2. ¿Dónde estamos en seguridad?
- Security by obscurity.
- SIP sobre UDP.
- Aprovisionamiento sin seguridad.
- Redes sin control (VLAN, 801.1x).
- Nadie cifra medios.
- Fallas en seguridad de terminales.
- Sistemas de UC mal configurados.
4. Conceptos Previos: TLS
● Protocolo criptográfico
● Criptografía asimétrica (certificados)
para autenticar e intercambiar una llave
simétrica.
● Esa sesión cifra el flujo de datos entre
las partes.
● Permite confidencialidad, autenticación,
integridad y no repudio.
5. Conceptos Previos: SRTP
● Proporciona cifrado, autenticación,
integridad, y protección contra
reenvíos a datos RTP.
● SRTP también tiene un protocolo
hermano llamado Secure RTCP
(SRTCP)
7. Man in the middle
● Nos metemos en medio de la comunicación,
siendo transparentes.
● ¡Toda la información pasa por nosotros!
● Ejemplo MITM con ARP SPOOFING:
#echo 1 > /proc/sys/net/ipv4/ip_forward
#ettercap -o -T -P repoison_arp -M arp:remote /
10.10.5.20/ /10.10.5.21//
8. TLS y SRTP en centrales IP Asterisk(r)
Generación de CA y certificado de servidor:
#./ast_tls_cert -C 192.168.2.100 -O "INTELIX" -d
/etc/asterisk/keys
Generación de certificados de clientes:
#./ast_tls_cert -m client -c /etc/asterisk/keys/ca.crt -k
/etc/asterisk/keys/ca.key -C 192.168.2.1 -O "INTELIX" -d
/etc/asterisk/keys -o yealink1
Duración 1 año por default y 4096 bits.
10. TLS y SRTP en centrales IP Asterisk(r)
Configuración de TLS en Asterisk 11 y + (sip.conf):
tlsenable=yes
tlsbindaddr=0.0.0.0:5061
tlscertfile=/etc/asterisk/keys/asterisk.pemtlscafile=/etc/asterisk/keys/ca
.crt
tlscapath=/etc/asterisk/keys
tlsdontverifyserver=no
tlsverifyclient=yes
tlsignorecommonname=no
tlscipher=ALL
tlsclientmethod=tlsv1
Configuración (sip.conf) en cada usuario:
encryption=yes
transport=tls
18. Seguridad física en el equipo...hagan MEMORIA!!!!
- Nota en Sinologic sobre uso incorrecto que se le
podía dar a la función de auto discado de loa viejos
firmwares < versión .60
http://user:user@192.168.1.101/cgi-
bin/ConfigManApp.com?
Id=34&Command=1&Number=018881234567&Acc
ount=0
20. Seguridad física en el equipo – Aprovisionamiento
- Manual de configuración Segura
Cifrada para firmwares 81 y >.
- Manual de auto aprovisionamiento
general para firmwares 81 y >.
21. OPENVPN en equipos YEALINK
- Los equipos YEALINK ya desde hace varios
años soportan la conexión directa de vpn a
través de OpenVPN (link al instructivo).
- Compatibles con :
● Servers GNU/Linux, macOS y
Windows(r) en general
● Diversas distribuciones y fabricantes
con soporte abierto de OpenVPN.
22. BIBLIOGRAFIA y CREDITOS
●Yealink Official Site – www.yealink.com
Otros créditos:
● Internet Engineering Task Force (www.ietf.org)
RFC 2401-2764-2709-2411-2521-2685-2833
● VoipInfo Web Page – www.voip-info.org
● Digium – www.asterisk.org / www.digium.com
● Sinologic.net - www.sinologic.net
Seguridad en Voip - Saúl Ibarra Corretgé -
www.saghul.net
23. LICENCIA DE ESTA PRESENTACIÓN
Autor: Ing. Fernando M. Villares Terán 10/2016
Bajo licencia Creative Commons: http://creativecommons.org/
Atribución-CompartirIgual 2.5 Argentina (CC BY-SA 2.5)
Consultas: contacto@intelix.com.ar / www.intelix.com.ar
TODAS LAS MARCAS REGISTRADAS NOMBRADAS O UTILIZADAS EN ESTA
PRESENTACIÓN SON PROPIEDAD DE SUS RESPECTIVOS DUEÑOS Y NO DEBEN
SER USADAS SIN LA CORRESPONDIENTE AUTORIZACIÓN DE LOS MISMOS.