar el protocolo “Skinny Client Control Protocol (SCCP)” para laseñalización a los dispositivos finales• Para pasar la señalización de llamada a las pasarelas se puede utilizar:– H.323– MGCP– Session Initiation Protocol (SIP)• Call Manager actúa en cierto modo como una centralita IP• Dispositivos finales de vídeo: Añaden funcionalidades de vídeo a la voz: Incorporanelementos para la captura y emisión de vídeo y audio.
  • 17. Seguridad en VoIPSeguridad en VoIP
  • 18. Seguridad en VoIPSeguridad en VoIP• La telefonía IP es un servicio en tiempo real que depende del correcto funcionamiento deelementos de las 7 capas del modelo OSI durante el proceso de comunicación– Infraestructura de red subyacente• Ventajas• Inconvenientes– En cuanto a la seguridad:• Ataques propios en redes IP• Ataques específicos a aplicaciones de Telefonía IP• La seguridad en Telefonía IP consiste en proteger todos los componentes del sistema deTelefonía IP, sobre una infraestructura de red de datos segura, para proporciona toleranciaa fallos, estabilidad y escalabilidad:– Teléfonos IP, Servidores, Enlaces, Sistemas de Mensajería, Pasarelas,…– Infraestructura de red (LAN/WAN), Red Inalámbrica,…
  • 19. Seguridad en VoIPSeguridad en Telefonía IP: Ejemplo
  • 20. Seguridad en VoIPSeguridad en Telefonía IP• Por lo tanto, en primer lugar es necesario proteger la red de datos:– Arquitecturas de Seguridad Perimetral– Seguridad en Redes de Área Local– Firewalls– Redes Privadas Virtuales con Ipsec• No debe olvidarse la seguridad en el propio sistema de telefonía IP• ¿Por qué proliferan los ataque a entornos Telefonía IP?: Motivos económicos:• Robo de identidad o información• Fraude de llamadas• Espionaje• Interrupción de servicios
  • 21. Seguridad en VoIPSeguridad en Telefonía IP• Elementos clave a proteger:– La infraestructura de red:• Protección en las redes Ethernet– Control de acceso, protección de STP, DHCP snooping,…• Protección en las redes WLAN:– Control de Acceso, Cifrado• Control de tráfico entre diferentes zonas de seguridad– Seguridad Perimetral– Las conversaciones individuales• Diferentes tipos de VPN– Autenticación, Cifrado, Integridad• Continuidad del negocio• Valor del negocio
  • 22. Seguridad en VoIPCómo Implementar Seguridad en Entornos VoIP
  • 23. Seguridad en VoIPMetodología de Seguridad en VoIP• Las amenazas para un sistema de VoIP son tanto internas como externas• La estrategia de seguridad a utilizar debe ser multicapa  “Defensa en Profundidad”• Servicios de seguridad básicos:– Confidencialidad– Integridad– Disponibilidad• Principios básicos:– La seguridad de la red es un elemento consustancial a la red de VoIP– La seguridad del sistema de telefonía IP es un elemento fundamental para el buenfuncionamiento de una organización
  • 24. Seguridad en VoIPMetodología de Seguridad en VoIP• Cuando se piensa en un sistema de telefonía IP ¿Qué se piensa en un primer momentoque se debe proteger?– Servicio de Control de llamadas: Dispositivos relacionados: Servidores SIP, CallManagers, Gatekeepers…– Servicio de Buzón de Voz– Conectividad con la Red Telefónica Pública– Los dispositivos finales VoIP: Teléfonos, Softphones, …• ¿Cómo proteger estos componentes?– Autenticación y Cifrado  Tráfico de Señalización como al Tráfico RTP– Establecimiento de elementos de control de llamadas– Conferencias Seguras– Enlaces troncales seguros– Etc.
  • 25. Seguridad en VoIPMetodología de Seguridad en VoIP• Pero… ¿Qué pasaría si alguien consiguiese atravesar la defensa que se aplica a lossistemas específicos de VoIP?• ¿Qué sucedería si un atacante consiguiese hacer “IP spoofing”, “MAC spoofing” omanipular una tabla ARP?– La seguridad del sistema de Telefonía IP se vería comprometida• Enfoque:
  • 26. Seguridad en VoIPMetodología de Seguridad en VoIP• La seguridad de los sistemas de Telefonía IP solamente será estable, robusta y escalable sise asienta sobre otro bloque mayor, qué es la “Seguridad de la Red IP sobre la que sedespliega el Sistema de Telefonía– Modelo OSI  Estrategia de defensa por capas• Como todo el mundo conoce, antes de proteger cualquier red IP deben contestarse lassiguientes preguntas:– ¿Cuál es el nivel de seguridad que se requiere?– ¿Cuál es la política de seguridad de la organización?• Una vez contestadas estas preguntas  Planificación y Preparación del Despliegue deSeguridad: Aproximación “bottom-up”– Considerar la seguridad como parte de la Arquitectura de la Red de Telefonía IP• Análisis de Riesgos + Definición de la Política de Seguridad de la Red VoIP– Verificar el nivel actual de seguridad de la red  Identificar problemas– Garantizar la seguridad física, de capa 2 y capa 3 de la red subyacente– Proteger las aplicaciones de VoIP: Servidores, dispositivos finales, buzones de voz …
  • 27. Seguridad en VoIPMetodología de Seguridad en VoIP• Por lo tanto, la seguridad de un sistema de Telefonía IP descansa sobre cuatro pilares:– Evaluación de Riesgos• Evaluación del impacto en el negocio de amenazas y vulnerabilidades• Probabilidad de explotación de amenazas• Ayuda a convertir un “gasto” en una “inversión”– Arquitectura y Diseño de Seguridad• Directivas de seguridad corporativas• Estándares• Decisiones de gestión de riesgo• Recomendaciones de la Industria– Implementación de los Sistemas de Telefonía IP y de Seguridad de Red• Implementación de procesos y servicios de seguridad, concurrentemente con eldespliegue de los servicios de telefonía– Operación y Mantenimiento de la Red de Telefonía IP• Monitorización de los sistemas de seguridad y telefonía• Descubrimiento de fallos  Mejora Continua
  • 28. Seguridad en VoIPEvaluar la Seguridad VoIP y Despliegue de la Política de Seguridad• Es la capa base de la pirámide de seguridad• La organización define la estrategia de seguridad corporativa• Evaluación de la seguridad de red:– Inventario de los componentes de la red– Ejecución de pruebas de penetración (Pentesting)• Escáneres de red• Herramientas de manipulación• Herramientas de enumeración de dispositivos– Fases:• Descubrimiento y recopilación de información: Política de Seguridad de TelefoníaIP y Seguridad Desplegada• Análisis de la Información: Evaluar la efectividad de la solución desplegada• Recomendaciones
  • 29. Seguridad en VoIPEvaluar la Seguridad VoIP y Despliegue de la Política de Seguridad
  • 30. Seguridad en VoIPImplementación de Seguridad en una Red de Telefonía IP• “Sin una red IP segura, un sistema de telefonía IP no puede considerarse seguro” Implementación de seguridad en la red subyacente:1. Seguridad Física2. Seguridad en Capa 23. Seguridad en Capa 34. Seguridad Perimetral
  • 31. Seguridad en VoIPImplementación de Seguridad en una Red de Telefonía IP
  • 32. Seguridad en VoIPSeguridad Física• Elementos Implicados en la Seguridad Física:– Candados, Cámaras, lectores de tarjetas de seguridad, cerraduras… guardias deseguridad– Elementos propios de una red de soporte para VoIP: routers, switches, servidores,teléfonos, puntos de acceso, etc.• Control de acceso• Principales amenazas:– Destrucción de los mismos– Robo de equipos– Aplicación de procedimientos de recuperación de contraseñas
  • 33. Seguridad en VoIPSeguridad de Capa 2• En los entornos LAN, la seguridad en capa 2 es una de las grandes olvidadas, con elconsiguiente riesgo que ello conlleva– El entorno LAN se considera tradicionalmente como una red interna, y por lo tanto esuna red protegida “por defecto”– No se aplican los mecanismos de seguridad que se deberían• Mecanismos de seguridad a tener en cuenta:– DHCP Snooping– Autenticación basada en IEEE 802.1x– Limitación de VLANs en los puertos troncales y en los puertos a los que se conectanlos teléfonos IP– Limitación del número de MACs aprendidas por puerto– Control del tráfico de broadcast…– Protección de STP
  • 34. Seguridad en VoIPSeguridad de Capa 2• Amenazas:– Uso de sniffers para la obtención de contraseñas– Cambio del switch raíz de la topología STP– Bloqueo de los teléfonos IP– Cambio de la pasarela por defecto– Cambio de los servidores que albergan la configuración de los teléfonos IP– Sniffing de conversaciones de telefonía IP– … y muchas otras• Aplicar medidas de seguridad a partir de la capa 3 no será efectivo si no se considera laseguridad en capa 2
  • 35. Seguridad en VoIPSeguridad de Capa 3• Establece la conectividad de los dispositivos de VoIP de “extremo a extremo”• Amenazas en capa 3:– Ataques de DoS– IP spoofing– Ataques “Man-in-the-middle”– Envenenamiento de rutas– … entre otros• La protección del intercambio de información en esta capa y de los mecanismos que seutilizan para establecer cuál es la mejor ruta, son fundamentales para proporcionarseguridad en las capas superiores
  • 36. Seguridad en VoIPSeguridad Perimetral• El perímetro se define como el punto de tránsito entre zonas de diferente nivel de seguridaden una red corporativa• Zonas de seguridad típicas:– Red Interna– Red Externa– DMZ• En este punto deben reforzarse las medidas de seguridad, pues es donde la red corporativase conecta con redes públicas• Mecanismos de Defensa: Firewalls, IPS/IDS, Concentradores de VPNs• Amenazas habituales provenientes de las redes externas:– Intentos de intrusión– Malware– Explotación de vulnerabilidades– Ataques contra la privacidad e integridad
  • 37. Seguridad en VoIPImplementación de Seguridad en las Aplicaciones de VoIP• Se consideran aplicaciones de VoIP aquellas donde el usuario interactúa utilizandoprocesos de alto nivel, es decir, son las aplicaciones que permiten que los usuarios“hablen”, realicen “vídeo-llamadas” o cualquier tipo de conferencia• Las vulnerabilidades existentes en la capa de aplicación NO pueden ser mitigadas por losmecanismos de seguridad de las capas inferiores Deben asegurarse servicios y aplicaciones de VoIP:• Actualización y parcheo de software• Blindaje de servidores• Comunicaciones cifradas• Autenticación fuerte• Protocolos Implicados:– HTTP/HTTPS, TFTP/SFTP, DNS, SMTP, Telnet/SSH/RDP/SNMP, SCCP/SIP/H.323/MGCP
  • 38. Seguridad en VoIPImplementación de Seguridad en las Aplicaciones de VoIP• Elementos a proteger:– Dispositivos de Control de Llamada– Elementos relacionados con el sistema de buzones de voz– Elementos de Presencia– Pasarelas– “Gatekeepers”– Dispositivos Finales

×