Capitulo II
Seguridad Para Sistemas Voz sobre IP
La seguridad a menudo es una preocupación cuando se trata de redes IP (Internet Protocol) para comunicaciones. Muchos Especialistas afirman que las nuevas instalaciones son al menos tan seguras como los sistemas de comunicaciones tradicionales que usan PBXs.
2.1 Seguridad en las Comunicaciones IP
Día a día los requerimientos para ser más exitosos en los negocios continúan evolucionando, motivo por el cual las infraestructuras de red deben ir evolucionando también. Las Comunicaciones IP permiten a las empresas implementar redes convergentes, donde los servicios de voz, video y datos son provistos sobre la red IP de una manera segura, generando beneficios tales como la reducción de costos (capitales y operativos y aumento de la productividad de los empleados.
La Compañía Cisco define las comunicaciones IP como un sistema de clase empresarial completo, habilitado por la Infraestructura AVVID de Cisco (Arquitectura de voz, video y datos integrados), que integra de una manera segura la voz, video y otras aplicaciones de colaboración de datos dentro de una solución de red inteligente.
La aplicación de la telefonía IP, comunicaciones unificadas, conferencias de contenido enriquecido, video broadcasting y soluciones de contacto al cliente (customer contact) dan como resultado un ambiente de negocios altamente eficiente y colaborativo que mejora significativamente la manera como las empresas interactúan con sus empleados, socios de negocios y clientes, haciendo posible que las organizaciones puedan diferenciarse de sus competidores a la vez que les permite tener un retorno de Inversión medible.
La Compañía Cisco recomienda una política de seguridad integral para proteger la integridad, privacidad y disponibilidad del sistema de comunicaciones IP. Integrando múltiples tecnologías de seguridad aplicadas en diferentes segmentos, aumentamos la seguridad total mediante la prevención de errores aislados que comprometan o impacten el sistema. Más aún, una política de seguridad integral incluye más que tecnología avanzada de seguridad, comprende procesos operacionales que aseguren un rápido despliegue de parches para los softwares y aplicaciones, instalación de tecnologías de seguridad en el momento adecuado y finalmente la realización y evaluación de auditorias de seguridad. Desde que se despachó el primer Teléfono a la fecha, la seguridad en la telefonía IP ha avanzado vertiginosamente.
Por el contrario, con los sistemas PBX digitales tradicionales, tenemos que protegernos contra el fraude de llamadas, "masquerading" (personas que se hacen pasar por otras para tomar control del sistema PBX) y "war dialing", asimismo los accesos no autorizados pueden ser frecuentemente ejecutados con técnicas tan simples como usar un par de pinzas, pero probablemente no habrá que preocuparse de los gusanos que vienen del Internet. Sin embargo, algunas personas piensan que no es necesario preocuparse de la seguridad de red si se opta por un sistema de telefonía híbrido que son promovidos por fabricantes tradicionales de telefonía.
Típicamente, el primer paso en el proceso de migración a un sistema híbrido es separar el CPU y el procesamiento de llamadas fuera de la "caja" y ponerlo en la red LAN. Es aquí donde tenemos que asegurarnos que la red LAN esta completamente segura, dado que un ataque a los componentes que procesan las llamadas afectaría a cada usuario en el sistema, no solo a los usuarios de los teléfonos IP. En este escenario, no solo es necesario tener las mismas consideraciones de seguridad como cuando todo el sistema estuviese sobre la red IP, sino también es necesario administrar dos redes separadas, sin notar los beneficios de tener una solución integrada en una única red convergente.
Sería una falacia negar que la seguridad no sea un factor importante cuando una empresa decide implementar un sistema de Telefonía IP, ya sea híbrido o IP puro. La compañía Cisco es el único fabricante que aborda la seguridad en todos los niveles de la infraestructura de Comunicaciones IP: red IP, sistemas de voz y aplicaciones, proveyendo la defensa necesaria para hacer el sistema de Comunicaciones IP tan seguro como estos pueden ser.
Cuando nos protegemos contra los tipos de vulnerabilidades comunes de voz y sistemas relacionados a la voz, es importante considerar tres componentes críticos:
- Privacidad: Provista vía comunicaciones seguras. Tecnologías como IP Security (IPSec) y SSL nos permiten implementar Virtual Private Networks (VPNs) seguras que nos ayudan a robustecer las comunicaciones tanto en la LAN como en la WAN.
- Protección: Provista por sistemas de defensa contra amenazas. Tecnologías como los firewalls, IDSs e IDPs combaten las amenazas originadas interna y externamente.
- Control: Provisto vía sistemas de identidad y confiabilidad. Servidores de control de acceso y el Network Admission Control (NAC) de la compañía Cisco por ejemplo hacen posible que las organizaciones puedan controlar el acceso a la información, permitiendo que solo la gente correcta pueda tener acceso a la información en el momento correcto.
En el caso de Cisco, las comunicaciones seguras empiezan con los teléfonos IP y el Cisco CallManager (el software de procesamiento de llamadas). Los teléfonos IP de Cisco pueden clasificar automáticamente el tráfico de voz el cual es pasado a una cola de alta prioridad que minimiza la latencia y el jitter. Ellos son el primer punto en el cual la red es dinámicamente particionada en dos redes lógicamente separadas, una para voz y otra para datos. Con la solución apropiada desplegada, cuando un usuario hace una llamada telefónica, el CallManager es capaz de encriptar y autenticar la señalización. Opcionalmente, la voz puede ser encriptada para lograr un nivel más alto de privacidad. Para una protección adicional, las imágenes del software que corren en los teléfonos IP solo pueden ser instaladas si éstas tienen la firma apropiada. Todo esto es posible gracias a las capacidades de confiabilidad basadas en certificados digitales y tecnologías relacionadas de autorización y autenticación.
La protección contra amenazas es suministrada en todo el sistema también. En el CallManager, el Cisco Security Agent es usado para la protección contra intrusos y la arquitectura NAC ayuda a que las políticas de seguridad corporativas sean ejecutadas constantemente en toda la red. En la red, los sensores de detección de intrusos del host detectan e identifican actividad inusual y la aísla antes de que ésta pueda afectar a la red. Usando inspección de estado de paquetes, el firewall bloquea puertos de aplicaciones no necesarias y ayuda a asegurar que solo tráfico autorizado es permitido a acceder a segmentos críticos de la red interna.
En unas pruebas de laboratorio realizadas por Miercom (firma independiente especializada en probar y analizar productos de comunicaciones y networking), una solución de Comunicaciones IP de Cisco recibió la más alta calificación posible en seguridad y fue catalogado como la solución de telefonía IP más segura de entre todas las soluciones que pasaron la prueba.
Debido a esta capacidad de las soluciones de Cisco de proveer confiabilidad y seguridad, es posible lograr niveles más altos de seguridad que con sistemas PBX tradicionales basados en TDM. Se ha podido probar que, implementando seguridad siguiendo las guías de diseño de Cisco SAFE, una solución de Comunicaciones IP puede ser la solución de voz (IP) más segura disponible.
2.2 Seguridad en el protocolo VoIP
Consideremos las limitaciones de seguridad en un sistema de Voz sobre IP. En el proceso de ahorrar dinero (factor necesario) e incrementar la eficacia, dos porciones cruciales de cualquier infraestructura, voz y datos, fueron combinadas. Los servidores de VoIP actúan como puertas de enlace; así, routers especiales, teléfonos, nuevos protocolos y sistemas operativos están ahora entremezclándose con esta nueva tecnología.
2. 2.1 Amenazas
Desafortunadamente existen numerosas amenazas que conciernen a las redes VoIP; muchas de las cuales no resultan obvias para la mayoría de los usuarios. Los dispositivos de redes, los servidores y sus sistemas operativos, los protocolos, los teléfonos y su software, todos son vulnerables.
La información sobre una llamada es tan valiosa como el contenido de la voz. Por ejemplo, una señal comprometida en un servidor puede ser usada para configurar y dirigir llamadas, del siguiente modo: una lista de entradas y salidas de llamadas, su duración y sus parámetros. Usando esta información, un atacante puede obtener un mapa detallado de todas las llamadas realizadas en la red, creando grabaciones completas de conversaciones y datos de usuario.
La conversación es en sí misma un riesgo y el objetivo más obvio de una red VoIP. Consiguiendo una entrada en una parte clave de la infraestructura, como una puerta de enlace de VoIP, un atacante puede capturar y volver a montar paquetes con el objetivo de escuchar la conversación. O incluso peor aún, grabarlo absolutamente todo, y poder retransmitir todas las conversaciones sucedidas en la red.
Las llamadas son también vulnerables al "secuestro". En este escenario, un atacante puede interceptar una conexión y modificar los parámetros de la llamada.
Se trata de un ataque que puede causar bastante pavor, ya que las víctimas no notan ningún tipo de cambio. Las posibilidades incluyen la técnica de spoofing o robo de identidad, y redireccionamiento de llamada, haciendo que la integridad de los datos estén bajo un gran riesgo.
La enorme disponibilidad de las redes VoIP es otro punto sensible. En el PSTN (public switched telephone network), la disponibilidad era raramente un problema. Pero es mucho más sencillo hackear una red VoIP. Todos estamos familiarizados con los efectos demoledores de los ataques de denegación de servicio. Si se dirigen a puntos clave de la red, podrían incluso destruir la posibilidad de comunicarse vía voz o datos.
Los teléfonos y servidores son blancos por sí mismos. Aunque sean de menor tamaño o nos sigan pareciendo simples teléfonos, son en base, ordenadores con software. Obviamente, este software es vulnerable con los mismos tipos de bugs o agujeros de seguridad que pueden hacer que un sistema operativo pueda estar a plena disposición del intruso. El código puede ser insertado para configurar cualquier tipo de acción maliciosa.
Por spoofing se conoce a la creación de tramas TCP/IP utilizando una dirección IP falseada; la idea de este ataque – al menos la idea – es muy sencilla: desde su equipo, un pirata simula la identidad de otra máquina de la red para conseguir acceso a recursos de un tercer sistema que ha establecido algún tipo de confianza basada en el nombre o la dirección IP del host suplantado. Y como los anillos de confianza basados en estas características tan fácilmente falsificables son aún demasiado abundantes, el spoofing sigue siendo en la actualidad un ataque no trivial, pero factible contra cualquier tipo de organización. Como hemos visto, en el spoofing entran en juego tres máquinas: un atacante, un atacado, y un sistema suplantado que tiene cierta relación con el atacado; para que el pirata pueda conseguir su objetivo necesita por un lado establecer una comunicación falseada con su objetivo, y por otro evitar que el equipo suplantado interfiera en el ataque. Probablemente esto último no le sea muy difícil de conseguir: a pesar de que existen múltiples formas de dejar fuera de juego al sistema suplantado – al menos a los ojos del atacado – que no son triviales (modificar rutas de red, ubicar un filtrado de paquetes entre ambos sistemas), lo más fácil en la mayoría de ocasiones es simplemente lanzar una negación de servicio contra el sistema en cuestión. No suele ser difícil "tumbar", o al menos bloquear parcialmente, un sistema medio; si a pesar de todo el atacante no lo consigue, simplemente puede esperar a que desconecten de la red a la máquina a la que desea suplantar (por ejemplo, por cuestiones de puro mantenimiento). El otro punto importante del ataque, la comunicación falseada entre dos equipos, no es tan inmediato como el anterior y es donde reside la principal dificultad del spoofing. En un escenario típico del ataque, un pirata envía una trama SYN a su objetivo indicando como dirección origen la de esa tercera máquina que está fuera de servicio y que mantiene algún tipo de relación de confianza con la atacada. El host objetivo responde con un SYN+ACK a la tercera máquina, que simplemente lo ignorará por estar fuera de servicio (si no lo hiciera, la conexión se resetearía y el ataque no sería posible), y el atacante enviará ahora una trama ACK a su objetivo, también con la dirección origen de la tercera máquina. Para que la conexión llegue a establecerse, esta última trama deberá enviarse con el número de secuencia adecuado; el pirata ha de predecir correctamente este número: si no lo hace, la trama será descartada, y si lo consigue la conexión se establecerá y podrá comenzar a enviar datos a su objetivo, generalmente para tratar de insertar una puerta trasera que permita una conexión normal entre las dos máquinas. Podemos comprobar que el spoofing no es inmediato; de entrada, el atacante ha de hacerse una idea de cómo son generados e incrementados los números de secuencia TCP, y una vez que lo sepa ha de conseguir "engañar" a su objetivo utilizando estos números para establecer la comunicación; cuanto más robusta sea esta generación por parte del objetivo, más difícil lo tendrá el pirata para realizar el ataque con éxito. Además, es necesario recordar que el spoofing es un ataque ciego: el atacante no ve en ningún momento las respuestas que emite su objetivo, ya que estas van dirigidas a la máquina que previamente ha sido deshabilitada, por lo que debe presuponer qué está sucediendo en cada momento y responder de forma adecuada en base a esas suposiciones. Sería imposible tratar con el detenimiento que merecen todos los detalles relativos al spoofing.
Para evitar ataques de spoofing exitosos contra nuestros sistemas podemos tomar diferentes medidas preventivas; en primer lugar, parece evidente que una gran ayuda es reforzar la secuencia de predicción de números de secuencia TCP. Otra medida sencilla es eliminar las relaciones de confianza basadas en la dirección IP o el nombre de las máquinas, sustituyéndolas por relaciones basadas en claves criptográficas; el cifrado y el filtrado de las conexiones que pueden aceptar nuestras máquinas también son unas medidas de seguridad importantes de cara a evitar el spoofing. Hasta ahora hemos hablado del ataque genérico contra un host denominado spoofing o, para ser más exactos, IP Spoofing; existen otros ataques de falseamiento relacionados en mayor o menor medida con este, entre los que destacan el DNS Spoofing, el ARP Spoofing y el Web Spoofing.
DNS Spoofing
Este ataque hace referencia al falseamiento de una dirección IP ante una consulta de resolución de nombre (esto es, resolver con una dirección falsa un cierto nombre DNS), o viceversa (resolver con un nombre falso una cierta dirección IP). Esto se puede conseguir de diferentes formas, desde modificando las entradas del servidor encargado de resolver una cierta petición para falsear las relaciones dirección-nombre, hasta comprometiendo un servidor que infecte la caché de otro (lo que se conoce como DNS Poisoning); incluso sin acceso a un servidor DNS real, un atacante puede enviar datos falseados como respuesta a una petición de su víctima sin más que averiguar los números de secuencia correctos.
ARP Spoofing
El ataque denominado ARP Spoofing hace referencia a la construcción de tramas de solicitud y respuesta ARP falseadas, de forma que en una red local se puede forzar a una determinada máquina a que envíe los paquetes a un host atacante en lugar de hacerlo a su destino legítimo. La idea es sencilla, y los efectos del ataque pueden ser muy negativos: desde negaciones de servicio hasta interceptación de datos, incluyendo algunos Man in the Middle contra ciertos protocolos cifrados.
Web Spoofing
Este ataque permite a un pirata visualizar y modificar cualquier página web que su víctima solicite a través de un navegador, incluyendo las conexiones seguras vía SSL. Para ello, mediante código malicioso un atacante crea una ventana del navegador correspondiente, de apariencia inofensiva, en la máquina de su víctima; a partir de ahí, enruta todas las páginas dirigidas al equipo atacado – incluyendo las cargadas en nuevas ventanas del navegador – a través de su propia máquina, donde son modificadas para que cualquier evento generado por el cliente sea registrado (esto implica registrar cualquier dato introducido en un formulario, cualquier click en un enlace, etc.).
2.2 .1.2 Herramientas del Hacker
Es difícil describir el ataque "típico" de un hacker debido a que los intrusos poseen diferentes niveles de técnicos por su experiencia y son además son motivados por diversos factores. Algunos hackers son intrigosos por el desafío, otros más gozan de hacer la vida difícil a los demás, y otros tantos substraen datos delicados para algún beneficio propio.
Generalmente, el primer paso es saber en que forma se recolecta la información y además que tipo de información es. La meta es construir una base de datos que contenga la organización de la red y colectar la información acerca de los servidores residentes.
Esta es una lista de herramientas que un hacker puede usar para colectar esta información:
- El protocolo SNMP puede utilizarse para examinar la tabla de ruteo en un dispositivo inseguro, esto sirve para aprender los detalles más íntimos acerca del objetivo de la topología de red perteneciente a una organización.
- El programa TraceRoute puede revelar el número de redes intermedias y los ruteadores en torno al servidor específico.
- El protocolo Whois que es un servicio de información que provee datos acerca de todos los dominios DNS y el administrador del sistema responsable para cada dominio. No obstante que esta información es anticuada.
- Servidores DNS pueden accesarce para obtener una lista de las direcciones IP y sus correspondientes Nombres (Programa Nslookup).
- El protocolo Finger puede revelar información detallada acerca de los usuarios (nombres de Login, números telefónicos, tiempo y última sesión, etc.) de un servidor en específico.
- El programa Ping puede ser empleado para localizar un servidor particular y determinar si se puede alcanzar. Esta simple herramienta puede ser usada como un programa de escaneo pequeño que por medio de llamadas a la dirección de un servidor haga posible construir una lista de los servidores que actualmente son residentes en la red.
Sondeo del sistema para debilitar la seguridad
Después que se obtienen la información de red perteneciente a dicha organización, el hacker trata de probar cada uno de los servidores para debilitar la seguridad.
Estos son algunos usos de las herramientas que un hacker puede utilizar automáticamente para explorar individualmente los servidores residentes en una red:
- Una vez obtenida una lista no obstantemente pequeña de la vulnerabilidad de servicios en la red, un hacker bien instruido puede escribir un pequeño programa que intente conectarse a un puerto especificando el tipo de servicio que esta asignado al servidor en cuestión. La corrida del programa presenta una lista de los servidores que soportan servicio de Internet y están expuestos al ataque.
- Están disponibles varias herramientas del dominio publico, tal es el caso como el Rastreador de Seguridad en Internet (ISS) o la Herramienta para Análisis de Seguridad para Auditar Redes (SATAN), el cual puede rastrear una subred o un dominio y ver las posibles fugas de seguridad. Estos programas determinan la debilidad de cada uno de los sistemas con respecto a varios puntos de vulnerabilidad comunes en un sistema. El intruso usa la información colectada por este tipo de rastreadores para intentar el acceso no autorizado al sistema de la organización puesta en la mira.
Un administrador de redes hábil puede usar estas herramientas en su red privada para descubrir los puntos potenciales donde esta debilitada su seguridad y así determina que servidores necesitan ser remendados y actualizados en el software.
El intruso utiliza los resultados obtenidos a través de las pruebas para poder intentar acceder a los servicios específicos de un sistema.
Después de tener el acceso al sistema protegido, el hacker tiene disponibles las siguientes opciones:
- Puede atentar destruyendo toda evidencia del asalto y además podrá crear nuevas fugas en el sistema o en partes subalternas con el compromiso de seguir teniendo acceso sin que el ataque original sea descubierto.
- Pueden instalar paquetes de sondeo que incluyan códigos binarios conocidos como "Caballos de Troya" protegiendo su actividad de forma transparente. Los paquetes de sondeo colectan las cuentas y contraseñas para los servicios de Telnet y FTP permitiendo al hacker expandir su ataque a otras maquinas.
- Pueden encontrar otros servidores que realmente comprometan al sistema. Esto permite al hacker explotar vulnerablemente desde un servidor sencillo todos aquellos que se encuentren a través de la red corporativa.
- Si el hacker puede obtener acceso privilegiado en un sistema compartido, podrá leer el correo, buscar en archivos
2.2.2 Defenderse
Ya hemos hablado de las maravillas de la tecnología de Voz sobre IP, y nos hemos encontrado con graves problemas de seguridad. Afortunadamente, la situación no es irremediable. En resumidas cuentas, los riesgos que comporta usar el protocolo VoIP no son muy diferentes de los que nos podemos encontrar en las redes habituales de IP. Desafortunadamente, en los "rollouts" iniciales y en diseños de hardware para voz, software y protocolos, la seguridad no es su punto fuerte. Pero seamos sinceros; esto es lo que siempre suele pasar cada vez que aparece una nueva tecnología. Examinemos ahora algunas pruebas que puedan alivia las amenazas sobre esta tecnología.
Lo primero que deberíamos tener en mente a la hora de leer sobre VoIP es la encriptación. Aunque lógicamente no es sencillo capturar y decodificar los paquetes de voz, puede hacerse. Y encriptar es la única forma de prevenirse ante un ataque. Desafortunadamente, toma ancho de banda. Por tanto… ¿Qué podemos hacer? Existen múltiples métodos de encriptación o posibilidades de encriptación: VPN (virtual personal network), el protocolo Ipsec (IP segura) y otros protocolos como SRTP (secure RTP). La clave, de cualquier forma, es elegir un algoritmo de encriptación rápido, eficiente, y emplear un procesador dedicado de encriptación.
Esto debería aliviar cualquier riesgo de amenaza. Otra opción podría ser QoS (Quality of Service); los requerimientos para QoS asegurarán que la voz se maneja siempre de manera oportuna, reduciendo la pérdida de calidad.
Lo próximo, como debería esperarse, podría ser el proceso de securizar todos los elementos que componen la red VoIP: servidores de llamadas, routers, switches, centros de trabajo y teléfonos. Necesitas configurar cada uno de esos dispositivos para asegurarte de que están en línea con tus demandas en términos de seguridad. Los servidores pueden tener pequeñas funciones trabajando y sólo abiertos los puertos que sean realmente necesarios. Los routers y switches deberían estar configurados adecuadamente, con acceso a las listas de control y a los filtros. Todos los dispositivos deberían estar actualizados en términos de parches y actualizaciones. Se trata del mismo tipo de precauciones que podrías tomar cuando añades nuevos elementos a la red de datos; únicamente habrá que extender este proceso a la porción que le compete a la red VoIP. Tal y como hemos mencionado, la disponibilidad de tu red VoIP es otra de nuestras preocupaciones. Una pérdida de potencia puede provocar que la red se caiga y los ataques DdoS son difíciles de contrarrestar. Aparte de configurar con propiedad el router, recordemos que estos ataques no solo irán dirigidos a los servicios de datos, sino también a los de voz.
Por último, podemos emplear un firewall y un (Intrusion Detection System) para ayudar a proteger la red de voz. Los firewalls de VoIP son complicados de manejar y tienen múltiples requerimientos. Los servidores de llamada están constantemente abriendo y cerrando puertos para las nuevas conexiones. Este elemento dinámico hace que su manejo sea más dificultoso. Pero el coste está lejos de verse oscurecido por la cantidad de beneficios, así que aconsejamos pasar algo de tiempo perfeccionando los controles de acceso. Un IDS puede monitorizar la red para detectar cualquier anomalía en el servicio o un abuso potencial. Las advertencias son una clave para prevenir los ataques posteriores. Y sin duda no hay mejor defensa que estar prevenido para el ataque.
La meta de este protocolo es proporcionar varios servicios de seguridad para el tráfico de la capa IP, tanto a través de IPv4 e IPv6. Los componentes fundamentales de la arquitectura de seguridad IPSec son los siguientes:
- Protocolos de Seguridad: Cabecera de autenticación (AH) y los Datos Seguros Encapsulados (ESP).
- Asociaciones de Seguridad.
- Manejo de Clave: manual y automática (Internet Key Exchange, IKE).
- Algoritmos para la autenticación y encriptación.
IPsec es una extensión al protocolo IP que proporciona seguridad a IP y a los protocolos de capas superiores. Fue desarrollado para el nuevo estándar IPv6 y después fue portado a IPv4. La arquitectura IPsec se describe en el RFC2401. Los siguientes párrafos dan una pequeña introducción a IPsec.
IPsec emplea dos protocolos diferentes – AH y ESP – para asegurar la autenticación, integridad y confidencialidad de la comunicación. Puede proteger el datagrama IP completo o sólo los protocolos de capas superiores. Estos modos se denominan, respectivamente, modo túnel y modo transporte. En modo túnel el datagrama IP se encapsula completamente dentro de un nuevo datagrama IP que emplea el protocolo IPsec. En modo transporte IPsec sólo maneja la carga del datagrama IP, insertándose la cabecera IPsec entre la cabecera IP y la cabecera del protocolo de capas superiores.
Para ver el gráfico seleccione la opción "Descargar" del menú superior
IPsec: modos túnel y transporte
Para proteger la integridad de los datagramas IP, los protocolos IPsec emplean códigos de autenticación de mensaje basados en resúmenes (HMAC – Hash Message Authentication Codes). Para el cálculo de estos HMAC los protocolos HMAC emplean algoritmos de resumen como MD5 y SHA para calcular un resumen basado en una clave secreta y en los contenidos del datagrama IP. El HMAC se incluye en la cabecera del protocolo IPsec y el receptor del paquete puede comprobar el HMAC si tiene acceso a la clave secreta.
Para proteger la confidencialidad de lo datagramas IP, los protocolos IPsec emplean algoritmos estándar de cifrado simétrico. El estándar IPsec exige la implementación de NULL y DES. En la actualidad se suelen emplear algoritmos más fuertes: 3DES, AES y Blowfish.
Para protegerse contra ataques por denegación de servicio, los protocolos IPsec emplean ventanas deslizantes. Cada paquete recibe un número de secuencia y sólo se acepta su recepción si el número de paquete se encuentra dentro de la ventana o es posterior. Los paquetes anteriores son descartados inmediatamente. Esta es una medida de protección eficaz contra ataques por repetición de mensajes en los que el atacante almacena los paquetes originales y los reproduce posteriormente.
Para que los participantes de una comunicación puedan encapsular y desencapsular los paquetes IPsec, se necesitan mecanismos para almacenar las claves secretas, algoritmos y direcciones IP involucradas en la comunicación. Todos estos parámetros se almacenan en asociaciones de seguridad (SA – Security Associations). Las asociaciones de seguridad, a su vez, se almacenan en bases de datos de asociaciones de seguridad (SAD – Security Asocciation Databases).
Cada asociación de seguridad define los siguientes parámetros:
- Dirección IP origen y destino de la cabecera IPsec resultante. Estas son las direcciones IP de los participantes de la comunicación IPsec que protegen los paquetes.
- Protocolo IPsec (AH o ESP). A veces, se permite compresión (IPCOMP).
- El algoritmo y clave secreta empleados por el protocolo IPsec.
- Índice de parámetro de seguridad (SPI – Security Parameter Index). Es un número de 32 bits que identifica la asociación de seguridad.
Algunas implementaciones de la base de datos de asociaciones de seguridad permiten almacenar más parámetros:
- Modo IPsec (túnel o transporte)
- Tamaño de la ventana deslizante para protegerse de ataques por repetición.
- Tiempo de vida de una asociación de seguridad.
En una asociación de seguridad se definen las direcciones IP de origen y destino de la comunicación. Por ello, mediante una única SA sólo se puede proteger un sentido del tráfico en una comunicación IPsec full duplex. Para proteger ambos sentidos de la comunicación, IPsec necesita de dos asociaciones de seguridad unidireccionales.
Las asociaciones de seguridad sólo especifican cómo se supone que IPsec protegerá el tráfico. Para definir qué tráfico proteger, y cuándo hacerlo, se necesita información adicional. Esta información se almacena en la política de seguridad (SP – Security Policy), que a su vez se almacena en la base de datos de políticas de seguridad (SPD – Security Policy Database).
Una política de seguridad suele especificar los siguientes parámetros:
- Direcciones de origen y destino de los paquetes por proteger. En modo transportes estas serán las mismas direcciones que en la SA. En modo túnel pueden ser distintas.
- Protocolos y puertos a proteger. Algunas implementaciones no permiten la definición de protocolos específicos a proteger. En este caso, se protege todo el tráfico entre las direcciones IP indicadas.
- La asociación de seguridad a emplear para proteger los paquetes.
La configuración manual de la asociación de seguridad es proclive a errores, y no es muy segura. Las claves secretas y algoritmos de cifrado deben compartirse entre todos los participantes de la VPN. Uno de los problemas críticos a los que se enfrenta el administrador de sistemas es el intercambio de claves: ¿cómo intercambiar claves simétricas cuando aún no se ha establecido ningún tipo de cifrado?
Para resolver este problema se desarrolló el protocolo de intercambio de claves por Internet (IKE – Internet Key Exchange Protocol). Este protocolo autentica a los participantes en una primera fase. En una segunda fase se negocian las asociaciones de seguridad y se escogen las claves secretas simétricas a través de un intercambio de claves Diffie Hellmann. El protocolo IKE se ocupa incluso de renovar periódicamente las claves para asegurar su confidencialidad.
La familia de protocolos IPsec está formada por dos protocolos: el AH (Authentication Header – Cabecera de autenticación) y el ESP (Encapsulated Security Payload – Carga de seguridad encapsulada). Ambos son protocolos IP independientes. AH es el protocolo IP 51 y ESP el protocolo IP 50.
AH – Cabecera de autenticación
El protocolo AH protege la integridad del datagrama IP. Para conseguirlo, el protocolo AH calcula una HMAC basada en la clave secreta, el contenido del paquete y las partes inmutables de la cabecera IP (como son las direcciones IP). Tras esto, añade la cabecera AH al paquete.
Para ver el gráfico seleccione la opción "Descargar" del menú superior
La cabecera AH protege la integridad del paquete
La cabecera AH mide 24 bytes. El primer byte es el campo Siguiente cabecera. Este campo especifica el protocolo de la siguiente cabecera. En modo túnel se encapsula un datagrama IP completo, por lo que el valor de este campo es 4. Al encapsular un datagrama TCP en modo transporte, el valor correspondiente es 6. El siguiente byte especifica la longitud del contenido del paquete. Este campo está seguido de dos bytes reservados. Los siguientes 4 bytes especifican en Índice de Parámetro de Seguridad (SPI). El SPI especifica la asociación de seguridad (SA) a emplear para el desencapsulado del paquete. El Número de Secuencia de 32 bit protege frente a ataques por repetición. Finalmente, los últimos 96 bit almacenan el código de resumen para la autenticación de mensaje (HMAC). Este HMAC protege la integridad de los paquetes ya que sólo los miembros de la comunicación que conozcan la clave secreta pueden crear y comprobar HMACs.
Como el protocolo AH protege la cabecera IP incluyendo las partes inmutables de la cabecera IP como las direcciones IP, el protocolo AH no permite NAT. NAT (Network address translation – Traducción de direcciones de red) también conocido como Enmascaramiento de direcciones reemplaza una dirección IP de la cabecera IP (normalmente la IP de origen) por una dirección IP diferente. Tras el intercambio, la HMAC ya no es válida. La extensión a IPsec NAT-transversal implementa métodos que evitan esta restricción.
ESP – Carga de Seguridad Encapsulada
El protocolo ESP puede asegurar la integridad del paquete empleando una HMAC y la confidencialidad empleando cifrado. La cabecera ESP se genera y añade al paquete tras cifrarlo y calcular su HMAC. La cabecera ESP consta de dos partes.
Los primeros 32 bits de la cabecera ESP especifican el Índice de Parámetros de Seguridad (SPI). Este SPI especifica qué SA emplear para desencapsular el paquete ESP. Los siguientes 32 bits almacenan el Número de Secuencia. Este número de secuencia se emplea para protegerse de ataques por repetición de mensajes. Los siguientes 32 bits especifican el Vector de Inicialización (IV – Initialization Vector) que se emplea para el proceso de cifrado. Los algoritmos de cifrado simétrico pueden ser vulnerables a ataques por análisis de frecuencias si no se emplean IVs. El IV asegura que dos cargas idénticas generan dos cargas cifradas diferentes.
IPsec emplea cifradores de bloque para el proceso de cifrado. Por ello, puede ser necesario rellenar la carga del paquete si la longitud de la carga no es un múltiplo de la longitud del paquete. En ese caso se añade la longitud del relleno (pad length). Tras la longitud del relleno se coloca el campo de 2 bytes Siguiente cabecera que especifica la siguiente cabecera. Por último, se añaden los 96 bit de HMAC para asegurar la integridad del paquete. Esta HMAC sólo tiene en cuenta la carga del paquete: la cabecera IP no se incluye dentro de su proceso de cálculo.
El uso de NAT, por lo tanto, no rompe el protocolo ESP. Sin embargo, en la mayoría de los casos, NAT aún no es compatible en combinación con IPsec. NAT- Transversal ofrece una solución para este problema encapsulando los paquetes ESP dentro de paquetes UDP.
El protocolo IKE resuelve el problema más importante del establecimiento de comunicaciones seguras: la autenticación de los participantes y el intercambio de claves simétricas. Tras ello, crea las asociaciones de seguridad y rellena la SAD. El protocolo IKE suele implementarse a través de servidores de espacio de usuario, y no suele implementarse en el sistema operativo. El protocolo IKE emplea el puerto 500 UDP para su comunicación.
El protocolo IKE funciona en dos fases. La primera fase establece un ISAKMP SA (Internet Security Association Key Management Security Association – Asociación de seguridad del protocolo de gestión de claves de asociaciones de seguridad en Internet). En la segunda fase, el ISAKMP SA se emplea para negociar y establecer las SAs de IPsec.
La autenticación de los participantes en la primera fase suele basarse en claves compartidas con anterioridad (PSK – Pre-shared keys), claves RSA y certificados X.509.
La primera fase suele soportar dos modos distintos: modo principal y modo agresivo. Ambos modos autentican al participante en la comunicación y establecen un ISAKMP SA, pero el modo agresivo sólo usa la mitad de mensajes para alcanzar su objetivo. Esto, sin embargo, tiene sus desventajas, ya que el modo agresivo no soporta la protección de identidades y, por lo tanto, es susceptible a un ataque man-in-the-middle (por escucha y repetición de mensajes en un nodo intermedio) si se emplea junto a claves compartidas con anterioridad (PSK). Pero sin embargo este es el único objetivo del modo agresivo, ya que los mecanismos internos del modo principal no permiten el uso de distintas claves compartidas con anterioridad con participantes desconocidos. El modo agresivo no permite la protección de identidades y transmite la identidad del cliente en claro. Por lo tanto, los participantes de la comunicación se conocen antes de que la autenticación se lleve a cabo, y se pueden emplear distintas claves pre-compartidas con distintos comunicantes.
En la segunda fase, el protocolo IKE intercambia propuestas de asociaciones de seguridad y negocia asociaciones de seguridad basándose en la ISAKMP SA. La ISAKMP SA proporciona autenticación para protegerse de ataques man-in-the-middle. Esta segunda fase emplea el modo rápido.
Normalmente, dos participantes de la comunicación sólo negocian una ISAKMP SA, que se emplea para negociar varias (al menos dos) IPsec SAs unidireccionales.
2.2.2.2 Firewalls
Un Firewall en Internet es un sistema o grupo de sistemas que impone una política de seguridad entre la organización de red privada y el Internet. El firewall determina cual de los servicios de red pueden ser accesados dentro de esta por los que están fuera, es decir quien puede entrar para utilizar los recursos de red pertenecientes a la organización. Para que un firewall sea efectivo, todo tráfico de información a través del Internet deberá pasar a través del mismo donde podrá ser inspeccionada la información. El firewall podrá únicamente autorizar el paso del tráfico, y el mismo podrá ser inmune a la penetración. Desafortunadamente, este sistema no puede ofrecer protección alguna una vez que el agresor lo traspasa o permanece entorno a este.
La Política De Seguridad Crea Un Perímetro De Defensa.
Esto es importante, ya que debemos de notar que un firewall de Internet no es justamente un ruteador, un servidor de defensa, o una combinación de elementos que proveen seguridad para la red. El firewall es parte de una política de seguridad completa que crea un perímetro de defensa diseñada para proteger las fuentes de información. Esta política de seguridad podrá incluir publicaciones con las guías de ayuda donde se informe a los usuarios de sus responsabilidades, normas de acceso a la red, política de servicios en la red, política de autenticidad en acceso remoto o local a usuarios propios de la red, normas de dial-in y dial-out, reglas de enciptacion de datos y discos, normas de protección de virus, y entrenamiento. Todos los puntos potenciales de ataque en la red podrán ser protegidos con el mismo nivel de seguridad. Un firewall de Internet sin una política de seguridad comprensiva es como poner una puerta de acero en una tienda.
2.2.2.3 Redes Privadas Virtuales – VPN
Es una red privada que se extiende, mediante un proceso de encapsulación y en su caso de encriptación, de los paquetes de datos a distintos puntos remotos mediante el uso de unas infraestructuras públicas de transporte.
Los paquetes de datos de la red privada viajan por medio de un "túnel" definido en la red pública.
En la figura anterior se muestra como viajan los datos a través de una VPN ya que el servidor dedicado es del cual parten los datos, llegando a firewall que hace la función de una pared para engañar a los intrusos a la red, después los datos llegan a nube de internet donde se genera un túnel dedicado únicamente para nuestros datos para que estos con una velocidad garantizada, con un ancho de banda también garantizado y lleguen a su vez al firewall remoto y terminen en el servidor remoto.
Las VPN pueden enlazar oficinas corporativas con los socios, con usuarios móviles, con oficinas remotas mediante los protocolos como internet, IP, Ipsec, Frame Relay, ATM como lo muestra la figura siguiente.
2.3 Debate: Seguridad en los sistemas VoIP
Haciendo alusión a un reciente debate en línea sobre temas de seguridad, los expertos coinciden en que falta muy poco para que los sistemas de "Voice Over IP" (VoIP), sean inundados de spam, se abran a los piratas informáticos, y sean derribados por los gusanos. Es importante que la industria se adelante a estas expectativas.
Voz sobre IP, es una tecnología que permite la transmisión de la voz a través de redes IP (Internet Protocol), en forma de paquetes de datos. La aplicación más notoria de esta tecnología, es la realización de llamadas telefónicas ordinarias a través de la red.
"Nosotros ya hemos visto casos donde empresas importantes han tenido sus infraestructuras de VoIP, afectadas por un gusano," dijo Chris Thatcher de Dimension Data Holdings, empresa dedicada a servicios globales de TI (Tecnologías de la Información).
"Existe una falta de seguridad en el diseño y el desarrollo de VoIP, y los compradores no toman el tema de la seguridad en consideración," dijo Thatcher. Las empresas se han enfocado casi exclusivamente en el precio, las características y el desempeño, a menudo liberando nuevos sistemas que están abiertos a insospechadas amenazas.
Según Andrew Graydon de BorderWare Technologies Inc., otro de los panelistas, los riesgos incluyen las infracciones comunes de la seguridad que las empresas tratan hoy, incluyendo DDoS (ataques distribuidos de denegación de servicio), código malicioso, spoofing (práctica de hacer que una transmisión aparezca como venida de un usuario diferente al usuario que realizó la acción) y phishing (atraer mediante engaños a un usuario hacia un sitio Web falso). Pero las empresas necesitan también tener cuidado respecto a las amenazas propias de VoIP, tales como escuchas furtivas y "VBombing", donde centenares o miles de mensajes de voz pueden ser rápidamente enviados a una sola consola VoIP.
Graydon opina que los vendedores son reacios a admitir que estas debilidades existen. "Es un mercado tan nuevo, nadie quiere espantar al consumidor", dijo. "Pero ya se pueden encontrar scripts para estos ataques a sistemas VoIP en el propio Internet".
La mayoría de estos ataques, pueden alcanzarse al nivel de las aplicaciones, que para la mayoría de los grandes vendedores se basa en el SIP (Session Initiation Protocol). SIP es un protocolo de señalización para conferencia, telefonía, presencia, notificación de eventos y mensajería instantánea a través de Internet.
Los cortafuegos y las redes privadas virtuales (VPN), pueden manejar de forma adecuada la seguridad en la capa de transporte para VoIP, pero SIP puede compararse con el SMTP y el HTTP para las aplicaciones de la Web y el correo electrónico, que fueron ignorados hasta que surgieron los problemas de seguridad. "Todas las vulnerabilidades que existen para el correo electrónico, existen también para VoIP", dijo Graydon. "No cometamos los mismos errores."
Chris Thatcher por su parte, también habló acerca del aumento en el número de agujeros y las capas que deben ser protegidas en una infraestructura de VoIP. "Al mezclar la voz con los datos, y compartiendo una infraestructura común, existen muchas más maneras para que un atacante pueda entrar," dijo. "Usted no puede depender de un único control de seguridad como si se tratara de una bala de plata." ¿Y para cuándo pueden esperar las empresas estos ataques?. "Será más pronto de lo que se piensa," expresó Thatcher. "Como el mercado de VoIP crece, los piratas informáticos y los remitentes de spam se enfocarán en él cada vez mas."
2.4 VOIPSA (VoIP Security Alliance)
Los líderes en VoIP se unen para probar e investigar la SEGURIDAD VoIP
Entre los miembros iniciales se encuentran 3Com, Alcatel, Avaya, Codenomicon, la Universidad de Columbia, el Centro de Seguridad Avanzada Giuliani de Ernst and Young, Insightix, NetCentrex, Qualys, SecureLogix, Siemens, Sourcefire, la Universidad Metodista del Sur, Spirent, Symantec, el Instituto SANS y Tenable Network Security.
TippingPoint, división de 3Com (Nasdaq: COMS) y líder en prevención de intrusiones, anuncia la creación de la primera Alianza de Seguridad de Voz sobre IP de la industria, junto con otros fabricantes, proveedores, investigadores de seguridad y líderes de opinión, con el fin de analizar y reducir los riesgos que afectan a la seguridad de la Voz sobre IP.
La creciente convergencia de las redes de voz y datos duplica los riesgos contra la seguridad por los tradicionales ataques informáticos. Los ataques contra las redes de voz y datos pueden paralizar una empresa y detener las comunicaciones que se requieren para lograr la productividad, produciendo la pérdida de ingresos y la irritación de los clientes. Los despliegues VoIP se están expandiendo, la tecnología se está haciendo más atractiva para los hackers, aumentando el potencial de daño de los ciberataques. La emergencia de ataques a las aplicaciones VoIP proliferará a medida que los hackers se familiaricen con la tecnología mediante la exposición y el fácil acceso.
VOIPSA (VoIP Security Alliance) se centra en ayudar a las organizaciones a entender y evitar los ataques contra la seguridad de VoIP mediante listas de discusión, patrocinio de proyectos de investigación en seguridad VoIP, y el desarrollo de herramientas y metodologías de uso público. VOIPSA es el primer y único grupo que se dedica en exclusiva a la seguridad en VoIP respaldada por un amplio abanico de organizaciones representadas por universidades, investigadores en seguridad, fabricantes de VoIP y proveedores de VoIP. Con la colaboración de VOIPSA, TippingPoint espera utilizar y mejorar una herramienta para pruebas de seguridad VoIP que desarrolló para encontrar e investigar posibles vulnerabilidades de VoIP.
"A pesar de las ventajas de VoIP, si la tecnología no se implanta de la forma adecuada y segura, probablemente engañaremos a los controles de seguridad y expondremos nuestras redes", señala Brian Kelly, director del Centro de Seguridad Avanzada Giuliani de Ernst & Young. "Esta alianza es una importante iniciativa para ayudarnos a potenciar la tecnología, pero también para entender y gestionar los riesgos".
Joseph Curcio, vicepresidente de desarrollo de tecnología de seguridad de Avaya, apunta que "una vez que se toma la decisión de implantar VoIP en el centro del negocio, las empresas necesitan resolver todas las cuestiones de seguridad – en las aplicaciones, sistemas y niveles de servicio. Avaya cree que la VoIP Security Alliance permitirá a las empresas experimentar los beneficios de IP, mientras que garantiza la seguridad de la red y preserva la continuidad del negocio".
"VoIP está empezando a cobrar importancia en el mercado pero atajar de forma proactiva las cuestiones de seguridad ayudará a ampliar mucho más esta adopción", afirma Gerhard Eschelbeck, VP de Ingeniería y CTO de Qualys. "Qualys está muy satisfecho de participar en este esfuerzo de la industria para continuar con este trabajo y desarrollar soluciones para satisfacer los requisitos de seguridad de VoIP".
"VoIP tiene el potencial para implantarse en las infraestructuras críticas pero sin una comunidad activa en seguridad VoIP, la calidad y fiabilidad de VoIP pueden tener que someterse a un proceso de revisiones y enmiendas como los que hemos presenciado con otras herramientas de software de comunicación ahora ampliamente desplegadas", añade Ari Takanen, CEO y cofundador de Codenomicon Ltd. "Desde 2002, Codenomicon y nuestros partners de desarrollo, la Universidad de Oulu, hemos estado trabajando activamente en seguridad VoIP con el lanzamiento de suites de pruebas PROTOS gratuitas y herramientas de pruebas comerciales para mejorar la seguridad y robustez de VoIP".
"Las empresas están implantando soluciones VoIP para reducir costes e incrementar la eficacia, pero esto también supone nuevos riesgos contra la seguridad que podrían contrarrestar esos ahorros y demandar mayores recursos si no se gestionan adecuadamente", comenta Martín Roesch, creador de Snort y fundador y CTO de Sourcefire. "Somos optimistas porque este grupo generará soluciones más resistentes que ayudarán a los usuarios finales a proteger mejor sus bienes".
"La VoIP ha llegado por fin pero las vulnerabilidades en los equipos y servicios que permiten esta tecnología necesitan ser descubiertos y mitigados", subraya Ron Gula, CTO de Tenable Network Security.
"La VoIP Security Alliance es el marco de trabajo perfecto para impulsar la adopción de la telefonía IP", destaca Dave Hattey, vicepresidente y director general de soluciones empresariales de voz de 3Com. "Como miembro charter, creemos que es nuestra labor impulsar esta alianza y sus mejoras para la seguridad VoIP".
"El pasado año, TippingPoint anunció la formación del Laboratorio de Investigación en Seguridad VoIP para descubrir y analizar las amenazas de la VoIP", subraya Marc Willebeek-LeMair, director de tecnología y estrategia de TippingPoint. "VOIPSA es la culminación de nuestros esfuerzos para trabajar con los líderes en VoIP con el fin de analizar las debilidades de las arquitecturas VoIP y descubrir las nuevas vulnerabilidades mediante la prueba de los protocolos. La investigación de VOIPSA promocionará el conocimiento en la industria y ayudará a reducir los riesgos de las amenazas".
TippingPoint está proporcionando sus servicios administrativos para la formación de VOIPSA, reclutando miembros y facilitando las reuniones de la organización.
Acerca de TippingPoint, una división de 3Com
TippingPoint, una división de 3Com, es el proveedor líder en sistemas de prevención de intrusiones basados en red que ofrece protección exhaustiva de las aplicaciones, las infraestructuras y el rendimiento para grandes corporaciones, organismos estatales, proveedores de servicios e instituciones académicas. TippingPoint tiene su sede en Austin (Texas).
CAPITULO III.
PRESENTE Y FUTURO DE LAS COMUNICACIONES DE VOZ
3.1 Empresas relacionadas con el Estándar VoIP (Voz sobre IP)
3.1.1 3com Corporation y Siemens Public Communications Networks
La plataforma Total Control de 3Com y el switch digital EWSD de Siemens permiten una nueva generación de funciones de llamadas personalizadas, incluyendo Voz sobre IP (VoIP).
3Com Corporation y Siemens Public Communications Networks, poseen un acuerdo conjunto de desarrollo que combina un sistema de red de voz y datos para producir el primer y único switch multi-servicio de la oficina central. Las compañías han integrado la plataforma multi-servicio Total Control de 3Com con el sistema digital de switches Class 5 EWSD (Elektronisches Wahlsystem Digital) de Siemens para simplificar el acceso remoto a Internet y permitir la entrega de una nueva generación total en servicios de llamadas personalizadas, incluyendo Voz sobre IP (VoIP).
Este acuerdo conjunto de desarrollo entre dos compañías los ubica en la vanguardia de la convergencia de redes. La implementación de la vía de acceso a Internet de Total Control en el sistema EWSD permite los servicios de llamadas personalizadas que pueden facilitar en gran manera el uso de Internet y el teléfono. Al mismo tiempo, los operadores de redes telefónicas pueden ofrecer un acceso eficaz a Internet a través de las redes existentes, reduciendo de este modo la inversión en nueva infraestructura. Algunos de los nuevos servicios potenciales son:
- Acceso mejorado a Voz sobre IP: este servicio le ofrece al usuario la opción de completar una llamada telefónica a través de la red convencional telefónica, o de manera opcional, para completar la llamada a través de una red de Protocolo de Internet (IP). La vía de acceso integrada IP para comunicaciones telefónicas le suministra al usuario un acceso amigable a este servicio. El acceso mediante el discado y los cargos de medición se administran dentro del switch EWSD multi-servicio.
- Llamada en espera de Internet: mientras un usuario está "navegando por" Internet, el servicio de llamada en espera de Internet alerta al usuario de que hay llamadas entrantes por medio de una ventana en la pantalla. Hasta ahora, la persona que recibe la llamada no tiene manera de reconocer y aceptar las llamadas entrantes. La línea de teléfono estaría constantemente ocupada mientras el usuario está conectado a una sesión de Internet. Este nuevo servicio le permite al receptor decidir si acepta o no la llamada o si continúa con la sesión de Internet y tal vez, llama más tarde.
- Realización de la llamada: este servicio es como el servicio de llamada en espera de Internet, excepto que la sesión de Internet no necesita interrumpirse para aceptar la llamada. Utilizando la capacidad de Voz sobre IP del switch integrado EWSD multi-servicio, el receptor puede hablar desde la PC y continuar, de este modo, con la sesión de Internet interrumpida mientras acepta llamadas telefónicas entrantes.
- Señal de espera de e-mail: el servicio de señal de espera de e-mail le informa al usuario que ha recibido un mensaje de e-mail utilizando el mismo método que usa el sistema de mensajes de voz basados en la red. Esta información se recibe en el teléfono del usuario, sin la necesidad de encender la PC (computadora). La información de espera de un mensaje se señala a través del panel de visualización del teléfono – un LED – o un tono de discado especial "entrecortado" similar a un correo de voz.
- Entrada controlada por el usuario: utilizando la tecnología basada en la Web, los usuarios pueden por sí mismos configurar estos servicios de llamadas personalizadas para sus líneas telefónicas con la ayuda de una interfaz gráfica fácil para el usuario en sus PCs (computadoras). También pueden obtener una visualización online (en línea) de los gastos actuales de servicios.
"El esfuerzo conjunto entre Siemens y 3Com lleva a la industria a la futura frontera de las comunicaciones y une, de manera eficaz, la red de switches de circuitos con la red de comunicaciones de datos para entregar nuevos servicios," dijo Ross Manire, vice presidente senior, 3Com Carrier Systems. "La combinación de los switches EWSD de Siemens y la tecnología Total Control de 3Com suministrará a los proveedores de servicios la capacidad de desplegar sistemas modulares, de alta densidad, escalables en sus redes e inigualables por ninguna otra oferta del mercado."
En enero de 1999, 3Com lanzó con éxito las capacidades de VoIP(Voz sobre IP), construido en parte sobre la base del servidor de Microsoft Windows NT , en la plataforma Total Control multi-servicio, un sistema avanzado basado en DSP considerado por las firmas de investigación de industrias como el sistema de acceso remoto líder en el mundo de los mercados. Cambiando la definición de acceso remoto, la plataforma Total Control multi-servicio de 3Com es un sistema de última generación, totalmente modular, con acceso tipo portador basado en la tecnología HiPero DSP de 3Com que puede entregar servicios de valor tales como voz, fax, video, sistema de red privada virtual y sus contenidos– todo en un sistema simple con un software que se puede actualizar. Más de tres millones de puertos Total Control se han desarrollado hasta la fecha.
Además, 300 proveedores, que ofrecen servicios a más de 150 millones de suscriptores en 100 países, utilizan el sistema EWSD de Siemens, convirtiéndolo en el switch digital líder en el mundo y confirmando la larga tradición de Siemens como el primer proveedor de soluciones para los sistemas con infraestructuras de telecomunicaciones.
"La integración de la tecnología Total Control al switch Class 5 de la oficina central de Siemens suministra una oportunidad estratégica para los servicios de acceso remoto tipo portador, Voz sobre IP y un host para otros servicios adicionales de Internet," dijo Hans-Eugen Binder, presidente de Switching Networks Business Unit de Siemens Public Communications Networks Group. "Cada switch EWSD de Siemens instalado se puede actualizar fácilmente para convertirlo en un switch multi-servicio, ofreciendo reducciones en los costos para proveedores que entregan servicios de acceso a Internet."
"Esta iniciativa confirma el rol de Windows NT como una plataforma estándar para los servicios de red comerciales en la convergencia emergente de redes de voz, video y datos," dijo Cameron Myhrvold, vice presidente, Internet Customer Unit, Microsoft. "Microsoft está ansioso por ver a 3Com y Siemens utilizar el servidor de Windows NT para desarrollar los servicios de última generación dentro de la red pública."
3.1.2 Cisco
La Compañía Cisco Systems anuncia la introducción de mejoras en software y hardware para su línea de productos de acceso de múltiples servicios. Esta línea permite ahora a los proveedores de servicio y a los clientes corporativos desarrollar infraestructuras de red a gran escala y de voz basadas en paquetes, a una fracción del precio de tecnologías tradicionales.
Con las nuevas funciones incorporadas, los clientes pueden aprovechar la integración de voz, video y datos sobre sus redes.
En software, las nuevas características ofrecen voz sobre Frame Relay -VoFR- en los routers de acceso de múltiples servicios Cisco 2600, Cisco 3600, Cisco 7200 y en los concentradores de acceso de múltiples servicios Cisco MC permiten al usuario ofrecer voz y evitar los PBXs a través de múltiples circuitos permanentes virtuales, con base en el número telefónico marcado. Adicionalmente, aportan a los clientes una red de voz sobre IP (VoIP) confiable y escalable con posibilidad de integrar con facilidad locaciones internacionales. Las interfases soportan VoFR o VoIP, haciendo posible las conexiones a los PBXs (private branch exchanges) con interfases Base Rate (BRI), así como con las tradicionales interfases de telefonía.
Arquitectura de Voz común
El marco de voz con el software integrador Cisco IOS ofrece la integración completa y sin fisura de voz, video y datos. Permite a los clientes corporativos y a los proveedores de servicio manejar grandes redes y servicios basados en VoIP (Voz sobre IP) o VoFR. Por ejemplo, el marco de voz común de Cisco basado sobre la arquitectura Open Packet Telephony de Cisco, ofrece escalabilidad e interoperabilidad de voz sobre servicios de paquetes desde routers de múltiples servicios de baja densidad VoIP/VoFR, hasta gateways VoIP (Voz sobre IP) de tipo carrier. Adicionalmente, los routers de acceso de múltiples servicios de Cisco, en combinación con su H.323 Gatekeeper, permite a los clientes construir redes muy grandes de VoIP (Voz sobre IP).
A los proveedores de servicio, las nuevas características incluye el Integrated Voice Response (IVR), características de seguridad AAA para autenticación de usuarios e historiales detallados sobre las llamadas realizadas. Los routers de acceso de múltiples servicios como los de las series Cisco 2600 y 3600, trabajan con el Gateway Cisco 5300 VoIP (Voz sobre IP), haciendo que sea una solución ideal para el proveedor de servicios que esté lanzando servicios administrados de VoIP (Voz sobre IP).
3.1.3 Motorola
Vanguard 64X0. Tecnología multiprocesador PowerPC
Vanguard 320. Solución multimedia modular de bajo costo
Equipos Multimedia y Multiprotocolo
El objetivo de Motorola ING es minimizar los costos de comunicaciones, un aspecto cada vez más crítico. Esta reducción de costes se puede conseguir por dos caminos: por un lado, con equipos flexibles, capaces de adaptarse a distintos entornos LAN (Ethernet, Token Ring, SDLC) y WAN (X.25, FR, PPP); y por otro, con equipos con capacidad de tráfico multimedia (voz y vídeo), a fin de sacar el máximo rendimiento de las líneas de comunicaciones.
Los equipos de Motorola ING son a la vez router y conmutador y pueden comunicarse utilizando redes WAN, públicas o privadas, de líneas punto a punto, RDSI, X.25, Frame Relay o IP. Además, dependiendo del modelo, los routers de Motorola tienen interfaces Ethernet, Token Ring, Serie y RDSI. Este amplio abanico de interfaces, junto con las funcionalidades de routing disponibles (RIP, OSPF, NAT), permiten procesar distintos tipos de tráfico con un único equipo.
Por otro lado, Motorola ING es pionera en la implementación de tráfico multimedia sobre redes de datos; ello nos permite poder ofrecer la posibilidad de aumentar el rendimiento de los enlaces de datos mediante la multiplexación de datos, voz y vídeo vigilancia, con el consiguiente ahorro de costes que ello implica.
En este campo Motorola ING es el único fabricante del mundo capaz de ofrecer soluciones para voz sobre Frame Relay y voz sobre IP con el mismo equipo.
Motorola ING presenta VOFR (Voz sobre Frame Relay) y VOIP (Voz sobre IP) utilizando la misma plataforma hardware.
Motorola ING fue pionera en 1995 al integrar la transmisión de voz en redes WAN Frame Relay. Aprovechando esa experiencia, única en el mercado, Motorola ING lanza ahora VOIP, voz sobre IP, utilizando los mismos equipos, empleando tanto protocolos propietarios (SoTCP) como protocolos estándar (H.323).
Los equipos de Motorola ING ofrecen una calidad excelente en transmisión de voz, tanto analógica (FXS, FXO, E&M) como digital (T0, E1), sobre líneas Frame Relay y/o IP.
Hoy en día Motorola ING es el único fabricante del mundo que ofrece soluciones de voz sobre redes Frame Relay y voz sobre redes IP con el mismo equipo, incluso de manera simultánea. Este hecho permite a los equipos de Motorola ING funcionar de forma simultánea como VoIP Gateway y router voz/datos sobre Frame Relay.
3.2 La Solución de Telefonía sobre IP de 3com
El sistema de telefonía sobre IP de clase carrier de 3Com se basa en una arquitectura abierta de tres niveles de gateways, gatekeepers y servidores de backend interconectados mediante protocolos abiertos basados en normas. La arquitectura modular de 3Com presenta APIs estándar en cada nivel a fin de brindarle a los carriers flexibilidad para personalizar el sistema, facilitando la diferenciación de servicios y la integración de las "mejores" aplicaciones de oficina back-to-back "de su clase". Este sistema modular llave en mano basado en normas soporta la telefonía sobre IP de teléfono a teléfono y de PC a teléfono en redes conmutadas por paquetes.
Sobre la base de la plataforma de acceso Total Control Multiservice Access Platform de 3Com, el sistema de VoIP (Voz sobre IP) de clase carrier está basado en normas y acepta protocolos internacionales entre los que se incluyen las especificaciones ITU T.120 y H.323v2. Además, el sistema utiliza la codificación de voz G.711, G.723.1 y G.729a para garantizar la compatibilidad con los sistemas de telefonía mundiales. Este desarrollo representa el próximo paso lógico para una plataforma diseñada para servicios múltiples. Además de la voz, la plataforma también brindará un soporte extensivo a los servicios de fax y video.
3.2.1 Gateway de Voz sobre IP
Los gateways de VoIP ( Voz sobre IP) proveen un acceso interrumpido a la red IP. Las llamadas de voz se digitalizan, codifican, comprimen y paquetizan en un gateway de origen y luego, se descomprimen, decodifican y rearman en el gateway de destino. Los gateways se interconectan con la PSTN según corresponda a fin de asegurar que la solución sea ubicua.
El procesamiento que realiza el gateway de la cadena de audio que atraviesa una red IP es transparente para los usuarios. Desde el punto de vista de la persona que llama, la experiencia es muy parecida a utilizar una tarjeta de llamada telefónica. La persona que realiza la llamada ingresa a un gateway por medio de un teléfono convencional discando un número de acceso. Una vez que fue autenticada, la persona disca el número deseado y oye los tonos de llamada habituales hasta que alguien responde del otro lado. Tanto quien llama como quien responde se sienten como en una llamada telefónica "típica".
3.2.2 Gatekeeper de Voz sobre IP
Los gateways se conectan con los gatekeepers de VoIP (Voz sobre IP) mediante enlaces estándar H.323v2, utilizando el protocolo RAS H.225. Los gatekeepers actúan como controladores del sistema y cumplen con el segundo nivel de funciones esenciales en el sistema de VoIP (Voz sobre IP) de clase carrier, es decir, autenticación, enrutamiento del servidor de directorios, contabilidad de llamadas y determinación de tarifas. Los gatekeepers utilizan la interfaz estándar de la industria ODBC-32 (Open Data Base Connectivity – Conectividad abierta de bases de datos) para acceder a los servidores de backend en el centro de cómputos del carrier y así autenticar a las personas que llaman como abonados válidos al servicio, optimizar la selección del gateway de destino y sus alternativas, hacer un seguimiento y una actualización de los registros de llamadas y la información de facturación, y guardar detalles del plan de facturación de la persona que efectúa la llamada.
3.2.3 Servidores de Backend
El tercer nivel de la arquitectura de VoIP (Voz sobre IP) de clase carrier de 3Com corresponde a la serie de aplicaciones de backoffice que constituyen el corazón del sistema operativo de un proveedor de servicios. Las bases de datos inteligentes y redundantes almacenan información crítica que intercambian con los gatekeepers durante las fases de inicio y terminación de las llamadas. En el entorno de una oficina central, resulta vital preservar la integridad de los datos de las bases de datos de backend. La solución de 3Com ofrece un enfoque único que garantiza la resistencia de los servidores de backend y la seguridad de sus bases de datos. Los servidores SQL de Microsoft están integrados dentro de la arquitectura del sistema de Backend y administran las bases de datos SQL para las funciones de autenticación, mapeo de directorios, contabilidad y determinación de tarifas. Este nivel de la arquitectura fue optimizado a fin de responder a las necesidades exclusivas de seguridad y disponibilidad de los proveedores de servicios. Para implementaciones a menor escala, el sistema ofrece flexibilidad para consolidar las bases de datos en un solo servidor robusto o en la plataforma de un gatekeeper.
3.2.4 Otras Soluciones de VoIP (Voz sobre IP) DE 3COM
Este nuevo sistema se expande sobre la estrategia de convergencia de 3Com para segmentos de mercado clave. 3Com también ofrece soluciones de VoIP (Voz sobre IP) para empresas que permiten que los usuarios actuales de routers agreguen voz a su infraestructura empresarial de área amplia ya existente. Los sistemas para empresas también se basan en normas y forman parte de las soluciones end-to-end de la compañía.
3.3 Futuro de la Tecnología de Voz sobre IP
En la actualidad, son cada vez más numerosas las compañías que ven esta tecnología como una herramienta de comunicaciones comercialmente viable. Recientemente, los consultores financieros Merrill Lynch llevaron a cabo un proyecto de VoIP, aunque no fue hasta los ataques terroristas a los Estados Unidos del 11 de septiembre que la compañía decidió adoptar este sistema en toda su red de datos. Esta compañía multinacional descubrió que sus enlaces VoIP eran los únicos que seguían funcionando después de que los ataques al World Trade Center destruyeran las redes de comunicaciones conmutadas de Manhattan.
3.3.1 Las Predicciones del Mercado
El servicio de voz en protocolos de Internet está atravesando poco a poco el umbral que separa lo novedoso de lo que está generalmente aceptado. Muchas de las portadoras que ofrecen servicios de voz a través de IP fueron creadas principalmente con ese fin, y la industria se encuentra en crecimiento constante.
Sin lugar a dudas, los primeros que van a aprovechar las ventajas de la voz sobre IP serán las grandes compañías que, en general, se encuentran geográficamente distribuidas. Según diversas consultoras de nivel internacional, como Frost & Sullivan, IDC y Probe Research, los pronósticos indican un crecimiento significativo en el mercado de voz sobre IP:
- Hacia el 2001, los ingresos obtenidos por las ventas de gateways se estimaron en mil 800 millones de dólares; y se calcularon, para este mismo año, que la cantidad de minutos de telefonía sobre IP podría llegar a los 12 mil 500 millones.
- Hacia el 2010 se estima que un 25 por ciento de las llamadas telefónicas en todo el mundo será efectuado sobre redes basadas en IP.
Página anterior | Volver al principio del trabajo | Página siguiente |