En varios artículos que se ha leído hacen incapie en la seguridad VoIP, desafortunadamente existen numerosas amenazas que conciernen a las redes VoIP; muchas de las cuales no resultan obvias para la mayoría de los usuarios. Los dispositivos de redes, los servidores y sus sistemas operativos, los protocolos, los teléfonos y su software, todos son vulnerables a los ataques. Entre los principales problemas de seguridad VoIP, que se han encontrado tenemos los siguientes:
● Ataques DoS (denegación de servicio) en redes VoIP: se basan en la creación de señales de larga duración, desconexión de llamadas forzada y carga de trabajo exhaustiva.
● VoIP Eavesdropping: Un hacker con un sniffer de paquetes y Vomit (Voice Over Misconfigured Internet Telephones) podría escuchar las llamadas VoIP. Aún más, estas vulnerabilidades pueden conllevar también ataques DoS.
● Microsoft Office Communications Server: De todos es conocido que a los hackers les encanta atacar a Microsoft, y a Microsoft les encanta no estar preparados para ello. VIPER Lab predice que los hackers pueden encontrar vulnerabilidades en cliente VOIP de Microsoft Office Communications Server y utilizarlo para acceder a redes que habían sido seguras previamente.
● VoIP Attacks hacia Service Providers: Van en aumento y tenemos tarjetas SIM anónimas a costos bajos. Y con la tecnología Unlicensed Mobile Access en aumento, que permite llamadas que viajan entre redes celulares y redes VoIP ofreciendo así acceso directo a redes móviles desde redes IP, facilitando así falsear las identidades y usar cuentas ilegales para lanzar varios ataques.
● Vishing por VoIP: Parece ser una nueva forma de Spam, es una practica fraudulenta en donde se hace uso del protocolo Voz sobre IP (VoIP) y la ingeniería social para engañar personas y obtener información delicada, como puede ser información financiera o información útil para el robo de identidad. Desde hace un año el FBI ha detectado un mayor número de casos de vishing al igual que la IC3 (Internet Crime Complain Center) que también han notado este aumento. Generalmente van acompañados de caller ID spoofing para evitar la localización del atacante.
Es por eso que se ha encontrado unas sugerencias que debería tener en cuenta Asterisk, para mejorar en la seguridad:
● TLS-encrypted SIP: Aunque hace falta SIP over TCP debe ser antes.● Secure RTP (SRTP): Existe un partche, pero debería ser integrado en la rama principal. Pero no seria tan bueno sin el siguiente punto.
● SRTP Key Exchange: Primero una implementación de ’sdescriptions” y luego DTLS o ZRTP.
● Archivos de configuración de los terminales: Si el interfaz Web de los terminales puede ser eliminado, y se usa auto configuración. Habría que proteger esos archivos de configuración.
● Identidad: Para evitar el SPIT, debería haber algún mecanismo de autenticación del llamante. RFC 4474 (Sip Identity).
● Vigilar las APIs y las aplicaciones: Ya que algunas pueden tirar tu sistema abajo.
● Fraude de llamadas: Debemos preguntarnos ¿Qué herramientas existen en Asterisk para prevenir el fraude en las llamadas?
● Pruebas con herramientas: Nos preguntaremos, ¿Si pueden probarse las herramientas de testeo para VoIP que hay, con Asterisk?
Concluyendo con el tema de Seguridad VoIP, podemos decir que aparte de VPN, firewalls, programas antivirus y sistemas de detección de intrusiones, podemos usar gateways entre zonas de confianza y otras que no, aplicar la encriptación para mayor seguridad.
http://www.voipnovatos.es/item/2007/10/8-sugerencias-para-mejorar-asterisk-en-seguridad