SeguridadMe ha llamado la atención un enlace a un libro (en inglés) sobre seguridad en redes de VoIP.
Son muchas personas las que preguntan acerca de qué medidas tomar en temas de seguridad cuando están montando una infraestructura de VoIP y la respuesta que soy suele ser la misma. Incluso hay muchos enlaces que pueden llevar a la confusión, quizá en busca de algunas visitas más o incluso algún “alma” ignorante de lo que está montando.

Para todos aquellos preocupados por la seguridad de su red de VoIP, haré una serie de reflexiones y consejos con la esperanza de que pueda ayudar a alguien.

1º.- La seguridad de una red de VoIP debe ser la misma que la seguridad en una red de sistemas normales.
Si no llevas la seguridad de los sistemas, ¿para qué molestarte en preparar una red segura de VoIP?
De hecho, cada terminal IP es un ordenador en miniatura (con su telnet, con su servidor web, con sus puertos abiertos, etc…) por lo que hay que considerarlo como tal cuando se monte la infraestructura.

2º.- El enlace más debil de una red lo forman los usuarios que la utilizan.
De poco sirve encriptar con MD5 la contraseña de usuario SIP de los terminales, si la conoce el dueño del terminal y se la dirá al primero que se la pregunte.

3º.- La encriptación de la conversación dentro de la red interna.
Quizá el punto más importante de la seguridad y la más preocupante. Hay mucha gente preocupada por que le escuchen la conversación, lo cual es una probabilidad de 0.001% porque para empezar:
– deben conocer la dirección IP del terminal.
– deben tener notorias razones para querer escuchar tu conversación.
– deben tener conocimientos suficientes de cadenas RTP y protocolos de comunicaciones o bien conocer los programas adecuados.
– deben estar en la misma red de VoIP que los terminales.
– lo que escuchen, puede no serles de utilidad.
– casi siempre es más fácil preguntar… -“oye, ¿de qué habeis hablado?…”

4º.- Saber que la seguridad de la red acaba donde acaba la red.
En cuanto das el salto a un servidor remoto, la seguridad depende de la red donde está dicho servidor.
Si das el salto a una línea analógica o digital, estamos en las mismas… cualquiera puede llegar y hacer un simple puentecillo con unos auriculares al cable y …
5º.- El servidor, el objetivo principal.
Siempre pasa lo mismo… el servidor es el que peor lo pasa: Firewalls, anti-escaneos, monitores, SAIs a prueba de bombas, acceso encriptado por SSH y HTTPS, en una habitación con cerradura de apertura por huella dactilar y temperatura controlada automáticamente con sensores y alarma de incendios y terremotos.

6º.- Seguridad del software servidor.
Siempre la última versión, porque ha salido un exploit, un ataque DoS o vete a saber porqué, el servidor siempre ha de tener la última versión disponible y libre de fallos. (casualmente los sistemas más estables tienen muchas veces las versiones más antiguas).

Realmente todos estos consejos es para hacer ver un poco al “administrador de la red” que la VoIP es un servicio más y que es tan vulnerable como lo pueda ser el correo-electrónico, por lo que las medidas a tomar han de ser similares.
Conocer bien a los usuarios de la red, y montar una red separada con control de los sistemas que la forman suelen ser suficientes para cualquier sistema medio. Si tenemos usuarios “peleones”, puede que sea necesario habilitar algún tipo de red encriptada mediante openvpn o algo similar y, por supuesto, tener un buen martillo cerca con el que aporrear la cabeza del que haga alguna estupidez.

1 Comentario

  • Pues estoy casi casi de acuerdo contigo, pero hay una cosa que no me gusta de este planteamiento, y es el punto 3.

    Todas las razones del tipo “¿pero quién va a querer escucharme a mi?” o “con la preparación y los medios que hay que tener para hacerlo…no van a poder”.

    Son los planteamientos que recuerdo de hace años sobre seguridad en redes de datos. Se demostró que siempre hay quien te quiere escuchar, y siempre estás dando información que no te interesa que la sepan otros.

    Te pongo un ejemplo muy simple: el HTTPS. ¿por qué la gente se ha concienciado tanto de que el nº de la tarjeta de crédito no se debe meter en un sitio web si no ves el candadito? Y mira que para poder capturar tu número de la tarjeta, tiene que ser alguien que sepa tu IP, o que sea capaz de montar un servidor web fraudulento, o que pueda capturar el tráfico de la red… alguien “muy preparado” (hoy en día, cualquiera). Sin embargo, sí que entendemos el problema del HTTP “en claro”.

    Creo que con la VoIP ocurrirá lo mismo. Terminaremos “buscando el candadito” antes de decir algo delicado en una conversación.

    Y esto hablando de particulares… si ya entramos en una instalación de VoIP en una empresa, en la que los técnicos de sistemas pueden ahora escuchar y grabar las conversaciones de los jefes… y si no es una empresa, sino que es un gobierno… uffff…

    Por lo demás, deacuerdo contigo: la seguridad debe cubrir toda la instalación y todo “el camino” que recorre la voz. No sólo hay que tener un servidor seguro.

Archivos

© 2014 Sinologic, inc. All rights reserved.

Menú

Redes sociales