Ir al contenido

Mejores prácticas para redes de datos/VoIP

De Wikilibros, la colección de libros de texto de contenido libre.

Seguridad en Voz IP.

[editar]

Se recomienda separar la voz y lo datos en dos redes diferentes lógicas formando VLAN, segmentando la red. Con esto se logran reglas propias para voz y otras para datos, y se separa el tráfico de ambos.

De esta manera, no es posible espiar lo que pasa en la red de voz, y se pueden configurar reglas que impidan que alguien ajeno a la red de voz pueda colocar una herramienta para escuchar información, por lo que si no se cuenta con un usuario y clave no se puede acceder a la red.

También es necesario habilitar protocolos de cifrado para una protección más adecuada, que no sea deducible por el intruso o atacante a pesar de que cuente con las herramientas necesarias para su captura y sólo sea comprensible por los interlocutores. Esta operación se lleva a cabo con AES (Advanced Encryption Standard), mediante algoritmos matemáticos con diferentes operaciones de sustitución, desplazamiento, mezcla de estado, etcétera; con la finalidad de garantizar un cifrado fuerte.

Otro punto para incrementar seguridad se refiere a la señalización, en la que se puede cifrar a través de TLS (Transport Layer Security), herramienta que garantiza el servidor donde se registran los dispositivos telefónicos IP, ya que autentica y avala su identidad; en otras palabras: no nos pueden cambiar unos por otros, pues se usan entidades certificadoras como VeriSign que verifican las identidades, garantizando al usuario plena confianza en el servidor o servicio en cuestión, por medio de la generación de llaves privadas y públicas.

Este sistema de seguridad es conocido como RSA (Rivest, Shamir y Adleman, creadores del sistema). Tomemos en cuenta el siguiente ejemplo para ver cómo funciona: Miguel envía a Beto una caja abierta sin llave, de la que sólo el primero tiene la llave. Beto la recibe, escribe un mensaje, lo pone en la caja y la cierra (ahora Beto no puede abrir la caja). Beto envía la caja a Miguel, quien la abre con su llave. En este ejemplo, la caja es la llave pública de Miguel, y la llave de la caja es su llave privada.

Otro detalle importante por observar en la planeación del sistema de seguridad del sistema de VoIP es identificar porqué se utiliza un método de cifrado en vez de otro, ya sea RSA, AES, o alguno otro. Por ejemplo, se elige AES para cifrar la voz y las redes Wi-Fi, porque requieren menor poder de cómputo para su ejecución, al contrario de RSA que maneja llaves más fuertes de 1024 o 2048 bits, lo que exige más tiempo de cómputo y provoca retardos, por lo tanto se sugiere elegir el método más conveniente dada la situación que se afronte, además de tener los cuidados pertinentes ¿Usted dejaría las llaves de su carro pegadas? Creo que no. De esta manera, protegemos nuestro derecho de privacidad.

Se recomienda también la implementación de firewalls y filtros entre los segmentos de voz y datos. Los firewalls proporcionan un solo punto de concentración para la aplicación de políticas de seguridad. Estas políticas definirán que recursos tienen acceso a que otros recursos y además proporcionan un registro de las actividades realizadas. Los firewalls pueden ser dispositivos ‘stand-alone’ o pueden estar incorporados dentro de routers, dispositivos de VPN o IDS.

La administración remota de los dispositivos de red deberá ser realizada sobre conexiones encriptadas. Es indispensable manejar una política de claves adecuada, que incluya el no utilizar claves por default y tener una rotación de claves cada cierto periodo de tiempo. Las acciones tomadas en lo sistemas se deben loguear de tal manera que sea posible realizar auditorias posteriores. Únicamente se deben permitir conexiones seguras para el acceso vía web (SSL, HTTPS).

En cuantos a los servidores utilizados en la infraestructura para proveer servicios de voz sobre IP; éstos deberán ser incorporados a sistemas de ‘patch management’ y manejo de antivirus. Todo el equipo de telefonía debe estar localizado en un ambiente con la seguridad física adecuada. Se debe considerar el tener suficiente energía de respaldo para mantener la operación de los dispositivos de telefonía y de red en caso de una falla de energía eléctrica. Todos los dispositivos wireless deberían ser implementados utilizando WPA y/o WPA2 en lugar de WEP.

Para contrarrestar las amenazas que provienen de la red pública, se deben tomar medidas como el COS (Class of Restriction) que ayuda a prevenir fraudes económicos. En los puntos de mayor criticidad, es necesario habilitar códigos de cuentas para permitir un mejor rastreo de las llamadas. Se deben habilitar los logs de SMDR (Station Message Detail Recording) para monitorear el uso de las llamadas en la red.

Monitoreo en Voz IP.

[editar]

Es recomendable llevar un seguimiento de las aplicaciones de VoIP como el buzón de voz. Se debe poner atención en aquellas cuentas en las que se presente un rápido incremento en el tamaño del buzón utilizado.

Las redes deben estar siendo monitoreadas continuamente para buscar actividad sospechosa. Se recomienda la utilización de IDS en segmentos de telefonía IP para alertar a los administradores de la red en caso de que se presente actividad anómala o sospechosa.