Universidad Abierta y a Distancia de México

Carrera: Telemática

Quinto Semestre

Seguridad II

Unidad 1
Soluciones en seguridad de vanguardia

Actividad 3
Soluciones de voz, un reto más
para la seguridad de redes

Docente: Víctor Jacinto Mejía Lara

Luis Santiago Gómez

Matricula: ES1822033996

Febrero, 2021
Actividad 3. Foro: Soluciones de voz, un reto más para la seguridad de redes.
Descripción de la actividad/ indicaciones de la actividad:
1. Lee, observa y analiza el siguiente caso:
La Secretaría de Educación cuenta con un sistema de telefonía IP, utiliza PBX
basado en un software libre llamado Asterisk.

A partir del análisis del caso, responde a los siguientes planteamientos:

a. ¿Qué protocolo de comunicación de telefonía IP utiliza Asterisk?

Asterisk al ser una centralita software (PBX) de codigo abierto, permite interconectar
teléfonos a la red (RTB - Red telefónica básica) y ya que actualmente trabaja en
sistemas OpenBSD, FreeBSD, Mac OS X, Solaris Sun y Windows, Asterisk incluye
extensiones de envío de mensajes de voz a e-mail, llamadas en conferencia, menus
de voz interactivos y distribución automática de llamadas. Además se pueden crear
nuevas funcionalidades mediante el propio lenguaje de Asterisk o módulos escritos
en C o mediante scripts AGI escritos en Perl o en otros lenguajes.

IAX (Inter-Asterisk eXchange protocol) es uno de los protocolos utilizado por

Asterisk. Es utilizado para manejar conexiones VoIP entre servidores Asterisk, y
entre servidores y clientes que también utilizan protocolo IAX. El protocolo IAX ahora
se refiere generalmente al IAX2, la segunda versión del protocolo IAX. El protocolo
original ha quedado obsoleto en favor de IAX2.
IAX2 es robusto, lleno de novedades y muy simple en comparación con otros
protocolos. Permite manejar una gran cantidad de códecs y un gran número de
streams, lo que significa que puede ser utilizado para transportar virtualmente
cualquier tipo de dato. Esta capacidad lo hace muy útil para realizar
videoconferencias o realizar presentaciones remotas.

IAX2 soporta Trunking (red), donde un simple enlace permite enviar datos y
señalización por múltiples canales. Cuando se realiza Trunking, los datos de
múltiples llamadas son manejados en un único conjunto de paquetes, lo que significa
que un datagrama IP puede entregar información para más llamadas sin crear
latencia adicional. Esto es una gran ventaja para los usuarios de VoIP, donde las
cabeceras IP son un gran porcentaje del ancho de banda utilizado.

El protocolo IAX2 fue creado por Mark Spencer para la señalización de VoIP en
Asterisk. El protocolo crea sesiones internas y dichas sesiones pueden utilizar
cualquier códec que pueda transmitir voz o vídeo. El IAX esencialmente provee
control y transmisión de flujos de datos multimedia sobre redes IP. IAX es
extremadamente flexible y puede ser utilizado con cualquier tipo de dato incluido
vídeo.
b. ¿Qué tipo de solución de seguridad tiene implementada Asterisk?

Asterisk tiene diversos niveles de seguridad:

 El nivel físico: en este nivel se plantean las políticas de seguridad para el
acceso a la máquina
 Seguridad en el sistema operativo: son todas la medidas preventivas y
remediales con relación al desarrollo de desempeño del sistema operativo y a
su entorno, incluyendo aplicaciones de uso concreto en el mismo y de
administración
 A nivel de red/Internet: incluye políticas de seguridad regulan el acceso a
usuarios permitidos y no permitidos a redes privadas o públicas.
 El nivel general del sistema Asterisk.
 El nivel de script, y más concretamente del Plan de Marcación
 Paralelamente: en este nivel de protocolo de comunicación, abarca SIP e IAX
porque son los dos protocolos más comunes.
 Los niveles imprescindibles son los tres primeros, ya que administran el
sistema por medios de control y manejo de su infraestructura de red,
incluyendo firewall, routers, y más.

Siete fáciles pasos de seguridad en (tomado de asterisk.org)

1) No aceptar solicitudes de autenticacion SIP desde todas las direcciones IP.
Use los parámetros “permit=” and “deny=” en sip.conf para solamente permitir
a un subconjunto razonable de direcciones IP addresess que puedan alcanzar
las extensiones/usuarios listados en su archivo sip.conf.
2) Establezca “alwaysauthreject=yes” en su archivo sip.conf. Esta opción ha
estado aquí por un buen tiempo, pero la opción por defecto es “no”, lo que
permite fuga de información de la extensión.
Estableciendo está a “yes” rechazará solicitudes de autenticación erróneas en
nombres de usuarios validos con la misma información con nombres de
usuarios inválidos denegando atacantes remotos la habilidad de detectar
extensiones existentes con ataques de detección de fuerza bruta.
3) Use contraseñas FUERTES para las entidades SIP. Este es el paso mas
importante que se puede tomar. No debes simplemente concatenar dos
palabras juntas con un sufijo. Use símbolos, números, y una mezcla de letras
en mayúsculas y minúsculas de al menos 12 dígitos de longitud.
4) Bloquee sus puertos de manager AMI. Use las lineas “permit=” y “deny=”
en manager.conf para reducir las conexiones entrantes solo a los host
conocidos solamente.
5) Permita solamente una o dos llamadas a la vez por entidad SIP, donde sea
posible. En el peor caso, limitar su exposición a fraude telefónico es una cosa
sabía qué hacer.
6) Utilice sus SIP usernames diferente que su extensiones. Mientras que es
conveniente tener la extensión “1234″ mapeada a la entrada SIP “1234″ el
cual es también el usuario SIP “1234″, es un blanco facil para los atacantes
adivinar los nombres de autenticación SIP.
7) Asegúrese que su contexto [default] is seguro. No permita llamantes no
autenticados llegar a ningún contexto que permita llamadas de pago. Permita
solamente un número limitado de llamadas activas en su contexto default (use
la función “GROUP” como un contador.) Prohíba llamadas no autenticadas
totalmente si no las requiere poniendo “allowguest=no” en el contexto
[general] de sip.conf (asterisk, 2021).

La mayoria de los atacantes SIP con herramientas, ellos son oportunistas que
ven una forma fácil de defraudar a la gente que no ha considerado los costos
de los métodos inseguros. Asterisk tiene algunos métodos para prevenir los
más obvios ataques de tener éxito al nivel de red, pero el método más
efectivo de protección es el de generar administrativamente contraseñas
robustas y ocultación de username.
 c. ¿Qué códecs maneja Asterisk y qué compresión tiene cada codec?

Ya que los códecs codifican y decodifican la voz para transmitirla por medios
digitales, con el uso de algoritmos y paquetizando datos de bit. Asterisk soporta
los siguientes codecs:
Codec Audio
 Ulaw: se usa en los servicios telefónicos de la red clásica (EE. UU. y Canadá),
con una velocidad de 64 kbit/s y al ser un ancho de banda reducido las líneas de
voz se encontraban ocupaban el 100% al navegar por internet o llamar.
 Alaw: Es su homólogo de ulaw en Europa, con una velocidad de 64 kbit/s.
 Gsm: Es usado para las líneas móviles, ya que significa “Global System for
Mobile” la velocidad de datos de la conexión Full-Rate es de 13kbit/s, por lo que
hace ligero el ancho de banda.
 Ilbc: es un códec creado para Google para mejorar conversación por voz, como
un softphone para Google Voice y desarrollar Google Talk. El flujo de datos es
de tan solo 13,3 kbit/s, equivalente a GSM pero con infinita mayor calidad.
 La calidad de este codec es G729, con una velocidad de 13,3 kbit/s. Aunque
presenta desventaja el consumo de muchos recursos en la CPU.
 Speex: es un códec desarrollado por Xiph, por lo que es Open Source adaptable
al sistema Asterisk. podríamos elegir variar el compromiso de consumo de CPU
a costa del consumo de ancho de banda o la calidad y llegar a conseguir la
ajustada cantidad de solo 2kbit/s en caso que fuera necesario.
 G722: es una versión posterior a G.711, y es Opens Source. Sin embargo, no
tiene tanta calidad con la cual competir contra ilbc, y speex, pero es popular
entre los dispositivos de telefonía por lo cual muy socorrida. para soportar audio
muestreado a 16Khz.
 G723: tiene un equilibrio entre ligereza, calidad y consumo, y es tan popular
como el códec de video H.323. En Asterisk es útil para comunicaciones directas
entre dos dispositivos “pass-thru” o sea para comunicaciones de SIP. Códec de
voz de doble velocidad para la transmisión en comunicaciones multimedia a 5,3
y 6,3 kbit/s.
 G726; tiene origen en la telefonía de inicio. Su ahorro de datos se resume a
32kbit/s y fue una opción para optimizar los troncales de telefonía ofrecidos por
los operadores, G.726
 G729: Es de licencia de pago y popular en Asterisk; por lo tanto ofrece mayor
calidad en ya sea porque es el más actual y porque su algoritmo al estar
patentado está más seguro. calidad ajustada cantidad de solo 8kbps (Anaya,
2013, p.27).

2. Si en tu trabajo existe un administrador de red que garantice su operación y

la seguridad en las soluciones de almacenamiento masivo y de voz.
a. ¿Cuáles y cuántos dispositivos se utilizan para garantizar la seguridad de la
red de voz como firewalls?
En la institución en la que trabajo (escuela medio superior) se administra la red
mediante un rack de 2 discos de 500BG cada uno soporte para el servidor de red, y
un servidor de aplicaciones en la plataforma de SIIA que además de ayudar como
repositorio de datos generados cada ciclo y como procesador de los mismos datos
para estadísticas y resultados.
Los servicios de telefonía es administrado por Dirección General de Bachilleratos y
desde la matriz nos enlazan el servicio con Telmex e izzi y gracias a la plataforma
SIIA se cuenta con Intranet en la que compartimos datos y servicios, además de la
LAN interna de nuestra sucursal que ayuda a compartir ficheros y recursos.

Solo cuenta con software Firewall, pero se recomienda instalar dispositivos de

seguridad PIX Firewall que también se utilizan para proteger redes de voz. Sin
embargo, un reto en la protección de redes con firewalls es que el administrador de
la red no conoce qué puertos UDP están siendo utilizados para transmitir paquetes
de voz RTP (Reliable Transport Protocol). Afortunadamente los firewall hoy en día
pueden inspeccionar dinámicamente el tráfico de un protocolo de voz para identificar
los puertos UDP que son utilizados para flujo RTP.

PIX Firewall de Cisco Systems proporciona servicios de traducción de red y firewall.

Proporciona una protección de cortafuegos completa que oculta por completo la
arquitectura de una red interna del mundo exterior. PIX Firewall permite el acceso
seguro a Internet desde redes privadas existentes y la capacidad de expandir y
reconfigurar redes TCP / IP sin preocuparse por la escasez de direcciones IP. Con
PIX Firewall, los usuarios pueden aprovechar clases de direcciones más grandes de
las que les haya asignado el Centro de información de red (NIC) de Internet. PIX
Firewall proporciona este acceso a través de su función de traducción (Cisco, 2015).

El Pix Firewall que se encuentra en medio de estos dos dispositivos es configurado

para permitir el paso del protocolo H.323, como se muestra en la figura 1, además el
firewall no sólo puede permitir el paso, sino también inspeccionar el tráfico H.323,
para determinar dinámicamente qué puertos están siendo utilizados por el flujo de
voz. En el tercer paso, los puertos UDP 20548 y 28642 fueron aleatoriamente
seleccionados (para este ejemplo solamente).
Debido a que el tráfico RTP es unidireccional, dos puertos UDP son seleccionados
para soportar la comunicación bidireccional. Debido a la inspección que realiza el
firewall del tráfico H.323 y el aprendizaje dinámico de los puertos UDP que están
siendo utilizados, el firewall puede permitir el flujo RTP bidireccional durante la
duración de la llamada. (UNADM, 2020, p. 26).

Figura 1. Recomendación para red de la institución con firewall PIX (UNADM, 2020, p. 26).
Además de permitir o denegar puertos específicos, el firewall puede proveer
protección adicional al tráfico de voz. Por ejemplo, el firewall puede ser configurado
para ejecutar políticas específicas, el cual podría bloquear la comunicación desde y
hacia teléfonos específicos.

b. ¿Ha sufrido algún ataque a la infraestructura de almacenamiento masivo y/o

de voz?
Por ahora no, tanto los equipos como los recursos compartidos son renovados y
cuentan con actualizaciones constantes, además que los equipos se les instala
seguridad cada semestre ya que hay mucha movilidad de software y archivos.

c. ¿Existe políticas de seguridad en relación al buen uso de los dispositivos

terminales en tu organización?
De momento solo se han desarrollado estrategias según el nivel de permiso-usuario
para dar el acceso a los servicios de internet y telefonía:
 Acceso básico a internet y telefonía por departamento, por máquina y con
claves controladas.
 Acceso controlado de dispositivos móviles.
 Acceso redes sociales bloqueadas con permisos de administrador.
Bibliografía

Anaya N. (2013). Fundamentos de Telefonía IP e Introducción a Asterisk/Elastix. Curso de

entrenamiento elastix. Recuperado de: https://elastixtech.com/wp-
content/uploads/2013/01/MANUAL-TEORICO-CURSO-ENTRENAMIENTO-ELASTIX-2013.pdf

asterisk (2008). Codecs utilizados por Asterisk. Recuperado de:

https://www.icesi.edu.co/blogs_estudiantes/asterisk/codecs-utilizados-por-asterisk/

asterisk (2021). 7 pasos para una mayor seguridad con Asterisk. Recuperado de:
https://blog.telsome.es/manuales/sip-trunk/7-pasos-una-mayor-seguridad-asterisk/

Barberan, P. J. (2009). Implantación de un sistema VoIP basado en Asterisk.

Cisco (2015). PIX Firewall de Cisco Systems. Recuperado de:
https://www.cisco.com/en/US/docs/security/pix/pix30/user/guide/pixugint.html

UNADM. (2020). Unidad 1. Soluciones en seguridad de vanguardia. Recuperado de:

https://campus.unadmexico.mx/contenidos/DCEIT/BLOQUE1/TM/05/KSG2/U1/descargables
/KSG2_U1_Contenido.pdf