340 likes | 456 Vues
Seguridad en Voz IP. Antonio Pérez Sánchez toni.perez@uib.es. Índice. Introducción Arquitectura del sistema Seguridad en VoIP Fiabilidad, Robustez y QoS Conclusiones. Voz IP (I). GK. Registro (H.225 RAS/REGISTER) Señalización (Q.931/INVITE) Control (H.245/SDP). TCP-UDP/IP.
E N D
Seguridad en Voz IP Antonio Pérez Sánchez toni.perez@uib.es
Índice • Introducción • Arquitectura del sistema • Seguridad en VoIP • Fiabilidad, Robustez y QoS • Conclusiones Seguridad en Voz IP
Voz IP (I) GK Registro (H.225 RAS/REGISTER) Señalización (Q.931/INVITE) Control (H.245/SDP) TCP-UDP/IP Control (H.245/OPTIONS) RTP/RTCP Seguridad en Voz IP
Voz IP (II) GK GW Registro (H.225 RAS/REGISTER) Señalización (Q.931/INVITE) Control (H.245/SDP) PBX TCP-UDP/IP Control (H.245/OPTIONS) RTP/RTCP Seguridad en Voz IP
Índice • Introducción • Arquitectura del sistema • Interno • Interno-Externo • Nuestra Experiencia • Seguridad en VoIP • Fiabilidad, Robustez y QoS • Conclusiones Seguridad en Voz IP
Servicio Interno GK GW Internet Público Intranet Público PBX Privado Seguridad en Voz IP
Índice • Introducción • Arquitectura del sistema • Interno • Interno-Externo • Nuestra Experiencia • Seguridad en VoIP • Fiabilidad, Robustez y QoS • Conclusiones Seguridad en Voz IP
Servicio Interno-Externo Proxy GK Túnel VPN GW Internet Público Intranet NAT-ALG (H.323) Público PBX Privado Seguridad en Voz IP
Servicio Interno-Externo (I) GK GW Internet Público Intranet Definir Reglas Público PBX Privado Seguridad en Voz IP
Servicio Interno-Externo (II) GK GW Internet Público Intranet Definir Reglas Definir Reglas Público • Packet Filtering • Stateful Inspection • H.323 • SIP • MGCP PBX Privado Seguridad en Voz IP
Servicio Interno-Externo (III) GK GW Internet Público Controlar accesos internos DMZ Intranet PBX Público Privado Seguridad en Voz IP
Servicio Interno-Externo (IV) GK VLAN GW Internet Público Segmentar DMZ ¿PC usuario? Intranet PBX Público Privado Seguridad en Voz IP
Índice • Introducción • Arquitectura del sistema • Interno • Interno-Externo • Nuestra Experiencia • Seguridad en VoIP • Fiabilidad, Robustez y QoS • Conclusiones Seguridad en Voz IP
Nuestra Experiencia (I) CTI Ibiza GigabitEthernet ATM Campus WLAN Menorca RDSI 12 edificios Campus Ibiza, Menorca 18 Centros Universitarios Otros centros FUE Seguridad en Voz IP
Nuestra Experiencia (II) Internet Phoenix, AZ Ternopil Londres Salamanca Madrid CTI Sevilla 2’5Gbps ATM 155Mbps Seguridad en Voz IP
Interconexión Global Phoenix Ternopil Londres Madrid GK Salamanca Sevilla GW VozIP 7xxxx xxxx Telefonía Tradicional PBX PRI-RDSI RTC 6xxxx GSM xxxx Seguridad en Voz IP
Índice • Introducción • Arquitectura del sistema • Seguridad en VoIP • Seguridad H.235 • Ataques “Operacionales” • Fiabilidad, Robustez y QoS • Conclusiones Seguridad en Voz IP
Seguridad: H.235 (I) GK • Registro • Señalización de llamada • Control de llamada • Captura de Password • Spoofing del ID usuario • Llamadas no autorizadas • Acceso no autorizado • URQ Attack: Unregistration Request Seguridad en Voz IP
Seguridad: H.235 (I) GK • Registro • Señalización de llamada • Control de llamada • Autenticación e Integridad • IPSec • SHA: secreto = password • No Repudio Certificados • Firewalls Stateful • Compatibilidad Seguridad en Voz IP
Seguridad: H.235 (II) GK • Captura de conversaciones • Ráfagas adicionales RTP • Tráfico Multimedia Seguridad en Voz IP
Seguridad: H.235 (II) GK • Integridad ¡Pérdidas! • Autenticación Señalización • Confidencialidad • DES, 3DES • Tráfico Multimedia • Mezclado (MCU) • Transcoding (GW) • ¿IP-Phones? Seguridad en Voz IP
Índice • Introducción • Arquitectura del sistema • Seguridad en VoIP • Seguridad H.235 • Ataques “Operacionales” • Fiabilidad, Robustez y QoS • Conclusiones Seguridad en Voz IP
Ataques “Operacionales” Proteger Servicios Proteger Servicios Proteger Servicios Proteger Servicios GK DHCP SMTP DNS NTP GW • Servicios: • DNS • NTP/SNTP • DHCP • SMTP Internet PBX Intranet Seguridad en Voz IP
Ataques “Operacionales” Proteger Servicios Proteger Servicios Proteger Servicios Proteger Accesos GK GW Internet • Gestión • FTP/TFTP • http (IIS) • Java • SNMP • ICMP • Telnet/ssh PBX Intranet Seguridad en Voz IP
Ataques “Operacionales” Proteger Servicios Proteger Servicios Proteger Servicios Proteger Protocolos Proteger Protocolos GK ClientProxy GW • Protocolos • Ethernet • WLAN • IP Routing • Multicast • TCP/UDP • NetBIOS Internet PBX Intranet Seguridad en Voz IP
Ataques “Operacionales” Sistemas Actualizados Sistemas Actualizados Sistemas Actualizados Sistemas Actualizados Proteger Servicios Proteger Servicios Proteger Servicios GK GW • Sistemas • Virus • S.O. • Firmware • Upgrades • Parches Internet PBX Intranet Seguridad en Voz IP
Índice • Introducción • Arquitectura del sistema • Seguridad en VoIP • Fiabilidad, Robustez y QoS • Conclusiones Seguridad en Voz IP
Fiabilidad • Fiabilidad • ¿Quién nos asegura 99%? • Dificultad de detectar y localizar fallos en tiempo real: latencia • Demasiados componentes: minimizarlos • Redundancia • No es suficiente • Puede ser la causa de un fallo Seguridad en Voz IP
Robustez • Robustez • Conflicto: sistema abierto o cerrado • Sobrevivir a un DoS: difícil. • Minimizar la dependencia operacional • Evitar los puntos únicos de fallo • Conseguir que la infraestructura crítica esté ampliamente distribuida • Se complica la gestión Seguridad en Voz IP
QoS • Asignación de Recursos (QoS) • No comprometer el rendimiento y la escalabilidad: seguridad preservando los recursos. • Dificultades: • Priorizar sobre un camino no controlado. • Diseño de capacidad en situaciones masivas. • Colaboración en Redes Ajenas. • Asumir riesgos en nuestra red en producción. Seguridad en Voz IP
Índice • Introducción • Arquitectura del sistema • Seguridad en VoIP • Fiabilidad, Robustez y QoS • Conclusiones Seguridad en Voz IP
Conclusiones • Queda mucho por trabajar. • Protocolo vs. Producto • Nos faltan soluciones • Importante: la colaboración • Los fabricantes: papel clave. • De nada sirve un estándar sin su apoyo • Principales Objetivos: • Fiabilidad • Robustez • Compatibilidad Seguridad en Voz IP
Seguridad en Voz IP ¿Preguntas? toni.perez@uib.es Seguridad en Voz IP