|
Hoy en día, la
convergencia de las comunicaciones corporativas de voz, datos y video en
una única red IP, desde cualquier ubicación y a través de diferentes
tecnologías de acceso (Ethernet, ADSL, WiFi, 2.5G, 3G, WiMax, Satélite),
es ya una realidad. Son cada vez más las empresas que se han planteado
unificar sus comunicaciones utilizando este único medio, en lo que se ha
convenido en denominar convergencia IP. Unificación de sistemas de
telefonía y ahorros en llamadas empleando voz sobre IP (VoIP),
soluciones para movilidad de usuarios, y sobre todo, la simplificación e
integración de toda la infraestructura de comunicaciones en una única
red, son las ventajas más interesantes que hacen que cada vez más la
convergencia IP forme parte ya del presente para muchas empresas.
Una de las mayores preocupaciones a la hora de enfocar los proyectos de
convergencia de distintas redes y soluciones a IP, es la capacidad de la
infraestructura de comunicaciones para soportar VoIP junto al resto de
aplicaciones de negocio. Este primer desafío plantea que las redes IP
existentes, aunque puedan ser muy rápidas, en muchas situaciones no
están preparadas para las necesidades de tiempo real, ya que han sido
diseñadas para servicios tradicionales de email, portales de contenido,
navegación Web, etc. La incorporación a las empresas de los servicios de
telefonía IP, audio y videoconferencia, movilidad, mensajería
instantánea o video bajo demanda debe ir acompañada de una
infraestructura que permita garantizar la calidad de servicio (QoS), y
que asegure niveles de latencia muy bajos.
Una vez salvado el difícil reto de asegurar la capacidad y calidad del
servicio, nos enfrentamos ahora a otro obstáculo, garantizar la
seguridad de la información y de la infraestructura tecnológica
necesaria, que podría suponer un impedimento para el desarrollo y
despliegue de los servicios convergentes IP. En ese sentido, y al igual
que se hace para servicios IP tradicionales, se debe enfocar la
seguridad tanto en la red, como en el equipamiento final, teniendo en
cuenta las mismas vulnerabilidades que en los entornos habituales, entre
otras: acceso no autorizado, denegación de servicios, escucha de
tráfico, alteración de información, suplantación de identidad tanto de
usuario como terminal, etc.
Todas estas vulnerabilidades ya conocidas afectan a los nuevos servicios
IP, ya que no hay que olvidar que éstos emplean para su correcto
funcionamiento direccionamiento IP y direcciones MAC, integran servicios
con protocolos estándares como POP3, SMTP para mensajería, FTP para
actualización de configuración, DHCP y DNS para la configuración de red
y conexiones con otros recursos, así como otros protocolos habituales, y
por ello se deberían se deberían aplicar las mismas políticas y
controles de seguridad que en los servicios tradicionales asociados a
PCS y Servidores.
Durante estos últimos años, han aparecido vulnerabilidades específicas
que afectan a algunos servicios IP, como mensajería instantánea y VoIP,
que fundamentalmente aprovechan las debilidades de los protocolos
estándares como SIP (RFC 3261) y H.323 (H.320, RTP y Q.931), mientras
que en otros protocolos propietarios de fabricantes como Cisco, Nokia y
Avaya, las probabilidades de que las vulnerabilidades sean explotadas
son inferiores, al no estar disponible su código. Las amenazas y
vulnerabilidades más destacadas son:
• Acceso a la información del establecimiento de llamada y a la
conversación: Técnicas de eavesdropping y man-in-the-middle (MitM)
permiten que la información de la conversación que utiliza protocolo UDP,
junto con la señalización UDP ó TCP, pueda ser accedida mediante ARP
Spoofing o MAC flooding en cualquier dispositivo de red. Herramientas de
sniffing como Cain & Abel, VoIPong y Oreka son algunos ejemplos de
software que permiten la escucha y grabación de llamadas IP en redes mal
configuradas. La solución frente a este ataque consiste en establecer un
número máximo de direcciones MAC por cada puerto que impidan la
inundación del switch, así como asignar estáticamente las direcciones
MAC por puerto, aunque esto penalice el aprendizaje de direcciones. Como
medida adicional se deben separar las redes de voz y datos en VLANs
distintas, lo que disminuiría la probabilidad de efectuar ataques.
Finalmente, y como una de las técnicas más efectivas frente a estas
amenazas está el empleo de cifrado en la comunicaciones VoIP, mediante
el protocolo ZRTP/SRTP (creado por Phil Zimmermann –PGP-) y la
implementación TLS-SIP, que permitiría garantizar la confidencialidad
del mensaje SIP frente ataques MitM y eavesdropping, la integridad del
mensaje SIP frente ataques MitM, la autenticación y el no repudio entre
los proxies de la comunicación SIP.
• Otra vulnerabilidad relacionada con el uso de una única VLAN para voz
y datos, y que podría afectar al acceso no autorizado a los servicios de
voz, se denomina VoIP Hopping, consistente en la conexión del cable
Ethernet que llega al terminal de voz directamente a un ordenador,
pudiendo a partir de entonces realizar los ataques eavesdropping y MitM
descritos anteriormente. Para prevenir este tipo de ataque es
recomendable no emplear políticas de VLAN basadas en MAC, ya que son
fácilmente susceptibles de ataques de spoof, tanto para la dirección MAC,
como para la dirección IP, establecer una asociación estática entre el
puerto y la VLAN, así el Switch sobrescribirá las etiquetas VLAN que han
sido víctimas de spoof, establecer filtros por etiquetas VLAN,
deshabilitar cualquier protocolo no necesario para prevenir ataques y
vulnerabilidades de dichos protocolos, y habilitar 802.1x como medida de
control de acceso de nivel 2, que también proporciona defensa frente
ataques de DHCP.
• Denegación de servicio: Aunque los aspectos de calidad del servicio
QoS pueden provocar la parada de los servicios IP, se deben tener en
cuenta otros aspectos relacionados con la seguridad para hacer frente a
posibles ataques, como DoS exploits, que explotan vulnerabilidades
específicas de componentes y protocolos de los servicios IP mediante el
envío de paquetes malformados con estructuras incorrectas. Otra técnica,
denominada Flood DoS/DDoS, provocaría la denegación del servicio por
agotamiento de recursos al recibir gran cantidad de paquetes. Otra forma
de denegación consiste en atacar al servicio DHCP que suministra la
información de configuración de red a los terminales IP, agotando todas
las direcciones previstas para su entrega, y dejando a los terminales
sin posibilidad de operar.
Es evidente que la seguridad es un aspecto crítico a la hora de integrar
servicios en una red IP, por ello debemos disponer de recursos y
esfuerzo en garantizar, no sólo calidad de servicio, sino
disponibilidad, confidencialidad e integridad de la información, ya que
han quedado patentes las numerosas vulnerabilidades existentes en la
actualidad en estos entornos. Para detectar estas y otras
vulnerabilidades existentes, sería buena práctica emplear una
herramienta de detección como SiVuS, un escáner de vulnerabilidades para
las redes VoIP que usen protocolo SIP, o VoIP Hopper que permite a los
administradores conocer los riesgos de la implementación de VoIP en su
red.
Antonio Martínez
www.audea.com
|
   
|
Compartir esta noticia
