Voz segura

avaya


La convergencia de datos y voz nos lleva a contemplar la seguridad en ambas áreas. Los productos de voz pueden tener puntos vulnerables y por ello es importante también contemplarlos al planear la seguridad.

La seguridad en la voz tiene cuestiones comunes a la de los datos; por ello, algunos sistemas operativos tienen seguridad para voz. Al agregar voz, abrimos un punto más a contemplar en la seguridad de los servidores. Los servidores de voz, los gateways y los teléfonos IP corren sobre Linux, Windows, Solaris, etcétera; estos heredan de los datos las mismas vulnerabilidades.

Existen foros específicos (VoIPSA), comités de estándares (IETF, SRTP, OASIS) específicos de seguridad para prevenir fallas; por ejemplo, el del virus w32.Ramex/A, que afectó a usuarios de Windows que tenían instalado Skype. De igual manera, teléfonos IP de Cisco reportan ataques de denegación de servicio (DoS) de ICMP (CVE-2008-0526), HTTP (CVE-2008-0527), Telnet (CVE-2008-0529), etcétera.

En Avaya, por ejemplo, se auditan las soluciones para poder liberarlas. La mayoría de las auditorías se enfocan en sistemas operativos y fallas conocidas, éstas se reportan en grupos como Redhat, CERT, Microsoft, HP, Vuln-watch, bugtrack, Sun, etcétera.

Los tipos de vulnerabilidades en voz son:

• Eavesdropping (pájaros en el alambre): Se usa cuando un hacker se cuelga y graba una conversación.

• VoIP hopping: Cuando un hacker se aprovecha de una vulnerabilidad y registra un teléfono para hacer llamadas.

• VoIP phishing (tambien llamado vishing): Aquí, alguien podría llamar a sus clientes pareciendo que es usted.

• VoIP spam: Similar al anterior, donde se reciben llamadas que no se necesitan.

• Toll fraud: Se cuelgan de la línea para hacer llamadas de larga distancia tanto nacional como internacional.

VoIP over Wi-Fi: Alguien utiliza la red inalámbrica para hacer llamadas o atacar tu servicio.

Sin embargo, la mayoría de los ataques se enfoca en errores de configuración y se aprovechan de configuraciones predeterminadas o de baja seguridad.

Para todas las vulnerabilidades arriba descritas podemos encontrar formas de defendernos; por ejemplo, para Eavesdropping recomendamos cifrar (encriptar) las llamadas de manera que cuando alguien trate de grabarla no pueda escucharla.

Los puntos que hay que contemplar para asegurar la voz son:

• Puertos y protocolos de comunicación

• Tener autenticación, por directorio activo o RADIUS

• Estar en las listas de seguridad y cumplir con mejores prácticas de la industria

Es importante recalcar que aún cuando la voz parece un protocolo más adicional a los datos, son diferentes por tres razones:

1. Las llamadas pueden ser iniciadas desde afuera del firewall

2. Las comunicaciones son en tiempo real, un retraso de paquetes hace que la calidad de la voz se distorsione

3. La voz se puede separar en señalización y media; es decir, la información de la comunicación puede utilizar un camino y la voz como tal (media) puede utilizar otro camino

Como podrán notar, la convergencia de voz y datos es un hecho para lo que necesitamos aprovechar los beneficios de la voz sobre IP, sin descuidar la seguridad. El uso de soluciones robustas y equipos seguros como los teléfonos VPN garantizan la seguridad tanto dentro como fuera de la oficina.

Establecer y refinar la seguridad en las comunicaciones es toda una experiencia. La tecnología avanza, los negocios necesitan cambios, las expectativas de los clientes crecen. La comunicación segura es la clave en este crecimiento: las comunicaciones efectivas y seguras le ofrecen a su negocio un mejor presente y abren el camino para un futuro todavía mejor.

Es gerente de Ingeniería en Avaya México, responsable de coordinar al grupo que diseña soluciones de comunicaciones unificadas, telefonía IP y contact centers. Es licenciado en Ingeniería Industrial y tiene maestría en Ingeniería en Sistemas de la Universidad Iberoamericana.

Share via
Copy link
Powered by Social Snap