Upload
adalberto-gabriel
View
11
Download
0
Embed Size (px)
Citation preview
Seguridad en Voz IP
Antonio Pérez SánchezAntonio Pérez Sánchez
[email protected]@uib.es
Universitat de lesIlles BalearsUIB
Centre de Tecnologiesde la Informació
CTI@UIB Seguridad en Voz IP 2/33
Universitat de lesIlles BalearsUIB
Centre de Tecnologiesde la Informació
Índice
IntroducciónIntroducción Arquitectura del sistemaArquitectura del sistema Seguridad en VoIPSeguridad en VoIP Fiabilidad, Robustez y QoSFiabilidad, Robustez y QoS ConclusionesConclusiones
CTI@UIB Seguridad en Voz IP 3/33
Universitat de lesIlles BalearsUIB
Centre de Tecnologiesde la Informació
GKGK
Voz IP (I)
TCP-UDP/IPTCP-UDP/IP
Control (H.245/OPTIONS)Control (H.245/OPTIONS)RTP/RTCPRTP/RTCP
Registro (H.225 RAS/REGISTER)Registro (H.225 RAS/REGISTER)Señalización (Q.931/INVITE)Señalización (Q.931/INVITE)Control (H.245/SDP)Control (H.245/SDP)
CTI@UIB Seguridad en Voz IP 4/33
Universitat de lesIlles BalearsUIB
Centre de Tecnologiesde la Informació
GWGW
GKGK
Voz IP (II)
TCP-UDP/IPTCP-UDP/IP
PBXPBX
Control (H.245/OPTIONS)Control (H.245/OPTIONS)RTP/RTCPRTP/RTCP
Registro (H.225 RAS/REGISTER)Registro (H.225 RAS/REGISTER)Señalización (Q.931/INVITE)Señalización (Q.931/INVITE)Control (H.245/SDP)Control (H.245/SDP)
CTI@UIB Seguridad en Voz IP 5/33
Universitat de lesIlles BalearsUIB
Centre de Tecnologiesde la Informació
Índice
IntroducciónIntroducción Arquitectura del sistemaArquitectura del sistema
- InternoInterno- Interno-ExternoInterno-Externo- Nuestra ExperienciaNuestra Experiencia
Seguridad en VoIPSeguridad en VoIP Fiabilidad, Robustez y QoSFiabilidad, Robustez y QoS ConclusionesConclusiones
CTI@UIB Seguridad en Voz IP 6/33
Universitat de lesIlles BalearsUIB
Centre de Tecnologiesde la Informació
Servicio Interno
PrivadoPrivado
PúblicoPúblico InternetInternet
GKGKGWGW
IntranetIntranet
PúblicoPúblico
PBXPBX
CTI@UIB Seguridad en Voz IP 7/33
Universitat de lesIlles BalearsUIB
Centre de Tecnologiesde la Informació
Índice
IntroducciónIntroducción Arquitectura del sistemaArquitectura del sistema
- InternoInterno- Interno-ExternoInterno-Externo- Nuestra ExperienciaNuestra Experiencia
Seguridad en VoIPSeguridad en VoIP Fiabilidad, Robustez y QoSFiabilidad, Robustez y QoS ConclusionesConclusiones
CTI@UIB Seguridad en Voz IP 8/33
Universitat de lesIlles BalearsUIB
Centre de Tecnologiesde la Informació
Servicio Interno-Externo
PrivadoPrivado
PúblicoPúblico InternetInternet
GKGKGWGW
IntranetIntranet
PúblicoPúblico
PBXPBX
NAT-ALGNAT-ALG(H.323)(H.323)
Túnel VPN
ProxyProxy
CTI@UIB Seguridad en Voz IP 9/33
Universitat de lesIlles BalearsUIB
Centre de Tecnologiesde la Informació
Servicio Interno-Externo (I)
PrivadoPrivado
PúblicoPúblico InternetInternet
PúblicoPúblico
GKGKGWGW
IntranetIntranet
PBXPBX
Definir Reglas
CTI@UIB Seguridad en Voz IP 10/33
Universitat de lesIlles BalearsUIB
Centre de Tecnologiesde la Informació
Servicio Interno-Externo (II)
PrivadoPrivado
PúblicoPúblico InternetInternet
PúblicoPúblico
GKGKGWGW
IntranetIntranet
PBXPBX
Definir Reglas
• Packet FilteringPacket Filtering• Stateful InspectionStateful Inspection
• H.323H.323• SIPSIP• MGCPMGCP
Definir Reglas
CTI@UIB Seguridad en Voz IP 11/33
Universitat de lesIlles BalearsUIB
Centre de Tecnologiesde la Informació
Servicio Interno-Externo (III)
PrivadoPrivado
PúblicoPúblico InternetInternet
PúblicoPúblico
GKGK
GWGW
IntranetIntranetPBXPBX
DMZDMZ
Controlar accesos internos
CTI@UIB Seguridad en Voz IP 12/33
Universitat de lesIlles BalearsUIB
Centre de Tecnologiesde la Informació
Servicio Interno-Externo (IV)
PrivadoPrivado
PúblicoPúblico InternetInternet
PúblicoPúblico
GKGK
GWGW
IntranetIntranetPBXPBX
DMZDMZ
VLANVLAN
Segmentar
¿PC usuario?
CTI@UIB Seguridad en Voz IP 13/33
Universitat de lesIlles BalearsUIB
Centre de Tecnologiesde la Informació
Índice
IntroducciónIntroducción Arquitectura del sistemaArquitectura del sistema
- InternoInterno- Interno-ExternoInterno-Externo- Nuestra ExperienciaNuestra Experiencia
Seguridad en VoIPSeguridad en VoIP Fiabilidad, Robustez y QoSFiabilidad, Robustez y QoS ConclusionesConclusiones
CTI@UIB Seguridad en Voz IP 14/33
Universitat de lesIlles BalearsUIB
Centre de Tecnologiesde la Informació
IbizaIbiza
CampusCampus
MenorcaMenorca
ATMATM
FUEFUE
RDSIRDSI
GigabitEthernetGigabitEthernetCTICTI
WLANWLAN
Nuestra Experiencia (I)
12 edificios Campus12 edificios CampusIbiza, MenorcaIbiza, Menorca18 Centros Universitarios18 Centros UniversitariosOtros centrosOtros centros
CTI@UIB Seguridad en Voz IP 15/33
Universitat de lesIlles BalearsUIB
Centre de Tecnologiesde la Informació
InternetInternet
Nuestra Experiencia (II)
ATM 155MbpsATM 155Mbps
CTICTI
MadridMadrid
SalamancaSalamanca
SevillaSevilla
Phoenix, AZPhoenix, AZ
TernopilTernopil
LondresLondres
2’5Gbps
2’5Gbps
CTI@UIB Seguridad en Voz IP 16/33
Universitat de lesIlles BalearsUIB
Centre de Tecnologiesde la Informació
GWGW
PhoenixPhoenix
TernopilTernopil
LondresLondres
Interconexión Global
6xxxx6xxxx
xxxxxxxxGSMGSM
PRI-RDSIPRI-RDSI
xxxxxxxx
7xxxx7xxxxVozIPVozIP
PBXPBX
Telefonía Telefonía TradicionalTradicional
MadridMadrid
SalamancaSalamanca
SevillaSevilla
RTCRTC
GKGK
CTI@UIB Seguridad en Voz IP 17/33
Universitat de lesIlles BalearsUIB
Centre de Tecnologiesde la Informació
Índice
IntroducciónIntroducción Arquitectura del sistemaArquitectura del sistema Seguridad en VoIPSeguridad en VoIP
- Seguridad H.235Seguridad H.235- Ataques “Operacionales”Ataques “Operacionales”
Fiabilidad, Robustez y QoSFiabilidad, Robustez y QoS ConclusionesConclusiones
CTI@UIB Seguridad en Voz IP 18/33
Universitat de lesIlles BalearsUIB
Centre de Tecnologiesde la Informació
Seguridad: H.235 (I)
GKGK
• Captura de PasswordCaptura de Password• Spoofing del ID usuarioSpoofing del ID usuario
• Llamadas no autorizadasLlamadas no autorizadas• Acceso no autorizadoAcceso no autorizado
• URQ Attack: Unregistration URQ Attack: Unregistration RequestRequest
• RegistroRegistro• Señalización de llamadaSeñalización de llamada• Control de llamadaControl de llamada
CTI@UIB Seguridad en Voz IP 19/33
Universitat de lesIlles BalearsUIB
Centre de Tecnologiesde la Informació
Seguridad: H.235 (I)
GKGK
• Autenticación e IntegridadAutenticación e Integridad• IPSecIPSec• SHA: secreto = passwordSHA: secreto = password
• No Repudio No Repudio CertificadosCertificados
• RegistroRegistro• Señalización de llamadaSeñalización de llamada• Control de llamadaControl de llamada
• Firewalls StatefulFirewalls Stateful• CompatibilidadCompatibilidad
CTI@UIB Seguridad en Voz IP 20/33
Universitat de lesIlles BalearsUIB
Centre de Tecnologiesde la Informació
Seguridad: H.235 (II)
GKGK
• Captura de conversacionesCaptura de conversaciones• Ráfagas adicionales RTPRáfagas adicionales RTP• Tráfico MultimediaTráfico Multimedia
CTI@UIB Seguridad en Voz IP 21/33
Universitat de lesIlles BalearsUIB
Centre de Tecnologiesde la Informació
Seguridad: H.235 (II)
GKGK
• Tráfico MultimediaTráfico Multimedia• Integridad Integridad ¡Pérdidas!¡Pérdidas!• Autenticación Autenticación SeñalizaciónSeñalización• ConfidencialidadConfidencialidad
• DES, 3DESDES, 3DES
• Mezclado (MCU)Mezclado (MCU)• Transcoding (GW)Transcoding (GW)• ¿IP-Phones?¿IP-Phones?
CTI@UIB Seguridad en Voz IP 22/33
Universitat de lesIlles BalearsUIB
Centre de Tecnologiesde la Informació
Índice
IntroducciónIntroducción Arquitectura del sistemaArquitectura del sistema Seguridad en VoIPSeguridad en VoIP
- Seguridad H.235Seguridad H.235- Ataques “Operacionales”Ataques “Operacionales”
Fiabilidad, Robustez y QoSFiabilidad, Robustez y QoS ConclusionesConclusiones
CTI@UIB Seguridad en Voz IP 23/33
Universitat de lesIlles BalearsUIB
Centre de Tecnologiesde la Informació
Ataques “Operacionales”
InternetInternet
GKGK GWGW
IntranetIntranet
PBXPBX
• Servicios:Servicios:• DNSDNS• NTP/SNTPNTP/SNTP• DHCPDHCP• SMTPSMTP
DNSDNS NTPNTP
SMTPSMTPDHCPDHCP
Proteger ServiciosProteger ServiciosProteger ServiciosProteger Servicios
CTI@UIB Seguridad en Voz IP 24/33
Universitat de lesIlles BalearsUIB
Centre de Tecnologiesde la Informació
Proteger ServiciosProteger ServiciosProteger ServiciosProteger Accesos
Ataques “Operacionales”
InternetInternet
GKGK
GWGW
IntranetIntranet
PBXPBX
• GestiónGestión• FTP/TFTPFTP/TFTP• http (IIS)http (IIS)• JavaJava• SNMPSNMP• ICMPICMP• Telnet/sshTelnet/ssh
CTI@UIB Seguridad en Voz IP 25/33
Universitat de lesIlles BalearsUIB
Centre de Tecnologiesde la Informació
ClientProxyClientProxy
Ataques “Operacionales”
InternetInternet
GWGW
IntranetIntranet
PBXPBX
• ProtocolosProtocolos• EthernetEthernet• WLANWLAN• IP RoutingIP Routing• MulticastMulticast• TCP/UDPTCP/UDP• NetBIOSNetBIOS
Proteger ServiciosProteger ServiciosProteger Servicios
Proteger Protocolo
s
Proteger Protocolo
s
GKGK
CTI@UIB Seguridad en Voz IP 26/33
Universitat de lesIlles BalearsUIB
Centre de Tecnologiesde la Informació
Ataques “Operacionales”
InternetInternet
GWGW
IntranetIntranet
PBXPBX
• SistemasSistemas• VirusVirus• S.O.S.O.• FirmwareFirmware• UpgradesUpgrades• ParchesParches
GKGK
Proteger ServiciosProteger ServiciosProteger ServiciosSistemas
ActualizadosSistemas
ActualizadosSistemas
ActualizadosSistemas
Actualizados
CTI@UIB Seguridad en Voz IP 27/33
Universitat de lesIlles BalearsUIB
Centre de Tecnologiesde la Informació
Índice
IntroducciónIntroducción Arquitectura del sistemaArquitectura del sistema Seguridad en VoIPSeguridad en VoIP Fiabilidad, Robustez y QoSFiabilidad, Robustez y QoS ConclusionesConclusiones
CTI@UIB Seguridad en Voz IP 28/33
Universitat de lesIlles BalearsUIB
Centre de Tecnologiesde la Informació
Fiabilidad
FiabilidadFiabilidad ¿Quién nos asegura 99%?¿Quién nos asegura 99%? Dificultad de detectar y localizar fallos en Dificultad de detectar y localizar fallos en
tiempo real: latenciatiempo real: latencia Demasiados componentes: minimizarlosDemasiados componentes: minimizarlos RedundanciaRedundancia
- No es suficienteNo es suficiente- Puede ser la causa de un falloPuede ser la causa de un fallo
CTI@UIB Seguridad en Voz IP 29/33
Universitat de lesIlles BalearsUIB
Centre de Tecnologiesde la Informació
Robustez
RobustezRobustez Conflicto: sistema abierto o cerradoConflicto: sistema abierto o cerrado Sobrevivir a un DoS: difícil.Sobrevivir a un DoS: difícil. Minimizar la dependencia operacionalMinimizar la dependencia operacional Evitar los puntos únicos de falloEvitar los puntos únicos de fallo
- Conseguir que la infraestructura crítica Conseguir que la infraestructura crítica esté ampliamente distribuidaesté ampliamente distribuida
- Se complica la gestiónSe complica la gestión
CTI@UIB Seguridad en Voz IP 30/33
Universitat de lesIlles BalearsUIB
Centre de Tecnologiesde la Informació
QoS
Asignación de Recursos (QoS)Asignación de Recursos (QoS) No comprometer el rendimiento y la No comprometer el rendimiento y la
escalabilidad: seguridad preservando los escalabilidad: seguridad preservando los recursos.recursos.
Dificultades:Dificultades:- Priorizar sobre un camino no controlado.Priorizar sobre un camino no controlado.- Diseño de capacidad en situaciones Diseño de capacidad en situaciones
masivas.masivas. Colaboración en Redes Ajenas.Colaboración en Redes Ajenas. Asumir riesgos en nuestra red en producción.Asumir riesgos en nuestra red en producción.
CTI@UIB Seguridad en Voz IP 31/33
Universitat de lesIlles BalearsUIB
Centre de Tecnologiesde la Informació
Índice
IntroducciónIntroducción Arquitectura del sistemaArquitectura del sistema Seguridad en VoIPSeguridad en VoIP Fiabilidad, Robustez y QoSFiabilidad, Robustez y QoS ConclusionesConclusiones
CTI@UIB Seguridad en Voz IP 32/33
Universitat de lesIlles BalearsUIB
Centre de Tecnologiesde la Informació
Conclusiones
Queda mucho por trabajar.Queda mucho por trabajar. Protocolo vs. ProductoProtocolo vs. Producto Nos faltan solucionesNos faltan soluciones Importante: la colaboraciónImportante: la colaboración
Los fabricantes: papel clave.Los fabricantes: papel clave. De nada sirve un estándar sin su apoyoDe nada sirve un estándar sin su apoyo Principales Objetivos:Principales Objetivos:
- FiabilidadFiabilidad- RobustezRobustez- CompatibilidadCompatibilidad
CTI@UIB Seguridad en Voz IP 33/33
Universitat de lesIlles BalearsUIB
Centre de Tecnologiesde la Informació
Seguridad en Voz IP
Universitat de lesIlles BalearsUIB
Centre de Tecnologiesde la Informació
¿Preguntas?