DIVISIÓN DE CIENCIAS EXACTAS, INGENIERÍA Y TECNOLOGÍA

Unidad 1 / Actividad 3
Soluciones de voz, un reto más para la
seguridad de redes.

Rafael Ortega Hernández

ES1822030708
Seguridad II

TM-KSG2-2101-B1-001
Área de conocimiento: DCEIT
Licenciatura en Telemática

Victor Jacinto Mejía Lara.

Nezahualcoyotl Edo de Mexico, 07 de febrero 2021.

 Unidad 1: Soluciones de voz, un reto más para la
seguridad de redes.

SOLUCIONES DE VOZ, UN RETO MÁS PARA LA SEGURIDAD DE

REDES.
Responde los siguientes planteamientos.

a. ¿Qué protocolo de comunicación de telefonía IP utiliza Asterisk?

• SIP
• H.323
• MGCP.
• IAX: Inter-Asterisk eXchange Protocol.

b. ¿Qué tipo de solución de seguridad tiene implementada Asterisk?

No abrir puertos 5060
El puerto 5060 tiene que estar bloqueado por el firewall para que no puedan acceder a tu
Asterisk desde fuera. Nunca hay que abrir el puerto 5060 ya que eso supondría una invitación a
los atacantes.
Por defecto el puerto 5060 permite las comunicaciones originadas desde dentro de la red local y
crean un canal de comunicación para poderse registrar con Telsome a través del SIP trunk. Si
abres el puerto 5060 cualquiera pueda llegar a intentar manipular tu centralita Asterisk.

No aceptes solicitudes de identificación desde todas las direcciones IP

Utiliza las líneas “permit=” y “deny=” en sip.conf para permitir solamente un grupo razonable de
direcciones IP para llegar a cada usuario/extensión listado en tu archivo sip.conf. ¡Si aceptas
llamadas entrantes de “anywhere”, no dejes que estos usuarios lleguen a tus parámetros de
identificación!

Pon “alwaysauthreject = yes” en tu archivo sip.conf

Esta opción ha estado rondando desde hace un tiempo, pero, por defecto, está configurada en
“no”, lo que hace que se pierda la información de la extensión. Cambiando a “yes” rechazará las

UNADM | DCEIT | TM | KSG2 Página 1 de 6

 Unidad 1: Soluciones de voz, un reto más para la
seguridad de redes.

solicitudes con identificación falsa en los nombres de usuario válidos con el mismo mensaje de
rechazo que se muestra en los nombres de usuario no válidos. De esta forma y suponiendo
ataques, los atacantes no podrán detectar las extensiones existentes mediante fuerza bruta.

Utiliza contraseñas FUERTES para entidades SIP

Este es probablemente el paso más importante que tienes que seguir. No te limites solo a poner
dos palabras juntas. Acompáñalas de números. Si conoces lo sofisticadas que son las
herramientas que adivinan contraseñas, entenderás que en algo tan trivial como eso puede
estar la diferencia entre tener tus datos protegidos o no. Puedes utilizar, además de números,
símbolos, mezclar letras mayúsculas y minúsculas… La contraseña ha de tener una longitud
mínima de 12 dígitos.

Bloquea tus puertos AMI (interfaz de Asterisk)

Utiliza las líneas “permit=” y “deny=” en manager.conf para limitar las conexiones entrantes sólo
a servidores que conozcas. Utiliza aquí contraseñas complejas, de nuevo de al menos 12
caracteres que contengan símbolos, números y letras.

Permitir sólo una o dos llamadas a la vez por entidad SIP donde sea posible
En el peor de los casos, limitar tu exposición al fraude es una acción inteligente. Esto también
limita tu exposición si los poseedores legítimos de las contraseñas en tu sistema olvidan sus
“pistas” para meter dichas contraseñas.

Diferencia los nombres de tus usuarios SIP de los de tus extensiones

Si bien es conveniente tener la extensión “1234” (que es también el usuario “1234”) aplicada en
la entrada SIP “1234”, esto es un blanco fácil para los atacantes a la hora de adivinar los
nombres de autenticación SIP. Utiliza la dirección MAC del dispositivo.

UNADM | DCEIT | TM | KSG2 Página 2 de 6

 Unidad 1: Soluciones de voz, un reto más para la
seguridad de redes.

Mantén tus contextos seguros en todo momento

No permitas que llamantes no identificados alcancen cualquier contexto que les permita hacer
llamadas fraudulentas. Permite sólo un número limitado de llamadas a través de tu contexto
(utiliza la función “GROUP” como contador.) Prohíbe entrar llamadas sin identificar (si así lo
quieres) configurando “allowguest=no” en la parte general de sip.conf.

c. ¿Qué códecs maneja Asterisk y qué compresión tiene cada códec?

Códecs de Asterisk
Códec Compresión Códec Compresión

G.723.1 6,3 / 5,3 (Kbps) ADPCM 64 / 56 / 48 (Kbps)

Slin (16 bit Signed 128 (Kbps)

GSM 13 (Kbps)
Linear PCM

G.711 u-law 64 / 56 (Kbps) LPC10 2.4 (Kbps)

G.711 A-law 80 (Kbps) G.729A 8 (Kbps)

G.726 32 (Kbps) SpeeX 2 – 44 (Kbps)

iLBC 15,2 / 13,33 (Kbps)

2. Si en tu trabajo existe un administrador de red que garantice su operación y la

seguridad en las soluciones de almacenamiento masivo y de voz. Si no laboras, plantea
un caso hipotético y explica lo siguiente:
a. ¿Cuáles y cuántos dispositivos se utilizan para garantizar la seguridad de la red de voz
como firewalls o terminales VPN?
En la empresa donde laboro, si existen diversos dispositivos que brindan seguridad a la
empresa y clientes.
Sin embargo, esta información se encuentra demasiado restringida, sin embargo, mencionare
dispositivos con los cuales he observado que cuenta la empresa.
• 1 firewall
• 1 switch con puertos configurados por ip fija

UNADM | DCEIT | TM | KSG2 Página 3 de 6

 Unidad 1: Soluciones de voz, un reto más para la
seguridad de redes.

• 1 servidor de autenticación
• 1 enlace para VPN

b. ¿Ha sufrido algún ataque a la infraestructura de almacenamiento masivo y/o de voz?

Si han existidos intentos para poder infiltrarse a los servidores de almacenamiento del
datacenter, sin embargo, los servidores están en constante monitoreo, así como las conexiones
a la red de todos los dispositivos.

c. ¿Existe políticas de seguridad en relación al buen uso de los dispositivos terminales

en tu organización?
Si existen muchas políticas de seguridad, como cursos de seguridad para usuario, así como
para clientes, además de muchos avisos de información de posibles ataques.

UNADM | DCEIT | TM | KSG2 Página 4 de 6

 Unidad 1: Soluciones de voz, un reto más para la
seguridad de redes.

Mensaje de seguridad Axtel

UNADM | DCEIT | TM | KSG2 Página 5 de 6

 Unidad 1: Soluciones de voz, un reto más para la
seguridad de redes.

Bibliografía.

infotecs. (2020, 21 julio). Voz sobre IP. Recuperado de: https://infotecs.mx/blog/voz-sobre-

ip.html#:%7E:text=Protocolo%20IAX%3A%20el%20Protocolo%20de,abierto)%20para%
20manejar%20conexiones%20VoIP.
Matango, F. (2016, 26 septiembre). protocolos de comunicacion |. VoIP.
http://www.servervoip.com/blog/tag/protocolos-de-
comunicacion/#:%7E:text=Quiz%C3%A1%20lo%20m%C3%A1s%20interesante%20de,y
%20como%20gateway%20entre%20ambos.
Asterisk. (2014, 6 julio). Codecs y Formatos - Asterisk Wiki. Recuperado de:
https://www.wikiasterisk.com/index.php/Codecs_y_Formatos
Axtel. (2018. 9 abril). Políticas de seguridad de la Red. Recuperado de: [Correo electrónico]

UNADM | DCEIT | TM | KSG2 Página 6 de 6