Comentarios en: Eavesdropping en VoIP http://www.securityartwork.es/2008/03/14/eavesdropping-en-voip/ Blog de Seguridad de la Información de S2 Grupo Sat, 11 Feb 2012 01:33:51 +0100 http://wordpress.org/?v=2.8.4 hourly 1 Por: GigA http://www.securityartwork.es/2008/03/14/eavesdropping-en-voip/comment-page-1/#comment-47 GigA Wed, 26 Mar 2008 16:01:24 +0000 http://www.securityartwork.es/2008/03/14/eavesdropping-en-voip/#comment-47 Muchas gracias Jose L. Coincido con vuestra premisa, y es que la segmentación de redes para VoIP no está a la orden del día en todos los sitios. Habrá que "testear" el Zfone y ver si merece la pena :-) Saludos Muchas gracias Jose L. Coincido con vuestra premisa, y es que la segmentación de redes para VoIP no está a la orden del día en todos los sitios.

Habrá que “testear” el Zfone y ver si merece la pena :-)

Saludos

]]> Por: Jose L. Villalón http://www.securityartwork.es/2008/03/14/eavesdropping-en-voip/comment-page-1/#comment-46 Jose L. Villalón Tue, 25 Mar 2008 11:56:32 +0000 http://www.securityartwork.es/2008/03/14/eavesdropping-en-voip/#comment-46 Buenas, En efecto, tal como indicas, en los ambientes corporativos donde la seguridad es primordial es necesario proteger nuestra red de voz (al igual que la de datos), aunque en este punto se plantean otras preguntas como ¿es segura nuestra red de datos? ¿ciframos todo nuestro tráfico? ¿cómo de segura es nuestra red de voz tradicional? Concretando algo más sobre el ejemplo planteado, donde se ha usado Asterisk como PBX, partíamos de la premisa, muchas veces cierta, de usar la infraestructura existente para implantar la red de VoIP, ya sea por coste o comodidad, y por lo tanto, el ataque reproducido era posible. No obstante, si quisiéramos proteger nuestra red de voz, a parte de separar lógica o físicamente ambas redes, deberemos añadir algunas medidas de seguridad adicionales, como puede ser la autenticación y el cifrado, tanto a nivel de señalización, por ejemplo mediante SIP sobre TCP/SSL, como a nivel de transporte, usando SRTP o ZRTP, éste último desarrollado por el conocido Phil Zimmermann, y el cual también es usado Zfone, y como comentas, ofrece muchas posibilidades aunque personalmente no lo he probado. No obstante, también habrá que tener en cuenta la carga extra generada por el cifrado, así cómo el tipo de cifrado que son capaces de soportar los terminales o incluso la PBX, puesto que habitualmente, se requieren terminales con grandes funcionalidades mientras que se descuidan otros aspectos importantes como la seguridad. Buenas,

En efecto, tal como indicas, en los ambientes corporativos donde la seguridad es primordial es necesario proteger nuestra red de voz (al igual que la de datos), aunque en este punto se plantean otras preguntas como ¿es segura nuestra red de datos? ¿ciframos todo nuestro tráfico? ¿cómo de segura es nuestra red de voz tradicional?

Concretando algo más sobre el ejemplo planteado, donde se ha usado Asterisk como PBX, partíamos de la premisa, muchas veces cierta, de usar la infraestructura existente para implantar la red de VoIP, ya sea por coste o comodidad, y por lo tanto, el ataque reproducido era posible.

No obstante, si quisiéramos proteger nuestra red de voz, a parte de separar lógica o físicamente ambas redes, deberemos añadir algunas medidas de seguridad adicionales, como puede ser la autenticación y el cifrado, tanto a nivel de señalización, por ejemplo mediante SIP sobre TCP/SSL, como a nivel de transporte, usando SRTP o ZRTP, éste último desarrollado por el conocido Phil Zimmermann, y el cual también es usado Zfone, y como comentas, ofrece muchas posibilidades aunque personalmente no lo he probado. No obstante, también habrá que tener en cuenta la carga extra generada por el cifrado, así cómo el tipo de cifrado que son capaces de soportar los terminales o incluso la PBX, puesto que habitualmente, se requieren terminales con grandes funcionalidades mientras que se descuidan otros aspectos importantes como la seguridad.

]]> Por: GigA http://www.securityartwork.es/2008/03/14/eavesdropping-en-voip/comment-page-1/#comment-45 GigA Tue, 25 Mar 2008 09:21:00 +0000 http://www.securityartwork.es/2008/03/14/eavesdropping-en-voip/#comment-45 Buenos días, Una curiosidad, ¿Qué programa de VoIP se utilizó en la simulación? La pregunta viene por que (hasta donde yo se) este tipo de aplicaciones suelen cifrar las comunicaciones para, sobretodo, evitar los ataques MiMT. Por ejemplo Skype afirma utilizar AES 256 bits, aunque al utilizar un protocolo propietario solo ellos lo saben :-p Por otro lado, en un ambiente corporativo, donde la seguridad es primordial, ¿qué tecnología VoIP considerarias más segura? He escuchado que el proyecto de Zfone va bien encaminado, aunque tampoco se mucho al respecto. ¿Qué opinas? Muchas gracias y enhorabuena por el bloq. Saludos Buenos días,

Una curiosidad, ¿Qué programa de VoIP se utilizó en la simulación? La pregunta viene por que (hasta donde yo se) este tipo de aplicaciones suelen cifrar las comunicaciones para, sobretodo, evitar los ataques MiMT. Por ejemplo Skype afirma utilizar AES 256 bits, aunque al utilizar un protocolo propietario solo ellos lo saben :-p

Por otro lado, en un ambiente corporativo, donde la seguridad es primordial, ¿qué tecnología VoIP considerarias más segura? He escuchado que el proyecto de Zfone va bien encaminado, aunque tampoco se mucho al respecto. ¿Qué opinas?

Muchas gracias y enhorabuena por el bloq.

Saludos

]]>