Hace algunos años leí una noticia que decía “Descubren vulnerabilidades en voz sobre IP, las fallas pueden ocasionar la denegación total del servicio de Internet o de telefonía en la oficina. Ya está disponible la solución”.

En nuestro artículo anterior, hablábamos de cómo la Voz sobre IP inició y empezó a crecer a raíz del Internet y, sobre todo, de la tecnología de banda ancha, y que empresas como Skype tienen éxito en el uso de este tipo de servicios y, combinado con el crecimiento de las redes inalámbricas, pueden mover esta tecnología desde las empresas a los pequeños negocios y el mercado SOHO (Small Office Home Office, por sus siglas en inglés). Desafortunadamente, como cualquier nueva tecnología, trae consigo problemas respecto a la seguridad y se tienen que tomar en cuenta otras tecnologías para proteger y dar el servicio de voz y datos. Los servidores de “VoIP” (Voice over IP, por sus siglas en inglés) actúan como puertas de enlace, por lo que ruteadores, teléfonos, nuevos protocolos y sistemas operativos forman parte de esta innovadora tecnología y en la medida en que éstos se extienden y generalizan, su peligro y los factores de riesgo se incrementan, tal y como pasa con el resto de aplicaciones y servicios de Internet que son blancos de vulnerabilidades y ataques.

Las amenazas

Existen numerosas amenazas que están al acecho de los servicios de “VoIP”, muchas de las cuales pasan desapercibidas para la mayoría de los usuarios. Como decíamos anteriormente: los dispositivos de redes, los servidores y sus sistemas operativos, los protocolos, los teléfonos y su software, todos son vulnerables.

Por ejemplo, en la actualidad hay técnicas para que el servicio de “VoIP” pueda ser comprometido en un servidor de gestión de llamadas o “call manager”, y se use para configurar o dirigir llamadas del siguiente modo: una lista de entradas y salidas de llamadas, su duración y sus parámetros. Utilizando esta información un atacante puede obtener un mapa detallado de todas las llamadas realizadas en la oficina o negocio, creando grabaciones completas de conversaciones y datos de los usuarios.

Como pueden ver, la conversación es lo primordial en un servicio de “VoIP”, y es el objetivo de cualquier atacante, y si alguno de éstos consigue entrar a una parte clave de los dispositivos que conforman la infraestructura de voz, como por ejemplo una puerta de enlace de VoIP (gateway de voz), podrá capturar e instalar paquetes con los cuales podrá escuchar la conversación, inclusive y peor aún, grabarla y más tarde reproducir todas las conversaciones que pasan en la red.

Otro de los posibles ataques es el secuestro de llamadas (muy de moda en nuestro país); en este escenario, el atacante puede interceptar la conexión y manipular la configuración de la llamada de manera que una persona A marca el número telefónico de una persona B, llamada que es secuestrada por el atacante quien contesta y se hace pasar por la persona B. Es un ataque que causa temor, ya que los usuarios no notan el cambio y los atacantes usan técnicas de ingeniería social para ejecutar suplantación de identidad y robo de información confidencial, entre otros.

La disponibilidad del servicio de “VoIP” es otro punto importante. En tecnologías analógicas la disponibilidad no era realmente un problema. Pero en el mundo “IP” es mucho más sencillo hackear y dejar inoperante una red “VoIP”. Todos estamos familiarizados con los efectos de los ataques de denegación de servicio: si un atacante se dirige a puntos clave de la red puede causar la imposibilidad de comunicarte vía voz o datos.

Los servidores y teléfonos “IP” son vulnerables por sí mismos. Aunque parezcan simples teléfonos en realidad son pequeños equipos de cómputo con software. Obviamente, como todos sabemos, el software es vulnerable a los mismos tipos de “bugs” o huecos de seguridad que hacen que un sistema operativo pueda estar a plena disposición de un atacante.

La prevención

Ya hemos hecho énfasis en los principales peligros a los que se enfrenta la tecnología de “VoIP”. Resumiendo, destacan los problemas de Denegación de Servicio (DoS), que afectan a la disponibilidad del servicio de “VoIP”; o los Accesos No Autorizados que pueden terminar afectando la confidencialidad del servicio (escuchar de forma no autorizada, suplantación de identidad, robos del servicio de voz, redirección, etc.). En este sentido, el uso no autorizado del servicio es factible que genere un impacto económico elevado al realizar llamadas internacionales o de larga distancia.

Desafortunadamente, al inicio del diseño de hardware, software y protocolos para voz, la seguridad no era una prioridad, pero como todos sabemos esto es lo que siempre pasa cada vez que aparece una nueva tecnologíaJ. A pesar de ello y para bien común, algún tercero siempre soluciona este problema; examinemos algunas opciones que previenen las amenazas sobre esta tecnología.

Una técnica común para mitigar las vulnerabilidades en el servicio de “VoIP” es la protección perimetral (IPS, firewalls, análisis avanzado de protocolos), la cual debe actualizarse para incorporar un nivel de seguridad proactivo adecuado frente a estas amenazas en los servicios de “VoIP”; inclusive hoy existen tecnologías de protección perimetral especializadas en VoIP. Los servidores de llamadas están abriendo y cerrando puertos de manera constante para las nuevas conexiones; este elemento dinámico hace que su manejo sea más difícil, pero el costo lo vale por la cantidad de beneficios que se obtienen, así que es aconsejable perfeccionar los controles de acceso aunque se nos dificulte un poco. Un IDS/IPS monitorea la red para detectar cualquier anomalía en el servicio o un abuso potencial. Las advertencias son una clave para prevenir los ataques posteriores, y recordemos: no hay mejor defensa que estar prevenido para el ataque.

Otro punto que debemos tener en mente en los servicios de “VoIP” es el cifrado. Aunque parezca un poco oneroso capturar y decodificar los paquetes de voz, se puede hacer, y cifrar es una de las formas de prevenirse ante un ataque, sobre todo alguno que atente contra la confidencialidad de las conversaciones. Existen varias técnicas de encriptación tales como: VPN (Virtual Private Network), el protocolo IPsec (IP segura) y otros protocolos como SRTP (Secure Real-Time Transport Protocol). El punto importante es elegir un algoritmo de encriptación rápido, eficiente, y emplear tecnologías dedicadas para cifrado. Otra opción manejada actualmente es QoS (Quality of Service, por sus siglas en inglés); los requerimientos para “QoS” aseguran que la voz se maneje siempre de manera óptima, reduciendo la pérdida de calidad y haciendo menos probable un ataque de denegación de servicio.

Es sustancial el proceso de asegurar todos los elementos que componen la solución de “VoIP”: servidores de llamadas, ruteadores, switches, y teléfonos. Es necesario configurar cada uno de esos dispositivos para asegurar que están alineados con los procesos de seguridad de la empresa. Por ejemplo, los servidores pueden ejecutar pequeñas funciones y tal vez sólo deben estar abiertos los puertos que realmente se utilizan. Los ruteadores y switches deben estar configurados adecuadamente, con listas de control de acceso y filtros. Algo ya conocido es que todos los dispositivos deben estar actualizados en términos de parches y actualizaciones. En otras palabras, se trata del mismo tipo de precauciones que se toman cuando se adicionan nuevos elementos a la red de datos; lo que sucede ahora es que se debe extender este proceso a la parte que le compete al servicio de “VoIP”.

Algo primordial que ya se ha mencionado y que se debe considerar es la disponibilidad del servicio de “VoIP”. Es necesario tomar en cuenta que una pérdida de energía puede provocar que la red se caiga y este tipo de fallas son importantes, por lo que se debe asegurar que exista un sistema de redundancia, sobre todo en compañías que dependen del servicio de telefonía para sus procesos sustantivos.

[rev_slider captions]
[rev_slider ServerVoip]
 


Algo interesante

En la WEB me encontré algunos términos y conceptos que se usan en las amenazas del servicio de “VoIP”, aquí algunos:

Eavesdropping, que se traduce literalmente como escuchar secretamente, es el término con el que se conoce la escucha de conversaciones “VoIP” por parte de un intruso. El eavesdropping en “VoIP” es algo diferente del eavesdropping en las redes tradicionales de datos, pero el concepto es el mismo. Eavesdropping en “VoIP” requiere interceptar la señalización y los streams de audio de una conversación. Los mensajes de señalización utilizan protocolos separados, es decir, “UDP” o “TCP”. Los streams normalmente se transportan sobre “UDP” utilizando el protocolo “RTP”. Algunos podrían pensar que este tipo de ataque podría eliminarse con el uso de switches Ethernet que restringen el tráfico broadcast en la red, porque se limita quién puede acceder al tráfico. Sin embargo, este argumento deja de ser válido cuando se introduce el “ARP spoofing” o envenenamiento de la caché ARP como mecanismo para llevar a cabo una intrusión.
ARP spoofing. El concepto básico es que el atacante envía a los usuarios avisos con la MAC falseada y, por lo tanto, consigue que los paquetes IP lleguen a su host. Por medio del “ARP spoofing”, un atacante puede capturar, analizar y escuchar comunicaciones “VoIP”.

Oreka. Es un sniffer de “VoIP” que captura conversaciones y registros y que soporta los protocolos más utilizados: Bidirectional “SIP”, SCCP de Cisco, Bidirectional Raw “RTP”. Tiene una licencia “GPL” y está disponible tanto para sistemas Windows como GNU/Linux. Es un sistema modular que está formado por los siguientes demonios:

Orkaudio. Es el demonio encargado de escuchar conversaciones “VoIP” y decodificarlas a archivos WAV.

Orkweb. Proporciona una interfaz de administración WEB.

Orktrack. Es el servicio encargado de registrar las conversaciones “VoIP” en MySQL.

Así pues, hay que ser precavidos a la hora de implantar soluciones de VoIP porque las amenazas para las empresas han aumentado; por ello es importante conocer algunas de las técnicas y herramientas que usan los atacantes en la actualidad.

Tomado de: http://www.magazcitum.com.mx/?p=630#.V7tGqWhEmM8

Telefonía VoIP con SoftSwitch

ServerVoIP te proporciona todas las herramientas necesarias para que crees y desarrolles tu negocio de comunicación por internet.

Pertenece al Selecto Grupo de Emprendedores que decidieron cambiar su vida invirtiendo en un Server con ServerVoIP.

empresario

SOLICITA TU SERVER AHORA ►

 

ServerVoip presenta el mejor server fisico dedicado para telefonia voip que incluye el software de telefonía ip «VoipSwitch» especial para voz sobre ip.

VoipSwitch es la plataforma ideal para que sin necesidad de conocimientos técnicos crees tu propia empresa de Telefonía IP VoIP y encuentres una forma de ganar DINERO en la red siendo carrier de telefonía sobre Ip (Voip).

Te brindamos todas las herramientas para que estés al nivel de las grandes empresas y negocios; puedas obsequiar llamadas gratis como estrategia de marketing en fidelización a tus clientes / free entre tus clientes; el servidor VoIP te permite utilizar múltiples proveedores como nosotros tenemos www.alosip.com. (carrier / routes) para un mismo destino, vender terminación (wholesale), clientes finales (retail), etc.

El software te proporciona todo lo que necesitas; sistema llave en mano: para crear tu empresa de telefonía IP (VoIP) bajo tu propio nombre o marca. Más información en marcaBlanca.servervoip.com

Para que CREES y DESARROLLES tu propia empresa de telefonia por internet, revisa más detalles en VoIPSwitch


¿Quieres Emprender por Internet?

«Ahora Trabajar desde la Comodidad de tu Casa y Ganar Dinero por Internet… Nunca Había Sido tan Fácil, Rápido y con RESULTADOS Impresionantes»

Descubre el NEGOCIO Perfecto y conviértete en un EMPRESARIO de Éxito creando y desarrollando tu Propia Empresa de Telefonía por Internet. Suscríbete y RECIBE FREE:

¡Sie7e Poderosas Razones Que Tiene el EMPRENDEDOR Exitoso para Crear su Propia Empresa de Telefonía por Internet VoIP!…

libro server voip


Bancos en Ecuador para Alquilar un VoIPSwitch Server

Asegurando la red Voip Durante todo el trabajo mi intención ha sido dar a conocer la mayoría de problemas de seguridad que pueden llegar a sufrir las redes de telefonía IP y explicar las técnicas y los ataques que el intruso utilizaría para atacar entornos VoIP reales. Para redactar una guía de creación de infraestructuras VoIP seguras sería necesario un nuevo trabajo mucho más extenso que el actual, por lo que me limitaré he señalar qué controles de seguridad deben ser imprescindibles en el entorno VoIP y explicar las medidas necesarias para paliar la mayo ría de riesgos y ataques comentados en apartados anteriores. La primera regla de oro: Mantener los sistemas actualizados y parcheados.

Es totalmente imprescindible, y ya no solo en infraesructura VoIP, que el administrador de la red esté al corriente de los nuevos parches y actualizaciones y los aplique en sus sistemas. Es esencial que VoIP se asiente sobre una infraestructura de red segura, protegidas por cortafuegos bien administrador. Es muy recomendable la existencia en la red de sistemas de antivirus actualizados que la protejan de ataques de virus, gusanos y troyanos.

La detección de muchos ataques se puede realizar instalando sistemas de detección de intrusos (IDS) o de prevención (IPS) e n los lugares estratégicos de la red. Serán capaces de detectar y prevenir ataques contra los protocolos (fuzzing), ataques contra servicios (exploits y vulnerabilidad es), escaneos y ciertos tipos de ataques DoS. Es evidente que el IDS/IPS requerirá una configuración adecuada adaptada a la red en que funcione para conseguir su fiabilidad se al adecuada. Es conveniente modificar los protocolos y configura r dispositivos para que utilicen autenticación en todos los mensajes que se intercambia. Además de la autenticación ya explicada anteriormente, existen otros dos aspectos esenciales de la seguridad en VoIP. Son la autorización y el cifrad o. Los dispositivos deben de tener limitado los grupos de elementos o direcciones IP de los que pueden recibir tráfico. Realizando, de este modo, una correcta configuración es posible limitar muchos de los ataques de denegación de servicio.

El cifrado es quizás una de las principales y más necesarias medidas que se deben adoptaren una infraestructura VoIP. El uso de TLS/S SL para establecer canales de comunicación seguros resolverá la mayoría de problemas de eavesdroping, manipulación y reproducción de los mensajes que se intercambian. Las comunicaciones de los datos pueden ser seguras incorporando algún tipo de cifrado. Los teléfonos VoIP pueden cifrar el audio con el protocolo SRTP. Secure RTP es una réplica del RTP pero ofrece confidencialidad , autenticación de mensajes y protección evitando los ataques de interceptación e inserción de audio entre toros.

SRTP es ideal para proveer telefonía IP porque usan do con una compresión de las cabeceras no afecta prácticamente a las Qos. Es evidente que el canal de señalización también de be de ir completamente cifrado. Utilizar VLAN’s para priorizar y proteger el tráfico VoIP separándolo en canales lógico de las redes de datos. Intentar proteger y limitar el acceso a la red VoIP en la medida de lo posible, sobre todo desde el exterior.

Limitar los volúmenes de datos y ráfagas de paquete s en puntos estratégicos de la red para evitar gran cantidad de ataques DoS. Y finalmente algunos consejos para protegerse de ataques de enumeración:
• Corregir los protocolos que contestan diferente modo si el usuario existe o no.
• Configurar correctamente los servicios para que n o muestren más información dela necesaria.
• No usar nombres por defecto par archivos de configuración
• No usar TFTP, FTP aunque tampoco sea seguro. LA mejor solución es usar un canal cifrado. • Desactivar puertos de administración http y snmp.
• Cambiar el password por defecto de todos los lugares

Tomado de:
Arroba, M, & Salazar, M. (2011). Propuesta de soluciónes a las vulnerabilidades del protocolo de señalización SIP en voz sobre IP: Red IP-PBX (tesis de pregrado). Escuela Superior Politécnica de Chimborazo, Riobamba, Ecuador.

Fuente:
http://dspace.espoch.edu.ec/bitstream/123456789/872/1/38T00263.pdf

[rev_slider captions]
[rev_slider ServerVoip]
 


Telefonía VoIP con SoftSwitch

ServerVoIP te proporciona todas las herramientas necesarias para que crees y desarrolles tu negocio de comunicación por internet.

Pertenece al Selecto Grupo de Emprendedores que decidieron cambiar su vida invirtiendo en un Server con ServerVoIP.

empresario

SOLICITA TU SERVER AHORA ►

 

ServerVoip presenta el mejor server fisico dedicado para telefonia voip que incluye el software de telefonía ip «VoipSwitch» especial para voz sobre ip.

VoipSwitch es la plataforma ideal para que sin necesidad de conocimientos técnicos crees tu propia empresa de Telefonía IP VoIP y encuentres una forma de ganar DINERO en la red siendo carrier de telefonía sobre Ip (Voip).

Te brindamos todas las herramientas para que estés al nivel de las grandes empresas y negocios; puedas obsequiar llamadas gratis como estrategia de marketing en fidelización a tus clientes / free entre tus clientes; el servidor VoIP te permite utilizar múltiples proveedores como nosotros tenemos www.alosip.com. (carrier / routes) para un mismo destino, vender terminación (wholesale), clientes finales (retail), etc.

El software te proporciona todo lo que necesitas; sistema llave en mano: para crear tu empresa de telefonía IP (VoIP) bajo tu propio nombre o marca. Más información en marcaBlanca.servervoip.com

Para que CREES y DESARROLLES tu propia empresa de telefonia por internet, revisa más detalles en VoIPSwitch


¿Quieres Emprender por Internet?

«Ahora Trabajar desde la Comodidad de tu Casa y Ganar Dinero por Internet… Nunca Había Sido tan Fácil, Rápido y con RESULTADOS Impresionantes»

Descubre el NEGOCIO Perfecto y conviértete en un EMPRESARIO de Éxito creando y desarrollando tu Propia Empresa de Telefonía por Internet. Suscríbete y RECIBE FREE:

¡Sie7e Poderosas Razones Que Tiene el EMPRENDEDOR Exitoso para Crear su Propia Empresa de Telefonía por Internet VoIP!…

libro server voip

Bancos en Ecuador para Alquilar un VoIPSwitch Server