Categoría: Noticias

Me ha llamado la atención un enlace a un libro (en inglés) sobre seguridad en redes de VoIP.
Son muchas personas las que preguntan acerca de qué medidas tomar en temas de seguridad cuando están montando una infraestructura de VoIP y la respuesta que soy suele ser la misma. Incluso hay muchos enlaces que pueden llevar a la confusión, quizá en busca de algunas visitas más o incluso algún «alma» ignorante de lo que está montando.

Para todos aquellos preocupados por la seguridad de su red de VoIP, haré una serie de reflexiones y consejos con la esperanza de que pueda ayudar a alguien.

1º.- La seguridad de una red de VoIP debe ser la misma que la seguridad en una red de sistemas normales.
Si no llevas la seguridad de los sistemas, ¿para qué molestarte en preparar una red segura de VoIP?
De hecho, cada terminal IP es un ordenador en miniatura (con su telnet, con su servidor web, con sus puertos abiertos, etc…) por lo que hay que considerarlo como tal cuando se monte la infraestructura.

2º.- El enlace más debil de una red lo forman los usuarios que la utilizan.
De poco sirve encriptar con MD5 la contraseña de usuario SIP de los terminales, si la conoce el dueño del terminal y se la dirá al primero que se la pregunte.

3º.- La encriptación de la conversación dentro de la red interna.
Quizá el punto más importante de la seguridad y la más preocupante. Hay mucha gente preocupada por que le escuchen la conversación, lo cual es una probabilidad de 0.001% porque para empezar:
– deben conocer la dirección IP del terminal.
– deben tener notorias razones para querer escuchar tu conversación.
– deben tener conocimientos suficientes de cadenas RTP y protocolos de comunicaciones o bien conocer los programas adecuados.
– deben estar en la misma red de VoIP que los terminales.
– lo que escuchen, puede no serles de utilidad.
– casi siempre es más fácil preguntar… -«oye, ¿de qué habeis hablado?…»

4º.- Saber que la seguridad de la red acaba donde acaba la red.
En cuanto das el salto a un servidor remoto, la seguridad depende de la red donde está dicho servidor.
Si das el salto a una línea analógica o digital, estamos en las mismas… cualquiera puede llegar y hacer un simple puentecillo con unos auriculares al cable y …
5º.- El servidor, el objetivo principal.
Siempre pasa lo mismo… el servidor es el que peor lo pasa: Firewalls, anti-escaneos, monitores, SAIs a prueba de bombas, acceso encriptado por SSH y HTTPS, en una habitación con cerradura de apertura por huella dactilar y temperatura controlada automáticamente con sensores y alarma de incendios y terremotos.

6º.- Seguridad del software servidor.
Siempre la última versión, porque ha salido un exploit, un ataque DoS o vete a saber porqué, el servidor siempre ha de tener la última versión disponible y libre de fallos. (casualmente los sistemas más estables tienen muchas veces las versiones más antiguas).

Realmente todos estos consejos es para hacer ver un poco al «administrador de la red» que la VoIP es un servicio más y que es tan vulnerable como lo pueda ser el correo-electrónico, por lo que las medidas a tomar han de ser similares.
Conocer bien a los usuarios de la red, y montar una red separada con control de los sistemas que la forman suelen ser suficientes para cualquier sistema medio. Si tenemos usuarios «peleones», puede que sea necesario habilitar algún tipo de red encriptada mediante openvpn o algo similar y, por supuesto, tener un buen martillo cerca con el que aporrear la cabeza del que haga alguna estupidez.

En el fondo me gusta llamar a una empresa y escuchar la misma música de espera de Asterisk una y otra vez, me da la sensación real de que algo cambia y cada vez son menos las empresas que prefieren seguir pagando una centralita tradicional en lugar de optar por lo estable, libre y gratuito (versión OpenSource de: bueno, bonito y barato).

Con la versión 1.4 de Asterisk, accediendo a la opción «make menuselect» nos permite seleccionar un nuevo conjunto de músicas en espera. No obstante, para aquellos que tengais una versión 1.0 ó 1.2 y ancho de banda suficiente, siempre podeis ofrecer una música diferente sin tener que descargar ni convertir alguna canción a mp3, si no directamente conectando al que llama a una «radio on-line«.

Como ejemplo, pondré alguna de las que salen en «shoutcast«.

Ejecutamos lo siguiente:
cd /var/lib/asterisk/mohmp3
mkdir radio
cd radio
touch radio.mp3

Vamos a la página de shoutcast y seleccionamos una música acorde a nuestra empresa o gusto.
La reproducimos para evaluarla… vemos que efectívamente es la música que queremos y buscamos información sobre la rádio en el reproductor de mp3.
Nos aparecerá el género de música, una descripción y lo más importante: la ruta a la que estamos conectados:
http://64.236.34.97:80/stream/1006  (por ejemplo)

A continuación, editamos el archivo «/etc/asterisk/musiconhold.conf» y añadimos algo como esto:

[classes]
default => quietmp3:/var/lib/asterisk/mohmp3/radio,http://64.236.34.97:80/stream/1006

Una vez hecho esto, reiniciamos el servidor Asterisk y lo probamos.

Nota: Fijaos que las radios de internet suelen ser en estereo y muchos Khz de calidad, por lo que deberíamos buscar una música en «mono» y a ser posible a 8Khz para ahorrar en ancho de banda.

Este sabado se pusieron a la venta en Japón las primeras PlayStation3 de Sony, y ese mismo sábado se agotaron en todo Japón. No es de extrañar que tras la gran espectación que esta consola atrae en todo el mundo, la gente acuda en bandada a la compra de un aparato que Sony vende más como un sistema de entretenimiento más que como una consola para el niño, y es que su precio (aproximadamente unos 600€) es quizá un poco caro para que el crío se pase las horas jugando.

En Xataca han publicado las primeras impresiones sobre esta «maravilla»:

– Se calienta menos que la XBox 360.
– Compatibilidad completa con ratones y teclados USB. (ya había oído algo de que llevaba Linux instalada)
– Nada de ruido cuando lee de discos Blue-Ray.
– La programación sobre PS3 será legal (cosa que actualmente no lo es con la PS2 y hay que ponerle un chip especial)
– Permite cambiarle el disco duro sin perder la garantía de fábrica.
Pese a haber salido a la venta este sábado pasado, ya hay quien se ha arriesgado a abrirla: http://www.videoroms.net/

En AsteriskGuru, hemos visto un tutorial sobre cómo utilizar una aplicación llamada AsterTest para estresar Asterisk y ver el número de llamadas simultaneas que permite, calidad de la voz, volumen, etc.

La única pega que le veo es que corre bajo Windows, pero tiene muy buena pinta.

Tutorial: http://www.asteriskguru.com/tutorials/astertest.html

Aplicación: http://toofic.no-ip.org/pub/src/app_securax.tar.gz

Curioso cuanto menos… aunque un poco «laborioso» en mi opinión.