Ingeniería en Logística y Transporte - campus.unadmexico.mx

Unidad 1. Seguridad en soluciones de vanguardia

Telemática

Seguridad II

(KSGII)

Semestre 5

Unidad 1

Seguridad en soluciones de vanguardia

Clave

21143525

Universidad Abierta y a Distancia de México


Unidad 1. Seguridad en soluciones de vanguardia.

Introducción…………………………………………………………………………………………………………………………….3

Competencia……………………………………………………………………………………………………………………………4

Logros………..……………………………………………………………………………………………………………………………4

1.1 La seguridad de un endpoint………………………………………………………………………………….……….…5

1.1.1 Examinando las vulneravilidades de los sistema operativos……………………………………………6

1.1.2 Examinando aplicaciones vulnerables…………………………………………………………………………….8

1.1.3. Entendiendo el ataque del desbordamiento de buffer…………………………………………….…...9

1.1.4. Formas adicionales de ataque……………………………………………………………………………………....9

1.1.5. Mejores prácticas para la seguridad de los equipos terminales……………………………..…….11

1.2 Implementando Seguridad en SAN……………………………………………………………………………..…...12

1.2.1 Fundamentos de una SAN………………………………………………………………………………….……..…..12

1.2.2 Beneficios organizacionales en el uso de una SAN……………………………………………………..….13

1.2.3 Bases de una

SAN………………………………………………………………….........................................................................13

1.2.4 Fundamentos de seguridad en SAN……………………………………………………………………………….13

1.2.5 Tipos de ataques hacia SAN……………………………………………………………………………………………14

1.2.6 Implementando técnicas de seguridad en SAN………………………………………………………………14

1.2.7 Usando enmascaramiento LUN …………………………………………………………………………………….15

1.2.8 Usando estrategias de zonificación SAN…………………………………………………………..……………15

1.3 Seguridad en soluciones de voz……………………………………………………………………………..…………16

1.3.1 Generalidades de las redes VoIP……………………………………………………………………………………17

1.3.2 ¿Por qué VoIP? ……………………………………………………………………………………………………………..18

1.3.3 Componentes de una red VoIP………………………………………………………………………………………20


1.3.4 Protocolos

VoIP………………………………………………………………………………………………………………………………..…....22

1.3.5 Asegurando una red VoIP……………………………………………………………………………………………..22

1.3.6 Protegiendo una red VoIP con VLAN auxiliar………………………………………………………………..22

1.3.7 Protección de redes VoIP con dispositivos avanzados de seguridad……………………….….…23

Cierre de la

Unidad………………………………………………………………………………………………………………….……………....26

Fuentes de consulta……………………………………………………………………………………………………………… 27


3

Introducción

En el mundo de las redes el término “endpoint” puede referirse a varios tipos de dispositivos desde

estaciones de trabajo hasta tabletas o smartphones. Este capítulo utiliza el término “endpoint” como

una computadora personal o cualquier otro dispositivo que utilice la internet y posea el rol de cliente,

incluso los servidores también son considerados como “endpoint” en ambientes de red, así mismo nos

referiremos a equipos terminales como endpoint.

Se mostrará la variedad de amenazas hacia los dispositivos finales y discutiremos acerca de las

tecnologías que se han implementado para proteger de amenazas a los mismos.

Para implementar una estrategia efectiva para defender los endpoints, es necesario tener conocimientos

actualizados en materia de seguridad. Esta sección describe los métodos actuales para la protección de

dispositivos finales, como Host-based Intrusion Prevention System (HIPS), checadores de integridad

(integrity checkers), protecciones a sistemas operativos y el dispositivo de Control de admisión a la red

(Network Admission Control, NAC).

Como parte de nuestro estudio, exploraremos los principios fundamentales de seguridad en endpoints,

también examinaremos las amenazas específicas hacia endpoints y ayudaremos a entender cómo

defendernos de ellas, junto con otros ataques conocidos como son gusanos, virus y caballos de troya.


4

Competencia

Identifica las vulnerabilidades, componentes, mecanismos y tendencias de seguridad en redes

corporativas.

Logros

• Identificar las soluciones de seguridad necesarias para el cumplimiento de las estrategias establecidas por las organizaciones, con el fin de cumplir sus objetivos operativos basados en la lógica de negocio.

• Identificar las características generales de las soluciones de vanguardia organizacionales y las vulnerabilidades que tienen los diferentes dispositivos que las soportan, así como los mecanismos de mitigación de ataques.


5

1.1 La seguridad de un endpoint

Antes de que conozcamos los pasos para defender endpoints, es necesario entender qué es la seguridad

de endpoints y en qué consiste. Comenzaremos explorando los principios fundamentales que

intervienen en la seguridad de un endpoint, partiendo de la necesidad de defenderlos de los ataques

mayormente conocidos. Las mejores prácticas basan la protección de los endpoints en los siguientes

elementos:

Elementos de seguridad Descripción

Protección de host El agente de seguridad provee un nuevo comportamiento basado

en tecnología diseñada para la protección de host de ataques por

gusanos, virus y caballos de troya.

Control de admisión a

la red (NAC)

Para asegurar que todos los dispositivos finales cumplen con las

políticas de seguridad antes de intentar de ingresar a la red, las

organizaciones emplean el marco de trabajo NAC. Implementando

NAC aseguran el ingreso a la red de un dispositivo seguro. Los que

no pasan la prueba del NAC no pueden ingresar a la red.

Contenedor de

infecciones de red

Cisco ha introducido un contenedor de infecciones de red para

almacenar los métodos de ataque que pueden comprometer la

red. El propósito del contendor es automatizar los elementos clave

del proceso de respuesta a una infección.

Elementos de seguridad

Se preguntarán, ¿por qué si se cuenta con protección perimetral?, es necesaria una protección sobre los

dispositivos finales. Los hosts ejecutan varias aplicaciones en diferentes sistemas operativos. Mantener

una estrategia de seguridad sobre dispositivos finales es fundamental para proteger tu red, debido a que

el software que estos dispositivos corren puede tener vulnerabilidades que los atacantes pueden

explotar.


6

El primer paso para proteger el software de los dispositivos finales es asegurarse que el software se

encuentra actualizado y tienen instalado todos los parches de seguridad con el objeto de conocer el

mecanismo de bloqueo de vulnerabilidades conocidas; por lo tanto, tenemos áreas principales en las

cuales enfocarnos:

• Seguridad del sistema operativo.

• Seguridad de las aplicaciones que corren sobre el sistema operativo.

1.1.1. Examinando las vulnerabilidades de los sistemas operativos

A continuación se mencionan los servicios de seguridad básicos que proveen los sistemas operativos a

todas las aplicaciones que corren sobre ellos:

Servicio de seguridad básico Descripción

Código seguro Esta es una garantía que el código del sistema

operativo no se encuentra comprometido.

Esta garantía podría ser proveída a través de

un proceso de chequeo de integridad para

todo el código que se encuentra corriendo,

utilizando Hash-based Message

Authentication Code (HMAC) o firmas

digitales. Las firmas digitales a menudo son

utilizadas para asegurar que el código es

auténtico y no se encuentra comprometido

Ruta confiable Una ruta confiable es una proceso que ayuda

a asegurar que el usuario está utilizando un

sistema genuino y no un caballo de troya


7

Contexto privilegiado de ejecución Provee un grado de autenticación de

identidad y ciertos privilegios basados en la

identidad.

Proceso de protección de memoria y

separación

Provee separación de otros usuarios y sus

datos

Control de acceso hacia los recursos Asegura confidencialidad e integridad de los

datos

Servicios básicos de seguridad proveídos hacia aplicaciones

Incluso con estos servicios básicos de seguridad ejecutándose, un intruso podría ejecutar un ataque.

Uno de los beneficios que incluyen los sistemas operativos modernos es que proveen cada proceso con

una identidad y privilegios. Durante la operación del programa, el cambio de privilegios es posible, o esto

puede ocurrir autenticándose como un nuevo usuario.

Técnicas de protección Descripción

Concepto del menor privilegio Consiste en conceder al proceso el menor

privilegio para efectuar su trabajo.

Separación entre procesos El sistema operativo ejecuta la separación de

procesos de manera virtual o física

Monitor de referencia Este es un concepto de control de acceso, se

refiere a un mecanismo o proceso que regula

todos los accesos a objetos. Un punto central

para todas estas decisiones es proveída por el

monitor de referencia.

Pequeñas y verificables piezas de código Esto podría ser administrado y monitoreado


8

por el monitor de referencia

Técnicas de protección de los endpoints

1.1.2. Examinando aplicaciones vulnerables

Es importante dar los pasos adecuados para manejar las vulnerabilidades de tu sistema operativo, como

instalar los paquetes de servicio y parches para una operación segura. Estas aplicaciones que evitan

ataques se pueden clasificar en:

Es evidente que entre más privilegios tenga una aplicación utilizada por un atacante, ésta puede causar

un mayor daño. El objetivo de la mayoría de los atacantes es ganar privilegios en los dispositivos donde

se encuentra almacenada información crítica. Si el objetivo del atacante es comprometer la

confidencialidad de los datos sensibles y tienen forma de comunicarse con una aplicación, lo más seguro

es que pueda extraer o alterar los datos a través de ella.

Otra forma de ataque es DoS hacia una aplicación específica, el cual podría provocar que la información

brindada por la aplicación sea inaccesible por usuarios legítimos. Un ejemplo de este tipo de ataque

• Un atacante engaña a la aplicación para ejecutar una tarea utilizando la escalación de privilegios.

Directas:

• Un atacante compromete un subsistema y luego a su vez este subsistema compromete a otro. Esto se conoce como la escalación de privilegios.

Indirecta:


9

es la corrupción de una gran base de datos que soporta las transacciones de un portal de

comercio electrónico.

Un método común usado por los atacantes que realizan DoS involucra saturación de solicitudes de

comunicación haca la máquina de la víctima. En la media en que las solicitudes de comunicación van

aumentando, el sistema de la víctima responde cada vez menos a solicitudes de usuarios auténticos,

llegando a desbordar el sistema provocando una severa lentitud o indisponibilidad total del mismo. Estos

tipos de ataque DoS pueden ser implementados por dos técnicas primarias.

• Forzar al sistema de la computadora objetivo a un reinicio o el consumo excesivo de recursos de

procesamiento haciendo inoperable el sistema.

• Obstruir el medio de comunicación que provee el servicio (saturación) e impedir que solicitudes

legítimas lleguen al sistema.

1.1.3. Entendiendo el ataque del desbordamiento de buffer

¿Cuál es la función del buffer?

Cuando un usuario u otro recurso de software interactúan con una aplicación, ésta tiene que verificar

que todas las entradas, ya que pueden contener un formato de datos inválido, secuencias de control o

simplemente demasiados datos que la aplicación tiene que atender. Los atacantes saben de esta

condición y tienden a explotar esta vulnerabilidad colocando demasiados datos de entrada en el buffer

de la aplicación.

1.1.4. Formas adicionales de ataque

El ataque por desbordamiento de buffer pude ser el indicio de ataques más severos, como inserción del

código malicioso a través de un virus, gusano o caballo de troya, obteniendo acceso al sistema y

efectuando su ataque. Dos de los gusanos más destructivos en la historia fueron SQL Slammer y Code

Red. A diferencia de los gusanos, los virus pueden tomar una mayor ventaja de los desbordamientos de

buffer para efectuar su explotación. Los caballos de troya, al igual que los virus utilizan también el

desbordamiento de buffer para su ataque, a continuación describiremos con mayor detalle estas tres

amenazas.


10

Gu

san

os

Se trata de código malicioso que puede replicarse por sí mismo hacia todos los recursos de la red y explotar las vulnerabilidades de cada uno. Pueden replicarse sin la necesidad de infectar a un archivo en particular o de la intervención de un usuario, como lo necesitaría un virus para su replicación.

Vir

us

A diferencia de los gusanos, esta piezas de código malicioso si requieren un archivo para su propagación además de la necesidad de que un usuario trate de ejecutar el archivo. Una de las características de estos virus es que su código puede modificarse dinámicamente y evitar ser detectados por los antivirus.

Cab

allo

s d

e tr

oya

Se refieren a un hecho histórico en donde los Espartanos regalaron un caballo de madera a troya a manera de ofrenda a Atenea, por la noche, los guerreros salieron de adentro del caballo y atacaron desde adentro a Troya. Así mismo funciona este tipo de ataque, un archivo puede parecer inofensivo, pero dentro del mismo se esconde código malicioso que al ejecutarse el atacante puede obtener privilegios dentro del sistema operativo, por lo cual si se ejecuta en una sesión de administrador se comprometería el sistema de manera considerable.


11

1.1.5. Mejores prácticas para la seguridad de los equipos terminales

Mantener un sistema altamente seguro es posible, sin embargo, implica un alto costo de soporte, y que

continuamente se diseñan ataques cada vez más sofisticados. Como responsable de la seguridad de la

red es mandatorio establecer mecanismos que permitan el cierre de vulnerabilidades, regularmente los

fabricantes de los dispositivos y sistemas publican constantemente actualizaciones de seguridad para sus

productos, que deben descargarse de manera automática o manual. Adicional a lo anterior existen

diferentes organismos dedicados a la investigación de nuevas formas de ataque y cómo evitar los

mismos, por ejemplo el instituto SANS publica continuamente una lista de los 20 ataques con mayor

presencia en el momento.

Adicionalmente a la implementación de herramientas de cierre de vulnerabilidades, el administrador

debe de implementar controles de acceso a la red a nivel hardware, como firewalls, que limitan la

exposición de los dispositivos de la LAN a ataques desde el exterior. Estos dispositivos permiten que

solamente que tráfico autorizado pueda ingresar a los diferentes servicios de la LAN. No sólo los firewalls

ayudan a este propósito, también checadores de integridad como IPS son necesarios para la prevención

de ataques.

Aplicación de métodos de protección de aplicaciones

Para concluir el tema de las mejores prácticas de seguridad, es importante revisar cuatro métodos

fundamentales para la protección de aplicaciones que pueden ayudar a hacer una infraestructura de red

más segura:

• Usar controles de acceso a aplicaciones para utilizar el privilegio más bajo posible que permita la

actividad del usuario.

• Criptografía es otra área importante a considerar, al usarse apropiadamente, puede proveer

confidencialidad, integridad y autenticidad a los datos.

• Nunca confiar de los datos que provienen de recursos externos ya que pueden contener

diferentes tipos de código malicioso y dañar los recursos internos

• Desafortunadamente los ataques no siempre provienen del exterior, también pueden ser

generados desde el interior de manera intencional y no intencional, por lo cual es necesario

establecer políticas de seguridad para cada caso.


12

1.2 Implementando Seguridad en SAN

Cada día las organizaciones crean grandes cantidades de información que requieren ser almacenadas,

gran parte de esta información son datos críticos que requieren ser almacenados para su consulta

posterior. SAN (Storage-Area Netork) ofrece una solución accesible. Con la información crítica

almacenada en SANs, las organizaciones requieren estrategias de seguridad que garanticen los tres

principios básicos de seguridad de la información (vistos en la asignatura Seguridad I) aplicados a esta

solución. Este apartado explora las operaciones fundamentales para implementar protección a una SAN

así como los ataques y la forma de defenderla.

1.2.1 Fundamentos de una SAN

Con el aumento en la necesidad de resguardo de datos por parte de las organizaciones, se generó esta

solución que reemplazó el almacenaje propiamente en los servidores para que éstos pudieran acceder a

ellos almacenados en otro lugar. Siguiendo los principios de una LAN en la cual los clientes se conectan a

servidores, en una SAN los servidores se conectan a Storage, e incluso Storage con Storage.

El término Storage se refiere a un dispositivo que contiene un arreglo de

discos duros de gran capacidad para el almacenamiento de datos.

SAN

SERVIDORES DE

APLICACIONES

Red IP


13

Storage-Area Network (SAN)

Una SAN no necesariamente tiene que estar separada físicamente de la LAN. Una SAN puede ser

implementada en una subred dedicada para transportar a información crítica I/O (Input-Output, de

entrada y salida (escribir o leer)) entre los servidores y los dispositivos de storage.

1.2.2 Beneficios organizacionales en el uso de una SAN

Cuando los recursos de una red son inaccesibles, la organización se ve afectada directamente en

términos de productividad. Esta solución garantiza que los datos sean accesibles a grandes velocidades

incrementando el performance de la red, además ofrece escalabilidad, algo sumamente importante ya

que año con año aumentan las necesidades de almacenamiento no implicando deshacerse de la

información más antigua.

1.2.3 Bases de una SAN

El modelo de comunicación Small Computers Systems Interface (SCSI) es la base da la mayoría de las

tecnologías de transporte en una SAN. Esta tecnología provee rapidez y confiabilidad para el manejo de

datos, satisfaciendo las necesidades actuales de la mayoría de las organizaciones a nivel mundial.

1.2.4 Fundamentos de seguridad en SAN

Con gran cantidad de información crítica almacenándose diariamente, la seguridad es un aspecto

esencial. El aseguramiento de una SAN obedece a procesos y características técnicas que protegen la

integridad y facilitan la disponibilidad de los datos. La seguridad en una SAN incorpora 4 aspectos

fundamentales:

• Autenticación y autorización centralizadas, registro de bitácoras para todos los cambios

efectuados, administración basada en roles.

• Aseguramiento de que sólo dispositivos autorizados puedan acceder a los datos.


14

• Aseguramiento de la transmisión y recepción de los datos a través del aislamiento del tráfico y

controles de acceso, lo cual asegura una protección sobre los demás dispositivos que se

encuentran en la red.

• Encriptación total de los datos que se transfieren desde el storage, y respaldo de la información

almacenada.

SAN segura

1.2.5 Tipos de ataques hacia SAN

Al igual que otras áreas de la LAN, la SAN no está exenta de ataques. Existen múltiples ataques hacia esta

solución. En general se clasifican en tres clases, como a continuación se describen.

Clase de ataque SAN Descripción

Snooping Ataques en contra de la confidencialidad de los datos

Spoofing Ataques en contra de la confidencialidad y también de la

integridad de los datos

Denial of Service (DoS) Ataques en contra de la disponibilidad de los datos

Clases de ataques SAN

SAN

SERVIDORES DE

APLICACIONES

Red IP


15

1.2.6 Implementando técnicas de seguridad en SAN

Con el incremento constante en el requerimiento de almacenamiento de datos por partes de las

organizaciones, se tienen que crean técnicas para su protección, tanto cuando residen en los discos del

storage como cuando son transmitidos a través de la red.

1.2.7 Usando enmascaramiento LUN

Un LUN (Logical, Unit Numer) es una dirección para una unidad de disco duro y por extensión, el disco en

sí mismo. El término es originario del protocolo SCSI como una forma de diferenciar unidades de disco

individuales dentro de un bus SCSI tal como un arreglo de discos.

Es un proceso de autorización un LUN disponible para algunos host y no está disponible para otros

dispositivos. El enmascaramiento LUN se implementa principalmente en el nivel de HBA (Host Bus

Adapter). El enmascaramiento LUN implementado a este nivel es vulnerable a cualquier ataque que

compromete el HBA.

El enmascaramiento LUN permite a los usuarios expresar en el controlador una relación específica y

entre un LUN y un host, esto permite que ningún host más podrá ver ni manipular esta LUN. Esto es

sumamente importante porque los servidores basados en Windows intentan escribir etiquetas de

volumen en todos los LUNs disponibles. Lo anterior puede provocar que los LUNs queden inutilizables

por otros sistemas operativos lo que podría generar pérdida de información.

1.2.8 Usando estrategias de zonificación SAN

Es común que una SAN contenga varios dispositivos de almacenamiento. Bajo este contexto, para

propósitos de seguridad, un dispositivo de almacenamiento no necesariamente tienen que interactuar

con otro (dispositivo de almacenamiento) dentro de la misma SAN. Para prevenir esto, se implementa la

Zonificación por canal de fibra, que consiste en la partición del canal de fibra en redes más pequeñas.

https://es.wikipedia.org/wiki/Disco_duro

https://es.wikipedia.org/wiki/SCSI

https://es.wikipedia.org/wiki/SCSI


16

Zonificación por canal de fibra

1.3 Seguridad en soluciones de voz

En el pasado las compañías utilizaban sus propios dispositivos PBX para brindarles a los usuarios servicios

de voz. Al emerger las tecnologías de datos, las compañías comenzaron a utilizar sus respectivos

servicios en diferentes canales, siendo esta una práctica común en la infraestructura de

telecomunicaciones organizacional, puntualmente, separar a voz, los datos e incluso el video.

Posteriormente, la disponibilidad de tecnologías de vanguardia en el manejo de datos y la priorización

del tráfico, significó la integración de estos servicios a través del mismo canal, a este enfoque se le llamo

Red Convergente, la cual era rentable en términos de costo-beneficio para las organizaciones, ya que a

través de una sola infraestructura se podían transmitir, voz, datos y video. Adicional, se creó el concepto

de Voice over IP (VoIP), que significa el transporte de voz sobre una red IP, agregando múltiples

características a las redes tradicionales.

SAN

Disco 2

Disco1

Disco 3

Disco 4

Zona A

Zona B

Host 2

Host 1

Zona C

SAN


17

La adición de dispositivos de voz a las redes corporativas, introdujo vulnerabilidades potenciales a la

infraestructura. En esta sección examinaremos varios ataques que pueden ser lanzados hacia redes con

VoIP y las formas de mitigarlos para generar redes VoIP seguras.

1.3.1 Generalidades de las redes VoIP

En escencia, VoIP envía paquetes de voz sobre una red IP, al mismo tiempo que la red transporta

paquetes de datos, resultando un riegos potencial de la calidad en el mensaje de voz hacia el

destinatario y la apertura de brechas de seguridad. Afortunadamente, existen tecnologías de priorización

de tráfico como Quality of Service (QoS) en Cisco o Class of Service (CoS) en Juniper, por mencionar

algunos, que aseguran la calidad y la seguridad en las trasmisiones de paquetes de voz.

La posibilidad de implementar VoIP brinda a las organizaciones una reducción de costos considerable, ya

que evita utilizar enlaces dedicados de voz hacia la red pública telefónica conmutada (Public Switched

telephone network, PSTN) los cuales generaría rentas mensuales adicionales, además de cargos elevados

por llamadas entre sitios de larga distancia.

Es muy importante aclarar la diferencia entre VoIP y telefonía IP. En VoIP un teléfono análogo se conecta

a un puerto análogo de un Gateway y posteriormente un PBX (Private Branch Exchange) se conecta a un

puerto digital en un Gateway diferente. Debido a que los teléfonos (endpoints) son análogos y no IP, la

tecnología se considera VoIP. En el caso de la telefonía IP, los teléfonos (endpoints) son digitales que

están fabricados para comunicarse a través de IP. Estos teléfonos se registran en un servidor de

comunicaciones unificadas, el cual toma decisiones de enrutamiento para establecer la llamada entre los

teléfonos. A continuación lo aterior.


18

Diferencias topológicas entre VoIP y Telefonía IP

1.3.2 ¿Por qué VoIP?

Originalmente, el principal requerimiento del porqué diseñar una red con VoIP fue el ahorrar costos en

llamadas de larga distancia. Con el avance de la tecnología y la reducción de costos en llamadas de larga

distancia a través de la PSTN, ya no fue una motivación para adoptar esta tecnología. Sin embargo, es

importante mencionar ventajas adicionales que trae consigo esta solución:

• En las redes tradicionales basadas en PBX, por ejemplo, un enlace T1 puede transportar 23 o 24

llamadas de manera simultánea, significa que un T1 tiene 23 o 24 canales disponibles, cada canal

tiene un ancho de banda de 64kbps lo cual implica una y sólo una llamada por canal. La

tecnología VoIP utiliza codecs

IP WAN

PBX

switch

Servidor de comunicaciones unificadas

IP

Teléfono

IP

IP WAN

Teléfono

analógico

Teléfono

analógico

VoIP

Telefonía IP

Gateway

GatewayGateway

Gateway


19

El término Codec se refiere a software o hardware (o una combinación de

ambos) que codifican un flujo o señal para la transmisión o almacenaje y

recuperarlo o descifrarlo del mismo modo para la reproducción o la

manipulación en un formato más apropiado. Son ampliamente utilizados

para la compresión de señales de voz y de video.

• Debido a que las redes VoIP envían tráfico de voz sobre redes IP, los administradores tienen un

amplio control sobre el tráfico de voz, lo que asegura la adaptabilidad y disponibilidad hacia

diferentes aplicaciones del usuario final, por ejemplo, aplicaciones de mensajería instantánea o

una respuesta de voz interactiva (Interactive Voice Response , IVR).

Las redes VoIP y la Telefonía IP ofrecen características avanzadas como las siguientes:

• Enrutamiento de llamada. Existen protocolos como EIGRP y OSPF que pueden proporcionar

recuperación de conexión de forma muy rápida, recalculando una nueva ruta (por ejemplo, a

través de un enlace de respaldo) e incluso enviar la voz a través de una ruta menos

congestionada o más estable.

• Mensajería. La mayoría de los dispositivos que manejan soluciones de voz, tiene la opción de

enviar mensajes de status operativo.

• Seguridad. Si un atacante logra interceptar y capturar paquetes de VoIP, podrá escuchar parte de

la conversación. Por ejemplo, la mayoría de los bancos tienen implementados IVRs que

contestan automáticamente e indican al cliente que consultas u operaciones puede realizar a

través del teléfono, para acceder a estas opciones, la grabación solicita digitar tu clave de acceso,

lo cual el atacante puede obtener esta información y efectuar alguna operación.


20

1.3.3 Componentes de una red VoIP

A continuación se muestra los componentes más comunes que integran una red VoIP y la descripción de

los componentes.

Componentes de una red VoIP

Componente Descripción

Teléfono IP Los teléfonos IP utilizan una conexión Ethernet para establecer

llamadas

Servidor de

comunicaciones

unificadas

Remplaza las funcionalidades del tradicional PBX y añade nuevas

opciones para el tratamiento de las llamadas, por ejemplo,

establecimiento de restricciones

Gateway Los gateways pueden realizar llamadas entre diferentes tipos de

redes. Por ejemplo, puedes utilizar tu teléfono IP que tienes en el

trabajo para llamar al teléfono analógico de tu casa

Gatekeeper Puede verse como un policía de tráfico, analiza la cantidad de

Servidor de

comunicaciones

unificadas

IP

Teléfono

IP

IP WAN

Gateway / Gatekeeper

PSTN

MCU

Estaciones de

videoconferencia

PBX

Teléfono

analógico

Servidor de

aplicaciones

Gateway

Ethernet

switch


21

ancho de banda utilizado en el momento y decide si puede

soportar una llamada más, sino es así, la deniega

Unidad de control

multipunto

(Multipoint

control unit, MCU)

Son los dispositivos que permiten realizas llamadas en conferencia.

Por ejemplo, varias personas entran a un número de audio,

marcando a un número específico e ingresando una contraseña,

para tratar un tema en particular.

Servidor de

aplicación

Existen servidores que pueden proveer una determinada

aplicación con servicio de audio. Por ejemplo, un correo de voz.

Estación de

videoconferencia

Dispositivos que permiten realizar videollamadas

Switch para voz

(Ethernet switch)

Un switch dedicado para voz, tiene puertos que suministran

señalización y energía eléctrica (Power over Ethernet, PoE), y están

diseñados para la conexión de teléfonos IP. Además estos

dispositivos pueden detectar tramas de voz a través de estos

puertos y otorgarles prioridad sobre las tramas de datos.

Componentes de una red VoIP

La alimentación a través de Ethernet (Power over Ethernet, PoE) es una

tecnología que incorpora alimentación eléctrica a una infraestructura LAN

estándar. Permite que la alimentación eléctrica se suministre a un

dispositivo de red (switch, punto de acceso, router, teléfono o cámara IP,

etc) usando el mismo cable que se utiliza para la conexión de red.

https://es.wikipedia.org/w/index.php?title=Alimentaci%C3%B3n_el%C3%A9ctrica&action=edit&redlink=1

https://es.wikipedia.org/wiki/Switch

https://es.wikipedia.org/wiki/Router

https://es.wikipedia.org/wiki/C%C3%A1mara_IP


22

1.3.4 Protocolos VoIP

Para soportar las comunicaciones a través de teléfonos IP, teléfonos analógicos, PBX tradicionales y la

nube PSTN, las redes VoIP requieren de varios protocolos, estos protocolos son llamados protocolos de

señalización (por ejemplo, H.323, MGCP, H.248, SIP y SCCP) y son utilizados para configurar,

mantenimiento y terminación de llamadas. Otros están destinados para los paquetes de voz (por

ejemplo, RTP, SRTP y RTCP.

1.3.5 Asegurando una red VoIP

Ahora que ya conocemos los aspectos básicos de las redes VoIP, a continuación nos adentraremos en los

ataques dirigidos hacia este tipo de redes y cómo se pueden mitigar. Se hablará sobre la separación del

tráfico de voz y de datos a través del concepto VLAN, también de la utilización de firewalls y VPNs para la

protección del tráfico de voz y el enfoque en protección de endpoints y servidores.

1.3.6 Protegiendo una red VoIP con VLAN auxiliar

Un concepto fundamental sobre la protección de tráfico de voz, es ubicar éste en una VLAN propia,

regularmente llamada como VLAN auxiliar. Por lo general los teléfonos IP tienen un puerto donde pueda

conectarse una PC el cual se encuentra configurado dentro de la VLAN de datos. En la siguiente figura se

puede apreciar que la PC se comunica a través de la VLAN 110 y el teléfono envía tráfico de voz sobre la

VLAN 210, el tráfico de ambas VLAN entra al switch a través del mismo puerto, sin necesidad de

configurar este puerto del switch como troncal.

Separación de VLAN de datos y VLAN de voz

switch

IP

Teléfono

IPPC

VLAN de Datos = 110

VLAN de Voz = 210

VLAN de Datos = 110

Gigabit 0/1


23

1.3.7 Protección de redes VoIP con dispositivos avanzados de seguridad

Dispositivos de seguridad como Firewall y terminadores de VPN también se utilizan para proteger redes

de voz. Sin embargo, un reto en la protección de redes con firewalls es que el administrador de la red no

conoce qué puertos UDP están siendo utilizados para transmitir paquetes de voz RTP (Reliable Transport

Protocol). Afortunadamente los firewall hoy en dia pueden inspeccionar dinámicamente el tráfico de un

protocolo de voz para identificar los puertos UDP que son utilizados para flujo RTP. El firewall abre

temporalmente estos puertos UDP el tiempo que dura la conexión RTP.

Para entender este concepto, considere la siguiente figura. En el primer paso, el teléfono IP utiliza SCCP

para iniciar una llamada hacia la PSTN. SCCP, el cual utiliza el puerto UDP 2000, para la comunicación

entre el teléfono IP y el servidor UCM. El UCM determina, basado en los dígitos marcados, si la llamada

requiere ser enrutada hacia el Gateway H.323. En el segundo paso, se utiliza el puerto TCP 1720, el UCM

inicia la configuración de la llamada con el Gateway H.323. El firewall que se encuentra en medio de

estos dos dispositivos es configurado para permitir el paso del protocolo H.323. Además el firewall no

sólo puede permitir el paso, sino también inspeccionar el tráfico H.323, para determinar dinámicamente

qué puertos están siendo utilizados por el flujo de voz. En el tercer paso, los puertos UDP 20548 y 28642

fueron aleatoriamente seleccionados (para este ejemplo solamente).

Debido a que el tráfico RTP es unidireccional, dos puertos UDP son seleccionados para soportar la

comunicación bidireccional. Debido a la inspección que realiza el firewall del tráfico H.323 y el

aprendizaje dinámico de los puertos UDP que están siendo utilizados, el firewall puede permitir el flujo

RTP bidireccional durante la duración de la llamada.


24

Inspección RTP

Además de permitir o denegar puertos específicos, el firewall puede proveer protección adicional al

tráfico de voz. Por ejemplo, el firewall puede ser configurado para ejecutar políticas específicas, el cual

podría bloquear la comunicación desde y hacia teléfonos específicos. Otro ejemplo, los firewalls pueden

detectar si ciertos mensajes de un tipo determinado ocurren en cierto intervalo de tiempo (por ejemplo,

solicitudes SIP) y denegarlos.

Además lo teléfonos IP pueden denegar o permitir tráfico por sí mismos. Para agregar seguridad, pueden

soportan encriptación y autenticación, considerar la opción de enviar paquetes de voz sobre un túnel

IPsec-protected VPN. Gran cantidad de dispositivos pueden ser utilizados como terminadores de túneles

VPN. La siguiente figura muestra la encriptación entre el UCM y el Gateway H.323.

Gateway H.323Router Pix Firewall

PSTN

Servidor de

comunicaciones

unificadas (UCM)

IP

Teléfono

IP

(2) H.323 TCP Puerto 1720

(3) RTP UDP Puertos 20548 y

28642 (seleccionados

aleatoriamente)

(1) SCCP TCP

Puerto 2000

switch


25

Protección de voz mediante un túnel VPN IPsec

Asegurando Endpoint de voz y servidores de aplicación

Los teléfonos IP tienden a ser protegerse menos que los demás dispositivos estratégicos (por ejemplo,

servidores) en una red de voz. Por lo tanto, los atacantes a menudo tratan de ganar control del endpoint

y usarlo para efectuar un ataque jumping-off hacia otros sistemas. Un atacante podría ser capaz de ganar

control de un teléfono IP modificando su imagen o su archivo de configuración. Alternativamente el

atacante podría capturer paquetes desde el Puerto para la PC del teléfono IP o desde la red (ataque

man-in-the-middle). Además el atacante podría obtener una dirección IP de otros servidores (por

ejemplo, servidores DNS, DHCP y TFTP) simplemente apuntando un navegador web hacia la dirección IP

del teléfono IP.

Los teléfonos IP hacen un informe de su configuración y la muestra con el simple hecho de colocar su

dirección IP en un navegador web. Esta vulnerabilidad potencial puede ser mitigada deshabilitando la

opción de acceso via web. Ademas, para la prevención de ataqs man-in-the-middle se podría desactivar

la opción de Gratuitous ARP. Deshabilitando la opción anterior, se previene que el teléfono resuelva

solicitudes ARP no confiables, que potencialmente pudiera proceder de un atacante deseando ser el

gateway de siguiente salto para el teléfono IP.

Gateway H.323

IP WAN

Servidor de

comunicaciones

unificadas (UCM)

IPsec

switch

IP

Teléfono

IP

Router


26

Cierre de la Unidad

Como pudimos identificar en esta unidad, las redes corporativas no sólo transmiten datos, por lo cual no

es suficiente un switches y routers, también se integran soluciones de almacenamiento masivo y voz,

como lo estudiamos en la presente unidad.

Sin embargo, garantizar los principios básicos de la seguridad para todas las tecnologías de red es algo

complicado, con ayuda de dispositivos de seguridad como son firewalls y concentradores de VPN,

podemos implementar mecanismos y técnicas que aseguren que la información no sea interceptada y

descifrada por terceras personas, ajenas a la operación de la organización.

Por lo anterior es fundamental que los administradores de red conozcan los riesgos que enfrentan las

redes que administran en cara hacia la protección del activo más importante para una organización, su

información.


27

Fuentes de consulta

Fuentes básicas

• Ariganello, E. (2013). Guía de estudio para la certificación CCNA Security. México:

Alfaomega Grupo Editor, S.A. de C.V.

• Howard, M., LeBlanc, D., y Viega J. (2005). 19 Deadly sins of software security -

Programming flaws and how to fix them. McGraw-Hill.

• Katz, D. (2013). Redes y seguridad. Buenos Aires: Alfaomega Grupo Editor.

• Sallis, E., Caracciolo, C., y Rodríguez, M. (2010). Ethical hacking - Un enfoque

metodológico para profesionales. Alfaomega.

Ingeniería en Logística y Transporte - campus.unadmexico.mx

Documents

Transcript of Ingeniería en Logística y Transporte - campus.unadmexico.mx