Juan Oliva, Snort y Seguridad en VoIP

Una de las ventajas de la voz sobre IP y la telefonía IP es la disponibilidad de enlaces remotos y en sus inicios mucha gente explotaba esta funcionalidad. ¿Existe alguna forma de retomar esta funcionalidad de vuelta?

(…) definitivamente que si, del mismo modo que apareció la amenaza, a la par, se desarrollaron muchos mecanismos y técnicas para minimizar riegos (…) (Juan Oliva, entrevista para ElastixWorld)

ElastixWorld está cerca, quedan tan solo 40 días para el evento y quisimos conversar con algunos conferencistas que se darán cita al evento para hacer un preámbulo y crear un poco más de expectativa sobre lo que sucederá.

El primero con quien conversamos fue Juan Oliva.

Juan es un profesional de las IT y un reconocido Ethical Hacker en Sudamérica. Desde hace algún tiempo trabajamos en conjunto en el área de entrenamiento con el objetivo de hacer un curso de seguridad orientado a Elastix y soluciones de voz sobre IP.

El año anterior fue invitado por nosotros a VoIP2Day+ElastixWorld en España y nos acompañó también en la 4K Conference que se llevó a cabo en Bogotá, Colombia.

Poco a poco Juan se está volviendo un trotamundo, iniciemos este viaje hacia México con él.

Juan,

¿Qué es un Etical Hacker?

Un Ethical Hacker, es primordialmente, un profesional que cuenta con conocimientos de seguridad e inseguridad en diversas plataformas y aplicaciones. Su objetivo es identificar y validar las vulnerabilidades que las comprometan y para esto se vale de diversas herramientas, así como metodologías.

Su ámbito de trabajo es el de realizar procesos de evaluación para empresas, las cuales los contratan para validar cuan seguros o inseguros son sus sistemas, dependiendo el alcance que se defina.

¿Y cómo se hace un Ethical Hacker? de repente un día te encuentras trabajando en ello, ¿Cómo es el proceso?

Definitivamente no es de un día para otro, actualmente existe un punto donde todos tenemos algo en común, pero es evidente que cada uno ha tenido su propio proceso.

Personalmente creo que todo inició desde que me tope con Linux, eso me permitió ver realmente como funcionan las cosas en los programas, luego vino la explosión de la red de redes; todo cambio ya que estuve siempre al frente de plataformas y servicios basados en Internet, primero en todos los servicios que se pudieran instalar en Linux y luego con Asterisk y VoIP en general.

Eso me permitió sumergirme en el mundo de los ataques informáticos de todo tipo, descubrir como se realizan y analizar el “cómo” del descubrimiento de las vulnerabilidades; basado en ello, uno ya puede aplicar técnicas para proteger de una manera más sensata y dar seguridad a los sistemas. Luego de esto comencé a realizar proyectos de Ethical Hacking, donde el tema de los sistemas y tecnología son transversales; sin embargo, el tema de VoIP siempre estaba presente dentro de estos proyectos.

Por otro lado, considero que existen dos factores muy importantes que son “curiosidad” e “investigación”. Este punto es donde todos los que estamos metidos en el rubro coincidimos, saber el “cómo” de las cosas, esa incansable búsqueda que hace que puedas estar horas y horas detrás de una maquina y al final saber cómo realizaron o aplicaron determinada técnica, o desarrollar las tuyas propias.

Es el punto en común, al que me refería al inicio de la pregunta.

Finalmente, y en consecuencia, esto hace que permanezcas en incansables lecturas de libros, blogs, papers, y después de algunos años simplemente te das cuenta que duermes menos que un ser humano promedio.

¿Cómo entraste al mundo del VoIP?

Bueno, como te indicaba antes, creo haber instalado todo lo que se puede implementar sobre Linux, así que cuando me tope con Asterisk alrededor del 2001, fue algo casi natural instalarlo y configurarlo, y digo casi, porque el reto real fue alinearme dentro de los conceptos y mecanismos de la telefonía tradicional, ya que mi formación es en ingeniería de redes y sistemas y los conocimientos de telefonía publica o PSTN, siempre estuvieron más ligados a profesionales del área de electrónica o industrial inclusive.

¿Sigue siendo la telefonía un área de la electrónica o es ahora dominio de la gente de software?

No podría asegurar eso, yo considero que al igual que los profesionales de electrónica tuvieron que ampliar sus conocimientos de sistemas de información y servicios de infraestructura con el nacimiento de la VoIP, lo mismo nos paso a los de software y redes, que tuvimos que involucrarnos en telefonía en general. En resumen mas exigencia a nivel de conocimientos.

Lo que si puedo asegurar es que es una ventaja conocer a fondo las plataformas donde corren los sistemas de VoIP basados en Linux, ya que las reglas y protocolos en telefonía, están establecidas hace ya un tiempo; sin embargo, lo que puede pasar a nivel de sistema operativo y servicios es muy variable y más aun cuando los publicas hacia Internet.

Una de las ventajas de la voz sobre IP y la telefonía IP es la disponibilidad de enlaces remotos y en sus inicios mucha gente explotaba esta funcionalidad. Hoy el panorama ha cambiado un poco y la amenaza de ataques a las implementaciones con estos servicios se ha incrementado exponencialmente. ¿Existe alguna forma de retomar esta funcionalidad de vuelta? Tomando en cuenta que nada es completamente seguro.

Sí, es correcto, hoy el panorama ya no es tan sencillo a la hora de desplegar enlaces, extensiones, unir centrales remotas, y tantos despliegues formidables que nos ofrece la voz sobre IP y la telefonía IP, es evidente que los ataques están a la orden del día.

¿Se puede retomar estas funcionalidades de vuelta? definitivamente que si; del mismo modo que apareció la amenaza, a la par, se desarrollaron muchos mecanismos y técnicas para minimizar riegos, inclusive eliminarlos completamente.

Técnicas como filtrar por origen con firewall de host y perimetrales, detección y bloqueo de ataques de manera proactiva con IPS simples como Fail2ban, o complejos como el mismo SNORT, (el cual es el tema de mi charla en esta oportunidad), el uso de VPNs en Site to Site o Roadwarrior, y podría seguir mencionando muchos más como el uso de protocolos TLS y SRTP, protección a nivel de servicio Web, etc..

Sin embargo, mas allá de las técnicas o herramientas que usemos, que son muchas, lo que considero más importante, es tener la capacidad de identificar la necesidad, luego basado en ello, poder visualizar cuales son los riesgos en seguridad que mi escenario me va a traer, a partir de ahí ya es posible elegir de una manera muy objetiva la herramienta o protocolo a usar, para minimizar o inclusive eliminar el riesgo.

Puedo asegurar por mi experiencia, que es posible desplegar enlaces remotos y dormir tranquilos, como algunos dirían.

El dueño de la implementación es definitivamente el primer responsable en la seguridad de su red, sin embargo, ¿no le corresponde a los operadores de telefonía involucrarse más en la seguridad? Hay una corriente de integradores que se quejan de las actitud de las operadoras en ese sentido, de permitir que un evento sin precedentes, como el incremento exponencial de un flujo de llamadas, se mantenga en proceso hasta que la cuenta del cliente se incrementa. ¿Hay responsabilidad de lado del operador?

Ese es un tema muy delicado, por que ya involucra hasta donde llega la responsabilidad contractual del operador y hasta bajo que tipo de leyes esta amparado según el país. Al respecto, y tomando como ejemplo el Perú, sí existen operadores que han agregado dentro de sus procesos de soporte y monitoreo el tema de comportamientos extraños o fraudes, pasa lo mismo en Colombia y México… Todos no lo brindan, lo dan como valor agregado al servicio.

Sin embargo, es claro que existe una tendencia global, a nivel de operadores, en asumir también parte de la responsabilidad ante este tipo de eventos. Creo que a lo largo del tiempo este tipo de servicio terminará siendo una posibilidad mas dentro de la oferta telefónica.

Cuéntanos un poco de la charla que vas a dar en el evento.

Claro,

Sabemos que Internet cambia constantemente, por lo tanto los servicios y las necesidades del cliente también. En estos últimos años, en SILCOM, hemos estado desarrollando e impulsando proyectos de telefonía IP con soluciones basadas en la nube, en este caso Elastix es nuestra solución bandera para proveer servicios de central telefonía y Call Center, por esta razón, algunos escenarios nos exigen contar con mecanismos un poco mas complejos de prevención de ataques, ya sea por requerimiento del cliente o por la naturaleza crítica de las comunicaciones que maneja esa implementación en particular.

En el marco de estos escenarios es donde he venido trabajando con Snort, que no solo es un sniffer de paquetes y un detector de intrusos como se conoce tradicionalmente, si no que también es posible usarlo como preventor.

Al principio la idea parecía un poco descabellada, porque intentamos usar un software que tradicionalmente es usado para datos para que tenga los mismos resultados para VoIP; sin embargo, al realizar una serie de pruebas de Ethical Hacking nos dimos cuenta lo potente que puede ser a la hora de detectar y bloquear ataques, debido a una flexible base de reglas, que si bien es cierto están establecidas, uno tiene la posibilidad de crear reglas propias que sirven ante esos ataques un poco desconocidos que en ocasiones nos toca enfrentar.

Por otro lado, la posibilidad de brindar una cobertura integral a toda la plataforma, incluido servicios web, brinda un valor diferencial respecto a otras soluciones.

La charla estará enfocada a ello, mostrare cómo Snort puede extender la seguridad en una plataforma Elastix de manera efectiva.

La gente está muy pendiente de los temas de seguridad, ¿Dónde crees que está la clave para mantener una implementación controlada?

Hay varias claves,

Considero que tener actualizada la plataforma siempre, es una de ellas. La otra es el monitoreo y seguimiento de logs, son la radiografía de lo que pasa en el sistema.

Por otro lado, es importante también llevar entrenamientos especializados en seguridad, si son aplicados a entornos VoIP mucho mejor, y tomo como ejemplo a los desarrolladores de sistemas de información. Antes solo les importaba que el sistema muestre bien la información y los reportes, ahora les interesa que su sistema sea seguro ante un SQL Injection, por citar solo un ejemplo.

Lo mismo debe pasar con los profesionales que estén involucrados en VoIP, seguridad es un “Skill” con el que deben contar.

¿Qué esperas ver en ElastixWorld este año?

Primero, ver nueva tecnología y hardware de los fabricantes, luego espero poder escuchar las conferencias y estar en los talleres. Hay temas muy interesantes que quiero apreciar con tranquilidad.

Por supuesto también charlar e intercambiar temas de interés con los demás ponentes e instructores de Elastix; a la mayoría ya los conozco y conversamos regularmente.

Por ultimo y no menos importante, conocer a la comunidad presente en el evento. Converso con varios por chat y desearía conocerlos, así que me hacen acordar para ubicarlos. (Risas)

Todo apunta a que va ser un mega evento como decimos en Perú.

Un mensaje para todos los lectores

El mensaje es que:

Si hay un evento que puede cambiar el rumbo de tu vida profesional ese es ElastixWorld.

No es el típico evento de pizarra, es un evento para y en pro del conocimiento al alcance de todos los participantes. Ten cerca y conversa con las mejores marcas, los mejores profesionales del mundo, capacítate en los talleres especializados y disfruta de unos días en México, todo en un solo lado.. ElastixWorld 2013!!!

0
1 comentario

Trackbacks y pingbacks

Dejar un comentario

¿Quieres unirte a la conversación?
Siéntete libre de contribuir

Deja un comentario

Este sitio usa Akismet para reducir el spam. Conoce cómo se procesan los datos de tus comentarios.