Saturday, February 04, 2012
Portada

Cloud Services

Servicios de Voz

Comunicaciones

CRM

Soluciones Software

Formacion IT

Buenas practicas IT

Laboratorio

Actualidad TIC
Laboratorio    

Seguridad en VoIP: Fuzzing

Posted @ 25/08/2011 8:03 By Juan Blázquez

Retomando el anterior post, una cosa es comentar la necesidad de securizar la infraestructura de voz tanto o más que la de datos, por los riesgos e implicaciones que entraña llevar la voz en IP, predicar. Y otra muy distinta, dar trigo. Que es de lo que se trata ahora. O dicho de otro modo. ¿Como saber que el sistema de telefonía es seguro?

Puede parecer que la voz en IP es un tráfico complejo y la realidad es bien distinta. Para muestra un botón. Las escuchas telefónicas se puede llevar a cabo utilizando programas analizadores de red, sniffers, que incorporan entre sus funciones capacidad para capturar tráfico de voz, analizar flujos de datos e, incluso, salvarlos como archivos de audio para su reproducción posterior. Para ello no hay que ser un consagrado hacker, ni utilizar programas complejos sólo al alcance de los iniciados. Sin ir más lejos, un programa como Ethereal también conocido como Wireshark, aparentemente inocuo, de sobra conocido por todos, tiene capacidad de recuperar tráfico UDP del protocolo RTP, seleccionado las opciones oportunas, analizar una sesión capturada como flujo continuo de datos, no como paquetes aislados, y guardarla como un fichero de sonido, reproducible con cualquier programa de audio convencional. Y lo más sangrante es que no es necesario saber hacer “arcos de catedrales” para manejar un programa como este.

Para conocer el estado de la seguridad de cualquier sistema de voz en IP, nada mejor que recurrir al testeo funcional de protocolos. Es decir, hacer fuzzing de VoIP. Se llama fuzzing a diferentes técnicas para sondear programas en busca de defectos o de vulnerabilidades,  comprobar que las aplicaciones funcionan correctamente, encontrar posibles errores de operación y descubrir brechas de seguridad. Se aplica a todo tipo de programas y/o servicios y, como no, también se puede utilizar para comprobar el estado de salud de nuestro sistema de VoIP.

Para esta telefonía, existen multitud de herramientas que se pueden utilizar para realizar estas comprobaciones, tanto comerciales como de libre disposición. En la página http://www.voipsa.org/Resources/tools.php, se puede encontrar una completa relación de estos programas, perfectamente categorizadas y descritas. Herramientas muy útiles para que los técnicos de soporte verifiquen su sistema de telefonía.

…..pero desgraciadamente también pueden ser temibles en manos desaprensivas……..

Visits (86) | Comments (0)
Pages: 123456NextReturn Top
       
ITBlog Laboratorio
Responsable Blog: Juan Blázquez
Cargo: Responsable Infraestructura Informática Interna
Empresa: Alhambra-Eidos
Contacto: ITBlog@a-e.es

 
Inicio
Entradas por indice
Entradas por categorías
Entrada por meses
Búsqueda de entradas
Últimos comentarios

  1. Re: Cliente Cisco VPN para windows 7 64bits

    Gracias por tu interés TAPi.Por si te interesa, algunos compañeros están muy contentos con este clie...

    --Juan J.Muñoz

  2. Re: Cliente Cisco VPN para windows 7 64bits

    Muchas gracias! Llevaba un tiempo buscándolo...

    --TAPi
Privacy Statement  |  Terms Of Use
Copyright 2010 Alhambra-Eidos
);