Bases para una estrategia de seguridad en telefonía IP
Protección, privacidad y control
La VoIP ha pasado de ser poco más que una quimera a convertirse en una alternativa real presente cada vez más en las empresas. Pero migrar de la telefonía convencional a la telefonía IP produce un impacto en la seguridad corporativa para el que hay que prepararse a conciencia.
Aestas alturas, ya casi nadie duda que las nuevas comunicaciones IP, resultado de la convergencia de la voz y los datos en una sola red de alto rendimiento, representan una gran oportunidad para todo tipo de empresas. Se elimina la necesidad de equipamiento PBX autónomo y es posible optimizar Internet y las redes IP para abaratar las comunicaciones; se reducen las tareas administrativas sustancialmente; y, sobre todo, se abre la puerta a una nueva generación de aplicaciones que, al permitir combinar la telefonía con los datos, el audio y el vídeo, contribuye a aumentar la colaboración entre empleados y la productividad global, todo ello al servicio del negocio.
Pero si son claras las ventajas de estas nuevas tecnologías, también lo son los retos que supone su implementación, y, muy especialmente, los que afectan a las “sagradas” disponibilidad y seguridad que ha de garantizar un sistema de voz. La red debe ser lo suficientemente robusta como para soportar el muy probable crecimiento de la demanda y lo suficientemente segura como para prevenir los fraudes, hacer posible la autenticación de los usuarios y repeler múltiples tipos de ataques procedentes de ambos lados del cortafuegos. En pocas palabras, una estrategia de seguridad amplia y efectiva de la telefonía IP ha de centrarse en tres áreas clave: protección, privacidad y control.
Controlando los riesgos
Un objetivo fundamental de un proceso de migración a la telefonía IP debe ser no aumentar los riesgos de seguridad que ya supone la telefonía convencional, como los “robos” de llamadas, la denegación de servicio o los ataques contra la privacidad. Seguro que los habrá pero no necesariamente mayores que con los sistemas convencionales. Una red diseñada apropiadamente, que sitúe la telefonía en segmentos dedicados, y con cortafuegos y routers correctamente configurados, es capaz de soportar la voz o telefonía IP de forma tan segura como lo hacen las soluciones basadas en PBX a las que estamos acostumbrados. Para ello, el proceso de diseño e implantación tendrá que tener en cuenta:
- Escuchas ilegales. En una conversación IP, las escuchas ilegales, aunque teóricamente posibles, requieren una considerable experiencia. Mediante accesos autenticados a la LAN virtual (VLAN) específica a la que se asignan los paquetes de datos de telefonía IP y la capacidad de frustrar los mecanismos de protección de Nivel 2 que defienden contra las escuchas ilegítimas y los engaños, podría ser posible interceptar paquetes RTP sin encriptar; RTP (Real-time Transport Protocol), de hecho, como protocolo que transporta la señal de voz digitalizada, actúa esencialmente como un “envoltorio sin precinto”, es decir, carece de mecanismos integrales de confidencialidad. Un modo de conseguirlo consiste en insertar un mecanismo de interceptación de llamadas en el conmutador Ethernet apropiado y extraer tráfico. Sin embargo, con un equipamiento IP diseñado apropiadamente y una red con buenas medidas de seguridad, resulta imposible interceptar tráfico de voz aun teniendo acceso directo al conmutador.
Un recurso extremo sería utilizar el protocolo mejorado Secure RTP (SRTP), que añade confidencialidad, autenticación de mensajes y protección contra la reproducción de las conversaciones. Con SRTP, el “fisgoneo” sigue siendo posible, pero la necesidad de decodificar los paquetes encriptados impide la operación. No obstante, como SRTP añade un significativo overhead de procesamiento a causa de las tareas de encriptación y desencriptación de los paquetes, es preferible reservarlo para casos especiales en los que se requiera muy altos niveles de seguridad y privacidad.
- Denegación de servicio. H.323 y SIP, los dos protocolos alternativos de señalización que utiliza la telefonía IP, pueden convertirse en el objetivo de un ataque. Al igual que los ataques contra sitios Web, una agresión IP podría inundar un servidor, dispositivo o aplicación IP a fin de exceder los recursos disponibles, provocando desconexiones o falsas señales de ocupado. También RTP puede convertirse en el objetivo de tal tipo de ataques, como lo es el propio sistema operativo de la red, al igual que sucede en una red de sólo datos.
La protección contra las inundaciones de datos puede llevarse a cabo mediante la interceptación de TCP en los gateways Internet. Los cortafuegos con funciones de localización de problemas, debidamente configurados, gestionan el flujo de paquetes y puede detenerlo si es necesario.
En la telefonía IP se consigue una mayor protección además mediante el uso de certificados digitales, que pueden ser incorporados en cada vez más tipos de dispositivos, incluidos los terminales telefónicos. Estos certificados se emplean para asegurar que el dispositivo sólo procese comandos originados de fuentes de confianza, autenticando así el tráfico de configuración y gestión que podría utilizarse maliciosamente para, por ejemplo, cambiar la contraseña del usuario, que, de este modo, no podría hacer uso del servicio. El administrador del sistema siempre podrá restablecer la contraseña, pero a costa de un tiempo y productividad considerable cuando el ataque afecta a múltiples usuarios.
Las aplicaciones de telefonía IP, sobre todo el correo de voz, también representan un riesgo. Los cambios fraudulentos de contraseñas y la eliminación de mensajes almacenados, y quizá todavía no oídos, son posibilidades reales, como los accesos no autorizados o la escucha ilegal de los mensajes destinados a otros usuarios. Cuando el objetivo de estas agresiones son los responsables ejecutivos y financieros de las empresas, las estrategias y objetivos corporativos quedan a la intemperie.
- “Esnifado” de paquetes e interceptación de llamadas. En la telefonía convencional basada en PBX analógicas, las llamadas pueden ser interceptadas con la más simple de las tecnologías: un terminal y unas pinzas. En la telefonía IP, como el contenido de voz se convierte a formato digital y se divide en paquetes para su transmisión por la red IP, en teoría, el equipamiento de “esnifado” de paquetes puede ser empleado para arrebatar paquetes a la red según se mueven por ella. Pero, en la práctica, la reordenación de tales paquetes resulta muy compleja y pocas veces se salda con éxito. En cualquier caso, como este tipo de prácticas es más sencillo cuando se realiza en una estación final, como un teléfono IP, que en la red troncal, una medida de seguridad apropiada consiste en implementar autenticación de usuario en el propio terminal.
- Virus. El asalto a las redes IP de virus, troyanos, gusanos, scripts maliciosos y una combinación de todos ellos es hoy algo diario. Como resultado, habrá que destinar a combatir estos intrusos malignos un creciente porcentaje del presupuesto TI, aun, por desgracia, a costa de otros proyectos innovadores para el negocio.
- “Spoofing” IP. Justo como los spammers de email disfrazan su verdadera identidad enviando mensajes que parecen venir de una fuente legítima, los spoofers IP obtienen acceso autorizado a recursos protegidos enviando m
Aestas alturas, ya casi nadie duda que las nuevas comunicaciones IP, resultado de la convergencia de la voz y los datos en una sola red de alto rendimiento, representan una gran oportunidad para todo tipo de empresas. Se elimina la necesidad de equipamiento PBX autónomo y es posible optimizar Internet y las redes IP para abaratar las comunicaciones; se reducen las tareas administrativas sustancialmente; y, sobre todo, se abre la puerta a una nueva generación de aplicaciones que, al permitir combinar la telefonía con los datos, el audio y el vídeo, contribuye a aumentar la colaboración entre empleados y la productividad global, todo ello al servicio del negocio.
Pero si son claras las ventajas de estas nuevas tecnologías, también lo son los retos que supone su implementación, y, muy especialmente, los que afectan a las “sagradas” disponibilidad y seguridad que ha de garantizar un sistema de voz. La red debe ser lo suficientemente robusta como para soportar el muy probable crecimiento de la demanda y lo suficientemente segura como para prevenir los fraudes, hacer posible la autenticación de los usuarios y repeler múltiples tipos de ataques procedentes de ambos lados del cortafuegos. En pocas palabras, una estrategia de seguridad amplia y efectiva de la telefonía IP ha de centrarse en tres áreas clave: protección, privacidad y control.
Controlando los riesgos
Un objetivo fundamental de un proceso de migración a la telefonía IP debe ser no aumentar los riesgos de seguridad que ya supone la telefonía convencional, como los “robos” de llamadas, la denegación de servicio o los ataques contra la privacidad. Seguro que los habrá pero no necesariamente mayores que con los sistemas convencionales. Una red diseñada apropiadamente, que sitúe la telefonía en segmentos dedicados, y con cortafuegos y routers correctamente configurados, es capaz de soportar la voz o telefonía IP de forma tan segura como lo hacen las soluciones basadas en PBX a las que estamos acostumbrados. Para ello, el proceso de diseño e implantación tendrá que tener en cuenta:
- Escuchas ilegales. En una conversación IP, las escuchas ilegales, aunque teóricamente posibles, requieren una considerable experiencia. Mediante accesos autenticados a la LAN virtual (VLAN) específica a la que se asignan los paquetes de datos de telefonía IP y la capacidad de frustrar los mecanismos de protección de Nivel 2 que defienden contra las escuchas ilegítimas y los engaños, podría ser posible interceptar paquetes RTP sin encriptar; RTP (Real-time Transport Protocol), de hecho, como protocolo que transporta la señal de voz digitalizada, actúa esencialmente como un “envoltorio sin precinto”, es decir, carece de mecanismos integrales de confidencialidad. Un modo de conseguirlo consiste en insertar un mecanismo de interceptación de llamadas en el conmutador Ethernet apropiado y extraer tráfico. Sin embargo, con un equipamiento IP diseñado apropiadamente y una red con buenas medidas de seguridad, resulta imposible interceptar tráfico de voz aun teniendo acceso directo al conmutador.
Un recurso extremo sería utilizar el protocolo mejorado Secure RTP (SRTP), que añade confidencialidad, autenticación de mensajes y protección contra la reproducción de las conversaciones. Con SRTP, el “fisgoneo” sigue siendo posible, pero la necesidad de decodificar los paquetes encriptados impide la operación. No obstante, como SRTP añade un significativo overhead de procesamiento a causa de las tareas de encriptación y desencriptación de los paquetes, es preferible reservarlo para casos especiales en los que se requiera muy altos niveles de seguridad y privacidad.
- Denegación de servicio. H.323 y SIP, los dos protocolos alternativos de señalización que utiliza la telefonía IP, pueden convertirse en el objetivo de un ataque. Al igual que los ataques contra sitios Web, una agresión IP podría inundar un servidor, dispositivo o aplicación IP a fin de exceder los recursos disponibles, provocando desconexiones o falsas señales de ocupado. También RTP puede convertirse en el objetivo de tal tipo de ataques, como lo es el propio sistema operativo de la red, al igual que sucede en una red de sólo datos.
La protección contra las inundaciones de datos puede llevarse a cabo mediante la interceptación de TCP en los gateways Internet. Los cortafuegos con funciones de localización de problemas, debidamente configurados, gestionan el flujo de paquetes y puede detenerlo si es necesario.
En la telefonía IP se consigue una mayor protección además mediante el uso de certificados digitales, que pueden ser incorporados en cada vez más tipos de dispositivos, incluidos los terminales telefónicos. Estos certificados se emplean para asegurar que el dispositivo sólo procese comandos originados de fuentes de confianza, autenticando así el tráfico de configuración y gestión que podría utilizarse maliciosamente para, por ejemplo, cambiar la contraseña del usuario, que, de este modo, no podría hacer uso del servicio. El administrador del sistema siempre podrá restablecer la contraseña, pero a costa de un tiempo y productividad considerable cuando el ataque afecta a múltiples usuarios.
Las aplicaciones de telefonía IP, sobre todo el correo de voz, también representan un riesgo. Los cambios fraudulentos de contraseñas y la eliminación de mensajes almacenados, y quizá todavía no oídos, son posibilidades reales, como los accesos no autorizados o la escucha ilegal de los mensajes destinados a otros usuarios. Cuando el objetivo de estas agresiones son los responsables ejecutivos y financieros de las empresas, las estrategias y objetivos corporativos quedan a la intemperie.
- “Esnifado” de paquetes e interceptación de llamadas. En la telefonía convencional basada en PBX analógicas, las llamadas pueden ser interceptadas con la más simple de las tecnologías: un terminal y unas pinzas. En la telefonía IP, como el contenido de voz se convierte a formato digital y se divide en paquetes para su transmisión por la red IP, en teoría, el equipamiento de “esnifado” de paquetes puede ser empleado para arrebatar paquetes a la red según se mueven por ella. Pero, en la práctica, la reordenación de tales paquetes resulta muy compleja y pocas veces se salda con éxito. En cualquier caso, como este tipo de prácticas es más sencillo cuando se realiza en una estación final, como un teléfono IP, que en la red troncal, una medida de seguridad apropiada consiste en implementar autenticación de usuario en el propio terminal.
- Virus. El asalto a las redes IP de virus, troyanos, gusanos, scripts maliciosos y una combinación de todos ellos es hoy algo diario. Como resultado, habrá que destinar a combatir estos intrusos malignos un creciente porcentaje del presupuesto TI, aun, por desgracia, a costa de otros proyectos innovadores para el negocio.
- “Spoofing” IP. Justo como los spammers de email disfrazan su verdadera identidad enviando mensajes que parecen venir de una fuente legítima, los spoofers IP obtienen acceso autorizado a recursos protegidos enviando m
