Encriptación de las Comunicaciones en

Elastix

Introducción

Las telecomunicaciones son una parte crítica de la

seguridad nacional.

La seguridad y confiabilidad de las comunicaciones

son un importante requerimiento para organismos

públicos y privados

Requerimientos de seguridad

Los requerimientos de seguridad de las

comunicaciones se pueden dividir en:

Confidencialidad.

Integridad.

Disponibilidad.

Marco Teórico

Encriptación

Encriptar significa transformar datos en un código

secreto que puede ser descifrado únicamente por la

parte interesada.

Elastix

Es un aplicación open source para crear sistemas de telefonía VoIP, que integra las mejores herramientas para PBX y Callcenter basados en Asterisk.

Permite la creación de nuevos módulos que permiten ampliar su funcionalidad.

Protocolo SIP

El “Session Initiation Protocol” (SIP) es un protocolo de señalización multimedia.

Esta definido por la IETF en el RFC 3261.

SIP es un protocolo similar al protocolo HTTP usado en la navegación web.

Dentro de la definición del protocolo, no existe un mecanismo para el cifrado de datos.

Protocolo SIP: Componentes

Protocolo SDP

El “Session Description Protocol” (SDP) transmite las capacidades multimedia de los terminales que quieren establecer una comunicación.

Está definido por la IETF en el RFC 2327.

Protocolo RTP

El “Real-Time Transport Protocol” (RTP) es utilizado para la transmisión de información (voz, vídeo, entre otros) en tiempo real.

Está definido por la IETF en el RFC 3550 y RFC 3511.

Funciona sobre UDP, ya que posee un menor retardo en la entrega de paquetes con información.

Interceptar las comunicaciones

Consiste en captar información (paquetes SIP, SDP, RTP en el caso de VoIP) de forma ilegal.

Una forma de interceptar comunicaciones es el sniffing, usando herramientas como wireshark o tcpdump.

Interceptar las comunicaciones

Utilizando Cain & Abel también se puede capturar tráfico VoIP, a hosts que están en el mismo segmento de red.

Cuando se tienen VLANs se pueden efectuar dos tipos de ataques: Switch Spoofing y Double Tagging.

Manipulando el protocolo MGCP se puede interceptar comunicaciones entre “call agents”.

Encriptación de las comunicaciones

Se puede aplicar la encriptación en tres niveles:

Señalización (SIP).Multimedia (RTP).Transmisión de datos en general (OpenVPN).

Encriptación de la señalización

Vulnerabilidad del Protocolo SIP

Los dispositivos SIP se identifican usando direcciones SIP (SIP URI), que tienen la forma:

sip:usuario@dominio

El protocolo SIP dentro de su especificación no incluye mecanismos de seguridad, la información se envía como texto plano.

Registro de un dispositivo SIP

Inicio y finalización de una llamada SIP

Inicio y finalización de una llamada SIP

Encriptación de la señalización: SIP/TLS (SIPS)

El documento RFC en donde se define el protocolo SIP, recomienda el uso de TLS como medida de protección para evitar ataques como la interceptación de llamadas, o ataques man-in-the-middle.

TLS está definido en el documento RFC 4346.

SIP/TLS (SIPS): Partes

Se divide en dos partes:

TLS Record Protocol, que se encarga de mantener una conexión segura entre dos dispositivos.

TLS Handshake Protocol cuya función es la negociación de la llaves criptográficas y la autenticación cliente/servidor.

SIP/TLS (SIPS): Funcionamiento

SIP/TLS (SIPS) vs SIP

El SIPS URI tiene la forma: sips:usuario@dominio.

Para el transporte de información se usa TLS. Por tanto los datos enviados son cifrados.

El puerto SIPS es el 5061, en lugar del puerto 5060 que esta reservado para UDP o TCP.

Los paquetes SIPS se transportan usando TCP.

SIP/TLS (SIPS): Recomendaciones

Para la transmisión de datos se recomienda utilizar el algoritmo AES 128-bit en modo CBC (Cipher Block Chaining)

Para la autenticación y verificación de la integridad de los mensajes, se debería usar SHA-1.

SIP/TLS (SIPS): VentajasSoporte para autenticación mutua (cliente y

servidor). Importante para evitar ataques man-in-the-middle.

Provee confidencialidad e integridad de la comunicación.

TLS es un protocolo universalmente soportado por diferentes dispositivos y sistemas operativos.

Protege el proceso de negociación de las llaves a ser utilizadas para la encriptación de multimedia (SRTP).

SIP/TLS (SIPS): DesventajasSolo puede ser usado con TCP o SCTP, pero no con

UDP. Muchos proveedores de telefonía SIP solo soportan tráfico UDP.

Aumenta la utilización de recursos en el servidor SIP (Elastix) en un 30%, en especial en el uso de procesador y memoria RAM.

No brinda confidencialidad extremo a extremo. Requiere la terminación y creación de una nueva sesión para cada uno de los segmentos.

SIP/TLS (SIPS): Desventajas

Encriptación de multimeda (RTP)

SRTP

El “Secure Real Time Protocol” (SRTP) es un complemento al “Real Time Protocol” (RTP), que provee confidencialidad, integridad y autenticación de los datos (voz, vídeo, mensajería, entre otros).

Se encuentra definido por la IETF en el documento RFC 3711.

También brinda protección a los mensajes RTCP (Real-Time Transport Control Protocol) usados para aplicar políticas como QoS, estos paquetes son utilizados por los dispositivos activos de una red.

SRTP: Funcionamiento

SRTP: Recomendaciones

El algoritmo de encriptación por defecto es AES (Advanced Encryption Standard) en modo counter, usando una llave de 128-bits.

Para la autenticación y verificación de la integridad de los mensajes, se debe usar SHA-1.

Como la llave a utilizar en la encriptación se negocia en cada llamada, utilizando SDP, durante el intercambio de mensajes SIP, no tiene sentido utilizar SRTP sino se lo complementa con SIPS.

SRTP: Ventajas

Confidencialidad, integridad y autenticación del contenido multimedia.

Soporte de AES que permite recibir paquetes en desorden.

Minimiza el uso de recursos de hardware y ancho de banda.

SRTP: Desventajas

Debe funcionar junto con SIPS para no tener huecos de seguridad.

No es soportado por los proveedores de telefonía IP.

Los fabricantes de los dispositivos SIP aplican diferentes algoritmos para la encriptación, y para la negociación de los mismos.

Algunos dispositivos requieren la implementación de mecanismos para la negociación de llaves de encriptación como MIKEY o ZRTP.

Encriptación de datos en general (OpenVPN)

OpenVPN

Permite unir diversos dispositivos de una organización, ubicados en lugares distintos, a través de un medio inseguro (internet), manteniendo la confidencialidad de los datos transmitidos.

OpenVPN: Ventajas

Se puede implementar en dos modos básicos, capa 2 y capa 3.

En el firewall, que protege la red, se requiere abrir un solo puerto que escuche las conexiones.

Las conexiones OpenVPN se pueden realizar a través de casi cualquier firewall. También posee soporte para proxy.

No existe problema con NAT.

OpenVPN: Ventajas

Se pueden implementar reglas de firewall para limitar el acceso a recursos a los usuarios conectados a través de OpenVPN.

Muchos fabricantes están desarrollando hardware con clientes OpenVPN integrados.

El tráfico VoIP (SIP + RTP) se envía a través del túnel VPN.

OpenVPN: Desventajas

No hay estandarización en la forma en que se deben cargar los archivos de configuración y certificados en un cliente.

Escenarios de red

Escenario Ideal

Escenario Recomendado

¿Por qué usar Elastix?

¿Por qué usar Elastix?Elastix soporta TLS para la encriptación de la

señalización SIP y soporta también SRTP para encriptar los datos de una llamada (voz, vídeo, entre otros).

En su sistema operativo base (CentOS 5.9) los paquetes OpenSSL y LibSRTP vienen instalados.

La versión de Asterisk ha sido compilada incluyendo el módulo “res_srtp”.

¿Por qué usar Elastix?Tiene los scripts necesarios para generar

certificados, que serán utilizados tanto por los dispositivos que soportan SIP/TLS como para los dispositivos que se conectaran utilizando OpenVPN.

Los algoritmos de encriptación tanto para SIPS como para SRTP soportados por Elastix, son soportados por la mayoría de dispositivos SIP.

Preguntas y ComentariosVisiten la página web del proyecto Elastix:

www.elastix.org

Visiten mi blog:

Juanelojga.blogspot.com

Hands On

Escenario de Pruebas

Prueba 1: Llamada sin encriptación

Prueba 1: Llamada sin encriptación

Prueba 1: Llamada sin encriptación

Prueba 1: Llamada sin encriptación

Prueba 1: Llamada sin encriptación

Prueba 2: Llamada con encriptación de multimedia SRTP

Prueba 2: Llamada con encriptación de multimedia SRTP

Prueba 2: Llamada con encriptación de multimedia SRTP

Prueba 3: Llamada encriptada

Prueba 3: Llamada encriptada

Prueba 3: Llamada encriptada

Prueba 3: Llamada encriptada

Prueba 4: Llamada a través de túnel OpenVPN