Las Empresas Modernas y la Seguridad Informática:
Telefonía digital
Enrique Daltabuit
Noviembre 2007
Descripción de la Tecnología
Los pasos que se siguen para convertir la voz, que es una señal analógica, en una señal digital que se transmite por Internet son: conversión analógico-digital, compresión del resultado, codificación de lo obtenido siguiendo alguno de los protocolos que se emplean en telefonia digital (VoIP- voice over IP) y encapsulando el resultado dentro de paquetes en forma consistente con la colección de protocolos TCP/IP, normalmente paquetes definidos en el protocolo de datagramas del usuario (user datagram protocol-UDP). Todo esto sucede en el teléfono del remitente de la llamada. En el teléfono del destinatario sucede el proceso inverso. (Kuhn, 2005)
El uso de VoIP requiere de algún medio de acceso a una red telefónica conmutada pública. Esto sucede en compuertas que proporcionan dos servicios básicos. En primer lugar convierten los protocolos que se usan en Internet al sistema de señalamiento 7 (SS7) que se usa en los sistemas telefónicos conmutados públicos (Public Switched Telephone Network- PSTN). En segundo lugar convierten el flujo de paquetes que contienen la voz a los formatos de los multiplexores por división temporal (TDM) que usan las empresas telefónicas. Estas acciones pueden ocurrir en la compuerta de intercambio o en las instalaciones de la empresa proveedora de servicios telefónicos. Otra consideración importante es la existencia masiva de aparatos telefónicos del sistema tradicional, que hay que sustituir por teléfonos IP. También es posible emplear convertidores de protocolo para conectar los teléfonos heredados a una red VoIP
Telefonía digital
Enrique Daltabuit
Noviembre 2007
Descripción de la Tecnología
Los pasos que se siguen para convertir la voz, que es una señal analógica, en una señal digital que se transmite por Internet son: conversión analógico-digital, compresión del resultado, codificación de lo obtenido siguiendo alguno de los protocolos que se emplean en telefonia digital (VoIP- voice over IP) y encapsulando el resultado dentro de paquetes en forma consistente con la colección de protocolos TCP/IP, normalmente paquetes definidos en el protocolo de datagramas del usuario (user datagram protocol-UDP). Todo esto sucede en el teléfono del remitente de la llamada. En el teléfono del destinatario sucede el proceso inverso. (Kuhn, 2005)
El uso de VoIP requiere de algún medio de acceso a una red telefónica conmutada pública. Esto sucede en compuertas que proporcionan dos servicios básicos. En primer lugar convierten los protocolos que se usan en Internet al sistema de señalamiento 7 (SS7) que se usa en los sistemas telefónicos conmutados públicos (Public Switched Telephone Network- PSTN). En segundo lugar convierten el flujo de paquetes que contienen la voz a los formatos de los multiplexores por división temporal (TDM) que usan las empresas telefónicas. Estas acciones pueden ocurrir en la compuerta de intercambio o en las instalaciones de la empresa proveedora de servicios telefónicos. Otra consideración importante es la existencia masiva de aparatos telefónicos del sistema tradicional, que hay que sustituir por teléfonos IP. También es posible emplear convertidores de protocolo para conectar los teléfonos heredados a una red VoIP
Debe tomarse en cuenta que se pueden usar dos tipos de teléfonos. Los teléfonos equipados para VoIP y los programas que permiten hacer llamadas desde una computadora. Los teléfonos “duros” y los teléfonos “blandos”. Los teléfonos”duros” ofrecen un conjunto controlado de vulnerabilidades, pues simplemente contienen una tarjeta que implementa TCP/IP y un programa instalado por el proveedor del equipo. No tienen un sistema operativo de uso general así que no presentan las vulnerabilidades de los sistemas operativos como Windows. Los teléfonos “blandos” tienen todas las vulnerabilidades de las computadoras además de las propias de los protocolos de VoIP.( Alfonsi, B.,(2005))
Implantación
Se pueden emplear dos protocolos para hacer llamadas a través de Internet. Un protocolo, el más sencillo, que se emplea generalmente en telefonía sobre Internet es el protocolo de iniciación de sesiones (sesión initiation protocol- SIP). El otro es el protocolo H.323, mucho más complejo. Las vulnerabilidades de los protocolos son preocupantes, y para mitigarlas hay que entender como funcionan los protocolos. (Papageorgiou (2001)).
H.323. es una recomendación de la ITU (International Telecomunications Union) y agrupa varias especificaciones de comunicación multimedia basada en paquetes, Se basa en los protocolos de las redes digitales de servicios integrados (integrated services digital network – ISDN) y por lo tanto adopta el enfoque tradicional de la conmutación de circuitos. SIP es un protocolo de la ITEF (Internet Engineering Task Force) que tiene como objetivo prestar servicios equivalentes al protocolo H.323 usando un enfoque más sencillo basado en la red.
Amenazas y soluciones
En contraposición a lo que sucede en los servicios telefónicos convencionales, en los que existe una entidad central que es responsable del diseño, implementación y vigilancia del servicio VoIP se caracteriza por la posibilidad de que muchos programadores desarrollen aplicaciones de voz. También permite que muchos usuarios configuren y pongan a funcionar sistemas telefónicos. Esto promueve los errores de configuración y de diseño poco cuidadoso. Se abre la puerta a muchas vulnerabilidades.
Los teléfonos que habilitan VoIP comparten el flujo de paquetes en una red con los paquetes de datos y de otros tipos. Por consiguiente el trafico de VoIP esta sujeto a los mismos ataques a la seguridad. Hay también formas de emplear VoIP en redes inalámbricas, aceptando los riesgos adicionales que acompañan a este tipo de redes. Basta con que un elemento de la red local en la que se encuentra el teléfono remitente de la llamada, o en la que se encuentra el destinatario de la llamada, o quizás algún punto intermedio, funcione en modo promiscuo para que todos los paquetes que constituyen la comunicación sean interceptados. (Nascimento, A. Passito A. Nascimento E. M. E Carvalho L., (2006))
Para escuchar el contenido solo se tienen que interpretar esos paquetes. Se puede, por ejemplo, obtener gratuitamente un programa llamado VOMIT (Voice Over Misconfigured Internet Telephones) que interpreta los paquetes y convierte la señal en un archivo de tipo .WAV, o sea en sonidos. La habilidad que se requiere para interceptar llamadas VoIP e interpretarlas es mínima. (Porter, T. Kanclirz J. (2006)).
Una protección contra esta perdida de confidencialidad es cifrar los paquetes que transmiten los teléfonos. (Goth, G., (1-11-2006), Zimmermann, P. Johnston A. Callas J., (2007) ) El impacto del cifrado sobre la calidad del servicio puede ser muy desagradable. En un servicio telefónico normal la norma de latencia es de 150 ms. puesto que el sistema auditivo humano no detecta retrasos menores a 400 ms. La criptografía puede deteriorar la latencia mucho más allá de este estándar. Los aparatos telefónicos “duros” se construyen para manejar flujos de sonido y para mejorar la calidad del servicio Su capacidad en cuanto a su procesador y su memoria es muy limitada.
Los ataques internos son los más frecuentes porque provienen de fuentes que están ubicadas en segmento confiable de la red. Pueden ser de tipo malicioso. Pueden deberse al un uso no apropiado de la red o a condiciones que no se ha anticipado. Con frecuencia se deben a la instalación de programas no autorizados o a programas inadecuados de manejo de mensajes instantáneos. La colocación en la red de un nuevo dispositivo mal configurado puede introducir condiciones no planeadas e inesperadas. La única defensa es el análisis frecuente de las bitácoras de todos los elementos de la red en donde se pueden detectar los nuevos problemas.
Un registro de detalles de llamadas (Call Detail Record -CDR) en telecomunicaciones contiene información sobre el uso del sistema, incluyendo las identidades del remitente y del destinatario, de todas las llamadas. También la duración de las llamadas durante el periodo de facturación actual y otra información. Si un atacante obtiene estos registros el sistema telefónico es susceptible de un ataque de análisis de trafico, y la criptografía es incapaz de subsanar esta deficiencia. Estos archivos se almacenan en los servidores de llamadas telefónicas digitales, los cuales pueden ser atacados como cualquier otro tipo de servidor. (Camp, K.,(2005)).
Uno de los aspectos cruciales de seguridad que hay que resolver dentro de los protocolos existentes es el de manejar la identidad del usuario desde el inicio hasta el final de la trayectoria que sigue la llamada y también el de autenticar dicha identidad. Esto es particularmente importante en la identidad de quien responde a la iniciación de una llamada y la autenticación de esta identidad. Si no se asegura este aspecto pueden ocurrir varios ataques maliciosos al servicio telefónico. (Cao, F Jennings C., (2007)). El paradigma mas prometedor para resolver este problema es el control de acceso basado en roles.
Se emplea el protocolo de transporte en tiempo real seguro (SRTP- secure real-time transport protocol) o bien el conjunto de protocolos para voz de Internet seguros (VoIPsec- voice over internet protocol security) que además de proteger la confidencialidad de las conversaciones también protegen su integridad y su autenticidad desde el origen al destino de la llamada. (Camp, K.,(2005))
La telefonía digital como herramienta de ataque.
El envió masivo de mensajes provocadores o comerciales no solicitados o aceptados explícitamente, ya sean mediante correo electrónico, mensajes instantáneos o llamadas telefónicas, llamado Spam Over Internet Telephony (SPIT) no solo frustra e irrita a los destinatarios, sino que llena los buzones de mensajes de voz con basura que luego tiene que ser removida o que hay que filtrar. Un sistema de este tipo, o sea VoIP SPAM, puede generar miles de mensajes de duración de 30 segundos cada 5 segundos. SPIT puede convertirse en una amenaza peor que el SPAM. El uso de la telefonía a través de Internet se convierte entonces en un arma de ataque. Esta misma capacidad se puede emplear para llevar a cabo ataques de denegación de servicio a sistemas que usen VoIP. (Hansen, M. Hansen M. Möller J. Rohwer T. Tolkmit C. Waack H. 2006).
Reference List
Alfonsi, B.,(1-7-2005) Alliance Addresses VoIP Security, IEEE SECURITY & PRIVACY http://csdl2.computer.org/comp/mags/sp/2005/04/j4008.pdf
Camp, K.,(2005) VoIP Security in the Enterprise, Realtimepublishers.com , NetIQ, http://www.netiq.com/offers/ebooks/default.asp
Cao, F, Jennings C., (2007) Providing Response Identity and Authentication in IP Telephony, First International Conference on Availability, Reliability and Security (ARES'06) pp.198-205, IEEE Computer Society http://csdl2.computer.org/persagen/DLAbsToc.jsp?resourcePath=/dl/proceedings/&toc=comp/proceedings/ares/2006/2567/00/2567toc.xml&DOI=10.1109/ARES.2006.99
Goth, G., (1-11-2006) VoIP Security Gets More Visible, IEEE INTERNET COMPUTING http://csdl2.computer.org/comp/mags/ic/2006/06/w6008.pdf
Hansen, M. Hansen M. Möller J. Rohwer T. Tolkmit C. Waack H., (2006) Developing a Legally Compliant Reachability Management System as a Countermeasure against SPIT, Third Annual VoIP Security Workshop, https://tepin.aiki.de/blog/uploads/spit-al.pdf
Kuhn, D. R. Walsh T. J. Fries S. (2005) Security Considerations for Voice Over IP Systems, National Institute of Standards and Technology http://csrc.nist.gov/publications/nistpubs/800-58/SP800-58-final.pdf
Nascimento, A. Passito A. Nascimento E. M. E Carvalho L., (1-1-2006) Can I Add a Secure VoIP Call?, Proceedings of the 2006 International Symposium on a World of Wireless, Mobile and Multimedia Networks (WoWMoM'06),IEEE Computer Society http://delivery.acm.org/10.1145/1140000/1139435/25930435.pdf?key1=1139435&key2=4707229611&coll=GUIDE&dl=GUIDE&CFID=11885999&CFTOKEN=63519200
Papageorgiou, P.,(.2001). A Comparison of H.323 vs SIP, University of Maryland at College Park http://www.cs.umd.edu/users/pavlos/papers/unpublished/papageorgiou01comparison.pdf
Porter, T. Kanclirz J. (1-1-2006) Practical VoIP Security, Syngress Publishing
Zimmermann, P. Johnston A. Callas J., (2007) ZRTP: Media Path Key Agreement for Secure RTP, The IETF Trust http://zfoneproject.com/docs/ietf/draft-zimmermann-avt-zrtp-04.pdf
1 comentarios:
Este es un comentario de prueba
Publicar un comentario en la entrada