Vulnerabilidades en la convergencia IP

Hoy en día, la convergencia de las comunicaciones corporativas de voz, datos y video en una única red IP, desde cualquier ubicación y a través de diferentes tecnologías de acceso (Ethernet, ADSL, WiFi, 2.5G, 3G, WiMax, Satélite), es ya una realidad.
Son cada vez más las empresas que se han planteado unificar sus comunicaciones utilizando este único medio, en lo que se ha convenido en denominar convergencia IP. Unificación de sistemas de telefonía y ahorros en llamadas empleando voz sobre IP (VoIP), soluciones para movilidad de usuarios, y sobre todo, la simplificación e integración de toda la infraestructura de comunicaciones en una única red, son las ventajas más interesantes que hacen que cada vez más la convergencia IP forme parte ya del presente para muchas empresas.
Una de las mayores preocupaciones a la hora de enfocar los proyectos de convergencia de distintas redes y soluciones a IP, es la capacidad de la infraestructura de comunicaciones para soportar VoIP junto al resto de aplicaciones de negocio.
Este primer desafío plantea que las redes IP existentes, aunque puedan ser muy rápidas, en muchas situaciones no están preparadas para las necesidades de tiempo real, ya que han sido diseñadas para servicios tradicionales de email, portales de contenido, navegación Web, etc.
La incorporación a las empresas de los servicios de telefonía IP, audio y videoconferencia, movilidad, mensajería instantánea o video bajo demanda debe ir acompañada de una infraestructura que permita garantizar la calidad de servicio (QoS), y que asegure niveles de latencia muy bajos.
Una vez salvado el difícil reto de asegurar la capacidad y calidad del servicio, nos enfrentamos ahora a otro obstáculo, garantizar la seguridad de la información y de la infraestructura tecnológica necesaria, que podría suponer un impedimento para el desarrollo y despliegue de los servicios convergentes IP.
En ese sentido, y al igual que se hace para servicios IP tradicionales, se debe enfocar la seguridad tanto en la red, como en el equipamiento final, teniendo en cuenta las mismas vulnerabilidades que en los entornos habituales, entre otras: acceso no autorizado, denegación de servicios, escucha de tráfico, alteración de información, suplantación de identidad tanto de usuario como terminal, etc.

Todas estas vulnerabilidades ya conocidas afectan a los nuevos servicios IP.
No hay que olvidar que éstos emplean para su correcto funcionamiento direccionamiento IP y direcciones MAC, integran servicios con protocolos estándares como POP3, SMTP para mensajería, FTP para actualización de configuración, DHCP y DNS para la configuración de red y conexiones con otros recursos, así como otros protocolos habituales, y por ello se deberían se deberían aplicar las mismas políticas y controles de seguridad que en los servicios tradicionales asociados a PCS y Servidores.
Durante estos últimos años, han aparecido vulnerabilidades específicas que afectan a algunos servicios IP, como mensajería instantánea y VoIP, que fundamentalmente aprovechan las debilidades de los protocolos estándares como SIP (RFC 3261) y H.323 (H.320, RTP y Q.931), mientras que en otros protocolos propietarios de fabricantes como Cisco, Nokia y Avaya, las probabilidades de que las vulnerabilidades sean explotadas son inferiores, al no estar disponible su código. Las amenazas y vulnerabilidades más destacadas son:
Acceso a la información del establecimiento de llamada y a la conversación: Técnicas de eavesdropping y man-in-the-middle (MitM) permiten que la información de la conversación que utiliza protocolo UDP, junto con la señalización UDP ó TCP, pueda ser accedida mediante ARP Spoofing o MAC flooding en cualquier dispositivo de red.
Herramientas de sniffing como Cain & Abel, VoIPong y Oreka son algunos ejemplos de software que permiten la escucha y grabación de llamadas IP en redes mal configuradas. La solución frente a este ataque consiste en establecer un número máximo de direcciones MAC por cada puerto que impidan la inundación del switch, así como asignar estáticamente las direcciones MAC por puerto, aunque esto penalice el aprendizaje de direcciones.Como medida adicional se deben separar las redes de voz y datos en VLANs distintas, lo que disminuiría la probabilidad de efectuar ataques.
Finalmente, y como una de las técnicas más efectivas frente a estas amenazas está el empleo de cifrado en la comunicaciones VoIP, mediante el protocolo ZRTP/SRTP (creado por Phil Zimmermann –PGP-) y la implementación TLS-SIP, que permitiría garantizar la confidencialidad del mensaje SIP frente ataques MitM y eavesdropping, la integridad del mensaje SIP frente ataques MitM, la autenticación y el no repudio entre los proxies de la comunicación SIP.

Otra vulnerabilidad relacionada con el uso de una única VLAN para voz y datos, y que podría afectar al acceso no autorizado a los servicios de voz, se denomina VoIP Hopping, consistente en la conexión del cable Ethernet que llega al terminal de voz directamente a un ordenador, pudiendo a partir de entonces realizar los ataques eavesdropping y MitM descritos anteriormente.
Para prevenir este tipo de ataque es recomendable no emplear políticas de VLAN basadas en MAC, ya que son fácilmente susceptibles de ataques de spoof, tanto para la dirección MAC, como para la dirección IP, establecer una asociación estática entre el puerto y la VLAN, así el Switch sobrescribirá las etiquetas VLAN que han sido víctimas de spoof, establecer filtros por etiquetas VLAN, deshabilitar cualquier protocolo no necesario para prevenir ataques y vulnerabilidades de dichos protocolos, y habilitar 802.1x como medida de control de acceso de nivel 2, que también proporciona defensa frente ataques de DHCP.
Denegación de servicio: Aunque los aspectos de calidad del servicio QoS pueden provocar la parada de los servicios IP, se deben tener en cuenta otros aspectos relacionados con la seguridad para hacer frente a posibles ataques, como DoS exploits, que explotan vulnerabilidades específicas de componentes y protocolos de los servicios IP mediante el envío de paquetes malformados con estructuras incorrectas.
Otra técnica, denominada Flood DoS/DDoS, provocaría la denegación del servicio por agotamiento de recursos al recibir gran cantidad de paquetes. Otra forma de denegación consiste en atacar al servicio DHCP que suministra la información de configuración de red a los terminales IP, agotando todas las direcciones previstas para su entrega, y dejando a los terminales sin posibilidad de operar.
Es evidente que la seguridad es un aspecto crítico a la hora de integrar servicios en una red IP, por ello debemos disponer de recursos y esfuerzo en garantizar, no sólo calidad de servicio, sino disponibilidad, confidencialidad e integridad de la información, ya que han quedado patentes las numerosas vulnerabilidades existentes en la actualidad en estos entornos.
Par
a detectar estas y otras vulnerabilidades existentes, sería buena práctica emplear una herramienta de detección como SiVuS, un escáner de vulnerabilidades para las redes VoIP que usen protocolo SIP, o VoIP Hopper que permite a los administradores conocer los riesgos de la implementación de VoIP en su red.