Presentación ofrecida en la Whitehack 2004. En esta exposición se presenta la problemática de seguridad de las redes en las que se emplea la creciente tecnología de Voz sobre IP.
Diapositivas del curso "Sistemas de Conmutación" del programa de Ingeniería en Electrónica y Telecomunicaciones de la FIET de la Universidad del Cauca, República de Colombia.
Tema: Telefonía IP
La estructura es fundamental: PBX IP, tarjetas de telefonía y herramientas pa...PaloSanto Solutions
ElastixWorld 2013 - Taller
Expositor: Arial Mapelman
Xorcom
Descripción
Su sistema de teléfono es tan robusto como sus bases. Xorcom trabaja a diario en el desarrollo de plataformas flexibles, escalables, fiables y configurables para soportar aplicaciones de software para telefonía IP. Conozca nuestros productos y soluciones certificadas por Elastix, nuestras tarjetas telefónicas, herramientas de backup y restauración rápida y completa, y nuestra única solución de alta disponibilidad, diseñados especialmente para Asterisk.
Estas son las transparencias usadas en la Conferencia impartida en el Centro de Nuevas Tecnologías de Galicia el 8 de Mayo de 2013. En ella se abordaron diferentes aspectos específicos relacionados con la seguridad en entornos donde se despliegan soluciones de VoIP.
La segunda parte de la charla fue impartida por Jesús Pérez Rubio y puedes ver información al respecto de lo que comentó en la charla en http://nicerosniunos.blogspot.com.es
Diapositivas del curso "Sistemas de Conmutación" del programa de Ingeniería en Electrónica y Telecomunicaciones de la FIET de la Universidad del Cauca, República de Colombia.
Tema: Telefonía IP
La estructura es fundamental: PBX IP, tarjetas de telefonía y herramientas pa...PaloSanto Solutions
ElastixWorld 2013 - Taller
Expositor: Arial Mapelman
Xorcom
Descripción
Su sistema de teléfono es tan robusto como sus bases. Xorcom trabaja a diario en el desarrollo de plataformas flexibles, escalables, fiables y configurables para soportar aplicaciones de software para telefonía IP. Conozca nuestros productos y soluciones certificadas por Elastix, nuestras tarjetas telefónicas, herramientas de backup y restauración rápida y completa, y nuestra única solución de alta disponibilidad, diseñados especialmente para Asterisk.
Estas son las transparencias usadas en la Conferencia impartida en el Centro de Nuevas Tecnologías de Galicia el 8 de Mayo de 2013. En ella se abordaron diferentes aspectos específicos relacionados con la seguridad en entornos donde se despliegan soluciones de VoIP.
La segunda parte de la charla fue impartida por Jesús Pérez Rubio y puedes ver información al respecto de lo que comentó en la charla en http://nicerosniunos.blogspot.com.es
El principal servicio de los diferentes proveedores de Voz
sobre IP es el de hacer de pasarela hacia la red telefónica
pública (conocida como PSTN/POTS) a costes muy reducidos.
Las fuentes abiertas y las habilidades del analista OSINT, juegan un papel clave en la detección, defensa y respuesta ante las nuevas amenazas como la desinformación, las fake news o ataques a infraestructuras críticas, en los que intervienen actores tan diversos como el crimen organizado, el hacktivismo, el ciberterrorismo o los propios Estados, con la finalidad de detectar e identificar actividades que puedan resultar una amenaza, como el terrorismo yihadista o nacionalista.
En la exposición, se mostrarán ejemplos prácticos del uso de diversas técnicas OSINT e inteligencia artificial para adquirir y procesar grandes volúmenes de datos (tanto texto como contenido multimedia), con la finalidad de detectar e identificar actividades que puedan resultar una amenaza, como el terrorismo yihadista o nacionalista.
La ISO cuenta con estándares que especifican los requerimientos necesarios para las organizaciones al implementar sistemas de gestión, entre los cuales se tiene el estándar ISO/IEC 27001:2013 (Implementación de un Sistema de Gestión de Seguridad de la Información) el cual brinda un apoyo para poder lograr un cumplimiento de seguridad de la información en las compañías. Para esto, se debe seguir un proceso específico para poder lograr establecer de forma adecuada el sistema de gestión. Así mismo, el estándar ISO 22301:2012 plantea la gestión de continuidad del negocio el cual ayuda a buscar una operación continua del negocio a las compañías y es un ítem que hace parte de un SGSI. Se observarán el proceso de implementación de estos dos estándares para poder lograr un nivel de cumplimiento en cuanto a las mejores prácticas de seguridad de la información.
Durante el proceso de implementación de un SGSI o de un SGCN en contact centers o en BPOs, se presentan retos específicos de las realidades cambiantes de este tipo de negocios. El dinamismo que presentan hace que la implementación de estos sistemas requiera de una especial atención en los diferentes proyectos a los cuales se enfrentan las organizaciones, exploraremos de forma breve algunos de estos retos.
La nube es un término que agrega diferentes mecanismos de tercerización de los servicios de infraestructura o de aplicaciones, el uso de este tipo de servicios se está generalizando de manera que hoy en día muchas organizaciones que manejan datos sensibles están en proceso de definir una ruta para poder mover sus servicios de tecnología a proveedores de este tipo; sin embargo, estas migraciones conllevan retos importantes a nivel de seguridad, en especial para aquellas organizaciones que deben cumplir con PCI DSS. En esta presentación haremos un recorrido de los aspectos más relevantes a tener en cuenta antes de llevar a cabo una migración de este tipo manteniendo o consiguiendo el cumplimiento de este exigente estándar de seguridad prestando especial atención a aspecto entre los que se encuentran los Modelos de Despliegue y Servicio, las Consideraciones de Segmentación, la Delimitación del Ambiente CDE, etc.
Para los Contact Centers que procesan, trasmiten y/o almacenan datos de tarjetahabiente actualmente es obligatorio el cumplimiento en la normativa PCI DSS v 3.2. Para lograr esto, es necesario implementar controles procedimentales y técnicos los cuales implican esfuerzos y dedicaciones importantes. Al enfrentarse a este reto, surgen una serie de desafíos que varían de acuerdo a las plataformas y los diferentes ambientes, siendo necesario el definir estrategias adecuadas en cada caso para poder lograr el cumplimiento sin mayores impactos.
Se hace un repaso de la familia de normas PCI, el encaje del proceso PCI DSS dentro de estas y sus requerimientos. Se analizó porqué las empresas de Contact Center y BPO han de cumplir y los aspectos clave en este tipo de empresas en la afectación de PCI DSS. Además, se presentó la metodología desarrollada por Internet Security Auditors que permite alcanzar el cumplimiento llevada a cabo con éxito en multitud de clientes, de este y otros sectores afectados por la necesidad de cumplir con PCI DSS.
Tiene como objeto hacer un recuento de los principales fundamentos de las normas de protección de datos personales en Colombia y las obligaciones que de ellas surgen para las organizaciones que hacen tratamiento de datos de carácter personal. Además, se analizarán algunos casos que han derivado en sanciones impuestas por la autoridad administrativa (Superintendencia de Industria y Comercio), al considerar que han existido infracciones a la normativa de protección de datos personales. Finalmente, se expondrá brevemente la metodología utilizada por Internet Security Auditors y Summa Consultores para el desarrollo de proyectos de consultoría en la materia.
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)Internet Security Auditors
La dependencia cada vez mayor del software y la facilidad de explotación por cualquier actor, requiere incrementar los esfuerzos para minimizar los riesgos y la capacidad de impacto en el negocio. La conferencia presenta una evolución de las técnicas de seguridad en el software, desde las clásicas (Manual Inspections & Reviews, Threat Modeling, Code Review, Pentesting) hasta las más actuales relacionadas con IA y Machine Learning. Se enumeran herramientas de análisis de código basadas en técnicas de Machine Learning, y se presenta una visión respecto la influencia que las nuevas tecnologías y la Inteligencia Artificial pueden tener en el sector de la seguridad.
En la presentación expuesta se puede apreciar los resultados de las auditorias efectuadas a los dispositivos Smart TV (LG 43uf6407, SAMSUNG UE32F5500AW, Panasonic TX-40CX680E) y la Barra de sonido OKI SB Media Player 1g. Durante el workshop se pudieron apreciar fugas de información en las cabeceras de respuesta, servicios expuestos y componentes desactualizados. En el caso de la Barra de sonido OKI y en todos los mediacenter InOut TV las carencias en seguridad son acentuadas, ya que disponen de servicios como XAMPP, con credenciales por defecto, esto sumado la falta de actualizaciones supone un potencial riesgo que ello conlleva. Durante la auditoría también se efectuó una captura del tráfico, llegando en algunos casos a enviar la lista total de canales sintonizados y el orden en que están ordenados en el Smart TV.
Hoy en día las organizaciones están en el proceso de mover su infraestructura tecnológica o sus servicios a la nube. Ya sea por razones de facilidad de crecimiento, de carácter financiero o de foco de negocio. Estos cambios imponen unos retos importantes cuando se involucra el tema de seguridad de la información.
En esta presentación se hace un recorrido de los aspectos más relevantes a tener en cuenta antes de llevar a cabo una migración de este tipo manteniendo o consiguiendo el cumplimiento del estándar de seguridad PCI DSS.
Dados los diversos cambios en las tecnologías y el creciente número de amenazas al sector de medios de pago, el PCI SSC emite, en ciclos definidos, actualizaciones a todo su ecosistema de normas. Asimismo, es muy importante conocer cuales son los requerimientos de validación y reporte del cumplimiento y tener en cuenta que los comercios o proveedores de servicios por sus procesos de pago, arquitectura, etc. deben considerar que controles de la norma PCI DSS les apliquen. Debido a esto, es necesario entender cuales son los diferentes cuestionarios de Autoevaluación (SAQ), que no es más que un subconjunto de controles de la norma aplicados a un escenario especifico en el cual el propio comercio o proveedor de servicios puede demostrar su cumplimiento, abarcando sus principales inconvenientes al llenarlo y los retos más importantes.
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Internet Security Auditors
Las redes sociales permiten, entre otros muchos aspectos, incrementar nuestro nivel de exposición. Este hecho implica a su vez que el nivel de riesgo también se incrementa, poniendo en peligro nuestra privacidad, que puede ser abusada con intenciones muy diversas. La presentación expone los riesgos a los que se expone cualquier usuario cuando crea una identidad digital en una red social, pero desde un punto de vista nada habitual. Para ello, se presentan casos prácticos en los que se demuestra las capacidades de explotación de los datos que exponemos, tanto de forma consciente como inconscientemente.
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Internet Security Auditors
Esta presentación se centra, por un lado, en los aspectos más sensibles o complejos del registro en el RNDB, mostrando tanto los errores habituales en el proceso de registro como los puntos donde este proceso puede ser ambigüo o conducir a error y, por tanto, generar una incorrecta declaración de las bases de datos en el Registro; por otro lado, se presentan errores habituales y recomendaciones, basadas en nuestra experiencia en el cumplimiento de Protección de Datos, más allá del registro de BBDD. Una empresa puede haber llevado a cabo esta declaración pero no cumplir con la Ley y, por lo tanto, verse sujeta a sanciones.
En esta presentación se analizan resoluciones de la SIC en casos de incumplimiento de la Ley 1581/2012 desde un punto de vista técnico y jurídico. El objetivo de esta presentación es entender en qué fallaron las empresas que pudieron ser sancionadas, tanto por los aspectos de cumplimiento que no se trataron adecuadamente, como los errores y aciertos comentidos en el proceso de investigación de la SIC que pudieron empeorar o mejorar el resultado. Aprender de los errores cometidos ayuda a no comenterlos de nuevo o mejorar en el proceso de cumplimiento en la Protección de Datos.
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Internet Security Auditors
Estamos acostumbrados a utilizar diferentes redes sociales de manera habitual. Aprovechamos sus características, tanto a nivel particular como profesional. Sin embargo, no siempre somos conscientes de los detalles que una tercera persona u organización puede obtener sobre nosotros o nuestro entorno. ¿Hasta qué punto se puede hacer un uso abusivo de las redes sociales para conseguir información que no hemos hecho pública? Esta charla intentará encontrar respuestas a esta y otras cuestiones sobre los riesgos derivados en el uso de las redes sociales.
En la presentación se tratan aspectos relacionados con la necesidad de tomar decisiones en nuestro día a día. En ocasiones, determinadas decisiones tienen un gran impacto en la sociedad y quienes han de tomarlas se encuentran bajo una fuerte responsabilidad y presión. A continuación, describiendo el problema del exceso de información que disponemos actualmente así como el de la fiabilidad de las fuentes y, por último, comentando el proceso y las bondades del uso de técnicas OSINT en la ayuda para la toma de decisiones como objetivo final. A modo de ejemplo, y tras ver una clasificación de las herramientas OSINT disponibles, se muestra un análisis sobre los atentados de París utilizando la última versión de la herramienta Tinfoleak.
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...Internet Security Auditors
Como respuesta a nuestra cada vez mayor necesidad de almacenamiento de información, la proliferación de servicios de almacenamiento se ha convertido en un habitual de nuestro día a día, tanto en nuestros sistemas particulares como dentro de la organización donde desempeñamos nuestras tareas. Desde el punto de vista del análisis forense, entender las principales tecnologías en uso, su integración con los sistemas operativos más empleados y las evidencias tecnologías presentes en los sistemas se ha convertido en una necesidad en la mayoría de investigaciones. El objetivo de la ponencia es introducir al oyente tanto en la arquitectura de los servicios como en las evidencias presentes en los sistemas, cubriendo las principales tecnologías en uso.
Taller práctico sobre “Ingeniería inversa en aplicaciones Android", impartido por Vicente Aguilera, en el que se presenta una metodología para llevar a cabo procesos de ingeniería inversa en Android, incluyendo las herramientas y técnicas disponibles. Se lleva a la práctica sobre diversas aplicaciones para poner en práctica los conocimientos adquiridos.
Segunda edición del (ISC)2 Security Congress EMEA celebrado en Munich (Alemania). Vicente Aguilera presenta su ponencia: “Your are beging watched...” en la que se habla de los problemas de privacidad existentes en las redes sociales, y dónde presenta una nueva versión de su ya famosa herramienta Tinfoleak, realizando una demostración en directo sobre cómo extraer información y actividad relevante de los usuarios de Twitter y cómo explotar esta información en el mundo real. Esta ponencia forma parte del Track "Technology, Business and the Future".
Catalogo Cajas Fuertes BTV Amado Salvador Distribuidor OficialAMADO SALVADOR
Explora el catálogo completo de cajas fuertes BTV, disponible a través de Amado Salvador, distribuidor oficial de BTV. Este catálogo presenta una amplia variedad de cajas fuertes, cada una diseñada con la más alta calidad para ofrecer la máxima seguridad y satisfacer las diversas necesidades de protección de nuestros clientes.
En Amado Salvador, como distribuidor oficial de BTV, ofrecemos productos que destacan por su innovación, durabilidad y robustez. Las cajas fuertes BTV son reconocidas por su eficiencia en la protección contra robos, incendios y otros riesgos, lo que las convierte en una opción ideal tanto para uso doméstico como comercial.
Amado Salvador, distribuidor oficial BTV, asegura que cada producto cumpla con los más estrictos estándares de calidad y seguridad. Al adquirir una caja fuerte a través de Amado Salvador, distribuidor oficial BTV, los clientes pueden tener la tranquilidad de que están obteniendo una solución confiable y duradera para la protección de sus pertenencias.
Este catálogo incluye detalles técnicos, características y opciones de personalización de cada modelo de caja fuerte BTV. Desde cajas fuertes empotrables hasta modelos de alta seguridad, Amado Salvador, como distribuidor oficial de BTV, tiene la solución perfecta para cualquier necesidad de seguridad. No pierdas la oportunidad de conocer todos los beneficios y características de las cajas fuertes BTV y protege lo que más valoras con la calidad y seguridad que solo BTV y Amado Salvador, distribuidor oficial BTV, pueden ofrecerte.
En este documento analizamos ciertos conceptos relacionados con la ficha 1 y 2. Y concluimos, dando el porque es importante desarrollar nuestras habilidades de pensamiento.
Sara Sofia Bedoya Montezuma.
9-1.
Catalogo General Electrodomesticos Teka Distribuidor Oficial Amado Salvador V...AMADO SALVADOR
El catálogo general de electrodomésticos Teka presenta una amplia gama de productos de alta calidad y diseño innovador. Como distribuidor oficial Teka, Amado Salvador ofrece soluciones en electrodomésticos Teka que destacan por su tecnología avanzada y durabilidad. Este catálogo incluye una selección exhaustiva de productos Teka que cumplen con los más altos estándares del mercado, consolidando a Amado Salvador como el distribuidor oficial Teka.
Explora las diversas categorías de electrodomésticos Teka en este catálogo, cada una diseñada para satisfacer las necesidades de cualquier hogar. Amado Salvador, como distribuidor oficial Teka, garantiza que cada producto de Teka se distingue por su excelente calidad y diseño moderno.
Amado Salvador, distribuidor oficial Teka en Valencia. La calidad y el diseño de los electrodomésticos Teka se reflejan en cada página del catálogo, ofreciendo opciones que van desde hornos, placas de cocina, campanas extractoras hasta frigoríficos y lavavajillas. Este catálogo es una herramienta esencial para inspirarse y encontrar electrodomésticos de alta calidad que se adaptan a cualquier proyecto de diseño.
En Amado Salvador somos distribuidor oficial Teka en Valencia y ponemos atu disposición acceso directo a los mejores productos de Teka. Explora este catálogo y encuentra la inspiración y los electrodomésticos necesarios para equipar tu hogar con la garantía y calidad que solo un distribuidor oficial Teka puede ofrecer.
Catalogo Refrigeracion Miele Distribuidor Oficial Amado Salvador ValenciaAMADO SALVADOR
Descubre el catálogo general de la gama de productos de refrigeración del fabricante de electrodomésticos Miele, presentado por Amado Salvador distribuidor oficial Miele en Valencia. Como distribuidor oficial de electrodomésticos Miele, Amado Salvador ofrece una amplia selección de refrigeradores, congeladores y soluciones de refrigeración de alta calidad, resistencia y diseño superior de esta marca.
La gama de productos de Miele se caracteriza por su innovación tecnológica y eficiencia energética, garantizando que cada electrodoméstico no solo cumpla con las expectativas, sino que las supere. Los refrigeradores Miele están diseñados para ofrecer un rendimiento óptimo y una conservación perfecta de los alimentos, con características avanzadas como la tecnología de enfriamiento Dynamic Cooling, sistemas de almacenamiento flexible y acabados premium.
En este catálogo, encontrarás detalles sobre los distintos modelos de refrigeradores y congeladores Miele, incluyendo sus especificaciones técnicas, características destacadas y beneficios para el usuario. Amado Salvador, como distribuidor oficial de electrodomésticos Miele, garantiza que todos los productos cumplen con los más altos estándares de calidad y durabilidad.
Explora el catálogo completo y encuentra el refrigerador Miele perfecto para tu hogar con Amado Salvador, el distribuidor oficial de electrodomésticos Miele.
Catalogo Refrigeracion Miele Distribuidor Oficial Amado Salvador Valencia
Seguridad en Redes Convergentes: Seguridad en Voz sobre IP (VoIP). White Hack 2004
1. Seguridad en Redes Convergentes:
Seguridad en Voz sobre IP (VoIP)
Internet Security Auditors
Daniel Fernández Bleda
CISSP, OPST/OPSA Trainer
Co-Founder
WHITE HACK 2004
28-30 Mayo 2004
2. • ¿Qué es VoIP?
• Protocolos y estándares de VoIP
– H.323
– SIP
– RTP
• Una nueva perspectiva del enemigo
• Vulnerabilidades típicas de VoIP
– Ataques DoS
– Escuchas
– Capturas
– Reenvíos
• Soluciones
• Entonces, ¿VoIP es seguro?
• Referencias
Índice
3. ¿Qué es VoIP?
• Es un nombre con el que se refiere al transporte de
comunicaciones telefónicas (Voz, también video) a través
de una red de datos (red IP).
• Es una tecnología madura pero todavía en evolución.
• Existen gran cantidad de estándares y los fabricantes los
adoptan todos para ofrecer interoperatividad.
• VoIP emplea el protocolo TCP/IP, que no ofrece QoS.
• TCP/IP fue diseñado con el objetivo de enviar datos con
la esperanza que estos lleguen a su destino.
• Para conseguir QoS se han desarrollado protocolos de
nivel superior.
4. Protocolos y estándares de VoIP
• Protocolos de Señalización: permiten la localización de
usuarios, establecimiento y negociación de sesiones y la
gestión de los comunicantes - H.323, MEGACO, MGCP y
SIP -.
• Protocolos de Transporte de Datos (Media): permiten
digitalizar, codificar y decodificar, empaquetar, enviar,
recibir y reordenar las muestras de voz - RTP, RTCP,
SCTP -.
• Protocolos/Servicios de Soporte: complementan las
funcionalidades, eficiencia y seguridad de los anteriores -
DNS, Servidores de Localización, Sistemas de QoS,
Protocolos de enrutado, servidores de AAA, etc…-
5. H.323 (I)
• H.323 es una “suite” de protocolos desarrollada por el
International Telecommunication Union (ITU-T) para
transferir voz y video sobre una red de datos:
– H.225: call control signaling, registro y admisión
– H.235: aspectos de seguridad -Autenticación, Integridad,
Privacidad y No Repudio
– H.245: Negociación del uso del canal
– H.261: Codecs de Video
– G.723/G.729: Codecs de Audio
• Desde la versión publicada el año 1996 han aparecido
versiones 2 (1998), 3 y 4 (2000) para poder competir con
el formato desarrollado por el IETF, SIP, dado que H.323
se desarrollo para ser usado en LANs y no en WANs
(Internet).
6. H.323 (II)
• Es el primer protocolo utilizado masivamente en
aplicaciones de videoconferencia y VoIP.
• Desde la versión publicada el año 1996 han aparecido
versiones 2 (1998), 3 y 4 (2000) para poder competir con
el formato desarrollado por el IETF, SIP, dado que H.323
se desarrollo para uso en LANs.
• Programas de videoconferencia (NetMeeting,
GNomeMeeting, etc.) y multitud de IP SoftPhones
emplean H.323.
• Existe un desarrollo Open Source de la pila H.323, así
como software de VoIP libre en www.openh323.org.
• Seguramente SIP haga que pase a ser un protocolo
menos usado, pero actualmente, dadas las deficiencias de
todos ellos, se ha planteado su continuidad y cohabitación
en redes multi-protocolo.
7. H.323 (III)
Un sistema H.323 se compone de cuatro componentes:
– Terminal: Este es el dispositivo del usuario final, soporta
tráfico bidireccional de voz, datos y/o video con otro terminal.
Un terminal sería un SoftPhone en un PC o un teléfono IP.
– Gateway: Son los responsables con otros gateways u otras
redes. Si el dispositivo al que se conecta en otra red no
soporta H.323, el gateway será el responsable de realizar la
conversión entre ambos protocolos. El gateway también será
el encargado de realizar la conexión entre la red telefónica y la
basada en IP.
– Multipoint Control Unit: Ofrece suporte para sistemas de
multiconferencia entre diferentes terminales de usuario.
– Gatekeeper: Provee de servicios de autenticación para
permitir a los usuarios finales registrase en la red de VoIP. Es
el encargado de gestionar las políticas de acceso y traslación
de direcciones.
8. Session Initiation Protocol (SIP)
• Es un protocolo desarrollado por el Internet Engineering
Task Force (IETF) en 1999 con el RFC 2543 y mejorado
con el RFC 3261 en 2002.
• Mucho más moderno que H.323 y que facilita la
escalabilidad, reutilización e interoperatividad entre
componentes de la red VoIP.
• Si H.323 se basa en binario (ASN.1), SIP se basa en
texto (ASCII).
• Es muy similar a protocolos como HTTP o SMTP y
emplea el modelo petición/respuesta (request/response).
• SIP está basado en una serie de mensajes empleados
para mantener una máquina de estados (similar a
TCP/IP) en cada uno de los extremos de la comunicación.
9. Componentes de SIP (I)
• User Agent Client (UAC)
– End Systems
– Send SIP Requests
• User Agent Server (UAS)
– Listening for Incoming Requests
– Execute an “internal logic”/program to
determine the appropriate response
• User Agent
– UAC + UAS
10. • Redirect Server
– Redirect “callers” (requests) to another Server
• Proxy Server
– Relay Call Signaling (“Proxy requests to another
server”)
– Can “fork” requests to multiple targets
– Able to maintain basic Call-State (or not)
• Registrar
– Receives registrations requests regarding
current user locations
– Stores the information at a “Location Server”
Componentes de SIP (II)
11. Tipos de Mensajes SIP
Los mensajes que definen los RFCs de SIP son estos:
INVITE: Petición de invitación a un usuario para iniciar la llamada.
ACK: Aceptación de inicio del intercambio de mensajes INVITE.
BYE: Finalización (o transferencia) de la llamada entre terminales.
OPTIONS: Petición de información sobre capacidades del terminal.
REGISTER: Registro de información de la localización actual en un
servidor SIP de registro.
CANCEL: Petición de fin de búsqueda o llamada de un usuario.
INFO: Petición de información durante una llamada.
PRACK: Aceptación Provisional.
COMET: Pre-condición dada.
SUBSCRIBE: Petición de subscripción a un evento.
NOTIFY: Notificación a los participantes en una llamada.
12. Funcionamiento básico de SIP
INVITE F1
INVITE F2
INVITE F4100 Trying F3
100 Trying F5
180 Ringing F6
180 Ringing F7
180 Ringing F8
200 OK F9
200 OK F10
200 OK F11
ACK F12
RTP Media Stream
BYE F13
200 OK F14
Softphone IP
de Alice
Teléfono SIP
de Bob
madrid.com
Proxy Server
barcelona.com
Proxy Server
• Este es un ejemplo (RFC3261) que muestra el
funcionamiento básico del establecimiento de una sesión
(comunicación o llamada) mediante SIP entre dos
dispositivos que implementan este protocolo. Este
esquema típico recibe el nombre de “trapezoide SIP”.
13. Un mensaje SIP
INVITE sip:bob@barcelona.com SIP/2.0
Via: SIP/2.0/UDP pc33.madrid.com;branch=z9hG4bK776asdhds
Max-Forwards: 70
To: Bob <sip:bob@barcelona.com>
From: Alice <sip:alice@madrid.com>;tag=1928301774
Call-ID: a84b4c76e66710@pc33.madrid.com
CSeq: 314159 INVITE
Contact: <sip:alice@pc33.madrid.com>
Content-Type: application/sdp
Content-Length: 142
(La información SDP no se muestra)
Método SIP La dirección en la que Alice espera recibir
las respuestas. Este parámetro indica la
ruta que el mensaje de retorno debe seguir.
El nombre y la/s direcciones URI SIP o
SIPS a las que se envía el mensaje.
Contiene un identificador único
para esta llamada.
Típico número identificador de secuencia y
el nombre del método SIP.
SIP o SIPS URI que representa la ruta
directa a Alice.
14. Real-Time Transport Protocol (RTP)
• RTP definido por el IETF en el RFC 1889.
• RTP provee de mecanismos a las aplicaciones
para el envío de audio y video entre extremos en
redes uni- o multicast.
• RTP no ofrece QoS para aplicaciones de tiempo
real.
• El protocolo RTP se complementa con un
protocolo de control (RTCP) que permite
monitorizar el flujo de datos enviados mediante
RTP.
• Es el protocolo de transporte utilizado por los
dispositivos VoIP.
15. Una nueva perspectiva del enemigo
• Con la convergencia Datos y Voz se produce también la
convergencia del atacante: Hacker (o Cracker, según
preferencias) y Phreaker.
• Un Hacker ataca los Sistemas de Información (SI).
• Un Phreaker ataca los Sistemas de Telefónicos (ST).
• Un Hacker puede atacar los SI a través de los ST.
• Un Phreaker puede atacar a los ST a través de los SI.
• Se multiplica el efecto de un ataque de ambos.
16. Vulnerabilidades típicas de VoIP
• Los tipos más comunes de ataques a los que VoIP es
sensible son:
– Ataques de Denegación de Servicio (DoS): Mediante el envío de
paquetes a los interlocutores, los proxies u otros servidores que
gestionan las llamadas y que impiden o interrumpen las conexiones.
– Escuchas (eavesdropping): Mediante la captura de los paquetes
de gestión de sesión (SIP, H.323, ...) o los de voz que se encapsulan
en Real-Time-Protocol (RTP) y su decodificación o los paquetes.
– Captura de llamadas (Call hijacking): Mediante el envío de
paquetes VoIP suplantando alguno de los participantes en las
llamadas (packet spoofing).
– Reenvío de paquetes (Replay): Mediante la retransmisión de
paquetes (capturados o generados) de manera que los dispositivos
VoIP los procesen de nuevo.
– Ataques a la Integridad de los Mensajes: Mediante la moficación
de los mensajes enviados entre usuarios o dispositivos.
17. ICMP errorINVITE F1
INVITE F2
INVITE F4100 Trying F3
100 Trying F5
180 Ringing F6
180 Ringing F7
180 Ringing F8
200 OK F9
200 OK F10
200 OK F11
ACK F12
RTP Media Stream
BYE F13
200 OK F14
Softphone IP
de Alice
Teléfono SIP
de Bob
madrid.com
Proxy Server
barcelona.com
Proxy Server
iMac
Si un paquete UDP tiene un
problema en su envío se pueden
producir diferentes paquetes ICMP
de error. Si se envían ICMPs a los
comunicamentes, estos cerraran la
comunicación por supuestos
problemas de red.ICMP error
iMac
Atacante 1
Atacante 2
CANCEL F6'
Si enviamos un CANCEL a
Bob antes de que este envíe el
OK a Alice, Bob creerá que
Alice no quiere establecer la
sesión a la que le "invitaba"
iMac
Atacante 3
Si enviamos un BYE
diectamente a ambos,
interrumpiremos su
comunicación y ninguno de
ellos esperara más
respuestas.
BYE F12'BYE
F12'
• Existen multitud de condiciones en las que se pueden
realizar ataques de Denegación de Servicio a uno de los
participantes en las sesiones o a ambos.
Ataques DoS (SIP)
18. Ataques de Escuchas (Call Tracking)
• Escuchando todo el tráfico SIP de la red se
puede hacer un seguimiento de las llamadas y su
contenido:
– Quién llama a quién.
– Cuando se hacen las llamadas.
– Cuanto tiempo duran las llamadas.
– Donde se encuentran las personas que mantienen las
conversaciones.
– Capturando tonos teléfonicos (DTMF) podemos
conseguir código a buzones de voz, passwords,
códigos, etc.
• Esto también sucede en H.323 (en el protocolo
H.225) donde se envían los datos de los
comunicantes para el establecimiento de la
sesión.
19. INVITE F1 INVITE F2
INVITE F4100 Trying F3
100 Trying F5
Softphone IP
de Alice
Teléfono SIP
de Bob
madrid.com
Proxy Server
barcelona.com
Proxy Server
i Mac
Atacante 1
301 Moved Permanently
F15
INVITE F1'
Ataques de Captura (Call Hijacking)
• Mediante mensajes 301 Moved Permanently:
Según el RFC 3261: “The user can no longer be found at
the address in the Request-URI, and the requesting client
SHOULD retry at the new address given by the Contact
header field (Section 20.10). The requestor SHOULD
update any local directories, address books, and user
location caches with this new value and redirect future
requests to the address(es) listed.”
• Sucede lo mismo con mensajes 302 Moved Temporarily y
305 Use Proxy.
20. INVITE F1 INVITE F2
INVITE F4100 Trying F3
100 Trying F5
Softphone IP
de Alice
Teléfono SIP
de Bob
madrid.com
Proxy Server
barcelona.com
Proxy Server
i Mac
Atacante 1
301
M
oved
Perm
anently
F15
IN
VITE
F1'
INVITE
F4'
180 Ringing F6
180 Ringing F7
180
R
inging
F6'
Ataques de Captura/Reenvío (MITM)
• Mediante mensajes 301 Moved Permanently además
podemos hacer creer que Bob a cambiado de lugar, pero
seguir enviando los mensajes de Alice a Bob para,
haciendo de “proxy transparente” entre ambos, capturar
todo su tráfico.
21. Ataques de Escuchas (RTP)
• Es fácil capturar el tráfico RTP que contiene la
voz de los interlocutores que participan en la
llamada.
• Los codecs/decodecs de audio están basados en
estándares de uso habitual.
• Capturando un conjunto de paquetes RTP
continuos podemos extraer el flujo de voz
digitalizada, decodificarla y volverla a reproducir.
• Existe una implementación sencilla y eficiente,
Open Source que realiza esto en sesiones H.323:
VOMIT (Voice Over Misconfigured Internet
Telephones).
22. Soluciones
• VoIP jamás se debe implementar en redes sin la
suficiente segmentación lógico y físico.
• Los servidores VoIP (proxies, registrars, etc.) son tan
sensibles a sufrir intrusiones como el servidor web de la
empresa. Es necesario securizarlos y gestionarlos.
• El uso de VPNs y encriptación fuerte tendrán que ser
“opciones por defecto”. SIP soporta S/MIME y PGP, pero
debe configurarse y usarse. El inconvenientes es que
incrementan los retardos y pueden impedir una
comunicación fluida.
• Contar con especialistas en Telefonía IP y Seguridad a
la hora de la implantación de VoIP.
• Y sobre todo, auditar las redes tras cambios y también
de forma periódica, y monitorizar todos sus
componentes y tráfico.
23. Entonces, ¿VoIP es seguro?
• VoIP es más seguro que una tarima de 1,50
metros en una oficina.
• La red de VoIP será tan segura como lo sea la
red de datos.
• Si la red de datos ha sido auditada recientemente
y han sido detectados y corregidos sus
problemas, VoIP se aprovechará de estas
mejoras.
• Si el esfuerzo necesario para obtener la
información de una llamada VoIP es mayor que el
valor intrínseco de la propia información, VoIP
será “suficientemente seguro”.
• La seguridad es un equilibrio, que debe
encontrarse.
24. Referencias
• Internet Engineering Task Force - Request For Comments (RFC):
http://www.ietf.org/rfc/
• Sys-Security (Presentaciones de Ofir Arkin sobre VoIP):
http://www.sys-security.com/
• VOMIT (Voice over misconfigured IP Telephones):
http://vomit.xtdnet.nl/
• CISCO (documentación sobre VoIP y protocolos VoIP):
http://www.cisco.com/
• SANS Institute (SANS InfoSec Reading Room):
http://www.sans.org/rr/
• SIP Express Router (GNU SIP proxy):
http://www.iptel.org/ser/
• SJPhone (SIP/H.323 Softphone para Windows/Linux/PocketPC):
http://www.sjlabs.com/
25. Seguridad en Redes Convergentes:
Seguridad en Voz sobre IP (VoIP)
Daniel Fernández Bleda
Internet Security Auditors
dfernandez@isecauditors.com
CISSP, OPST/OPSA Trainer
Co-Founder
www.isecauditors.com
Gracias por vuestra asistencia
WHITE HACK 2004
28-30 Mayo 2004