Nimrod’s Sons

Por Murena Myrope Lavín Martínez

Índice:

1. ¿Qué tan seguro es tu teléfono IP
2. La tríada de Seguridad en VoIP
3. Aspectos de Seguridad a considerar en VoIP
4. Las mejores prácticas para la seguridad en VoIP
5. Estado Actual de Estándares en VoIP
6. Conclusiones
7. Referencias

¿Qué tan seguro es tu teléfono IP?

Las implicaciones de seguridad en el mundo de la telefonía IP son claras: asegurar la privacidad y el acceso a la información, maximizar la disponibilidad de los servicios, reducir costos y tener la confianza de extender los servicios a un grupo amplio de usuarios (locales, remotos, móviles). Por todo lo anterior las cuestiones de seguridad en este ámbito son estratégicas.

Recientemente se ha puesto de moda el término de ‘VoIP Security’ y han aparecido múltiples artículos al respecto. Existen varias organizaciones que emiten consejos de seguridad para esta área tecnológica. Como ejemplo podemos mencionar: compañías que fabrican este tipo de hardware/software, firmas investigadoras de seguridad y agencias gubernamentales (CERT, US-CERT, NISCC, AUS-CERT).

El reto que presenta la seguridad en la telefonía IP es verdaderamente complejo. Existe una gran diversidad de fabricantes y aplicaciones, la competencia entre fabricantes y las prioridades internas de cada organización dificultan la estandarización de esta tecnología. Además se debe de considerar que las responsabilidades de la administración de la telefonía IP en una organización se reparten en distintas áreas internas, lo que dificulta aún más las consideraciones de seguridad en este rubro.



La pregunta obligada es, ¿qué está haciendo la industria para ayudar? Uno de los primeros intentos de los fabricantes para formar una organización colaborativa y neutral en asuntos de seguridad informática para VoIP es VOIPSA, VoIP Security Alliance, (http://www.voipsa.org/) cuya misión es promover el estado actual de las investigaciones de seguridad en VoIP, brindar educación y concientización de los usuarios y proporcionar herramientas y metodologías gratuitas para pruebas en VoIP. Entre sus miembros se encuentran compañías como Avaya, Nortel, Siemens, Alcatel, Mitel, Extreme Networks, etc. Los proyectos que se encuentran desarrollando actualmente incluyen: taxonomía de las amenazas, requisitos de seguridad, mejores prácticas en seguridad para VoIP.

La triada de Seguridad en VoIP

Para conocer las amenazas de seguridad que afectan a VoIP es importante tener en mente la ‘tríada de seguridad’ :



Confidencialidad:

La privacidad es una gran preocupación para las corporaciones que implementan VoIP. La privacidad de la señalización y las llamadas es extremadamente importante. Una señalización expuesta puede proporcionar información a espías sobre los patrones de las llamadas: cuando se realizan, quien participa en la llamada, longitud de tiempo que permaneció activa, etc. Dependiendo de las circunstancias, el simple conocimiento de la existencia de una llamada puede proporcionar información a un extraño que desemboque en consecuencias negativas. Por otra parte, los paquetes de las conversaciones de voz no encriptadas, pueden ser capturados y posteriormente reensamblados en archivos audibles de tipo ‘.wav’ utilizando herramientas disponibles gratuitamente en Internet.

Voz

1. Amenazas: espionajes, ataques de ‘man in the middle’, ARP cache poisoning, ARP flooding.
2. Consecuencias: se rompe la brecha de seguridad en la llamada, esta brecha puede ser utilizada para usos personales o de la compañía.

Control de Llamadas

1. Amenazas: exposición de información sobre usuarios, sistemas, patrones, utilización de passwords default, vulnerabilidades en Web Servers de Administración.
2. Consecuencias: irrupción de la seguridad, utilización para fines maliciosos.

Estrategias de Defensa:

1. Protección física a los cuartos donde se encuentren los equipos de VoIP.
2. Utilización de una red con ‘ethernet switching’ y no medio compartido.
3. Utilización de VLAN’s y VPN’s en donde pueda aplicar (al igual que en la red de datos)
4. Encriptar las conversaciones y el control de llamadas. Asegurar el flujo de información (Secure RTP)
5. Asegurarse de que las tablas de ruteo, instrucciones y cuentas de acceso de los dispositivos de telefonía IP están bien mantenidas y protegidas por passwords seguros.

Integridad:

Algunos servicios como búsquedas de directorio o buzón de voz son ejemplo de componentes de telefonía tradicional que ahora residen en redes IP. Estos elementos no solo se encuentran expuestos a ataques que los pueden dejar inoperables, si no que también deben ser capaces de comunicarse con otros equipos para acceder a servicios críticos de soporte (e-mail o DNS). La integridad de los datos que proporcionan estos servicios debe permanecer intacta o puede ocurrir una interrupción grave de los servicios.

Voz

1. Amenazas: suplantación de personalidad, inyección de audio.
2. Consecuencias: ilimitadas.

Control de llamadas

1. Amenazas: uso fraudulento de recursos de telefonía: fraude económico, suplantación de personalidad, uso de servidores falsos de DHCP y TCP dentro de la red.
2. Consecuencias: costos incrementados y uso malicioso.

Passwords:

1. Amenazas: Descubrimiento de un usuario y de passwords de sistema o aplicación.
2. Consecuencias: ilimitadas, dependiendo del rol y de la función del password descubierto.

Estrategias de defensa:

1. Utilizar encripción para comunicaciones seguras.
2. Cambiar los passwords por default, definir una longitud mínima y cambios periódicos de passwords.
3. Nunca intercambiar los passwords en texto plano.
4. Mantenimiento de passwords, borrar cuentas de ex empleados, utilizar códigos de seguridad.

Disponibilidad:

La disponibilidad es uno de los requerimientos más críticos para los servicios de voz. En el caso de la telefonía sobre IP esto adquiere una importancia aún más significativa. En primer lugar, las redes IP son vulnerables a grandes cargas de tráfico o paquetes malformados, estos ataques pueden saturar las conexiones o causar que elementos de red u otros dispositivos conectados a la misma dejen de responder. La dependencia de la telefonía IP en las redes de IP implica que los ataques en cualquier punto de la red pueden tener un impacto negativo en la disponibilidad de los servicios de voz.

Los teléfonos IP, como su nombre lo indica, también funcionan sobre redes de IP. Si este tipo de dispositivos se dejan sin protección los atacantes pueden intentar interrumpir su servicio utilizando paquetes malformados o grandes cantidades de tráfico. Los teléfonos de IP a su vez dependen de varios otros servicios clave para sus funcionalidades básicas, por ejemplo: DNS, TFTP y DHCP. La falta de un servidor de DNS o DHCP puede dejar los servicios de telefonía inoperables durante la duración de la falla. La presencia de servidores falsos de DHCP o TFTP en la red representa una herramienta poderosa que puede ser utilizada por un atacante para alterar el flujo de la información. Esta situación normalmente se puede asociar a una recolección no autorizada de información pero también puede ocasionar interrupciones del servicio.

Universalmente la telefonía IP debe ser implementada en una infraestructura que cuente con ‘Quality of Service’ (QoS). El propósito de QoS es asegurar un tratamiento preferencial a ciertos protocolos o nodos dentro de la red. Los teléfonos IP tienen la capacidad de marcar los paquetes con indicadores de capa 2 y 3 que les servirán a otros dispositivos en la red para dar un tratamiento preferencial a los paquetes especialmente marcados. Se deben tomar consideraciones especiales para asegurar que no se presenten paquetes con indicadores de QoS falsos que engañen a la red, proporcionando un mejor rendimiento a información no esencial.

Negación de Servicios

1. Amenazas: Teardrop, SMURF, Ping of Death, bloqueo de cuentas, consumo de recursos de CPU, ataques de buffer overflow y manejo inapropiado de paquetes.
2. Consecuencias: Pérdida total o parcial de de los servicios de telefonía.

Estrategias de Defensa:

1. Políticas rigurosas de actualización de antivirus y parches de sistemas operativos.
2. Utilizar sistemas de detección de intrusos (IDS)
3. Proteger el acceso de fuentes externas. Esto se puede lograr utilizando un firewall con políticas de acceso bien definidas.
4. Limitar el acceso de fuentes internas, utilizando un firewall.
5. Utilización del protocolo 802.1 p/q (VLAN) para aislar y proteger el ancho de banda del dominio de voz de inundaciones de negación de servicios que provengan del dominio de datos.


Seguridad de VoIp en Capas

Aspectos de Seguridad a considerar en la voz sobre IP

En el ámbito de la voz sobre IP es necesario considerar los aspectos de seguridad relativos a los elementos que conforman el núcleo sobre el cual funciona dicha tecnología: media, control de llamadas, administración, red TCP/IP y PSTN (Public Switched Telephony Network). Es importante tener en consideración la seguridad de la ruta que toman los paquetes relativos a cada una de las áreas mencionadas anteriormente.

Aspectos de Seguridad a considerar en la telefonía IP

Media:

Amenazas

1. Espionaje: Particularmente si es sobre una red wireless o Internet (sniffing)
2. Degradación en la calidad de voz por un ataque de negación de servicios (DoS).

Estrategias de Defensa:

1. Encripción del camino por el que circulan los datos de voz.
2. Utilizar los protocolos WPA, WPA2 para redes wireless.
3. Utilizar VLAN’s.
4. Filtrado de paquetes.


Camino que siguen los paquetes de RTP (Real Time Packets)

Control de llamadas, Señalamiento (SIP, H.323 y otros):

Amenazas

1. Negación de servicios
2. Suplantación de identidad
3. Fraude Económico
4. Robo de códigos de cuentas

Estrategias de Defensa

1. Encripción del camino de señalamiento.
2. Descarga de firmware encriptado.
3. Programación de sistemas adecuada.


Camino que siguen los paquetes de señalamiento (SIP, H.323 y otros)

Administración:

Amenazas:

1. Robo de passwords
2. Negación de servicios
3. Suplantación de aplicaciones (man in the middle)
4. Monitoreo de patrones de las llamadas

Estrategias de Defensa:

1. Defensas contra ataques de DoS en la infraestructura de la red.
2. Cambio de los passwords default en todos los dispositivos administrados.
3. Asegurar la seguridad física.
4. Asegurar el acceso a los puertos mediante tecnologías de autenticación.
5. Utilizar SSL (Secure Socket Layer).


Aplicaciones utilizadas para administrar la infraestructura de VoIP: Telnet, HTTP, FTP, SNMP, XML, TAPI

PSTN y dispositivos Legacy

Amenazas:

1. Fraudes económicos a través de ataques a la red pública
2. Suplantación de personalidad

Estrategias de defensa:

1. Utilizar Class of Restriction (COR). Característica que provee la habilidad de negar ciertos intentos de llamadas basadas en los COR’s de entrada y salida definidos en los dial-peers. Por ejemplo bloquear llamadas a números 900.
2. Utilizar Class of Service (COS). Se refiere a la diferenciación del tráfico o la habilidad de tratar los paquetes de forma diferente basados en la importancia del paquete.
3. Utilizar Códigos de cuentas
4. Restricciones de trunk
5. Restricciones de interconexión


Líneas Analógicas, ISDN, Q.SIG, DPNSS

Red TCP/IP, IEE 802.1X:

Como administrador de la red es importante cuestionarse si realmente los usuarios adecuados son quienes se están conectando a los nodos de la red. Cualquier atacante con intenciones maliciosas que tenga acceso físico a un nodo de la red, que no este protegido, puede tener éxito en sus ataques posteriores. Por esta razón es importante considerar que los dispositivos en la red deben autenticarse antes de que se abra el puerto del switch para brindarles comunicación.

Lo anterior se logra utilizando el protocolo IEEE 802.1X. Esto incluye la utilización de EAP (Extensible Authentication Protocol), que es un mecanismo de autenticación utilizado frecuentemente en redes wireless y conexiones punto a punto (PPoE). Algunos de los métodos de EAP que se pueden utilizar incluyen: EAP-MD5, Protected EAP (PEAP), EAP-TTLS (Tunneled TLS), EAP-TLS, EAP-FAST, Lightweight EAP (LEAP). Estos métodos se complementan con un servidor RADIUS o similar. Los nombres de usuario y passwords son inyectados utilizando la interfaz del teléfono o el certificado incluido.

SPIT (SPAM over Internet Telephony):

Para este tipo de ataques se utilizan herramientas como ‘Fear’ que itera a través de direcciones SIP (111@sip.company.com), (112@sip.company.com), (113@sip.company.com) y abre un archivo de audio cuando una llamada es contestada ya sea por una persona o por un buzón de voz.

Actualmente este tipo de conexiones directas no son permitidas en la mayoría de los sistemas de voz. Sin embargo, conforme las compañías hagan un mayor uso de SIP trunking o de sistemas de conexión directa IP-PBX a la Internet (permitiendo llamadas entrantes de otro IP endpoint) este tipo de spam puede incrementarse.

Mientras tanto, la PSTN provee un firewall para este tipo de llamadas, ya que las compañías de telemarketing tienen que iniciar llamadas no solicitadas a través de su red.

Las mejores prácticas para la seguridad en VoIP

Es muy importante considerar la necesidad de la encripción de la señalización de las llamadas y las llamadas en sí mismas en telefonía IP, por los beneficios relativos a la privacidad que proporciona a la organización el empleo de este método. Todos los streams de voz y la señalización de las llamadas deberá permanecer encriptada, preferentemente de punta a punta. Para la encripción de voz se puede utilizar Secure RTP (SRTP) con 128-bit AES. La señalización deberá utilizar SSL/TLS siempre que sea posible. Una solución alternativa es utilizar IPSec para encriptar todo el tráfico.

Se debe evaluar la infraestructura de la red para verificar que este lista para transportar tráfico de voz sobre IP antes de implementar esta tecnología. Es necesario utilizar VLAN’s para segmentar la red de datos y de voz. El NIST (National Institute of Standard and Technology) recomienda que se separen los segmentos de datos de los segmentos de voz. Esta separación facilita la aplicación de filtros y reglas de seguridad en equipos de telefonía IP para grupos específicos. Lo anterior facilita a su vez, la configuración y aplicación de políticas de QoS, seguridad e IDS (Intrusion Detection Systems). Por otra parte, la separación de los segmentos pone a los teléfonos IP en una posición en donde ya no están expuestos a ataques directos de las PC’s adyacentes. En un diseño plano, los teléfonos de IP pueden ser atacados desde las PC’s vecinas que fueron comprometidas o infectadas. Los atacantes pueden utilizar las redes sin segmentación para capturar paquetes de voz desde una PC que ya ha sido comprometida. Si se mantienen las redes de voz y datos separadas lógicamente, es mucho más difícil que un atacante pueda comprometer la red de voz.

El NIST recomienda también la implementación de firewalls y filtros entre los segmentos de voz y datos. Los firewalls proporcionan un solo punto de concentración para la aplicación de políticas de seguridad. Estas políticas definirán que recursos tienen acceso a que otros recursos y además proporcionan un registro de las actividades realizadas. Los firewalls pueden ser dispositivos ‘stand-alone’ o pueden estar incorporados dentro de routers, dispositivos de VPN o IDS.

Las redes deben estar siendo monitoreadas continuamente para buscar actividad sospechosa. El NIST recomienda la utilización de IDS en segmentos de telefonía IP para alertar a los administradores de la red en caso de que se presente actividad anómala o sospechosa.

La administración remota de los dispositivos de red deberá ser realizada sobre conexiones encriptadas. Es indispensable manejar una política de passwords adecuada, que incluya el no utilizar passwords por default y tener una rotación de passwords cada cierto periodo de tiempo. Las acciones tomadas en lo sistemas se deben loguear de tal manera que sea posible realizar auditorias posteriores. Únicamente se deben permitir conexiones seguras para el acceso vía web (SSL, HTTPS).

En cuantos a los servidores utilizados en la infraestructura para proveer servicios de voz sobre IP; éstos deberán ser incorporados a sistemas de ‘patch management’ y manejo de antivirus. Todo el equipo de telefonía debe estar localizado en un ambiente con la seguridad física adecuada. Se debe considerar el tener suficiente energía de respaldo para mantener la operación de los dispositivos de telefonía y de red en caso de una falla de energía eléctrica. Todos los dispositivos wireless deberían ser implementados utilizando WPA y/o WPA2 en lugar de WEP.

Para contrarrestar las amenazas que provienen de la red pública PSTN, se deben tomar medidas como el COS (Class of Restriction) que ayuda a prevenir fraudes económicos. En los puntos de mayor criticidad, es necesario habilitar códigos de cuentas para permitir un mejor rastreo de las llamadas. Se deben habilitar los logs de SMDR (Station Message Detail Recording) para monitorear el uso de las llamadas en la red.

Por último es recomendable llevar un seguimiento de las aplicaciones de VoIP como el buzón de voz. Se debe poner atención en aquellas cuentas en las que se presente un rápido incremento en el tamaño del buzón utilizado.

Estado Actual de Estándares en VoIP

La gran mayoría de los desarrollos en VoIP utilizan protocolos propietarios. Sin embargo el futuro de la industria apunta a SIP (Session Initialization Protocol) y SRTP (Secure RTP).

La gran mayoría de los estándares de VoIP se encuentran bajo la IETF (Internet Engineering Task Force). Algunos de sus grupos de trabajo son: SIP, SIPPING, SIMPLE, NMUSIC, BEHAVE, ECRIT, SPEER.

Algunos de los problemas más grandes de seguridad en los que esta trabajando la IETF incluyen:

1. ¿Cómo intercambiar las llaves de SRTP entre distintos fabricantes?
2. ¿Cómo conocer la identidad de quien realiza una llamada? (para combatir el SPIT)
3. ¿Cómo manejar las llamadas de emergencia 911?
4. ¿Cómo encontrar otro número en Internet sin utilizar el PSTN? (ENUM)
5. ¿Cómo mejorar el ‘NAT/firewall traversal’?
6. ¿Cómo se autentican las conexiones entre los ‘peers’? (por ejemplo SIP trunking para bypass de PSTN)

Conclusiones:

La paradoja de VoIP es que la gran mayoría de los administradores de las redes de voz pueden pensar que este tipo de tecnología es mucho más segura de lo que nunca fue el PSTN, pero la realidad es que por la misma complejidad y diversidad de los componentes de VoIP se incorporan muchos más huecos de seguridad que pueden ser explotados por atacantes con intenciones maliciosas.

Es fundamental el permanecer siempre alerta y vigilante en las redes de voz, poniendo especial atención y procurando seguir, cuando es posible, las mejores prácticas de seguridad dictadas por instituciones especializadas en la materia.

Referencias:

http://www.blueboxpodcast.com/2006/05/blue_box_podcas.html
Blue Box Podcast SE009: VoIP Security Presentation to IP Telephony for Government Conference – April 18, 2006. Dan York.

http://csrc.nist.gov/publications/nistpubs/800-58/SP800-58-final.pdf
Security Considerations for Voice over IP systems – recommendations of the National Institute Standards and Technology

http://j.b5z.net/i/u/2155188/h/mank_qouvia.pdf
QOVIA, Securing VoIP, Stephen P Mank.