Enfrentémoslo, la seguridad en VoIP es una de las principales preocupaciones, espacialmente cuando existen múltiples usuarios y localidades conectados a la misma red. Si algo sale mal, significa que el sistema entero y todos los que están dentro, se verán afectados. Afortunadamente, con las practicas de seguridad correctas, mantener una red VoIP segura y protegida no tiene que ser tan complicado. Hoy, voy a mencionar las maneras más efectivas para mantener su red VoIP segura y como puede aplicar estas mejores practicas a su propia organización.
Cifrado de sus comunicaciones con SIPS y SRTP
Para mantener segura la información compartida entre un servidor y un cliente, el protocolo recomendado es SIPS, o SIP sobre TLS y SRTP. Estos protocolos encriptan el intercambio de mensajes de señalización y el tráfico de audio, lo cual resuelve los problemas de autenticación, confidencialidad e integridad que comúnmente se presentan en estos escenarios. Utilizar SIPS significa que se puede establecer una conexión segura entre un PBX IP y un terminal IP, mediante el uso de TLS (Transport Layer Security). Para formar una conexión punto a punto que sea segura, una llave es intercambiada por el túnel SSL, señalizando la comunicación encriptada. Lo que resulta genial sobre SIPS y SRTP es que se encripta toda la información asociada con la iniciación de una llamada, procesamiento y tráfico de audio. Por ejemplo, durante una llamada, no solo el audio estará seguro, sino que también toda la información relacionada como el identificador del origen (caller ID), el destino, buzón de voz, entre otros; extendiendo la seguridad a su información durante el proceso de intercambio. Un punto que hay que tener en mente es que, en orden para utilizar estos protocolos, todos los dispositivos involucrados deben soportar SIPS y SRTP de manera simultánea, de otra manera la conexión no se podrá establecer. Otros protocolos de seguridad recomendados son SSH para inicio de sesión remoto desde un terminal a otro, y SSL / HTTPS para conectarse a un servidor web mediante un navegador.
Proteja su red con valores y contraseñas únicos y seguros
Es muy importante llevar a la seguridad un paso más allá y siempre utilizar contraseñas y valores únicos cuando se encuentre configurando su red VoIP. Esta práctica le ayudará a prevenir que algún atacante pueda adivinar los valores por defecto y a mantener segura su red y toda la información que intercambia sobre ella. Por ejemplo, siempre use un usuario y contraseña únicos para cada sesión, nunca es una buena idea permitir sesiones VoIP concurrentes con las mismas credenciales, ya que esto puede hacer su red vulnerable a ataques. Cuando se encuentre haciendo los planes de ruteo, evite utilizar los alias por defecto para E.164 y asegúrese de que el E.164 esta personalizado y es único. Como una mejor práctica, utilice un alias E.164 único para cada usuario y contraseña. Para añadir capas de seguridad adicionales, todos los dispositivos VoIP deben utilizar pins únicos que tengan por lo menos cuatro dígitos de longitud. Y finalmente, cada dispositivo debe tener diferente nombre o alias. Si dos dispositivos diferentes se intentan registrar con el mismo nombre o alias, los dispositivos deberían de recibir un mensaje de error y alertar al administrador de los valores duplicados.
Utilice prácticas de autenticación y seguridad para todos los protocolos de señalización
Ya sea que utilice H.323 o H.225, es importante que configure estos protocolos con prácticas seguras de autenticación. Para empezar, evite utilizar la autenticación estándar de H.323 que utiliza un hash y contraseña MD5, ya que este no es un método valido de cifrado por que siempre se genera el mismo valor del 128-bit hash, haciendo que sea fácil de atacar con un proceso en reversa. En lugar de eso, proteja con H.225 en un túnel TLS que se utiliza para proteger la capa de sesión utilizando H.323 (H.323 con SSL/TLS). El método más común de autenticación se llama “hashing de contraseñas”, consiste en una combinación de una contraseña con un hash MD5, nombre de usuario (ID de H.323 o ID general) y una timestamppara crear un hash único para cada petición de autenticación. Sin embargo, tenga presente que este proceso tiene algunos puntos vulnerables debido a los posibles ataques de repetición. Mientras tanto, los protocolos de señalización H.225, utilizan un timestamppara autenticación por un servidor NTP, así que es importante que la duración del timestampno se configure mayor a 15 minutos para prevenir ataques de repetición. Finalmente, sin importar si esta utilizando SIP, H.323 o IAX, asegúrese de que sus protocolos de inicio de sesión requieran de autenticación para des-registrar un usuario o dispositivo.
Configure protocolos y procesos seguros para su red
Personalizar un plan que prevea redes débiles y vulnerables, es esencial para alcanzar la máxima seguridad en su red VoIP. Una práctica recomendada es utilizar un método de gestión de dispositivos fuera-de-banda (out-of-band) desde una red de gestión aislada y segura, de manera que se genera un camino seguro para gestionar una red remota sin interferir con el tráfico cotidiano. Sin embargo, si usted utiliza un método de gestión dentro-de-banda, asegúrese de que la administración sea cifrada. Cuando se trata de practicas de gestión cotidiana, es importante contar con software de gestión VoIP que registre cualquier evento o actividad critica para que puedan ser revisados o auditados de manera regular. Para mantener servidores ininterrumpidos corriendo todo el tiempo, es recomendado utilizar dos servidores DHCP, en caso de que alguno falle el otro puede seguir asignando nuevas direcciones o renovando a los clientes existentes, también ayuda a balancear la carga en los servidores. Otras de las mejores prácticas para gestión de protocolos, incluyen utilizar SSLv3/TLSv1 no autofirmado (non-self-signed) con un cifrado fuerte durante el proceso de handshakeque inicia la encriptación. Para prevenir ambientes desprotegidos durante el intercambio de información, las conexiones deben cortarse inmediatamente si un certificado incorrecto, expirado o autofirmado es utilizado. Una buena práctica es apagar las opciones de auto-descubrimiento para todos los gatekeepers externos, ya que esto puede evitar acceso no autorizado a la entidad de gestión central que maneja la autenticación, autorización, directorio telefónico, control y ruteo de llamadas. Finalmente, colocar la red VoIP detrás de un firewally permitir solo el acceso autorizado mediante la definición de reglas explicitas en el firewall o el dispositivo de seguridad, puede incrementar significativamente la protección de su red.
Si bien es imposible superar todos los problemas de seguridad y algunas cosas son inevitables, armar un plan de mejores prácticas y procesos para mantener su red VoIP segura, lo puede poner un paso por delante ante una crisis. Es vital que tenga una lista con los puntos de seguridad cruciales que se deben aplicar a su red y mantener un ojo en las áreas que puedan tener algún efecto sobre la comunicación de su empresa.
Fuentes:
Dwivedi, H. (2009). Hacking VoIP: Protocols, attacks, and countermeasures. San Francisco: No Starch Press.