Descargar la presentación
La descarga está en progreso. Por favor, espere
Publicada porAdalberto Gabriel Modificado hace 10 años
1
Antonio Pérez Sánchez toni.perez@uib.es
Seguridad en Voz IP Antonio Pérez Sánchez
2
Índice Introducción Arquitectura del sistema Seguridad en VoIP
Fiabilidad, Robustez y QoS Conclusiones Seguridad en Voz IP
3
Voz IP (I) TCP-UDP/IP GK Registro (H.225 RAS/REGISTER)
Señalización (Q.931/INVITE) Control (H.245/SDP) GK TCP-UDP/IP Control (H.245/OPTIONS) RTP/RTCP Seguridad en Voz IP
4
Voz IP (II) PBX TCP-UDP/IP GK GW Registro (H.225 RAS/REGISTER)
Señalización (Q.931/INVITE) Control (H.245/SDP) GK PBX TCP-UDP/IP GW Control (H.245/OPTIONS) RTP/RTCP Seguridad en Voz IP
5
Índice Introducción Arquitectura del sistema Interno Interno-Externo
Nuestra Experiencia Seguridad en VoIP Fiabilidad, Robustez y QoS Conclusiones Seguridad en Voz IP
6
Servicio Interno Internet Intranet PBX GK GW Público Público Privado
Al utilizar direccionamiento privado nos aparece un problema: ¿Cómo acceden los usuarios desplazados en una Red Ajena? Una Solución es utilizar túneles VPN, teniendo en cuenta que necesitan un buen Contro de Seguridad (CLICK) Otra solución es utilizar un Proxy H.323 con el inconveniente de la latencia introducida, la complejidad y la posible incompatibilidad con nuestro producto. Privado Seguridad en Voz IP
7
Índice Introducción Arquitectura del sistema Interno Interno-Externo
Nuestra Experiencia Seguridad en VoIP Fiabilidad, Robustez y QoS Conclusiones Seguridad en Voz IP
8
Servicio Interno-Externo
Internet Público Proxy Intranet NAT-ALG (H.323) Túnel VPN GK GW Público PBX Al utilizar direccionamiento privado nos aparece un problema: ¿Cómo acceden los usuarios desplazados en una Red Ajena? Una Solución es utilizar túneles VPN, teniendo en cuenta que necesitan un buen Contro de Seguridad (CLICK) Otra solución es utilizar un Proxy H.323 con el inconveniente de la latencia introducida, la complejidad y la posible incompatibilidad con nuestro producto. Privado Seguridad en Voz IP
9
Servicio Interno-Externo (I)
Internet Público GK Intranet GW Definir Reglas Público PBX Al utilizar direccionamiento privado nos aparece un problema: ¿Cómo acceden los usuarios desplazados en una Red Ajena? Una Solución es utilizar túneles VPN, teniendo en cuenta que necesitan un buen Contro de Seguridad (CLICK) Otra solución es utilizar un Proxy H.323 con el inconveniente de la latencia introducida, la complejidad y la posible incompatibilidad con nuestro producto. Privado Seguridad en Voz IP
10
Servicio Interno-Externo (II)
Internet Público GK Intranet GW Definir Reglas Definir Reglas Público Packet Filtering Stateful Inspection H.323 SIP MGCP PBX Al utilizar direccionamiento privado nos aparece un problema: ¿Cómo acceden los usuarios desplazados en una Red Ajena? Una Solución es utilizar túneles VPN, teniendo en cuenta que necesitan un buen Contro de Seguridad (CLICK) Otra solución es utilizar un Proxy H.323 con el inconveniente de la latencia introducida, la complejidad y la posible incompatibilidad con nuestro producto. Privado Seguridad en Voz IP
11
Servicio Interno-Externo (III)
Internet GK Público Controlar accesos internos DMZ GW Intranet PBX Al utilizar direccionamiento privado nos aparece un problema: ¿Cómo acceden los usuarios desplazados en una Red Ajena? Una Solución es utilizar túneles VPN, teniendo en cuenta que necesitan un buen Contro de Seguridad (CLICK) Otra solución es utilizar un Proxy H.323 con el inconveniente de la latencia introducida, la complejidad y la posible incompatibilidad con nuestro producto. Público Privado Seguridad en Voz IP
12
Servicio Interno-Externo (IV)
Internet Público GK Segmentar GW DMZ ¿PC usuario? VLAN Intranet PBX Público Privado Seguridad en Voz IP
13
Índice Introducción Arquitectura del sistema Interno Interno-Externo
Nuestra Experiencia Seguridad en VoIP Fiabilidad, Robustez y QoS Conclusiones Seguridad en Voz IP
14
Nuestra Experiencia (I)
Ibiza CTI GigabitEthernet ATM Campus WLAN Menorca RDSI Tenemos terminales, hardware y software, distribuidos en nuestra LAN: En el Campus A través del radioenlace Y En las Extensiones Universitarias 12 edificios Campus Ibiza, Menorca 18 Centros Universitarios Otros centros FUE Seguridad en Voz IP
15
Nuestra Experiencia (II)
Internet Phoenix, AZ Ternopil Londres 2’5Gbps Madrid Salamanca ATM 155Mbps CTI Fuera de nuestra LAN tenemos teléfonos hardware varias instituciones de RedIRIS cómo Madrid, Sevilla y la Universidad de Slamanca. Y Usuarios con terminales software en distintas ciudades como Londres, Ternopil y Phoenix Sevilla Seguridad en Voz IP
16
Interconexión Global VozIP Telefonía Tradicional PBX GK GW Phoenix
Ternopil 7xxxx Londres Madrid xxxx Salamanca Telefonía Tradicional GW Sevilla PBX RTC PRI-RDSI 6xxxx Hemos conseguido una interconexión Global transparente para los usuarios ya que el plan de marcado es el mismo para las zonas de centralita y Voz IP (CLICK) Los terminales IP se comunican entre ellos Reciben llamadas de forma transparente de los usuarios de centralita Los usuarios que disponen de línea externa reciben directamente llamadas desde la telefonía tradicional Los demás usuarios serán accesibles mediante la tele-operadora. Además podemos controlar el nivel de acceso de los usuarios diferenciando las llamadas internas Y las llamadas Nacionales e Internacionales GSM xxxx Seguridad en Voz IP
17
Índice Introducción Arquitectura del sistema Seguridad en VoIP
Seguridad H.235 Ataques “Operacionales” Fiabilidad, Robustez y QoS Conclusiones Seguridad en Voz IP
18
Seguridad: H.235 (I) GK Registro Señalización de llamada
Control de llamada Captura de Password Spoofing del ID usuario Llamadas no autorizadas Acceso no autorizado URQ Attack: Unregistration Request GK Seguridad en Voz IP
19
Seguridad: H.235 (I) Registro GK Autenticación e Integridad
Señalización de llamada Control de llamada Autenticación e Integridad IPSec SHA: secreto = password No Repudio Certificados GK Firewalls Stateful Compatibilidad Seguridad en Voz IP
20
Seguridad: H.235 (II) GK Captura de conversaciones
Ráfagas adicionales RTP Tráfico Multimedia GK Seguridad en Voz IP
21
Seguridad: H.235 (II) GK Integridad ¡Pérdidas!
Autenticación Señalización Confidencialidad DES, 3DES Tráfico Multimedia GK Mezclado (MCU) Transcoding (GW) ¿IP-Phones? Seguridad en Voz IP
22
Índice Introducción Arquitectura del sistema Seguridad en VoIP
Seguridad H.235 Ataques “Operacionales” Fiabilidad, Robustez y QoS Conclusiones Seguridad en Voz IP
23
Ataques “Operacionales”
Servicios: DNS NTP/SNTP DHCP SMTP Internet Proteger Servicios DNS NTP DHCP SMTP GK PBX GW Intranet Seguridad en Voz IP
24
Ataques “Operacionales”
Internet Gestión FTP/TFTP http (IIS) Java SNMP ICMP Telnet/ssh Proteger Servicios Proteger Accesos GK PBX GW Intranet Seguridad en Voz IP
25
Ataques “Operacionales”
Protocolos Ethernet WLAN IP Routing Multicast TCP/UDP NetBIOS Internet Proteger Servicios Proteger Protocolos GK ClientProxy PBX GW Intranet Seguridad en Voz IP
26
Ataques “Operacionales”
Internet Proteger Servicios Sistemas Actualizados Sistemas Virus S.O. Firmware Upgrades Parches GK PBX GW Intranet Seguridad en Voz IP
27
Índice Introducción Arquitectura del sistema Seguridad en VoIP
Fiabilidad, Robustez y QoS Conclusiones Seguridad en Voz IP
28
Fiabilidad Fiabilidad ¿Quién nos asegura 99%?
Dificultad de detectar y localizar fallos en tiempo real: latencia Demasiados componentes: minimizarlos Redundancia No es suficiente Puede ser la causa de un fallo Seguridad en Voz IP
29
Robustez Robustez Conflicto: sistema abierto o cerrado
Sobrevivir a un DoS: difícil. Minimizar la dependencia operacional Evitar los puntos únicos de fallo Conseguir que la infraestructura crítica esté ampliamente distribuida Se complica la gestión Seguridad en Voz IP
30
QoS Asignación de Recursos (QoS)
No comprometer el rendimiento y la escalabilidad: seguridad preservando los recursos. Dificultades: Priorizar sobre un camino no controlado. Diseño de capacidad en situaciones masivas. Colaboración en Redes Ajenas. Asumir riesgos en nuestra red en producción. Seguridad en Voz IP
31
Índice Introducción Arquitectura del sistema Seguridad en VoIP
Fiabilidad, Robustez y QoS Conclusiones Seguridad en Voz IP
32
Conclusiones Queda mucho por trabajar. Los fabricantes: papel clave.
Protocolo vs. Producto Nos faltan soluciones Importante: la colaboración Los fabricantes: papel clave. De nada sirve un estándar sin su apoyo Principales Objetivos: Fiabilidad Robustez Compatibilidad Seguridad en Voz IP
33
¿Preguntas? Seguridad en Voz IP toni.perez@uib.es CTI@UIB
Por supuesto agradecer la colaboración de SIEMENS con su familia HiPath 5000 de telefonía IP ENTERASYS NETWORKS con sus equipos de red y WirelessLAN RoamAbout Y a TELINDUS por su apoyo. Seguridad en Voz IP
Presentaciones similares
© 2024 SlidePlayer.es Inc.
All rights reserved.