Your SlideShare is downloading. ×
0
¿Es segura mi red de VoIP?
ÍNDICE                                ATAQUES           IAGO SOTO                                                  CMO @ Q...
SOBRE QUOBIS                                Corporate Headquarters                                Pol industrial A Granxa ...
SOBRE QUOBIS                                                  Larger                                                      ...
INTRODUCCION      ¿ES LA SEGURIDAD UN PROBLEMA EN VOIP?          Sí, y ya lo era con la telefonía convencional (phreaking)...
INTRODUCCION      ¿ES LA SEGURIDAD UN PROBLEMA EN VOIP?          ●La seguridad completa no existe... pero hay que         ...
INTRODUCCION      ESTADÍSTICAS SOBRE SEGURIDAD EN VOIP               En un estudio(*) realizado sobre 1.2M de IPs española...
ATAQUES   INTERCONEXIÓN
ATAQUESDENEGACIÓN DE SERVICIO        El objetivo de un ataque de DoS es degradar la        calidad del servicio que perci...
ATAQUESFRAUDE EN LLAMADAS    El objetivo es que un atacante se registre en el sistemas con un usuario válido    (a través ...
ATAQUESESCUCHAS ILEGALES                                Debido a su naturaleza IP es más sencillo                         ...
ATAQUESCONTROL ILEGAL                                Si un atacante consigue las credenciales de un usuario               ...
ATAQUESMETODOLOGÍA DE UN ATAQUE VOIP                                1.- Sondeo y localización.                            ...
ATAQUESMETODOLOGÍA DE UN ATAQUE VOIP          1.- Sondeo y localización.          Objetivo: identificar IPs y puertos con ...
ATAQUESMETODOLOGÍA DE UN ATAQUE VOIP          2.- Identificación y planificación ataque.          Objetivo: averiguar qué ...
ATAQUESMETODOLOGÍA DE UN ATAQUE VOIP           3.- Ataque de fuerza bruta.           Objetivo: obtener usuarios y password...
ATAQUESMETODOLOGÍA DE UN ATAQUE VOIP          4.- Acto criminal.          Objetivo: casi siempre, ganar dinero con llamada...
ATAQUESOTROS PUNTOS DE ENTRADA                                1.- SIP trunk contra proveedor: si no se                    ...
INTERCONEXIÓNDEFENSA
PROTECCIÓNDISEÑO DE LA INFRAESTRUCTURA      La primera de la medidas para fijar un estándar de protección es dotar a al re...
PROTECCIÓNTECNOLOGÍAS SEGURAS. ENCRIPTACIÓN Podemos mejorar la seguridad y confianza de la red VoIP mediante técnicas de ...
PROTECCIÓNTECNOLOGÍAS SEGURAS . TLS, SRTP Y ZRTP      1. TLS (Transport Layer Security)      • Dificulta en gran medida lo...
PROTECCIÓNSESSION BORDER CONTROLLERS    Los SBC son los elementos de red diseñados específicamente para garantizar la    I...
PROTECCIÓNSBC. Punto de acceso y enrutamiento                                                                             ...
PROTECCIÓNSESSION BORDER CONTROLLERS. Control QoSYa que el tráfico SIP o H323 atraviesa el SBC, éste puede controlar de fo...
PROTECCIÓNSESSION BORDER CONTROLLERS. Duplicación de tráfico      Los SBC no son un grabador de llamadas, pero permiten re...
PROTECCIÓNEjemplo de sistema: IDENTITYCALLQuobis Networks SLUTodos los derechos reservados      27
PROTECCIÓNEjemplo de sistema: IDENTITYCALL Posibilidad de garantizar la identidad de los interlocutores, ya que el usuari...
MONITORIZACIÓN    Además de medidas de seguridad preventiva es importante tener una    monitorización absoluta de la red, ...
MONITORIZACIÓNPALLADION. INTRODUCCIÓN Solución de troubleshooting y monitorización de usuarios en redes NGN Orientada a ...
MONITORIZACIÓNPALLADION. INTRODUCCIÓN    Monitorización y testeo de los niveles de calidad y seguridad en redes de voz de ...
MONITORIZACIÓNPALLADION. EJEMPLO     Troubleshooting.     Problema: el usuario A dice que no es capaz de realizar algunas ...
MONITORIZACIÓNPALLADION. EJEMPLO     Fraud Detection and Prevention.     Problema: el usuario ha excedido un umbral fijado...
INTERCONEXIÓNROBUSTEZ
ROBUSTEZALTA DISPONIBILIDAD          Los sistemas deben ser lo más robustos          posibles para minimizar los tiempos d...
ROBUSTEZALTA DISPONIBILIDAD          Para garantizar Alta Disponibilidad los          sitemas siempre se redundan. Esta   ...
EN RESUMEN                                ATAQUES                                  • Denegación de servicio               ...
QUOBIS NETWORKS  Pol. A Granxa P.260 36400 Porriño (Spain)  Tlf. +34 902 999 465 Sip://sip.quobis.com   www.quobis.com
Upcoming SlideShare
Loading in...5
×

Webinar seguridad VoIP

1,479

Published on

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,479
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
37
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Transcript of "Webinar seguridad VoIP"

  1. 1. ¿Es segura mi red de VoIP?
  2. 2. ÍNDICE ATAQUES IAGO SOTO CMO @ Quobis Iago.soto@quobis.com @iagosoto DEFENSA ANTÓN ROMÁN CTO @ Quobis anton.roman@quobis.com @antonroman ROBUSTEZ preguntas y respuestasQuobis Networks SLUTodos los derechos reservados 2
  3. 3. SOBRE QUOBIS Corporate Headquarters Pol industrial A Granxa P260 36400 O Porrino Spain Tel: +34-902-999-465Quobis Networks SLUTodos los derechos reservados 3
  4. 4. SOBRE QUOBIS Larger TELCOS ENTERPRISE INTERCONNECTION & BORDER MANAGEMENT VOIP SECURITY AND ENCRYPTION Including SERVICE ASSURANCE & Managed OPTIMIZATION services SOFTSWITCHING & IP Professional services using CENTREX SYSTEMS opensource solutions MULTI-TENANT APPLICATION SERVERS MCU MTRP C2C AUTH Powered byQuobis Networks SLU Multiconference Call recording Click to Call IdentityCall: callTodos los derechos reservados authentication 4
  5. 5. INTRODUCCION ¿ES LA SEGURIDAD UN PROBLEMA EN VOIP? Sí, y ya lo era con la telefonía convencional (phreaking). La tecnología IP facilita la convergencia de servicios sobre la infraestructura de datos reduciendo costes y aumentando servicios, pero facilita la accesibilidad y los ataques a sistemas desprotegidos. Hay muchos puntos de ataque en un sistema. Un ataque en VoIP provoca un perjuicio económico de manera inmediata al atacado y un beneficio económico directo al atacante. Esto no ocurre con otro tipo de ataques.Quobis Networks SLUTodos los derechos reservados 5
  6. 6. INTRODUCCION ¿ES LA SEGURIDAD UN PROBLEMA EN VOIP? ●La seguridad completa no existe... pero hay que buscarla. ●Tan importante como blindar tu red es darte cuenta de que algo no va bien lo más rápido posible. ●No podemos tener en cuenta todas las eventuallidades que pueden derivar en un ataque, p.ej. que un atacante obtenga de algún modo los credenciales de un usuario: si esto pasa lo único que nos queda es detectar patrones extraños de tráfico que delaten su presencia.Quobis Networks SLUTodos los derechos reservados 6
  7. 7. INTRODUCCION ESTADÍSTICAS SOBRE SEGURIDAD EN VOIP En un estudio(*) realizado sobre 1.2M de IPs españolas en los puertos 5060, 5061 y 5062 se ha detectado lo siguiente: - 441.316 hosts detectados de entre los que se pueden distinguir los siguientes equipos: - 469 Gateways Cisco + 105 Equipos VoIP Cisco. - 40 Equipos Polycom, casi todo equipos de teleconferencia. - 3373 ATAs Linksys. - 374 Asterisk (**) + 103 FreePBX. - 3 OpenSIPS + 7 (OpenSER/Kamailio) (**). - 6 Panasonic - 893 IPs ejecutando SIPVicious! (*) El estudio fue realizado por nuestro compañero Jesús Pérez Rubio para presentar en las Jornadas G.S.I.C mediante técnicas de sondeo no invasivas. (**) En aplicaciones Open Source es posible modificar el User- Agent enviado en los métodos SIP por lo que es probable queQuobis Networks SLU muchos de estos equipos no se hayan identificado en elTodos los derechos reservados 7 estudio.
  8. 8. ATAQUES INTERCONEXIÓN
  9. 9. ATAQUESDENEGACIÓN DE SERVICIO El objetivo de un ataque de DoS es degradar la calidad del servicio que percibe el usuario IVR BILLING mediante el envío masivo de mensajes que requieran del uso de recursos (CPU, BW o memoria) en el sistema atacado. SoftSwitch AAA VoIP Ejemplos: avalancha de registros o llamadas contra el softswitch o centralita que puede pretender: Simple caída del servicio. Flujo serializado Ataque de fuerza bruta para fraude telefónico. Avalancha de registros También existen ataques “no intencionados”  que se deben tener en cuenta: RED DE ACCESO Avalancha tras un apagón. Bugs en terminales. Virus multipropósito.Quobis Networks SLUTodos los derechos reservados 9
  10. 10. ATAQUESFRAUDE EN LLAMADAS El objetivo es que un atacante se registre en el sistemas con un usuario válido (a través de la averiguación de una password, suplantando una IP,….) con el objetivo de hacer llamadas a números internacionales de alta facturación. No sólo son llamadas a través de la red VoIP (SIP), sino que en muchos casos el atacante obtiene acceso remoto a un SIP proxy o softswitch desde donde puede originar llamadas por consola que pueden ser facturables. • El ataque supone muchas veces no sólo pérdidas económicas, sino que se cargue inicialmente el coste del ataque a un usuario legítimo. • Es difícil determinar la responsabilidad (cliente o operador) en muchas ocasiones con este tipo de ataques.Quobis Networks SLUTodos los derechos reservados 10
  11. 11. ATAQUESESCUCHAS ILEGALES Debido a su naturaleza IP es más sencillo capturar el tráfico de señalización y audio por parte de posibles atacantes para obtener información bien sea del propio audio de la llamada, así como la propia información de las llamadas intercambiadas por un usuario. Esto es especialmente peligroso en redes Wi-Fi sobre las que se curse tráfico VoIP y que no estén debidamente protegidas.Quobis Networks SLUTodos los derechos reservados 11
  12. 12. ATAQUESCONTROL ILEGAL Si un atacante consigue las credenciales de un usuario tiene control absoluto sobre la línea: ✔Puede utilizarla para hacer llamadas de alto coste: perjudica al operador y al cliente. ✔Estás líneas se pueden utilizar para terminar llamadas de otros clientes a los que el atacante vende servicios (Ojo a permitir varias líneas simultáneas a clientes!). ✔Para actividades ilegales, dificultando en gran medida el seguimiento judicial de las llamadas.Quobis Networks SLUTodos los derechos reservados 12
  13. 13. ATAQUESMETODOLOGÍA DE UN ATAQUE VOIP 1.- Sondeo y localización. 2.- Identificación y planificación ataque. 3.- Ataque de fuerza bruta. 4.- Acto criminal.Quobis Networks SLUTodos los derechos reservados 13
  14. 14. ATAQUESMETODOLOGÍA DE UN ATAQUE VOIP 1.- Sondeo y localización. Objetivo: identificar IPs y puertos con servicios VoIP. Método: ping IP y ping SIP (principalmente método OPTIONS)Quobis Networks SLUTodos los derechos reservados 14
  15. 15. ATAQUESMETODOLOGÍA DE UN ATAQUE VOIP 2.- Identificación y planificación ataque. Objetivo: averiguar qué hardware y/o software da el servicio y qué tipo de servicio se trata. Método: se planifica el ataque en función del sistema a atacar. Se consultan BBDD con información de vulnerabilidades conocidas del sistema y/o prestador de servicio de telefonía.Quobis Networks SLUTodos los derechos reservados 15
  16. 16. ATAQUESMETODOLOGÍA DE UN ATAQUE VOIP 3.- Ataque de fuerza bruta. Objetivo: obtener usuarios y password válidas. Método: mediante el envío de mensajes de forma repetitiva con diferentes identificadores de usuario y passwords.Quobis Networks SLUTodos los derechos reservados 16
  17. 17. ATAQUESMETODOLOGÍA DE UN ATAQUE VOIP 4.- Acto criminal. Objetivo: casi siempre, ganar dinero con llamadas internacionales de facturación elevada. Método: realización de llamadas telefónicas para realizar fraude telefónico, suplantación de identidad y/o uso de línea para fines delictivos.Quobis Networks SLUTodos los derechos reservados 17
  18. 18. ATAQUESOTROS PUNTOS DE ENTRADA 1.- SIP trunk contra proveedor: si no se asegura correctamente puede ser una puerta de entrada sencilla. 2.- Acceso ssh/telnet/web al servidor del servicio: muchas aplicaciones permiten generar llamadas externas mediante línea de comandos. Es posible acceder a interfaces de gestión de PBX a través de buscadores públicos!!. 3.- Obtención de datos de acceso mediante ingeniería social y phising.Quobis Networks SLUTodos los derechos reservados 18
  19. 19. INTERCONEXIÓNDEFENSA
  20. 20. PROTECCIÓNDISEÑO DE LA INFRAESTRUCTURA La primera de la medidas para fijar un estándar de protección es dotar a al red de los elementos lógicos y físicos necesarios para evitar ataques: • El correcto dimensionamiento de los equipos (CPU, memoria, puertos disponibles, etc) • El uso de una VLAN o varias VLANs dedicadas para el transporte del tráfico VoIP. • Sistema de prevención de intrusiones externas (firewalls, gestión de acceso a la interfaz de gestión de los equipos). • Utilización de VPNs para acceso /interconexión de sistemas VoIP cuando sea posible.Quobis Networks SLUTodos los derechos reservados 20
  21. 21. PROTECCIÓNTECNOLOGÍAS SEGURAS. ENCRIPTACIÓN Podemos mejorar la seguridad y confianza de la red VoIP mediante técnicas de encriptación Encriptación a dos niveles:  Señalización: mediante protocolo TLS. Ante una eventual intrusión, no se conocen datos de la llamada (códecs, número A/B, IP’s, etc…)  Media: mediante protocolo SRTP. Impide la escucha de llamada en caso de captura del flujo, que es relativamente sencillo. La encriptación se puede realizar en varios puntos:  En el IP TRUNK entre clientes y operadores  En escenario de acceso, donde los clientes se registran contra un softswitch. Centro secundario Centro principal Encriptación señalización (TLS) Centro principal PBX Encriptación media (SRTP) PBX IVR Grabador SIP Autenticación (MTLS)Quobis Networks SLUTodos los derechos reservados 21
  22. 22. PROTECCIÓNTECNOLOGÍAS SEGURAS . TLS, SRTP Y ZRTP 1. TLS (Transport Layer Security) • Dificulta en gran medida los ataques ya que encripta la señalización de la comunicación, pero por si solo no consituye la medida definitiva anti-fraude. • Exige un mayor número de recursos en el servidor. • Se puede utilizar para autenticar al operador, o también al operador y cliente, que el escenario ideal. • Conlleva una gestión de certificados que puede ser muy costosa si no se utilizan técnicas adecuadas. 2. SRTP (secure Real Time Protocol) • Encripta el audio, por lo que favorece la seguridad pero puede dificultar tareas de troubleshooting. • Debe ser usado siempre con TLS para que sea realmente útil 3. ZRTP • Las claves de encriptado se negocian dentro del propio flujo de audio, por lo que los dos extremos deben soportarlo. • Del creador de PGP. No está totalmente definido el estándar. En producción se utiliza SRTP.Quobis Networks SLUTodos los derechos reservados 22
  23. 23. PROTECCIÓNSESSION BORDER CONTROLLERS Los SBC son los elementos de red diseñados específicamente para garantizar la Interconexión y seguridad en las redes VoIP, cubriendo aspectos como el control de QoS, encriptación o ocultación de la red interna, entre otras muchas cosas. Por ejemplo, aplicando tecnología de manipulación de cabeceras, es capaz de ocultar nuestra topología de red hacia el exterior: - Enmascarando direcciones IP de nuestros elementos de red. - Enmascarando los campos Via de la cabecera SIP. - Eliminando rutas de direccionamiento internas.Quobis Networks SLUTodos los derechos reservados 23
  24. 24. PROTECCIÓNSBC. Punto de acceso y enrutamiento PSTNLos session border controller GW GW enrutan llamadas en base a CPD SECUNDARIO Operador diferentes políticas. #2 Operador ACD CRM #1Las políticas de enrutado pueden OPERADORES IVR PBX ser tanto internas como externas: • Estáticas • ENUM (interno o externo) • DNS SRV Internet SBC CPD PRINCIPALAplicación típica:• Balanceo de carga (robustez) PBX ACD CRM• Punto de control de accesodesde redes no seguras Teleagentes Clientes IVR ASQuobis Networks SLUTodos los derechos reservados 24 24 CallCenter Externalizado
  25. 25. PROTECCIÓNSESSION BORDER CONTROLLERS. Control QoSYa que el tráfico SIP o H323 atraviesa el SBC, éste puede controlar de forma dinámica la calidad llamada a llamadaVerificación de varios puntos de cada sesión: • Revisión del SLA en el IP PEERING. ¿Nos ofrecen lo que dicen? • Revisión del SLA con nuestros clientes. ¿Ofrecemos lo que decimos?El SBC comprueba varios parámetros de QoS: De red: jitter, latencia, retardo De audio: factor R, factor MOSEl SBC no sólo registra y monitoriza la calidad del enlace, sino que toma decisiones (enrutamiento, denegación de llamada, alarma, etc…) para garantizar la calidad de servicio. Punto de control Operador #1 Plataforma Propia SBC Operador #2Quobis Networks SLUTodos los derechos reservados Medida y routing en función 25 de parámetro de QoS
  26. 26. PROTECCIÓNSESSION BORDER CONTROLLERS. Duplicación de tráfico Los SBC no son un grabador de llamadas, pero permiten replicar el flujo de una llamada hacia un grabador especializado. La grabación en IP aporta flexibilidad a las configuraciones: • Grabación sobre un IP TRUNK completo • Grabación selectiva sobre un IP TRUNK, con varias políticas En función del número origen o destino En función de la ruta En función del código • Grabación bajo demanda (intercepción legal) Cliente Centro principal #1 PBX SBC Cliente CRM ACD IVR #2 SIP Replicación tráfico paraQuobis Networks SLUTodos los derechos reservados reenvío al grabador BD grabaciones 26
  27. 27. PROTECCIÓNEjemplo de sistema: IDENTITYCALLQuobis Networks SLUTodos los derechos reservados 27
  28. 28. PROTECCIÓNEjemplo de sistema: IDENTITYCALL Posibilidad de garantizar la identidad de los interlocutores, ya que el usuario debe usar su certificado digital o DNI electrónico Aplicaciones principales de IdentityCall:  Solución PC/MAX y Smartphones  Encriptación extremo a extremo  Plataforma hw orientada a banca, sanidad y grandes corporacionesQuobis Networks SLUTodos los derechos reservados 28
  29. 29. MONITORIZACIÓN Además de medidas de seguridad preventiva es importante tener una monitorización absoluta de la red, especialmente de los eventos que son tarificados a clientes. Ideas clave: • Las herramientas de monitorización de red (SNMP, IDS, IPS,…) no cubren los posibles ataques a las redes de voz. • Una parte importante de los ataques (fraudes en llamadas,…) no se pueden bloquear preventivamente sin comprometer el negocio. • Una estrategia mixta de prevención y monitorización es lo más adecuado. Centro PBX CRM ACD IVR SIPQuobis Networks SLUTodos los derechos reservados 29
  30. 30. MONITORIZACIÓNPALLADION. INTRODUCCIÓN Solución de troubleshooting y monitorización de usuarios en redes NGN Orientada a operadores para ser instalada en el NOC Visión unificada de toda la red, verificando el servicio que recibe cada usuario y detectando ataques e identificando y alertando de fraudes. Independiente de los fabricantes Powered by: Basada en estándares Integración sencilla Aporta mucha más información que el softswitchQuobis Networks SLUTodos los derechos reservados 30
  31. 31. MONITORIZACIÓNPALLADION. INTRODUCCIÓN Monitorización y testeo de los niveles de calidad y seguridad en redes de voz de operadores, basados en la definición de alertas e indicadores (KPI) como: • Llamadas en curso • Llamadas no cursadas • Intentos de llamada • Duración media • Calidad audio (MOS,R) • ASR • CSR • Info por IP y/o user • etc (hasta varios cientos de indicadores diferentes)Quobis Networks SLUTodos los derechos reservados 31
  32. 32. MONITORIZACIÓNPALLADION. EJEMPLO Troubleshooting. Problema: el usuario A dice que no es capaz de realizar algunas llamadas desde su softphone. Consulta en Palladion: con Palladion podemos comprobar todas las llamadas realizadas por el cliente en los últimos meses pudiendo reproducir la traza completa (si la llamada se encuentra en el búfer) de forma que podamos identificar el problema.Quobis Networks SLUTodos los derechos reservados 32
  33. 33. MONITORIZACIÓNPALLADION. EJEMPLO Fraud Detection and Prevention. Problema: el usuario ha excedido un umbral fijado de minutos en un día. Consulta en Palladion: Palladion nos avisa por correo y mediante traps SNMP del evento, que podemos consultar en la plataforma de Fraud Detection como incidentes.Quobis Networks SLUTodos los derechos reservados 33
  34. 34. INTERCONEXIÓNROBUSTEZ
  35. 35. ROBUSTEZALTA DISPONIBILIDAD Los sistemas deben ser lo más robustos posibles para minimizar los tiempos de caída. Es importante tener en cuenta la interacción que tiene el sistema telefónico con otros servicios: LDAP, BBDD. En un ataque DoS lo primero en caer serán los cuellos de botella, por lo que el dimensionamiento tiene que ser cuidadoso. Al depender de la infraestructura de datos, es importante que ésta también proporcione a redundancia necesaria.Quobis Networks SLUTodos los derechos reservados 35
  36. 36. ROBUSTEZALTA DISPONIBILIDAD Para garantizar Alta Disponibilidad los sitemas siempre se redundan. Esta redundancia puede ser Activo-Activo o Activo-Pasivo e implica la instalación de dos o más sistemas equivalentes. La instalación en Alta Disponibilidad también es importante para poder dar servicio mientras se realizan tareas de mantenimiento (actualizaciones, recambios hw, etc). La virtualización, y cada vez más los despliegues de sistemas en la nube permiten dar aún más sobustez a las soluciones.Quobis Networks SLUTodos los derechos reservados 36
  37. 37. EN RESUMEN ATAQUES • Denegación de servicio • Fraude • Escuchas y control ilegal DEFENSA PROTECCIÓN • Diseño de la arquitectura y encriptación • Session border controllers • Autentificación de llamadas MONITORIZACION ROBUSTEZ • Alta Disponibilidad • RedundanciaQuobis Networks SLUTodos los derechos reservados 37
  38. 38. QUOBIS NETWORKS Pol. A Granxa P.260 36400 Porriño (Spain) Tlf. +34 902 999 465 Sip://sip.quobis.com www.quobis.com
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×