Professional Documents
Culture Documents
Abstract—. The present article, is the result of having carried II. METODOLOGÍA
out an analysis of the vulnerabilities in the net (VoIP), of
Isidro Ayora Hospital of Loja city, as well as, the Durante el desarrollo del proyecto, se aplicó las
configuration of the supplier (VoIP), in which the protocol of metodologías (OSSTMM) y (OCTAVE), que están
security is implemented (TLS), with the purpose of enfocadas al análisis de vulnerabilidades de la red y el
counteracting the opposing vulnerabilities, therefore, there is análisis de los riesgos, dentro de una organización. [3],
a channel calculated for the phone communications that are [4]. [5].
carried out in the institution, this way settles down you to
protect the integrity of the transmitted information, among the La metodología (OCTAVE) está diseñada para el
users of the technology (VoIP).
análisis y gestión de riesgo que permitió:
Keywords—. Threat, Kali-Linux Asterisk, Estudiar el perfil actual de la red de Datos, del
Confidentiality, Eavesdropping, Integrity, Risk, Security, Hospital Isidro Ayora de Loja.
Vulnerability, (VoIP). Determinar los activos importantes a evaluar.
RESUMEN: El presente artículo, es el resultado de Determinar los perfiles de amenaza para cada
haber realizado un análisis de las vulnerabilidades en la activo.
red (VoIP), del Hospital Isidro Ayora de Loja, así como,
la configuración del servidor (VoIP), en el cual se Realizar la valoración de riesgos.
implementa el protocolo de seguridad (TLS), con la La metodología (OSSTMM) está diseñada para el
finalidad de contrarrestar las vulnerabilidades análisis de vulnerabilidades en la red de datos misma
encontradas, con ello, se establece un canal cifrado para que permitió:
las comunicaciones telefónicas que se realizan en la
Determinar Vulnerabilidades que está expuesta
institución y de esta forma, proteger la integridad de la
la red de (VoIP), del Hospital Isidro Ayora de
información transmitida, entre los usuarios de la
Loja.
tecnología (VoIP).
Aplicar métodos, para el descifrado de
I. INTRODUCCIÓN
contraseñas, con el fin de analizar el grado de
Hoy en día, el Internet es la herramienta más utilizada a fiabilidad de la seguridad en la (VoIP).
nivel mundial y el aumento de aplicaciones a través de la
Testeo de denegación de servicios (DoS), para
web, como el envío de voz, video y datos, han ayudado determinar la operatividad de los equipos del
en el desarrollo de las telecomunicaciones, como es la Hospital.
Voz sobre IP, la cual es un conjunto de normas,
dispositivos y protocolos que permite transportar de Determinar cuál es el enrutamiento de la red de
forma correcta y eficiente la información de voz, en datos, por ende la red de (VoIP), del Hospital
forma digital, utilizando el protocolo (IP). Sin embargo, Isidro Ayora.
a medida que aumenta la utilización de esta tecnología, se
III. RESULTADOS.
hacen más evidentes las vulnerabilidades de la (VoIP),
debido a que se transmiten por Internet o por redes 1. PERFIL ACTUAL DE LA RED DE DATOS.
potencialmente inseguras, la (VoIP), hereda las
vulnerabilidades que suelen darse en una red de datos, por La descripción del perfil actual, se basa en la
ello, es importante tener una buena seguridad en la red y esquematización de la información obtenida, mediante la
adicionalmente establecer políticas de seguridad, para la observación directa, la documentación existente del
transmisión de la voz, por el protocolo (IP). [1], [2]. diseño de la red y la configuración de los equipos; la red
1
está conformada por equipos de networking, como un 2. FASE 1. REUNIÓN DE ACTIVOS Y PERFILES
router (ISP), firewall, switch de capa 2 y 3 para el core, DE AMENAZA
equipos terminales como: servidores, estaciones de
La primera fase de la metodología (OCTAVE), describe
trabajo y teléfonos.
la reunión de activos de la infraestructura, identificados
en la base de información y el perfil de la red, sobre los
cuales, se realiza los perfiles de vulnerabilidades.
COMUNICACIONES.
La central (PBX), los terminales (teléfonos) y todo el
sistema de (VoIP), son de vital importancia por ser el
medio utilizado, para realizar la reservación de
Fig. 1 Diseño de la configuración de la red de datos.
turnos, de los pacientes del Hospital, además, es el
Fuente: El Autor.
medio de comunicación entre todos los usuarios de
1.1. Diseño de la estructura de red. los departamentos de la mencionada institución.
La red cuenta con un modelo jerárquico, donde se 2.2. Proceso 2. Perfil de amenazas de seguridad de los
establece las (ACL) y las (VLAN), su núcleo y los activos.
principales equipos, están diseñados en una topología en
En la tabla, se detalla una serie de amenazas, con las
estrella, que posee un cableado estructurado (UTP 5e),
cuales se puede llegar a convertirse en potenciales
con un aproximado de 200 puntos, de los cuales, 106 son
vulnerabilidades para la institución.
destinados a los puntos de la red de datos y 96 para puntos
de voz. Tabla 2: Posibles amenazas en la red de VoIP del Hospital.
ACTIVOS AMENAZAS
1.2. Software necesario para la pruebas de
COMUNICACIONES
2
3.2. Proceso 4. Evaluación de los componentes claves. 1.1.2 Enumeración de puertos en los equipos de
Para realizar la evaluación de los componentes se utilizó red.
la metodología (OSSTMM), Escáner SNY a los puertos TCP por defecto.
A). SEGURIDAD EN LAS TECNOLOGÍAS DE [nmap –sS –iL/root/Desktop/IP-Equipos-Red]
INTERNET.
Escáner de puertos (UDP), por defecto.
1. SONDEO DE RED.
[nmap –sU –iL /root/Desktop/IP-Equipos-Red]
Para realizar este test, se hace de las herramientas de la
plataforma Kali Linux. En los equipos de red, se encontró el puerto 161 abierto
el cual puede ser utilizado, para obtener información de
1.1. Enumeración de puertos
los equipos, mediante software de enumeración.
Esta actividad permite conocer los puertos (TCP) y
(UDP), que se encuentran abiertos, filtrados o cerrados en 1.2. Identificación de servicios
el servidor (VoIP), para posteriormente descubrir las
La mayoría de ataques en los equipos y servidores de la
vulnerabilidades a las que se encuentran expuestos. Las
red, se deben a las vulnerabilidades que presentan las
direcciones (IP), de los servidores y puertas de enlaces de
aplicaciones o servicios, ya sea, por defectos en la
los equipos se encuentran agrupados en los archivos (IP-
configuración e implementación, o por las versiones
Servidores, IP-Equipos-Red), por motivos de seguridad,
desactualizadas, cuya información suele ser útil, para los
para realizar el escáner, los comandos son los siguientes:
atacantes, porque pueden reconocer los exploits, para
1.1.1 Enumeración de puertos en los servidores. cada una de las vulnerabilidades encontradas, en las
Escáner SNY, a los puertos TCP por defecto. versiones de servicios y/o aplicaciones.
[nmap –sS –iL /root/Desktop/IP-Servidores] 1.2.1 Identificación de servicios de los equipos de
red y los servidores
La identificación de servicios, en los servidores, se lo
realizó por cada uno de los puertos, enumerados en el
escáner (SNY), el comando utilizado es el siguiente.
[nmap –v –A –T4 –iL /root/Deskop/IP-Servidores]
[nmap –v –A –T4 –iL /root/Desktop/Equipos-red]
3
1.4. Búsqueda y verificación de vulnerabilidades. Para la ejecución de esta técnica, se requiere un
diccionario, con el fin de efectuar las combinaciones
En la siguiente sección, se realiza la búsqueda de necesarias, hasta descubrir usuarios y contraseñas
vulnerabilidades, en los sistemas mencionados, que correctas.
permitirá corroborar la información descrita, para ello se
[hydra 10.x.x.x –L /root/Desktop/diccionario.txt
podrá utilizar herramientas libres como pagadas como –P /root/Desktop/diccionario.txt –e ns –f http
por ejemplo Nessus 6 o Kali Linux. [9]. get/en/login.html]
La siguiente imagen corresponde a un test realizado al En este apartado, se identifica los sistemas que son
servidor de VoIP del Hospital Isidro Ayora de Loja. vulnerables a ataques de degeneración de servicios, para
ello existen dos formas de hacerlo:
4
La voz transmitida es almacenada en tres archivos con En el recuadro amarillo se observa el mensaje de
formato .wav, tanto de emisor como del receptor. La respuesta (180 Ringing), “el terminal está
existencia de teléfonos en la (VLAN), de datos, permite timbrando”.
fácilmente la intercepción de llamadas.
En el recuadro de color violeta se acepta la
comunicación, y se retransmite un mensaje de
respuesta (200OK), “atendí la llamada”.
5
Luego del análisis realizado finalmente se presenta las solventar estos incidentes y evitar la interrupción de sus
vulnerabilidades a las que está expuesta la red de (VoIP), servicios, por ende, las actividades propias de la
del Hospital Isidro Ayora de Loja. institución, significa una pérdida económica, caos entre
los usuarios y desprestigio para la casa de salud, al verse
Tabla 5: Lista de vulnerabilidades en la red VoIP.
perjudicada por dichos incidentes. [5], [10].
ATAQUE DESCRIPCIÓN
Puertos El servidor Asterisk (VoIP), cuenta puertos Tabla 6: Ataques con mayor incidencia en redes (VoIP).
innecesario abiertos producidos debido a la
s abiertos. configuración por defecto de Asterisk ACTIVOS DE COMUNICACIÓN
Descifrado La red (VoIP) es propensa a un descifrado Amenazas P I R
de de contraseñas por contar con contraseñas
contraseña por defecto o fáciles de descifrar, Puertos Revelación 2 4
por fuerza producidas por la configuración por innecesarios 2 Pérdida –Destrucción 1 2
bruta defecto de la central Elastix. abiertos Interrupción 2 4
Firewall El firewall de Elastix se encuentra Descifrado de Revelación 3 9
deshabilita deshabilitado, por lo que el servidor esta
contraseñas 3 Pérdida –Destrucción 1 3
do propenso a infinidad de ataques.
La red (VoIP) actualmente cuenta con el Interrupción 2 6
Análisis de protocolo (SIP sin TLS) lo que facilita la Revelación 3 6
tráfico captura de paquetes, de los cuales se puede Firewall 2 Pérdida-Destrucción 2 4
(VoIP) obtener los hash (MD5), de las deshabilitado Interrupción 3 6
contraseñas. Mediante el uso de una de las
múltiples herramientas que existen. Revelación 2 4
Análisis de
La red (VoIP), está expuesta a ataques de 2 Pérdida-Destrucción 2 4
tráfico (VoIP)
(DoS), por inundación (flooding), mismos Interrupción 2 4
Denegación que afectan la operatividad y los servicios, Revelación 1 2
de servicios estos ataques incluyen la inundación de Denegación de 2 Pérdida –Destrucción 2 4
(DoS) dispositivos telefónicos, con una serie de servicio
andanadas de paquetes (TCP), Interrupción 3 6
(SNY/UDP). Revelación 3 9
El servidor de (VoIP) del Hospital es (Eavesdroppi 3 Pérdida-Destrucción 2 6
(Eavesdrop propenso a ataques Eavesdropping tal ng) Interrupción 2 6
ping) como se lo demuestra en la captura de
audio de las llamadas a esta técnica Fuente: El Autor.
también se la denomina Man-in-the-
Middle (MitM). 4.1.1. Contramedidas para las vulnerabilidades
Fuente: El Autor. encontradas.
Una vez conocidas cuales son las vulnerabilidades que se
4. FASE 3: DESARROLLAR UNA ESTRATEGIA
encontraron en la red (VoIP), del Hospital Isidro Ayora
Y PLANES DE SEGURIDAD.
es necesario definir las contramedidas que se pueden
En esta fase, se desarrolla un análisis, para identificar el implementar, para poder mantener el sistema seguro, sin
nivel de riesgos de activos críticos, ante las amenazas olvidar que ninguno hará que el sistema tenga la
identificadas y en base a este, plantear las estrategias seguridad total deseada.
eficientes y necesarias para mitigar el riesgo.
Tabla 7: Ataques que se generan en la red de VoIP.
4.1. Proceso 5. Realizar un análisis de riesgo. ATAQUE DESCRIPCIÓN
Puertos La solución más apropiada en este caso es
El análisis de riesgos, se determina la rigurosidad de las innecesario cerrar los puertos innecesarios, podemos
amenazas y su impacto sobre los activos, en base a s abiertos. realizarlos a través de la configuración
criterios de evaluación: probabilidad y consecuencia. manual de iptables o con la herramienta
Mismos que se calculan mediante la siguiente formula: firewall de Elastix.
Para dar solución a esta vulnerabilidad se
Descifrado
𝑅𝑖𝑒𝑠𝑔𝑜 = 𝑃𝐴 ∗ 𝑀𝐷 debe cambiar los parámetros del archivo de
de
PA = Probabilidad de Amenaza. configuración “sip.conf”, y se debe
contraseña
establecer contraseñas más robustas con un
Md Magnitud de Daño. s (fáciles o
mínimo de 8 dígitos, combinados entre letras,
intuitivas).
A continuación, se realiza una valoración de los ataques números y caracteres especiales.
encontrados en la red (VoIP), del Hospital, con el fin de
6
Debido a que la central brinda un módulo de array($account,’permit’,$db>escapeSimple((isset
Firewall seguridad que incluye un Firewall es evidente ($_REQUEST[‘permit’]))?$_REQUEST[‘permit’]:’’),
$flag++),
deshabilita y lógico que deberíamos usarlo para
do protegernos de una infinidad de ataques. A continuación de estas líneas se debe ingresar el
Para dar solución a este inconveniente se siguiente código:
(Eavesdrop debe implementar protocolos de seguridad
array($account,’encryption’,$db>escapeSimple((i
ping) (TLS o IPSec) los cuales garantizan la sset($_REQUEST[‘allow’]))?$_REQUEST[‘allow’]:’’
integridad de la información debido a que se ),$flag++),
transmiten por canales cifrados de array($account,’transport’,$db>escapeSimple((is
comunicación. set($_REQUEST[‘allow’]))?$_REQUEST[‘allow’]:’’)
La solución a esta vulnerabilidad se ,$flag++),
contrarresta con la implementación de
Luego en la línea 6014, del mismo archivo se tiene:
captura de protocolos de seguridad ya que actualmente
tráfico los paquetes no cuenta con seguridad alguna, $tmparr[‘deny’] = array(‘value’ =>
(VoIP) es decir, el texto se transmite por el protocolo ‘0.0.0.0/0.0.0.0’=> 1);
$tmparr[‘permit’] = array(‘value’ =>
(SIP sin TLS) lo que facilita la captura de
‘0.0.0.0/0.0.0.0’=> 1);
paquetes, de los cuales se puede obtener los
hash (MD5), de las contraseñas, mediante el A continuación se agrega el siguiente código:
uso de una de las múltiples herramientas que
$tmparr[‘encryption’] = array(‘value’ => ‘no’,
existen.
‘level’ => 1);
El (DoS), se genera por las vulnerabilidades $tmparr[‘transport’] = array(‘value’ => ‘udp’,
descritos en los ítems anteriores, debido a ‘level’ => 1);
ello las soluciones son las mismas que se
Denegació utilizan para contrarrestar los ataques de los Con esto, se ha agregado dentro del archivo
n de ítems anteriores, además de ellos debe sip_additional, los campos encryption y transport que
servicios configurar o descargar la herramienta son utilizados, para la configuración de extensiones.
(DoS) FAIL2BAN misma que actúa penalizando o
bloqueando las conexiones remotas que Se modifican los archivos /etc/hosts, asignando una
intentan accesos por fuerza bruta (IP) a un dominio, y el archivo /etc/sysconfig/network
Fuente: El Autor. en el cual se cambia el campo networking = no, por yes,
finalmente en el hostname, se debe ingresar la (IP) o
4.2. Proceso 6. Desarrollo de la estrategia de dominio tal como se indica continuación:
protección.
En esta sección se procede a realizar cada una de ellas
para poder contrarrestar o solucionar dichos incidentes,
de esta forma solventar esta brecha de seguridad existente
en la red (VoIP),
7
mencionada), ejecutando el siguiente comando: Una vez dentro, se debe ir a la sección Tools (ubicada en
. /ast_tls_cert –d certs –C 10.x.x.x –o
la esquina superior izquierda) -> Asterisk SIP Settings,
tesis.hial.com desde aquí, se pueden editar las configuraciones
generales para SIP. Una vez hecho esto, aparece la
Para el certificado de autorización, se debe crear una siguiente ventana, donde se debe configurar la (IP), de
clave para los siguientes archivos: ca.key, ca.crt, salida (IP pública), la máscara y la red a la cual se está
tesis.hial.com.pem, tesis.hial.com.crt conectado tal como se indica en la figura 8.
Implementación del protocolo (TLS) en Elastix. Fig. 11 Escucha del puerto 5061 en el servidor Asterisk.
Para aplicar las modificaciones realizadas, se ingresa a Fuente: El Autor.
Elastix y se habilita el acceso al FreePBX no embebido, Para habilitar el soporte (TLS), en una extensión, el
esto se hace en la pestaña Security -> Advanced Options campo transport se debe cambiar “UDP” por “TLS”, en el
-> Enable access to FreePBX -> ON, para habilitar este campo encriptación se debe cambiar “no” por “yes”.
campo se requiere de una autenticación, es necesaria para
loguearse en la FreePBX. Para ingresar en la (FreePBX), 4.2.2. Creación de certificados para clientes.
se lo hace desde una nueva pestaña del navegador,
Para crear certificados, de las extensiones locales se
https://10.x.x.x/admin.
hace lo siguiente:
#sh /usr/share/doc/asterisk-
1.8.20.0/contrib/scripts/
ast_tls_cert –m client –c
/etc/asterisk/keys/ca.crt –k
/etc/asterisk/keys/ca.key –C 10.x.x.x:3000 –O
“PRUEBA1” –d /etc/asterisk/claves/ -o 3000
8
TLS. Luego se activa (SRTP), en Account -> Cuenta 1 - uno de ellos con la extensión .pub, este se debe copiar a
> Advanced -> Voice Encryption (SRTP) -> On. la maquina remota y se debe activar la autenticación por
clave en el servidor con el siguiente comando
.ssh/authorized_keys para hacer valida esta
autenticación se desactiva el campo permit login no,
tal como se muestra en la siguiente imagen:
9
Para ello se abrir el archivo denominado jail.local dentro Se deja pasar todo el tráfico en entrada destinado a
de los repositorios de fail2ban con el siguiente comando: los puertos udp que van de 10000 a 20000, tráfico
#vim /etc/fail2ban/jail.local en este debe ser (RTP):
configurado como se muestra en la imagen 13.
iptables -A INPUT -p udp –dport 10000:20000
-j ACCEPT
4.2.5. Activación del firewall de Elastix
Una vez establecidos todos los puertos necesarios para
Elastix cuenta con un firewall basado en Linux Asterisk, se rechaza el resto de tráfico:
(IPTABLES), donde se pueden configurar reglas de
iptables -A INPUT -j REJECT
seguridad, para minimizar el riesgo de accesos indebidos iptables -A FORWARD -j REJECT
al servidor, así como restringir las redes IP que tendrán
acceso a los servicios de telefonía que el servidor Elastix Comprobamos las reglas creadas y las guardamos:
provee para ingresar damos clic en la pestaña -> Security, iptables -L
luego aparece la pantalla del Firewall, damos clic en la service iptables save
service iptables start
opción -> Activate Firewall. En el cual todas las reglas
están numeradas y activas para permitir todo. Para terminar hay que configurar Asterisk para que use
los puertos (UDP) desde 10000 hasta 20000 para el
Se debe editar las siguientes reglas: 10 (SSH), 12 (HTTP) protocolo (RTP): para ello se modifica el archivo de
y 15 (HTTPS). Lo que se pretende con esta configuración configuración del (RTP): sudo vim
es permitir el acceso únicamente desde una sola dirección /etc/asterisk/rtp.conf
(IP), se ingresa la dirección (IP) y la máscara de subred.
10
estas no son las únicas soluciones posibles y que no habrá
medida de seguridad que brinde el 100%, de fiabilidad,
pero existen métodos para corregir estas vulnerabilidades.
Los procesos de la metodología (OCTAVE) permiten
llevar a cabo un proceso minucioso y sistemático,,
mientras que la metodología (OSSTMM) dice como se
tiene que realizar una evaluación de seguridad, razón por
la cual resulta satisfactorio la fusión de estas dos
tecnologías, ya que juntas permiten realizar una
evaluación completa a los activos de una organización.
Por medio de estas metodologías se conoció los puntos
críticos en la red (VoIP) y se supo cómo evaluarlos, de
Fig. 18 Cuerpo del protocolo TLS. esta forma se determinó la probabilidad de amenazas y
Fuente el Autor (2015) los ataques a los que están sujetos estos activos, luego se
los clasifica de acuerdo a la magnitud e impacto; los
Luego de varios intentos se capturara una llamada la cual riesgos más altos son utilizados para determinar una
no se escuchar ningún audio, ya que el audio puede ser estrategia de seguridad cuyo fin es contrarrestar dicha
decodificado por la extensión de la dirección de destino vulnerabilidad y evitar ataques que puedan degradar el
cuyo certificado de seguridad es asignado desde el servicio de la tecnología (VoIP).
servidor al cliente.
IV. BIBLIOGRAFÍA.
11