Enfrent\u00e9moslo, la seguridad en VoIP es una de las principales preocupaciones, espacialmente cuando existen m\u00faltiples usuarios y localidades conectados a la misma red. Si algo sale mal, significa que el sistema entero y todos los que est\u00e1n dentro, se ver\u00e1n afectados. Afortunadamente, con las practicas de seguridad correctas, mantener una red VoIP segura y protegida no tiene que ser tan complicado. Hoy, voy a mencionar las maneras m\u00e1s efectivas para mantener su red VoIP segura y como puede aplicar estas mejores practicas a su propia organizaci\u00f3n.<\/p>\n
Cifrado de sus comunicaciones con SIPS y SRTP Proteja su red con valores y contrase\u00f1as \u00fanicos y seguros Utilice pr\u00e1cticas de autenticaci\u00f3n y seguridad para todos los protocolos de se\u00f1alizaci\u00f3n Configure protocolos y procesos seguros para su red Si bien es imposible superar todos los problemas de seguridad y algunas cosas son inevitables, armar un plan de mejores pr\u00e1cticas y procesos para mantener su red VoIP segura, lo puede poner un paso por delante ante una crisis. Es vital que tenga una lista con los puntos de seguridad cruciales que se deben aplicar a su red y mantener un ojo en las \u00e1reas que puedan tener alg\u00fan efecto sobre la comunicaci\u00f3n de su empresa.<\/p>\n","protected":false},"excerpt":{"rendered":" Enfrent\u00e9moslo, la seguridad en VoIP es una de las principales preocupaciones, espacialmente cuando existen m\u00faltiples usuarios y localidades conectados a la misma red. Si algo sale mal, significa que el sistema entero y todos los que est\u00e1n dentro, se ver\u00e1n afectados. Afortunadamente, con las practicas de seguridad correctas, mantener una red VoIP segura y protegida no tiene que ser tan … <\/p>\n
\n<\/strong>Para mantener segura la informaci\u00f3n compartida entre un servidor y un cliente, el protocolo recomendado es SIPS, o SIP sobre TLS y SRTP. Estos protocolos encriptan el intercambio de mensajes de se\u00f1alizaci\u00f3n y el tr\u00e1fico de audio, lo cual resuelve los problemas de autenticaci\u00f3n, confidencialidad e integridad que com\u00fanmente se presentan en estos escenarios. Utilizar SIPS significa que se puede establecer una conexi\u00f3n segura entre un PBX IP y un terminal IP, mediante el uso de TLS (Transport Layer Security<\/em>). Para formar una conexi\u00f3n punto a punto que sea segura, una llave es intercambiada por el t\u00fanel SSL, se\u00f1alizando la comunicaci\u00f3n encriptada. Lo que resulta genial sobre SIPS y SRTP es que se encripta toda la informaci\u00f3n asociada con la iniciaci\u00f3n de una llamada, procesamiento y tr\u00e1fico de audio. Por ejemplo, durante una llamada, no solo el audio estar\u00e1 seguro, sino que tambi\u00e9n toda la informaci\u00f3n relacionada como el identificador del origen (caller ID<\/em>), el destino, buz\u00f3n de voz, entre otros; extendiendo la seguridad a su informaci\u00f3n durante el proceso de intercambio. Un punto que hay que tener en mente es que, en orden para utilizar estos protocolos, todos los dispositivos involucrados deben soportar SIPS y SRTP de manera simult\u00e1nea, de otra manera la conexi\u00f3n no se podr\u00e1 establecer. Otros protocolos de seguridad recomendados son SSH para inicio de sesi\u00f3n remoto desde un terminal a otro, y SSL \/ HTTPS para conectarse a un servidor web mediante un navegador.<\/p>\n
\n<\/strong>Es muy importante llevar a la seguridad un paso m\u00e1s all\u00e1 y siempre utilizar contrase\u00f1as y valores \u00fanicos cuando se encuentre configurando su red VoIP. Esta pr\u00e1ctica le ayudar\u00e1 a prevenir que alg\u00fan atacante pueda adivinar los valores por defecto y a mantener segura su red y toda la informaci\u00f3n que intercambia sobre ella. Por ejemplo, siempre use un usuario y contrase\u00f1a \u00fanicos para cada sesi\u00f3n, nunca es una buena idea permitir sesiones VoIP concurrentes con las mismas credenciales, ya que esto puede hacer su red vulnerable a ataques. Cuando se encuentre haciendo los planes de ruteo, evite utilizar los alias por defecto para E.164 y aseg\u00farese de que el E.164 esta personalizado y es \u00fanico. Como una mejor pr\u00e1ctica, utilice un alias E.164 \u00fanico para cada usuario y contrase\u00f1a. Para a\u00f1adir capas de seguridad adicionales, todos los dispositivos VoIP deben utilizar pins <\/em>\u00fanicos que tengan por lo menos cuatro d\u00edgitos de longitud. Y finalmente, cada dispositivo debe tener diferente nombre o alias. Si dos dispositivos diferentes se intentan registrar con el mismo nombre o alias, los dispositivos deber\u00edan de recibir un mensaje de error y alertar al administrador de los valores duplicados.<\/p>\n
\n<\/strong>Ya sea que utilice H.323 o H.225, es importante que configure estos protocolos con pr\u00e1cticas seguras de autenticaci\u00f3n. Para empezar, evite utilizar la autenticaci\u00f3n est\u00e1ndar de H.323 que utiliza un hash y contrase\u00f1a MD5, ya que este no es un m\u00e9todo valido de cifrado por que siempre se genera el mismo valor del 128-bit hash, haciendo que sea f\u00e1cil de atacar con un proceso en reversa. En lugar de eso, proteja con H.225 en un t\u00fanel TLS que se utiliza para proteger la capa de sesi\u00f3n utilizando H.323 (H.323 con SSL\/TLS). El m\u00e9todo m\u00e1s com\u00fan de autenticaci\u00f3n se llama \u201chashing de contrase\u00f1as\u201d, consiste en una combinaci\u00f3n de una contrase\u00f1a con un hash MD5, nombre de usuario (ID de H.323 o ID general) y una timestamp<\/em>para crear un hash \u00fanico para cada petici\u00f3n de autenticaci\u00f3n. Sin embargo, tenga presente que este proceso tiene algunos puntos vulnerables debido a los posibles ataques de repetici\u00f3n. Mientras tanto, los protocolos de se\u00f1alizaci\u00f3n H.225, utilizan un timestamp<\/em>para autenticaci\u00f3n por un servidor NTP, as\u00ed que es importante que la duraci\u00f3n del timestamp<\/em>no se configure mayor a 15 minutos para prevenir ataques de repetici\u00f3n. Finalmente, sin importar si esta utilizando SIP, H.323 o IAX, aseg\u00farese de que sus protocolos de inicio de sesi\u00f3n requieran de autenticaci\u00f3n para des-registrar un usuario o dispositivo.<\/p>\n
\n<\/strong>Personalizar un plan que prevea redes d\u00e9biles y vulnerables, es esencial para alcanzar la m\u00e1xima seguridad en su red VoIP. Una pr\u00e1ctica recomendada es utilizar un m\u00e9todo de gesti\u00f3n de dispositivos fuera-de-banda (out-of-band<\/em>) desde una red de gesti\u00f3n aislada y segura, de manera que se genera un camino seguro para gestionar una red remota sin interferir con el tr\u00e1fico cotidiano. Sin embargo, si usted utiliza un m\u00e9todo de gesti\u00f3n dentro-de-banda, aseg\u00farese de que la administraci\u00f3n sea cifrada. Cuando se trata de practicas de gesti\u00f3n cotidiana, es importante contar con software de gesti\u00f3n VoIP que registre cualquier evento o actividad critica para que puedan ser revisados o auditados de manera regular. Para mantener servidores ininterrumpidos corriendo todo el tiempo, es recomendado utilizar dos servidores DHCP, en caso de que alguno falle el otro puede seguir asignando nuevas direcciones o renovando a los clientes existentes, tambi\u00e9n ayuda a balancear la carga en los servidores. Otras de las mejores pr\u00e1cticas para gesti\u00f3n de protocolos, incluyen utilizar SSLv3\/TLSv1 no autofirmado (non-self-signed<\/em>) con un cifrado fuerte durante el proceso de handshake<\/em>que inicia la encriptaci\u00f3n. Para prevenir ambientes desprotegidos durante el intercambio de informaci\u00f3n, las conexiones deben cortarse inmediatamente si un certificado incorrecto, expirado o autofirmado es utilizado. Una buena pr\u00e1ctica es apagar las opciones de auto-descubrimiento para todos los gatekeepers <\/em>externos, ya que esto puede evitar acceso no autorizado a la entidad de gesti\u00f3n central que maneja la autenticaci\u00f3n, autorizaci\u00f3n, directorio telef\u00f3nico, control y ruteo de llamadas. Finalmente, colocar la red VoIP detr\u00e1s de un firewall<\/em>y permitir solo el acceso autorizado mediante la definici\u00f3n de reglas explicitas en el firewall <\/em>o el dispositivo de seguridad, puede incrementar significativamente la protecci\u00f3n de su red.<\/p>\n