Upload
others
View
16
Download
0
Embed Size (px)
Citation preview
Unidad 1. Seguridad en soluciones de vanguardia
Telemática
Seguridad II
(KSGII)
Semestre 5
Unidad 1
Seguridad en soluciones de vanguardia
Clave
21143525
Universidad Abierta y a Distancia de México
Unidad 1. Seguridad en soluciones de vanguardia
Unidad 1. Seguridad en soluciones de vanguardia.
Introducción…………………………………………………………………………………………………………………………….3
Competencia……………………………………………………………………………………………………………………………4
Logros………..……………………………………………………………………………………………………………………………4
1.1 La seguridad de un endpoint………………………………………………………………………………….……….…5
1.1.1 Examinando las vulneravilidades de los sistema operativos……………………………………………6
1.1.2 Examinando aplicaciones vulnerables…………………………………………………………………………….8
1.1.3. Entendiendo el ataque del desbordamiento de buffer…………………………………………….…...9
1.1.4. Formas adicionales de ataque……………………………………………………………………………………....9
1.1.5. Mejores prácticas para la seguridad de los equipos terminales……………………………..…….11
1.2 Implementando Seguridad en SAN……………………………………………………………………………..…...12
1.2.1 Fundamentos de una SAN………………………………………………………………………………….……..…..12
1.2.2 Beneficios organizacionales en el uso de una SAN……………………………………………………..….13
1.2.3 Bases de una
SAN………………………………………………………………….........................................................................13
1.2.4 Fundamentos de seguridad en SAN……………………………………………………………………………….13
1.2.5 Tipos de ataques hacia SAN……………………………………………………………………………………………14
1.2.6 Implementando técnicas de seguridad en SAN………………………………………………………………14
1.2.7 Usando enmascaramiento LUN …………………………………………………………………………………….15
1.2.8 Usando estrategias de zonificación SAN…………………………………………………………..……………15
1.3 Seguridad en soluciones de voz……………………………………………………………………………..…………16
1.3.1 Generalidades de las redes VoIP……………………………………………………………………………………17
1.3.2 ¿Por qué VoIP? ……………………………………………………………………………………………………………..18
1.3.3 Componentes de una red VoIP………………………………………………………………………………………20
Unidad 1. Seguridad en soluciones de vanguardia
1.3.4 Protocolos
VoIP………………………………………………………………………………………………………………………………..…....22
1.3.5 Asegurando una red VoIP……………………………………………………………………………………………..22
1.3.6 Protegiendo una red VoIP con VLAN auxiliar………………………………………………………………..22
1.3.7 Protección de redes VoIP con dispositivos avanzados de seguridad……………………….….…23
Cierre de la
Unidad………………………………………………………………………………………………………………….……………....26
Fuentes de consulta……………………………………………………………………………………………………………… 27
Unidad 1. Seguridad en soluciones de vanguardia
3
Introducción
En el mundo de las redes el término “endpoint” puede referirse a varios tipos de dispositivos desde
estaciones de trabajo hasta tabletas o smartphones. Este capítulo utiliza el término “endpoint” como
una computadora personal o cualquier otro dispositivo que utilice la internet y posea el rol de cliente,
incluso los servidores también son considerados como “endpoint” en ambientes de red, así mismo nos
referiremos a equipos terminales como endpoint.
Se mostrará la variedad de amenazas hacia los dispositivos finales y discutiremos acerca de las
tecnologías que se han implementado para proteger de amenazas a los mismos.
Para implementar una estrategia efectiva para defender los endpoints, es necesario tener conocimientos
actualizados en materia de seguridad. Esta sección describe los métodos actuales para la protección de
dispositivos finales, como Host-based Intrusion Prevention System (HIPS), checadores de integridad
(integrity checkers), protecciones a sistemas operativos y el dispositivo de Control de admisión a la red
(Network Admission Control, NAC).
Como parte de nuestro estudio, exploraremos los principios fundamentales de seguridad en endpoints,
también examinaremos las amenazas específicas hacia endpoints y ayudaremos a entender cómo
defendernos de ellas, junto con otros ataques conocidos como son gusanos, virus y caballos de troya.
Unidad 1. Seguridad en soluciones de vanguardia
4
Competencia
Identifica las vulnerabilidades, componentes, mecanismos y tendencias de seguridad en redes
corporativas.
Logros
• Identificar las soluciones de seguridad necesarias para el cumplimiento de las estrategias establecidas por las organizaciones, con el fin de cumplir sus objetivos operativos basados en la lógica de negocio.
• Identificar las características generales de las soluciones de vanguardia organizacionales y las vulnerabilidades que tienen los diferentes dispositivos que las soportan, así como los mecanismos de mitigación de ataques.
Unidad 1. Seguridad en soluciones de vanguardia
5
1.1 La seguridad de un endpoint
Antes de que conozcamos los pasos para defender endpoints, es necesario entender qué es la seguridad
de endpoints y en qué consiste. Comenzaremos explorando los principios fundamentales que
intervienen en la seguridad de un endpoint, partiendo de la necesidad de defenderlos de los ataques
mayormente conocidos. Las mejores prácticas basan la protección de los endpoints en los siguientes
elementos:
Elementos de seguridad Descripción
Protección de host El agente de seguridad provee un nuevo comportamiento basado
en tecnología diseñada para la protección de host de ataques por
gusanos, virus y caballos de troya.
Control de admisión a
la red (NAC)
Para asegurar que todos los dispositivos finales cumplen con las
políticas de seguridad antes de intentar de ingresar a la red, las
organizaciones emplean el marco de trabajo NAC. Implementando
NAC aseguran el ingreso a la red de un dispositivo seguro. Los que
no pasan la prueba del NAC no pueden ingresar a la red.
Contenedor de
infecciones de red
Cisco ha introducido un contenedor de infecciones de red para
almacenar los métodos de ataque que pueden comprometer la
red. El propósito del contendor es automatizar los elementos clave
del proceso de respuesta a una infección.
Elementos de seguridad
Se preguntarán, ¿por qué si se cuenta con protección perimetral?, es necesaria una protección sobre los
dispositivos finales. Los hosts ejecutan varias aplicaciones en diferentes sistemas operativos. Mantener
una estrategia de seguridad sobre dispositivos finales es fundamental para proteger tu red, debido a que
el software que estos dispositivos corren puede tener vulnerabilidades que los atacantes pueden
explotar.
Unidad 1. Seguridad en soluciones de vanguardia
6
El primer paso para proteger el software de los dispositivos finales es asegurarse que el software se
encuentra actualizado y tienen instalado todos los parches de seguridad con el objeto de conocer el
mecanismo de bloqueo de vulnerabilidades conocidas; por lo tanto, tenemos áreas principales en las
cuales enfocarnos:
• Seguridad del sistema operativo.
• Seguridad de las aplicaciones que corren sobre el sistema operativo.
1.1.1. Examinando las vulnerabilidades de los sistemas operativos
A continuación se mencionan los servicios de seguridad básicos que proveen los sistemas operativos a
todas las aplicaciones que corren sobre ellos:
Servicio de seguridad básico Descripción
Código seguro Esta es una garantía que el código del sistema
operativo no se encuentra comprometido.
Esta garantía podría ser proveída a través de
un proceso de chequeo de integridad para
todo el código que se encuentra corriendo,
utilizando Hash-based Message
Authentication Code (HMAC) o firmas
digitales. Las firmas digitales a menudo son
utilizadas para asegurar que el código es
auténtico y no se encuentra comprometido
Ruta confiable Una ruta confiable es una proceso que ayuda
a asegurar que el usuario está utilizando un
sistema genuino y no un caballo de troya
Unidad 1. Seguridad en soluciones de vanguardia
7
Contexto privilegiado de ejecución Provee un grado de autenticación de
identidad y ciertos privilegios basados en la
identidad.
Proceso de protección de memoria y
separación
Provee separación de otros usuarios y sus
datos
Control de acceso hacia los recursos Asegura confidencialidad e integridad de los
datos
Servicios básicos de seguridad proveídos hacia aplicaciones
Incluso con estos servicios básicos de seguridad ejecutándose, un intruso podría ejecutar un ataque.
Uno de los beneficios que incluyen los sistemas operativos modernos es que proveen cada proceso con
una identidad y privilegios. Durante la operación del programa, el cambio de privilegios es posible, o esto
puede ocurrir autenticándose como un nuevo usuario.
Técnicas de protección Descripción
Concepto del menor privilegio Consiste en conceder al proceso el menor
privilegio para efectuar su trabajo.
Separación entre procesos El sistema operativo ejecuta la separación de
procesos de manera virtual o física
Monitor de referencia Este es un concepto de control de acceso, se
refiere a un mecanismo o proceso que regula
todos los accesos a objetos. Un punto central
para todas estas decisiones es proveída por el
monitor de referencia.
Pequeñas y verificables piezas de código Esto podría ser administrado y monitoreado
Unidad 1. Seguridad en soluciones de vanguardia
8
por el monitor de referencia
Técnicas de protección de los endpoints
1.1.2. Examinando aplicaciones vulnerables
Es importante dar los pasos adecuados para manejar las vulnerabilidades de tu sistema operativo, como
instalar los paquetes de servicio y parches para una operación segura. Estas aplicaciones que evitan
ataques se pueden clasificar en:
Es evidente que entre más privilegios tenga una aplicación utilizada por un atacante, ésta puede causar
un mayor daño. El objetivo de la mayoría de los atacantes es ganar privilegios en los dispositivos donde
se encuentra almacenada información crítica. Si el objetivo del atacante es comprometer la
confidencialidad de los datos sensibles y tienen forma de comunicarse con una aplicación, lo más seguro
es que pueda extraer o alterar los datos a través de ella.
Otra forma de ataque es DoS hacia una aplicación específica, el cual podría provocar que la información
brindada por la aplicación sea inaccesible por usuarios legítimos. Un ejemplo de este tipo de ataque
• Un atacante engaña a la aplicación para ejecutar una tarea utilizando la escalación de privilegios.
Directas:
• Un atacante compromete un subsistema y luego a su vez este subsistema compromete a otro. Esto se conoce como la escalación de privilegios.
Indirecta:
Unidad 1. Seguridad en soluciones de vanguardia
9
es la corrupción de una gran base de datos que soporta las transacciones de un portal de
comercio electrónico.
Un método común usado por los atacantes que realizan DoS involucra saturación de solicitudes de
comunicación haca la máquina de la víctima. En la media en que las solicitudes de comunicación van
aumentando, el sistema de la víctima responde cada vez menos a solicitudes de usuarios auténticos,
llegando a desbordar el sistema provocando una severa lentitud o indisponibilidad total del mismo. Estos
tipos de ataque DoS pueden ser implementados por dos técnicas primarias.
• Forzar al sistema de la computadora objetivo a un reinicio o el consumo excesivo de recursos de
procesamiento haciendo inoperable el sistema.
• Obstruir el medio de comunicación que provee el servicio (saturación) e impedir que solicitudes
legítimas lleguen al sistema.
1.1.3. Entendiendo el ataque del desbordamiento de buffer
¿Cuál es la función del buffer?
Cuando un usuario u otro recurso de software interactúan con una aplicación, ésta tiene que verificar
que todas las entradas, ya que pueden contener un formato de datos inválido, secuencias de control o
simplemente demasiados datos que la aplicación tiene que atender. Los atacantes saben de esta
condición y tienden a explotar esta vulnerabilidad colocando demasiados datos de entrada en el buffer
de la aplicación.
1.1.4. Formas adicionales de ataque
El ataque por desbordamiento de buffer pude ser el indicio de ataques más severos, como inserción del
código malicioso a través de un virus, gusano o caballo de troya, obteniendo acceso al sistema y
efectuando su ataque. Dos de los gusanos más destructivos en la historia fueron SQL Slammer y Code
Red. A diferencia de los gusanos, los virus pueden tomar una mayor ventaja de los desbordamientos de
buffer para efectuar su explotación. Los caballos de troya, al igual que los virus utilizan también el
desbordamiento de buffer para su ataque, a continuación describiremos con mayor detalle estas tres
amenazas.
Unidad 1. Seguridad en soluciones de vanguardia
10
Gu
san
os
Se trata de código malicioso que puede replicarse por sí mismo hacia todos los recursos de la red y explotar las vulnerabilidades de cada uno. Pueden replicarse sin la necesidad de infectar a un archivo en particular o de la intervención de un usuario, como lo necesitaría un virus para su replicación.
Vir
us
A diferencia de los gusanos, esta piezas de código malicioso si requieren un archivo para su propagación además de la necesidad de que un usuario trate de ejecutar el archivo. Una de las características de estos virus es que su código puede modificarse dinámicamente y evitar ser detectados por los antivirus.
Cab
allo
s d
e tr
oya
Se refieren a un hecho histórico en donde los Espartanos regalaron un caballo de madera a troya a manera de ofrenda a Atenea, por la noche, los guerreros salieron de adentro del caballo y atacaron desde adentro a Troya. Así mismo funciona este tipo de ataque, un archivo puede parecer inofensivo, pero dentro del mismo se esconde código malicioso que al ejecutarse el atacante puede obtener privilegios dentro del sistema operativo, por lo cual si se ejecuta en una sesión de administrador se comprometería el sistema de manera considerable.
Unidad 1. Seguridad en soluciones de vanguardia
11
1.1.5. Mejores prácticas para la seguridad de los equipos terminales
Mantener un sistema altamente seguro es posible, sin embargo, implica un alto costo de soporte, y que
continuamente se diseñan ataques cada vez más sofisticados. Como responsable de la seguridad de la
red es mandatorio establecer mecanismos que permitan el cierre de vulnerabilidades, regularmente los
fabricantes de los dispositivos y sistemas publican constantemente actualizaciones de seguridad para sus
productos, que deben descargarse de manera automática o manual. Adicional a lo anterior existen
diferentes organismos dedicados a la investigación de nuevas formas de ataque y cómo evitar los
mismos, por ejemplo el instituto SANS publica continuamente una lista de los 20 ataques con mayor
presencia en el momento.
Adicionalmente a la implementación de herramientas de cierre de vulnerabilidades, el administrador
debe de implementar controles de acceso a la red a nivel hardware, como firewalls, que limitan la
exposición de los dispositivos de la LAN a ataques desde el exterior. Estos dispositivos permiten que
solamente que tráfico autorizado pueda ingresar a los diferentes servicios de la LAN. No sólo los firewalls
ayudan a este propósito, también checadores de integridad como IPS son necesarios para la prevención
de ataques.
Aplicación de métodos de protección de aplicaciones
Para concluir el tema de las mejores prácticas de seguridad, es importante revisar cuatro métodos
fundamentales para la protección de aplicaciones que pueden ayudar a hacer una infraestructura de red
más segura:
• Usar controles de acceso a aplicaciones para utilizar el privilegio más bajo posible que permita la
actividad del usuario.
• Criptografía es otra área importante a considerar, al usarse apropiadamente, puede proveer
confidencialidad, integridad y autenticidad a los datos.
• Nunca confiar de los datos que provienen de recursos externos ya que pueden contener
diferentes tipos de código malicioso y dañar los recursos internos
• Desafortunadamente los ataques no siempre provienen del exterior, también pueden ser
generados desde el interior de manera intencional y no intencional, por lo cual es necesario
establecer políticas de seguridad para cada caso.
Unidad 1. Seguridad en soluciones de vanguardia
12
1.2 Implementando Seguridad en SAN
Cada día las organizaciones crean grandes cantidades de información que requieren ser almacenadas,
gran parte de esta información son datos críticos que requieren ser almacenados para su consulta
posterior. SAN (Storage-Area Netork) ofrece una solución accesible. Con la información crítica
almacenada en SANs, las organizaciones requieren estrategias de seguridad que garanticen los tres
principios básicos de seguridad de la información (vistos en la asignatura Seguridad I) aplicados a esta
solución. Este apartado explora las operaciones fundamentales para implementar protección a una SAN
así como los ataques y la forma de defenderla.
1.2.1 Fundamentos de una SAN
Con el aumento en la necesidad de resguardo de datos por parte de las organizaciones, se generó esta
solución que reemplazó el almacenaje propiamente en los servidores para que éstos pudieran acceder a
ellos almacenados en otro lugar. Siguiendo los principios de una LAN en la cual los clientes se conectan a
servidores, en una SAN los servidores se conectan a Storage, e incluso Storage con Storage.
El término Storage se refiere a un dispositivo que contiene un arreglo de
discos duros de gran capacidad para el almacenamiento de datos.
SAN
SERVIDORES DE
APLICACIONES
Red IP
Unidad 1. Seguridad en soluciones de vanguardia
13
Storage-Area Network (SAN)
Una SAN no necesariamente tiene que estar separada físicamente de la LAN. Una SAN puede ser
implementada en una subred dedicada para transportar a información crítica I/O (Input-Output, de
entrada y salida (escribir o leer)) entre los servidores y los dispositivos de storage.
1.2.2 Beneficios organizacionales en el uso de una SAN
Cuando los recursos de una red son inaccesibles, la organización se ve afectada directamente en
términos de productividad. Esta solución garantiza que los datos sean accesibles a grandes velocidades
incrementando el performance de la red, además ofrece escalabilidad, algo sumamente importante ya
que año con año aumentan las necesidades de almacenamiento no implicando deshacerse de la
información más antigua.
1.2.3 Bases de una SAN
El modelo de comunicación Small Computers Systems Interface (SCSI) es la base da la mayoría de las
tecnologías de transporte en una SAN. Esta tecnología provee rapidez y confiabilidad para el manejo de
datos, satisfaciendo las necesidades actuales de la mayoría de las organizaciones a nivel mundial.
1.2.4 Fundamentos de seguridad en SAN
Con gran cantidad de información crítica almacenándose diariamente, la seguridad es un aspecto
esencial. El aseguramiento de una SAN obedece a procesos y características técnicas que protegen la
integridad y facilitan la disponibilidad de los datos. La seguridad en una SAN incorpora 4 aspectos
fundamentales:
• Autenticación y autorización centralizadas, registro de bitácoras para todos los cambios
efectuados, administración basada en roles.
• Aseguramiento de que sólo dispositivos autorizados puedan acceder a los datos.
Unidad 1. Seguridad en soluciones de vanguardia
14
• Aseguramiento de la transmisión y recepción de los datos a través del aislamiento del tráfico y
controles de acceso, lo cual asegura una protección sobre los demás dispositivos que se
encuentran en la red.
• Encriptación total de los datos que se transfieren desde el storage, y respaldo de la información
almacenada.
SAN segura
1.2.5 Tipos de ataques hacia SAN
Al igual que otras áreas de la LAN, la SAN no está exenta de ataques. Existen múltiples ataques hacia esta
solución. En general se clasifican en tres clases, como a continuación se describen.
Clase de ataque SAN Descripción
Snooping Ataques en contra de la confidencialidad de los datos
Spoofing Ataques en contra de la confidencialidad y también de la
integridad de los datos
Denial of Service (DoS) Ataques en contra de la disponibilidad de los datos
Clases de ataques SAN
SAN
SERVIDORES DE
APLICACIONES
Red IP
Unidad 1. Seguridad en soluciones de vanguardia
15
1.2.6 Implementando técnicas de seguridad en SAN
Con el incremento constante en el requerimiento de almacenamiento de datos por partes de las
organizaciones, se tienen que crean técnicas para su protección, tanto cuando residen en los discos del
storage como cuando son transmitidos a través de la red.
1.2.7 Usando enmascaramiento LUN
Un LUN (Logical, Unit Numer) es una dirección para una unidad de disco duro y por extensión, el disco en
sí mismo. El término es originario del protocolo SCSI como una forma de diferenciar unidades de disco
individuales dentro de un bus SCSI tal como un arreglo de discos.
Es un proceso de autorización un LUN disponible para algunos host y no está disponible para otros
dispositivos. El enmascaramiento LUN se implementa principalmente en el nivel de HBA (Host Bus
Adapter). El enmascaramiento LUN implementado a este nivel es vulnerable a cualquier ataque que
compromete el HBA.
El enmascaramiento LUN permite a los usuarios expresar en el controlador una relación específica y
entre un LUN y un host, esto permite que ningún host más podrá ver ni manipular esta LUN. Esto es
sumamente importante porque los servidores basados en Windows intentan escribir etiquetas de
volumen en todos los LUNs disponibles. Lo anterior puede provocar que los LUNs queden inutilizables
por otros sistemas operativos lo que podría generar pérdida de información.
1.2.8 Usando estrategias de zonificación SAN
Es común que una SAN contenga varios dispositivos de almacenamiento. Bajo este contexto, para
propósitos de seguridad, un dispositivo de almacenamiento no necesariamente tienen que interactuar
con otro (dispositivo de almacenamiento) dentro de la misma SAN. Para prevenir esto, se implementa la
Zonificación por canal de fibra, que consiste en la partición del canal de fibra en redes más pequeñas.
Unidad 1. Seguridad en soluciones de vanguardia
16
Zonificación por canal de fibra
1.3 Seguridad en soluciones de voz
En el pasado las compañías utilizaban sus propios dispositivos PBX para brindarles a los usuarios servicios
de voz. Al emerger las tecnologías de datos, las compañías comenzaron a utilizar sus respectivos
servicios en diferentes canales, siendo esta una práctica común en la infraestructura de
telecomunicaciones organizacional, puntualmente, separar a voz, los datos e incluso el video.
Posteriormente, la disponibilidad de tecnologías de vanguardia en el manejo de datos y la priorización
del tráfico, significó la integración de estos servicios a través del mismo canal, a este enfoque se le llamo
Red Convergente, la cual era rentable en términos de costo-beneficio para las organizaciones, ya que a
través de una sola infraestructura se podían transmitir, voz, datos y video. Adicional, se creó el concepto
de Voice over IP (VoIP), que significa el transporte de voz sobre una red IP, agregando múltiples
características a las redes tradicionales.
SAN
Disco 2
Disco1
Disco 3
Disco 4
Zona A
Zona B
Host 2
Host 1
Zona C
SAN
Unidad 1. Seguridad en soluciones de vanguardia
17
La adición de dispositivos de voz a las redes corporativas, introdujo vulnerabilidades potenciales a la
infraestructura. En esta sección examinaremos varios ataques que pueden ser lanzados hacia redes con
VoIP y las formas de mitigarlos para generar redes VoIP seguras.
1.3.1 Generalidades de las redes VoIP
En escencia, VoIP envía paquetes de voz sobre una red IP, al mismo tiempo que la red transporta
paquetes de datos, resultando un riegos potencial de la calidad en el mensaje de voz hacia el
destinatario y la apertura de brechas de seguridad. Afortunadamente, existen tecnologías de priorización
de tráfico como Quality of Service (QoS) en Cisco o Class of Service (CoS) en Juniper, por mencionar
algunos, que aseguran la calidad y la seguridad en las trasmisiones de paquetes de voz.
La posibilidad de implementar VoIP brinda a las organizaciones una reducción de costos considerable, ya
que evita utilizar enlaces dedicados de voz hacia la red pública telefónica conmutada (Public Switched
telephone network, PSTN) los cuales generaría rentas mensuales adicionales, además de cargos elevados
por llamadas entre sitios de larga distancia.
Es muy importante aclarar la diferencia entre VoIP y telefonía IP. En VoIP un teléfono análogo se conecta
a un puerto análogo de un Gateway y posteriormente un PBX (Private Branch Exchange) se conecta a un
puerto digital en un Gateway diferente. Debido a que los teléfonos (endpoints) son análogos y no IP, la
tecnología se considera VoIP. En el caso de la telefonía IP, los teléfonos (endpoints) son digitales que
están fabricados para comunicarse a través de IP. Estos teléfonos se registran en un servidor de
comunicaciones unificadas, el cual toma decisiones de enrutamiento para establecer la llamada entre los
teléfonos. A continuación lo aterior.
Unidad 1. Seguridad en soluciones de vanguardia
18
Diferencias topológicas entre VoIP y Telefonía IP
1.3.2 ¿Por qué VoIP?
Originalmente, el principal requerimiento del porqué diseñar una red con VoIP fue el ahorrar costos en
llamadas de larga distancia. Con el avance de la tecnología y la reducción de costos en llamadas de larga
distancia a través de la PSTN, ya no fue una motivación para adoptar esta tecnología. Sin embargo, es
importante mencionar ventajas adicionales que trae consigo esta solución:
• En las redes tradicionales basadas en PBX, por ejemplo, un enlace T1 puede transportar 23 o 24
llamadas de manera simultánea, significa que un T1 tiene 23 o 24 canales disponibles, cada canal
tiene un ancho de banda de 64kbps lo cual implica una y sólo una llamada por canal. La
tecnología VoIP utiliza codecs
IP WAN
PBX
switch
Servidor de comunicaciones unificadas
IP
Teléfono
IP
IP WAN
Teléfono
analógico
Teléfono
analógico
VoIP
Telefonía IP
Gateway
GatewayGateway
Gateway
Unidad 1. Seguridad en soluciones de vanguardia
19
El término Codec se refiere a software o hardware (o una combinación de
ambos) que codifican un flujo o señal para la transmisión o almacenaje y
recuperarlo o descifrarlo del mismo modo para la reproducción o la
manipulación en un formato más apropiado. Son ampliamente utilizados
para la compresión de señales de voz y de video.
• Debido a que las redes VoIP envían tráfico de voz sobre redes IP, los administradores tienen un
amplio control sobre el tráfico de voz, lo que asegura la adaptabilidad y disponibilidad hacia
diferentes aplicaciones del usuario final, por ejemplo, aplicaciones de mensajería instantánea o
una respuesta de voz interactiva (Interactive Voice Response , IVR).
Las redes VoIP y la Telefonía IP ofrecen características avanzadas como las siguientes:
• Enrutamiento de llamada. Existen protocolos como EIGRP y OSPF que pueden proporcionar
recuperación de conexión de forma muy rápida, recalculando una nueva ruta (por ejemplo, a
través de un enlace de respaldo) e incluso enviar la voz a través de una ruta menos
congestionada o más estable.
• Mensajería. La mayoría de los dispositivos que manejan soluciones de voz, tiene la opción de
enviar mensajes de status operativo.
• Seguridad. Si un atacante logra interceptar y capturar paquetes de VoIP, podrá escuchar parte de
la conversación. Por ejemplo, la mayoría de los bancos tienen implementados IVRs que
contestan automáticamente e indican al cliente que consultas u operaciones puede realizar a
través del teléfono, para acceder a estas opciones, la grabación solicita digitar tu clave de acceso,
lo cual el atacante puede obtener esta información y efectuar alguna operación.
Unidad 1. Seguridad en soluciones de vanguardia
20
1.3.3 Componentes de una red VoIP
A continuación se muestra los componentes más comunes que integran una red VoIP y la descripción de
los componentes.
Componentes de una red VoIP
Componente Descripción
Teléfono IP Los teléfonos IP utilizan una conexión Ethernet para establecer
llamadas
Servidor de
comunicaciones
unificadas
Remplaza las funcionalidades del tradicional PBX y añade nuevas
opciones para el tratamiento de las llamadas, por ejemplo,
establecimiento de restricciones
Gateway Los gateways pueden realizar llamadas entre diferentes tipos de
redes. Por ejemplo, puedes utilizar tu teléfono IP que tienes en el
trabajo para llamar al teléfono analógico de tu casa
Gatekeeper Puede verse como un policía de tráfico, analiza la cantidad de
Servidor de
comunicaciones
unificadas
IP
Teléfono
IP
IP WAN
Gateway / Gatekeeper
PSTN
MCU
Estaciones de
videoconferencia
PBX
Teléfono
analógico
Servidor de
aplicaciones
Gateway
Ethernet
switch
Unidad 1. Seguridad en soluciones de vanguardia
21
ancho de banda utilizado en el momento y decide si puede
soportar una llamada más, sino es así, la deniega
Unidad de control
multipunto
(Multipoint
control unit, MCU)
Son los dispositivos que permiten realizas llamadas en conferencia.
Por ejemplo, varias personas entran a un número de audio,
marcando a un número específico e ingresando una contraseña,
para tratar un tema en particular.
Servidor de
aplicación
Existen servidores que pueden proveer una determinada
aplicación con servicio de audio. Por ejemplo, un correo de voz.
Estación de
videoconferencia
Dispositivos que permiten realizar videollamadas
Switch para voz
(Ethernet switch)
Un switch dedicado para voz, tiene puertos que suministran
señalización y energía eléctrica (Power over Ethernet, PoE), y están
diseñados para la conexión de teléfonos IP. Además estos
dispositivos pueden detectar tramas de voz a través de estos
puertos y otorgarles prioridad sobre las tramas de datos.
Componentes de una red VoIP
La alimentación a través de Ethernet (Power over Ethernet, PoE) es una
tecnología que incorpora alimentación eléctrica a una infraestructura LAN
estándar. Permite que la alimentación eléctrica se suministre a un
dispositivo de red (switch, punto de acceso, router, teléfono o cámara IP,
etc) usando el mismo cable que se utiliza para la conexión de red.
Unidad 1. Seguridad en soluciones de vanguardia
22
1.3.4 Protocolos VoIP
Para soportar las comunicaciones a través de teléfonos IP, teléfonos analógicos, PBX tradicionales y la
nube PSTN, las redes VoIP requieren de varios protocolos, estos protocolos son llamados protocolos de
señalización (por ejemplo, H.323, MGCP, H.248, SIP y SCCP) y son utilizados para configurar,
mantenimiento y terminación de llamadas. Otros están destinados para los paquetes de voz (por
ejemplo, RTP, SRTP y RTCP.
1.3.5 Asegurando una red VoIP
Ahora que ya conocemos los aspectos básicos de las redes VoIP, a continuación nos adentraremos en los
ataques dirigidos hacia este tipo de redes y cómo se pueden mitigar. Se hablará sobre la separación del
tráfico de voz y de datos a través del concepto VLAN, también de la utilización de firewalls y VPNs para la
protección del tráfico de voz y el enfoque en protección de endpoints y servidores.
1.3.6 Protegiendo una red VoIP con VLAN auxiliar
Un concepto fundamental sobre la protección de tráfico de voz, es ubicar éste en una VLAN propia,
regularmente llamada como VLAN auxiliar. Por lo general los teléfonos IP tienen un puerto donde pueda
conectarse una PC el cual se encuentra configurado dentro de la VLAN de datos. En la siguiente figura se
puede apreciar que la PC se comunica a través de la VLAN 110 y el teléfono envía tráfico de voz sobre la
VLAN 210, el tráfico de ambas VLAN entra al switch a través del mismo puerto, sin necesidad de
configurar este puerto del switch como troncal.
Separación de VLAN de datos y VLAN de voz
switch
IP
Teléfono
IPPC
VLAN de Datos = 110
VLAN de Voz = 210
VLAN de Datos = 110
Gigabit 0/1
Unidad 1. Seguridad en soluciones de vanguardia
23
1.3.7 Protección de redes VoIP con dispositivos avanzados de seguridad
Dispositivos de seguridad como Firewall y terminadores de VPN también se utilizan para proteger redes
de voz. Sin embargo, un reto en la protección de redes con firewalls es que el administrador de la red no
conoce qué puertos UDP están siendo utilizados para transmitir paquetes de voz RTP (Reliable Transport
Protocol). Afortunadamente los firewall hoy en dia pueden inspeccionar dinámicamente el tráfico de un
protocolo de voz para identificar los puertos UDP que son utilizados para flujo RTP. El firewall abre
temporalmente estos puertos UDP el tiempo que dura la conexión RTP.
Para entender este concepto, considere la siguiente figura. En el primer paso, el teléfono IP utiliza SCCP
para iniciar una llamada hacia la PSTN. SCCP, el cual utiliza el puerto UDP 2000, para la comunicación
entre el teléfono IP y el servidor UCM. El UCM determina, basado en los dígitos marcados, si la llamada
requiere ser enrutada hacia el Gateway H.323. En el segundo paso, se utiliza el puerto TCP 1720, el UCM
inicia la configuración de la llamada con el Gateway H.323. El firewall que se encuentra en medio de
estos dos dispositivos es configurado para permitir el paso del protocolo H.323. Además el firewall no
sólo puede permitir el paso, sino también inspeccionar el tráfico H.323, para determinar dinámicamente
qué puertos están siendo utilizados por el flujo de voz. En el tercer paso, los puertos UDP 20548 y 28642
fueron aleatoriamente seleccionados (para este ejemplo solamente).
Debido a que el tráfico RTP es unidireccional, dos puertos UDP son seleccionados para soportar la
comunicación bidireccional. Debido a la inspección que realiza el firewall del tráfico H.323 y el
aprendizaje dinámico de los puertos UDP que están siendo utilizados, el firewall puede permitir el flujo
RTP bidireccional durante la duración de la llamada.
Unidad 1. Seguridad en soluciones de vanguardia
24
Inspección RTP
Además de permitir o denegar puertos específicos, el firewall puede proveer protección adicional al
tráfico de voz. Por ejemplo, el firewall puede ser configurado para ejecutar políticas específicas, el cual
podría bloquear la comunicación desde y hacia teléfonos específicos. Otro ejemplo, los firewalls pueden
detectar si ciertos mensajes de un tipo determinado ocurren en cierto intervalo de tiempo (por ejemplo,
solicitudes SIP) y denegarlos.
Además lo teléfonos IP pueden denegar o permitir tráfico por sí mismos. Para agregar seguridad, pueden
soportan encriptación y autenticación, considerar la opción de enviar paquetes de voz sobre un túnel
IPsec-protected VPN. Gran cantidad de dispositivos pueden ser utilizados como terminadores de túneles
VPN. La siguiente figura muestra la encriptación entre el UCM y el Gateway H.323.
Gateway H.323Router Pix Firewall
PSTN
Servidor de
comunicaciones
unificadas (UCM)
IP
Teléfono
IP
(2) H.323 TCP Puerto 1720
(3) RTP UDP Puertos 20548 y
28642 (seleccionados
aleatoriamente)
(1) SCCP TCP
Puerto 2000
switch
Unidad 1. Seguridad en soluciones de vanguardia
25
Protección de voz mediante un túnel VPN IPsec
Asegurando Endpoint de voz y servidores de aplicación
Los teléfonos IP tienden a ser protegerse menos que los demás dispositivos estratégicos (por ejemplo,
servidores) en una red de voz. Por lo tanto, los atacantes a menudo tratan de ganar control del endpoint
y usarlo para efectuar un ataque jumping-off hacia otros sistemas. Un atacante podría ser capaz de ganar
control de un teléfono IP modificando su imagen o su archivo de configuración. Alternativamente el
atacante podría capturer paquetes desde el Puerto para la PC del teléfono IP o desde la red (ataque
man-in-the-middle). Además el atacante podría obtener una dirección IP de otros servidores (por
ejemplo, servidores DNS, DHCP y TFTP) simplemente apuntando un navegador web hacia la dirección IP
del teléfono IP.
Los teléfonos IP hacen un informe de su configuración y la muestra con el simple hecho de colocar su
dirección IP en un navegador web. Esta vulnerabilidad potencial puede ser mitigada deshabilitando la
opción de acceso via web. Ademas, para la prevención de ataqs man-in-the-middle se podría desactivar
la opción de Gratuitous ARP. Deshabilitando la opción anterior, se previene que el teléfono resuelva
solicitudes ARP no confiables, que potencialmente pudiera proceder de un atacante deseando ser el
gateway de siguiente salto para el teléfono IP.
Gateway H.323
IP WAN
Servidor de
comunicaciones
unificadas (UCM)
IPsec
switch
IP
Teléfono
IP
Router
Unidad 1. Seguridad en soluciones de vanguardia
26
Cierre de la Unidad
Como pudimos identificar en esta unidad, las redes corporativas no sólo transmiten datos, por lo cual no
es suficiente un switches y routers, también se integran soluciones de almacenamiento masivo y voz,
como lo estudiamos en la presente unidad.
Sin embargo, garantizar los principios básicos de la seguridad para todas las tecnologías de red es algo
complicado, con ayuda de dispositivos de seguridad como son firewalls y concentradores de VPN,
podemos implementar mecanismos y técnicas que aseguren que la información no sea interceptada y
descifrada por terceras personas, ajenas a la operación de la organización.
Por lo anterior es fundamental que los administradores de red conozcan los riesgos que enfrentan las
redes que administran en cara hacia la protección del activo más importante para una organización, su
información.
Unidad 1. Seguridad en soluciones de vanguardia
27
Fuentes de consulta
Fuentes básicas
• Ariganello, E. (2013). Guía de estudio para la certificación CCNA Security. México:
Alfaomega Grupo Editor, S.A. de C.V.
• Howard, M., LeBlanc, D., y Viega J. (2005). 19 Deadly sins of software security -
Programming flaws and how to fix them. McGraw-Hill.
• Katz, D. (2013). Redes y seguridad. Buenos Aires: Alfaomega Grupo Editor.
• Sallis, E., Caracciolo, C., y Rodríguez, M. (2010). Ethical hacking - Un enfoque
metodológico para profesionales. Alfaomega.