Contenido
- Atravesando el cortafuegos
- Conflictos de VoIP con traducción de direcciones de red
- Sin errores, sin estrés: su guía paso a paso para crear software que cambie su vida sin destruir su vida
- Herramientas de pirateo de VoIP de código abierto
- Transición a VoIP
Para llevar:
VoIP es bien conocido por su rentabilidad, pero debe considerarse la seguridad antes de embarcarse en una implementación de VoIP.
La rentabilidad del protocolo de voz sobre Internet (VoIP) indudablemente evoca, como mínimo, curiosidad por parte de los responsables de la toma de decisiones corporativas que consideran cómo avanzar estratégicamente hacia el objetivo de una comunicación de voz rentable, pero sólida. Sin embargo, ¿es la tecnología VoIP realmente la mejor solución para nuevas empresas o incluso para empresas establecidas? La rentabilidad es evidente, pero ¿hay otros elementos, como la seguridad, que deberían considerarse antes de la implementación de VoIP? Los arquitectos de redes, los administradores de sistemas y los especialistas en seguridad deberían tener en cuenta los siguientes problemas antes de lanzarse al mundo emergente de VoIP. (Para obtener más información sobre las tendencias de VoIP, consulte La revolución global de VoIP).
Atravesando el cortafuegos
Al configurar el límite de la red de una organización en una red de datos típica, un primer paso lógico es insertar la proverbial información de 5 tuplas (dirección IP de origen, dirección IP de destino, número de puerto de origen, número de puerto de destino y tipo de protocolo) en un firewall de filtrado de paquetes. La mayoría de los cortafuegos de filtrado de paquetes examinan los datos de 5 tuplas, y si se cumplen ciertos criterios, el paquete se acepta o se rechaza. Hasta aquí todo bien, ¿no? No tan rapido.
La mayoría de las implementaciones de VoIP utilizan un concepto conocido como tráfico dinámico de puertos. En pocas palabras, la mayoría de los protocolos de VoIP utilizan un puerto específico para fines de señalización. Por ejemplo, SIP usa el puerto TCP / UDP 5060, pero invariablemente usan cualquier puerto que pueda negociarse con éxito entre dos dispositivos finales para el tráfico de medios. Entonces, en este caso, simplemente configurar un firewall sin estado para denegar o aceptar el tráfico con destino a un determinado número de puerto es similar a usar un paraguas durante un huracán. Es posible que evite que parte de la lluvia caiga sobre usted, pero en última instancia, eso no es suficiente.
¿Qué sucede si un administrador de sistema emprendedor decide que la solución al problema del tráfico dinámico de puertos está permitiendo conexiones a todos los puertos posibles utilizados por VoIP? No solo el administrador del sistema pasará una larga noche analizando miles de puertos posibles, sino que en el momento en que su red se rompa, probablemente buscará otra fuente de empleo.
¿Cual es la respuesta? Según Kuhn, Walsh & Fries, un primer paso importante para asegurar la infraestructura de VoIP de una organización es la implementación adecuada de un firewall con estado. Un firewall con estado difiere de un firewall sin estado en que retiene algún tipo de memoria de eventos pasados, mientras que un firewall sin estado no conserva absolutamente ninguna memoria de eventos pasados. El razonamiento detrás del uso de un firewall con estado se centra en su capacidad de no solo examinar la información de 5 tuplas mencionada anteriormente, sino también examinar los datos de la aplicación. La capacidad de examinar la heurística de datos de la aplicación es lo que permite al firewall diferenciar entre el tráfico de voz y de datos.
Con un firewall con estado establecido, la infraestructura de voz es segura, ¿correcto? Si tan solo la seguridad de la red fuera así de simple. Los administradores de seguridad deben tener en cuenta un concepto siempre al acecho: la configuración del firewall. Las decisiones, como si se permiten o no los paquetes ICMP a través de un firewall, o si se debe permitir un cierto tamaño de paquete, son absolutamente cruciales al determinar la configuración.
Conflictos de VoIP con traducción de direcciones de red
La traducción de direcciones de red (NAT) es el proceso que permite el despliegue de múltiples direcciones IP privadas detrás de una dirección IP global. Por lo tanto, si la red de un administrador tiene 10 nodos detrás de un enrutador, cada nodo tendrá una dirección IP que corresponda a la subred interna que se haya configurado. Sin embargo, todo el tráfico que sale de la red parece provenir de una dirección IP, muy probablemente, el enrutador.
La práctica de implementar NAT es extremadamente popular, ya que permite que una organización conserve el espacio de direcciones IP. Sin embargo, no plantea un pequeño problema cuando se implementa VoIP en la red NAT. Estos problemas no surgen necesariamente cuando las llamadas VoIP se realizan en una red interna. Sin embargo, surgen problemas cuando se realizan llamadas desde fuera de la red. La complicación principal surge cuando un enrutador habilitado para NAT recibe una solicitud interna para comunicarse a través de VoIP a puntos fuera de la red; inicia un escaneo de sus tablas NAT. Cuando el enrutador busca una combinación de dirección IP / número de puerto para asignar a la combinación de dirección IP / número de puerto entrante, el enrutador no puede realizar la conexión debido a la asignación dinámica de puertos practicada tanto por el enrutador como por el protocolo VoIP.
Sin errores, sin estrés: su guía paso a paso para crear software que cambie su vida sin destruir su vida
No puede mejorar sus habilidades de programación cuando a nadie le importa la calidad del software.
¿Confuso? Sin duda. Es esta confusión la que llevó a Tucker a recomendar eliminar NAT cada vez que se implementa VoIP. ¿Qué pasa con los NAT que abordan los beneficios de conservación del espacio? Tal es el toma y daca involucrado con la introducción de nueva tecnología en su red.
Herramientas de pirateo de VoIP de código abierto
Si un administrador de sistemas aspirante prefiere evaluar la postura de seguridad de su red en lugar de que un hacker lo haga por él, podría probar algunas de las siguientes herramientas de código abierto. De las herramientas de piratería VoIP de código abierto disponibles, algunas de las más populares son SiVuS, TFTP-Bruteforce y SIPVicious. SiVuS es como una navaja suiza cuando se trata de hackear VoIP. Uno de sus propósitos más útiles es el escaneo SIP, donde se escanea una red y se ubican todos los dispositivos habilitados para SIP. TFTP es un protocolo VoIP específico de Cisco y, como habrás adivinado, TFTP-Bruteforce es una herramienta utilizada para adivinar los posibles nombres de usuario y contraseñas de los servidores TFTP. Finalmente, SIPVicious es un juego de herramientas utilizado para enumerar posibles usuarios de SIP dentro de una red.
En lugar de descargar individualmente todas las herramientas mencionadas anteriormente, uno podría probar la última distribución de BackTrack Linux. Estas herramientas, así como otras, se pueden encontrar allí. (Para obtener más información sobre BackTrack Linux, consulte BackTrack Linux: Pruebas de penetración más sencillas).
Transición a VoIP
La proliferación global de la tecnología VoIP, junto con las tecnologías de red de área local (LAN), el continuo aumento en velocidad y capacidad, ha resultado en una migración masiva a la implementación de VoIP. Además, la infraestructura Ethernet actual en muchas organizaciones hace que la transición de VoIP parezca obvia. Sin embargo, antes de que los tomadores de decisiones se sumerjan en las profundidades de VoIP, sería prudente investigar todos los costos sin excluir la seguridad.