Download - Seguridad en VoIP con Tecnología Cisco

Seguridad en VoIP

Seguridad en VoIP

Centro de Nuevas Tecnologías de Galicia

8 de mayo de 2013

Seguridad en VoIP

Presentación

• Ponente: Francisco Javier Nóvoa (Grupo Academia Postal)

– En twitter: @fjnovoa_ – http://www.academiapostal.es – http://[email protected]

• Ciclo de Seminarios de Voz sobre IP con Tecnología Cisco (2012-2013)

– Fundamentos de VoIP con Tecnología Cisco (29 de noviembre de 2012) – Despliegue de VoIP en entornos corporativos con Tecnología Cisco (13 de marzo de

2013) – Seguridad en entornos VoIP (08 de mayo de 2013)

• Ciclo de Seminarios sobre Seguridad en Redes (2011-2012)

1. Arquitecturas de Seguridad Perimetral 2. Seguridad en Redes de Área Local 3. Firewalls 4. Redes Privadas Virtuales con IPsec

Seguridad en VoIP

Presentación

• Grupo Academia Postal es Partner de Formación de Cisco en su programa académico, desempeñando los roles de:

– Academia Cisco – Centro de Soporte – Centro de Formación de Instructores

• Formación Oficial del Programa Cisco Networking Academy:

– CCNA, CCNA Security y CCNP

• Otra formación orientada a Certificación Oficiales Cisco: CCNA Voice

• Formación Oficial de otros fabricantes: Microsoft IT Academy Program

• Colaboración con el Centro de Nuevas Tecnologías de Galicia

Seguridad en VoIP

Objetivos

• Dar a conocer las ideas clave relacionadas con la seguridad en entornos IP

• Presentar los componentes básicos de la infraestructura VoIP

• Estrategias de Seguridad Clásicas en Redes IP

• …

• A continuación, Jesús Pérez Rubio de Quobis hablará de aspectos específicos de Seguridad en Aplicaciones VoIP

“Si conoces a tus enemigos y a ti mismo, en cien batallas nunca saldrás derrotado”

(El arte de la guerra)

Seguridad en VoIP

¿Qué es Telefonía IP?

Seguridad en VoIP

Introducción

• Factores que determinan la importancia de VoIP:

– Aceptación del uso de IP como tecnología de transporte – Utilización de redes convergentes que intentan reducir costes – Dependencia de las organizaciones de los servicios de telefonía

• Ataques a los sistemas de VoIP son especialmente problemáticos

• Gran cantidad de amenazas:

– Propios de la red IP – Propios de las aplicaciones de telefonía – Proliferación de herramientas de ataque – Aprovechamiento económico

Seguridad en VoIP

¿Qué es la Telefonía IP?

• Telefonía IP es una tecnología que permite el establecimiento de conversaciones telefónicas utilizando como medio de transporte el protocolo IP

– La voz es muestreada, cuantificada y codificada Se transporta en paquetes IP – Se utilizan 2 tipos de protocolos:

• Protocolos de Transporte de Información (IP) • Protocolos de Señalización Ayudan a establecer la llamada

Seguridad en VoIP

Principales protocolos de VoIP

• Voz sobre IP en el modelo OSI:

Seguridad en VoIP


• Voz sobre IP en el modelo OSI

– Característica constante: El tráfico de voz se transmite utilizando RTP/UDP. – Características variables: La señalización

• H.323 y SIP definen métodos de señalización de extremo a extremo (end-to-end) • MGCP define un método para separar la función de señalización de la función de

llamada. – MGCP utiliza un “CallAgent” para realizar la señalización de control – El dispositivo central, el “CallAgent”, participa solamente en la configuración

de la llamada – El tráfico de voz, va de dispositivo final a dispositivo final

Seguridad en VoIP

RTP

• Real Time Transport Protocol es un protocolo que opera en capa de sesión (por encima de la capa de transporte) del modelo OSI, sobre UDP

– RTP se ejecuta sobre UDP: • UDP Multiplexación de conexiones (nº de puerto) y comprobación de cabeceras • RTP proporciona: Nº de secuencia y marcas de tiempo Reordenar los

datagramas recibidos (nº de secuencia) y utilizar un pequeño buffer para eliminar el efecto del jitter, proporcionando una reproducción suave del audio

• El campo “payload” de la cabecera RTP indica cuál es la naturaleza del contenido que transporta: audio o vídeo

– Cuando un dispositivo intenta establecer una sesión de audio, RTP elige un puerto aleatorio entre 16.384 y 32.767 para cada flujo RTP

• Los flujos RTP son “símplex”, es decir, solamente transmiten información unidireccionalmente Comunicación bidireccional 2 flujos RTP, uno en cada sentido

• Los números de puerto se mantienen durante toda la sesión

Seguridad en VoIP

RTCP

• Al mismo tiempo que se establecen las conexiones RTP, se establecen también las conexiones RTCP Información estadística de los paquetes que participan en la llamada: Nº de paquetes, retardo, pérdida de paquetes y jitter

– Proporciona información útil, pero el protocolo no es crítico – Utiliza un puerto impar (normalmente el siguiente) del mismo rango que RTP – Intercambia información cada 5 segundos – Ayuda a determinar causas de error

Seguridad en VoIP


• SIP:

– Es un protocolo IETF que especifica los comandos y respuestas para establecer y finalizar llamadas

– Proporciona servicios de seguridad, proxy y transporte – Junto con SAP y SDP, proporciona información acerca de las sesiones multicast

existentes – Es un protocolo de señalización de extremo a extremo. – Se basa en HTTP y en la utilización del esquema de nombre URL – Es el protocolo de señalización más utilizado en la actualidad

• Skinny Client Control Protocol:

– Es un protocolo de señalización patentado por Cisco – Se utiliza para que los teléfonos IP se registren en el Call Manager y para la

señalización de llamadas a través dicho Call Manager

Seguridad en VoIP


• H.323:

– Es un protocolo estándar ITU definido para realizar conferencias interactivas. – Se diseñó originalmente para la distribución de multimedia en entornos no orientados a

la conexión. – En la actualidad, es un conjunto de estándares que define todos los aspectos de la

sincronización de voz, vídeo y transmisión de datos – Define la señalización de llamada de extremo a extremo

• MGCP:

– Es un estándar de control de pasarelas PSTN o de dispositivos ligeros (RFC 2705) – Define un protocolo para controlar a las pasarelas de VoIP conectadas da dispositivos

de control de llamadas externos (call agents) – Proporciona capacidad de señalización para dispositivos frontera (pasarelas) menos

costosa. – Evita que los dispositivos deban implementar el conjunto entero de protocolos H.323.

Seguridad en VoIP

Redes de telefonía basada en paquetes: Componentes

Seguridad en VoIP


• Teléfonos: Teléfonos IP, teléfonos software instalados en PCs, teléfonos convencionales

• Gatekeepers: Proporcionan administración y control centralizados del ancho de banda para todos los dispositivos de una determinada zona (“management zone”).

– Es un dispositivo opcional – Proporciona el servicio de “Call Admision Control” (evitar la sobresuscripción) – Traduce números o nombres a direcciones IP para el enrutamiento de llamada (H.323)

• Gateways: Interconectan las redes de VoIP con dispositivos de telefonía tradicional.

– Suelen ser routers con interfaces de voz, a la que se conecta una línea de voz. – Tienen también interfaces de datos que se conectan a la red de VoIP. – Recibe una señal de teléfono por la interfaz de voz, la digitaliza, comprime y

empaqueta en IP y la envía hacia su destino en la red IP. – Realiza la operación contraria cuando recibe paquetes de VoIP dirigidos a un

dispositivo de telefonía tradicional. Ambas operaciones las hace de forma simultánea (full-dúplex).

• Multipoint Control Units: Es un dispositivo necesario para gestionar conferencias (+ de 2 partes). Los participantes envían los datos al MCU y éste los reenvía a todos los destinos.

Seguridad en VoIP


• Servidores de aplicaciones: Proporcionan servicios a los teléfonos IP basados en XML (Cisco Call Manager Attendant Console).

• Call Agents: Proporcionan control de llamadas, CAC, control de ancho de banda y servicios de traducción de direcciones a los teléfonos IP o a las pasarelas “Media Gateway Control Protocol”

– Producto “Call Agent” de Cisco Call Manager • Realiza el seguimiento de todos los dispositivos de la red VoIP • Suele utilizar el protocolo “Skinny Client Control Protocol (SCCP)” para la

señalización a los dispositivos finales • Para pasar la señalización de llamada a las pasarelas se puede utilizar:

– H.323 – MGCP – Session Initiation Protocol (SIP)

• Call Manager actúa en cierto modo como una centralita IP • Dispositivos finales de vídeo: Añaden funcionalidades de vídeo a la voz: Incorporan

elementos para la captura y emisión de vídeo y audio.

Seguridad en VoIP

Seguridad en VoIP

Seguridad en VoIP

Seguridad en VoIP

• La telefonía IP es un servicio en tiempo real que depende del correcto funcionamiento de elementos de las 7 capas del modelo OSI durante el proceso de comunicación

– Infraestructura de red subyacente • Ventajas • Inconvenientes

– En cuanto a la seguridad: • Ataques propios en redes IP • Ataques específicos a aplicaciones de Telefonía IP

• La seguridad en Telefonía IP consiste en proteger todos los componentes del sistema de

Telefonía IP, sobre una infraestructura de red de datos segura, para proporciona tolerancia a fallos, estabilidad y escalabilidad:

– Teléfonos IP, Servidores, Enlaces, Sistemas de Mensajería, Pasarelas,… – Infraestructura de red (LAN/WAN), Red Inalámbrica,…

Seguridad en VoIP

Seguridad en Telefonía IP: Ejemplo

Seguridad en VoIP

Seguridad en Telefonía IP

• Por lo tanto, en primer lugar es necesario proteger la red de datos:

– Arquitecturas de Seguridad Perimetral – Seguridad en Redes de Área Local – Firewalls – Redes Privadas Virtuales con Ipsec

• No debe olvidarse la seguridad en el propio sistema de telefonía IP

• ¿Por qué proliferan los ataque a entornos Telefonía IP?: Motivos económicos:

• Robo de identidad o información • Fraude de llamadas • Espionaje • Interrupción de servicios

Seguridad en VoIP

Seguridad en Telefonía IP

• Elementos clave a proteger:

– La infraestructura de red: • Protección en las redes Ethernet

– Control de acceso, protección de STP, DHCP snooping,… • Protección en las redes WLAN:

– Control de Acceso, Cifrado • Control de tráfico entre diferentes zonas de seguridad

– Seguridad Perimetral – Las conversaciones individuales

• Diferentes tipos de VPN – Autenticación, Cifrado, Integridad

• Continuidad del negocio

• Valor del negocio

Seguridad en VoIP

Cómo Implementar Seguridad en Entornos VoIP

Seguridad en VoIP

Metodología de Seguridad en VoIP

• Las amenazas para un sistema de VoIP son tanto internas como externas

• La estrategia de seguridad a utilizar debe ser multicapa “Defensa en Profundidad”

• Servicios de seguridad básicos:

– Confidencialidad – Integridad – Disponibilidad

• Principios básicos:

– La seguridad de la red es un elemento consustancial a la red de VoIP – La seguridad del sistema de telefonía IP es un elemento fundamental para el buen

funcionamiento de una organización

Seguridad en VoIP


• Cuando se piensa en un sistema de telefonía IP ¿Qué se piensa en un primer momento que se debe proteger?

– Servicio de Control de llamadas: Dispositivos relacionados: Servidores SIP, Call Managers, Gatekeepers…

– Servicio de Buzón de Voz – Conectividad con la Red Telefónica Pública – Los dispositivos finales VoIP: Teléfonos, Softphones, …

• ¿Cómo proteger estos componentes?

– Autenticación y Cifrado Tráfico de Señalización como al Tráfico RTP – Establecimiento de elementos de control de llamadas – Conferencias Seguras – Enlaces troncales seguros – Etc.

Seguridad en VoIP


• Pero… ¿Qué pasaría si alguien consiguiese atravesar la defensa que se aplica a los sistemas específicos de VoIP?

• ¿Qué sucedería si un atacante consiguiese hacer “IP spoofing”, “MAC spoofing” o manipular una tabla ARP?

– La seguridad del sistema de Telefonía IP se vería comprometida

• Enfoque:

Seguridad en VoIP


• La seguridad de los sistemas de Telefonía IP solamente será estable, robusta y escalable si se asienta sobre otro bloque mayor, qué es la “Seguridad de la Red IP sobre la que se despliega el Sistema de Telefonía

– Modelo OSI Estrategia de defensa por capas • Como todo el mundo conoce, antes de proteger cualquier red IP deben contestarse las

siguientes preguntas:

– ¿Cuál es el nivel de seguridad que se requiere? – ¿Cuál es la política de seguridad de la organización?

• Una vez contestadas estas preguntas Planificación y Preparación del Despliegue de Seguridad: Aproximación “bottom-up”

– Considerar la seguridad como parte de la Arquitectura de la Red de Telefonía IP • Análisis de Riesgos + Definición de la Política de Seguridad de la Red VoIP

– Verificar el nivel actual de seguridad de la red Identificar problemas – Garantizar la seguridad física, de capa 2 y capa 3 de la red subyacente – Proteger las aplicaciones de VoIP: Servidores, dispositivos finales, buzones de voz …

Seguridad en VoIP


• Por lo tanto, la seguridad de un sistema de Telefonía IP descansa sobre cuatro pilares:

– Evaluación de Riesgos • Evaluación del impacto en el negocio de amenazas y vulnerabilidades • Probabilidad de explotación de amenazas • Ayuda a convertir un “gasto” en una “inversión”

– Arquitectura y Diseño de Seguridad • Directivas de seguridad corporativas • Estándares • Decisiones de gestión de riesgo • Recomendaciones de la Industria

– Implementación de los Sistemas de Telefonía IP y de Seguridad de Red • Implementación de procesos y servicios de seguridad, concurrentemente con el

despliegue de los servicios de telefonía – Operación y Mantenimiento de la Red de Telefonía IP

• Monitorización de los sistemas de seguridad y telefonía • Descubrimiento de fallos Mejora Continua

Seguridad en VoIP

Evaluar la Seguridad VoIP y Despliegue de la Política de Seguridad

• Es la capa base de la pirámide de seguridad

• La organización define la estrategia de seguridad corporativa

• Evaluación de la seguridad de red:

– Inventario de los componentes de la red – Ejecución de pruebas de penetración (Pentesting)

• Escáneres de red • Herramientas de manipulación • Herramientas de enumeración de dispositivos

– Fases: • Descubrimiento y recopilación de información: Política de Seguridad de Telefonía

IP y Seguridad Desplegada • Análisis de la Información: Evaluar la efectividad de la solución desplegada • Recomendaciones

Seguridad en VoIP

Evaluar la Seguridad VoIP y Despliegue de la Política de Seguridad

Seguridad en VoIP

Implementación de Seguridad en una Red de Telefonía IP

• “Sin una red IP segura, un sistema de telefonía IP no puede considerarse seguro”

Implementación de seguridad en la red subyacente: 1. Seguridad Física 2. Seguridad en Capa 2 3. Seguridad en Capa 3 4. Seguridad Perimetral

Seguridad en VoIP

Implementación de Seguridad en una Red de Telefonía IP

Seguridad en VoIP

Seguridad Física

• Elementos Implicados en la Seguridad Física:

– Candados, Cámaras, lectores de tarjetas de seguridad, cerraduras… guardias de seguridad

– Elementos propios de una red de soporte para VoIP: routers, switches, servidores, teléfonos, puntos de acceso, etc.

• Control de acceso

• Principales amenazas:

– Destrucción de los mismos – Robo de equipos – Aplicación de procedimientos de recuperación de contraseñas

Seguridad en VoIP

Seguridad de Capa 2

• En los entornos LAN, la seguridad en capa 2 es una de las grandes olvidadas, con el consiguiente riesgo que ello conlleva

– El entorno LAN se considera tradicionalmente como una red interna, y por lo tanto es una red protegida “por defecto”

– No se aplican los mecanismos de seguridad que se deberían • Mecanismos de seguridad a tener en cuenta:

– DHCP Snooping – Autenticación basada en IEEE 802.1x – Limitación de VLANs en los puertos troncales y en los puertos a los que se conectan

los teléfonos IP – Limitación del número de MACs aprendidas por puerto – Control del tráfico de broadcast… – Protección de STP

Seguridad en VoIP

Seguridad de Capa 2

• Amenazas:

– Uso de sniffers para la obtención de contraseñas – Cambio del switch raíz de la topología STP – Bloqueo de los teléfonos IP – Cambio de la pasarela por defecto – Cambio de los servidores que albergan la configuración de los teléfonos IP – Sniffing de conversaciones de telefonía IP – … y muchas otras

• Aplicar medidas de seguridad a partir de la capa 3 no será efectivo si no se considera la

seguridad en capa 2

Seguridad en VoIP

Seguridad de Capa 3

• Establece la conectividad de los dispositivos de VoIP de “extremo a extremo”

• Amenazas en capa 3:

– Ataques de DoS – IP spoofing – Ataques “Man-in-the-middle” – Envenenamiento de rutas – … entre otros

• La protección del intercambio de información en esta capa y de los mecanismos que se

utilizan para establecer cuál es la mejor ruta, son fundamentales para proporcionar seguridad en las capas superiores

Seguridad en VoIP

Seguridad Perimetral

• El perímetro se define como el punto de tránsito entre zonas de diferente nivel de seguridad en una red corporativa

• Zonas de seguridad típicas:

– Red Interna – Red Externa – DMZ

• En este punto deben reforzarse las medidas de seguridad, pues es donde la red corporativa se conecta con redes públicas

• Mecanismos de Defensa: Firewalls, IPS/IDS, Concentradores de VPNs

• Amenazas habituales provenientes de las redes externas:

– Intentos de intrusión – Malware – Explotación de vulnerabilidades – Ataques contra la privacidad e integridad

Seguridad en VoIP

Implementación de Seguridad en las Aplicaciones de VoIP

• Se consideran aplicaciones de VoIP aquellas donde el usuario interactúa utilizando procesos de alto nivel, es decir, son las aplicaciones que permiten que los usuarios “hablen”, realicen “vídeo-llamadas” o cualquier tipo de conferencia

• Las vulnerabilidades existentes en la capa de aplicación NO pueden ser mitigadas por los mecanismos de seguridad de las capas inferiores

Deben asegurarse servicios y aplicaciones de VoIP: • Actualización y parcheo de software • Blindaje de servidores • Comunicaciones cifradas • Autenticación fuerte

• Protocolos Implicados:

– HTTP/HTTPS, TFTP/SFTP, DNS, SMTP, Telnet/SSH/RDP/SNMP, SCCP/SIP/H.323/ MGCP

Seguridad en VoIP

Implementación de Seguridad en las Aplicaciones de VoIP

• Elementos a proteger:

– Dispositivos de Control de Llamada – Elementos relacionados con el sistema de buzones de voz – Elementos de Presencia – Pasarelas – “Gatekeepers” – Dispositivos Finales