Vous êtes sur la page 1sur 11

Implementación de protocolos de seguridad para la red VoIP del

Hospital Isidro Ayora de Loja.


Cristian Leonardo Calderón Ordoñez
cristo.nayo@gmail.com

Abstract—. The present article, is the result of having carried II. METODOLOGÍA
out an analysis of the vulnerabilities in the net (VoIP), of
Isidro Ayora Hospital of Loja city, as well as, the Durante el desarrollo del proyecto, se aplicó las
configuration of the supplier (VoIP), in which the protocol of metodologías (OSSTMM) y (OCTAVE), que están
security is implemented (TLS), with the purpose of enfocadas al análisis de vulnerabilidades de la red y el
counteracting the opposing vulnerabilities, therefore, there is análisis de los riesgos, dentro de una organización. [3],
a channel calculated for the phone communications that are [4]. [5].
carried out in the institution, this way settles down you to
protect the integrity of the transmitted information, among the La metodología (OCTAVE) está diseñada para el
users of the technology (VoIP).
análisis y gestión de riesgo que permitió:

Keywords—. Threat, Kali-Linux Asterisk,  Estudiar el perfil actual de la red de Datos, del
Confidentiality, Eavesdropping, Integrity, Risk, Security, Hospital Isidro Ayora de Loja.
Vulnerability, (VoIP).  Determinar los activos importantes a evaluar.
RESUMEN: El presente artículo, es el resultado de  Determinar los perfiles de amenaza para cada
haber realizado un análisis de las vulnerabilidades en la activo.
red (VoIP), del Hospital Isidro Ayora de Loja, así como,
la configuración del servidor (VoIP), en el cual se  Realizar la valoración de riesgos.
implementa el protocolo de seguridad (TLS), con la La metodología (OSSTMM) está diseñada para el
finalidad de contrarrestar las vulnerabilidades análisis de vulnerabilidades en la red de datos misma
encontradas, con ello, se establece un canal cifrado para que permitió:
las comunicaciones telefónicas que se realizan en la
 Determinar Vulnerabilidades que está expuesta
institución y de esta forma, proteger la integridad de la
la red de (VoIP), del Hospital Isidro Ayora de
información transmitida, entre los usuarios de la
Loja.
tecnología (VoIP).
 Aplicar métodos, para el descifrado de
I. INTRODUCCIÓN
contraseñas, con el fin de analizar el grado de
Hoy en día, el Internet es la herramienta más utilizada a fiabilidad de la seguridad en la (VoIP).
nivel mundial y el aumento de aplicaciones a través de la
 Testeo de denegación de servicios (DoS), para
web, como el envío de voz, video y datos, han ayudado determinar la operatividad de los equipos del
en el desarrollo de las telecomunicaciones, como es la Hospital.
Voz sobre IP, la cual es un conjunto de normas,
dispositivos y protocolos que permite transportar de  Determinar cuál es el enrutamiento de la red de
forma correcta y eficiente la información de voz, en datos, por ende la red de (VoIP), del Hospital
forma digital, utilizando el protocolo (IP). Sin embargo, Isidro Ayora.
a medida que aumenta la utilización de esta tecnología, se
III. RESULTADOS.
hacen más evidentes las vulnerabilidades de la (VoIP),
debido a que se transmiten por Internet o por redes 1. PERFIL ACTUAL DE LA RED DE DATOS.
potencialmente inseguras, la (VoIP), hereda las
vulnerabilidades que suelen darse en una red de datos, por La descripción del perfil actual, se basa en la
ello, es importante tener una buena seguridad en la red y esquematización de la información obtenida, mediante la
adicionalmente establecer políticas de seguridad, para la observación directa, la documentación existente del
transmisión de la voz, por el protocolo (IP). [1], [2]. diseño de la red y la configuración de los equipos; la red

1
está conformada por equipos de networking, como un 2. FASE 1. REUNIÓN DE ACTIVOS Y PERFILES
router (ISP), firewall, switch de capa 2 y 3 para el core, DE AMENAZA
equipos terminales como: servidores, estaciones de
La primera fase de la metodología (OCTAVE), describe
trabajo y teléfonos.
la reunión de activos de la infraestructura, identificados
en la base de información y el perfil de la red, sobre los
cuales, se realiza los perfiles de vulnerabilidades.

2.1. Proceso 1. Identificación de activos.

En base a la infraestructura de la red, se procedió a


identificar los activos críticos, que representan los puntos
clave, en la comunicación de la red (VoIP), del Hospital
Isidro Ayora.

 COMUNICACIONES.
La central (PBX), los terminales (teléfonos) y todo el
sistema de (VoIP), son de vital importancia por ser el
medio utilizado, para realizar la reservación de
Fig. 1 Diseño de la configuración de la red de datos.
turnos, de los pacientes del Hospital, además, es el
Fuente: El Autor.
medio de comunicación entre todos los usuarios de
1.1. Diseño de la estructura de red. los departamentos de la mencionada institución.

La red cuenta con un modelo jerárquico, donde se 2.2. Proceso 2. Perfil de amenazas de seguridad de los
establece las (ACL) y las (VLAN), su núcleo y los activos.
principales equipos, están diseñados en una topología en
En la tabla, se detalla una serie de amenazas, con las
estrella, que posee un cableado estructurado (UTP 5e),
cuales se puede llegar a convertirse en potenciales
con un aproximado de 200 puntos, de los cuales, 106 son
vulnerabilidades para la institución.
destinados a los puntos de la red de datos y 96 para puntos
de voz. Tabla 2: Posibles amenazas en la red de VoIP del Hospital.
ACTIVOS AMENAZAS
1.2. Software necesario para la pruebas de
COMUNICACIONES

penetración. Acceso no autorizado


Manipulación inadecuada de la infraestructura
Para realizar el proceso de inserción en la red, existen de comunicación telefónica
muchas herramientas que se pueden obtener en Internet, Denegación de servicios
pero en este caso particular, se hizo uso de la plataforma Intercepción de la comunicación.
Kali-Linux, que contiene una gran cantidad de
Fuente: El Autor.
herramientas incorporadas a su núcleo, las cuales
permiten capturar la información e identificar las 3. FASE 2. IDENTIFICACIÓN EN LA
vulnerabilidades y explotarlas. INFRAESTRUCTURA DE LA RED DE VOIP
DEL HOSPITAL ISIDRO AYORA DE LOJA.
Las herramientas que más interesan, son las relacionadas
con descubrimiento de red, ataque por fuerza bruta y Esta fase comprende, la evaluación de la infraestructura
ataques a dispositivos (SIP). [6]. de la red, donde se evalúa las debilidades, de los
componentes claves que pueden llevar a acciones no
Tabla 1: Herramientas elegidas para el objeto de estudio. autorizadas, contra los activos de la red.
HERRAMIENTA OBJETIVO
Nmap Descubrir puertos y aplicaciones. 3.1. Proceso 3. Identificación de componentes clave.
EnumIAX Obtención de extensiones.
Wireshark Captura de paquetes (SIP, RTP). En esta actividad, se revisa los activos críticos y
Hydra/Medusa Ataques por fuerza bruta. amenazas de la fase 1, donde se destaca la información
Nessus Búsquedas de vulnerabilidades
contenida en los equipos de red y la asistencia que
Fuente: El Autor. proporcionan los servidores.

2
3.2. Proceso 4. Evaluación de los componentes claves. 1.1.2 Enumeración de puertos en los equipos de
Para realizar la evaluación de los componentes se utilizó red.
la metodología (OSSTMM),  Escáner SNY a los puertos TCP por defecto.
A). SEGURIDAD EN LAS TECNOLOGÍAS DE [nmap –sS –iL/root/Desktop/IP-Equipos-Red]
INTERNET.
 Escáner de puertos (UDP), por defecto.
1. SONDEO DE RED.
[nmap –sU –iL /root/Desktop/IP-Equipos-Red]
Para realizar este test, se hace de las herramientas de la
plataforma Kali Linux. En los equipos de red, se encontró el puerto 161 abierto
el cual puede ser utilizado, para obtener información de
1.1. Enumeración de puertos
los equipos, mediante software de enumeración.
Esta actividad permite conocer los puertos (TCP) y
(UDP), que se encuentran abiertos, filtrados o cerrados en 1.2. Identificación de servicios
el servidor (VoIP), para posteriormente descubrir las
La mayoría de ataques en los equipos y servidores de la
vulnerabilidades a las que se encuentran expuestos. Las
red, se deben a las vulnerabilidades que presentan las
direcciones (IP), de los servidores y puertas de enlaces de
aplicaciones o servicios, ya sea, por defectos en la
los equipos se encuentran agrupados en los archivos (IP-
configuración e implementación, o por las versiones
Servidores, IP-Equipos-Red), por motivos de seguridad,
desactualizadas, cuya información suele ser útil, para los
para realizar el escáner, los comandos son los siguientes:
atacantes, porque pueden reconocer los exploits, para
1.1.1 Enumeración de puertos en los servidores. cada una de las vulnerabilidades encontradas, en las
 Escáner SNY, a los puertos TCP por defecto. versiones de servicios y/o aplicaciones.
[nmap –sS –iL /root/Desktop/IP-Servidores] 1.2.1 Identificación de servicios de los equipos de
red y los servidores
La identificación de servicios, en los servidores, se lo
realizó por cada uno de los puertos, enumerados en el
escáner (SNY), el comando utilizado es el siguiente.
[nmap –v –A –T4 –iL /root/Deskop/IP-Servidores]
[nmap –v –A –T4 –iL /root/Desktop/Equipos-red]

1.3. Identificación de sistemas operativos.


Los puertos de comunicación de los equipos, en algunos
Fig. 2 Enumeración de puertos TCP de (Escaneo SNY)
casos proporcionan servicios de acuerdo al (S.O), sin
Fuente: El Autor. embargo, se pueden descubrir vulnerabilidades de los
sistemas, en base a la configuración de los servicios que
 Escáner CONNECT a los puertos TCP vienen por defecto y errores en la programación de las
mayores que 1024.
aplicaciones por la versión del sistema operativo. [8].
[nmap–sT–p1024–iL/root/Desktop/IP-Servidores].
1.3.1. Identificación del sistema operativo de los
 Escáner a los puertos UDP por defecto.
servidores y equipos de red.
[nmap –sU –iL /root/Desktop/IP-Equipos-Red].
En la siguiente tabla, se describen los (S.O) que se están
Algunos de los puertos abiertos en el servidor de (VoIP),
ejecutando en cada uno de los equipos, siendo de
es debido a que el sistema operativo incluye algunos
importancia el servidor de voz y los equipos de red.
servicios como: Internet Message Access Protocol
(IMAP), (SMTP), (POP3), entre otros. A través de estos, Tabla 3: Sistemas operativos en equipos de red y servidores.
los atacantes pueden realizar inyecciones de virus o EQUIPO IP S.O
troyanos, por ejemplo: en el puerto 25, los troyanos que Router 10.x.x.x Cisco IOS 12.X/11.x
se pueden ingresar son: ajan, antigen, email password Switch 3Com 10.x.x.x 3Com 4000 Version 2.02
Servidor VoIP 10.x.x.x Linux 2.6.9 - 2.6.30
sender, happy99, kuang2, promail, shtrilistz, stealth,
Fuente El Autor.
tapiras, terminator, winPC winSpy, entre otros. [6], [7].

3
1.4. Búsqueda y verificación de vulnerabilidades. Para la ejecución de esta técnica, se requiere un
diccionario, con el fin de efectuar las combinaciones
En la siguiente sección, se realiza la búsqueda de necesarias, hasta descubrir usuarios y contraseñas
vulnerabilidades, en los sistemas mencionados, que correctas.
permitirá corroborar la información descrita, para ello se
[hydra 10.x.x.x –L /root/Desktop/diccionario.txt
podrá utilizar herramientas libres como pagadas como –P /root/Desktop/diccionario.txt –e ns –f http
por ejemplo Nessus 6 o Kali Linux. [9]. get/en/login.html]

1.4.1. Vulnerabilidades en servidor de voz. 1.6. Testeo de denegación de servicios (DoS)

La siguiente imagen corresponde a un test realizado al En este apartado, se identifica los sistemas que son
servidor de VoIP del Hospital Isidro Ayora de Loja. vulnerables a ataques de degeneración de servicios, para
ello existen dos formas de hacerlo:

1.6.1. Ataque smurff y sny-flood, a través de


herramienta hping3.
En la red existe, gran cantidad de tráfico broadcast que no
es controlado, por esta razón se realiza el ataque Smurff,
al servidor de voz, obteniendo como resultado, la
inundación de la red, con paquetes broadcast, dejando
fuera de servicio al servidor de telefonía de (VoIP), con
los siguientes comandos. [9].
[# hping3 –i u20 –S –p 80 10.x.x.x.]
[#hping3 -1 –C 8 –K 0 –spoof 10.x.x.x –flood
10.x.x.x]

Fig. 3 Vulnerabilidades en el servidor de VoIP (2015).


Fuente: El Autor.

Vulnerabilidades encontradas por puerto y servicio.


Tabla 4: Lista de vulnerabilidades en el servidor de Voz.
PUERTO/ VULNERABILIDAD CVE EXPLOIT
PROTOCOL
O
La versión de Apache se 2011- 49303.c
ve aceptado por una 3192
443/TCP vulnerabilidad de
degeneración de
servicio.
El servidor Apache es 2009-
80/TCP vulnerable a ataques de 3095 Fig. 4: Servidor de Voz colapsado por ataque (DoS).
inyección de comandos Fuente: El Autor.
Fuente El Autor (2015).
B). SEGURIDAD EN LAS COMUNICACIONES
1.4.2. Vulnerabilidades en los equipos de red.
Los switch presentan una vulnerabilidad en el servidor Luego de haber conocido las vulnerabilidades, en los
(SNMP), que posee el nombre por defecto, de la medios de transmisión, es decir en los equipos de red y en
comunidad (pública), lo que se considera un riesgo, si un los servidores, en el siguiente apartado, se realiza un test
atacante logra acceder como administrador, debido a que para intentar vulnerar el servicio de (VoIP).
podrá conocer toda la información de los dispositivos de
1. Testeo de VoIP
la red, como la configuración de la misma.
A continuación, se detalla los niveles de control de
1.5. Descifrado de contraseña intercepciones en las comunicaciones, para esto se realizó
En este apartado se intenta buscar contraseñas, a través el testeo de la (VoIP), con el uso de la herramienta
de ataque de fuerza bruta, hacía las aplicaciones de los wireshark. El método empleado corresponde a un ataque
equipos de red y servidores. que permite registrar las llamadas durante el ataque.

4
La voz transmitida es almacenada en tres archivos con  En el recuadro amarillo se observa el mensaje de
formato .wav, tanto de emisor como del receptor. La respuesta (180 Ringing), “el terminal está
existencia de teléfonos en la (VLAN), de datos, permite timbrando”.
fácilmente la intercepción de llamadas.
 En el recuadro de color violeta se acepta la
comunicación, y se retransmite un mensaje de
respuesta (200OK), “atendí la llamada”.

 En el recuadro de color café, el usuario de destino


recibe un mensaje de confirmación (ACK), “atendí
la llamada”.
 En el recuadro de color purpura es donde se establece
la conversación mediante el envío de paquetes
(RTP), “audio/video (RTP) streams.
 En el penúltimo recuadro se establece la finalización
Fig. 5 Captura de Llamada con Wireshark. de la llamada, mediante el envío del mensaje de
Fuente: El Autor. solicitud (BYE) dentro del diálogo establecido por
Luego del análisis realizado, finalmente se presenta las (INVITE).
vulnerabilidades a las que está expuesta la red de (VoIP),  En el último recuadro el usuario que recibe la
del Hospital Isidro Ayora de Loja. solicitud (BYE), envía una respuesta (200OK), para
1.1. Análisis del protocolo SIP. confirmar la finalización de la sesión (SIP).

En este punto se realizara el análisis de la llamada En la siguiente figura se presenta el encabezado de la


capturada, cuyo fin es conocer cómo se transmiten los trama en el nivel de la capa Enlace señalada con el color
paquetes por el protocolo (SIP) y (RTP), sin encriptación verde, es decir el protocolo utilizado es Ethernet.
alguna.

Fig. 7 : Captura del mensaje INVITE.


Fuente: El Autor (2015).
Fig. 6 Flujo de mensajes en una llamada VoIP:
Ventana Graph Analysis (Wireshark). A continuación vemos Internet Protocol resaltado con el
Fuente: El Autor (2015). color amarillo con los datos de la cabecera del datagrama
1.1.1. Detalle: del funcionamiento del protocolo IP: por ejemplo: dirección fuente: 192.168.1.xxx (IP de
SIP la computadora, que generó el datagrama), dirección IP
destino: 192.168.1.xxx (servidor VoIP).
 En el recuadro rojo se establece la llamada, que
empieza con un mensaje (INVITE). La capa de transporte resaltada con el color rojo, aquí se
presenta el encabezado con sus respectivos campos del
 En el recuadro azul se envía un mensaje de respuesta
mensaje (UDP). Entre los campos de este mensaje (UDP)
(100 Trying), inmediatamente después de recibir la
se tiene: puerto origen: 5060, puerto destino: 5060, entre
solicitud (INVITE).
otros.

5
Luego del análisis realizado finalmente se presenta las solventar estos incidentes y evitar la interrupción de sus
vulnerabilidades a las que está expuesta la red de (VoIP), servicios, por ende, las actividades propias de la
del Hospital Isidro Ayora de Loja. institución, significa una pérdida económica, caos entre
los usuarios y desprestigio para la casa de salud, al verse
Tabla 5: Lista de vulnerabilidades en la red VoIP.
perjudicada por dichos incidentes. [5], [10].
ATAQUE DESCRIPCIÓN
Puertos El servidor Asterisk (VoIP), cuenta puertos Tabla 6: Ataques con mayor incidencia en redes (VoIP).
innecesario abiertos producidos debido a la
s abiertos. configuración por defecto de Asterisk ACTIVOS DE COMUNICACIÓN
Descifrado La red (VoIP) es propensa a un descifrado Amenazas P I R
de de contraseñas por contar con contraseñas
contraseña por defecto o fáciles de descifrar, Puertos Revelación 2 4
por fuerza producidas por la configuración por innecesarios 2 Pérdida –Destrucción 1 2
bruta defecto de la central Elastix. abiertos Interrupción 2 4
Firewall El firewall de Elastix se encuentra Descifrado de Revelación 3 9
deshabilita deshabilitado, por lo que el servidor esta
contraseñas 3 Pérdida –Destrucción 1 3
do propenso a infinidad de ataques.
La red (VoIP) actualmente cuenta con el Interrupción 2 6
Análisis de protocolo (SIP sin TLS) lo que facilita la Revelación 3 6
tráfico captura de paquetes, de los cuales se puede Firewall 2 Pérdida-Destrucción 2 4
(VoIP) obtener los hash (MD5), de las deshabilitado Interrupción 3 6
contraseñas. Mediante el uso de una de las
múltiples herramientas que existen. Revelación 2 4
Análisis de
La red (VoIP), está expuesta a ataques de 2 Pérdida-Destrucción 2 4
tráfico (VoIP)
(DoS), por inundación (flooding), mismos Interrupción 2 4
Denegación que afectan la operatividad y los servicios, Revelación 1 2
de servicios estos ataques incluyen la inundación de Denegación de 2 Pérdida –Destrucción 2 4
(DoS) dispositivos telefónicos, con una serie de servicio
andanadas de paquetes (TCP), Interrupción 3 6
(SNY/UDP). Revelación 3 9
El servidor de (VoIP) del Hospital es (Eavesdroppi 3 Pérdida-Destrucción 2 6
(Eavesdrop propenso a ataques Eavesdropping tal ng) Interrupción 2 6
ping) como se lo demuestra en la captura de
audio de las llamadas a esta técnica Fuente: El Autor.
también se la denomina Man-in-the-
Middle (MitM). 4.1.1. Contramedidas para las vulnerabilidades
Fuente: El Autor. encontradas.
Una vez conocidas cuales son las vulnerabilidades que se
4. FASE 3: DESARROLLAR UNA ESTRATEGIA
encontraron en la red (VoIP), del Hospital Isidro Ayora
Y PLANES DE SEGURIDAD.
es necesario definir las contramedidas que se pueden
En esta fase, se desarrolla un análisis, para identificar el implementar, para poder mantener el sistema seguro, sin
nivel de riesgos de activos críticos, ante las amenazas olvidar que ninguno hará que el sistema tenga la
identificadas y en base a este, plantear las estrategias seguridad total deseada.
eficientes y necesarias para mitigar el riesgo.
Tabla 7: Ataques que se generan en la red de VoIP.
4.1. Proceso 5. Realizar un análisis de riesgo. ATAQUE DESCRIPCIÓN
Puertos La solución más apropiada en este caso es
El análisis de riesgos, se determina la rigurosidad de las innecesario cerrar los puertos innecesarios, podemos
amenazas y su impacto sobre los activos, en base a s abiertos. realizarlos a través de la configuración
criterios de evaluación: probabilidad y consecuencia. manual de iptables o con la herramienta
Mismos que se calculan mediante la siguiente formula: firewall de Elastix.
Para dar solución a esta vulnerabilidad se
Descifrado
𝑅𝑖𝑒𝑠𝑔𝑜 = 𝑃𝐴 ∗ 𝑀𝐷 debe cambiar los parámetros del archivo de
de
 PA = Probabilidad de Amenaza. configuración “sip.conf”, y se debe
contraseña
establecer contraseñas más robustas con un
 Md Magnitud de Daño. s (fáciles o
mínimo de 8 dígitos, combinados entre letras,
intuitivas).
A continuación, se realiza una valoración de los ataques números y caracteres especiales.
encontrados en la red (VoIP), del Hospital, con el fin de

6
Debido a que la central brinda un módulo de array($account,’permit’,$db>escapeSimple((isset
Firewall seguridad que incluye un Firewall es evidente ($_REQUEST[‘permit’]))?$_REQUEST[‘permit’]:’’),
$flag++),
deshabilita y lógico que deberíamos usarlo para
do protegernos de una infinidad de ataques. A continuación de estas líneas se debe ingresar el
Para dar solución a este inconveniente se siguiente código:
(Eavesdrop debe implementar protocolos de seguridad
array($account,’encryption’,$db>escapeSimple((i
ping) (TLS o IPSec) los cuales garantizan la sset($_REQUEST[‘allow’]))?$_REQUEST[‘allow’]:’’
integridad de la información debido a que se ),$flag++),
transmiten por canales cifrados de array($account,’transport’,$db>escapeSimple((is
comunicación. set($_REQUEST[‘allow’]))?$_REQUEST[‘allow’]:’’)
La solución a esta vulnerabilidad se ,$flag++),
contrarresta con la implementación de
Luego en la línea 6014, del mismo archivo se tiene:
captura de protocolos de seguridad ya que actualmente
tráfico los paquetes no cuenta con seguridad alguna, $tmparr[‘deny’] = array(‘value’ =>
(VoIP) es decir, el texto se transmite por el protocolo ‘0.0.0.0/0.0.0.0’=> 1);
$tmparr[‘permit’] = array(‘value’ =>
(SIP sin TLS) lo que facilita la captura de
‘0.0.0.0/0.0.0.0’=> 1);
paquetes, de los cuales se puede obtener los
hash (MD5), de las contraseñas, mediante el A continuación se agrega el siguiente código:
uso de una de las múltiples herramientas que
$tmparr[‘encryption’] = array(‘value’ => ‘no’,
existen.
‘level’ => 1);
El (DoS), se genera por las vulnerabilidades $tmparr[‘transport’] = array(‘value’ => ‘udp’,
descritos en los ítems anteriores, debido a ‘level’ => 1);
ello las soluciones son las mismas que se
Denegació utilizan para contrarrestar los ataques de los Con esto, se ha agregado dentro del archivo
n de ítems anteriores, además de ellos debe sip_additional, los campos encryption y transport que
servicios configurar o descargar la herramienta son utilizados, para la configuración de extensiones.
(DoS) FAIL2BAN misma que actúa penalizando o
bloqueando las conexiones remotas que Se modifican los archivos /etc/hosts, asignando una
intentan accesos por fuerza bruta (IP) a un dominio, y el archivo /etc/sysconfig/network
Fuente: El Autor. en el cual se cambia el campo networking = no, por yes,
finalmente en el hostname, se debe ingresar la (IP) o
4.2. Proceso 6. Desarrollo de la estrategia de dominio tal como se indica continuación:
protección.
En esta sección se procede a realizar cada una de ellas
para poder contrarrestar o solucionar dichos incidentes,
de esta forma solventar esta brecha de seguridad existente
en la red (VoIP),

4.2.1. Implementación de (TLS) en Asterisk.

 Modificación del script functions.inc.php

En este archivo se asignan parámetros adicionales de


programación, para que acepte la configuración y no Fig. 8 Modificación del archivo host network indicando la
dirección o dominio del servidor.
altere la funcionalidad de Asterisk, esta modificación se Fuente: El Autor (2015).
realiza en el script functions.inc.php que se encuentra
en el siguiente path:  Configuración del (CA) en el servidor Asterisk.

#cd /var/www/html/admin/modules/core/. Los scripts están dentro de la documentación de Asterisk,


cuyo path es el siguiente:
En la línea 3800, se tiene los siguientes parámetros:
#cd /usr/share/doc/asterisk -1.8.20.0/contrib/
scripts
array($account,’deny’,$db>escapeSimple((isset($
_REQUEST[‘deny’]))?$_REQUEST[‘deny’]:’’),$flag+ Para guardar la (CA), en el servidor se crea una carpeta
+),
denominada “certs”, (dentro de la dirección antes

7
mencionada), ejecutando el siguiente comando: Una vez dentro, se debe ir a la sección Tools (ubicada en
. /ast_tls_cert –d certs –C 10.x.x.x –o
la esquina superior izquierda) -> Asterisk SIP Settings,
tesis.hial.com desde aquí, se pueden editar las configuraciones
generales para SIP. Una vez hecho esto, aparece la
Para el certificado de autorización, se debe crear una siguiente ventana, donde se debe configurar la (IP), de
clave para los siguientes archivos: ca.key, ca.crt, salida (IP pública), la máscara y la red a la cual se está
tesis.hial.com.pem, tesis.hial.com.crt conectado tal como se indica en la figura 8.

En la parte final de esta ventana, se encuentra el campo


denominado Other SIP Settings, en el cual se agregan los
parámetros descritos a continuación:
tlsenable=yes
tlsbindaddr=0.0.0.0
tlsdontverifyserver=yes
tlscertfile=/var/lib/asterisk/keys/tesis.hial.c
om-tesis.hial.com.pem
tlscafile=/var/lib/asterisk/keys/ca.crt

Para saber si los cambios se aplicaron correctamente, se


Fig. 9 Archivos generados por las certificaciones reinicia el servidor y se puede comprobar que Asterisk,
Fuente: El Autor (2015). ahora también escucha el puerto (TCP-5061), con el
siguiente código:
Luego se debe copiar los archivos generados a la carpeta
#netstat –atunp | grep asterisk.
keys de Asterisk y darle los permisos de lectura o cambiar
de propietario, para que Asterisk los pueda cargar, esto se
realiza de la siguiente manera.
#cp certs/ca.crt /var/lib/asterisk/keys
#cp certs/tesis.hial.com.pem /var/lib
/asterisk/keys
#chown –R asterisk:asterisk /var/lib/asterisk
/keys/*

 Implementación del protocolo (TLS) en Elastix. Fig. 11 Escucha del puerto 5061 en el servidor Asterisk.
Para aplicar las modificaciones realizadas, se ingresa a Fuente: El Autor.
Elastix y se habilita el acceso al FreePBX no embebido, Para habilitar el soporte (TLS), en una extensión, el
esto se hace en la pestaña Security -> Advanced Options campo transport se debe cambiar “UDP” por “TLS”, en el
-> Enable access to FreePBX -> ON, para habilitar este campo encriptación se debe cambiar “no” por “yes”.
campo se requiere de una autenticación, es necesaria para
loguearse en la FreePBX. Para ingresar en la (FreePBX), 4.2.2. Creación de certificados para clientes.
se lo hace desde una nueva pestaña del navegador,
Para crear certificados, de las extensiones locales se
https://10.x.x.x/admin.
hace lo siguiente:
#sh /usr/share/doc/asterisk-
1.8.20.0/contrib/scripts/
ast_tls_cert –m client –c
/etc/asterisk/keys/ca.crt –k
/etc/asterisk/keys/ca.key –C 10.x.x.x:3000 –O
“PRUEBA1” –d /etc/asterisk/claves/ -o 3000

 Implementación del protocolo (TLS) en los


terminales.
Para realizar la configuración en los terminales, se realiza
Fig. 10 Configuración de la red en la FreePBX. lo siguiente: teléfonos Yealink, se ingresa Account ->
Fuente: El Autor. Cuenta 1 -> Basic ->-> Cuenta 1 -> Basic -> Transport

8
TLS. Luego se activa (SRTP), en Account -> Cuenta 1 - uno de ellos con la extensión .pub, este se debe copiar a
> Advanced -> Voice Encryption (SRTP) -> On. la maquina remota y se debe activar la autenticación por
clave en el servidor con el siguiente comando
.ssh/authorized_keys para hacer valida esta
autenticación se desactiva el campo permit login no,
tal como se muestra en la siguiente imagen:

Fig. 12 Configuración de TLS en el teléfono Yealink.


Fuente: El Autor.
Luego, se debe cambiar el puerto de registro, en lugar del
5060, se debe colocar el 5061, finalmente se carga los
certificados para poder hacer usos de (TLS), para ello se
debe descargar el archivo ca.crt para ello se debe ubicar Fig. 14 Activación de la autenticación por clave.
Fuente: El Autor (2015).
en la pestaña seguridad -> certificados confiados ->
seleccionar archivo -> cargar el certificado (extensión) Para el acceso se debe cargar la clave en PuTTy que fue
1000.key -> tal como se muestra en la siguiente imagen descargada previamente en el campo (SSH) ->Auth.
y se debe aplicar los cambios, con ello se termina la Finalmente se puede cambiar el puerto ssh para despistar
configuración del cifrado de voz en el servidor Asterisk. a usuarios mal intencionado en el campo port se cambia
el 22 que es por defecto por el que se desee (puertos no
definidos) y para el acceso con PuTTy se cambia el puerto
22 por que se asignó, finalmente se reinicia el archivo
para validar los cambios /etc/init.d/sshd restart.
4.2.4. Bloquear a las IP que hacen más de 5 logeos
erroneos:
Para realizar esta configuración se requiere la instalación
de una herramienta denominada (fail2ban), esta sirve
para evitar ataques de (DoS), funciona como un (IDS),
denegando el registro de un cliente si ha intentado
loguearse cierta cantidad de veces con datos erróneos
Fig. 13 Cargar el certificado para la certificación además se pueden configurar iptables como un firewall.
Fuente: El Autor (2015).

4.2.3. Asegurando el protocolo SSH

Con la configuración de este protocolo se estaría


resolviendo las vulnerabilidades de cracking de
contraseñas por fuerza bruta, en el servidor (VoIP), para
asegurar este protocolo debemos ingresar siguiente path
/etc/ssh/sshd_config, lo primero que haremos es
cambiar a la versión 2 del protocolo, la cual ofrece
mejores ventaja frente a versiones anteriores Si se desea
ingresar mediante una clave y no una por una password,
se debe descargar un clave privada con el siguiente Fig. 15 Configuración del archivo jail.local
comando ssh-keygen, con esto se generan dos archivos, Fuente: El Autor (2015).

9
Para ello se abrir el archivo denominado jail.local dentro  Se deja pasar todo el tráfico en entrada destinado a
de los repositorios de fail2ban con el siguiente comando: los puertos udp que van de 10000 a 20000, tráfico
#vim /etc/fail2ban/jail.local en este debe ser (RTP):
configurado como se muestra en la imagen 13.
iptables -A INPUT -p udp –dport 10000:20000
-j ACCEPT
4.2.5. Activación del firewall de Elastix
Una vez establecidos todos los puertos necesarios para
Elastix cuenta con un firewall basado en Linux Asterisk, se rechaza el resto de tráfico:
(IPTABLES), donde se pueden configurar reglas de
iptables -A INPUT -j REJECT
seguridad, para minimizar el riesgo de accesos indebidos iptables -A FORWARD -j REJECT
al servidor, así como restringir las redes IP que tendrán
acceso a los servicios de telefonía que el servidor Elastix Comprobamos las reglas creadas y las guardamos:
provee para ingresar damos clic en la pestaña -> Security, iptables -L
luego aparece la pantalla del Firewall, damos clic en la service iptables save
service iptables start
opción -> Activate Firewall. En el cual todas las reglas
están numeradas y activas para permitir todo. Para terminar hay que configurar Asterisk para que use
los puertos (UDP) desde 10000 hasta 20000 para el
Se debe editar las siguientes reglas: 10 (SSH), 12 (HTTP) protocolo (RTP): para ello se modifica el archivo de
y 15 (HTTPS). Lo que se pretende con esta configuración configuración del (RTP): sudo vim
es permitir el acceso únicamente desde una sola dirección /etc/asterisk/rtp.conf
(IP), se ingresa la dirección (IP) y la máscara de subred.

Es recomendable colocar primero la regla para (SSH). En


la regla 12 es el mismo procedimiento en la 15 se debe
cambiar (HTTP) por (HTTPS) una vez editado nos queda
de la siguiente manera:

Fig. 17 Configuración de la regla 10 del firewall de Elastix


Fuente: El Autor (2015).

Se guardan los cambios efectuados y se recarga la


configuración de Asterisk tal como se muestra en la
Fig. 16 Reglas activadas en el firewall de Elastix imagen 18: sudo /etc/init.d/asterisk reload
Fuente: El Autor (2015).

4.2.6. Cerrar puertos innecesarios abiertos 4.3. Comprobación de la implementación de


propuesta de seguridad.
Para cerrar los puertos se debe trabajar con iptables para
proteger el servidor de accesos no autorizados y abrir los Una vez realizadas las configuraciones de seguridad y
puertos que necesita el servidor asterisk. Para instalar haber establecido un canal cifrado de comunicaciones, es
iptables: En Fedora, Centos, RedHat: sudo yum install necesario comprobar que dicha seguridad, está
iptables cumpliendo de forma eficiente con su trabajo, para ello
se realiza algunas configuraciones en wireshark y se
A continuación las reglas a definir en iptables: intenta capturar los protocolos (SIP o RTP), cuyos
intentos son inútiles debido a que la información ya se
 Se deja pasar todo el tráfico en entrada destinado al trasmite dentro de (TLS), el cual se puede apreciar en la
puerto udp 5060 (protocolo SIP): siguiente imagen:
iptables -A INPUT -p udp –dport 5060 -j
ACCEPT

10
estas no son las únicas soluciones posibles y que no habrá
medida de seguridad que brinde el 100%, de fiabilidad,
pero existen métodos para corregir estas vulnerabilidades.
Los procesos de la metodología (OCTAVE) permiten
llevar a cabo un proceso minucioso y sistemático,,
mientras que la metodología (OSSTMM) dice como se
tiene que realizar una evaluación de seguridad, razón por
la cual resulta satisfactorio la fusión de estas dos
tecnologías, ya que juntas permiten realizar una
evaluación completa a los activos de una organización.
Por medio de estas metodologías se conoció los puntos
críticos en la red (VoIP) y se supo cómo evaluarlos, de
Fig. 18 Cuerpo del protocolo TLS. esta forma se determinó la probabilidad de amenazas y
Fuente el Autor (2015) los ataques a los que están sujetos estos activos, luego se
los clasifica de acuerdo a la magnitud e impacto; los
Luego de varios intentos se capturara una llamada la cual riesgos más altos son utilizados para determinar una
no se escuchar ningún audio, ya que el audio puede ser estrategia de seguridad cuyo fin es contrarrestar dicha
decodificado por la extensión de la dirección de destino vulnerabilidad y evitar ataques que puedan degradar el
cuyo certificado de seguridad es asignado desde el servicio de la tecnología (VoIP).
servidor al cliente.
IV. BIBLIOGRAFÍA.

[1] J. A. C. Falcón, VoIP : la telefonía de Internet, España: Editorial


Paraninfo, 2010.
[2] M. J. L. Campos, SEGURIDAD EN VOZ SOBRE IP, Valparaíso:
Editorial FUGA , 2010..
[3] P. Herzog, «OSSTMM 2.1.,» INSTITUTE FOR SECURITY AND OPEN
(ISECOM), vol. II, nº 8, pp. 12-23, 2003.
[4] A. Fernández-Laviada, La gestión del riesgo operacional, Madrid:
Infoprint, S.L, 2010.
[5] M. Meucci y A. Muller, OWASP Testin Guide, Nueva York: Penguin
Random House U.S.A - New York, NY, 2010.
[6] A. Lopez, El portal de ISO 27001 en Espanol., Madrid, 2010.
[7] B. Rathore, Information Systems Secury Assessment Framework,
Colorado: Social Science Research Council, 2009.
[8] J. M. H. Moya, Redes y servicios de telecomunicaciones, Madrid:
Thomson Editores Spain S.A, 2006.
Fig. 19 Captura de audio cifrado con Wireshark. [9] D. M. V. Z., Ingeniería de Software Avanzada, Valparaiso: Editorial
Universitaria, 2010.
Fuente: El Autor.
[10] D. R. M. José Manuel Huidobro, Tecnología VoIP y tecnología IP: la
telefonía por Internet, Puebla: Alfa Omega Grupo Editor, 2010.
IV. CONCLUSIONES [11] M. A. R. GUTIERREZ, «“VULNERABILIDADES DE LAS REDES
TCP/IP Y PRINCIPALES MECANISMOS DE SEGURIDAD”,» 2009.
Con la configuración e implementación del protocolo de [En línea]. [Último acceso: Junio 2015].
seguridad (TLS), en el servidor de Asterisk se [12] J. G. T. Ayuso, Protocolos criptográficos y seguridad en redes, Cantabria:
Graficas Calima S.A, 2003.
contrarrestó ataques como el eavesdropping (MitM), es [13] J. Oliva, «SEGURIDAD EN ELASTIX,» 2 JULIO 2012. [En línea].
decir, se redujo drásticamente las escuchas indebidas en Available: https://jroliva.wordpress.com/2012/07/02/modulo-de-
seguridad-en-elastix-restringir-el-acceso-al-entrorno-web/. [Último
la red, ya que (TLS) genera un túneles cifrados para la acceso: 13 Novienmbre 2015].
transmisión de la comunicación entre los dos extremos
(origen, destino) y de esta manera proteger la integridad, Cristian Calderón, egresado de la
disponibilidad y confidencialidad de la información. carrera de Ingeniería en Sistemas de la
Universidad Nacional de Loja periodo
Las soluciones que se implementaron en el archivo 2010-2015, Posee conocimientos de
sip.conf, tuvieron éxito porque se logró bloquear a Servidores Linux, mantenimiento y
usuarios anónimos que intentaban acceder al sistema, con reparación de computadoras. Áreas de
el fin de obtener información del servidor, de esta manera interés seguridad informática, redes e
se ha logrado contrastar las vulnerabilidades encontradas, inteligencia artificial y OS Linux.
como la (DoS), sin embargo, es importante pensar que Provincia de Loja, Ciudad Loja, Ecuador, 2015.

11