{"id":7616,"date":"2016-08-29T10:07:22","date_gmt":"2016-08-29T15:07:22","guid":{"rendered":"http:\/\/www.servervoip.com\/blog\/?p=7616"},"modified":"2019-06-10T11:11:16","modified_gmt":"2019-06-10T16:11:16","slug":"consideracion-de-seguridad","status":"publish","type":"post","link":"http:\/\/www.servervoip.com\/blog\/consideracion-de-seguridad\/","title":{"rendered":"Consideracion de seguridad"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n <\/div>\n
\n
<\/div>\n <\/div>\n
\n
<\/div>\n <\/div>\n
\n
<\/div>\n <\/div>\n
\n
<\/div>\n <\/div>\n <\/div>\n
\n
\n
<\/div>\n <\/div>\n
\n
<\/div>\n <\/div>\n
\n
<\/div>\n <\/div>\n
\n
<\/div>\n <\/div>\n
\n
<\/div>\n <\/div>\n <\/div>\n<\/div>\n
\n <\/span>\n <\/div>\n<\/div>\n

CONSIDERACIONES DE SEGURIDAD: <\/strong>Si a seguridad se refiere, la industria de VoIP se consolida en el mercado a trav\u00e9s de la innovaci\u00f3n y el alto nivel de seguridad y adaptabilidad; amenazando con eliminar a las soluciones tradicionales, las cuales son caras, sin garant\u00edas e inflexibles.<\/p>\n

VoIP permite crear sistemas de bajo costo, y cuyas ventajas pueden ser definidas tanto por los proveedores que est\u00e1n motivados por los beneficios futuros que pueden surgir gracias a los costos m\u00e1s bajos en comparaci\u00f3n con la tecnolog\u00eda cl\u00e1sica, as\u00ed como por los usuarios que tienen la posibilidad de reducir o eliminar los costos del servicio de telefon\u00eda.<\/p>\n

Sin embargo, implantar servicios de VoIP requiere como m\u00ednimo algunas consideraciones b\u00e1sicas de seguridad. Estas medidas de seguridad ayudan a evitar ataques externos y a que usuarios fraudulentos puedan acceder a la Red de un proveedor de servicios. Existen un sin n\u00famero de mecanismos para establecer seguridad en una Red, por consiguiente se debe:<\/p>\n

– Establecer una seguridad de acceso a la Red para prevenir y detectar un uso malicioso de los recursos de la Red VoIP. Estos mecanismos incluyen firewalls, listas de acceso, NAT, entre otros.
\n– Tener presente qu\u00e9 m\u00e9todos son los ideales para la Red espec\u00edfica a la cual queremos proteger.
\n– Implantar protocolos seguros para establecerlos como mecanismos de seguridad.<\/p>\n

A continuaci\u00f3n se exponen las consideraciones de seguridad m\u00e1s relevantes empleadas en cada uno de los protocolos de se\u00f1alizaci\u00f3n en estudio:<\/p>\n

– H.323. Es relativamente seguro y no requiere de muchas consideraciones de seguridad m\u00e1s all\u00e1 de las que com\u00fanmente se necesitan en Internet.<\/p>\n

Como este protocolo ha estado en el mercado por m\u00e1s tiempo que el resto, fue el adoptado por la gran mayor\u00eda de los proveedores de servicio portador; los cuales cuentan con mayor frecuencia con clientes corporativos derivados de instituciones financieras como bancos. En estos casos, se requieren las extensiones m\u00e1s com\u00fanmente usadas por VoIP para soportar los m\u00e9todos m\u00e1s potentes de cifrado.<\/p>\n

H.323 utiliza la t\u00e9cnica de Red Virtual Privada (VPN) u otro t\u00fanel de cifrado entre los EPs debido a que este protocolo usa RTP, el cual no soporta flujos cifrados. La desventaja es que requiere el establecimiento de estos t\u00faneles seguros entre EPs, los cuales no podr\u00edan siempre ser convenientes (o incluso posibles).<\/p>\n

Basado en esta necesidad que hab\u00eda que cubrir, el est\u00e1ndar H.235 soportado en H.323 introdujo mejoras, permitiendo incorporar servicios de seguridad como la autenticaci\u00f3n y privacidad (cifrado de datos). Debido a que los canales RAS utilizados para la se\u00f1alizaci\u00f3n de la GW al GK no son del todo canales seguros, y con el objetivo de asegurar las comunicaciones, se estableci\u00f3 que H.235 permitiera a las GWs incluir una clave de autenticaci\u00f3n en sus mensajes RAS. El GK puede usar esta clave de autenticaci\u00f3n (contrase\u00f1a con hashing) para autenticar el origen de los mensajes. Algunos equipos VoIP soportaban caracter\u00edsticas H.235 en respuesta a requisitos de los proveedores del servicio.<\/p>\n

– SIP. Utiliza mecanismos de algunos otros protocolos de Internet para resolver problemas de seguridad. Debido a que los proxies a lo largo del camino de los mensajes necesitan acceder a algunos campos de \u00e9stos, entonces el cifrado de extremo a extremo no es aceptable para la confidencialidad e integridad de los mensajes SIP. Por lo tanto, SIP usa cifrado salto por salto.<\/p>\n

Adem\u00e1s, se introdujo el SIP seguro para asegurar el transporte de los mensajes SIP, el cual representa un esquema de URIs que hacen necesario el uso del protocolo de Seguridad en la Capa de Transporte (TLS) en cada salto, con el fin de proporcionar confidencialidad, autenticaci\u00f3n e integridad mediante el Est\u00e1ndar de Cifrado Avanzado (AES) y el algoritmo de cifrado Triple DES (TDES).<\/p>\n

Para resolver problemas de soporte para la autenticaci\u00f3n y privacidad de los participantes en sesiones, los cuerpos de los mensajes pueden ser asegurados utilizando el protocolo de Extensiones de Correo de Internet de Prop\u00f3sitos M\u00faltiples \/ Seguro (S\/MIME) que facilita la autenticaci\u00f3n, confidencialidad e integridad utilizando certificados digitales [82]. Los UAs pueden decidir usar t\u00faneles SIP cuando el mensaje entero es encapsulado en un cuerpo que es encriptado usando S\/MIME.<\/p>\n

Un ataque de Denegaci\u00f3n de Servicio (DoS) puede ocurrir cuando se env\u00eda un gran n\u00famero de solicitudes no v\u00e1lidas al servidor proxy en un intento de saturar el sistema. Estos ataques son relativamente f\u00e1ciles de aplicar y sus efectos sobre los usuarios del sistema son inmediatos.<\/p>\n

Para la prevenci\u00f3n de ataques de DoS, que probablemente son el tipo m\u00e1s com\u00fan de ataque en comunicaciones, SIP tiene varios m\u00e9todos para mitigar al m\u00ednimo sus efectos, pero al final son imposibles de evitar. Se puede emplear el mecanismo de transporte cifrado TLS, que es usado para establecer comunicaciones entre la persona que llama y el dominio del que recibe la llamada [83]. M\u00e1s all\u00e1 de eso, la solicitud se env\u00eda de forma segura al dispositivo final en base a las pol\u00edticas de seguridad locales de la Red.<\/p>\n

Otro m\u00e9todo que SIP utiliza es la funci\u00f3n hash de una v\u00eda, que permite que un proxy que ha recibido una solicitud de invitaci\u00f3n devuelva un mensaje de autorizaci\u00f3n a la petici\u00f3n, el cual contiene un grupo de caracteres aleatorios que son referidos como un valor secreto. Este valor secreto se utiliza junto con la contrase\u00f1a para generar un hash del Algoritmo de S\u00edntesis del Mensaje 5 (MD5), que es luego enviado de vuelta en una posterior invitaci\u00f3n y suponiendo que el hash MD5 coincide con el que gener\u00f3 el proxy, entonces el cliente ser\u00eda autenticado.<\/p>\n

[rev_slider captions]
\n[rev_slider ServerVoip]
\n <\/p>\n

\n

– MGCP. Los mensajes MGCP viajan sobre UDP\/IP por la misma Red de transporte con el Protocolo de Seguridad de Internet (IPsec), que es un protocolo para proveer privacidad, integridad y autenticidad a la informaci\u00f3n que es transferida a trav\u00e9s de las Redes IP [84]. Las sesiones IPSec pueden ser utilizadas entre el MG y el CA para proteger la se\u00f1alizaci\u00f3n, aunque su uso en VoIP presenta retraso, el cual es introducido por procesos computacionales y el tiempo requerido para establecer la seguridad.<\/p>\n

Otro mecanismo de seguridad tambi\u00e9n empleado es el Protocolo Seguro de Transporte en Tiempo Real (SRTP), considerado para Redes seguras de VoIP. Este protocolo s\u00f3lo cifra los datos de los paquetes RTP pero no cifra sus cabeceras para no modificar su encaminamiento, a la vez que ofrece autenticaci\u00f3n, confidencialidad e integridad.<\/p>\n

– MEGACO. Claramente se necesita un mecanismo de seguridad para prevenir el acceso a entidades no autorizadas, el mecanismo de seguridad para el protocolo cuando \u00e9ste transporta sobre Internet es IPsec. Protocolo que proporciona autenticaci\u00f3n del origen de los datos, integridad y protecci\u00f3n opcional para la reproducci\u00f3n de mensajes anteriores entre el MG y el MGC. Adem\u00e1s, en caso de que el usuario lo desee puede proveer confidencialidad de los mensajes.<\/p>\n

– IAX. Incluye la habilidad de autenticar de tres formas diferentes: texto plano, hashing MD5 e intercambio de claves RSA (nombrado por las letras iniciales de los apellidos de sus autores: Rivest, Shamir y Adleman); estas dos \u00faltimas alternativas ofrecen mayor seguridad y sirven de protecci\u00f3n contra la replicaci\u00f3n de mensajes.<\/p>\n

Este protocolo en un principio no se encargaba del cifrado del flujo multimedia entre los EPs. Por tanto, muchas soluciones para este contratiempo incluyen el uso de un dispositivo VPN o software para cifrar el flujo en otros niveles de la arquitectura de Red, los cuales requieren los EPs para preestablecer un m\u00e9todo para tener estos t\u00faneles configurados y en funcionamiento. Sin embargo, IAX es ahora tambi\u00e9n capaz de cifrar el flujo multimedia entre EPs con intercambio de claves din\u00e1micas en el establecimiento de la llamada (usando la opci\u00f3n de configuraci\u00f3n de cifrado AES 128), permitiendo el uso de renovaci\u00f3n autom\u00e1tica de claves.<\/p>\n

El ataque de Intermediario (MitM) es una amenaza a IAX si no se utiliza cifrado. Esta forma de ataque permite la inserci\u00f3n de mensajes, eliminaci\u00f3n y modificaci\u00f3n de tal manera que una llamada puede ser redirigida, o el audio o v\u00eddeo pueden ser remplazados en una o ambas direcciones de la llamada. Si se utiliza cifrado la llamada est\u00e1 protegida de extremo a extremo, aunque esto es limitado para los ataques de DoS, por lo que com\u00fanmente se emplea la t\u00e9cnica de la Capa de Transporte de Datagramas de Seguridad (DTLS) para mitigar las consecuencias causadas por este tipo de ataque.<\/p>\n

Tomado de:
\nGuti\u00e9rrez, R. (2014). Estudio detallado de los protocolos SIP, H.323 y otros, para la se\u00f1alizaci\u00f3n en VoIP: Estado actual y futuro (tesis de grado). Escuela Superior Polit\u00e9cnica del Litoral, Guayaquil, Ecuador.<\/p>\n

Fuente:
\nhttp:\/\/www.cib.espol.edu.ec\/Digipath\/D_Tesis_PDF\/D-84316.pdf<\/p>\n

Telefon\u00eda VoIP con SoftSwitch<\/h2>\n

ServerVoIP<\/strong> te proporciona todas las herramientas necesarias para que crees y desarrolles tu negocio de comunicaci\u00f3n por internet.<\/strong><\/p>\n

Pertenece al Selecto Grupo de Emprendedores que decidieron cambiar su vida invirtiendo en un Server con ServerVoIP.<\/strong><\/p>\n

\"empresario\"<\/a>
\n