Por una VoIP segura
Ya nadie duda de las ventajas de transportar la voz y los datos por una misma red convergente, pero las empresas que se acerquen a la VoIP también han de ser conscientes de que estas tecnologías abren nuevos retos de seguridad.
Firewalls, sistemas de detección de intrusiones (IPS), controladores de sesión de extremo... Estos y otros dispositivos representan los mejores sistemas para securizar la voz IP corporativa. Suministrados por lo general como appliances, tienen como objetivo proteger a las empresas de los puntos débiles de los protocolos de VoIP. Pero como en el mundo de los datos, securizar los despliegues de telefonía IP exige además tomar una serie de precauciones y seguir las mejores prácticas, a fin de optimizar sus funciones de defensa contra virus, spam, ataques de denegación de servicio, intrusiones, fraudes, escuchas ilegítimas y robos de información. Securizar el tráfico de VoIP se convierte además en particularmente trascendental cuando la organización extiende su uso más allá de los límites de la red corporativa. Cuando el tráfico de voz viaja por Internet, precauciones como la encriptación y la autenticación se vuelven esenciales.
La continua aparición de nuevas amenazas contra la VoIP revela la necesidad acuciante de “vigilar” la seguridad. Hoy existen herramientas para atacar los protocolos de señalización H.323 y AIX, así como para insertar audio en las llamadas IP. Hay incluso sistemas que sondean automáticamente las vulnerabilidades de SIP (Session Initiation Protocol) al objeto de transportar datos en el tráfico VoIP de forma oculta. También los protocolos MGCP (Media Gateway Control Protocol) y ZRTP se muestran vulnerables mediante diversas técnicas. El protocolo de encriptación ZRTP, en concreto, deja al descubierto los tonos realizados con las teclas de los teléfonos; así, potencialmente permite la intercepción de números de tarjetas de crédito introducidos de este modo, aunque esta debilidad ya se ha solucionado con un parche.
El problema, en realidad, no está en la tecnología de la voz IP sino en su implementación: si a la telefonía IP se le aplica la misma lógica de securización que a las redes convencionales, se conseguirán idénticos niveles de seguridad que con cualquier otro protocolo. En gran medida, la notoriedad alcanzada por las vulnerabilidades de VoIP se debe tanto a la relativa novedad de estos sistemas como a que su código no siempre fue creado teniendo presente las cuestiones de seguridad, un problema común a muchas otras nuevas tecnologías. Por ejemplo, una de las vías de explotación del software PBX de código abierto Asterisk es el sobreflujo de buffer, debilidad que, como otras, puede ser neutralizada con sólo eliminar el código de las características no utilizadas y realizar auditorías de seguridad con las que sí se utilizan. El problema no son las propias vulnerabilidades específicas, si no la madurez del software. “La telefonía IP está sujeta a los mismos riesgos que las redes convencionales. Sin embargo, el riesgo puede ser mayor si la empresa no actualiza su red de datos cumpliendo los requerimientos que exige el soporte de la voz. Las funcionalidades estándar de la seguridad de red, como los firewalls, han de ser actualizados para soportar la voz”, afirma Francisco de Sebastián, country manager de Forrester Research.
Como dicen los expertos, securizar la VoIP no representa una prueba insuperable. No sólo cada vez se estudian más estos problemas, sino que, como sucede con los datos, las explotaciones se publican a medida que se van descubriendo para ayudar a los desarrolladores a defenderse contra ellas. VoIP Security Alliance, por ejemplo, publica un conjunto de herramientas de hacking en su sitio web (http://www.voipsa.org/Resources/tools.php) para asistir a los usuarios en la prueba de sus sistemas en el mundo real.
Retos específicos
Aunque hay algunos específicos, los principales retos de la telefonía IP no son tan diferentes de los que plagan el mundo de los datos: ataques DoS, virus, spam, filtraciones… La principal excepción es que hay menos suministradores y productos focalizados en el componente de voz. Firewalls, IPS/IDS y otros elementos de seguridad, que hoy son sistemas estándar de las redes de datos, todavía están en proceso de optimización para la voz IP, a pesar de la rápida adopción de la tecnología subyacente. En cualquier caso, como advierte Francisco de Sebastián, “el principal riesgo es no seguir las indicaciones del suministrador en cuanto a la actualización de las redes. Teniendo en cuenta que hay que instalar Calidad de Servicio (QoS) y separar la voz en una VLAN específica. Además, se requieren herramientas de gestión que monitoricen el tráfico de voz”.
Hay ya en el mercado productos específicos o adaptados para la VoIP en los que las empresas pueden confiar, como las soluciones de firmas con soluciones de telefonía IP, como Cisco, Nortel, Avaya, Alcatel, Siemens o 3Com. Adicionalmente, existe un mercado creciente de productos de terceros especializados en seguridad, como los de Symantec, Stonesoft, Sonicwall, Borderware, Radware o CheckPoint, entre otros muchos. Para el country manager de Forrester Research en España, la ventaja de estas soluciones procedentes de especialistas en seguridad es que securizan tanto el perímetro como las sobremesas.
Otro mercado que se esta formando alrededor de la seguridad VoIP es el de SBC (session border controllers), que permiten a dos proveedores de VoIP diferentes conectar sus redes, y a menudo añadir medidas de seguridad, especialmente autenticación y encriptación del tráfico de voz. Estos productos proceden de firmas como Covergence, NexTone, Acme Packet, Ditech Communications.
Mejores prácticas
Uno de los mejores enfoques a seguir a la hora de implementar mecanismos de securización de la voz IP corporativa es la proactividad, estableciendo a priori los requerimientos especialmente sensibles para el negocio. Se trata de que cada organización defina sus necesidades en la materia desde un primer momento. Una institución financiera o una entidad de la Administración, por ejemplo, casi seguro que necesitará mayores niveles de confidencialidad –y, por tanto, de encriptación– que otro tipo de organizaciones.
Al afrontar el despliegue de sistemas de VoIP, poner la seguridad como una de las grandes prioridades acabará traduciéndose en ahorro de tiempo y dinero. Además de eliminar la complejidad que supone proceder a proteger la red con carácter retroactivo, evitará las dolorosas consecuencias de las explotaciones esp
