U IB
U n iversitat d e les
Illes B alears
C entre de Tecnologies
de la Inform ació
Seguridad en Voz IP
Antonio Pérez Sánchez
[email protected]
U IB
U n iversitat d e les
Illes B alears
Índice
C entre de Tecnologies
de la Inform ació
 Introducción
 Arquitectura del sistema
 Seguridad en VoIP
 Fiabilidad, Robustez y QoS
 Conclusiones
[email protected]
Seguridad en Voz IP
2/33
U IB
U n iversitat d e les
Illes B alears
Voz IP (I)
C entre de Tecnologies
de la Inform ació
Registro (H.225 RAS/REGISTER)
Señalización (Q.931/INVITE)
Control (H.245/SDP)
GK
TCP-UDP/IP
Control (H.245/OPTIONS)
RTP/RTCP
[email protected]
Seguridad en Voz IP
3/33
U IB
U n iversitat d e les
Illes B alears
Voz IP (II)
C entre de Tecnologies
de la Inform ació
Registro (H.225 RAS/REGISTER)
Señalización (Q.931/INVITE)
Control (H.245/SDP)
GK
TCP-UDP/IP
PBX
GW
Control (H.245/OPTIONS)
RTP/RTCP
[email protected]
Seguridad en Voz IP
4/33
U IB
U n iversitat d e les
Illes B alears
Índice
C entre de Tecnologies
de la Inform ació
 Introducción
 Arquitectura del sistema
- Interno
- Interno-Externo
- Nuestra Experiencia
 Seguridad en VoIP
 Fiabilidad, Robustez y QoS
 Conclusiones
[email protected]
Seguridad en Voz IP
5/33
U IB
U n iversitat d e les
Illes B alears
Servicio Interno
C entre de Tecnologies
de la Inform ació
Internet
Público
Intranet
GK
GW
Público
PBX
Privado
[email protected]
Seguridad en Voz IP
6/33
U IB
U n iversitat d e les
Illes B alears
Índice
C entre de Tecnologies
de la Inform ació
 Introducción
 Arquitectura del sistema
- Interno
- Interno-Externo
- Nuestra Experiencia
 Seguridad en VoIP
 Fiabilidad, Robustez y QoS
 Conclusiones
[email protected]
Seguridad en Voz IP
7/33
U IB
U n iversitat d e les
Illes B alears
Servicio Interno-Externo
C entre de Tecnologies
de la Inform ació
Internet
Público
Proxy
Intranet
NAT-ALG
(H.323)
GK
GW
Público
PBX
Privado
[email protected]
Seguridad en Voz IP
8/33
U IB
U n iversitat d e les
Illes B alears
Servicio Interno-Externo (I)
C entre de Tecnologies
de la Inform ació
Público
Internet
Intranet
GK
GW
Definir
Reglas
Público
PBX
Privado
[email protected]
Seguridad en Voz IP
9/33
U IB
U n iversitat d e les
Illes B alears
Servicio Interno-Externo (II)
C entre de Tecnologies
de la Inform ació
Público
Internet
Intranet
GK
GW
Definir
Reglas
Público
• Packet Filtering
• Stateful Inspection
• H.323
• SIP
• MGCP
[email protected]
PBX
Privado
Seguridad en Voz IP
10/33
U IB
U n iversitat d e les
Illes B alears
C entre de Tecnologies
de la Inform ació
Público
Servicio Interno-Externo (III)
Internet
Controlar
accesos
internos
GK
DMZ
GW
Intranet
Público
PBX
Privado
[email protected]
Seguridad en Voz IP
11/33
U IB
U n iversitat d e les
Illes B alears
C entre de Tecnologies
de la Inform ació
Público
Servicio Interno-Externo (IV)
Internet
Segmentar
GK
GW
DMZ
¿PC usuario?
VLAN
Intranet
Público
PBX
Privado
[email protected]
Seguridad en Voz IP
12/33
U IB
U n iversitat d e les
Illes B alears
Índice
C entre de Tecnologies
de la Inform ació
 Introducción
 Arquitectura del sistema
- Interno
- Interno-Externo
- Nuestra Experiencia
 Seguridad en VoIP
 Fiabilidad, Robustez y QoS
 Conclusiones
[email protected]
Seguridad en Voz IP
13/33
U IB
U n iversitat d e les
Illes B alears
Nuestra Experiencia (I)
C entre de Tecnologies
de la Inform ació
Ibiza
GigabitEthernet
CTI
ATM
Campus
WLAN
RDSI
Menorca
12 edificios Campus
Ibiza, Menorca
18 Centros Universitarios
Otros centros
FUE
[email protected]
Seguridad en Voz IP
14/33
U IB
U n iversitat d e les
Illes B alears
Nuestra Experiencia (II)
C entre de Tecnologies
de la Inform ació
Internet
Londres
Ternopil
Phoenix, AZ
Madrid
Salamanca
CTI
Sevilla
[email protected]
Seguridad en Voz IP
15/33
U IB
U n iversitat d e les
Illes B alears
Interconexión Global
C entre de Tecnologies
de la Inform ació
Phoenix
VozIP GK
7xxxx
Ternopil
Londres
Madrid
xxxx
Telefonía
Tradicional
RTC
GW
Salamanca
Sevilla
PBX
PRI-RDSI
6xxxx
GSM
[email protected]
xxxx
Seguridad en Voz IP
16/33
U IB
U n iversitat d e les
Illes B alears
Índice
C entre de Tecnologies
de la Inform ació
 Introducción
 Arquitectura del sistema
 Seguridad en VoIP
- Seguridad H.235
- Ataques “Operacionales”
 Fiabilidad, Robustez y QoS
 Conclusiones
[email protected]
Seguridad en Voz IP
17/33
U IB
U n iversitat d e les
Illes B alears
C entre de Tecnologies
de la Inform ació
Seguridad: H.235 (I)
• Registro
• Señalización de llamada
• Control de llamada
GK
[email protected]
• Captura de Password
• Spoofing del ID usuario
• Llamadas no autorizadas
• Acceso no autorizado
• URQ Attack: Unregistration
Request
Seguridad en Voz IP
18/33
U IB
U n iversitat d e les
Illes B alears
C entre de Tecnologies
de la Inform ació
Seguridad: H.235 (I)
• Autenticación e Integridad
• IPSec
• SHA: secreto = password
• No Repudio Certificados
• Registro
• Señalización de llamada
• Control de llamada
GK
[email protected]
Seguridad en Voz IP
• Firewalls Stateful
• Compatibilidad
19/33
U IB
U n iversitat d e les
Illes B alears
C entre de Tecnologies
de la Inform ació
Seguridad: H.235 (II)
• Captura de conversaciones
• Ráfagas adicionales RTP
• Tráfico Multimedia
GK
[email protected]
Seguridad en Voz IP
20/33
U IB
U n iversitat d e les
Illes B alears
C entre de Tecnologies
de la Inform ació
• Tráfico Multimedia
Seguridad: H.235 (II)
• Integridad ¡Pérdidas!
• Autenticación Señalización
• Confidencialidad
• DES, 3DES
GK
[email protected]
Seguridad en Voz IP
• Mezclado (MCU)
• Transcoding (GW)
• ¿IP-Phones?
21/33
U IB
U n iversitat d e les
Illes B alears
Índice
C entre de Tecnologies
de la Inform ació
 Introducción
 Arquitectura del sistema
 Seguridad en VoIP
- Seguridad H.235
- Ataques “Operacionales”
 Fiabilidad, Robustez y QoS
 Conclusiones
[email protected]
Seguridad en Voz IP
22/33
U IB
U n iversitat d e les
Illes B alears
C entre de Tecnologies
de la Inform ació
Ataques “Operacionales”
• Servicios:
• DNS
• NTP/SNTP
• DHCP
• SMTP
Internet
Proteger
Servicios
DNS NTP
GK
DHCP
SMTP
PBX
GW
Intranet
[email protected]
Seguridad en Voz IP
23/33
U IB
U n iversitat d e les
Illes B alears
C entre de Tecnologies
de la Inform ació
Ataques “Operacionales”
Internet
Proteger
Servicios
Accesos
GK
• Gestión
• FTP/TFTP
• http (IIS)
• Java
• SNMP
• ICMP
• Telnet/ssh
PBX
GW
Intranet
[email protected]
Seguridad en Voz IP
24/33
U IB
U n iversitat d e les
Illes B alears
C entre de Tecnologies
de la Inform ació
Ataques “Operacionales”
Internet
• Protocolos
• Ethernet
• WLAN
• IP Routing
• Multicast
• TCP/UDP
• NetBIOS
Proteger
Proteger
Protocolo
Servicios
s
GK
ClientProxy
PBX
GW
Intranet
[email protected]
Seguridad en Voz IP
25/33
U IB
U n iversitat d e les
Illes B alears
C entre de Tecnologies
de la Inform ació
Ataques “Operacionales”
Internet
Sistemas
Proteger
Actualizados
Servicios
GK
• Sistemas
• Virus
• S.O.
• Firmware
• Upgrades
• Parches
PBX
GW
Intranet
[email protected]
Seguridad en Voz IP
26/33
U IB
U n iversitat d e les
Illes B alears
Índice
C entre de Tecnologies
de la Inform ació
 Introducción
 Arquitectura del sistema
 Seguridad en VoIP
 Fiabilidad, Robustez y QoS
 Conclusiones
[email protected]
Seguridad en Voz IP
27/33
U IB
U n iversitat d e les
Illes B alears
C entre de Tecnologies
de la Inform ació
Fiabilidad
 Fiabilidad
 ¿Quién nos asegura 99%?
 Dificultad de detectar y localizar fallos en
tiempo real: latencia
 Demasiados componentes: minimizarlos
 Redundancia
- No es suficiente
- Puede ser la causa de un fallo
[email protected]
Seguridad en Voz IP
28/33
U IB
U n iversitat d e les
Illes B alears
C entre de Tecnologies
de la Inform ació
Robustez
 Robustez
 Conflicto: sistema abierto o cerrado
 Sobrevivir a un DoS: difícil.
 Minimizar la dependencia operacional
 Evitar los puntos únicos de fallo
- Conseguir que la infraestructura crítica
esté ampliamente distribuida
- Se complica la gestión
[email protected]
Seguridad en Voz IP
29/33
U IB
U n iversitat d e les
Illes B alears
C entre de Tecnologies
de la Inform ació
QoS
 Asignación de Recursos (QoS)
 No comprometer el rendimiento y la
escalabilidad: seguridad preservando los
recursos.
 Dificultades:
- Priorizar sobre un camino no controlado.
- Diseño de capacidad en situaciones
masivas.
 Colaboración en Redes Ajenas.
 Asumir riesgos en nuestra red en producción.
[email protected]
Seguridad en Voz IP
30/33
U IB
U n iversitat d e les
Illes B alears
Índice
C entre de Tecnologies
de la Inform ació
 Introducción
 Arquitectura del sistema
 Seguridad en VoIP
 Fiabilidad, Robustez y QoS
 Conclusiones
[email protected]
Seguridad en Voz IP
31/33
U IB
U n iversitat d e les
Illes B alears
C entre de Tecnologies
de la Inform ació
Conclusiones
 Queda mucho por trabajar.
 Protocolo vs. Producto
 Nos faltan soluciones
 Importante: la colaboración
 Los fabricantes: papel clave.
 De nada sirve un estándar sin su apoyo
 Principales Objetivos:
- Fiabilidad
- Robustez
- Compatibilidad
[email protected]
Seguridad en Voz IP
32/33
U IB
U n iversitat d e les
Illes B alears
C entre de Tecnologies
de la Inform ació
U IB
Seguridad en Voz IP
U n iversitat d e les
Illes B alears
C entre de Tecnologies
de la Inform ació
¿Preguntas?
[email protected]
[email protected]
Seguridad en Voz IP
33/33
Descargar

Experiencias de Voz IP en la Universidad de les Illes Balears