Hace algunos años leí una noticia que decía “Descubren vulnerabilidades en voz sobre IP, las fallas pueden ocasionar la denegación total del servicio de Internet o de telefonía en la oficina. Ya está disponible la solución”.

En nuestro artículo anterior, hablábamos de cómo la Voz sobre IP inició y empezó a crecer a raíz del  Internet y, sobre todo, de la tecnología de banda ancha, y que empresas como Skype tienen éxito en el uso de este tipo de servicios y, combinado con el crecimiento de las redes inalámbricas, pueden mover esta tecnología desde las empresas a los pequeños negocios y el mercado SOHO (Small Office Home Office, por sus siglas en inglés). Desafortunadamente, como cualquier nueva tecnología, trae consigo problemas respecto a la seguridad y se tienen que tomar en cuenta otras tecnologías para proteger y dar el servicio de  voz y datos. Los servidores de “VoIP” (Voice over IP, por sus siglas en inglés) actúan como puertas de enlace, por lo que ruteadores, teléfonos, nuevos protocolos y sistemas operativos forman parte de esta innovadora tecnología y en la medida en que éstos se extienden y generalizan, su peligro y los factores de riesgo se incrementan, tal y como pasa con el resto de aplicaciones y servicios de Internet que son blancos de vulnerabilidades y ataques.

Las amenazas

Existen numerosas amenazas que están al acecho de los servicios de “VoIP”, muchas de las cuales pasan desapercibidas para la mayoría de los usuarios. Como decíamos anteriormente: los dispositivos de redes, los servidores y sus sistemas operativos, los protocolos, los teléfonos y su software, todos son vulnerables.

Por ejemplo, en la actualidad hay técnicas para que el servicio de “VoIP” pueda ser comprometido en un servidor de gestión de llamadas o “call manager”, y se use para configurar o dirigir llamadas del siguiente modo: una lista de entradas y salidas de llamadas, su duración y sus parámetros. Utilizando esta información un atacante puede obtener un mapa detallado de todas las llamadas realizadas en la oficina o negocio, creando grabaciones completas de conversaciones y datos de los usuarios.

Como pueden ver, la conversación es lo primordial en un servicio de “VoIP”, y es el objetivo de cualquier atacante,  y si alguno de éstos consigue entrar a  una parte clave de los dispositivos que conforman la infraestructura de voz, como por ejemplo una puerta de enlace de VoIP (gateway de voz),  podrá capturar e instalar paquetes con los cuales podrá escuchar la conversación, inclusive y peor aún, grabarla y más tarde reproducir todas las conversaciones que pasan en la red.

Otro de los posibles ataques es el secuestro de llamadas (muy de moda en nuestro país); en este escenario, el atacante puede interceptar la conexión y manipular la configuración de la llamada de manera que una persona A marca el número telefónico de una persona B, llamada que es secuestrada por el atacante quien contesta y se hace pasar por la persona B. Es un ataque que causa temor, ya que los usuarios no notan el cambio y los atacantes usan técnicas de ingeniería social para ejecutar suplantación de identidad y robo de información confidencial, entre otros.

La disponibilidad del servicio de “VoIP” es otro punto importante. En tecnologías analógicas la disponibilidad no era realmente un problema. Pero en el mundo “IP” es mucho más sencillo hackear y dejar inoperante una red “VoIP”. Todos estamos familiarizados con los efectos de los ataques de denegación de servicio: si un atacante se dirige a puntos clave de la red puede causar la imposibilidad de comunicarte vía voz o datos.

Los servidores y teléfonos “IP” son vulnerables por sí mismos. Aunque parezcan simples teléfonos en realidad son pequeños equipos de cómputo  con software. Obviamente, como todos sabemos, el software es vulnerable a los mismos tipos de “bugs” o huecos de seguridad que hacen que un sistema operativo pueda estar a plena disposición de un atacante.

 

La prevención

Ya hemos hecho énfasis en los principales peligros a los que se enfrenta  la tecnología de “VoIP”. Resumiendo, destacan los problemas de Denegación de Servicio (DoS), que afectan a la disponibilidad del servicio de “VoIP”; o los Accesos No Autorizados que pueden terminar afectando la confidencialidad del servicio (escuchar de forma no autorizada, suplantación de identidad, robos del servicio de voz, redirección, etc.).  En este sentido, el uso no autorizado del servicio es factible que genere un impacto económico elevado al realizar llamadas internacionales o de larga distancia.

Desafortunadamente, al inicio del diseño de hardware, software y protocolos para voz, la seguridad no era una prioridad, pero como todos sabemos esto es lo que siempre  pasa cada vez que aparece una nueva tecnologíaJ. A pesar de ello y para bien común, algún tercero siempre soluciona este problema; examinemos algunas opciones que previenen las amenazas sobre esta tecnología.

Una técnica común para mitigar las vulnerabilidades en el servicio de “VoIP” es la protección perimetral (IPS, firewalls, análisis avanzado de protocolos), la cual debe actualizarse para incorporar un nivel de seguridad proactivo adecuado frente a estas amenazas en los servicios de “VoIP”; inclusive hoy existen tecnologías de protección perimetral especializadas en VoIP.  Los servidores de llamadas están abriendo y cerrando puertos de manera constante para las nuevas conexiones; este elemento dinámico hace que su manejo sea más difícil, pero el costo lo vale por la cantidad de beneficios que se obtienen, así que es aconsejable perfeccionar los controles de acceso aunque se nos dificulte un poco. Un IDS/IPS monitorea la red para detectar cualquier anomalía en el servicio o un abuso potencial. Las advertencias son una clave para prevenir los ataques posteriores, y recordemos: no hay mejor defensa que estar prevenido para el ataque.

Otro punto que debemos tener en mente en los servicios de “VoIP” es el cifrado. Aunque parezca un poco oneroso capturar y decodificar los paquetes de voz, se puede hacer, y cifrar es una de las formas de prevenirse ante un ataque, sobre todo alguno que atente contra la confidencialidad de las conversaciones.  Existen varias técnicas de encriptación tales como: VPN (Virtual Private Network), el protocolo IPsec (IP segura) y otros protocolos como SRTP (Secure Real-Time Transport Protocol). El punto importante es elegir un algoritmo de encriptación rápido, eficiente, y emplear tecnologías dedicadas para cifrado. Otra opción manejada actualmente es QoS (Quality of Service, por sus siglas en inglés); los requerimientos para “QoS” aseguran que la voz se maneje siempre de manera óptima, reduciendo la pérdida de calidad y haciendo menos probable un ataque de denegación de servicio.

Es sustancial el proceso de asegurar todos los elementos que componen la solución de “VoIP”: servidores de llamadas, ruteadores, switches, y teléfonos.  Es necesario configurar cada uno de esos dispositivos para asegurar que están alineados con los procesos de seguridad de la empresa. Por ejemplo, los servidores pueden ejecutar pequeñas funciones y tal vez sólo deben estar abiertos los puertos que realmente se utilizan. Los ruteadores y switches deben estar configurados adecuadamente, con listas de control de acceso y filtros. Algo ya conocido es que todos los dispositivos deben estar actualizados en términos de parches y actualizaciones. En otras palabras, se trata del mismo tipo de precauciones que se toman cuando se adicionan nuevos elementos a la red de datos; lo que sucede ahora es que se debe extender este proceso a la parte que le compete al servicio de “VoIP”.

Algo primordial que ya se ha mencionado y que se debe considerar es la disponibilidad del servicio de “VoIP”. Es necesario tomar en cuenta que una pérdida de energía puede provocar que la red se caiga y este tipo de fallas son importantes, por lo que se debe asegurar que exista un sistema de redundancia, sobre todo en compañías que dependen del servicio de telefonía para sus procesos sustantivos.

 

Algo interesante

En la WEB me encontré algunos términos y conceptos que se usan en las amenazas del servicio de “VoIP”, aquí algunos:

  • Eavesdropping, que se traduce literalmente como escuchar secretamente, es el término con el que se conoce la escucha de conversaciones “VoIP” por parte de un intruso. El eavesdropping en “VoIP” es algo diferente del eavesdropping en las redes tradicionales de datos, pero el concepto es el mismo. Eavesdropping en “VoIP” requiere interceptar la señalización y los streams de audio de una conversación. Los mensajes de señalización utilizan protocolos separados, es decir, “UDP” o “TCP”. Los streams normalmente se transportan sobre “UDP” utilizando el protocolo “RTP”. Algunos podrían pensar que este tipo de ataque podría eliminarse con el uso de switches Ethernet que restringen el tráfico broadcast en la red, porque se limita quién puede acceder al tráfico. Sin embargo, este argumento deja de ser válido cuando se introduce el “ARP spoofing” o envenenamiento de la caché ARP como mecanismo para llevar a cabo una intrusión.
  •  ARP spoofing. El concepto básico es que el atacante envía a los usuarios avisos con la MAC falseada y, por lo tanto, consigue que los paquetes IP lleguen a su host.  Por medio del “ARP spoofing”, un atacante puede capturar, analizar y escuchar comunicaciones “VoIP”.
  •  Oreka. Es un sniffer de “VoIP” que captura conversaciones y registros y que soporta los protocolos más utilizados: Bidirectional “SIP”, SCCP de Cisco, Bidirectional Raw “RTP”. Tiene una licencia “GPL” y está disponible tanto para sistemas Windows como GNU/Linux. Es un sistema modular que está formado por los siguientes demonios:
    • Orkaudio. Es el demonio encargado de escuchar conversaciones “VoIP” y decodificarlas a archivos WAV.
    • Orkweb. Proporciona una interfaz de administración WEB.
    • Orktrack. Es el servicio encargado de registrar las conversaciones “VoIP” en MySQL.

Así pues, hay que ser precavidos a la hora de implantar soluciones de VoIP porque las amenazas para las empresas han aumentado; por ello es importante conocer algunas de las técnicas y herramientas que usan los atacantes en la actualidad.

[email protected]