Mitigar las vulnerabilidades en VoIP y construir una red SIP segura
Cristian Palacios
16 ago 2016 • 2 Min. de lectura
La implementación de redes VoIP y las comunicaciones SIP han sido adoptadas por empresas alrededor del mundo a pasos acelerados. Los carriers ven provechoso entregar servicios de telefonía SIP o líneas troncales para comunicación con la PSTN y las organizaciones buscan brindar mayor accesibilidad a los recursos de la red VoIP mediante clientes SIP.
Por otro lado, los ataques a las comunicaciones SIP han incrementado considerablemente; especialmente en Ecuador se han presentado casos de estafa por suplantación de identidad causando fraudes y pérdidas económicas considerables.
Por las razones mencionadas es necesario construir una red SIP que garantice comunicaciones seguras aplicando políticas y servicios; recomendamos tomar en consideración tres aspectos importantes: confidencialidad, integridad e identidad:
- Brindar protección a la señalización SIP y al tráfico SIP mediante encriptación (voz y multimedia).
- Brindar protección a la red VoIP para prevenir intrusiones y garantizar la seguridad de la red corporativa.
- Controlar y asegurar las conexiones de los clientes SIP a los servicios de comunicación.
Encriptando se consigue brindar protección a la señalización SIP mediante el protocolo TLS (Transport Layer Security), que se asemeja a encriptar el tráfico web mediante HTTPS, utilizando certificados de seguridad públicos o privados. TLS codifica los mensajes SIP request y response para que puedan ser interpretados solamente por los sistemas involucrados en la comunicación.
Por otro lado, el streaming de voz y multimedia para las comunicaciones es encapsulado en tramas de bits mediante el protocolo RTP (Real Time Protocol). Para encriptar estas conversaciones se utiliza el protocolo SRTP (Secure Real Time Protocol), asegurando que solo el emisor y receptor puedan entenderlas.
Estas credenciales de encriptación que deben coincidir entre emisor y receptor aseguran las comunicaciones y permiten evitar ataques de spoofing (suplantación de identidad); garantizando que los clientes SIP que se conectan a la red VoIP y acceden a los servicios sean quienes dicen ser.
El componente de seguridad de borde más importante y menos empleado es el SBC (Session Border Controller), un firewall de voz que permite controlar el acceso autorizado del tráfico SIP a toda la red corporativa previniendo fraudes y realizando inspección y relay de mensajes SIP. Este componente, mediante hardware especializado, realiza análisis de tráfico e inspección profunda de paquetes VoIP (Deep Packet Inspection o DPI) para prevenir ataques de denegación de servicios de telefonía (TDoS), SPAM/Scams; además permite la encriptación, desencriptación y transcodificación de comunicaciones SIP, considerando jitter y retardos que afectan la calidad.
TELAVOG, como parte de su portafolio de productos, provee consultoría para la correcta implementación de redes VoIP. Nuestra Solución de Comunicaciones Unificadas implementa los protocolos TLS y SRTP, que conjuntamente con la solución de Session Border Controller complementan la seguridad SIP.
Si quieres conocer más sobre este tema o estás interesado en implementar/mejorar estas plataformas en tu organización, por favor déjanos un comentario o escríbenos a info@telavog.net.
#SIP #SBC #VoIP
