Capitulo
II
Seguridad Para Sistemas Voz
sobre IP
La seguridad a
menudo es una preocupación cuando se trata de redes IP (Internet Protocol) para
comunicaciones. Muchos Especialistas afirman que
las nuevas instalaciones son al menos tan seguras como los
sistemas de comunicaciones tradicionales que usan
PBXs.
2.1 Seguridad en las Comunicaciones IP
Día a día los requerimientos para ser
más exitosos en los negocios
continúan evolucionando, motivo por el cual las
infraestructuras de red deben ir evolucionando
también. Las Comunicaciones IP permiten a las empresas
implementar redes convergentes, donde los servicios de
voz, video y datos son
provistos sobre la red IP de una manera segura, generando
beneficios tales como la reducción de costos (capitales
y operativos y aumento de la productividad de
los empleados.
La Compañía Cisco define las
comunicaciones IP como un sistema de
clase
empresarial completo, habilitado por la Infraestructura AVVID de
Cisco (Arquitectura de
voz, video y datos integrados), que integra de una manera segura
la voz, video y otras aplicaciones de colaboración de
datos dentro de una solución de red
inteligente.
La aplicación de la telefonía IP, comunicaciones unificadas,
conferencias de contenido enriquecido, video broadcasting y
soluciones de
contacto al cliente (customer
contact) dan como resultado un ambiente de
negocios altamente eficiente y colaborativo que mejora
significativamente la manera como las empresas interactúan
con sus empleados, socios de negocios y clientes,
haciendo posible que las organizaciones
puedan diferenciarse de sus competidores a la vez que les permite
tener un retorno de Inversión medible.
La Compañía Cisco recomienda una política de seguridad
integral para proteger la integridad, privacidad y disponibilidad
del sistema de comunicaciones IP. Integrando múltiples
tecnologías de seguridad aplicadas en diferentes
segmentos, aumentamos la seguridad total mediante la
prevención de errores aislados que comprometan o impacten
el sistema. Más aún, una política de
seguridad integral incluye más que tecnología avanzada
de seguridad, comprende procesos
operacionales que aseguren un rápido despliegue de parches
para los softwares y aplicaciones, instalación de
tecnologías de seguridad en el momento adecuado y
finalmente la realización y evaluación
de auditorias de
seguridad. Desde que se despachó el primer Teléfono a la fecha, la seguridad en la
telefonía IP ha avanzado vertiginosamente.
Por el contrario, con los sistemas PBX digitales
tradicionales, tenemos que protegernos contra el fraude de
llamadas, "masquerading" (personas que se hacen pasar por otras
para tomar control del
sistema PBX) y "war dialing", asimismo los accesos no autorizados
pueden ser frecuentemente ejecutados con técnicas
tan simples como usar un par de pinzas, pero probablemente no
habrá que preocuparse de los gusanos que vienen del
Internet. Sin embargo, algunas personas piensan que no es
necesario preocuparse de la seguridad de red si se opta por un
sistema de telefonía híbrido que son promovidos por
fabricantes tradicionales de telefonía.
Típicamente, el primer paso en el proceso de
migración a un sistema híbrido es
separar el CPU y el
procesamiento de llamadas fuera de la "caja" y ponerlo en la
red LAN. Es
aquí donde tenemos que asegurarnos que la red LAN esta
completamente segura, dado que un ataque a los componentes que
procesan las llamadas afectaría a cada usuario en el
sistema, no solo a los usuarios de los teléfonos IP. En
este escenario, no solo es necesario tener las mismas
consideraciones de seguridad como cuando todo el sistema
estuviese sobre la red IP, sino también es necesario
administrar dos redes separadas, sin notar los beneficios de
tener una solución integrada en una única red
convergente.
Sería una falacia negar que la seguridad no sea
un factor importante cuando una empresa
decide implementar un sistema de Telefonía IP, ya sea
híbrido o IP puro. La compañía Cisco es el
único fabricante que aborda la seguridad en todos los
niveles de la infraestructura de Comunicaciones IP: red IP,
sistemas de voz y aplicaciones, proveyendo la defensa necesaria
para hacer el sistema de Comunicaciones IP tan seguro como estos
pueden ser.
Cuando nos protegemos contra los tipos de
vulnerabilidades comunes de voz y sistemas relacionados a la voz,
es importante considerar tres componentes
críticos:
- Privacidad: Provista vía comunicaciones
seguras. Tecnologías como IP Security (IPSec) y SSL nos
permiten implementar Virtual Private Networks (VPNs) seguras
que nos ayudan a robustecer las comunicaciones tanto en la LAN
como en la WAN. - Protección: Provista por sistemas de
defensa contra amenazas. Tecnologías como los firewalls,
IDSs e IDPs combaten las amenazas originadas interna y
externamente. - Control: Provisto vía sistemas de
identidad y
confiabilidad. Servidores de
control de acceso y el Network Admission Control (NAC) de la
compañía Cisco por ejemplo hacen posible que las
organizaciones puedan controlar el acceso a la información, permitiendo que solo la
gente correcta pueda tener acceso a la información en el
momento correcto.
En el caso de Cisco, las comunicaciones seguras empiezan
con los teléfonos IP y el Cisco CallManager (el software de procesamiento de
llamadas). Los teléfonos IP de Cisco pueden clasificar
automáticamente el tráfico de voz el cual es pasado
a una cola de alta prioridad que minimiza la latencia y el
jitter. Ellos son el primer punto en el cual la red es
dinámicamente particionada en dos redes lógicamente
separadas, una para voz y otra para datos. Con la solución
apropiada desplegada, cuando un usuario hace una llamada
telefónica, el CallManager es capaz de encriptar y
autenticar la señalización. Opcionalmente, la voz
puede ser encriptada para lograr un nivel más alto de
privacidad. Para una protección adicional, las imágenes
del software que corren en los teléfonos IP solo pueden
ser instaladas si éstas tienen la firma apropiada. Todo
esto es posible gracias a las capacidades de confiabilidad
basadas en certificados digitales y tecnologías
relacionadas de autorización y
autenticación.
La protección contra amenazas es suministrada en
todo el sistema también. En el CallManager, el Cisco
Security Agent es usado para la protección contra intrusos
y la arquitectura NAC ayuda a que las políticas
de seguridad corporativas sean ejecutadas constantemente en toda
la red. En la red, los sensores de
detección de intrusos del host detectan e identifican
actividad inusual y la aísla antes de que ésta
pueda afectar a la red. Usando inspección de estado de
paquetes, el firewall
bloquea puertos de aplicaciones no necesarias y ayuda a asegurar
que solo tráfico autorizado es permitido a acceder a
segmentos críticos de la red interna.
En unas pruebas de
laboratorio
realizadas por Miercom (firma independiente especializada en
probar y analizar productos de
comunicaciones y networking), una solución de
Comunicaciones IP de Cisco recibió la más alta
calificación posible en seguridad y fue catalogado como la
solución de telefonía IP más segura de entre
todas las soluciones que pasaron la prueba.
Debido a esta capacidad de las soluciones de Cisco de
proveer confiabilidad y seguridad, es posible lograr niveles
más altos de seguridad que con sistemas PBX tradicionales
basados en TDM. Se ha podido probar que, implementando seguridad
siguiendo las guías de diseño
de Cisco SAFE, una solución de Comunicaciones IP puede ser
la solución de voz (IP) más segura
disponible.
2.2 Seguridad en el protocolo
VoIP
Consideremos las limitaciones de seguridad en un sistema
de Voz sobre IP.
En el proceso de ahorrar dinero (factor
necesario) e incrementar la eficacia, dos
porciones cruciales de cualquier infraestructura, voz y datos,
fueron combinadas. Los servidores de VoIP
actúan como puertas de enlace; así, routers
especiales, teléfonos, nuevos protocolos y
sistemas
operativos están ahora entremezclándose con
esta nueva tecnología.
2. 2.1 Amenazas
Desafortunadamente existen numerosas amenazas que
conciernen a las redes VoIP; muchas de las cuales no resultan
obvias para la mayoría de los usuarios. Los dispositivos
de redes, los servidores y sus sistemas
operativos, los protocolos, los teléfonos y su
software, todos son vulnerables.
La información sobre una llamada es tan valiosa
como el contenido de la voz. Por ejemplo, una señal
comprometida en un servidor puede
ser usada para configurar y dirigir llamadas, del siguiente modo:
una lista de entradas y salidas de llamadas, su duración y
sus parámetros. Usando esta información, un
atacante puede obtener un mapa detallado de todas las llamadas
realizadas en la red, creando grabaciones completas de
conversaciones y datos de usuario.
La conversación es en sí misma un riesgo y el
objetivo
más obvio de una red VoIP. Consiguiendo
una entrada en una parte clave de la infraestructura, como una
puerta de enlace de VoIP, un atacante puede capturar y volver a
montar paquetes con el objetivo de escuchar la
conversación. O incluso peor aún, grabarlo
absolutamente todo, y poder
retransmitir todas las conversaciones sucedidas en la
red.
Las llamadas son también vulnerables al "secuestro". En
este escenario, un atacante puede interceptar una conexión
y modificar los parámetros de la llamada.
Se trata de un ataque que puede causar bastante pavor,
ya que las víctimas no notan ningún tipo de
cambio. Las posibilidades incluyen la técnica de
spoofing o robo de identidad, y redireccionamiento de llamada,
haciendo que la integridad de los datos estén bajo un gran
riesgo.
La enorme disponibilidad de las redes VoIP es otro punto
sensible. En el PSTN (public switched telephone network), la
disponibilidad era raramente un problema. Pero es mucho
más sencillo hackear una red VoIP. Todos estamos
familiarizados con los efectos demoledores de los ataques de
denegación de servicio. Si
se dirigen a puntos clave de la red, podrían incluso
destruir la posibilidad de comunicarse vía voz o
datos.
Los teléfonos y servidores son blancos por
sí mismos. Aunque sean de menor tamaño o nos sigan
pareciendo simples teléfonos, son en base, ordenadores con
software. Obviamente, este software es vulnerable con los mismos
tipos de bugs o agujeros de seguridad que pueden hacer que un
sistema operativo
pueda estar a plena disposición del intruso. El código
puede ser insertado para configurar cualquier tipo de acción
maliciosa.
Por spoofing se conoce a la creación de tramas
TCP/IP
utilizando una dirección IP falseada; la idea de este
ataque – al menos la idea – es muy sencilla: desde su equipo, un
pirata simula la identidad de otra máquina de la red para
conseguir acceso a recursos de un
tercer sistema que ha establecido algún tipo de confianza
basada en el nombre o la dirección IP del host suplantado.
Y como los anillos de confianza basados en estas
características tan fácilmente falsificables son
aún demasiado abundantes, el spoofing sigue siendo en la
actualidad un ataque no trivial, pero factible contra cualquier
tipo de organización.
Como hemos visto, en el spoofing entran en juego tres
máquinas: un atacante, un atacado, y un
sistema suplantado que tiene cierta relación con el
atacado; para que el pirata pueda conseguir su objetivo necesita
por un lado establecer una comunicación falseada con su objetivo, y
por otro evitar que el equipo suplantado interfiera en el ataque.
Probablemente esto último no le sea muy difícil de
conseguir: a pesar de que existen múltiples formas de
dejar fuera de juego al sistema suplantado – al menos a los ojos
del atacado – que no son triviales (modificar rutas de red,
ubicar un filtrado de paquetes entre ambos sistemas), lo
más fácil en la mayoría de ocasiones es
simplemente lanzar una negación de servicio contra el
sistema en cuestión. No suele ser difícil "tumbar",
o al menos bloquear parcialmente, un sistema medio; si a pesar de
todo el atacante no lo consigue, simplemente puede esperar a que
desconecten de la red a la máquina a la que desea
suplantar (por ejemplo, por cuestiones de puro mantenimiento).
El otro punto importante del ataque, la
comunicación falseada entre dos equipos, no es tan
inmediato como el anterior y es donde reside la principal
dificultad del spoofing. En un escenario típico del
ataque, un pirata envía una trama SYN a su objetivo
indicando como dirección origen la de esa tercera
máquina que está fuera de servicio y que mantiene
algún tipo de relación de confianza con la atacada.
El host objetivo responde con un SYN+ACK a la tercera
máquina, que simplemente lo ignorará por estar
fuera de servicio (si no lo hiciera, la conexión se
resetearía y el ataque no sería posible), y el
atacante enviará ahora una trama ACK a su objetivo,
también con la dirección origen de la tercera
máquina. Para que la conexión llegue a
establecerse, esta última trama deberá enviarse con
el número de secuencia adecuado; el pirata ha de predecir
correctamente este número: si no lo hace, la trama
será descartada, y si lo consigue la conexión se
establecerá y podrá comenzar a enviar datos a su
objetivo, generalmente para tratar de insertar una puerta trasera
que permita una conexión normal entre las dos
máquinas.
Podemos comprobar que el spoofing no es inmediato; de entrada, el
atacante ha de hacerse una idea de cómo son generados e
incrementados los números de secuencia TCP, y una vez que
lo sepa ha de conseguir "engañar" a su objetivo utilizando
estos números para establecer la comunicación;
cuanto más robusta sea esta generación por parte
del objetivo, más difícil lo tendrá el
pirata para realizar el ataque con éxito.
Además, es necesario recordar que el spoofing es un ataque
ciego: el atacante no ve en ningún momento las respuestas
que emite su objetivo, ya que estas van dirigidas a la
máquina que previamente ha sido deshabilitada, por lo que
debe presuponer qué está sucediendo en cada momento
y responder de forma adecuada en base a esas suposiciones.
Sería imposible tratar con el detenimiento que merecen
todos los detalles relativos al spoofing.
Para evitar ataques de spoofing exitosos contra nuestros
sistemas podemos tomar diferentes medidas preventivas; en primer
lugar, parece evidente que una gran ayuda es reforzar la
secuencia de predicción de números de secuencia
TCP. Otra medida sencilla es eliminar las relaciones de confianza
basadas en la dirección IP o el nombre de las
máquinas, sustituyéndolas por relaciones basadas en
claves criptográficas; el cifrado y el filtrado de las
conexiones que pueden aceptar nuestras máquinas
también son unas medidas de seguridad importantes de cara
a evitar el spoofing. Hasta ahora hemos hablado del ataque
genérico contra un host denominado spoofing o, para ser
más exactos, IP Spoofing; existen otros ataques de
falseamiento relacionados en mayor o menor medida con este, entre
los que destacan el DNS Spoofing,
el ARP Spoofing y el Web
Spoofing.
DNS Spoofing
Este ataque hace referencia al falseamiento de una
dirección IP ante una consulta de resolución de
nombre (esto es, resolver con una dirección falsa un
cierto nombre DNS), o viceversa (resolver con un nombre falso una
cierta dirección IP). Esto se puede conseguir de
diferentes formas, desde modificando las entradas del servidor
encargado de resolver una cierta petición para falsear las
relaciones dirección-nombre, hasta comprometiendo un
servidor que infecte la caché de otro (lo que se conoce
como DNS Poisoning); incluso sin acceso a un servidor DNS real,
un atacante puede enviar datos falseados como respuesta a una
petición de su víctima sin más que averiguar
los números de secuencia correctos.
ARP Spoofing
El ataque denominado ARP Spoofing hace referencia a la
construcción de tramas de solicitud y
respuesta ARP falseadas, de forma que en una red local se puede
forzar a una determinada máquina a que envíe los
paquetes a un host atacante en lugar de hacerlo a su destino
legítimo. La idea es sencilla, y los efectos del ataque
pueden ser muy negativos: desde negaciones de servicio hasta
interceptación de datos, incluyendo algunos Man in the
Middle contra ciertos protocolos cifrados.
Web Spoofing
Este ataque permite a un pirata visualizar y modificar
cualquier página web
que su víctima solicite a través de un navegador,
incluyendo las conexiones seguras vía SSL. Para ello,
mediante código malicioso un atacante crea una ventana del
navegador correspondiente, de apariencia inofensiva, en la
máquina de su víctima; a partir de ahí,
enruta todas las páginas dirigidas al equipo atacado –
incluyendo las cargadas en nuevas ventanas del navegador – a
través de su propia máquina, donde son modificadas
para que cualquier evento generado por el cliente sea registrado
(esto implica registrar cualquier dato introducido en un
formulario, cualquier click en un enlace, etc.).
2.2 .1.2 Herramientas
del Hacker
Es difícil describir el ataque "típico" de
un hacker debido a
que los intrusos poseen diferentes niveles de técnicos por
su experiencia y son además son motivados por diversos
factores. Algunos hackers son
intrigosos por el desafío, otros más gozan de hacer
la vida difícil a los demás, y otros tantos
substraen datos delicados para algún beneficio
propio.
Generalmente, el primer paso es saber en que forma se
recolecta la información y además que tipo de
información es. La meta es
construir una base de datos
que contenga la
organización de la red y colectar la
información acerca de los servidores
residentes.
Esta es una lista de herramientas que un hacker puede
usar para colectar esta información:
- El protocolo SNMP puede utilizarse para examinar la
tabla de ruteo en un dispositivo inseguro, esto sirve para
aprender los detalles más íntimos acerca del
objetivo de la topología de red perteneciente a una
organización. - El programa
TraceRoute puede revelar el número de redes intermedias
y los ruteadores en torno al
servidor específico. - El protocolo Whois que es un servicio de
información que provee datos acerca de todos los
dominios DNS y el administrador
del sistema responsable para cada dominio. No
obstante que esta información es anticuada. - Servidores DNS pueden accesarce para obtener una
lista de las direcciones IP y sus correspondientes Nombres
(Programa Nslookup). - El protocolo Finger puede revelar información
detallada acerca de los usuarios (nombres de Login,
números telefónicos, tiempo y
última sesión, etc.) de un servidor en
específico. - El programa Ping puede ser empleado para localizar un
servidor particular y determinar si se puede alcanzar. Esta
simple herramienta puede ser usada como un programa de escaneo
pequeño que por medio de llamadas a la dirección
de un servidor haga posible construir una lista de los
servidores que actualmente son residentes en la
red.
Sondeo del sistema
para debilitar la seguridad
Después que se obtienen la información de
red perteneciente a dicha organización, el hacker trata de
probar cada uno de los servidores para debilitar la
seguridad.
Estos son algunos usos de las herramientas que un hacker
puede utilizar automáticamente para explorar
individualmente los servidores residentes en una red:
- Una vez obtenida una lista no obstantemente
pequeña de la vulnerabilidad de servicios en la red, un
hacker bien instruido puede escribir un pequeño programa
que intente conectarse a un puerto especificando el tipo de
servicio que esta asignado al servidor en cuestión. La
corrida del programa presenta una lista de los servidores que
soportan servicio de Internet y están expuestos al
ataque. - Están disponibles varias herramientas del
dominio publico, tal es el caso como el Rastreador de Seguridad
en Internet (ISS) o la Herramienta para Análisis de Seguridad para Auditar Redes
(SATAN), el cual puede rastrear una subred o un dominio y ver
las posibles fugas de seguridad. Estos programas
determinan la debilidad de cada uno de los sistemas con
respecto a varios puntos de vulnerabilidad comunes en un
sistema. El intruso usa la información colectada por
este tipo de rastreadores para intentar el acceso no autorizado
al sistema de la organización puesta en la
mira.
Un administrador de redes hábil puede usar estas
herramientas en su red privada para descubrir los puntos
potenciales donde esta debilitada su seguridad y así
determina que servidores necesitan ser remendados y actualizados
en el software.
El intruso utiliza los resultados obtenidos a
través de las pruebas para poder intentar acceder a los
servicios específicos de un sistema.
Después de tener el acceso al sistema protegido,
el hacker tiene disponibles las siguientes opciones:
- Puede atentar destruyendo toda evidencia del asalto y
además podrá crear nuevas fugas en el sistema o
en partes subalternas con el compromiso de seguir teniendo
acceso sin que el ataque original sea descubierto. - Pueden instalar paquetes de sondeo que incluyan
códigos binarios conocidos como "Caballos de Troya"
protegiendo su actividad de forma transparente. Los paquetes de
sondeo colectan las cuentas y
contraseñas para los servicios de Telnet y
FTP
permitiendo al hacker expandir su ataque a otras
maquinas. - Pueden encontrar otros servidores que realmente
comprometan al sistema. Esto permite al hacker explotar
vulnerablemente desde un servidor sencillo todos aquellos que
se encuentren a través de la red
corporativa. - Si el hacker puede obtener acceso privilegiado en un
sistema compartido, podrá leer el correo, buscar en
archivos
2.2.2 Defenderse
Ya hemos hablado de las maravillas de la
tecnología de Voz sobre IP, y nos hemos encontrado con
graves problemas de
seguridad. Afortunadamente, la situación no es
irremediable. En resumidas cuentas, los riesgos que
comporta usar el protocolo VoIP no son muy diferentes de los que
nos podemos encontrar en las redes habituales de IP.
Desafortunadamente, en los "rollouts" iniciales y en
diseños de hardware para voz, software
y protocolos, la seguridad no es su punto fuerte. Pero seamos
sinceros; esto es lo que siempre suele pasar cada vez que aparece
una nueva tecnología. Examinemos ahora algunas pruebas que
puedan alivia las amenazas sobre esta
tecnología.
Lo primero que deberíamos tener en mente a la
hora de leer sobre VoIP es la encriptación. Aunque
lógicamente no es sencillo capturar y decodificar los
paquetes de voz, puede hacerse. Y encriptar es la única
forma de prevenirse ante un ataque. Desafortunadamente, toma
ancho de banda. Por tanto… ¿Qué podemos hacer?
Existen múltiples métodos de
encriptación o posibilidades de encriptación:
VPN (virtual
personal
network), el protocolo Ipsec (IP segura) y otros protocolos como
SRTP (secure RTP). La clave, de cualquier forma, es elegir un
algoritmo de
encriptación rápido, eficiente, y emplear un
procesador
dedicado de encriptación.
Esto debería aliviar cualquier riesgo de amenaza.
Otra opción podría ser QoS (Quality of Service);
los requerimientos para QoS asegurarán que la voz se
maneja siempre de manera oportuna, reduciendo la pérdida
de calidad.
Lo próximo, como debería esperarse,
podría ser el proceso de securizar todos los elementos que
componen la red VoIP: servidores de llamadas, routers, switches,
centros de trabajo y
teléfonos. Necesitas configurar cada uno de esos
dispositivos para asegurarte de que están en línea
con tus demandas en términos de seguridad. Los servidores
pueden tener pequeñas funciones
trabajando y sólo abiertos los puertos que sean realmente
necesarios. Los routers y switches deberían estar
configurados adecuadamente, con acceso a las listas de control y
a los filtros. Todos los dispositivos deberían estar
actualizados en términos de parches y actualizaciones. Se
trata del mismo tipo de precauciones que podrías tomar
cuando añades nuevos elementos a la red de datos;
únicamente habrá que extender este proceso a la
porción que le compete a la red VoIP. Tal y como hemos
mencionado, la disponibilidad de tu red VoIP es otra de nuestras
preocupaciones. Una pérdida de potencia puede
provocar que la red se caiga y los ataques DdoS son
difíciles de contrarrestar. Aparte de configurar con
propiedad el
router,
recordemos que estos ataques no solo irán dirigidos a los
servicios de datos, sino también a los de voz.
Por último, podemos emplear un firewall y
un (Intrusion Detection System) para ayudar a
proteger la red de voz. Los firewalls de VoIP son complicados de
manejar y tienen múltiples requerimientos. Los servidores
de llamada están constantemente abriendo y cerrando
puertos para las nuevas conexiones. Este elemento dinámico
hace que su manejo sea más dificultoso. Pero el coste
está lejos de verse oscurecido por la cantidad de
beneficios, así que aconsejamos pasar algo de tiempo
perfeccionando los controles de acceso. Un IDS puede monitorizar
la red para detectar cualquier anomalía en el servicio o
un abuso potencial. Las advertencias son una clave para prevenir
los ataques posteriores. Y sin duda no hay mejor defensa que
estar prevenido para el ataque.
La meta de este protocolo es proporcionar varios
servicios de seguridad para el tráfico de la capa IP,
tanto a través de IPv4 e IPv6. Los componentes
fundamentales de la arquitectura de seguridad IPSec son los
siguientes:
- Protocolos de Seguridad: Cabecera de
autenticación (AH) y los Datos Seguros
Encapsulados (ESP). - Asociaciones de Seguridad.
- Manejo de Clave: manual y
automática (Internet Key Exchange, IKE). - Algoritmos para la autenticación y
encriptación.
IPsec es una
extensión al protocolo IP que proporciona seguridad a IP y
a los protocolos de capas superiores. Fue desarrollado para el
nuevo estándar IPv6 y después fue portado a IPv4.
La arquitectura IPsec se describe en el RFC2401. Los siguientes
párrafos dan una pequeña introducción a IPsec.
IPsec emplea dos protocolos diferentes – AH y ESP – para
asegurar la autenticación, integridad y confidencialidad
de la comunicación. Puede proteger el datagrama IP
completo o sólo los protocolos de capas superiores. Estos
modos se denominan, respectivamente, modo túnel y modo
transporte. En
modo túnel el datagrama IP se encapsula completamente
dentro de un nuevo datagrama IP que emplea el protocolo IPsec. En
modo transporte IPsec sólo maneja la carga del datagrama
IP, insertándose la cabecera IPsec entre la cabecera IP y
la cabecera del protocolo de capas superiores.
Para ver el gráfico seleccione la
opción "Descargar" del menú superior
IPsec: modos túnel y
transporte
Para proteger la integridad de los datagramas IP, los
protocolos IPsec emplean códigos de autenticación
de mensaje basados en resúmenes (HMAC – Hash Message
Authentication Codes). Para el cálculo de
estos HMAC los protocolos HMAC emplean algoritmos de
resumen como MD5 y SHA para calcular un resumen basado en una
clave secreta y en los contenidos del datagrama IP. El HMAC se
incluye en la cabecera del protocolo IPsec y el receptor del
paquete puede comprobar el HMAC si tiene acceso a la clave
secreta.
Para proteger la confidencialidad de lo datagramas IP,
los protocolos IPsec emplean algoritmos estándar de
cifrado simétrico. El estándar IPsec exige la
implementación de NULL y DES. En la actualidad se suelen
emplear algoritmos más fuertes: 3DES, AES y
Blowfish.
Para protegerse contra ataques por denegación de
servicio, los protocolos IPsec emplean ventanas deslizantes. Cada
paquete recibe un número de secuencia y sólo se
acepta su recepción si el número de paquete se
encuentra dentro de la ventana o es posterior. Los paquetes
anteriores son descartados inmediatamente. Esta es una medida de
protección eficaz contra ataques por repetición de
mensajes en los que el atacante almacena los paquetes originales
y los reproduce posteriormente.
Para que los participantes de una comunicación
puedan encapsular y desencapsular los paquetes IPsec, se
necesitan mecanismos para almacenar las claves secretas,
algoritmos y direcciones IP involucradas en la
comunicación. Todos estos parámetros se almacenan
en asociaciones de seguridad (SA – Security Associations). Las
asociaciones de seguridad, a su vez, se almacenan en bases de datos de
asociaciones de seguridad (SAD – Security Asocciation
Databases).
Cada asociación de seguridad define los
siguientes parámetros:
- Dirección IP origen y destino de la cabecera
IPsec resultante. Estas son las direcciones IP de los
participantes de la comunicación IPsec que protegen los
paquetes. - Protocolo IPsec (AH o ESP). A veces, se permite
compresión (IPCOMP). - El algoritmo y clave secreta empleados por el
protocolo IPsec. - Índice de parámetro de seguridad (SPI –
Security Parameter Index). Es un número de 32 bits que
identifica la asociación de seguridad.
Algunas implementaciones de la base de datos de
asociaciones de seguridad permiten almacenar más
parámetros:
- Modo IPsec (túnel o transporte)
- Tamaño de la ventana deslizante para
protegerse de ataques por repetición. - Tiempo de vida de una asociación de
seguridad.
En una asociación de seguridad se definen las
direcciones IP de origen y destino de la comunicación. Por
ello, mediante una única SA sólo se puede proteger
un sentido del tráfico en una comunicación IPsec
full duplex. Para proteger ambos sentidos de la
comunicación, IPsec necesita de dos asociaciones de
seguridad unidireccionales.
Las asociaciones de seguridad sólo especifican
cómo se supone que IPsec protegerá el
tráfico. Para definir qué tráfico proteger,
y cuándo hacerlo, se necesita información
adicional. Esta información se almacena en la
política de seguridad (SP – Security Policy), que a su vez
se almacena en la base de datos de políticas de seguridad
(SPD – Security Policy Database).
Una política de seguridad suele especificar los
siguientes parámetros:
- Direcciones de origen y destino de los paquetes por
proteger. En modo transportes estas serán las mismas
direcciones que en la SA. En modo túnel pueden ser
distintas. - Protocolos y puertos a proteger. Algunas
implementaciones no permiten la definición de protocolos
específicos a proteger. En este caso, se protege todo el
tráfico entre las direcciones IP indicadas. - La asociación de seguridad a emplear para
proteger los paquetes.
La configuración manual de la asociación
de seguridad es proclive a errores, y no es muy segura. Las
claves secretas y algoritmos de cifrado deben compartirse entre
todos los participantes de la VPN. Uno de los problemas
críticos a los que se enfrenta el administrador de
sistemas es el intercambio de claves: ¿cómo
intercambiar claves simétricas cuando aún no se ha
establecido ningún tipo de cifrado?
Para resolver este problema se desarrolló el
protocolo de intercambio de claves por Internet (IKE – Internet
Key Exchange Protocol). Este protocolo autentica a los
participantes en una primera fase. En una segunda fase se
negocian las asociaciones de seguridad y se escogen las claves
secretas simétricas a través de un intercambio de
claves Diffie Hellmann. El protocolo IKE se ocupa incluso de
renovar periódicamente las claves para asegurar su
confidencialidad.
La familia de
protocolos IPsec está formada por dos protocolos: el AH
(Authentication Header – Cabecera de autenticación) y el
ESP (Encapsulated Security Payload – Carga de seguridad
encapsulada). Ambos son protocolos IP independientes. AH es el
protocolo IP 51 y ESP el protocolo IP 50.
AH – Cabecera de
autenticación
El protocolo AH protege la integridad del datagrama IP.
Para conseguirlo, el protocolo AH calcula una HMAC basada en la
clave secreta, el contenido del paquete y las partes inmutables
de la cabecera IP (como son las direcciones IP). Tras esto,
añade la cabecera AH al paquete.
Para ver el gráfico seleccione la
opción "Descargar" del menú superior
La
cabecera AH protege la integridad del paquete
La cabecera AH mide 24 bytes. El primer byte es el campo
Siguiente cabecera. Este campo especifica el protocolo de la
siguiente cabecera. En modo túnel se encapsula un
datagrama IP completo, por lo que el valor de este
campo es 4. Al encapsular un datagrama TCP en modo transporte, el
valor correspondiente es 6. El siguiente byte especifica la
longitud del contenido del paquete. Este campo está
seguido de dos bytes reservados. Los siguientes 4 bytes
especifican en Índice de Parámetro de Seguridad
(SPI). El SPI especifica la asociación de seguridad (SA) a
emplear para el desencapsulado del paquete. El Número de
Secuencia de 32 bit protege frente a ataques por
repetición. Finalmente, los últimos 96 bit
almacenan el código de resumen para la
autenticación de mensaje (HMAC). Este HMAC protege la
integridad de los paquetes ya que sólo los miembros de la
comunicación que conozcan la clave secreta pueden crear y
comprobar HMACs.
Como el protocolo AH protege la cabecera IP incluyendo
las partes inmutables de la cabecera IP como las direcciones IP,
el protocolo AH no permite NAT. NAT (Network address translation
– Traducción de direcciones de red)
también conocido como Enmascaramiento de direcciones
reemplaza una dirección IP de la cabecera IP (normalmente
la IP de origen) por una dirección IP diferente. Tras el
intercambio, la HMAC ya no es válida. La extensión
a IPsec NAT-transversal implementa métodos que evitan esta
restricción.
ESP – Carga de
Seguridad Encapsulada
El protocolo ESP puede asegurar la integridad del
paquete empleando una HMAC y la confidencialidad empleando
cifrado. La cabecera ESP se genera y añade al paquete tras
cifrarlo y calcular su HMAC. La cabecera ESP consta de dos
partes.
Los primeros 32 bits de la cabecera ESP especifican el
Índice de Parámetros de Seguridad (SPI). Este SPI
especifica qué SA emplear para desencapsular el paquete
ESP. Los siguientes 32 bits almacenan el Número de
Secuencia. Este número de secuencia se emplea para
protegerse de ataques por repetición de mensajes. Los
siguientes 32 bits especifican el Vector de Inicialización
(IV – Initialization Vector) que se emplea para el proceso de
cifrado. Los algoritmos de cifrado simétrico pueden ser
vulnerables a ataques por análisis de frecuencias si no se
emplean IVs. El IV asegura que dos cargas idénticas
generan dos cargas cifradas diferentes.
IPsec emplea cifradores de bloque para el proceso de
cifrado. Por ello, puede ser necesario rellenar la carga del
paquete si la longitud de la carga no es un múltiplo de la
longitud del paquete. En ese caso se añade la longitud del
relleno (pad length). Tras la longitud del relleno se coloca el
campo de 2 bytes Siguiente cabecera que especifica la siguiente
cabecera. Por último, se añaden los 96 bit de HMAC
para asegurar la integridad del paquete. Esta HMAC sólo
tiene en cuenta la carga del paquete: la cabecera IP no se
incluye dentro de su proceso de cálculo.
El uso de NAT, por lo tanto, no rompe el protocolo ESP.
Sin embargo, en la mayoría de los casos, NAT aún no
es compatible en combinación con IPsec. NAT- Transversal
ofrece una solución para este problema encapsulando los
paquetes ESP dentro de paquetes UDP.
El protocolo IKE resuelve el problema más
importante del establecimiento de comunicaciones seguras: la
autenticación de los participantes y el intercambio de
claves simétricas. Tras ello, crea las asociaciones de
seguridad y rellena la SAD. El protocolo IKE suele implementarse
a través de servidores de espacio de usuario, y no suele
implementarse en el sistema operativo. El protocolo IKE emplea el
puerto 500 UDP para su comunicación.
El protocolo IKE funciona en dos fases. La primera fase
establece un ISAKMP SA (Internet Security Association Key
Management Security Association – Asociación de seguridad
del protocolo de gestión
de claves de asociaciones de seguridad en Internet). En la
segunda fase, el ISAKMP SA se emplea para negociar y establecer
las SAs de IPsec.
La autenticación de los participantes en la
primera fase suele basarse en claves compartidas con anterioridad
(PSK – Pre-shared keys), claves RSA y certificados
X.509.
La primera fase suele soportar dos modos distintos: modo
principal y modo agresivo. Ambos modos autentican al participante
en la comunicación y establecen un ISAKMP SA, pero el modo
agresivo sólo usa la mitad de mensajes para alcanzar su
objetivo. Esto, sin embargo, tiene sus desventajas, ya que el
modo agresivo no soporta la protección de identidades y,
por lo tanto, es susceptible a un ataque man-in-the-middle (por
escucha y repetición de mensajes en un nodo intermedio) si
se emplea junto a claves compartidas con anterioridad (PSK). Pero
sin embargo este es el único objetivo del modo agresivo,
ya que los mecanismos internos del modo principal no permiten el
uso de distintas claves compartidas con anterioridad con
participantes desconocidos. El modo agresivo no permite la
protección de identidades y transmite la identidad del
cliente en claro. Por lo tanto, los participantes de la
comunicación se conocen antes de que la
autenticación se lleve a cabo, y se pueden emplear
distintas claves pre-compartidas con distintos
comunicantes.
En la segunda fase, el protocolo IKE intercambia
propuestas de asociaciones de seguridad y negocia asociaciones de
seguridad basándose en la ISAKMP SA. La ISAKMP SA
proporciona autenticación para protegerse de ataques
man-in-the-middle. Esta segunda fase emplea el modo
rápido.
Normalmente, dos participantes de la comunicación
sólo negocian una ISAKMP SA, que se emplea para negociar
varias (al menos dos) IPsec SAs unidireccionales.
2.2.2.2 Firewalls
Un Firewall en Internet es un sistema o grupo de
sistemas que impone una política de seguridad entre la
organización de red privada y el Internet. El firewall
determina cual de los servicios de red pueden ser accesados
dentro de esta por los que están fuera, es decir quien
puede entrar para utilizar los recursos de red pertenecientes a
la organización. Para que un firewall sea efectivo, todo
tráfico de información a través del Internet
deberá pasar a través del mismo donde podrá
ser inspeccionada la información. El firewall podrá
únicamente autorizar el paso del tráfico, y el
mismo podrá ser inmune a la penetración.
Desafortunadamente, este sistema no puede ofrecer
protección alguna una vez que el agresor lo traspasa o
permanece entorno a este.
La Política De Seguridad Crea Un
Perímetro De Defensa.
Esto es importante, ya que debemos de notar que un
firewall de Internet no es justamente un ruteador, un servidor de
defensa, o una combinación de elementos que proveen
seguridad para la red. El firewall es parte de una
política de seguridad completa que crea un
perímetro de defensa diseñada para proteger las
fuentes de
información. Esta política de seguridad
podrá incluir publicaciones con las guías de ayuda
donde se informe a los
usuarios de sus responsabilidades, normas de acceso
a la red, política de servicios en la red, política
de autenticidad en acceso remoto o local a usuarios propios de la
red, normas de dial-in y dial-out, reglas de enciptacion de datos
y discos, normas de protección de virus, y entrenamiento.
Todos los puntos potenciales de ataque en la red podrán
ser protegidos con el mismo nivel de seguridad. Un firewall de
Internet sin una política de seguridad comprensiva es como
poner una puerta de acero en una
tienda.
2.2.2.3 Redes Privadas Virtuales – VPN
Es una red privada que se extiende, mediante un proceso
de encapsulación y en su caso de encriptación, de
los paquetes de datos a distintos puntos remotos mediante el uso
de unas infraestructuras públicas de
transporte.
Los paquetes de datos de la red privada viajan por medio
de un "túnel" definido en la red
pública.
En la figura anterior se muestra como
viajan los datos a través de una VPN ya que el servidor
dedicado es del cual parten los datos, llegando a firewall que
hace la función de
una pared para engañar a los intrusos a la red,
después los datos llegan a nube de internet donde se
genera un túnel dedicado únicamente para nuestros
datos para que estos con una velocidad
garantizada, con un ancho de banda también garantizado y
lleguen a su vez al firewall remoto y terminen en el servidor
remoto.
Las VPN pueden enlazar oficinas corporativas con los
socios, con usuarios móviles, con oficinas remotas
mediante los protocolos como internet, IP, Ipsec, Frame Relay,
ATM como lo
muestra la figura siguiente.
2.3 Debate:
Seguridad en los sistemas VoIP
Haciendo alusión a un reciente debate en
línea sobre temas de seguridad, los expertos coinciden en
que falta muy poco para que los sistemas de "Voice Over IP"
(VoIP), sean inundados de spam, se abran
a los piratas informáticos, y sean derribados por los
gusanos. Es importante que la industria se
adelante a estas expectativas.
Voz sobre IP, es una tecnología que permite la
transmisión de la voz a través de redes IP
(Internet Protocol), en forma de paquetes de datos. La
aplicación más notoria de esta tecnología,
es la realización de llamadas telefónicas
ordinarias a través de la red.
"Nosotros ya hemos visto casos donde empresas
importantes han tenido sus infraestructuras de VoIP, afectadas
por un gusano," dijo Chris Thatcher de Dimension Data Holdings,
empresa
dedicada a servicios globales de TI (Tecnologías de la
Información).
"Existe una falta de seguridad en el diseño y el
desarrollo de
VoIP, y los compradores no toman el tema de la seguridad en
consideración," dijo Thatcher.
Las empresas se han enfocado casi exclusivamente en el precio, las
características y el desempeño, a menudo liberando nuevos
sistemas que están abiertos a insospechadas
amenazas.
Según Andrew Graydon de BorderWare Technologies
Inc., otro de los panelistas, los riesgos incluyen las
infracciones comunes de la seguridad que las empresas tratan hoy,
incluyendo DDoS (ataques distribuidos de denegación de
servicio), código malicioso, spoofing (práctica de
hacer que una transmisión aparezca como venida de un
usuario diferente al usuario que realizó la acción)
y phishing (atraer mediante engaños a un usuario hacia un
sitio Web falso).
Pero las empresas necesitan también tener cuidado respecto
a las amenazas propias de VoIP, tales como escuchas furtivas y
"VBombing", donde centenares o miles de mensajes de voz pueden
ser rápidamente enviados a una sola consola
VoIP.
Graydon opina que los vendedores son reacios a admitir
que estas debilidades existen. "Es un mercado tan
nuevo, nadie quiere espantar al consumidor",
dijo. "Pero ya se pueden encontrar scripts para estos ataques a
sistemas VoIP en el propio Internet".
La mayoría de estos ataques, pueden alcanzarse al
nivel de las aplicaciones, que para la mayoría de los
grandes vendedores se basa en el SIP (Session Initiation
Protocol). SIP es un protocolo de señalización para
conferencia,
telefonía, presencia, notificación de eventos y
mensajería instantánea a través de
Internet.
Los cortafuegos y las redes privadas virtuales (VPN),
pueden manejar de forma adecuada la seguridad en la capa de
transporte para VoIP, pero SIP puede compararse con el SMTP y el
HTTP para las
aplicaciones de la Web y el correo
electrónico, que fueron ignorados hasta que surgieron
los problemas de seguridad.
"Todas las vulnerabilidades que existen para el correo
electrónico, existen también para VoIP", dijo
Graydon. "No cometamos los mismos errores."
Chris Thatcher por su parte, también habló
acerca del aumento en el número de agujeros y las capas
que deben ser protegidas en una infraestructura de VoIP.
"Al mezclar la voz con los datos, y compartiendo una
infraestructura común, existen muchas más maneras
para que un atacante pueda entrar," dijo. "Usted no puede
depender de un único control de seguridad como si se
tratara de una bala de plata."
¿Y para cuándo pueden esperar las empresas estos
ataques?. "Será más pronto de lo que se piensa,"
expresó Thatcher. "Como el mercado de VoIP crece, los
piratas informáticos y los remitentes de spam se
enfocarán en él cada vez mas."
2.4 VOIPSA (VoIP Security Alliance)
Los líderes en VoIP se unen para probar e
investigar la SEGURIDAD VoIP
Entre los miembros iniciales se encuentran 3Com,
Alcatel, Avaya, Codenomicon, la Universidad de
Columbia, el Centro de Seguridad Avanzada Giuliani de Ernst and
Young, Insightix, NetCentrex, Qualys, SecureLogix, Siemens,
Sourcefire, la Universidad Metodista del Sur, Spirent, Symantec,
el Instituto SANS y Tenable Network Security.
TippingPoint, división de 3Com (Nasdaq: COMS) y
líder
en prevención de intrusiones, anuncia la creación
de la primera Alianza de Seguridad de Voz sobre IP de la
industria, junto con otros fabricantes, proveedores,
investigadores de seguridad y líderes de opinión,
con el fin de analizar y reducir los riesgos que afectan a la
seguridad de la Voz sobre IP.
La creciente convergencia de las redes de voz y datos
duplica los riesgos contra la seguridad por los tradicionales
ataques informáticos. Los ataques contra las redes de voz
y datos pueden paralizar una empresa y detener las comunicaciones
que se requieren para lograr la productividad, produciendo la
pérdida de ingresos y la
irritación de los clientes. Los despliegues VoIP se
están expandiendo, la tecnología se está
haciendo más atractiva para los hackers,
aumentando el potencial de daño de
los ciberataques. La emergencia de ataques a las aplicaciones
VoIP proliferará a medida que los hackers se familiaricen
con la tecnología mediante la exposición
y el fácil acceso.
VOIPSA (VoIP Security Alliance) se centra en ayudar a
las organizaciones a entender y evitar los ataques contra la
seguridad de VoIP mediante listas de discusión, patrocinio
de proyectos de
investigación en seguridad VoIP, y el desarrollo de
herramientas y metodologías de uso público. VOIPSA
es el primer y único grupo que se dedica en exclusiva a la
seguridad en VoIP respaldada por un amplio abanico de
organizaciones representadas por universidades, investigadores en
seguridad, fabricantes de VoIP y proveedores de VoIP. Con la
colaboración de VOIPSA, TippingPoint espera utilizar y
mejorar una herramienta para pruebas de seguridad VoIP que
desarrolló para encontrar e investigar posibles
vulnerabilidades de VoIP.
"A pesar de las ventajas de VoIP, si la
tecnología no se implanta de la forma adecuada y segura,
probablemente engañaremos a los controles de seguridad y
expondremos nuestras redes", señala Brian Kelly,
director del Centro de Seguridad Avanzada Giuliani de Ernst
& Young. "Esta alianza es una importante iniciativa
para ayudarnos a potenciar la tecnología, pero
también para entender y gestionar los
riesgos".
Joseph Curcio, vicepresidente de desarrollo de
tecnología de seguridad de Avaya, apunta que "una vez
que se toma la decisión de implantar VoIP en el centro del
negocio, las empresas necesitan resolver todas las cuestiones de
seguridad – en las aplicaciones, sistemas y niveles de servicio.
Avaya cree que la VoIP Security Alliance permitirá a las
empresas experimentar los beneficios de IP, mientras que
garantiza la seguridad de la red y preserva la continuidad del
negocio".
"VoIP está empezando a cobrar importancia en
el mercado pero atajar de forma proactiva las cuestiones de
seguridad ayudará a ampliar mucho más esta adopción", afirma Gerhard
Eschelbeck, VP de Ingeniería y CTO de Qualys. "Qualys
está muy satisfecho de participar en este esfuerzo de la
industria para continuar con este trabajo y desarrollar
soluciones para satisfacer los requisitos de seguridad de
VoIP".
"VoIP tiene el potencial para implantarse en las
infraestructuras críticas pero sin una comunidad activa
en seguridad VoIP, la calidad y fiabilidad de VoIP pueden tener
que someterse a un proceso de revisiones y enmiendas como los que
hemos presenciado con otras herramientas de software de
comunicación ahora ampliamente desplegadas",
añade Ari Takanen, CEO y cofundador de Codenomicon Ltd.
"Desde 2002, Codenomicon y nuestros partners de desarrollo,
la Universidad de Oulu, hemos estado trabajando activamente en
seguridad VoIP con el lanzamiento de suites de pruebas PROTOS
gratuitas y herramientas de pruebas comerciales para mejorar la
seguridad y robustez de VoIP".
"Las empresas están implantando soluciones
VoIP para reducir costes e incrementar la eficacia, pero esto
también supone nuevos riesgos contra la seguridad que
podrían contrarrestar esos ahorros y demandar mayores
recursos si no se gestionan adecuadamente", comenta
Martín Roesch, creador de Snort y fundador y CTO de
Sourcefire. "Somos optimistas porque este grupo
generará soluciones más resistentes que
ayudarán a los usuarios finales a proteger mejor sus
bienes".
"La VoIP ha llegado por fin pero las
vulnerabilidades en los equipos y servicios que permiten esta
tecnología necesitan ser descubiertos y
mitigados", subraya Ron Gula, CTO de Tenable Network
Security.
"La VoIP Security Alliance es el marco de trabajo
perfecto para impulsar la adopción de la telefonía
IP", destaca Dave Hattey, vicepresidente y director general
de soluciones empresariales de voz de 3Com. "Como miembro
charter, creemos que es nuestra labor impulsar esta alianza y sus
mejoras para la seguridad VoIP".
"El pasado año, TippingPoint anunció
la formación del Laboratorio de Investigación en Seguridad VoIP para
descubrir y analizar las amenazas de la VoIP", subraya Marc
Willebeek-LeMair, director de tecnología y estrategia de
TippingPoint. "VOIPSA es la culminación de nuestros
esfuerzos para trabajar con los líderes en VoIP con el fin
de analizar las debilidades de las arquitecturas VoIP y descubrir
las nuevas vulnerabilidades mediante la prueba de los protocolos.
La investigación de VOIPSA promocionará el
conocimiento en la industria y ayudará a reducir los
riesgos de las amenazas".
TippingPoint está proporcionando sus servicios
administrativos para la formación de VOIPSA, reclutando
miembros y facilitando las reuniones de la
organización.
Acerca de TippingPoint, una división de
3Com
TippingPoint, una división de 3Com, es el
proveedor líder en sistemas de prevención de
intrusiones basados en red que ofrece protección
exhaustiva de las aplicaciones, las infraestructuras y el
rendimiento para grandes corporaciones, organismos estatales,
proveedores de servicios e instituciones
académicas. TippingPoint tiene su sede en Austin
(Texas).
CAPITULO
III.
PRESENTE Y FUTURO DE LAS COMUNICACIONES DE
VOZ
3.1 Empresas relacionadas con el Estándar VoIP
(Voz sobre IP)
3.1.1 3com Corporation y Siemens Public
Communications Networks
La plataforma Total Control de 3Com y el switch digital
EWSD de Siemens permiten una nueva generación de funciones
de llamadas personalizadas, incluyendo Voz sobre IP
(VoIP).
3Com Corporation y Siemens Public Communications
Networks, poseen un acuerdo conjunto de desarrollo que combina un
sistema de red de voz y datos para producir el primer y
único switch multi-servicio de la oficina central.
Las compañías han integrado la plataforma
multi-servicio Total Control de 3Com con el sistema digital de
switches Class 5 EWSD (Elektronisches Wahlsystem Digital) de
Siemens para simplificar el acceso remoto a Internet y permitir
la entrega de una nueva generación total en servicios de
llamadas personalizadas, incluyendo Voz sobre IP
(VoIP).
Este acuerdo conjunto de desarrollo entre dos
compañías los ubica en la vanguardia de
la convergencia de redes. La implementación de la
vía de acceso a Internet de Total Control en el sistema
EWSD permite los servicios de llamadas personalizadas que pueden
facilitar en gran manera el uso de Internet y el teléfono.
Al mismo tiempo, los operadores de redes telefónicas
pueden ofrecer un acceso eficaz a Internet a través de las
redes existentes, reduciendo de este modo la inversión en
nueva infraestructura. Algunos de los nuevos servicios
potenciales son:
- Acceso mejorado a Voz sobre IP: este servicio le
ofrece al usuario la opción de completar una llamada
telefónica a través de la red convencional
telefónica, o de manera opcional, para completar la
llamada a través de una red de Protocolo de Internet
(IP). La vía de acceso integrada IP para comunicaciones
telefónicas le suministra al usuario un acceso amigable
a este servicio. El acceso mediante el discado y los cargos de
medición se administran dentro del switch
EWSD multi-servicio. - Llamada en espera de Internet: mientras un usuario
está "navegando por" Internet, el servicio de llamada en
espera de Internet alerta al usuario de que hay llamadas
entrantes por medio de una ventana en la pantalla. Hasta ahora,
la persona que
recibe la llamada no tiene manera de reconocer y aceptar las
llamadas entrantes. La línea de teléfono
estaría constantemente ocupada mientras el usuario
está conectado a una sesión de Internet. Este
nuevo servicio le permite al receptor decidir si acepta o no la
llamada o si continúa con la sesión de Internet y
tal vez, llama más tarde. - Realización de la llamada: este servicio es
como el servicio de llamada en espera de Internet, excepto que
la sesión de Internet no necesita interrumpirse para
aceptar la llamada. Utilizando la capacidad de Voz sobre IP del
switch integrado EWSD multi-servicio, el receptor puede hablar
desde la PC y continuar, de este modo, con la sesión de
Internet interrumpida mientras acepta llamadas
telefónicas entrantes. - Señal de espera de e-mail: el servicio de
señal de espera de e-mail le informa al usuario que ha
recibido un mensaje de e-mail utilizando el mismo método
que usa el sistema de mensajes de voz basados en la red. Esta
información se recibe en el teléfono del usuario,
sin la necesidad de encender la PC (computadora). La información de espera de
un mensaje se señala a través del panel de
visualización del teléfono – un LED – o un
tono de discado especial "entrecortado" similar a un correo de
voz. - Entrada controlada por el usuario: utilizando la
tecnología basada en la Web, los usuarios pueden por
sí mismos configurar estos servicios de llamadas
personalizadas para sus líneas telefónicas con la
ayuda de una interfaz gráfica fácil para el
usuario en sus PCs (computadoras). También pueden obtener una
visualización online (en línea) de los gastos actuales
de servicios.
"El esfuerzo conjunto entre Siemens y 3Com lleva a la
industria a la futura frontera de
las comunicaciones y une, de manera eficaz, la red de switches de
circuitos con
la red de comunicaciones de datos para entregar nuevos
servicios," dijo Ross Manire, vice presidente senior, 3Com
Carrier Systems. "La combinación de los switches EWSD de
Siemens y la tecnología Total Control de 3Com
suministrará a los proveedores de servicios la capacidad
de desplegar sistemas modulares, de alta densidad,
escalables en sus redes e inigualables por ninguna otra oferta del
mercado."
En enero de 1999, 3Com lanzó con éxito las
capacidades de VoIP(Voz sobre IP), construido en parte sobre la
base del servidor de Microsoft
Windows NT ,
en la plataforma Total Control multi-servicio, un sistema
avanzado basado en DSP considerado por las firmas de
investigación de industrias como
el sistema de acceso remoto líder en el mundo de los
mercados.
Cambiando la definición de acceso remoto, la plataforma
Total Control multi-servicio de 3Com es un sistema de
última generación, totalmente modular, con acceso
tipo portador basado en la tecnología HiPero DSP de 3Com
que puede entregar servicios de valor tales como voz, fax, video,
sistema de red privada virtual y sus contenidos– todo en un
sistema simple con un software que se puede actualizar.
Más de tres millones de puertos Total Control se han
desarrollado hasta la fecha.
Además, 300 proveedores, que ofrecen servicios a
más de 150 millones de suscriptores en 100 países,
utilizan el sistema EWSD de Siemens, convirtiéndolo en el
switch digital líder en el mundo y confirmando la larga
tradición de Siemens como el primer proveedor de
soluciones para los sistemas con infraestructuras de telecomunicaciones.
"La integración de la tecnología Total
Control al switch Class 5 de la oficina central de Siemens
suministra una oportunidad estratégica para los servicios
de acceso remoto tipo portador, Voz sobre IP y un host para otros
servicios adicionales de Internet," dijo Hans-Eugen Binder,
presidente de Switching Networks Business Unit de Siemens Public
Communications Networks Group. "Cada switch EWSD de Siemens
instalado se puede actualizar fácilmente para convertirlo
en un switch multi-servicio, ofreciendo reducciones en los costos
para proveedores que entregan servicios de acceso a
Internet."
"Esta iniciativa confirma el rol de Windows NT
como una plataforma estándar para los servicios de red
comerciales en la convergencia emergente de redes de voz, video y
datos," dijo Cameron Myhrvold, vice presidente, Internet Customer
Unit, Microsoft. "Microsoft está ansioso por ver a 3Com y
Siemens utilizar el servidor de Windows NT para desarrollar los
servicios de última generación dentro de la red
pública."
3.1.2 Cisco
La Compañía Cisco Systems anuncia la
introducción de mejoras en software y hardware para su
línea de productos de acceso de múltiples
servicios. Esta línea permite ahora a los proveedores de
servicio y a los clientes corporativos desarrollar
infraestructuras de red a gran escala y de voz
basadas en paquetes, a una fracción del precio de
tecnologías tradicionales.
Con las nuevas funciones incorporadas, los
clientes pueden aprovechar la integración de voz, video y
datos sobre sus redes.
En software, las nuevas características
ofrecen voz sobre Frame Relay -VoFR- en los routers de acceso de
múltiples servicios Cisco 2600, Cisco 3600, Cisco 7200 y
en los concentradores de acceso de múltiples servicios
Cisco MC permiten al usuario ofrecer voz y evitar los PBXs a
través de múltiples circuitos permanentes
virtuales, con base en el número telefónico
marcado. Adicionalmente, aportan a los clientes una red de voz
sobre IP (VoIP) confiable y escalable con posibilidad de integrar
con facilidad locaciones internacionales. Las interfases soportan
VoFR o VoIP, haciendo posible las conexiones a los PBXs (private
branch exchanges) con interfases Base Rate (BRI), así como
con las tradicionales interfases de
telefonía.
Arquitectura de Voz común
El marco de voz con el software integrador Cisco IOS
ofrece la integración completa y sin fisura de voz, video
y datos. Permite a los clientes corporativos y a los proveedores
de servicio manejar grandes redes y servicios basados en VoIP
(Voz sobre IP) o VoFR. Por ejemplo, el marco de voz común
de Cisco basado sobre la arquitectura Open Packet Telephony de
Cisco, ofrece escalabilidad e interoperabilidad de voz sobre
servicios de paquetes desde routers de múltiples servicios
de baja densidad VoIP/VoFR, hasta gateways VoIP (Voz sobre IP) de
tipo carrier. Adicionalmente, los routers de acceso de
múltiples servicios de Cisco, en combinación con su
H.323 Gatekeeper, permite a los clientes construir redes muy
grandes de VoIP (Voz sobre IP).
A los proveedores de servicio, las nuevas
características incluye el Integrated Voice Response
(IVR), características de seguridad AAA para
autenticación de usuarios e historiales detallados sobre
las llamadas realizadas. Los routers de acceso de
múltiples servicios como los de las series Cisco 2600 y
3600, trabajan con el Gateway Cisco 5300 VoIP (Voz sobre IP),
haciendo que sea una solución ideal para el proveedor de
servicios que esté lanzando servicios administrados de
VoIP (Voz sobre IP).
3.1.3 Motorola
Vanguard 64X0. Tecnología
multiprocesador PowerPC
Vanguard 320. Solución multimedia
modular de bajo costo
Equipos Multimedia y Multiprotocolo
El objetivo de Motorola ING es minimizar los costos de
comunicaciones, un aspecto cada vez más crítico.
Esta reducción de costes se puede conseguir por dos
caminos: por un lado, con equipos flexibles, capaces de adaptarse
a distintos entornos LAN (Ethernet, Token
Ring, SDLC) y WAN (X.25, FR, PPP); y por otro, con equipos con
capacidad de tráfico multimedia (voz y vídeo), a
fin de sacar el máximo rendimiento de las líneas de
comunicaciones.
Los equipos de Motorola ING son a la vez router y
conmutador y pueden comunicarse utilizando redes WAN,
públicas o privadas, de líneas punto a punto, RDSI,
X.25, Frame Relay o IP. Además, dependiendo del modelo, los
routers de Motorola tienen interfaces Ethernet, Token Ring, Serie
y RDSI. Este amplio abanico de interfaces, junto con las
funcionalidades de routing disponibles (RIP, OSPF, NAT), permiten
procesar distintos tipos de tráfico con un único
equipo.
Por otro lado, Motorola ING es pionera en la
implementación de tráfico multimedia sobre redes de
datos; ello nos permite poder ofrecer la posibilidad de aumentar
el rendimiento de los enlaces de datos mediante la
multiplexación de datos, voz y vídeo vigilancia,
con el consiguiente ahorro de
costes que ello implica.
En este campo Motorola ING es el único fabricante
del mundo capaz de ofrecer soluciones para voz sobre Frame Relay
y voz sobre IP con el mismo equipo.
Motorola ING presenta VOFR (Voz sobre Frame Relay) y
VOIP (Voz sobre IP) utilizando la misma plataforma
hardware.
Motorola ING fue pionera en 1995 al integrar la
transmisión de voz en redes WAN Frame Relay. Aprovechando
esa experiencia, única en el mercado, Motorola ING lanza
ahora VOIP, voz sobre IP, utilizando los mismos equipos,
empleando tanto protocolos propietarios (SoTCP) como protocolos
estándar (H.323).
Los equipos de Motorola ING ofrecen una calidad
excelente en transmisión de voz, tanto analógica
(FXS, FXO, E&M) como digital (T0, E1), sobre líneas
Frame Relay y/o IP.
Hoy en día Motorola ING es el único
fabricante del mundo que ofrece soluciones de voz sobre redes
Frame Relay y voz sobre redes IP con el mismo equipo, incluso de
manera simultánea. Este hecho permite a los equipos de
Motorola ING funcionar de forma simultánea como VoIP
Gateway y router voz/datos sobre Frame Relay.
3.2 La Solución de Telefonía sobre IP
de 3com
El sistema de telefonía sobre IP de clase
carrier de 3Com se basa en una arquitectura abierta de tres
niveles de gateways, gatekeepers y servidores de backend
interconectados mediante protocolos abiertos basados en normas.
La arquitectura modular de 3Com presenta APIs estándar en
cada nivel a fin de brindarle a los carriers flexibilidad para
personalizar el sistema, facilitando la diferenciación de
servicios y la integración de las "mejores" aplicaciones
de oficina back-to-back "de su clase". Este sistema modular llave
en mano basado en normas soporta la telefonía sobre IP de
teléfono a teléfono y de PC a teléfono en
redes conmutadas por paquetes.
Sobre la base de la plataforma de acceso Total Control
Multiservice Access
Platform de 3Com, el sistema de VoIP (Voz sobre IP) de clase
carrier está basado en normas y acepta protocolos
internacionales entre los que se incluyen las especificaciones
ITU T.120 y H.323v2. Además, el sistema utiliza la
codificación de voz G.711, G.723.1 y G.729a
para garantizar la compatibilidad con los sistemas de
telefonía mundiales. Este desarrollo representa el
próximo paso lógico para una plataforma
diseñada para servicios múltiples. Además de
la voz, la plataforma también brindará un soporte
extensivo a los servicios de fax y video.
3.2.1 Gateway de Voz sobre IP
Los gateways de VoIP ( Voz sobre IP) proveen un acceso
interrumpido a la red IP. Las llamadas de voz se digitalizan,
codifican, comprimen y paquetizan en un gateway de origen y
luego, se descomprimen, decodifican y rearman en el gateway de
destino. Los gateways se interconectan con la PSTN según
corresponda a fin de asegurar que la solución sea
ubicua.
El procesamiento que realiza el gateway de la cadena de
audio que atraviesa una red IP es transparente para los usuarios.
Desde el punto de vista de la persona que llama, la experiencia
es muy parecida a utilizar una tarjeta de llamada
telefónica. La persona que realiza la llamada ingresa a un
gateway por medio de un teléfono convencional discando un
número de acceso. Una vez que fue autenticada, la persona
disca el número deseado y oye los tonos de llamada
habituales hasta que alguien responde del otro lado. Tanto quien
llama como quien responde se sienten como en una llamada
telefónica "típica".
3.2.2 Gatekeeper de Voz sobre IP
Los gateways se conectan con los gatekeepers de VoIP
(Voz sobre IP) mediante enlaces estándar H.323v2,
utilizando el protocolo RAS H.225. Los gatekeepers actúan
como controladores del sistema y cumplen con el segundo nivel de
funciones esenciales en el sistema de VoIP (Voz sobre IP) de
clase carrier, es decir, autenticación, enrutamiento del
servidor de directorios, contabilidad
de llamadas y determinación de tarifas. Los gatekeepers
utilizan la interfaz estándar de la industria ODBC-32
(Open Data Base Connectivity – Conectividad abierta de
bases de datos) para acceder a los servidores de backend en el
centro de cómputos del carrier y así autenticar a
las personas que llaman como abonados válidos al servicio,
optimizar la selección
del gateway de destino y sus alternativas, hacer un seguimiento y
una actualización de los registros de
llamadas y la información de facturación, y guardar
detalles del plan de
facturación de la persona que efectúa la
llamada.
3.2.3 Servidores de Backend
El tercer nivel de la arquitectura de VoIP (Voz sobre
IP) de clase carrier de 3Com corresponde a la serie de
aplicaciones de backoffice que constituyen el corazón
del sistema operativo de un proveedor de servicios. Las bases de
datos inteligentes y redundantes almacenan información
crítica
que intercambian con los gatekeepers durante las fases de inicio
y terminación de las llamadas. En el entorno de una
oficina central, resulta vital preservar la integridad de los
datos de las bases de datos de backend. La solución de
3Com ofrece un enfoque único que garantiza la resistencia de
los servidores de backend y la seguridad de sus bases de datos.
Los servidores SQL de
Microsoft están integrados dentro de la arquitectura del
sistema de Backend y administran las bases de datos SQL para las
funciones de autenticación, mapeo de directorios,
contabilidad y determinación de tarifas. Este nivel de la
arquitectura fue optimizado a fin de responder a las necesidades
exclusivas de seguridad y disponibilidad de los proveedores de
servicios. Para implementaciones a menor escala, el sistema
ofrece flexibilidad para consolidar las bases de datos en un solo
servidor robusto o en la plataforma de un gatekeeper.
3.2.4 Otras Soluciones de VoIP (Voz sobre IP) DE
3COM
Este nuevo sistema se expande sobre la estrategia de
convergencia de 3Com para segmentos de mercado clave. 3Com
también ofrece soluciones de VoIP (Voz sobre IP) para
empresas que permiten que los usuarios actuales de routers
agreguen voz a su infraestructura empresarial de área
amplia ya existente. Los sistemas para empresas también se
basan en normas y forman parte de las soluciones end-to-end de la
compañía.
3.3 Futuro de la Tecnología de Voz sobre
IP
En la actualidad, son cada vez más numerosas las
compañías que ven esta tecnología como una
herramienta de comunicaciones comercialmente viable.
Recientemente, los consultores financieros Merrill Lynch llevaron
a cabo un proyecto de VoIP,
aunque no fue hasta los ataques terroristas a los Estados Unidos
del 11 de septiembre que la compañía decidió
adoptar este sistema en toda su red de datos. Esta
compañía multinacional descubrió que sus
enlaces VoIP eran los únicos que seguían
funcionando después de que los ataques al World Trade
Center destruyeran las redes de comunicaciones conmutadas de
Manhattan.
3.3.1 Las Predicciones del Mercado
El servicio de voz en protocolos de Internet está
atravesando poco a poco el umbral que separa lo novedoso de lo
que está generalmente aceptado. Muchas de las portadoras
que ofrecen servicios de voz a través de IP fueron creadas
principalmente con ese fin, y la industria se encuentra en
crecimiento constante.
Sin lugar a dudas, los primeros que van a aprovechar las
ventajas de la voz sobre IP serán las grandes
compañías que, en general, se encuentran
geográficamente distribuidas. Según diversas
consultoras de nivel internacional, como Frost & Sullivan,
IDC y Probe Research, los pronósticos indican un crecimiento
significativo en el mercado de voz sobre IP:
- Hacia el 2001, los ingresos obtenidos por las
ventas de
gateways se estimaron en mil 800 millones de dólares; y
se calcularon, para este mismo año, que la cantidad de
minutos de telefonía sobre IP podría llegar a los
12 mil 500 millones. - Hacia el 2010 se estima que un 25 por ciento de las
llamadas telefónicas en todo el mundo será
efectuado sobre redes basadas en IP.
 Página anterior | Volver al principio del trabajo | Página siguiente  |