Professional Documents
Culture Documents
NACIONAL
DE LOJA
PFC-CIS-002
Implementacin de protocolos de
seguridad para la red VoIP del
Hospital Isidro Ayora de Loja
Autor:
Cristian Leonardo Caldern Ordoez
Autorizado por:
Ing. Juan Carlos Jaramillo Docente de la carrera de Ingeniera en Sistemas.
Fecha de actualizacin:
05 de Agosto del 2015
LOJA- ECUADOR
2015
AGRADECIMIENTO
Mi agradecimiento profundo primeramente a mi Dios, quien ha sido mi gua por los
senderos de la vida, a mis padres, mi esposa y familiares quienes con sus palabras de
aliento, y sabios consejos han contribuido en la formacin de mi carcter y as
convertirme en persona de bien y un servidor de nuestra sociedad.
Al Ing. Carlos Miguel Jaramillo Castro. Director del presente trabajo de fin de carrera y
amigo incondicional, le estoy eternamente agradecido por el apoyo absoluto y
entusiasmo ya que fue el quien me motivo para seguir adelante, a travs de sus
directrices consejos y enseanzas.
DEDICATORIA
II
CESIN DE DERECHOS
Cristian Leonardo Caldern Ordoez, autor intelectual del presente proyecto de fin de
carrera, autoriza a la Universidad Nacional de Loja, rea de la Energa, las Industrias y
los Recursos Naturales no Renovables, Carrera de Ingeniera en Sistemas; hacer uso
del mismo en lo que estimen conveniente.
____________________________________
Cristian Leonardo Caldern Ordoez.
III
A.TITULO.
-1-
B.RESUMEN.
En el presente trabajo de fin de carrera est orientado a realizar un anlisis de amenazas
que afectan a las redes de VoIP, aprovechando cualquier debilidad de la red, para ellos se
escaneara la red con la finalidad de encontrar los equipos que la conforman, as como las
extensiones con la que dispone la PBX (central telefnica IP), utilizando herramientas
informticas como los (sniffers), las cuales determinaran que debilidades existen actualmente
en la red, para lograr este objetivo se trabaja sobre un escenario de pruebas en la que dos
mquinas conetadas a la PBX se comunican entre s, y una tercera maquina intrusa que ha
logrado ingresar a la red, capturara la comunicacin establecida entre los atacados, logrando
as grabar las llamadas que se establecen entre las dos vctimas, utilizando la tcnica de
eavesdropping, la cual tiene como objetivo interceptar datos de una transmisin de manera
no autorizada.
Para el desarrollo del presente proyecto se utilizaron metodologias como la OSSTMM (Manual
de Tecnologa Abierta de Testeo de Seguridad), ya que esta es una de las mas utilizadas para
la bsqueda y verificacion de vulnerabilidades en las redes que disponen de una coneccion a
intertet, junto con la distribucin de Kali Linux (GNU/LINUX), siendo este un sistema operativo
que cuenta con un signumero de herramientas especializadas para pruebas de seguridad o
lo que se conoce como ethical hacking; asi mismo para el anlisis y gestin de riesgos se
utiliz la metodologa OCTAVE (Evolucin entre Vulnerabilidades y Amenazas desde el punto
de vista Operativo Crtico y Activo) con el fin de clasificar el nivel de riesgos segn la
vulneravilidades que fueron encontradas red de telefona IP del Hospital Isidro Ayora de
Loja.
Luego se realizo una comparacion de los diferentes protocolos de seguridad, como son
SSL/TLS e IPSEC, con el fin de escoger el protocolo con las mejores caracteristicas segn
las nececidades de la red, ademas que sea este quien cubra las vulenrabilidades que
actualmente presenta la red de VoIP. Finalmente se implemento el protocolo de seguridad
IPSEC por ser el que mejor se adapta a la red y se realizo las pruebas del caso resultando
exitosa la configuracion ya que se cubrio todas las vulnerabilidades clasificadas con el riesgo
mas alto.
Para el anlisis del caso de estudio fue necesario de entrevistas con el Administrador de la
red adems se realizaron algunas encuestas a los usuarios de esta tecnologa, con la finalidad
-2-
SUMMARY
In this paper limit switch is oriented to an analysis of some threats to VoIP networks, taking
advantage of any weakness of the network, the network will be scanned, in order to find
devices that comprise, as well as with extensions available to the PBX (PBX IP) using tools
(sniffers) which will determine that the weaknesses currently exist in the network and it works
on stage where two machines PBX communicate with each other, and a third intruder machine
that has managed to enter the network capture communication is established between the
attacked, achieving record calls that are established between the two victims, using the
technique of eavesdropping, which aims to intercept data transmission unauthorized manner.
Finally security measures are implemented to prevent attacks on the IP telephony network of
Isidro Ayora Hospital Loja, for which has been determined in the analysis phase methodologies
as OSSTMM (Open Manual Testing Technology Security) for the search for vulnerabilities, the
distribution KaliLinux (GNU / Linux), for analysis and risk management the OCTAVE
methodology was used (Evolution between vulnerabilities and threats from an operational point
of view critical and active) and in the implementation phase use Free software tools for network
security of VoIP.
For the analysis of the case study was necessary interviews with the network administrator
also some surveys users of this technology were made, in order to understand the components
of it that is how it is configured and distributed hardware and software necessary for the service
of this technology, distribution and PBX extensions, IP addressing VLANs and ACLs for
-3-
prioritization of voice traffic. Once known configuration and components of VoIP proceeded to
identify vulnerabilities and the types of threats that can occur because of them, the same way
an investigation of security measures (protocols) that can be performed implement VoIP
network in order to eliminate these vulnerabilities and thus prevent attacks or penetrations to
the network and therefore the transit information in telephone communications of the
institution.
-4-
GLOSARIO DE TRMINOS.
A
ACK ACKNOWLEDGEMENT.
ACL Access Control List.
AH Authentication Header.
ARP Address Resolution Protocol.
B
BPDU Bridge Protocol Data Units.
BW Bandwidth.
C
CAM Content Addressable Memory.
CIA Confidentiality, Integrity, Availability.
CPU Central Processing Unit.
CRC Cyclic Redundancy Check.
CUCM Cisco Unified Communications Manager.
CUPS Cisco Unified Presence Server.
D
DDoS Distributed Denial of Service.
DES Data Encryption Standard.
DH Diffie Hellman.
DHCP Dynamic Host Configuration Protocol.
DMZ Demilitarized Zone.
DoS Denial of Service.
DTP Dynamic Trunk Protocol.
E
ESP Encapsulating Security Payload.
F
FXO Foreign Exchange Office.
FXS Foreign Exchange Station.
H
H323 Recommendation Del ITU-T.
-5-
I
IAX2 Inter-Asterisk eXchange protocol v2.
ICMP Internet Control Message Protocol.
IDS Intrusion Detection System.
IETF Internet Engineering Task Force.
IKE Internet Key Exchange.
IOS Internetwork Operating System.
IP Internet Protocol.
IPS Intrusion Prevention System.
IPsec Internet Protocol Security.
ISL Inter-Switch Link.
ITU International Telecommunication Union.
L
LAN Local Area Network.
M
MAC Media Access Control.
Megaco Media Gateway Control Protocol o H248.
MG Media Gateway.
MGC Media Gateway Controller.
MGCP Media Gateway Control Protocol.
MIKEY Multimedia Internet KEYing.
MIME Multipurpose Internet Mail Extensions.
MKI Master Key Identifier.
MPLS Multi-protocol Label Switching.
N
NAT Network Address Translation.
NDP Neighbor Discovery Protocol
NBIPX NetBIOS sobre IPX
P
PBX Private Branch Exchange.
-6-
Q
QoS Quality of Service.
R
RAM Random Access Memory.
RAS Registration Admission Status.
RFC Request for Comments.
RSA Rivest, Shamir y Adleman.
RTCP Real-time Transport Control Protocol.
RTP Real-time Transport Protocol.
S
SAS Short Authentication String.
SCCP Skinny Client Control Protocol.
SDES Security Descriptions for Media Streams.
SDP Session Description Protocol.
SER SIP Express Router.
SG Signaling Gateway.
SHA1 Secure Hash Algorithm 1.
SIP Session Initiation Protocol.
SMS Short Message Service.
SMTP Simple Mail Transfer Protocol.
SNMP Simple Network Management Protocol.
SPAM Correo no deseado.
SPIT Spam over Internet Telephony.
SRTP Secure Real-time Transport Protocol.
SS7 Signaling System No 7.
SSH Secure Shell.
SSL Secure Sockets Layer.
STP Spanning tree Protocol.
T
TCP Transmission Control Protocol.
TFN Tribe Flood Network.
-7-
U
UDP User Datagram Protocol.
UMTS Universal Mobile Telecommunications System.
URL Uniform Resource Locator.
V
VLAN Virtual Local Area Network.
VLT Virtual LAN Trunk.
VoIP Voice over IP.
VPN Virtual Private Network.
Z
ZRTP Media Path Key Agreement for Unicast Secure RTP.
-8-
NDICE DE CONTENIDOS
TABLA DE CONTENIDO
AGRADECIMIENTO......................................................................................................................... I
DEDICATORIA.................................................................................................................................. II
CESIN DE DERECHOS ............................................................................................................. III
A.
TITULO................................................................................................................................ - 1 -
B.
RESUMEN. ......................................................................................................................... - 2 -
INTRODUCCIN. .......................................................................................................... - 20 -
D.
1.
1.1.
2.
2.1.
2.2.
PROTOCOLOS VOIP................................................................................................ - 23 -
2.3.
2.3.1.
2.3.2.
24 -
2.3.3.
2.3.4.
2.4.
PROTOCOLOS DE SEALIZACIN..................................................................... - 25 -
2.4.1.
H. 323....................................................................................................................... - 25 -
2.4.2.
2.4.3.
2.4.4.
2.5.
ESTANDARES VOIP................................................................................................. - 27 -
2.6.
2.6.1.
ASTERISK............................................................................................................... - 28 -
2.6.2.
ELASTIX.................................................................................................................. - 29 -
2.6.3.
TRIXBOX. ................................................................................................................ - 30 -
2.6.4.
ASTERISKNOW..................................................................................................... - 30 -
2.6.5.
2.7.
3.
3.1.
CONFIDENCIALIDAD............................................................................................... - 31 -
3.2.
INTEGRIDAD. ............................................................................................................. - 32 -
3.3.
DISPONIBILIDAD. ..................................................................................................... - 32 -
3.4.
4.
4.1.
4.2.
4.3.
FUZZING. .................................................................................................................... - 33 -
4.4.
4.5.
ACCESOS NO AUTORIZADOS.............................................................................. - 34 -
4.6.
4.7.
INTERCEPTACIN (EAVESDROPPING)............................................................. - 34 -
4.8.
4.9.
VISHING. ..................................................................................................................... - 35 -
4.10.
RESUMEN............................................................................................................... - 35 -
5.
5.1.
TERMINALES............................................................................................................. - 36 -
5.1.1.
5.1.2.
5.1.3.
5.2.
5.3.
5.4.
RESUMEN................................................................................................................... - 38 -
6.
PROTOCOLOS VOIP Y SUS VULNERABILIDADES (CAPA DE SESION Y
TRANSPORTE).............................................................................................................................. - 39 6.1.
6.1.1.
6.1.1.1.
6.1.1.2.
6.1.2.
6.1.2.1.
6.1.2.2.
6.1.2.3.
6.1.3.
6.2.
6.2.1.
6.2.1.1.
6.2.1.2.
6.2.1.3.
6.2.2.
42 -
6.3.
6.3.1.
6.3.1.1.
6.4.
6.4.1.
6.4.1.1.
6.4.2.
6.4.2.1.
6.4.2.2.
6.4.2.3.
6.4.2.4.
ATAQUE HANGUP............................................................................................ - 44 -
6.5.
-
7.
7.1.
7.2.
8.
8.1.
8.2.
8.3.
8.4.
RESUMEN................................................................................................................... - 47 - 11 -
8.5.
8.6.
9.
48 9.1.
9.2.
10.
10.1.
10.2.
11.
11.1.
SEGURIDAD FSICA............................................................................................. - 55 -
11.2.
11.3.
PROTOCOLOS DE SEGURIDAD............................................................................... - 59 -
12.
12.1.
12.2.
E.
MATERIALES Y MTODOS...................................................................................... - 65
RECURSOS .................................................................................................................... - 65 -
METODOLOGAS .......................................................................................................... - 68 -
F.
RESULTADOS. ............................................................................................................... - 74 -
1.
1.3.
1.3.1.
1.3.1.1.
RUTEADORES Y SWITCHES......................................................................... - 77 -
1.3.1.2.
SERVIDORES..................................................................................................... - 78 -
1.3.2.
ESTACIONES DE TRABAJO.............................................................................. - 79 -
1.3.3.
TELFONOS VOIP................................................................................................ - 79 -
1.3.4.
1.3.5.
1.3.5.1.
1.3.5.2.
1.3.5.3.
1.3.5.4.
1.3.5.5.
1.3.5.6.
2.
2.1.
2.2.
-
3.
FASE 2. IDENTIFICACION EN LA INFRAESTRUCTURA DE LA RED DE VOIP
DEL HOSPITAL ISIDRO AYORA DE LOJA............................................................................ - 89 3.1.
3.2.
3.2.1.
1.
1.1.
ENUMERACIN DE PUERTOS.............................................................................. - 93 -
1.2.
1.3.
1.4.
1.4.1.
1.4.2.
IDENTIFICACIN DE SERVICIOS DE LOS EQUIPOS DE RED............... - 100 IDENTIFICACIN DE SISTEMAS OPERATIVOS ............................................. - 102 -
1.5.
2.1.
2.2.
2.3.
3.
ENRUTAMIENTO......................................................................................................... - 106 -
4.
3.2.2.
3.2.3.
4.
4.1.
4.1.1.
4.1.2.
6.
G.
DISCUSIN.................................................................................................................... - 125 -
1.
2.
2.1.
H.
CONCLUCIONES......................................................................................................... - 129 -
I.
J.
BIBLIOGRAFIA............................................................................................................. - 131 -
K.
ANEXO C.
ANEXO D.
ANEXO 1.
ANEXO 2.
ANEXO 3.
ANEXO 4.
- 14 -
- 15 -
NDICE DE TABLAS.
Tabla 1: Resumen conceptos de seguridad .......................................................................................................- 32 Tabla 2: Amenazas de seguridad VoIP ..............................................................................................................- 35 Tabla 3: Vulnerabilidades capa de aplicacin ...................................................................................................- 38 Tabla 4: Vulnerabilidades capa de sesin y transporte .....................................................................................- 44 Tabla 5: Ataques al protocolo IP........................................................................................................................- 46 Tabla 6: Vulnerabilidades capa de red ..............................................................................................................- 46 Tabla 7: Vulnerabilidades capa de enlace .........................................................................................................- 47 Tabla 8: Comparativa entre las metodologas ms usadas en seguridad de redes...........................................- 50 Tabla 9: Cuadro comparativo de las metodologas de anlisis de riesgos. .......................................................- 53 Tabla 10: Talentos Humanos ............................................................................................................................. - 65 Tabla 11: Herramientas tecnolgicas y Equipo informtico..............................................................................- 65 Tabla 12: Servicios secundarios .........................................................................................................................- 66 Tabla 13: Total e Imprevisto. ............................................................................................................................. - 66 Tabla 14: Lista de Routers y Switchs del Hospital Isidro Ayora de Loja ............................................................. - 78 Tabla 15: Servidores de la Red de Datos del Hospital Isidro Ayora de Loja. .....................................................- 78 Tabla 16: Lista de extensiones de la PBX del Hospital. ......................................................................................- 80 Tabla 17: Distribucin de VLANs switch Core. ...................................................................................................- 82 Tabla 18: Configuracin de puertos Switch Core. ............................................................................................. - 84 Tabla 19: Asignacin de direccin IP a los servidores de la Red. ......................................................................- 84 Tabla 20: Lista de problemas encontrados en la Institucin .............................................................................- 87 Tabla 21: Activos Crticos de Hardware. ............................................................................................................- 88 Tabla 22: Activos Crticos de Software. .............................................................................................................- 88 Tabla 23: Posibles amenazas en la red de VoIP del Hospital Isidro Ayora.........................................................- 89 Tabla 24: Comparacin de Herramientas para escaneo de la red....................................................................- 91 Tabla 25: Comparacin de Herramientas para obtencin de extensiones. ......................................................- 91 Tabla 26: Comparacin de Herramientas para captura de datos. ...................................................................- 92 Tabla 27: Herramientas elegidas para el objeto de estudio. .............................................................................- 92 Tabla 28: Componentes claves de los componentes claves de la red ................................................................ - 92 Tabla 29: TCP Three Way Handshake (SNY, SNY-ACK, ACK) ..............................................................................- 94 Tabla 30: Enumeracin de puertos al servidor de Voz.......................................................................................- 96 Tabla 31: Enumeracin de puertos TCP y UDP de equipos de red ....................................................................- 98 Tabla 32: Enumeracin de servicios en el servidor de voz ..............................................................................- 100 Tabla 33: enumeracin de servicios en servidor de VoIP .................................................................................- 101 Tabla 34: Enumeracin de sistemas en Equipos de Red y Servidores .............................................................. - 103 Tabla 35: lista de vulnerabilidades en el servidor de Voz ................................................................................- 104 Tabla 36: tabla de enrutamiento Switch 3Com1. ............................................................................................ - 107 Tabla 37: Tabla de enrutamiento Switch 3Com2............................................................................................. - 107 Tabla 38: resumen de os ataques a los que est expuesta la red de datos del hospital Isidro Ayora de Loja.- 116 Tabla 39: Criterios de valorizacin de probabilidad de amenazas. .................................................................- 116 Tabla 40: Criterios de evaluacin de probabilidad de amenaza. .....................................................................- 117 Tabla 41: Valoracin del riesgo .......................................................................................................................- 118 Tabla 42: Anlisis de riesgos activos de comunicacin....................................................................................- 118 Tabla 43: Valoracin de riesgo de los ataques con mayor incidencia en las redes VoIP .................................- 120 Tabla 44: Comparacin de ataques entre los expuestos en la red del Hospital con los de la VoIP .................- 121 Tabla 45: Listado de taques que se dar seguridad en la red de VoIP. ...........................................................- 122 Tabla 46: Camparativa de los protocoos de segurdad IPSec y TLS ..................................................................- 123 Tabla 47: Protocolo ideal para la implemetcion de VoIP.................................................................................- 123 -
- 16 -
Tabla 48: evaluacion de los objetivos planteados ...........................................................................................- 125 Tabla 49: Presupuesto de los valores de talento humano. ..............................................................................- 126 Tabla 50: Valoracion de gastos de recursos tecnico de hardware. .................................................................- 126 Tabla 51: Valoracion de recursos de Software ................................................................................................ - 127 Tabla 52: Valorizacin de recursos Materiales................................................................................................ - 127 Tabla 53: Presupuesto final de la investigacion. ............................................................................................. - 127 Tabla 54: Secciones de la Metodologia OSSTMM ...........................................................................................- 143 -
- 17 -
NDICE DE FIGURAS
Ilustracin 1: Topologa de la infraestructura bsica de Red VoIP. -------------------------------------------------------- - 22 Ilustracin 2: Transporte de la voz en redes de paquetes. ------------------------------------------------------------------- - 23 Ilustracin 3: Protocolos de Transporte y Sealizacin de VoIP ------------------------------------------------------------ - 24 Ilustracin 4: Protocolos de sealizacin de VoIP ------------------------------------------------------------------------------ - 25 Ilustracin 5: Probabilidad de amenazas y magnitud de daos ------------------------------------------------------------ - 54 Ilustracin 6: Ventajas y desventajas de los protocolos de seguridad. --------------------------------------------------- - 60 Ilustracin 7: Pila de protocolos IPsec en modo transporte y en modo tnel ------------------------------------------- - 60 Ilustracin 8: IPsec en el establecimiento y proteccin de tneles seguros ----------------------------------------- - 61 Ilustracin 9: Aplicacin del protocolo TLS en la pila TCP/IP----------------------------------------------------------------- - 63 Ilustracin 10: Proceso de OCTAVE ------------------------------------------------------------------------------------------------- - 68 Ilustracin 11: Procesos de la Fase 1 de OCTAVE. ----------------------------------------------------------------------------- - 69 Ilustracin 12: Procesos de la Fase 2 de OCTAVE. ----------------------------------------------------------------------------- - 69 Ilustracin 13: Procesos de la Fase 3 de OCTAVE ------------------------------------------------------------------------------- - 70 Ilustracin 14: Mapa de seguridad OSSTMM. ----------------------------------------------------------------------------------- - 71 Ilustracin 15: Hospital Regional Isidro Ayora de Loja ----------------------------------------------------------------------- - 74 Ilustracin 16: Estructura de procesos del Hospital Isidro Ayora ----------------------------------------------------------- - 75 Ilustracin 17: Estructura Jerrquica del hospital Isidro Ayora. ------------------------------------------------------------ - 76 Ilustracin 18: Bloque de Campo de la red de datos del Hospital Isidro Ayora de Loja------------------------------- - 81 Ilustracin 19: Esquema del mdulo Core de la red de datos del Hospital. ---------------------------------------------- - 81 Ilustracin 20: Diseo de configuracin del mdulo de distribucin.------------------------------------------------------ - 83 Ilustracin 21: Seguridad perimetral Firewall con tres interfaces de red ------------------------------------------------ - 85 Ilustracin 22: Configuracin de interfaces Zentyal Bloque Permetro--------------------------------------------------- - 86 Ilustracin 23: Topologa de la red de datos del Hospital Isidro Ayora de Loja. ---------------------------------------- - 86 Ilustracin 24: IP asignada al equipo de pruebas------------------------------------------------------------------------------- - 93 Ilustracin 25: Enumeracin de puertos TCP de servidores (Escaneo SNY) ---------------------------------------------- - 94 Ilustracin 26 : Enumeracin de puertos TCP de servidores (Escaneo Connect). --------------------------------------- - 95 Ilustracin 27: escaneo de puertos UDP en los servidores.------------------------------------------------------------------- - 95 Ilustracin 28: Enumeracin de puertos TCP en los equipos de red ------------------------------------------------------- - 97 Ilustracin 29: Enumeracin de puertos UDP en los equipos de red------------------------------------------------------- - 97 Ilustracin 30: Identificacin de protocolo de enrutamiento ---------------------------------------------------------------- - 98 Ilustracin 31: Resultados de escaneo de versiones a servidores ------------------------------------------------------ - 100 Ilustracin 32: Resultados de escaneos de versiones a equipos de red ------------------------------------------------- - 101 Ilustracin 33: Identificacin de sistemas en servidores -------------------------------------------------------------------- - 102 Ilustracin 34: Vulnerabilidades en el servidor de VoIP --------------------------------------------------------------------- - 104 Ilustracin 35: Anlisis de vulnerabilidades de los equipos de red ------------------------------------------------------- - 105 Ilustracin 36: Bsqueda de exploit mediante el cdigo CVE en Security Focus-------------------------------------- - 106 Ilustracin 37: Cdigo CVE del Exploit ------------------------------------------------------------------------------------------- - 106 Ilustracin 38: Descifrado de contraseas por fuerza bruta con Hydra.------------------------------------------------ - 108 Ilustracin 39: Descifrado de contraseas por fuerza bruta con medusa ---------------------------------------------- - 108 Ilustracin 40: Esquema de red Test de descifrado de contrasea ------------------------------------------------------ - 109 Ilustracin 41: Activar Sniffing mediante ettercap --------------------------------------------------------------------------- - 109 Ilustrasin 42: Ataque Man in the Middle con Ettercap -------------------------------------------------------------------- - 110 Ilustracin 43: Descifrado de contraseas mediante ataque MIM. Ettercap ----------------------------------------- - 110 Ilustracin 44: Equipos con la misma contrasea ---------------------------------------------------------------------------- - 111 Ilustracin 45: Ataque de (DoS) al servidor de VoIP ------------------------------------------------------------------------ - 112 Ilustracin 46: Ataque2 de (DoS) al servidor de VoIP ---------------------------------------------------------------------- - 112 Ilustracin 47: Captura de paquetes del ataque de (DoS) al servidor de voz. ----------------------------------------- - 113 -
- 18 -
Ilustracin 48: Servidor de Voz colapsado por ataque (DoS). ------------------------------------------------------------- - 113 Ilustracin 49: Zoiper telfono virtual (softphone) --------------------------------------------------------------------------- - 114 Ilustracin 50: Captura de trafico RTP generado por el ataque MiM --------------------------------------------------- - 114 Ilustracin 51: Captura de Llamada con Wireshark-------------------------------------------------------------------------- - 115 Ilustracin 52: Valoracion de la Metodologia OSSTMM -------------------------------------------------------------------- - 142 Ilustracin 53: Mapa grafico de la metodologia OSSTMM----------------------------------------------------------------- - 142 Ilustracin 54: Algoritmo de Cifrado de TLS e IPSec-------------------------------------------------------------------------- - 151 Ilustracin 55 : Algoritmo Hash de TLS e IPSec -------------------------------------------------------------------------------- - 151 Ilustracin 56: Intercambio de claves entre TLS e IPSec--------------------------------------------------------------------- - 151 Ilustracin 57: Handshake entre TLS e IPSec----------------------------------------------------------------------------------- - 152 Ilustracin 58: Velocidad de Transferencia del proclo TLS ----------------------------------------------------------------- - 152 Ilustracin 59: Velocidad de transferencia del protocolo IPSec ----------------------------------------------------------- - 153 -
- 19 -
C.INTRODUCCIN.
Hoy en da, el internet es la herramienta ms utilizada a nivel mundial, y el aumento de
aplicaciones a travs de la web como el envo de voz video y datos han ayudado en el
desarrollo de las telecomunicaciones.
La Voz sobre el protocolo de internet (VoIP) es muy evidente y una de las razones es,
aprovechar los recursos y disminucin de costes que se pueden generar gracias a los
servicios de internet, frente a la telefona tradicional.
Sin embargo, estas redes se ven amenazadas frente a las vulnerabilidades existentes en la
red de VoIP, ya que un atacante pude escuchar y espiar los paquetes de voz, que circulan a
travs de la red si no se toman las medidas necesarias para protegerla.
Razn por la cual surge la iniciativa de este proyecto donde se analizar las vulnerabilidades,
que se encuentran en la red de VoIP del Hospital Isidro Ayora de Loja.
Para el cumplimiento de esta investigacin se utiliz la plataforma el software libre
(GNU/LINUX) especficamente Kali-Linux y otros sniffer con el fin de realizar las pruebas de
conectividad a la central VoIP de la institucin.
Con la ayuda de las herramientas informticas se ha convergido el ambiente de simulacin,
en el cual se obtuvieron las vulnerabilidades de la red VoIP con lo cual se realiz un estudio
para las propuestas e implementacin de las medidas de como protocolos de encriptacin
con el fin de corregir las vulnerabilidades encontradas en la red VoIP de la institucin y
finalmente se realiz un anlisis de la red con las nuevas configuraciones establecidas para
determinar la efectividad de la investigacin.
- 20 -
D.REVISIN LITERARIA.
En esta seccin se detallan conceptos referentes a la arquitectura, protocolos y estndares
de VoIP, los componentes principales en la digitalizacin de la voz como son los cdec de
voz, centrales y telefnicas, as mismo se hace hincapi a conceptos relacionados a la
seguridad fsica y lgica en las redes, adems se describen las herramientas con las que se
pueden identificar vulnerabilidades en las redes de VoIP, los ataques que se pueden realizar
a las mismas, y finalmente que mecanismos de seguridad se puede implementar para evitar
o contrarrestar este tipo de incidentes.
1. VOZ IP.
(VoIP) es el acrnimo de Voice Over Internet Protocol, que hace referencia a la emisin de voz
en paquetes Internet Protocol (IP), sobre redes de datos como el Internet; en este punto se
unen dos mundos que hasta entonces haban convivido separados: la transmisin de voz y la
de datos. La tecnologa (VoIP) trata de transportar la voz previamente procesada,
encapsulndola en paquetes para poder ser transportada sobre la red de datos, sin necesidad
de disponer de una infraestructura telefnica convencional, con lo que se consigue desarrollar
una nica red homognea en la que se enva todo tipo de informacin ya sea voz, video o
datos.
Es evidente que la utilizacin de una nica red para la transmisin de voz y datos presenta
gran cantidad de ventajas, una llamada telefnica requiere una gran red de centralitas
conectadas entre s, ya sea por cableado, fibra ptica, satlites de telecomunicacin o
cualquier otro medio, que equivale a una enorme inversin para crear y mantener cualesquiera
de esta infraestructura.
En cambio, una llamada telefnica sobre el paquete IP comprime la voz y la enva por la red
de datos, o por una lnea en la que pueden viajar diferentes llamadas e incluso diferentes
datos, sin necesidad de lneas dedicadas ni desaprovechamiento del ancho de banda. [1].
Por otro lado existen tambin ciertos inconvenientes para el desarrollo de la telefona sobre
IP que se resume en los siguientes tres conceptos: Seguridad, Fiabilidad y Calidad de
Servicio o (QoS). La (VoIP), al basarse sobre el protocolo IP, y en muchos casos usando User
Datagram Protocol (UDP), en la capa de transporte, asume la posibilidad de que los paquetes
puedan perderse, otro problema es que no hay una garanta absoluta en el tiempo que tardan
- 21 -
1.1.
HISTORIA DE VOIP.
Sin duda la invencin que hoy se conoce como telefona, debi ser un acto asombroso en
su tiempo, se dira que fue mgico al or la voz de alguien remoto en tiempo real saliendo de
una misteriosa caja, en una poca en que esto era solo posible en la ciencia ficcin debi
haber sido una experiencia nica y casi fantstica, pero con el pasar de los aos la telefona
ha tenido grandes avances, gracias a experimentos de telegrafa de hombres como Guglielmo
Marconi (1874-1937), luego con la aparicin de la informtica y los avances tecnolgicos
hicieron posible la comunicacin por internet, y el envo de paquetes de voz a travs de redes
de datos, que es lo que llamamos hoy en da Voz sobre IP. [2].
Dentro de la estructura bsica de una red VoIP hay que diferenciar tres elementos
fundamentales:
- 22 -
Terminales: Son los dispositivos que usan los usuarios para comunicarse,
implementados tanto en hardware como en software. las funciones de los telfonos
tradicionales.
Gateway: De forma transparente se encargan de conectar las redes (VoIP), con las
redes de telefona tradicional.
2.1.
CODEC DE VOZ.
2.2.
PROTOCOLOS VOIP.
Los protocolos son el lenguaje que utilizarn los distintos dispositivos (VoIP), para su conexin,
esta parte es importante ya que de ella depender la eficacia y la complejidad de la
comunicacin. Estos hacen posible que la seal de voz viaje a travs de Internet, en forma
digital, o en paquetes de datos, en lugar de enviarla en forma analgica, a travs de circuitos
utilizables slo por telefona convencional. [3].
- 23 -
2.3.
band"), y (UDP) para los datos de audio y vdeo (mensajes "in band"), el concepto de "in band"
y "out of band", se refiere a que el protocolo es capaz de enviar distintos tipos de informacin
por distintos puertos. [1].
2.4.
PROTOCOLOS DE SEALIZACIN.
A travs de la sealizacin, la central puede ubicar a la otra central con la que debe establecer
comunicacin, algunas de las funciones principales que realizan los protocolos de
sealizacin son las siguientes:
Localizacin de usuarios.
Establecimiento de sesin.
Negociacin de sesin.
2.4.1. H. 323.
La International Union Telecommunications (ITU), ha combinado varios estndares de bajo nivel
en estndares de proteccin, incluido H.323 para multimedia sobre Local Area Network (LAN),
con calidad de servicio no garantizada cuya arquitectura se muestra en la figura anterior. [2].
- 25 -
Localizacin de usuarios.
Disponibilidad de usuarios.
Establecimiento de llamada.
Gestin de llamada.
(SIP), utiliza el puerto (UDP 5060) para el establecimiento, negociacin, y fin de la comunicacin,
la arquitectura SIP define cuatro tipos de servidores:
- 26 -
SERVIDOR PROXY.
SERVIDOR DE REDIRECCIN.
Realiza una funcin equivalente a una llamada, con la diferencia que contesta a un INVITE
con un mensaje de redireccin, indicndole en el mismo como contactar con el destino.
[2]
SERVIDOR DE REGISTRO.
Mantienen la localizacin actual de un usuario, se utiliza para que los terminales registren
la localizacin en la que se encuentran. Este servidor facilita la movilidad de usuarios, al
actualizar dinmicamente la misma. [5].
2.5.
ESTANDARES VOIP.
IEEE 802.1P.
El estndar Institute of Electrical and Electronics Engineers (IEEE 802.1p), define el mtodo de
etiquetar los paquetes y por medio de este los conmutadores de nivel 2 puedan darles
prioridad (Impide que se creen bucles), el estndar (802.1p), prioriza el trfico de red, en la
subcapa de vinculo de datos/MAC. [6]
IEEE 802.1Q
El estndar (IEEE 802.1p), define el funcionamiento de los puentes, es decir, este permite
definir y administrar las Virtual Local Area Network (VLAN), dentro de las infraestructuras de
LAN con switch. [1].
2.6.
La Prvate Branch Exchange (PBX), es la red privada de telefona que se utiliza dentro de una
empresa, es decir, se refiere al dispositivo que acta como una ramificacin de la red primaria
- 27 -
pblica de telfonos, por lo que los usuarios de una (PBX), no estn asociados con la central
de telefona pblica, es la misma (PBX), que acta como tal.
Una IP (PBX), al ser totalmente digital, no slo puede trabajar con voz, sino tambin con video,
se pueden realizar videoconferencias sin ningn tipo de problema, siempre y cuando se
disponga de una cmara. Adems, al ser por IP, es an ms econmica que una (PBX),
convencional, dado que a travs de Internet no hay distancias y necesita solamente la
conexin a la red y, por supuesto, las llamadas internas son gratuitas.
La (Network Exchanged Telefonica (RTC), quien enruta las llamadas a otro destino final, mediante
lneas troncales, la (PBX), se encarga de redirigir y gestionar las llamadas entrantes a uno o
varios telfonos de una empresa o red.
Ventajas:
Prcticamente todas las distribuciones open source disponibles hacen uso de esta
interfaz.
Desventajas:
Para mayor control tienes que recurrir a la lnea de comandos a final de cuentas.
Resumiendo una (PBX), es una computadora centralizada, en la que le usuario configura los
parmetros de las llamadas entrantes y salientes segn las necesidades de la red, a
continuacin se detallan algunas de las (PBX), ms conocidas:
2.6.1. ASTERISK.
Asterisk es un completo (PBX), por software para mltiples plataformas bajo los Sistemas
Operativos Linux, BSD, MacOSX, y otros donde las llamadas en el sistema disparan funciones
a travs de patrones de dgitos (mejor conocidos como extensiones), ofreciendo un completo
control sobre el enrutamiento de las mismas con relativa facilidad.
Incluye funcionalidades encontradas en los sistemas de comunicacin ms recientes tales
como correo de voz, colas de llamadas, conferencias, audio respuesta, msica en espera y
otras funcionalidades ms avanzadas que permiten la interconexin con sistemas de telefona
externos a travs de troncales anlogas, digitales o las ms avanzadas opciones del estado
- 28 -
del-arte con interfaces para (VoIP) tales como (SIP), (H.323), (IAX) y otros mas no slo para
comunicaciones de voz sino incluso para video.
Esta poderosa combinacin de funcionalidades permite construir aplicaciones tan complejas
o avanzadas como se desee, sin incurrir en altos costos es ms flexibilidad que en cualquier
sistema de telefona existente. [2].
Ventajas: Tienes total control: puedes hacer lo que quieras y actualizar en cualquier
momento.
Desventajas:
Programar por lnea de comandos puede no ser tan natural para algunas personas.
2.6.2. ELASTIX.
Elastix es una distribucin creada por Palosanto Solutions, cuya base de operaciones est en
Guayaquil, Ecuador. Elastix surgi en el 2006 como una interfaz de tarificacin de llamadas
para Asterisk (una herramienta para interpretar los registros de llamadas que Asterisk genera),
pero rpidamente se convirti en una suite de comunicaciones que integra varios productos
en uno, ya que en un solo CD es posible instalar (en un solo paso) no solamente Asterisk, sino
una interfaz web de configuracin como FreePBX, un sistema de base de datos (MySQL), un
sistema de mensajera instantnea (OpenFire), soporte para fax (Hylafax), entre otras
aplicaciones ms que incluye, al igual que Asterisk, Elastix es un proyecto open source, por
lo que es libre y gratuito. [7]. Segn el roadmap de Elastix con su prxima versin 3.0, se
abandonar el uso de FreePBX para usar su propia interfaz de configuracin.
En las versiones 2.x e inferiores, la interfaz grfica est amarrada con el uso de FreePBX 2.9
e inferiores, ya que Elastix usa un wrapper (para personalizarlo con su interfaz) y no soporta
versiones posteriores para la Users Graphical Interface (GUI).
Ventajas:
Desventajas:
2.6.3. TRIXBOX.
En sus inicios fue conocida como Asterisk@Home, y fue la primera distribucin todo en uno
que haca uso de: FreePBX + MySQL + PHP + CentOS + Asterisk para levantar un conmutador IP
de manera rpida. En el 2006 cambia su nombre a Trixbox y se separa en las versiones
Community Edition (CE) y Pro, que es el servicio de paga proporcionado por Fonality (la
empresa que compr su desarrollo). Trixbox es ms usada en el mercado norteamericano al
estar creada originalmente en ingls y tener su base de operaciones en (EUA). Sin embargo,
al utilizar la misma interfaz de FreePBX, las funcionalidades que ofrece esta plataforma son
casi las mismas que el resto de las distribuciones que se basan en ella. Trixbox hace uso de
un fork muy viejo de FreePBX, por lo que muchas de sus funcionalidades estn atrasadas,
comparadas con el resto de las distribuciones. [7]
Ventajas:
Desventajas:
2.6.4. ASTERISKNOW.
Es la distribucin oficial de Digium, y al igual que las anteriores permite instalar CentOS +
Asterisk en un solo paso, la diferencia primordial con las 2 anteriores es que esta es la
distribucin ms ligera de todas, por lo que no se instalan extras (como Hud en Trixbox u
Openfire, vtiger e Hylafax en Elastix). El FreePBX viene puro, por lo que puede utilizar la
versin ms reciente y no estar amarrado a limitantes del desarrollador de la distribucin.
- 30 -
Ligero.
Desventajas:
2.7.
SOFTPHONES.
3.1.
CONFIDENCIALIDAD.
el tratamiento de la misma por el propio usuario ha de ser preservada frente a terceros; para
evitar vulneraciones de confidencialidad, se utilizan contraseas de seguridad y tcnicas de
encriptacin. [8].
3.2.
INTEGRIDAD.
3.3.
DISPONIBILIDAD.
La norma ISO 27001 [8], interpreta el principio de disponibilidad como: acceso a la informacin
y los sistemas de tratamiento de la misma por parte de los usuarios autorizados cuando lo
requieran, es decir, los recursos deben estar disponibles cada vez que un usuario los
requiera.
Para disminuir las vulneraciones a la disponibilidad de un sistema se utiliza redundancia (por
ejemplo, de hardware, de software y de suministro elctrico), de modo de disminuir la
probabilidad de que el sistema no pueda operar debido a fallas de sistema. Garantizar la
disponibilidad implica tambin la prevencin de ataques que tienen por objetivo, inhabilitar el
sistema para su correcto funcionamiento. [8].
3.4.
RESUMEN.
DISPONIBILIDAD
DEFINICIN
MECANISMO DE RESGUARDO
Acceso a la informacin por parte
Contraseas y Encriptacin
nicamente de quienes estn autorizados
El mantenimiento de la exactitud y
Paridad
completitud de la informacin y sus
procesos
Acceso a la informacin y los sistemas de
Redundancia
tratamiento de la misma, por parte de los
usuarios autorizados cuando lo requieran
Tabla 1: Resumen conceptos de seguridad
- 32 -
4.1.
Las amenazas de denegacin de servicio son intentos maliciosos para degradar o inhabilitar
el funcionamiento del sistema, afectando la disponibilidad del mismo. El objetivo de una
amenaza de denegacin de servicio en (VoIP), es colapsar los dispositivos de red a travs de
llamadas falsas que generan trfico excesivo, de esta manera, las llamadas legtimas no
pueden realizarse o se interrumpen.
En el caso de (VoIP), algunos ataques pueden resultar en un (DoS) para muchos equipos de
telefona IP, por ejemplo, los terminales pueden dejar de operar cuando intentan procesar una
alta tasa de paquetes; los servidores tambin pueden experimentar fallas y discrepancias de
registro, con un ataque de sealizacin especific de menos de 1Mb/segundo. (VoIP), est
expuesto a 3 tipos de amenazas de (DoS), las que se describen a continuacin.
4.2.
Las amenazas Distributed Denial of Service (DDoS), son ataques de (DoS) desde mltiples
sistemas, todos coordinados para inhabilitar un sistema de red (VoIP). Para realizar el ataque
se insertan programas dentro de los computadores de las vctimas, sin ser detectados, para
esto los atacantes utilizan por lo general troyanos y puertas traseras (backdoor), logrando as
crear miles de robots listos para realizar sus ataques de (DDoS). En (VoIP), estos ataques
distribuidos tienen como objetivo causar (DoS), en varios puntos de la red, de manera
simultnea, colapsando el sistema por completo.
4.3.
FUZZING.
Tambin conocido como testeo de pelusa o funcional, es un ataque que hace uso de paquetes
malformados causando el desbordamiento de buffer, cuelgues o reinicios en los dispositivos
que provocan un mal funcionamiento del sistema, en (VoIP), en particular el protocolo SIP,
- 33 -
enva mensajes en texto plano, por lo tanto, es muy fcil realizar el cambio de los campos del
mensaje. En cambio para otros protocolos, como (H.323) e (IAX2), los mensajes son binarios,
as hace ms difcil la realizacin de este tipo de ataques.
4.4.
INUNDACIONES (FLOODERS).
Una flood consiste en mandar mucha informacin en poco tiempo a un dispositivo para intentar
que se sature, en (VoIP), los inundadores (flooders) tienen como objetivo los servicios y puertos
de telefona IP, una inundacin puede causar mayor dao en una red (VoIP), que en una red
de datos. La utilizacin de calidad de servicio (QoS), provee que los mensajes de telefona
sean transmitidos con prioridad a travs de la red, es por esto que, cuando se realiza una
inundacin en la red, el ancho de banda se ve afectado directamente, ya que que afecta el
buen desempeo de la red de datos y de (VoIP).
4.5.
ACCESOS NO AUTORIZADOS.
Los accesos no autorizados son ataques que se enfocan en los sistemas de control de
llamadas, administracin, facturacin, y otras funciones de telefona que requieren
autentificacin. A travs de sistemas de administracin remota como Secure Shell (SSH), y
contraseas dbiles los atacantes provocan accesos no autorizados en los equipos.
4.6.
Los fraudes telefnicos son frecuentes en los sistemas telefnicos tradicionales, se trata de
ataques que pretenden recaudar dinero a costa del servicio telefnico, realizando llamadas
de larga distancia o robos de minutos de llamadas.
4.7.
INTERCEPTACIN (EAVESDROPPING).
4.8.
El (SPIT) es el (SPAM) de la telefona IP. Es un ataque que puede usar paquetes de datos o de
voz, ya sea enviando mensajes (SMS) para promocionar productos a los diferentes terminales,
o enviando grabaciones promocionales a los buzones de voz de los usuarios. De la misma
forma como sucedi con los e-mails, esto afecta el correcto funcionamiento de las redes
(VoIP), dado la acotada memoria de un servidor de buzn de voz.
4.9.
VISHING.
Vishing es el trmino usado para referirse a (VoIP), phishing, es un ataque con las mismas
caractersticas del phishing pero adoptado a las posibilidades de (VoIP); los ataques de
phishing y las denuncias por robo de informacin confidencial de forma fraudulenta son muy
comunes, y que exactamente las mismas tcnicas son aplicadas a la plataforma (VoIP).
Gracias a la telefona IP un intruso puede realizar llamadas desde cualquier lugar del mundo,
al telfono IP de un usuario, por medio de tcnicas de ingeniera social, ya sea mostrando
una identidad falsa, o suplantando otra conocida por la vctima. [9]
4.10. RESUMEN.
Para el buen funcionamiento de las redes (VoIP), es necesario reforzar la seguridad de la
digitalizacin de la voz, de manera independiente de la establecida en la red, tener una red
segura no implica tener asegurada la tecnologa (VoIP). Estos inconvenientes no significan
que la tecnologa (VoIP), tenga mayores problemas que beneficios, gracias a ella se reducen
los costos administrativos y el uso de recursos, provee de gran movilidad y privilegios para
todos los usuarios; para as ofrecer las bases de la seguridad que son: confidencialidad,
integridad, y disponibilidad. En la siguiente tabla se puede ver como se ven afectados los
conceptos de seguridad con las amenazas de (VoIP).
ATAQUE
Denegacin de Servicio
Accesos no Autorizados
Fraudes Telefnicos
Interceptacin
SPIT
Vishing
CONFIDENCIALIDAD
INTEGRIDAD
X
X
X
X
X
X
Tabla 2: Amenazas de seguridad VoIP
- 35 -
DISPONIBILIDAD
X
Contraseas dbiles
Accesos remotos
Servicios innecesarios
Malas configuraciones
Malware
Las vulnerabilidades de la capa de aplicacin en las redes de datos, que fueron listadas
previamente, tambin forman parte del conjunto de vulnerabilidades de las redes (VoIP), pero
no sern descritas en este apartado, pues en esta seccin sern expuestas las
vulnerabilidades explotadas comnmente en la capa de aplicacin de las redes (VoIP).
5.1.
TERMINALES.
En general, los telfonos IP y softphone son la herramienta utilizada por los atacantes para
tener acceso a las redes (VoIP), los terminales son los dispositivos menos crticos, es decir es
un dispositivo que si se ve vulnerado no produce que la red (VoIP), deje de funcionar. Por otro
lado, son los dispositivos ms comunes y menos controlables, a travs de estos los atacantes
pueden conocer la configuracin de la red (VoIP), ya que los telfonos cuentan con informacin
en sus configuraciones (direccin IP de la central y datos de usuario), los softphones, se localizan
en un computador.
Esto significa que cuentan con las mismas vulnerabilidades y se encuentran en la misma red
de datos, por lo tanto, obligan a dar acceso a los terminales, a la red de datos y a la red de
- 36 -
voz. Los softphones no permiten separar la red de voz con la de datos. Esto permite que
cualquier ataque realizado en la red de datos afecte directamente a la red de voz, es por esta
razn que el National Institute of Science and Technology (NIST), recomienda que los softphones
no se utilicen en la red (VoIP), [10]. A continuacin se describirn problemas de seguridad
ocasionados cuando los dispositivos (VoIP), utilizan los siguientes protocolos de la capa de
aplicacin.
5.2.
GATEWAYS VOIP.
Un gateway se considera un dispositivo crtico dentro de una red (VoIP), el gateway provee
una salida hacia la red telefnica tradicional, lo que permite a los atacantes que logren tener
acceso al dispositivo, y salir directamente a la red de telefona tradicional e instalar llamadas.
Las vulnerabilidades de un gateway dependern de los servicios que provee, y de su
configuracin. Entre los servicios o especificaciones que se pueden encontrar en un gateway
estn: soporte para Simple Network Management Protocol (SNMP), administracin (Web) o
(HTTP), (DHCP) y (TFTP). Todos estos protocolos usualmente encontrados en las redes de
datos, tienen sus problemas de seguridad ya comentados anteriormente, una vulnerabilidad
de configuracin depende del plan de discado que se utilice. Por ejemplo comnmente se
antepone un nmero predefinido para poder llamar a celulares. Se utiliza en algunos
gateways, pero se encuentra en casi todas las (IP-PBX).
5.3.
Una (IP-PBX), o central telefnica IP, es el dispositivo ms crtico dentro de los sistemas (VoIP),
ya que a travs de este dispositivo los atacantes pueden tomar el control de la red (VoIP). Las
(PBX) adems cuentan con otros servicios en la capa de aplicacin, los cuales traen problemas
de seguridad a la red (VoIP), las bases de datos, y los servicios de correo, tienen
vulnerabilidades ya conocidas que se las mencionadas al comienzo de este punto. Estas
afectan comnmente al sistema operativo, en el cual reside la (IP-PBX), adems comparte la
vulnerabilidad de las configuraciones del plan de discado con los gateways y tienen servicios
que proveen facilidades de configuracin, como lo son las interfaces web, que proveen
accesos extras a los atacantes. [9]
5.4.
RESUMEN.
La capa de aplicacin depende de los servicios que se deseen implementar en la red (VoIP),
estos servicios aumentarn las vulnerabilidades del sistema, se debe tomar medidas para
evitar las vulnerabilidades, propias de cada aplicacin.
PROTOCOLO
TFTP
Telnet
HTTP
ATAQUE
Insercin de servidor TFTP
Acceso telnet
HTTP DoS
Interceptacin de configuracin HTTP
Acceso no autorizado HTTP
Tabla 3: Vulnerabilidades capa de aplicacin
- 38 -
En la tabla anterior se listan las vulnerabilidad expuestas en este apartado y como afectan a
los conceptos de seguridad (Confidencialidad, Integridad Y Disponibilidad). En la columna 3, C
significa confidencialidad, en la columna 4, I significa integridad y en la columna 5, D significa
disponibilidad.
6.1.
SEALIZACIN.
Los protocolos de sealizacin que se estudian en esta seccin son (H323) y (SIP).
6.1.1. H.323.
De los protocolos que pertenecen a (H.323), se originan variados ataques, los que se
describen a continuacin. [43].
6.1.1.1.
ATAQUE H.225.
Este ataque es una amenaza de (DoS), particularmente fuzzing, para generar el ataque, se
utiliza una vulnerabilidad en los mensajes de instalacin de (H.225). El ataque funciona
haciendo que mensajes de instalacin (H.225) de gran tamao sean procesados
completamente por la vctima, los mensajes de instalacin (H.225) son de diferente tipo
tamao, permitiendo que los atacantes asignen un tamao determinado a los mensajes. Los
- 39 -
paquetes (H.225) cuentan con un lmite de tamao, pero al procesar los paquetes con un
tamao excesivo, cercano al lmite, los sistemas experimentan (DoS) o un 100% del uso de la
CPU.
6.1.1.2.
ATAQUE H.245.
Al igual que el ataque (H.225), es una amenaza de (DoS), pero explota una vulnerabilidad del
mensaje que describe el Terminal Capability Set (TCS). Este ataque funciona a travs de la
captura del mensaje (TCS), o alteracin, su captura produce que mltiples sistemas fallen y
dejen de funcionar, cuando se altera el mensaje (TCS), que es enviado a un terminal, por
ejemplo cuando se cambia la direccin IP del destino por la de la vctima deja en un bucle al
mensaje (TCS), esto hace que la vctima se enve as mismo el mensaje (TCS). [9]
6.1.2.1.
6.1.2.2.
La suplantacin de identidad, es una amenaza del tipo fraude telefnico, utiliza una
vulnerabilidad en el mensaje REGISTER, este ataque utiliza el registro de usuario, que es la
primera comunicacin que se establece en el entorno (VoIP).
Esta comunicacin se realiza entre el usuario y el servidor de registro, debe ser realizado de
forma segura, caso contrario, no se puede asegurar que el usuario registrado sea quien dice
ser durante el resto de la sesin.
- 40 -
6.1.2.3.
DESCONEXIN DE USUARIOS.
Este ataque es un amenaza de (DoS), esta vulnerabilidad hace uso de la posibilidad de alterar
los mensajes BYE y CANCEL, y es por lo tanto, una amenaza de fuzzing. La desconexin de
usuarios funciona debido a que muchos de los protocolos de (VoIP), se utilizan sin encriptacin
alguna; por lo tanto, es sencillo interceptar mensajes y obtener la informacin de la identidad
del usuario, y los datos de la llamada. De esta manera, para un intruso resulta fcil
desconectar las llamadas utilizando el mensaje BYE, y simulando ser el usuario al otro lado de
la lnea. Por otro lado el mensaje CANCEL alterado se debe enviar al momento de establecerse
la llamada, es antes que el usuario recepta de la llamada, conteste el telfono y la llamada
sea establecida, a diferencia del mensaje BYE que se enva cuando la llamada est
establecida.
6.2.
TRANSPORTE Y CODIFICACIN.
6.2.1.1.
La captura e insercin de audio, puede ser una amenaza tanto de (DoS), como de
interceptacin (eavesdropping). Este ataque funciona debido a que en las llamadas (VoIP), se
realiza por el protocolo (UDP), el cual no da garantas en la entrega de sus mensajes y no
mantiene ningn tipo de informacin de estado o conexin. Cuando el propsito del atacante
es lograr que un usuario no pueda realizar correctamente una llamada, es decir, realizar una
denegacin de servicio, puede agregar ruido o incluso su propio mensaje y as degradar o
- 41 -
alterar drsticamente la conversacin. Por otra parte, cuando un atacante quiere escuchar
llamadas en curso, donde se est transmitiendo informacin importante, el atacante solo debe
capturar los mensajes y despus decodificar los paquetes capturados, logrando as una
amenaza de interceptacin.
6.2.1.2.
La manipulacin (RTP), es un amenaza de (DoS), del tipo fuzzing, los mensajes (RTP), tienen
la vulnerabilidad de que sus campos no son protegidos, y por lo tanto pueden ser modificados.
6.2.1.3.
Esta es una amenaza del tipo (DoS), especficamente una inundacin (flood). Este ataque se
realiza durante el establecimiento de la sesin, cuando se intercambia informacin relativa al
protocolo de transporte empleado, la codificacin, tasa de muestreo o nmeros de puertos.
6.3.
CONTROL DE MEDIOS.
6.3.1.1.
elige una conexin activa y solicita al dispositivo (MGCP), detalles de la conexin elegida, como
por ejemplo el identificador de llamada. Despus de que el gateway atacado responde estos
mensajes, el atacante enva un (MDCX), con todos los datos obtenidos, para dirigir el trfico
(RTP), hacia l y escuchar la llamada activa, (MGCP), cancelacin de conexin. Este ataque es
una amenaza de (DoS), y utiliza una vulnerabilidad en el mensaje (DLCX), que cancela las
conexiones.
6.4.
PROTOCOLOS PROPIETARIOS.
En esta seccin se describen dos protocolos propietarios, (SCCP) y (IAX2), que se utilizan para
proveedores de (VoIP), especficos, pero son ampliamente utilizados en redes (VoIP).
6.4.1.1.
El call manager, que es una central telefnica y los servidores de presencia, que sirven para
indicar el estado de un usuario, son atacados remotamente e inundados con tipos especficos
de trfico con la intencin de hacerlos colapsar.
6.4.2.1.
ATAQUE POKE.
Este ataque es una amenaza de (DoS), y utiliza la vulnerabilidad del mensaje (POKE), del
protocolo (IAX2). Por medio del envo masivo de peticiones (POKE), a un sistema vulnerable,
un atacante podra acaparar todos los nmeros de llamada (lneas) asociados con el protocolo
(IAX2), impidiendo el procesamiento del resto de llamadas o peticiones.
6.4.2.2.
Este ataque es una amenaza de (DoS), puede utilizar una gran gama de mensajes
pertenecientes al protocolo (IAX2). Este ataque enva mensajes (IAX2), en grandes cantidades
- 43 -
para hacer colapsar al dispositivo (IAX) receptor, esto es posible debido a que el protocolo
(IAX2) no autentica todos sus mensajes. [12].
6.4.2.3.
Este ataque es una amenaza de acceso no autorizado, que utiliza herramientas que enumeran
usuarios de (IAX2), (utilizando fuerza bruta). Para conseguir este objetivo, se envan peticiones
(IAX2), vlidas y se monitorea la respuesta.
6.4.2.4.
ATAQUE HANGUP
Este es una amenaza de denegacin de servicio que utiliza una vulnerabilidad del mensaje
HANGUP, que permite cancelar las llamadas. Este ataque funciona capturando paquetes del
tipo (PING), (PONG) o (ANSWER) y se reemplazan los campos incluyendo el nmero de
secuencia correspondiente, de alli se enva el mensaje de (HANGUP), si este mensaje llega
antes que el mensaje correspondiente enviado por el servidor la llamada se cancela.
6.5.
A continuacin se define una matriz que resume a que atributos de seguridad afectan los
ataques antes vistos. Se clasifican de acuerdo al protocolo vulnerado y permitir establecer
las contramedidas que se usarn para estos ataques en la seccin de resultados.
PROTOCOLO
H.323
SIP
RTP
MGCP
IAX2
ATAQUE
Ataque H.225
Ataque H.245
Malformacin de mensajes RAS
- 44 -
7.1.
Los ataques comnmente realizados en la capa de red utilizan el protocolo IP, y los protocolos
descritos en la tabla anterior, adems los protocolos de (VoIP), utilizan protocolos para
transportar sus mensajes, es por esto que deben ser considerados los protocolos (UDP), y
(TCP).
A continuacin se detallan ataques de la capa de red que involucran estos protocolos as
como los protocolos de transporte, (UDP) y (TCP). [10].
ATAQUE IP
Suplantacin
de
direccin
IP(IP spoofing)
Inundacin IP
(IP flooding)
AMENAZA
DoS, acceso
no
autorizado
DoS,
inundacin
Smurf
DoS,
inundacin
Inundacin
TCP/SYN
DoS,
inundacin
Teardrop
DoS, fuzzing
Ping de la
muerte (Ping
of death)
DoS, fuzzing
Loki
DoS, fuzzing
Land
DoS, fuzzing
TRIN00
DDoS
DESCRIPCIN
Consiste en la generacin de paquetes IP, con direcciones IP de orgenes
falsificados. Este ataque da lugar a muchos otros.
Consiste en la generacin de trafico IP basura con el objetivo de conseguir
la degradacin del servicio. Este ataque puede ser ms especfico, un
ejemplo de esto son los ataques UDP/flood o ICMP/flood.
Se envan mensajes ICMP broadcast a la red solicitando respuesta, pero
con la direccin de origen falsificada. Esto provoca una inundacin de
respuestas ICMP hacia la direccin falsificada, cuyo dueo es la vctima del
ataque.
El atacante genera un gran nmero de paquetes con diferentes direcciones
IP y establece conexiones TCP, inundando el buffer de la vctima (el
destinatario de los paquetes). Esto se realiza para los servidores de diversos
servicios TCP (telnet, FTP, HTTP, SMTP).
El ataque teardrop realiza una utilizacin fraudulenta de la fragmentacin IP
para poder confundir al sistema operativo en la reconstruccin del paquete
original y colapsar as el sistema.
El ataque ping de la muerte se basa en la posibilidad de construir, mediante
el comando ping, un paquete IP superior a los 65535 bytes, fragmentado en
N trozos, con el objetivo de provocar incoherencias en el proceso de reensamblado en el receptor y hacer que el receptor no pueda comunicarse.
El objetivo de este ataque es introducir trfico encubierto, tpicamente IP, en
paquetes ICMP o UDP. Se denomina a esta prctica canales encubiertos.
Este ataque cuenta con un cliente loki, y un servidor lokid, que se encargan
de desencapsular y encapsular el trfico en los extremos.
Este ataque permite bloquear un sistema, mediante un paquete cuya
direccin de origen y destino son las mismas. Tambin se utiliza con el
mismo puerto de origen y destino.
TRIN00 es un conjunto de herramientas maestro-esclavo utilizadas para
sincronizar distintos equipos que cooperaran, de forma distribuida, en la
realizacin de DoS. Existe una versin para Windows, Wintrin00.
- 45 -
Inundacin de
red
Tribal
(Tribe
Flood
Network)
DDoS
Eje (Shaft)
DDoS
Inanicin
DHCP
DoS
Ataque
de
suplantacin
DHCP
Acceso no
Autorizado
7.2.
RESUMEN.
En este punto se analizaron las vulnerabilidades de la capa de red, con nfasis en los ataques
ms conocidos que utilizan las vulnerabilidades del protocolo IP.
PROTOCOLO
IP
ICMP
TCP/IP
DHCP
ATAQUE
Suplantacin de direccin IP (IP spoofing)
Inundacin IP (IP flooding)
Teardrop
Loki
Land
8.1.
En el ataque de salto (VLAN), el atacante se hace pasar por un troncal utilizando un switch y
as gana acceso a todas las (VLAN), en la red. Actualmente este ataque ha sido mitigado por
los proveedores de dispositivos de red. Este ataque permite que los atacantes puedan tener
acceso a todas las redes lgicas disponibles y a los datos que por ellas son transmitidos.
- 46 -
8.2.
Un ataque de inundacin por Media Access Control (MAC), ocurre cuando un atacante enva
direcciones (MAC), no validas a la tabla (CAM3) haciendo que se agote el espacio de
almacenamiento de las direcciones (MAC). El switch, al encontrarse la tabla (CAM) llena, no
reconoce la direccin del receptor como entrada valida y enva el paquete recibido por todos
sus puertos. Entre los puertos conectados se encuentra el atacante. Esto causa que el
atacante tenga acceso a todo el flujo de datos y pueda capturar paquetes.
8.3.
8.4.
RESUMEN.
Aqu se analizaron las vulnerabilidades de la capa de enlace, con nfasis en los ataques ms
conocidos que utilizan las vulnerabilidades de los switchs Cisco.
PROTOCOLO
802.1Q
ARP
8.5.
ATAQUE
Salto de VLAN (VLAN hopping)
Inundacin MAC (MAC flood)
Suplantacin ARP (ARP spoofing)
Tabla 7: Vulnerabilidades capa de enlace
EXPLORACIN DE PUERTOS.
Las vulnerabilidades en el modelo (TCP/IP), estn asociados a los protocolos que utilizan las
aplicaciones o servicios, para establecer la comunicacin segn la numeracin, los puertos
se pueden clasificar en:
Puerto con nmeros inferiores a 1024: Denominados puertos bien conocidos, son
reservados para servicios muy definidos como telnet, (SMTP), (POP3), etc. Son
asignaciones fijas que no pueden ser utilizadas por otros servicios.
Puertos numerados entre 1024 y 49151: Son puertos registrados, significa que
Internet Assigned Numbers Authority (IANA), intenta ordenar el uso de este rango, pero
sin las restricciones que existen para los puertos bien conocidos.
Puertos numerados entre 49152 y 65535: Son puertos privados de los que se puede
disponer para cualquier uso.
- 47 -
Algunos puertos no registrados son utilizados por troyano para ingresar a los sistemas, los
puertos reservados sin embargo constituyen la base del anlisis, ya que al utilizarse para la
comunicacin de datos es el punto clave de los atacantes. [5].
8.6.
TEST DE INTRUSIN.
El mtodo de caja negra (white box); Mismo que consiste en intentar penetrar en la
red, sin tener conocimiento del sistema para generar una situacin realista.
Web Application Test Methodology (OWASP), mtodo de test para aplicaciones web
basado en dos fases: pasiva y activa. Como se ha explicado anteriormente su
enfoque es black box preferentemente, se sabe poco de la aplicacin que se va
a aprobar, incluso del contexto que se van a hacer las pruebas. [16].
e s una
metodologa que rene las diversas pruebas y mtricas de seguridad, utilizadas por
los profesionales durante las Auditoras de Seguridad, esta se centra en los detalles
tcnicos de los elementos que deben ser probados. Qu hacer antes, durante y
despus de una prueba de seguridad?, y cmo medir los resultados? [18].
9.1.
En la siguiente tabla se realiza un anlisis y una comparacin entre las diferentes metodologas
enunciadas anteriormente, cabe sealar que en el estudio realizado no podemos extraer
sabias conclusiones que reflejen gran profundidad de lectura y anlisis. [19].
PATRONES
Rigor de
la
metodologa
(meticulosidad)
Niveles de detalle
Facilidad de uso
ISSAF
Alta.
Desactualizada. Ao
2006.
Muy
detallada,
pero
sencilla. Faltan elementos
de cloud computing y
Proteccin datos
OWASP
Muy Alta.
Solo centrada en la web,
pero muy didctica e
instructiva.
Muy detallada. Su enfoque
web no le resta ni un pice
de meticulosidad.
Orienta perfectamente el
trabajo del auditor.
Muy Alta.
Se puede usar con
conocimientos medios.
- 49 -
OSSTMM
Muy Alta.
Actualizada
y
en constante revisin
Menos detalle a mi
juicio. Parece como si
la experiencia de uso
de
anteriores
versiones diera lugar
a crear la necesidad
de formacin previa.
Media. Muy tcnico.
Requiere
entrenamiento y
prctica.
Certificaciones.
Entornos de
aplicabilidad
Ventajas
Inconvenientes
Todos.
Genrico para auditoras
de todo tipo. Servidores
IBM nicamente?
Fcil.
Es lineal y cubre las etapas
tpicas de una auditora
con test
de intrusin.
Ampliamente usado ya
q ue respeta los modelos
NIST (que se tienen muy
en cuenta en USA)
Fase
de
evaluacin
conocida. Uso frecuente
del mtodo. Pasos ms
desgranados
en
el
pentest. Facilita el informe
en funcin de los pasos
seguidos y los resultados
obtenidos.
Recomienda herramientas
para la evaluacin.
Todos.
Incluso
los
que
todava no se han
implementado.
Es
dinmica y potente en
su diseo.
El ms usado por lo
que
he
podido
averiguar en Internet,
aunque la tendencia
es simplificar (tipo
ISSAF),
su
uso
supone
un
conocimiento
y
experiencia alto.
Ampliamente
documentada,
soporte de la
Comunidad.
Pone a punto
plantillas de uso
y medidas.
Se integra y tiene en
cuenta todos los
estndares
de
seguridad
de
la
informacin.
No se hace
referencia a qu tipo
de objetivos para
cada tipo de test.
Se basa ms en la
creatividad del
auditor y tambin en
su experiencia.
Estas dos secciones son necesarias para poder llevar a cabo la presente tesis sobre todo la
seccin de seguridad en comunicaciones, es la parte medular del presente trabajo, cabe
mencionar que el detalle completo de esta metodologa se lo realizara en el apartado de
(MATERIALES Y MTODOS pag.60) donde se da una descripcin completa de la
metodologa.
9.2.
ICMQUERY. Esta herramienta nos permite tener informacin del sistema como la
mscara de red mediante paquetes ICMP (Internet Control Message Protocol). Esta
herramienta puede descargarse desde aqu: http://www.gegereka.com/?&tg=P22G18
SIPSCAN. Es una herramienta que trabaja sobre Windows, cuya utilidad es obtener
extensiones SIP de una PBX, tan solo conociendo la direccin IP del Servidor. Esta
herramienta puede descargarse desde aqu: http://sipscan.software.informer.com/1.0/
ENUN IAX. Es una herramienta que trabaja sobre Linux, y que sirve para la obtencin
de extensiones IAX de una PBX. Esta herramienta puede descargarse desde aqu:
http://sourceforge.net/projects/enumiax/.
- 51 -
10.
El estudio de las metodologas de anlisis de riesgo, permite seleccionar aquella que mejor
se ajuste a los objetivos del proyecto, se describen tres de las metodologas ms utilizadas a
travs del siguiente cuadro comparativo. Las vulnerabilidades tecnolgicas aportan el mayor
porcentaje en el riesgo de seguridad de una organizacin, lo que conlleva a profundizar este
tema con datos de investigaciones reales.
CARACTERSTICAS
Descripcin
Anlisis
MAGERIT
De carcter pblico
elaborada por el
Consejo Superior de
Administracin
Electrnica de Espaa,
dispone de un software
denominado PILAR.
Soporta un anlisis
completo cualitativo y
cuantitativo, pero no la
combinacin de los dos.
OCTAVE
Anlisis de riesgos
orientados a activos,
desarrollado por CERT
(Coordination Center de
Software Engineering
Institute) Universidad de
Carnegie de Pensilvania
El anlisis cualitativo y
cuantitativo no es
completo pero es
satisfactorio, ya que
permite la combinacin
de las dos.
Permite determinar para
todos los recursos
amenazas,
vulnerabilidades y
salvaguardas.
Permite el uso de
herramientas externas
para la identificacin de
vulnerabilidades.
CRAMM
CCTA Mtodo de Anlisis
y Gestin de Riesgos por
la Agencia Central de
Informtica de
Telecomunicacin del
Reino Unido
Soporta un anlisis
completo cualitativo y
cuantitativo pero no la
combinacin de los dos
Permite el anlisis de
Permite el anlisis de
todos los tipos de
todos los tipos de recursos,
recursos, amenazas y
amenazas,
salvaguardas no incluye
vulnerabilidades y
vulnerabilidades.
salvaguardas.
Tiene una herramienta
Dispone de una
de soporte que la hace
herramienta con una
ms efectiva
extensa base de datos de
proporciona inventarios
activos salvaguardas y
predefinidos
amenazas.
Tabla 9: Cuadro comparativo de las metodologas de anlisis de riesgos.
Inventarios
Otras
Luego de haber realizado una comparacin entre las diferentes metodologas, para el anlisis
de
riesgos
se
ha
elegido
la
metodologa
(Operationally
Critical
Threat,
Asset
and Vulnerability Evaluation (OCTAVE), por ser la que mejor se adapta al perfil de nuestro trabajo
de investigacin, y ofrece la flexibilidad necesaria para adecuarlo al mismo, con lo cual se
cumple una parte del objetivo (MATERIALES Y MTODOS pag.60) del presente proyecto de
investigacin.
a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la
ocurrencia del riesgo. [20]. Algunos conceptos que intervienen en el control de riesgos:
Mediante la formula descrita se pueden calcular valores entre (1 y 2) = Bajo, (3 y 4),= Medio,
(6 y 9) = Alto, mientras ms alta sea la probabilidad de amenaza y magnitud del dao ms
grande es el riesgo y el peligro al sistema, lo significa que es necesario implementar medidas
de proteccin. Se habla de un ataque cuando una amenaza se convirti en realidad, se habla
de un impacto cuando un ataque fue exitoso y este perjudico a la confidencialidad, integridad,
disponibilidad, y autenticidad de la informacin. [20].
- 54 -
Que los usuarios realicen operaciones involuntarias que puedan daar el sistema.
DESASTRES NATURALES:
o
Disminuir siniestros.
Asegurar que los operadores trabajen sin una supervisin minuciosa y no puedan
modificar los programas ni los archivos que no correspondan.
Asegurar que se estn utilizado los datos, archivos y programas por el procedimiento
correcto.
Que la informacin transmitida sea recibida slo por el destinatario, al cual ha sido
enviada y no a otro.
mucho ms extenso que el actual, por lo que me limitar a sealar qu controles de seguridad
deben ser imprescindibles en el entorno VoIP, y explicar las medidas necesarias para aplacar
la mayora de riesgos y ataques comentados en los apartados anteriores; para mantener
segura la tecnologa de VoIP es necesario tener en cuenta lo siguiente:
previenen ataques contra los protocolos, (Fuzzing) ataques contra servicios, (exploits y
vulnerabilidades), escaneos y ciertos tipos de ataques (DoS).
Configurar protocolos y dispositivos para que utilicen autenticacin y/o cifrado. Este
punto se detallara con mayor descripcin ya que la parte medular de nuestro tema de
investigacin el cual se puntualiza a continuacin:
Todos los mensajes que se intercambia deben tener una autenticacin o un cifrado, cada
dispositivo debe de tener limitado los grupos de elementos o direcciones IP de los que pueden
recibir trfico; con una correcta configuracin es posible limitar muchos de los ataques de
denegacin de servicio, el cifrado es quizs una de las principales medidas que se deben
adoptar en una infraestructura (VoIP).
El uso del protocolo Internet Protocol Security (IPsec), proporciona servicios de seguridad para
el trfico IP lo que permite configurar un canal IP seguro, el anfitrin puede elegir los diferentes
servicios en funcin del nivel de seguridad requerido, los servicios proporcionados por (IPsec),
se basan en dos sub-protocolos: un sub-protocolo Authentication Header (AH), y un combinado
de cifrado y el sub-protocolo de autenticacin Encapsulating Security Payload ESP). El primero
ofrece servicios tales como integridad sin conexin y autenticacin del remitente, mientras que
el segundo es en encargado de garantizar la confidencialidad entre otros servicios.
El uso de Transport Layer Security/Secure Sockets Layer (TLS/SSL), para establecer canales de
comunicacin seguros resolver la mayora de problemas de eavesdropping, manipulacin y
reproduccin de los mensajes que se intercambian. Los telfonos (VoIP), pueden cifrar el audio
con el protocolo. Secure RTP (SRTP) es una rplica del (RTP) pero ofrece confidencialidad,
autenticacin de mensajes y proteccin, evitando los ataques de interceptacin e insercin de
audio entre otros y no afecta a la (QoS), ya que es evidente que el canal de sealizacin
tambin debe ir completamente cifrado.
- 58 -
Utilizar (VLAN) para priorizar y proteger el trfico (VoIP), separndolo en canales lgicos de las
redes de datos. Con esto proteger y limitara el acceso a la red (VoIP), sobre todo desde el
exterior, limitar los volmenes de datos y rfagas de paquetes en puntos estratgicos de la
red, para evitar gran cantidad de ataques (DoS). Y finalmente algunos consejos para
protegerse de ataques de enumeracin: [6].
No usar (TFTP), (FTP) ya que tampoco son canales seguros. La mejor solucin es usar
un canal cifrado.
Desactivar puertos de administracin como (HTTP) y snmp por citar los ms comunes.
Cambiar el password por defecto de todos los lugares, y realizar un cambio de este,
cada cierto periodo.
Corregir los protocolos que contestan de diferente modo, si el usuario existe o no.
- 60 -
Como arquitectura de seguridad, est compuesta por mltiples protocolos internos, las
especificaciones (IPSec) han sido definidas para trabajar en la capa inferior de la pila (Stack),
de protocolos (TCP/IP), funcionando por lo tanto en el nivel de datagrama y siendo
independientes del resto de protocolos de capas superiores (TCP, UDP...). La seguridad en
IPSec se proporciona mediante dos aspectos de seguridad [4].
FUNCIONAMIENTO
Por otro lado, IPsec est compuesto por varios sub-protocolos que se encargan de las tareas
de gestin, informacin criptogrfica y proteccin de la informacin, la gestin de las claves
recae sobre los protocolos Exchange of Internet keys (IKE), e Protocol of administration of keys
and the Association of Security in Internet (ISAKMP), mientras que la proteccin de la informacin
es responsabilidad de los sub-protocolos Useful load of safety of encapsulacin (ESP), y/o (AH),
dependiendo de los parmetros de seguridad que se hayan negociado. [3].
IKE Fase 2. Todo el trfico ya se transmite protegido por los parmetros negociados
en la (Fase 1), y se negocian los parmetros de seguridad que se proteger la
comunicacin de capas superiores.
IPSec tienen una gran versatilidad que les permite ser utilizadas en las distintas soluciones
adoptadas actualmente en INTERNET (comunicacin entre distintos cortafuegos (Firewalls),
configuracin de ordenadores mviles...), entre otros. El procedimiento de autenticacin
(fase1) permite que junto al protocolo de vecindad Neighbor Discovery Protocol (NDP), se puedan
asegurar intercambios seguros entre los distintos routers, evitando la intercepcin de los
datagramas, que mediante un sencillo conjunto de reglas (dejan pasar los datagramas que
vienen de la direccin A, no aceptar datagramas de las direcciones B y C, no aceptar
datagramas que vayan al puerto X...) filtra todo el trfico de INTERNET (entrante y saliente). [5].
FUNCIONAMIENTO.
(TLS), crea una capa adicional en la pila de comunicaciones que permite a las aplicaciones
que supervisen sus comunicaciones sin tener que realizar modificaciones importantes en
su cdigo.
(TLS), est compuesto por varios sub-protocolos especficos para llevar a cabo tareas
concretas, la funcin de cada uno de estos sub-protocolos es la siguiente:
- 64 -
E.MATERIALES Y MTODOS.
En esta seccin se da a conocer los recursos humanos, materiales as como los mtodos,
tcnicas y metodologas que fueron necesarias para la construccin de esta investigacin, ya
que a travs de ellas se recolect informacin relevante para realizar un proceso investigativo
fructfero y eficiente, y de esta forma cumplir con xito los objetivos planteados en la
realizacin del presente trabajo de fin de carrera.
RECURSOS
o
NOMBRE
Cristian Caldern
Director
Asesor
CARGO
Tesista
Director
Asesor
N HORAS
600
100
20
V/U
$ 5.00
$ 0.00
$10.00
V/T
$ 3000.00
$
0.00
$ 200.00
$ 3200.00
TOTAL
Tabla 10: Talentos Humanos
DESCRIPCIN
Ordenador porttil
Impresora
Disco Duro Externo
Flash Memory 8GB
Router Inalmbrico
Total Depreciacin
CANTIDAD
V/U
HARDWARE
1
$ 800.00
1
$ 95.00
1
$ 50.00
1
$ 10.00
1
$ 60.00
V/T
$ 800.00
$ 95.00
$ 50.00
$ 10.00
$ 60.00
SOFTWARE
S.O Windows8/Ubuntu14.10
1
$ 150.00
$ 150.00
Paquete Ofimtica
1
$ 120.00
$ 120.00
PacketTracer
1
$
0.00
$
0.00
Open Project
1
$
0.00
$
0.00
Mendeley Desktop
1
$
0.00
$
0.00
Wireshark
1
$
0.00
$
0.00
Nmap Security
1
$
0.00
$
0.00
Subtotal
$1285.00
Depreciacin
$ -152.25
Total
$1132.75
Tabla 11: Herramientas tecnolgicas y Equipo informtico.
- 65 -
DEPRECIACION
$
$
$
$
$
$
120.00
14.25
7.50
1.50
9.00
152.25
CANT.
2
2
4
3
3
100
100
100
$
$
$
$
$
$
$
$
V/U
4.00
1.00
0.50
3.00
0.60
0,02
0.25
0.50
V/T
$ 8.00
$ 2.00
$ 2.00
$ 9.00
$ 1.80
$ 2.00
$ 25.00
$ 50.00
$ 99.80
Finalmente se detallan los costos totales e imprevistos necesarios para la ejecucin del
proyecto.
DESCRIPCIN
Talento Humano
Servicios
VALOR
$ 3200.00
$ 99.80
Software/Hardware
$ 1132.75
Imprevistos
Total de Presupuesto
$ 60.00
$ 4492.55
MTODOS DE INVESTIGACIN.
En este apartado se describen los mtodos tericos utilizados en esta investigacin,
los cuales ayudaron a obtener informacin terica y deducir la misma:
o
en libros, revistas,
TCNICAS DE INVESTIGACIN
Como ya se ha mencionado, para efectuar una investigacin se requiere de una
seleccin adecuada del tema u objeto del estudio, sumado a esto se requiere de
tcnicas y herramientas que auxilien al investigador en la realizacin de su estudio, a
continuacin se detalla cada una de las tcnicas utilizadas que permitieron acercarse
a los hechos para acceder a informacin real y necesaria, para la construccin del
presente proyecto de investigacin:
Encuesta: Las encuestas estuvieron dirigidas a los usuarios que hacen uso
del servicio de voz, de los diferentes departamentos del Hospital Isidro Ayora
de Loja, con el fin de conocer cmo se realizan procesos afines con la
comunicacin, y saber cmo se maneja la seguridad en los servicios de
internet, de esta forma poder tomar acciones y corregir procesos errneos en
la comunicacin. (Ver anexo B).
Observacin Directa: Por medio de esta se pudo conocer de forma real las
instalaciones e infraestructura, es decir se conoci el equipo que se utiliza para
para brindar los servicios de voz que ofrece esta tecnologa, adems se
conoci como est la distribucin y topologa de la red de VoIP existente en
el Hospital Isidro Ayora de Loja, de la misma forma se constat procedimientos
y normas de seguridad que se aplican en la mencionada institucin.
METODOLOGAS
En todo proceso investigativo es necesario apoyarse en metodologas que guen y
respalden los procesos que se llevan a cabo durante la construccin de la misma, es
por esta razn que describo las metodologas que fueron idneas para esta
investigacin, por ser las ms acordes y que cubren los puntos necesarios para dar
cumplimiento a la primera fase de la presente investigacin, cabe sealar que para
las otras tres fases se adopta una metodologa propia, misma que se detalla en el
siguiente apartado.
METODOLOGA OCTAVE
Es una metodologa de anlisis de riesgos desarrollada por la Universidad Carnegie
Mellon en el ao 2001. Existen 3 versiones de esta metodologa:
o
Para la ejecucin de este proyecto de investigacin se utiliz la versin original, cabe sealar
que cada una de ellas tienen ciertas diferencias, pero el objetivo comn de todas ellas es el
estudio de los riesgos en base a tres principios: Confidencialidad, Integridad y
Disponibilidad, para ello utiliza un enfoque de tres fases para examinar la organizacin, la
tecnologa con el fin de extraer una imagen completa de la informacin y necesidades de la
organizacin, cada fase consta de varios procesos como se describe a continuacin.
- 68 -
- 69 -
Estrategia de proteccin
METODOLOGA OSSTMM
(Manual de la Metodologa Abierta de Testeo de Seguridad). Es uno de los estndares
profesionales ms completos y comnmente utilizados en Auditoras de Seguridad,
para revisar la Seguridad de los Sistemas desde Internet, con esta metodologa, puede
ayudar a QUE se debe de probar, COMO se puede hacer y CUANDO es necesario
ejecutarlo. OSSTMM permiten identificar claramente el alcance de cada una de las
actividades, evitando inconvenientes en tal sentido:
MAPA DE SEGURIDAD
Es una imagen de la presencia de seguridad. Est compuesta por seis secciones las cuales
constan de varios mdulos, y en cada mdulo se indica una serie de tareas o pruebas a
realizar, el orden en que se desarrolla cada mdulo depender de la visin del autor, cada
seccin es independiente las otras.
Estudiar el perfil actual de la red de datos del Hospital Isidro Ayora de Loja.
- 73 -
F. RESULTADOS.
En la presente seccin se da cumplimiento al primer objetivo planteado en el ante proyecto
de investigacin, en el cual se menciona realizar un anlisis de la situacin actual de la red de
VoIP del Hospital Isidro Ayora, por ende se detalla la estructura organizacional de la
Institucin, distribucin de procesos, polticas, y medidas de seguridad que actualmente se
manejan en la Institucin, de la misma forma se da un detalle de toda la infraestructura es
decir, se da a conocer todos los equipos que se encuentran en funcionamiento dentro de esta
red, tambin se realiza un detalle de la topologa y distribucin de red donde se expone el
direccionamiento de (VLANs) y la distribucin de usuarios de a (PBX).
El mismo que cuenta con los siguientes servicios: Ciruga General, Gineceo Obstetricia,
Medicina Interna, Pediatra, Servicio de Emergencia, Consulta Externa, Odontologa, Fisiatra,
adems cuenta con dos unidades de Hemodilisis y Quemados, as mismo tiene el servicio
- 74 -
1.1.
En la siguiente imagen se muestra su estructura jerrquica del Hospital Isidro Ayora de Loja.
1.3.
1.3.1.1.
RUTEADORES Y SWITCHES.
EQUIPO
SWITCH
CATALYST
CISCO NIVEL
2.
2.
SWITCH
3COM NIVEL
2Y3
1.
SWITCH
3COM NIVEL
2
1.
ROUTER
CISCO.
CARACTERISTICAS
COMUNICACIN: 3.2 Gbps.
ANCHO DE BANDA: 1.6 Gbps.
ENVIO DE PAQUETES:
3 millones de paquetes por segundo.
MEMORIA: 8MB de DRAM Y 4 MB de memoria Flash.
DIRECCIONES MAC: 2048.
STANDARD: Dplex completo IEEE 802.3xen puertos
10BaseT y 100BaseT.
PUERTOS: Puertos para conectores RJ 45 y un
puerto de consola RJ-45.
ANCHO DE BANDA: 8.8 Gbps.
ENVIO DE PAQUETES: 6.5 millones de paquetes por
segundo.
DIRECCIONES MAC: 8000.
APILAMIENTO: 8 unidades de Switch, o 384 puertos
10/100.
ESTANDAR: 802.1x Servidor de Aplicaciones.
PUERTOS:
24 puertos 10BASE T/100BASE-TX con auto
negociacin MDI/MDIX 2 Pares de puertos Gigabit de
uso dual: para RJ45 (cobre) o interfaces basadas en
SFP (fibra).
SEGURIDAD:
RADIUS RADA (acceso a dispositivo autenticado
mediante RADIUS) Control de puertos ACL soporte de
secure Shell (SSHv2) y SNMPv3.
CAPA 2: VLANs basadas en puertos (802.1Q).
CONMUTACION: 5.2 Gbps, velocidad hasta 3.9
Mbps. X3430 (2.40 GHz).
PUERTOS: 26 puertos disponibles en total que
consisten en: 24 puertos 10BASE-T/100BASE-TX, 2
puertos 10/100/1000 o SFP, Puerto de consola RJ45.
CAPA 2: Soporte de VLAN IEEE 802.1Q.
SEGURIDAD: Login de red IEEE 802.1X autenticacin
de servidor RADIUS, RADA.
COMUNICACION: Entre 50 y 70 kbps. X3430 (2.40
GHz).
PROCESADOR: 100-MHz IDT R4700 RISC.
MEMORIA FLASH: 8 MB ampliables a 32 MB.
MEMORIA DEL SISTEMA: 16 MB DRAM ampliables
a 128 MB de DRAM.
RANURAS PARA MODULOS DE RED: 4.
- 77 -
FUNCION
DISTRIBUCIN
Y ACCESO.
CORE.
DISTRIBUCIN.
DE BORDE
ISP.
1.
1.
SWITCH
DLINK.
SWITCH.
DISTRIBUCIN.
DISTRIBUCIN.
Tabla 14: Lista de Routers y Switchs del Hospital Isidro Ayora de Loja
1.3.1.2.
SERVIDORES.
Los servidores que posee el Hospital Isidro Ayora, corresponden al sistema de informacin y
servicio de (VoIP), en los cuales se encuentran instaladas las bases de datos y sistemas de:
estadstica, recaudacin, sistema de recursos humanos, entre otros.
Cabe recalcar que ciertas maquinas que trabajan con Sistemas Operativos de Microsoft
(Windows), carecen de licencias, lo que de antemano se considera una vulnerabilidad ante la
falta de soporte y la correcta utilizacin del sistema.
En la siguiente tabla Se describen las caractersticas de los mismos.
SERVIDOR
IBM NEFINITY
HP
PROLIANT.
HP ML.
CARACTERSTICAS
MEMORIA: 785.944KB 4 discos IBM SCSI
10GB Adaptador PCI IBM10/100 Ethernet
IBM 10/100 Netfity
S.O: Windows Server 2000 SP 4.
PROCESADOR: Core 2 Quad Intel Xeon
5450 (3.0GHz).
MEMORIA: 12 MB.
ALMACENAMIENTO:
2 discos 146 GB 10K SAS 2.5.
RED: E400/512MB RAID
S.O: Windows Server 2008 SPD.
PROCESADOR: Quad Core Intel Xeon
X3430 (2.40 GHz).
MEMORIA: 2 GB expansible a 8 GB DDR3.
ALMACENAMIENTO: Disco de 500 GB
SATA.
RED: Controladora Ethernet CbE.
S.O: Centos 5.9.
FUNCION
LICENCIA
Servidor de
seguridad de
Active Directory.
NO
Servidor
de
Aplicaciones.
NO
Servidor de Voz.
LIBRE
Tabla 15: Servidores de la Red de Datos del Hospital Isidro Ayora de Loja.
- 78 -
DEPARTAMENTO
Activo fijos
EXT
7230
Activo fijos
delegacin
7225
Asesora jurdica
asistencia
Asesora jurdica
coordinacin
Audiometra
7221
7217
7274
DEPARTAMENTO
Gestin
Administrativa
Coordinacin
Gestin
Administrativa
Secretaria
Gestin de calidad
y acreditacin
Gestin
Documental
Estacin de
enfermera
EXT
7233
DEPARTAMENTO
Mantenimiento
bodega
EXT
7250
DEPARTAMENTO
Consultorio
oftalmologa 2
EXT
7279
7232
Mantenimiento
calderos
7243
Consultorio
traumatologa
7214
7284
Mantenimiento
coordinacin
Mantenimiento
secretaria
Medicina fsica y
rehabilitacin
(fisiatra)
7216
Compras pblicas
adquisiciones
Compras pblicas
coordinacin
Compras pblicas
secretaria
7208
7211
7246
- 79 -
7215
7271
7206
7207
Bodega general de
coordinacin
7249
Gestin financiera
coordinacin
7213
Bodega general
secretaria
7248
Gestin financiera
secretaria
7228
Caseta principal
7281
Estacin social
7226
Central
esterilizacin
7259
Centra telefnica
7231
Centro obsttrico
estacin de
enfermera
Centro quirrgico
7224
Centro quirrgico
secretaria
Ciruga estacin de
enfermera
Clnica del VIH
7263
Comunicacin
imagen y prensa
Consulta externa
7235
Consulta externa
cardiologa
Consulta externa
gastroenterologa
7296
7293
Gineco obsttrico
estacin de
enfermera
Gineco obsttrico
secretaria
Imagenologica
agentamiento de
turnos
Imagenologia sala
de ecos
Imagenologia sala
de informes
Imagenologia
secretaria
Laboratorio clnico
exmenes
Laboratorio clnico
secretaria
Laboratorio clnico
SMT
Laboratorio de
patologa
Epidemiologia
Consulta externa
trabajo social
Consultorio
cardiologa
Consultorio
oftalmologa 1
Gestin financiera.
Administracin de
caja
7286
Estadstica archivo
7236
7267
Estadstica
coordinacin
Estadstica datos
7244
Estadstica
referencia/contra
referencia
7237
7261
7275
7257
7218
7273
7229
7265
Direccin administrativa
y financiera
7278
7256
Direccin secretaria
7210
7264
Dispensario anexo al
IESS
7222
7234
Medicina interna
estacin de
enfermera
Neonatologa
estacin de
enfermera
Nutricin y
diettica
coordinacin
Odontologa
7297
Docencia e
Investigacin
7292
7238
Operadora
7262
7269
Ortesis y prtesis
coordinacin
7219
Hemodilisis estacin
enfermera
Unidad de quemados
estacin de enfermera
7272
Pediatra estacin
de enfermera
Planificacin
7258
7287
7245
7260
Sala de primera
acogida
Salud mental
coordinacin
Salud ocupacional
7266
Unidad hemodilisis
secretaria
Emergencia
7227
7223
Facturacin de la RIPS
y SOAT
Gerencia secretaria
Talento humano
asistente
Talento humano
coordinacin
Talento humano
secretaria
7209
Electroencefalogramas
7277
7299
7242
Taller de Ortesis y
Prtesis
TICs
7220
7200
Gestin financiera
Adm. Caja secretaria
Farmacia
(medicamentos e
insumos)
Farmacia coordinacin
(medican. E Insumos)
Emergencia 2
Transporte y
servicios
UCI estacin de
enfermera
7294
Endoscopia
7276
7268
7270
7283
7253
7251
7240
7252
7241
7280
7247
7282
7254
7204
7255
7298
7285
7239
A continuacin se detallan cada uno de los mdulos que conforman actualmente la red de
datos de la institucin.
1.3.5.1.
BLOQUE DE CAMPO.
Ilustracin 18: Bloque de Campo de la red de datos del Hospital Isidro Ayora de Loja
1.3.5.2.
MODULO CORE.
El objetivo del mdulo core es enrutar y conmutar el trafico lo ms rpido posible de una red
a otra, es decir conectar el bloque del permetro con la red de campo, y con el equipo System
Of Intruders' Detection In A Network (NIDS) (denominado sistema AlienVault 3.1).
Ilustracin 19: Esquema del mdulo Core de la red de datos del Hospital.
- 81 -
Este es un sistema para la deteccin oportuna de intrusos en la red interna. En este mdulo
se encuentran dos Switch de capa 3, los cuales proporcionan las funcionalidades de acceso
y seguridades necesarias entre las subredes, en estos equipos estn instaladas 4 interfaces,
donde se alojan los puntos de acceso inalmbrico, mismos que cuentan con IPs estticas en
la (VLANs) de acuerdo a los usuarios:
En la siguiente tabla se detalla la distribucin de (VLANs) del Switch Core.
DISPOSITIVO
Switch core1
Switch Core2
INTERFAZ
DESCRIPCIN
RED
VLAN2
VLAN5
VLAN50
VLAN99
VLAN100
VLAN2
VLAN10
VLAN40
VLAN60
VLAN99
Nativa
Internet
Administrativos
Administracin
Servidores
Nativa
Voz
Mdicos
Operativos
Administracin
-192.168.1.0
10.104.37.0
10.104.31.0
10.104.32.0
-10.104.33.0
10.104.36.0
10.104.37.128
10.104.31.0
DIRECCIN
IP
-192.168.1.1
10.104.37.1
10.104.31.1
10.104.32.1
-10.104.33.1
10.104.36.1
10.104.37.129
10.104.31.2
MASCARA
-255.255.255.252
255.255.255.128
255.255.255.224
255.255.255.192
-255.255.255.0
255.255.255.0
255.255.255.128
255.255.255.224
ACL VLAN.
Las reglas de control estn diseadas para permitir o denegar acceso tal como se
muestra a continuacin:
o
MDULO DE DISTRIBUCIN
Switch Core 1
Switch Core 2
Switch Distribucin 1
Switch distribucin 2
ASIGNACIN
VLAN 2 Nativa Modo Trunk
VLAN 5 Internet
VLAN100 Servidores
VLAN 10 Voz
VLAN 99 Administracin
Monitoreo
VLAN 2 Nativa Modo Trunk
VLAN 2 Nativa Modo Trunk
VLAN 50 Administrativa (Nativa)
VLAN 10 Voz
Modo Trunk
VLAN 2 Nativa Modo Trunk
VLAN 50 Administrativa (Nativa)
VLAN 10 Voz
Modo Trunk
- 83 -
PUERTO
fa0/1, fa0/6, fa0/12, Gi0/27
Gi0/28
fa0/2, fa0/3
fa0/4
fa0/13, fa0/23
fa0/24
Gi0/28, Gi0/25, fa0/1, fa0/2,
fa0/1,
fa0/2 -- fa0/24
fa0/1
fa0/2 -- fa0/24
1.3.5.3.
MODULO DE SERVIDORES.
En este mdulo se encuentran los servidores de la red interna del Hospital, mismos que se
conectan directamente al core de la red, garantizando que los servicios sean alcanzados por
los usuarios finales. Cabe sealar que aqu se incluye el servidor (DHCP) de la red, el mismo
que contiene las (VLANs) de: Mdicos, Administrativos, Operativos y Administracin.
Cuenta con la direccin IP de la (VLAN) de Administracin para su configuracin y
mantenimiento remotamente.
Los servidores estn ubicados en la (VLAN) 100, y tendrn una direccin IP esttica asignada
de la siguiente forma:
SERVIDOR
Servidor SGH-SGRHIA
Servidor de recaudacin Sistema Mnica Active Directory
Servidor VoIP
Servidor DHCP
Tabla 19: Asignacin de direccin IP a los servidores de
1.3.5.4.
DIRECCIN IP
10.104.32.51
10.104.32.52
10.104.33.2
10.104.31.27
la Red.
BLOQUE DE PERIMETRO.
MODULO DE INTERNET.
Este es el modulo ms crtico de la red, por ser el que provee el servicio de internet,
adems es aqu donde se aloja el servidor del sitio web, cuya base principal es el
- 84 -
equipo firewall, permitiendo controlar el acceso tanto al servidor web como a la red
interna, este cuenta con tres interfaces en las cuales se encuentra el servidor proxy de
la red interna, como tambin el equipo (IDS), y el System Of Intruders Detection In A Host
(HIDS).
FIREWALL
Firewall
IDS
Antivirus
Filtro HTTP
DNS
1.3.5.5.
BLOQUE ISP.
Este bloque proporciona internet con un enlace de 3Mbps, a travs de un router que administra
el enlace Wide Area Network (WAN), el servicio de enrutamiento, a internet, seguridad y (DNS),
el router del (ISP) est configurado con una direccin IP privada, una direccin IP publica para
el internet y una IP publica para el servidor web.
1.3.5.6.
Ilustracin 23: Topologa de la red de datos del Hospital Isidro Ayora de Loja.
- 86 -
PROBLEMA
AMENAZA
Asignacin manual de direcciones IPs.
Falta de backups de informacin.
Interrupcin en la
Falta de polticas de acceso a la red.
disponibilidad del
Falta de control de acceso del contenido de internet.
servicio.
Contraseas inseguras.
Ausencia de contraseas.
Perdida de informacin.
Accesos no autorizados.
Falta de control de acceso a las instalaciones del centro de
cmputo.
Perdida de informacin.
Falta de documentacin en la configuracin de los equipos de red.
No se utiliza mecanismos de proteccin como: firewall, proxy,
Ataques de (Malware)
autenticacin o deteccin de intrusos.
Carece de e-mail corporativo.
Tabla 20: Lista de problemas encontrados en la Institucin
2.1.
HARDWARE
FACTORES DE IMPORTANCIA
Servidor del software MONICA utilizado por el departamento de
recaudacin.
Servidor del Sistema de Gestin Hospitalaria SGH.
Servidor del Sistema de Recursos Humanos SGRHIA.
Servidor de Comunicaciones con Elastix para VoIP.
Administracin de VLANS de la red.
Acceso inalmbrico para el rea de direccin.
Acceso de estaciones de trabajo a la red.
Servicio de internet. (ISP)
Tabla 21: Activos Crticos de Hardware.
SOFTWARE
FACTORES DE IMPORTANCIA
Sistema Operativo Windows 2000 Server del Servidor de recaudacin.
Sistema Operativo Windows 2008 Server del servidor de los sistemas SGH
y SGRHIA.
Sistema Operativo Centos 5.3. servidor de Voz
Sistema Operativo de equipos administrables de la red como switch
3com y cisco 2900.
Tabla 22: Activos Crticos de Software.
COMUNICACIONES
2.2.
AMENAZAS
Corte de energa
Acciones mal intencionadas o por desconocimiento
HARDWARE
sobrecargas elctricas
Discontinuidad del servicio por diseo inadecuado de infraestructura de
red y falta de documentacin.
Accesos no autorizado
Robo de contraseas
SOFTWARE
No existen planes de mantenimiento preventivo ni correctivo.
Denegacin de servicios
Destruccin o modificacin del sistema operativo o aplicaciones
Errores en la manipulacin del sistema operativo o aplicaciones
Malware
Corte de energa
Acceso no autorizado
COMUNICACIONES Manipulacin inadecuada de la infraestructura de comunicacin telefnica
Denegacin de servicios
Intercepcin de la comunicacin.
Tabla 23: Posibles amenazas en la red de VoIP del Hospital Isidro Ayora
los activos de la red, para proceder con el desarrollo del anlisis de vulnerabilidades es
necesario determinar el mtodo de anlisis, el tipo de test y las herramientas a utilizar con el
fin de determinar las tareas que se va a realizar.
Para poder realizar este anlisis se utilizara el mtodo de caja blanca, ya que el
administrador de la red ha proporcionado el acceso necesario para la realizacin de
este trabajo, adems proporciono ciertas direcciones IP de los servidores y las puertas
de enlaces de los equipos de red, las cuales se las agrupado en archivos de texto
plano denominados [IP-Servidores.txt e IP-Equipos-Red.txt], esto con
el fin de no revelar las IPs por motivo de seguridad, de tal forma que el anlisis ser
completo, para ello fue necesario una carta de autorizacin (ver anexo C), hacia la
institucin con el fin de tener el consentimiento para el desarrollo de las pruebas de
seguridad en la (VLANs), gracias a ello se defini los puntos clave en los cuales se ve
comprometida la seguridad de la misma.
TIPO DE TEST
ELECCIN HERRAMIENTAS
SIPSCAN
ENUMIAX
SIPVICIOS
SHODAN
ETTERCAP
X
X
- 91 -
KISMET
TCPDUMP
WIRESHARK
X
X
X
X
X
X
X
Finalmente se realiza una tabla con las herramientas escogidas durante la comparacin, con
las que se pretende realizar el anlisis de las vulnerabilidades de la red, las cuales se
describen a continuacin:
HERRAMIENTA
OBJETIVO
Nmap
Escaneo de red
EnumIAX
Obtencin de extensiones
Wireshark
Captura de llamadas
Tabla 27: Herramientas elegidas para el objeto de estudio.
3.1.
FACTORES DE IMPORTANCIA
Constituyen el componente principal de la red ya que permiten la gestin de la
informacin y la comunicacin dentro y fuera del hospital.
Equipos de comunicacin
de la red
Equipos terminales
3.2.
1. SONDEO DE RED
El sondeo de red es la primera actividad de esta seccin, que nos permite explorar el diseo
de la red para determinar sus vulnerabilidades. Para la realizacin del test a travs de la
herramienta Kali Linux, se asignado la IP [10.104.33.201] al equipo de pruebas.
1.1.
ENUMERACIN DE PUERTOS
Esta actividad nos permite conocer los puertos (TCP) y (UDP), que se encuentran abiertos,
filtrados o cerrados en el servidor de (VoIP), para posterior mente descubrir las
vulnerabilidades a las que se encuentra expuesto. Para la numeracin de puertos y sistemas
se hace uso de (Nmap), ya que cntiene una base de conocimiento bastante amplia para
determinar los resultados con la mayor precisin posible. Es necesario conocer los puertos
abiertos mayores a [1024], que son utilizados por las distintas aplicaciones, y de esta
manera descubrir el uso de puertos no registrados por aplicaciones inseguras. El escaneo
- 93 -
UDP no es exacto, sin embargo, este protocolo es bastante dbil por lo que es necesario
analizar los puertos que se encuentran abiertos, para verificar los resultados obtenidos con
(Nmap), fue necesario realizar conexiones va telnet a los puertos (TCP), comprobando que
algunos puertos se encuentran cerrados los mismos que se indican en las tablas de
resultados.
ESQUEMA
[nmap sS iL<archivo>]
- 94 -
(Nmap) para que enve paquetes (SNY) (-sS) al objetivo, las opciones
utilizadas son:
[Nmap sU iL<archivo>].
- 95 -
Cabe mencionar que se realiz el scanner a todos los servidores que se encuentran en la red,
e incluso algunos que no estn realizando ninguna actividad, pero como el estudio est
enfocado solo al servicio de (VoIP), razn por la cual en la siguiente tabla solo se muestra un
resumen de los resultados obtenidos del escaneo (SNY), (CONNECT) y (UDP) realizado al
servidor de Voz IP.
Puerto
22/TCP
25/TCP
80/TCP
110/TCP
111/TCP
143/TCP
443/TCP
993/TCP
995/TCP
1022/TCP
De la misma forma se realiz un escaneo a los dos equipos de red (Switch 3com) ya que
en unos de estos equipos se encuentran configurada la (VLAN) de transmisin de Voz en
los cuales los resultados obtenidos son similares y se los detalla a continuacin:
o
[Nmap sS iL<archivo>]
[Nmap sU iL<archivo>].
- 97 -
El escaneo se realiz a todos los equipos, y a cada una de las puertas de enlaces o gateways,
que estn asignados a las interfaces donde se encuentran configuradas las (VLANs). En la
siguiente tabla se muestra un resumen de los puertos que se encontraron abiertos en el
(Switch 3com).
PUERTO
22/TCP
23/TCP
80/TCP
161/UDP
520/UDP
SWITCH 3COM
ESTADO
SERVICIO PUERTO
ESTADO
Abierto
Ssh
1024/UDP Abierto/filtrado
Abierto
teInet
1645/UDP Abierto/filtrado
Abierto
http
1646/UDP Abierto/filtrado
Abierto/filtrado Snmp
1812/UDP Abierto/filtrado
Abierto/filtrado Route
5001/UDP Abierto/filtrado
Tabla 31: Enumeracin de puertos TCP y UDP de equipos de red
SERVICIO
Desconocido
Radius
Radacct
Radius
Complex-link
En los equipos de red 3Com, se encontr el puerto161 abierto, este puede ser utilizado para
obtener informacin de los equipos mediante software de enumeracin, cuando el servicio
(SNMP) no este configurado adecuadamente modificando los valores por defecto.
1.2.
Para identificar los protocolos de enrutamiento utilizados en la red del Hospital se utiliz la
herramienta Wireshark, para capturar trfico.
- 98 -
Los resultados obtenidos de varias capturas muestran el uso del Routing Information Protocol
Version2 (RIPv2) para el enrutamiento de paquetes de voz y datos a sus respectivos
servidores.
1.3.
1.4.
IDENTIFICACIN DE SERVICIOS
[#nmap v A T4 iL <archivo>]
o
[#nmap v A T4 iL /root/Desktop/IP-Servidores]
La sentencia por consola desde Kali Linux para el escaneo de las versiones de los servidores,
las opciones utilizadas son:
[#nmap v A T4 iL /root/Desktop/Equipos-red]
La sentencia por consola desde Kali Linux para el escaneo de las versiones de los equipos de
red, las opciones utilizadas son:
En la siguiente tabla se detallan los resultados obtenidos de la ejecucin por consola, para
identificar los servicios que se encuentran corriendo en los puertos de los equipos de red
(Switch 3com).
PUERTO
22/TCP
HA
80/TCP
SWITCH 3COM
SERVICIO
APLICACIN
Ssh
HUAWEI VRP sshd 3.3 (protocol 2.2)
telnet
3Com 4500 switch tellnetd
http
WMI V5 (3Com 5500g-El switch http config)
Tabla 33: enumeracin de servicios en servidor de VoIP
- 101 -
Un atacante con los conocimientos suficientes en vulnerar sistemas, reconocer las versiones
de las aplicaciones que posean vulnerabilidades y poder realizar ataques a la red.
En el siguiente test se pretende realizar un reconocimiento de las vulnerabilidades en las
aplicaciones para lo cual se utilizar el escner que proporciona el sistema Kali Linux.
1.5.
[# Nmap v A T4 iL /root/Desktop/IP-Servidores]
- 102 -
La sentencia por consola desde Kali Linux para el escaneo de las versiones de los equipos de
red, las opciones utilizadas son:
En la siguiente tabla se describen los sistemas operativos que se estn corriendo en cada uno
de los equipos, antes mencionados siendo de nuestra importancia el servidor de Voz, y los
equipos de red junto con la IP correspondiente.
EQUIPO
IP
SISTEMA OPERATIVO
Router
10.104.32.53
Switch 3Com
10.104.32.1
3Com Europe
Servidor SGH
10.104.32.51
Servidor Recaudacin
10.104.32.52
Servidor de Voz
10.104.33.2
2.1.
VULNERABILIDAD
IMPACTO
RIESGO
CVE
443/tcp
Aplicacin/
Sistema
Alto
2011-3192
80/tcp
Aplicacin
Alto
2009-3095
EXPLOIT
49303.c
2.2.
Los equipos de red no presentan vulnerabilidades con riego crtico en el anlisis de puertos y
aplicaciones. Los Switch 3Com presentan una vulnerabilidad en el servidor (SNMP), que
posee el nombre por defecto de la comunidad (publica), lo que se considera un riesgo si un
atacante logra acceder como administrador, conocera toda la informacin de los dispositivos
de la red, tanto de hardware como de la configuracin.
El escner, sin embargo, proporciona algunas advertencias de seguridad con el puerto Telnet,
que es comnmente vulnerado. El router de internet no presenta vulnerabilidades de alto
riesgo, ya que se encontraron puertos abiertos a lo que se considera vulnerabilidades de
mnimo riesgo.
2.3.
VERIFICACIN DE VULNERABILIDADES
Con la finalidad de demostrar como un atacante puede ingresar a los servidores valindose
de las vulnerabilidades encontradas, se utiliz la herramienta Metasploit, muy conocida en el
mundo del hacking por la extensa base de datos de Exploits que contiene de acuerdo al
sistema o aplicacin. Kali Linux, nos proporciona una base de datos exploits-db en donde se
puede realizar la bsqueda de Exploits de acuerdo a la vulnerabilidad de aplicacin o sistema,
adems de algunos enlaces Web de bsqueda de Exploits: Security Focus de Symantec y
Exploits-DB. La bsqueda se realiza mediante el cdigo de vulnerabilidad (CVE), cabe
- 105 -
mencionar que esta heramienta es privativa, ya que si se quiere solventar las vulneravilidades
que este muestra habria que adqurir la licencia, pero se puede relizar lo siguiente:
Los Exploits encontrados se pueden copiar en la base de datos de Kali Linux, para hacer uso
de ellos y poder generar saluciones a tales vulneravilidades.
3. ENRUTAMIENTO.
Para obtener informacin del enrutamiento interno de la red, no fue necesario utilizar ninguna
herramienta ya que el administrador de (TIC) nos proporcion esta informacin, as mismo nos
- 106 -
advirti que la red est sujeta a redistribuciones, por lo cual estas direcciones estn sufriendo
modificaciones. En el caso de ser necesario se utilizara la herramienta Snmpchek, ya que
esta permite vulnerar el puerto (UDP) 161 (SNMP), pudiendo obtener informacin sin la
necesidad de loguearse. Par realizar el escaneo se indica el sistema objetivo con la opcin (
t), y el comando necesario para realizar este objetivo sera el siguiente:
[Snmpchek-1.8.pl t 10.104.33.1]
DESTINO
10.104.32.0
10.104.32.1
10.104.33.0
10.104.33.1
10.104.35.0
10.104.35.1
10.104.36.0
10.104.37.0
127.0.0.0
127.0.0.1
DESTINO
10.104.32.0
10.104.33.0
10.104.35.0
10.104.35.2
10.104.36.0
10.104.36.1
10.104.37.0
10.104.37.1
127.0.0.0
127.0.0.1
MSCARA
SIGUIENTE SALTO
INTERFACE
225.255.255.0
10.104.32.1
Vlan-nterface1
255.255.255.255
127.0.0.1
InLoopback0
255.255.255.0
10.104.33.1
Vlan-interface10
255.255.255.255
127.0.0.1
InLoopBack0
255.255.255.0
10.104.35.1
Vlan-interface20
255.255.255.255
127.0.0.1
InLoopback0
255.255.255.0
10.104.35.2
Vlan-interface20
255.255.255.0
10.104.35.2
Vlan-interface20
255.0.0.0
127.0.0.1
InLoopback0
255.255.255.255
127.0.0.1
InLoopback0
Tabla 36: tabla de enrutamiento Switch 3Com1.
MSCARA
SIGUIENTE SALTO
INTERFACE
225.255.255.0
10.104.35.1
Vlan-interface20
255.255.255.0
10.104.35.1
Vlan-interface20
255.255.255.255
10.104.35.2
Vlan-interface20
255.255.255.255
127.0.0.1
InLoopback0
255.255.255.0
10.104.36.1
Vlan-nterface1
255.255.255.255
127.0.0.1
InLoopback0
255.255.255.0
10.104.37.1
Vlan-interface10
255.255.255.255
127.0.0.1
InLoopback0
255.0.0.0
127.0.0.1
InLoopback0
255.255.255.255
127.0.0.1
InLoopback0
Tabla 37: Tabla de enrutamiento Switch 3Com2.
En el caso del router del Internet Service Provider (ISP), no se proporcion ninguna informacin
por motivos de seguridad, las tablas que se muestran a continuacin corresponden a la
informacin de la tabla de enrutamiento proporcionada por el administrador.
4. DESCIFRADO DE CONTRASEA
En este apartado se intentara buscar contraseas a travs de ataque de fuerza bruta haca
las aplicaciones de los equipos de red y servidores. Para la ejecucin de esta tcnica se
requiere de una lista de palabras, con el fin de efectuar las combinaciones necesarias hasta
descubrir usuarios y contraseas correctas, para poder llevar a cabo este ataque se elabor
un archivo de texto con palabras claves (diccionario.txt). Kali Linux, contiene algunas
herramientas para descifrado de contraseas mediante fuerza bruta, se han seleccionado dos
de las ms utilizadas como son Hydra y Medusa.
- 107 -
#[hydra
10.104.32.1
L
/root/Desktop/diccionario.txt
P
/root/Desktop/diccionario.txt e ns f http-get/en/login.html]
(L):Busca el login.
(P):Busca el password.
Asi mismo debe ir el protocolo que se va vulnerar y el nombre de la pgina, por ejemplo:
http-get/en/login.html
En caso de Medusa se aumenta los parmetros (v) (verbose) que permite garantizar la
bsqueda. Las herramientas que se utilizaron muestran el nombre de usuario de los equipos
a partir de las palabras del diccionario, sin embargo solo se pudo descubrir el password de
ciertos equipos que tienen password muy sencillas o por defecto tal.
- 108 -
4.1.
El acceso a los equipos de red se realizan va telnet o http, por tanto no estn expuestos a un
ataque de descifrado de contraseas, adems de las herramientas mencionadas, se realiz
un ataque Man in the Middle, a travs de la herramienta Ettercap, este ataque permiti
obtener el usuario y password de los equipos de red a travs de la conexin http, desde un
equipo de TIC (10.104.37.201).
En la siguiente ilustracin se muestra el escenario del ataque realizado.
Para empezar el Sniffing con ettercap se realizo lo siguiente: en el men Sniff, se
seleccion Unified Sniffing, ya que el modo Bridged se utiliza cuando el atacante se
ubica como pasarela con dos interfaces de red, bien pues se seleccion la interfaz de red que
se requiere poner en modo monitor a travs de la cual capturaremos el trfico.
- 109 -
Para seleccionar los equipos fuente y destino de la transmisin que se desea capturar, se
realiza un escaneo de host a partir del men Hosts, una vez completo el escaneo, se obtiene
la lista de hosts de la red correspondientes al rango de direcciones, al cual pertenece la
direccin IP de la tarjeta de red del atacante, se selecciona como destino1 el equipo servidor,
y como destino 2 el cliente vctima.
En el men (MITM), se selecciona la opcin del atacante a realizar, en este caso ARP
Spoofing. Una vez realizado el proceso se debe esperar hasta que la vctima intente
loguearse al equipo servidor o acceder a algn servicio.
En el men View se puede observar las conexiones realizadas as como los datos de cada
transmisin y conexin.
Una vez realizado el test se puede concluir que, el uso de protocolos para el acceso a los
equipos sin encriptacin es una amenaza para la seguridad de los mismos, y ms an cuando
su administracin se realiza desde la red de un usuario final.
- 110 -
4.2.
IDENTIFICAR
SISTEMAS
DE
USUARIOS
CON
LAS
MISMAS
CONTRASEAS
Utilizando el usuario y password descifrados se obtuvo acceso a los equipos de red, esto
permite corroborar la informacin proporcionada por el administrador de la (TIC) en la
entrevista, acerca del uso de la misma contrasea para todos los equipos administrables de
la red.
En la red se puede observar gran cantidad de trafico broadcast que no es controlado, por
esta razn se realiz el ataque Smurff al servidor de voz, obteniendo como resultado la
inundacin de la red con paquetes broadcast, dejando fuera de servicio el servidor de internet.
La instrucion de Hping3 para realizar el ataque SNY-FLOOD en el router de internet es:
Donde:
Los ataques de (DoS) utilizando el protocolo icmp se puede controlar mediante el uso de una
herramienta (IDS) que permita detectar en tiempo real acciones inusuales en la red como el
envo masivo de paquetes Echo Ping.
la red para ello se agregaron dos extensiones denominadas prueba1 y prueba2, cuyo nmero
es 3000 y 3001 respectivamente. Con el fin de no molestar e impedir la regularidad de las
actividades diarias de los usuarios se implement el software softphone denominado ZOIPER
el cual simula un TELEFONO IP en un ordenador es decir es un telfono virtual tal como se
aprecia en la siguiente imagen, mismos que se los configuro con las extensiones antes
mencionadas.
Este contiene los mismos servicios y vulnerabilidades de un telfono fsico, a travs de estos
se procedi a realizar ciertas llamadas entre estos dos, y luego hacia el resto de extensiones
del hospital con el fin de capturar una llamada y demostrar si es o no vulnerable a este ataque.
- 114 -
La captura de trfico con Wireshark durante el ataque (MiM), permite observar las llamadas
realizadas a travs del servidor de (VoIP) (10.104.33.2).
de
trafico
Eavesdropping
Ataque de inundacin
de UDP
Denegacin
servicio
de
DESCRIPCION
En esa tendencia de ataques a los sistemas VoIP, lo que usuario mal intencionado
busca es poder monitorear y en su efecto escuchar las llamadas telefnicas
desprotegidas realizadas por dos o ms terminales bajo cualquier protocolo VoIP
Esta tcnica busca estudiar como la tcnica VoIP se comunican entre s; mediante
la realizacin de un exhaustivo estudio de comportamiento y estructura de los
paquetes VoIP
Esta tcnica de ataque es la que ms afecta a los sistemas de telefona IP ya que
es aqu donde un atacante puede escuchar las llamadas entre dos terminales VoIP
a esto se lo denomina Man-in-the-Middle(MitM)
Es el tipo de ataque DoS(Denial of Service) ms utilizado por los atacante debido
a que las direcciones de origen de los paquetes UDP (User Datagram Protocol) son
fcil mente falsificables y que tambin la mayora de los dispositivos VoIP actuales
soportan al protocolo UDP de manera nativa y por ende transparente
Denegacin de servicio de la red IP estn expuesto los mismos ataques por
inundacin (flooding) que afectan a otros servicios basados en IP. Los ataques a
infraestructuras incluyen la inundacin de dispositivos telefnicos con una serie de
andanadas de paquetes TCP SNY/UDP
- 115 -
Craqueo
contraseas
de
Cuando el atacante captura trfico de sealizacin SIP (sin TLS) en la red, de estos
paquetes puede obtener los hash MD5 de las contraseas. Mediante el uso de una
de las mltiples herramientas que existen para tal fin estas podran ser crackeadas.
Tabla 38: resumen de os ataques a los que est expuesta la red de datos del hospital Isidro Ayora de Loja
4.1.
PROBABILIDAD
La presente tabla describe los valores de probabilidad de ocurrencia de una amenaza
sobre los activos crticos.
VALOR
FRECUENCIA DE OCURRENCIA
Alto (3)
Ms de 12 veces por ao.
Medio(2)
De 2 a 11 veces por aos
Bajo(1)
Una vez por ao
Tabla 39: Criterios de valorizacin de probabilidad de amenazas.
IMPACTO
Para determinar el impacto sobre la ocurrencia de una amenaza se han considerado 3
factores principales: Revelacin, Prdida o Destruccin e Interrupcin.
Los criterios de la valorizacin de impacto se describen en la siguiente tabla.
INTERRUPCIN
PERDIDA / DESTRUCCIN
REVELACIN
IMPACTO
CRITERIOS DE VALORACIN
ALTO = 3
MEDIO = 2
BAJO = 1
Conocimiento de la informacin
contenida en los activos o su
configuracin por personas no
autorizadas.
No
se
contabilizan
danos fsicos ni lgicos
en los activos
Daos reparables
a los
equipos de red o servidores.
Prdida
de
productividad
de
aplicaciones
y/o
persona en el rango de
minutos.
Conocimientos
de
las
caractersticas de los activos
Los
servicios
que
dependen del internet se
ven
mnimamente
afectados
Perdida
completa
de
la
disponibilidad de los equipos de la Perdida de disponibilidad de
red y servidores.
la red y equipos de Perdida
en
la
La mayora del personal del conectividad por algunas disponibilidad de la red
hospital no puede realizar tareas horas.
por pocos minutos
que dependan de la disponibilidad
del activo.
Disponibilidad nula del servicio de Servicios que dependen del
internet en la institucin.
uso del internet se ven
No disponibilidad de servicios que parcialmente afectados
dependan del uso del internet.
Tabla 40: Criterios de evaluacin de probabilidad de amenaza.
RIESGO
VALOR
ACCIN
Se
debe
dar
tratamiento
vulnerabilidades de forma inmediata.
Alto
69
Medio
34
Bajo
12
de
PROBABILIDADES
Corte de energa
Acceso no autorizado
Manipulacin inadecuada
de la infraestructura de
comunicacin telefnica
Denegacin de servicios
Interpretacin
comunicacin
de
la
RIESGO
Revelacin
Perdida-Destruccin
Interrupcin
Revelacin
Perdida-Destruccin
Interrupcin
Revelacin
Perdida-Destruccin
Interrupcin
Revelacin
Perdida-Destruccin
Interrupcin
Revelacin
Perdida-Destruccin
Interrupcin
- 118 -
Los riesgos que predominan en los activos de comunicacin son: accesos no autorizados,
manipulacin inadecuada de la infraestructura de comunicacin telefnica e interpretacin de
la comunicacin.
La mayora de amenazas presentan un nivel de riesgo medio y bajo en los activos tanto de
software y hardware, debido a que no se han presentado casos por lo tanto la probabilidad de
amenazas es mediana, aunque no se descarta la posibilidad de ocurrencia de alguna de estas
amenazas, por lo que deben ser tratadas en un caso de estudio diferente, ya que est
investigacion esta enfocada a la seguridad de las comunicaciones.
Sin embargo en los activos de la comunicacin los riesgos que se definieron son altos, ya que
todo el personal que se encuentra laborando en la institucin, realizan intercomunicaciones
con una constancia muy alta, con el fin de agilizar sus tareas, un ejemplo de ello es la
funcionalidad de la central telefnica, ya que por medio de esta se transmiten mensajes al
personal mdico, administrativo, entre otros.
As mismo a travs de este servicio se realiza la recepcin de turnos por parte de los
pacientes, por lo que si se prescinde de este servicio sera un riesgo muy alto para la entidad,
por lo que se los ha considerado para el diseo del esquema de seguridad de acuerdo a su
nivel.
Los resultados obtenidos en el anlisis de riesgo permitirn plantear estrategias de proteccin
para solventar el riesgo inminente de los activos crticos.
Ademas con el fin
Cabe sealar que la definicin completa de cada ataque, y el cmo se le da la valoracin del
impacto, amenaza y riesgo de los ataques (VoIP), se encuentra en el (anexo F).
ATAQUE
PROBABILIDAD
IMPACTO
RIESGO
Alta
Bajo
Medio
Indexado de equipos
Alta
Bajo
Medio
Banner-grabbing (o fingerprinting)
Alta
Bajo
Medio
Brute-force de extensiones
Alta
Medio
Alto
Brute-force de contraseas
Alta
Alto
Alto
Baja
Alto
Medio
Spoofing
Baja
Bajo
Bajo
Media
Alto
Alto
Malware
Media
Alto
Alto
Media
Baja
Bajo
Media
Alto
Alto
Cracking de contraseas
Media
Alto
Alto
Baja
Medio
Medio
Media
Alto
Alto
Manipulacin/interrupcin de las
comunicaciones
Servidores TFTP
Salto entre VLAN
Baja
Alto
Media
SPIT
Media
Bajo
Bajo
Vishing
Media
Alto
Alto
D
X
X
X
X
X
X
X
X
X
X
X
Botnet SIP
Baja
Alto
Media
OccupyPhones
Baja
Medio
Medio
Ataques DTMF
Baja
Alto
Medio
Tabla 43: Valoracin de riesgo de los ataques con mayor incidencia en las redes VoIP
El resumen que se muestra en la tabla anterior, se lo realizo con el fin de conocer los ataques
con el riesgo ms alto y buscar las vulnerabilidades que conlleven a estos incidentes, cuyos
ataques que contienen una incidencia ms baja o mediana tambin se los dar a conocer al
administrador de la red, para que sean tomados en cuenta ya que al perpetrarse uno de ellos
pude causar daos similares a los catalogados en la prioridad alta.
En la tabla anterior se describen las siguientes columnas: Ataques: Nombre del ataque ms
frecuente a tecnologa VoIP, Probabilidad, Impacto y Riesgo: Es la valoracin para la
incidencia que tiene el ataque tanto en la red como en la institucin.
C es Confidencialidad, I es la Integridad, D es la Disponibilidad estos ya se explicaron con
anterioridad en la seccin de revisin de literatura, en el apartado (conceptos y amenazas
de la seguridad en redes VoIP pg. 26).
- 120 -
ATAQUE A
LA RED
VOIP DEL
HOSPITAL
SI
Indexado de equipos
Banner-grabbing (o
fingerprinting)
NO
SI
Brute-force de
extensiones
Brute-force de
contraseas
Fallas conocidas y 0days
Spoofing
NO
SI
NO
SI
SI
X
X
NO
Enumeracin DNS (o
Footprinting)
Cracking de contraseas
Manipulacin/interrupci
n de las comunicaciones
PROBABILIDA
D
IMPACT
O
RIESGO
Alta
Bajo
Medio
Alta
Alta
Bajo
Bajo
Medio
Medio
Alta
Medio
Alto
Alta
Alto
Alto
Baja
Alto
Medio
Baja
Bajo
Bajo
Media
Media
Alto
Alto
Alto
Alto
Media
Baja
Bajo
NO
SI
Media
Alto
Alto
SI
SI
X
X
X
X
Media
Baja
Alto
Medio
Alto
Medio
Media
Baja
Alto
Alto
Alto
Media
Media
Media
Bajo
Alto
Bajo
Alto
X
X
Baja
Baja
Alto
Medio
Media
Medio
Baja
Alto
Medio
Servidores TFTP
Salto entre VLAN
SI
NO
X
X
SPIT
Vishing
NO
NO
X
X
Botnet SIP
OccupyPhones
NO
NO
Ataques DTMF
SI
Tabla 44: Comparacin de ataques entre los expuestos en la red del Hospital con los de la VoIP
- 121 -
En la tabla anterior se muestra los ataques que est expuesta la der de (VoIP), y se los
compara con los ataques ms frecuentes de la (VoIP).
En la siguiente tabla se realiza un resumen de los ataques que sern solucionados, por ser
considerados con el riesgo ms alto.
ATAQUE A LA VoIP
ATAQUE A
LA VoIP
DEL
HOSPITAL
SI
PROBABILIDAD
IMPACTO
RIESGO
Alta
Alto
Alto
SI
Media
Alto
Alto
Malware
SI
Media
Alto
Alto
Escuchas ilegales
(eavesdropping)
SI
Media
Alto
Alto
Cracking de contraseas
SI
Media
Alto
Alto
Servidores TFTP
SI
Media
Alto
Alto
Brute-force de
contraseas
(D)DoS por inundacin
Luego de haber conocido las vulnerabilidades y ataques a las que est expuesta la red, es
necesario conocer y elegir recursos disponibles que nos ayuden a protegerla.
Ya conocidas las herramientas y mtodos, con los que cuenta un intruso de la red, se necesita
estudiar mtodos y protocolos para poder mantener el sistema seguro, sin olvidar que ninguno
har que el sistema tenga la seguridad total deseada.
TLS
IPSEC
Fcil Implementacin
Encriptar VoIP
Forma un tnel entre los extremos por donde la informacin viajara de forma
segura
Diseado como protocolo de comunicacin
X
X
Conexiones permanentes
Todos los usuarios han de tener acceso a todos los recursos de la red
Lento
Rpido
Throughput
Alto
Medio
Interoperabilidad
Alto
Medio
Velocidad de transferencia
Alto
Medio
Media
Baja
Vulnerabilidades
Tabla 46: Camparativa de los protocoos de segurdad IPSec y TLS
De acuerdo a cada una de las caractersticas analizadas se concluye que el uso del protocolo
(IPSec), ayuda de manera significativa a mejorar la seguridad de la red de VoIP, ya que
establece un canal seguro de comunicacin antes que esta empiece la transmicion de los
datos, formando asi un tnel entre los extremos as el emisor y receptor mantiene integra la
informacin.
SOLUCION
USO DEL
OBSEBACION
PROTOCOLO
Teleconmuting
IDEAL
VPN
IDEAL
Seguridad VoIP
IDEAL
IDEAL
- 123 -
- 124 -
G.
DISCUSIN
RESULTADO
Implementar el protocolo de
seguridad en la red VoIP que se
encuentra en el Hospital Isidro
Ayora de Loja.
Realizar
las
pruebas
del
funcionamiento del protocolo
implementado en la red VoIP.
- 125 -
Para la implementacin de los protocolos de seguridad en la red de (VoIP), del Hospital Isidro
Ayora, se realiz las configuraciones a nivel de software, en cuanto a la valoracin econmica,
la inversin que se realizo, es al momento de la implementacin de la Seguridad Lgica en
redes (VoIP), es necesario hacer notar que es muy baja, ya que para la solucin propuesta se
trabaj con software libre, lo que en realidad se requiere es de tiempo para realizar los
diferentes anlisis y escaneos de la red, es por eso que el total de horas trabajadas se lo
incrementa al monto de la inversin total del trabajo de titulacin. El financiamiento de los
recursos materiales y equipos de trabajo han sido proporcionados por el Tesista.
Es importante tambin tomar en cuenta las caractersticas de los equipos y tecnologas
utilizados en la implementacin de la red (VoIP), as como las configuraciones utilizadas ya
que estos intervienen directamente en el ancho de banda que se consume al momento de
que se establecen las llamadas entre los diferentes usuarios de esta tecnologa. En la
siguiente tablas lo recursos humanos nesesarios para la implementacion de esta
investigacion.
RECURSOS HUMANOS
EQUIPO TRABAJADO
TIEMPO (HORAS)
PRECIO HORA
VALOR TOTAL
Tesista
450
5.00
$ 2250.00
Asesora
25
0.00
$
0.00
Director de tesis
20
0.00
$
0.00
SUBTOTAL
$ 2250.00
Tabla 49: Presupuesto de los valores de talento humano.
En la siguiente tabla se detalla los gastos concernientes a los recursos tecnicos de hardware
que se gastaron durante la presente investigacion que se realizaron.
RECURSOS TCINCOS HARDWARE
RUBROS
CANTIDAD
VALOR/UNITARIO VALOR TOTAL
Porttil Toshiba
1
$ 1200.00
$ 1200.00
Disco Duro Externo
1
$ 100.00
$
100.00
Flash Memory 8GB
1
$ 10.00
$
10.00
Router Inalmbrico
1
$ 60.00
$
60.00
Impresora
1
$ 90.00
$
90.00
Cmara digital
1
$ 130.00
$
130.00
SUBTOTAL
$ 1590.00
Tabla 50: Valoracion de gastos de recursos tecnico de hardware.
- 126 -
VALOR TOTAL
$ 140.00
$ 170.00
$
0,00
$
0.00
$
0.00
$
0.00
$
0.00
$
0.00
$
0.00
$
0.00
$ 310.00
RUBRO
Resma de papel
Cartuchos de Tinta
Perfiles
Copias
CD
Anillados
Empastados
Transporte
Internet
SUBTOTAL
RECURSOS MATERIALES
CANTIDAD
VALOR/UNITARIO
1
$ 5.00
4
$ 20.00
10
$ 0.60
100
$ 0.02
6
$ 0.80
4
$ 1.50
4
$ 10.00
SERVICIOS
150
$ 0.30
450 HORAS
$ 0.60
VALOR/TOTAL
$ 5.00
$ 80.00
$ 6.00
$ 20.00
$ 4.80
$ 6.00
$ 40.00
$ 45.00
$276.00
$532.80
Finalmente se presenta la tabla del presupuesto final que fue nesesaio para la
construccion del presente proyecto de investigacion.
PRESUPUESTO TOTAL
RECURSOS
HUMANOS
HARDWARE
SOFTWARE
MATERIALES
COSTOS INDIRECTOS (10% DEL TOTAL)
TOTAL
Tabla 53: Presupuesto final de la investigacion.
- 127 -
COSTOS
2250.00
1590.00
310.00
532.80
327.53
5010.33
2.2.
VALORACIN AMBIENTAL.
La solucin propuesta, como tal no genera ningn dao al medio ambiente ya que se han
realizado configuraciones a nivel de software, en este caso se podra decir que el dao se
produce al momento de utilizar energa elctrica, pero su dao es mnimo y no genera ningun
impacto.
- 128 -
H.
CONCLUCIONES
- 129 -
I. RECOMENDACIONES
Los ad
- 130 -
J. BIBLIOGRAFIA
[1]
[2]
[3]
D. R. M. Jos Manuel Huidobro, Tecnologa VoIP y tecnologa IP: la telefona por Internet,
Puebla: Alfa Omega Grupo Editor, 2010.
[4]
[5]
[6]
J. SOTO, Database Offensive Security ETHICAL HACKING, JSITECH, 5 Julio 2014. [En lnea].
Available: http://www.jsitech.com/linux/ataque-mitm-mediante-arp-poisoning-con-kalilinux/. [ltimo acceso: 16 Febrero 2015].
[7]
C. Cabrera, Asterisk Mexico, Digium Inc., 31 Julio 2013. [En lnea]. Available:
http://asteriskmx.com/asterisk-vs-elastix-vs-trixbox-vs-asterisknow-vs-freepbx-explicando-ladiferencia/. [ltimo acceso: 15 Febrero 2015].
[8]
[9]
[10] D. Richard Kuhn, Thomas J. Walsh, Steffen Fries, Security Considerations for Voice Over IP
Systems, Institute of Standards and Technolog, 10 Enero 2005. [En lnea]. Available:
http://csrc.nist.gov/publications/nistpubs/800-58/SP800-58-final.pdf. [ltimo acceso: 1 Junio
2015].
[11] N. J. L. Shan, Research on Security Mechanisms of SIP-Based VoIP System, IEEE, 12 Agosto
2009. [En lnea]. Available:
http://ieeexplore.ieee.org/xpl/login.jsp?tp=&arnumber=5254494&url=http%3A%2F%2Fieeex
plore.ieee.org%2Fxpls%2Fabs_all.jsp%3Farnumber%3D5254494. [ltimo acceso: 3 Junio
2015].
[12] C. F. Borghello, Segu-Info, Consultor independiente en Seguridad, 11 Junio 2011. [En lnea].
Available: http://www.segu-info.com.ar/contacto.php. [ltimo acceso: 10 Abril 2015].
- 131 -
- 132 -
- 133 -
K.
ANEXOS
ANEXO A.
- 134 -
- 135 -
- 136 -
- 137 -
ANEXO B.
- 138 -
- 139 -
ANEXO C.
CARTA DE AUTORIZACION.
- 140 -
ANEXO D.
SOLICITUD DE IMPLEMENTACION.
- 141 -
ANEXO 1.
METODOLOGA OSSTMM
Mapa de Seguridad La lista de mdulos del mapa de seguridad son los elementos primarios
de cada seccin. Cada mdulo debe incluir todas las Dimensiones de Seguridad que estn
integradas con tareas a ser desarrolladas. Para desarrollar un anlisis de seguridad OSSTMM
de una seccin particular, todos los mdulos de la seccin deben ser desarrollados y aquellos
para los que no exista infraestructura y no pueda ser verificada, deben definirse como NO
APLICABLE en la hoja de datos OSSTM anexa al informe final.
- 142 -
SECCIN
MODULO
Revisin de la Inteligencia Competitiva
Seguridad de la Informacin
Revisin de Privacidad
Recoleccin de Documentos
Testeo de Solicitud
Seguridad de los Procesos
Testeo de Sugerencia Dirigida
Testeo de las Personas Confiables
Exploracin de Red
Identificacin de los Servicios del Sistema
Bsqueda y Verificacin de Vulnerabilidades
Testeo de Aplicaciones de Internet
Enrutamiento
Seguridad en las tecnologas Testeo de Sistemas Confiados
de Internet
Testeo de Control de Acceso
Testeo de Sistema de Deteccin de Intrusos
Testeo de Medidas de Contingencia
Descifrado de Contraseas
Testeo de Denegacin de Servicios
Evaluacin de Polticas de Seguridad
Testeo de PBX
Seguridad
en
las Testeo del Correo de Voz
Comunicaciones
Revisin del FAX
Testeo del Modem
Seguridad Inalmbrica
Verificacin de Radiacin Electromagntica (EMR)
Verificacin de Redes Inalmbricas [802.11]
Verificacin de Redes Bluetooth
Verificacin de Dispositivos de Entrada Inalmbricos
Verificacin de Dispositivos de Mano Inalmbricos
Verificacin de Comunicaciones sin Cable
Verificacin de Dispositivos de Vigilancia Inalmbricos
Verificacin de Dispositivos de Transaccin Inalmbricos
Verificacin de RFID
Verificacin de Sistemas Infrarrojos
Seguridad Fsica
Revisin de Permetro
Revisin de monitoreo
Evaluacin de Controles de Acceso
Revisin de Respuesta de Alarmas
Revisin de Ubicacin
Revisin de Entorno
Tabla 54: Secciones de la Metodologia OSSTMM
- 143 -
ANEXO 2.
- 144 -
- 145 -
ANEXO 3.
- 146 -
- 147 -
INVITES (llamadas) a usuarios no registrados, previamente se les solicita una autenticacin por medio
de un reto. Probabilidad: media; Impacto: baja; Valoracin del riesgo: baja
VECTORES CLSICOS INTERNOS
ESCUCHAS ILEGALES (EAVESDROPPING).
Consiste en llevar las tradicionales escuchas telefnicas al mundo de la VoIP. Mediante la intercepcin
de paquetes de sealizacin y stream de voz y/o video el atacante puede escuchar una conversacin
sin ser partcipe de la misma. Para evitarlo se debe separar fsica o lgicamente los segmentos de red
dedicados a voz de los dedicados a datos. Adems se recomienda cifrar las comunicaciones, tanto a
nivel de sealizacin (por ejemplo usando SIP sobre TCP/SSL, como el trfico de media. ZRTP es la
opcin a escoger si se desea disponer de cifrado extremo a extremo, ya que SRTP confa en un tercero
(el servidor) durante la negociacin de las claves. La herramienta Ucsniff soporta eavesdropping incluso
de video para el codec H.264. Probabilidad: Media; Impacto: Alto; Valoracin del riesgo: Alto
CRACKING DE CONTRASEAS.
Cuando el atacante captura trfico de sealizacin SIP (sin TLS) en la red, de estos paquetes puede
obtener los hash MD5 de las contraseas. Mediante el uso de una de las mltiples herramientas que
existen para tal fin estas podran ser crackeadas. Por medio de herramientas como oclHascat el
proceso se acelera de forma considerable por utilizar la potencia de la tarjeta grfica. Entre las ms
conocidas se puede destacar Can, que permite tanto la captura del trfico como el cracking del hash
MD5. Una opcin interesante son sitios como md5Crack. Se sube el hash a la misma y, en caso de
tener la cadena original correspondiente a ese valor almacenada, la devuelve. Para evitar este tipo de
ataques, adems del cifrado, se recomienda el uso de Contraseas robustas. Probabilidad: Media;
Impacto: Alto; Valoracin del riesgo: Alto
MANIPULACIN/INTERRUPCIN
Cuando un atacante est situado entre las dos partes de una comunicacin y es capaz de interceptar
y modificar trfico hay una serie de tcnicas que puede utilizar. Adems de la escucha de las
comunicaciones, que se coment anteriormente, el atacante podra comento anteriormente, el atacante
podra alterar la conversacin (omitiendo, repitiendo o insertando media), finalizar la llamada (DoS) o
enviarla a un destino incorrecto. Para evitar este tipo de ataques, adems de fortificar las
comunicaciones a nivel de red, se recomienda implementar un sistema de identificacin y
autentificacin suficientemente robusto para garantizar que los dos extremos de la llamada son quien
dice ser. Algunas herramientas que soportan este vector son RTPInsertSound y RTPMixSound,
publicadas con el libro Hacking VoIP Exposed. Probabilidad: Baja; Impacto: Medio; Valoracin del
riesgo: Medio.
SERVIDORES TFTP
Comnmente se incluyen servidores TFTP en la infraestructura (sobre todo en las de gran tamao)
para permitir la auto-provisin de los telfonos VoIP. Adems esta comunicacin muchas veces no se
cifra ya que no todos los modelos lo soportan. Existen herramientas especficas, pero cualquier sniffer
es capaz de obtener las credenciales SIP de la traza sin problemas. Probabilidad: Media; Impacto:
Alto; Valoracin del riesgo: Alto.
- 148 -
- 149 -
ATAQUES DTMF.
Ral Susi ha demostrado recientemente la existencia de diversos problemas en los algoritmos de
procesamiento de entrada (IVR). Jugando con los tonos DTMF (Dual-Ton Multi- Frequency) ha
conseguido implementar los siguientes vectores:
- Denegacin de servicio.
- Obtencin de informacin sensible.
- Agotamiento de la memoria del servidor.
No se conoce todava completamente el alcance de esta vulnerabilidad pero, en principio, distintos
servicios VoIP podran estar afectados. Probabilidad: Baja; Impacto: Alto; Valoracin del riesgo:
Medio
- 150 -
ANEXO 4.
INTERCAMBIO DE CLAVES
- 151 -
- 152 -
- 154 -