Próximos eventos

Adaptando Cloud con Ciberseguridad, 7 de marzo (evento presencial)

2007101002. Cómo garantizar la seguridad en las transmisiones de Voz vía IP

En el transcurso de la historia, las innovaciones técnicas han llevado con frecuencia a cambios significativos en las comunicaciones interpersonales, con influencia significativa en toda la sociedad.
En los últimos años, ha ido ganando fuerza un nuevo tipo de tecnología de comunicación: las redes interactivas, que permiten a los usuarios enviar o recibir una gran cantidad de información. La red interactiva de más rápido crecimiento y la más grande hasta el momento ha sido Internet. Reservado, hasta hace pocos años, a los científicos y a los fanáticos de la tecnología, su número de usuarios ha crecido dramáticamente en un tiempo muy corto, gracias a las facilidades de acceso, a la disponibilidad de ordenadores potentes a un coste asumible y, sobre todo, al carácter cada vez más informativo y de entretenimiento de esa Red de Redes.
Mientras, la disponibilidad de conexiones de banda ancha a Internet ha crecido igualmente rápido, lo que nos sitúa en el umbral de una innovación revolucionaria – la telefonía Internet – que combinará los antiguos y nuevos métodos de comunicación y que tendrá, de nuevo, un fuerte impacto social.
Ningún mercado ha crecido tan rápidamente, ni ha tenido tanta publicidad, como el de la Voz sobre IP. Mientras el principal interés de los usuarios privados se centra en cómo reducir sus facturas de teléfono, las ventajas en términos de costes para las empresas están relacionadas sobre todo con las sinergias que se conseguirán con esta tecnología, al consolidar las telecomunicaciones existentes y la infraestructura TI dentro de Ethernet.

Principales riesgos en el entorno VoIP

A pesar de la euforia con esta tecnología, que supondrá una burbuja de aire para el complejo y enfrentado mundo de las TI y las telecomunicaciones, debemos ser conscientes de que la telefonía por Internet es vulnerable y expuesta a los mismos riesgos que afrontan diariamente los usuarios IP. Es por ello que la seguridad en el ámbito VoIP tiene una importancia clave. La misma, sin embargo, hoy por hoy, no ocupa el lugar que le corresponde en la mente del usuario, más preocupado por garantizar la capacidad de comunicarse a través de esa tecnología.
La importancia de la seguridad en Voz sobre IP, sobre todo para las comunicaciones de negocio, ha quedado demostrada por numerosos estudios, entre ellos, por el recientemente publicado de la Ofician Federal Alemana para la Seguridad de la Información (BSI).

Diversos ámbitos de aplicación

Focalicémonos en la telefonía VoIP, transportada a través de los medios, la responsabilidad sobre los que reside en los operadores. Según los datos disponibles, hoy por hoy, el principal área de aplicación del VoIP empresarial es la simplificación de las rutas internas de comunicación y la conexión de sites remotos o de home offices a la estructura PBX corporativa.
En este caso, es imperativo que las comunicaciones se lleven a cabo a través de una conexión VPN encriptada. De esta manera, las llamadas de IP se pueden llevar a cabo a través de localizaciones individuales vía la conexión VPN, asegurando la seguridad frente a posibles “escuchas”. El flujo de datos debe dirigirse vía los firewalls en ambas localizaciones, antes de que el mismo sea reenviado a los respectivos terminales VoIP.

Clases de Servicio/Calidad de Servicio

Adicionalmente a los parámetros de seguridad tradicionales, como las reglas comunes de los firewalls que mantienen separadas las redes públicas y privadas, la protección frente a ataques de nivel 2 y 3 (como por ejemplo al ARP, VLAN, DHCP y MAC, o el spoofing IP), y la defensa frente a la denegación de servicios, también es necesario tener mecanismos que garantizan la calidad del servicio en la transmisión de voz. Esto se puede conseguir con el uso de una Quality of Service Management (Calidad en la Gestión del Servicio) fluida y de las reglas correspondientes.
El equipamiento de terminal de VoIP utilizado (teléfonos, routers, sistemas PBX) generalmente está capacitado para etiquetar el frame de los paquetes de voz Ethernet con información DiffServ. Gracias a ello, los paquetes de voz se puedan reenviar según en función de su prioridad, dotando a los routers en uso de la capacidad de analizar el campo Clase de Servicio en el marco Ethernet.
Las redes de voz y datos se pueden separar lógicamente para asegurar la Calidad del Servicio, la gestión y la escalabilidad. Estas precauciones no resultan absolutamente necesarias desde el punto de vista de la Calidad de Servicio, con la velocidad actual de las redes de cableado de 100Mbps o 1Gbps. Aún así, incrementan la seguridad general, al mismo tiempo que minimizan la posible influencia sobre la Voz de la transferencia de datos.
Para responder a los más altos estándares de seguridad, tal y como se prescribe en el ámbito de la comunicación de documentación clasificada, es recomendable que todo el equipamiento del terminal (de voz y de datos) debe estar autentificado con 802.1x, y las direcciones MAC estáticas se deben asignar por puerto switch.
De todos modos, en la actualidad no existen teléfonos IP que están explícitamente aprobados para la comunicación de documentación clasificada.

Garantizar la disponibilidad

La disponibilidad del gateway VoIP debe estar garantizada en todo momento. Si la conexión Internet existente falla, los protocolos de redundancia correspondientes (VRRP) deben utilizarse para pasar la comunicación a un medio de reemplazo adecuado. Ya que la disponibilidad de conexiones DSL está determinada hoy como en un 97% (traducido a un tiempo de inactividad de aproximadamente unos 11 días), un backup del interface alternativo (por ejemplo, RDSI o UMTS) debe estar disponible para asegurar la comunicación de datos. Los dispositivos, catalogados como “VoIP ready”, deben estar capacitados para utilizar ela interface RDSI para la transmisión tanto de voz, como de datos.
La subdivisión tiene lugar en el nivel B del canal, es decir, un canal puede seguir utilizándose para el tráfico de datos, mientras el segundo canal se utiliza para el tráfico de voz. Además de permitir que los empleados reciban llamadas utilizando su propio número telefónico, las llamadas de emergencia y las llamadas locales se pueden transmitir directamente a la red telefónica pública.
Asimismo, el gateway debe incluir funciones “life-line” que conecten de un lado a otro la conexión RDSI interna y externa o analógica interna y externa a través de un relé hardware en caso de un fallo grave en el suministro de energía.

Integración de proveedores SIP

La mayoría de los gateways VoIP disponibles en la actualidad ofrecen a los usuarios la opción de registrar sus terminales con alguno de los principales proveedores SIP. Esta característica es muy bien considerada por los usuarios privados, pero da lugar a dos principales desventajas para los usuarios de negocio. En primer lugar, en la actualidad muy pocos proveedores SIP ofrecen la capacidad de utilizar extensiones, frente a la capacidad de una conexión RDSI punto-a-punto, lo que restringe de manera importante la aplicación en entornos de negocio.
El protocolo SIP, por otro lado, transfiere los datos de voz sin encriptar. Esto permite que incluso personas inexpertas puedan “escuchar” conversaciones críticas para el negocio. “VoIPong” es una potente herramienta que puede extraer la porción de voz de una conexión de datos y hacer que la misma sea audible para el atacante. De este modo, mientras los proveedores no ofrezcan protocolos encriptados como SRTP y SIPS, la integración debe evitarse.

A modo de resumen

A modo de resumen, para que un gateway VoIP responda a las necesidades actuales de seguridad para la telefonía en Internet, debe incorporar varios requerimientos. En relación con la disponibilidad, debe ofrecer: un interface RDSI integrado con soporte Lifeline, funcionalidades de Class of Service/Quality of Service en el envío y recepción de información, y garantías de alta disponibilidad a través del uso de los protocolos adecuados y a través de vías de comunicación como VRRP e RDSI.
En lo que se refiere a la seguridad, asimismo, debe incluir mecanismos de protección como firewalls y protección frente a la denegación de servicio; funcionalidades VPN para la transmisión segura de voz entre las localizaciones; soporte para redes lógicas (VLAN) y opciones de autenticación para los terminales.

Deja un comentario

Scroll al inicio