Implementación de protocolos de seguridad para la red VoIP del
Hospital Isidro Ayora de Loja.
Cristian Leonardo Calderón Ordoñez
cristo.nayo@gmail.com
Abstract—. The present article, is the result of having carried
out an analysis of the vulnerabilities in the net (VoIP), of
Isidro Ayora Hospital of Loja city, as well as, the
configuration of the supplier (VoIP), in which the protocol of
security is implemented (TLS), with the purpose of
counteracting the opposing vulnerabilities, therefore, there is
a channel calculated for the phone communications that are
carried out in the institution, this way settles down you to
protect the integrity of the transmitted information, among the
users of the technology (VoIP).
Keywords—. Threat, Kali-Linux Asterisk,
Confidentiality, Eavesdropping, Integrity, Risk, Security,
Vulnerability, (VoIP).
RESUMEN: El presente artículo, es el resultado de
haber realizado un análisis de las vulnerabilidades en la
red (VoIP), del Hospital Isidro Ayora de Loja, así como,
la configuración del servidor (VoIP), en el cual se
implementa el protocolo de seguridad (TLS), con la
finalidad de contrarrestar las vulnerabilidades
encontradas, con ello, se establece un canal cifrado para
las comunicaciones telefónicas que se realizan en la
institución y de esta forma, proteger la integridad de la
información transmitida, entre los usuarios de la
tecnología (VoIP).
I. INTRODUCCIÓN
Hoy en día, el Internet es la herramienta más utilizada a
nivel mundial y el aumento de aplicaciones a través de la
web, como el envío de voz, video y datos, han ayudado
en el desarrollo de las telecomunicaciones, como es la
Voz sobre IP, la cual es un conjunto de normas,
dispositivos y protocolos que permite transportar de
forma correcta y eficiente la información de voz, en
forma digital, utilizando el protocolo (IP). Sin embargo,
a medida que aumenta la utilización de esta tecnología, se
hacen más evidentes las vulnerabilidades de la (VoIP),
debido a que se transmiten por Internet o por redes
potencialmente inseguras, la (VoIP), hereda las
vulnerabilidades que suelen darse en una red de datos, por
ello, es importante tener una buena seguridad en la red y
adicionalmente establecer políticas de seguridad, para la
transmisión de la voz, por el protocolo (IP). [1], [2].
1
II. METODOLOGÍA
Durante el desarrollo del proyecto, se aplicó las
metodologías (OSSTMM) y (OCTAVE), que están
enfocadas al análisis de vulnerabilidades de la red y el
análisis de los riesgos, dentro de una organización. [3],
[4]. [5].
La metodología (OCTAVE) está diseñada para el
análisis y gestión de riesgo que permitió:
 Estudiar el perfil actual de la red de Datos, del
Hospital Isidro Ayora de Loja.
 Determinar los activos importantes a evaluar.
 Determinar los perfiles de amenaza para cada
activo.
 Realizar la valoración de riesgos.
La metodología (OSSTMM) está diseñada para el
análisis de vulnerabilidades en la red de datos misma
que permitió:
 Determinar Vulnerabilidades que está expuesta
la red de (VoIP), del Hospital Isidro Ayora de
Loja.
 Aplicar métodos, para el descifrado de
contraseñas, con el fin de analizar el grado de
fiabilidad de la seguridad en la (VoIP).
 Testeo de denegación de servicios (DoS), para
determinar la operatividad de los equipos del
Hospital.
 Determinar cuál es el enrutamiento de la red de
datos, por ende la red de (VoIP), del Hospital
Isidro Ayora.
III. RESULTADOS.
1. PERFIL ACTUAL DE LA RED DE DATOS.
La descripción del perfil actual, se basa en la
esquematización de la información obtenida, mediante la
observación directa, la documentación existente del
diseño de la red y la configuración de los equipos; la red
está conformada por equipos de networking, como un
router (ISP), firewall, switch de capa 2 y 3 para el core,
equipos terminales como: servidores, estaciones de
trabajo y teléfonos.
Fig. 1 Diseño de la configuración de la red de datos.
Fuente: El Autor.
1.1. Diseño de la estructura de red.
La red cuenta con un modelo jerárquico, donde se
establece las (ACL) y las (VLAN), su núcleo y los
principales equipos, están diseñados en una topología en
estrella, que posee un cableado estructurado (UTP 5e),
con un aproximado de 200 puntos, de los cuales, 106 son
destinados a los puntos de la red de datos y 96 para puntos
de voz.
1.2. Software necesario para la pruebas
penetración.
Para realizar el proceso de inserción en la red, existen
muchas herramientas que se pueden obtener en Internet,
pero en este caso particular, se hizo uso de la plataforma
Kali-Linux, que contiene una gran cantidad de
herramientas incorporadas a su núcleo, las cuales
permiten capturar la información e identificar las
vulnerabilidades y explotarlas.
Las herramientas que más interesan, son las relacionadas
con descubrimiento de red, ataque por fuerza bruta y
ataques a dispositivos (SIP). [6].
Tabla 1: Herramientas elegidas para el objeto de estudio.
HERRAMIENTA OBJETIVO
Nmap Descubrir puertos y aplicaciones.
EnumIAX Obtención de extensiones.
Wireshark Captura de paquetes (SIP, RTP).
Hydra/Medusa Ataques por fuerza bruta.
Nessus Búsquedas de vulnerabilidades
Fuente: El Autor.
2. FASE 1. REUNIÓN DE ACTIVOS Y PERFILES
DE AMENAZA
La primera fase de la metodología (OCTAVE), describe
la reunión de activos de la infraestructura, identificados
en la base de información y el perfil de la red, sobre los
cuales, se realiza los perfiles de vulnerabilidades.
2.1. Proceso 1. Identificación de activos.
En base a la infraestructura de la red, se procedió a
identificar los activos críticos, que representan los puntos
clave, en la comunicación de la red (VoIP), del Hospital
Isidro Ayora.
 COMUNICACIONES.
La central (PBX), los terminales (teléfonos) y todo el
sistema de (VoIP), son de vital importancia por ser el
medio utilizado, para realizar la reservación de
turnos, de los pacientes del Hospital, además, es el
medio de comunicación entre todos los usuarios de
los departamentos de la mencionada institución.
2.2. Proceso 2. Perfil de amenazas de seguridad de los
activos.
En la tabla, se detalla una serie de amenazas, con las
cuales se puede llegar a convertirse en potenciales
vulnerabilidades para la institución.
Tabla 2: Posibles amenazas en la red de VoIP del Hospital.
ACTIVOS AMENAZAS
de
COMUNICACIONES
Acceso no autorizado
Manipulación inadecuada de la infraestructura
de comunicación telefónica
Denegación de servicios
Intercepción de la comunicación.
Fuente: El Autor.
3. FASE 2. IDENTIFICACIÓN EN LA
INFRAESTRUCTURA DE LA RED DE VOIP
DEL HOSPITAL ISIDRO AYORA DE LOJA.
Esta fase comprende, la evaluación de la infraestructura
de la red, donde se evalúa las debilidades, de los
componentes claves que pueden llevar a acciones no
autorizadas, contra los activos de la red.
3.1. Proceso 3. Identificación de componentes clave.
En esta actividad, se revisa los activos críticos y
amenazas de la fase 1, donde se destaca la información
contenida en los equipos de red y la asistencia que
proporcionan los servidores.
2
3.2. Proceso 4. Evaluación de los componentes claves.
Para realizar la evaluación de los componentes se utilizó
la metodología (OSSTMM),
A). SEGURIDAD EN LAS TECNOLOGÍAS DE
INTERNET.
1. SONDEO DE RED.
Para realizar este test, se hace de las herramientas de la
plataforma Kali Linux.
1.1. Enumeración de puertos
Esta actividad permite conocer los puertos (TCP) y
(UDP), que se encuentran abiertos, filtrados o cerrados en
el servidor (VoIP), para posteriormente descubrir las
vulnerabilidades a las que se encuentran expuestos. Las
direcciones (IP), de los servidores y puertas de enlaces de
los equipos se encuentran agrupados en los archivos (IP-
Servidores, IP-Equipos-Red), por motivos de seguridad,
para realizar el escáner, los comandos son los siguientes:
1.1.1 Enumeración de puertos en los servidores.
 Escáner SNY, a los puertos TCP por defecto.
[nmap –sS –iL /root/Desktop/IP-Servidores]
Fig. 2 Enumeración de puertos TCP de (Escaneo SNY)
Fuente: El Autor.
 Escáner CONNECT a los puertos TCP
mayores que 1024.
[nmap–sT–p1024–iL/root/Desktop/IP-Servidores].
 Escáner a los puertos UDP por defecto.
[nmap –sU –iL /root/Desktop/IP-Equipos-Red].
Algunos de los puertos abiertos en el servidor de (VoIP),
es debido a que el sistema operativo incluye algunos
servicios como: Internet Message Access Protocol
(IMAP), (SMTP), (POP3), entre otros. A través de estos,
los atacantes pueden realizar inyecciones de virus o
troyanos, por ejemplo: en el puerto 25, los troyanos que
se pueden ingresar son: ajan, antigen, email password
sender, happy99, kuang2, promail, shtrilistz, stealth,
tapiras, terminator, winPC winSpy, entre otros. [6], [7].
3
1.1.2 Enumeración de puertos en los equipos de
red.
 Escáner SNY a los puertos TCP por defecto.
[nmap –sS –iL/root/Desktop/IP-Equipos-Red]
 Escáner de puertos (UDP), por defecto.
[nmap –sU –iL /root/Desktop/IP-Equipos-Red]
En los equipos de red, se encontró el puerto 161 abierto
el cual puede ser utilizado, para obtener información de
los equipos, mediante software de enumeración.
1.2. Identificación de servicios
La mayoría de ataques en los equipos y servidores de la
red, se deben a las vulnerabilidades que presentan las
aplicaciones o servicios, ya sea, por defectos en la
configuración e implementación, o por las versiones
desactualizadas, cuya información suele ser útil, para los
atacantes, porque pueden reconocer los exploits, para
cada una de las vulnerabilidades encontradas, en las
versiones de servicios y/o aplicaciones.
1.2.1 Identificación de servicios de los equipos de
red y los servidores
La identificación de servicios, en los servidores, se lo
realizó por cada uno de los puertos, enumerados en el
escáner (SNY), el comando utilizado es el siguiente.
[nmap –v –A –T4 –iL /root/Deskop/IP-Servidores]
[nmap –v –A –T4 –iL /root/Desktop/Equipos-red]
1.3. Identificación de sistemas operativos.
Los puertos de comunicación de los equipos, en algunos
casos proporcionan servicios de acuerdo al (S.O), sin
embargo, se pueden descubrir vulnerabilidades de los
sistemas, en base a la configuración de los servicios que
vienen por defecto y errores en la programación de las
aplicaciones por la versión del sistema operativo. [8].
1.3.1. Identificación del sistema operativo de los
servidores y equipos de red.
En la siguiente tabla, se describen los (S.O) que se están
ejecutando en cada uno de los equipos, siendo de
importancia el servidor de voz y los equipos de red.
Tabla 3: Sistemas operativos en equipos de red y servidores.
EQUIPO IP S.O
Router 10.x.x.x Cisco IOS 12.X/11.x
Switch 3Com 10.x.x.x 3Com 4000 Version 2.02
Servidor VoIP 10.x.x.x Linux 2.6.9 - 2.6.30
Fuente El Autor.
1.4. Búsqueda y verificación de vulnerabilidades.
En la siguiente sección, se realiza la búsqueda de
vulnerabilidades, en los sistemas mencionados, que
permitirá corroborar la información descrita, para ello se
podrá utilizar herramientas libres como pagadas como
por ejemplo Nessus 6 o Kali Linux. [9].
Para la ejecución de esta técnica, se requiere un
diccionario, con el fin de efectuar las combinaciones
necesarias, hasta descubrir usuarios y contraseñas
correctas.
[hydra 10.x.x.x –L /root/Desktop/diccionario.txt
–P /root/Desktop/diccionario.txt –e ns –f http
get/en/login.html]

1.4.1. Vulnerabilidades en servidor de voz. 1.6. Testeo de denegación de servicios (DoS)

La siguiente imagen corresponde a un test realizado al En este apartado, se identifica los sistemas que son
servidor de VoIP del Hospital Isidro Ayora de Loja. vulnerables a ataques de degeneración de servicios, para
ello existen dos formas de hacerlo:

1.6.1. Ataque smurff y sny-flood, a través de

herramienta hping3.
En la red existe, gran cantidad de tráfico broadcast que no
es controlado, por esta razón se realiza el ataque Smurff,
al servidor de voz, obteniendo como resultado, la
inundación de la red, con paquetes broadcast, dejando
fuera de servicio al servidor de telefonía de (VoIP), con
los siguientes comandos. [9].
[# hping3 –i u20 –S –p 80 10.x.x.x.]
[#hping3 -1 –C 8 –K 0 –spoof 10.x.x.x –flood
10.x.x.x]

Fig. 3 Vulnerabilidades en el servidor de VoIP (2015).

Fuente: El Autor.

Vulnerabilidades encontradas por puerto y servicio.

Tabla 4: Lista de vulnerabilidades en el servidor de Voz.
PUERTO/ VULNERABILIDAD CVE EXPLOIT
PROTOCOL
O
La versión de Apache se 2011- 49303.c
ve aceptado por una 3192
443/TCP vulnerabilidad de
degeneración de
servicio.
El servidor Apache es 2009-
80/TCP vulnerable a ataques de 3095 Fig. 4: Servidor de Voz colapsado por ataque (DoS).
inyección de comandos Fuente: El Autor.
Fuente El Autor (2015).
B). SEGURIDAD EN LAS COMUNICACIONES
1.4.2. Vulnerabilidades en los equipos de red.
Los switch presentan una vulnerabilidad en el servidor Luego de haber conocido las vulnerabilidades, en los
(SNMP), que posee el nombre por defecto, de la medios de transmisión, es decir en los equipos de red y en
comunidad (pública), lo que se considera un riesgo, si un los servidores, en el siguiente apartado, se realiza un test
atacante logra acceder como administrador, debido a que para intentar vulnerar el servicio de (VoIP).
podrá conocer toda la información de los dispositivos de
1. Testeo de VoIP
la red, como la configuración de la misma.
A continuación, se detalla los niveles de control de
1.5. Descifrado de contraseña intercepciones en las comunicaciones, para esto se realizó
En este apartado se intenta buscar contraseñas, a través el testeo de la (VoIP), con el uso de la herramienta
de ataque de fuerza bruta, hacía las aplicaciones de los wireshark. El método empleado corresponde a un ataque
equipos de red y servidores. que permite registrar las llamadas durante el ataque.

4
La voz transmitida es almacenada en tres archivos con
formato .wav, tanto de emisor como del receptor. La
existencia de teléfonos en la (VLAN), de datos, permite
fácilmente la intercepción de llamadas.
Fig. 5 Captura de Llamada con Wireshark.
Fuente: El Autor.
Luego del análisis realizado, finalmente se presenta las
vulnerabilidades a las que está expuesta la red de (VoIP),
del Hospital Isidro Ayora de Loja.
1.1. Análisis del protocolo SIP.
En este punto se realizara el análisis de la llamada
capturada, cuyo fin es conocer cómo se transmiten los
paquetes por el protocolo (SIP) y (RTP), sin encriptación
alguna.
Fig. 6 Flujo de mensajes en una llamada VoIP:
Ventana Graph Analysis (Wireshark).
Fuente: El Autor (2015).
1.1.1. Detalle: del funcionamiento del protocolo
SIP
 En el recuadro rojo se establece la llamada, que
empieza con un mensaje (INVITE).
 En el recuadro azul se envía un mensaje de respuesta
(100 Trying), inmediatamente después de recibir la
solicitud (INVITE).
5
 En el recuadro amarillo se observa el mensaje de
respuesta (180 Ringing), “el terminal está
timbrando”.
 En el recuadro de color violeta se acepta la
comunicación, y se retransmite un mensaje de
respuesta (200OK), “atendí la llamada”.
 En el recuadro de color café, el usuario de destino
recibe un mensaje de confirmación (ACK), “atendí
la llamada”.
 En el recuadro de color purpura es donde se establece
la conversación mediante el envío de paquetes
(RTP), “audio/video (RTP) streams.
 En el penúltimo recuadro se establece la finalización
de la llamada, mediante el envío del mensaje de
solicitud (BYE) dentro del diálogo establecido por
(INVITE).
 En el último recuadro el usuario que recibe la
solicitud (BYE), envía una respuesta (200OK), para
confirmar la finalización de la sesión (SIP).
En la siguiente figura se presenta el encabezado de la
trama en el nivel de la capa Enlace señalada con el color
verde, es decir el protocolo utilizado es Ethernet.
Fig. 7 : Captura del mensaje INVITE.
Fuente: El Autor (2015).
A continuación vemos Internet Protocol resaltado con el
color amarillo con los datos de la cabecera del datagrama
IP: por ejemplo: dirección fuente: 192.168.1.xxx (IP de
la computadora, que generó el datagrama), dirección IP
destino: 192.168.1.xxx (servidor VoIP).
La capa de transporte resaltada con el color rojo, aquí se
presenta el encabezado con sus respectivos campos del
mensaje (UDP). Entre los campos de este mensaje (UDP)
se tiene: puerto origen: 5060, puerto destino: 5060, entre
otros.
Luego del análisis realizado finalmente se presenta las solventar estos incidentes y evitar la interrupción de sus
vulnerabilidades a las que está expuesta la red de (VoIP), servicios, por ende, las actividades propias de la
del Hospital Isidro Ayora de Loja. institución, significa una pérdida económica, caos entre
los usuarios y desprestigio para la casa de salud, al verse
Tabla 5: Lista de vulnerabilidades en la red VoIP.
perjudicada por dichos incidentes. [5], [10].
ATAQUE DESCRIPCIÓN
Puertos El servidor Asterisk (VoIP), cuenta puertos Tabla 6: Ataques con mayor incidencia en redes (VoIP).
innecesario abiertos producidos debido a la
s abiertos. configuración por defecto de Asterisk ACTIVOS DE COMUNICACIÓN
Descifrado La red (VoIP) es propensa a un descifrado Amenazas P I R
de de contraseñas por contar con contraseñas
contraseña por defecto o fáciles de descifrar, Puertos Revelación 2 4
por fuerza producidas por la configuración por innecesarios 2 Pérdida –Destrucción 1 2
bruta defecto de la central Elastix. abiertos Interrupción 2 4
Firewall El firewall de Elastix se encuentra Descifrado de Revelación 3 9
deshabilita deshabilitado, por lo que el servidor esta
contraseñas 3 Pérdida –Destrucción 1 3
do propenso a infinidad de ataques.
La red (VoIP) actualmente cuenta con el Interrupción 2 6
Análisis de protocolo (SIP sin TLS) lo que facilita la Revelación 3 6
tráfico captura de paquetes, de los cuales se puede Firewall 2 Pérdida-Destrucción 2 4
(VoIP) obtener los hash (MD5), de las deshabilitado Interrupción 3 6
contraseñas. Mediante el uso de una de las
múltiples herramientas que existen. Revelación 2 4
Análisis de
La red (VoIP), está expuesta a ataques de 2 Pérdida-Destrucción 2 4
tráfico (VoIP)
(DoS), por inundación (flooding), mismos Interrupción 2 4
Denegación que afectan la operatividad y los servicios, Revelación 1 2
de servicios estos ataques incluyen la inundación de Denegación de 2 Pérdida –Destrucción 2 4
(DoS) dispositivos telefónicos, con una serie de servicio
andanadas de paquetes (TCP), Interrupción 3 6
(SNY/UDP). Revelación 3 9
El servidor de (VoIP) del Hospital es (Eavesdroppi 3 Pérdida-Destrucción 2 6
(Eavesdrop propenso a ataques Eavesdropping tal ng) Interrupción 2 6
ping) como se lo demuestra en la captura de
audio de las llamadas a esta técnica Fuente: El Autor.
también se la denomina Man-in-the-
Middle (MitM). 4.1.1. Contramedidas para las vulnerabilidades
Fuente: El Autor. encontradas.
Una vez conocidas cuales son las vulnerabilidades que se
4. FASE 3: DESARROLLAR UNA ESTRATEGIA
encontraron en la red (VoIP), del Hospital Isidro Ayora
Y PLANES DE SEGURIDAD.
es necesario definir las contramedidas que se pueden
En esta fase, se desarrolla un análisis, para identificar el implementar, para poder mantener el sistema seguro, sin
nivel de riesgos de activos críticos, ante las amenazas olvidar que ninguno hará que el sistema tenga la
identificadas y en base a este, plantear las estrategias seguridad total deseada.
eficientes y necesarias para mitigar el riesgo.
Tabla 7: Ataques que se generan en la red de VoIP.
4.1. Proceso 5. Realizar un análisis de riesgo. ATAQUE DESCRIPCIÓN
Puertos La solución más apropiada en este caso es
El análisis de riesgos, se determina la rigurosidad de las innecesario cerrar los puertos innecesarios, podemos
amenazas y su impacto sobre los activos, en base a s abiertos. realizarlos a través de la configuración
criterios de evaluación: probabilidad y consecuencia. manual de iptables o con la herramienta
Mismos que se calculan mediante la siguiente formula: firewall de Elastix.
Para dar solución a esta vulnerabilidad se
Descifrado
𝑅𝑖𝑒𝑠𝑔𝑜 = 𝑃𝐴 ∗ 𝑀𝐷 debe cambiar los parámetros del archivo de
de
 PA = Probabilidad de Amenaza. configuración “sip.conf”, y se debe
contraseña
establecer contraseñas más robustas con un
 Md Magnitud de Daño. s (fáciles o
mínimo de 8 dígitos, combinados entre letras,
intuitivas).
A continuación, se realiza una valoración de los ataques números y caracteres especiales.
encontrados en la red (VoIP), del Hospital, con el fin de

6
 Debido a que la central brinda un módulo de
Firewall seguridad que incluye un Firewall es evidente
deshabilita y lógico que deberíamos usarlo para
do protegernos de una infinidad de ataques.
Para dar solución a este inconveniente se
(Eavesdrop debe implementar protocolos de seguridad
ping) (TLS o IPSec) los cuales garantizan la
integridad de la información debido a que se
transmiten por canales cifrados de
comunicación.
La solución a esta vulnerabilidad se
contrarresta con la implementación de
captura de protocolos de seguridad ya que actualmente
tráfico los paquetes no cuenta con seguridad alguna,
(VoIP) es decir, el texto se transmite por el protocolo
(SIP sin TLS) lo que facilita la captura de
paquetes, de los cuales se puede obtener los
hash (MD5), de las contraseñas, mediante el
uso de una de las múltiples herramientas que
existen.
El (DoS), se genera por las vulnerabilidades
descritos en los ítems anteriores, debido a
ello las soluciones son las mismas que se
Denegació utilizan para contrarrestar los ataques de los
n de ítems anteriores, además de ellos debe
servicios configurar o descargar la herramienta
(DoS) FAIL2BAN misma que actúa penalizando o
bloqueando las conexiones remotas que
intentan accesos por fuerza bruta
Fuente: El Autor.
4.2. Proceso 6. Desarrollo de la estrategia de
protección.
En esta sección se procede a realizar cada una de ellas
para poder contrarrestar o solucionar dichos incidentes,
de esta forma solventar esta brecha de seguridad existente
en la red (VoIP),
4.2.1. Implementación de (TLS) en Asterisk.
 Modificación del script functions.inc.php
En este archivo se asignan parámetros adicionales de
programación, para que acepte la configuración y no
altere la funcionalidad de Asterisk, esta modificación se
realiza en el script functions.inc.php que se encuentra
en el siguiente path:
#cd /var/www/html/admin/modules/core/.
En la línea 3800, se tiene los siguientes parámetros:
array($account,’deny’,$db>escapeSimple((isset($
_REQUEST[‘deny’]))?$_REQUEST[‘deny’]:’’),$flag+
+),
7
array($account,’permit’,$db>escapeSimple((isset
($_REQUEST[‘permit’]))?$_REQUEST[‘permit’]:’’),
$flag++),
A continuación de estas líneas se debe ingresar el
siguiente código:
array($account,’encryption’,$db>escapeSimple((i
sset($_REQUEST[‘allow’]))?$_REQUEST[‘allow’]:’’
),$flag++),
array($account,’transport’,$db>escapeSimple((is
set($_REQUEST[‘allow’]))?$_REQUEST[‘allow’]:’’)
,$flag++),
Luego en la línea 6014, del mismo archivo se tiene:
$tmparr[‘deny’] = array(‘value’ =>
‘0.0.0.0/0.0.0.0’=> 1);
$tmparr[‘permit’] = array(‘value’ =>
‘0.0.0.0/0.0.0.0’=> 1);
A continuación se agrega el siguiente código:
$tmparr[‘encryption’] = array(‘value’ => ‘no’,
‘level’ => 1);
$tmparr[‘transport’] = array(‘value’ => ‘udp’,
‘level’ => 1);
Con esto, se ha agregado dentro del archivo
sip_additional, los campos encryption y transport que
son utilizados, para la configuración de extensiones.
Se modifican los archivos /etc/hosts, asignando una
(IP) a un dominio, y el archivo /etc/sysconfig/network
en el cual se cambia el campo networking = no, por yes,
finalmente en el hostname, se debe ingresar la (IP) o
dominio tal como se indica continuación:
Fig. 8 Modificación del archivo host network indicando la
dirección o dominio del servidor.
Fuente: El Autor (2015).
 Configuración del (CA) en el servidor Asterisk.
Los scripts están dentro de la documentación de Asterisk,
cuyo path es el siguiente:
#cd /usr/share/doc/asterisk -1.8.20.0/contrib/
scripts
Para guardar la (CA), en el servidor se crea una carpeta
denominada “certs”, (dentro de la dirección antes
mencionada), ejecutando el siguiente comando:
. /ast_tls_cert –d certs –C 10.x.x.x –o
tesis.hial.com
Para el certificado de autorización, se debe crear una
clave para los siguientes archivos: ca.key, ca.crt,
tesis.hial.com.pem, tesis.hial.com.crt
Fig. 9 Archivos generados por las certificaciones
Fuente: El Autor (2015).
Luego se debe copiar los archivos generados a la carpeta
keys de Asterisk y darle los permisos de lectura o cambiar
de propietario, para que Asterisk los pueda cargar, esto se
realiza de la siguiente manera.
#cp certs/ca.crt /var/lib/asterisk/keys
#cp certs/tesis.hial.com.pem /var/lib
/asterisk/keys
#chown –R asterisk:asterisk /var/lib/asterisk
/keys/*
 Implementación del protocolo (TLS) en Elastix.
Para aplicar las modificaciones realizadas, se ingresa a
Elastix y se habilita el acceso al FreePBX no embebido,
esto se hace en la pestaña Security -> Advanced Options
-> Enable access to FreePBX -> ON, para habilitar este
campo se requiere de una autenticación, es necesaria para
loguearse en la FreePBX. Para ingresar en la (FreePBX),
se lo hace desde una nueva pestaña del navegador,
https://10.x.x.x/admin.
Fig. 10 Configuración de la red en la FreePBX.
Fuente: El Autor.
8
Una vez dentro, se debe ir a la sección Tools (ubicada en
la esquina superior izquierda) -> Asterisk SIP Settings,
desde aquí, se pueden editar las configuraciones
generales para SIP. Una vez hecho esto, aparece la
siguiente ventana, donde se debe configurar la (IP), de
salida (IP pública), la máscara y la red a la cual se está
conectado tal como se indica en la figura 8.
En la parte final de esta ventana, se encuentra el campo
denominado Other SIP Settings, en el cual se agregan los
parámetros descritos a continuación:
tlsenable=yes
tlsbindaddr=0.0.0.0
tlsdontverifyserver=yes
tlscertfile=/var/lib/asterisk/keys/tesis.hial.c
om-tesis.hial.com.pem
tlscafile=/var/lib/asterisk/keys/ca.crt
Para saber si los cambios se aplicaron correctamente, se
reinicia el servidor y se puede comprobar que Asterisk,
ahora también escucha el puerto (TCP-5061), con el
siguiente código:
#netstat –atunp | grep asterisk.
Fig. 11 Escucha del puerto 5061 en el servidor Asterisk.
Fuente: El Autor.
Para habilitar el soporte (TLS), en una extensión, el
campo transport se debe cambiar “UDP” por “TLS”, en el
campo encriptación se debe cambiar “no” por “yes”.
4.2.2. Creación de certificados para clientes.
Para crear certificados, de las extensiones locales se
hace lo siguiente:
#sh /usr/share/doc/asterisk-
1.8.20.0/contrib/scripts/
ast_tls_cert –m client –c
/etc/asterisk/keys/ca.crt –k
/etc/asterisk/keys/ca.key –C 10.x.x.x:3000 –O
“PRUEBA1” –d /etc/asterisk/claves/ -o 3000
 Implementación del protocolo (TLS) en los
terminales.
Para realizar la configuración en los terminales, se realiza
lo siguiente: teléfonos Yealink, se ingresa Account ->
Cuenta 1 -> Basic ->-> Cuenta 1 -> Basic -> Transport
TLS. Luego se activa (SRTP), en Account -> Cuenta 1 -
> Advanced -> Voice Encryption (SRTP) -> On.
Fig. 12 Configuración de TLS en el teléfono Yealink.
Fuente: El Autor.
Luego, se debe cambiar el puerto de registro, en lugar del
5060, se debe colocar el 5061, finalmente se carga los
certificados para poder hacer usos de (TLS), para ello se
debe descargar el archivo ca.crt para ello se debe ubicar
en la pestaña seguridad -> certificados confiados ->
seleccionar archivo -> cargar el certificado (extensión)
1000.key -> tal como se muestra en la siguiente imagen
y se debe aplicar los cambios, con ello se termina la
configuración del cifrado de voz en el servidor Asterisk.
Fig. 13 Cargar el certificado para la certificación
Fuente: El Autor (2015).
4.2.3. Asegurando el protocolo SSH
Con la configuración de este protocolo se estaría
resolviendo las vulnerabilidades de cracking de
contraseñas por fuerza bruta, en el servidor (VoIP), para
asegurar este protocolo debemos ingresar siguiente path
/etc/ssh/sshd_config, lo primero que haremos es
cambiar a la versión 2 del protocolo, la cual ofrece
mejores ventaja frente a versiones anteriores Si se desea
ingresar mediante una clave y no una por una password,
se debe descargar un clave privada con el siguiente
comando ssh-keygen, con esto se generan dos archivos,
9
uno de ellos con la extensión .pub, este se debe copiar a
la maquina remota y se debe activar la autenticación por
clave en el servidor con el siguiente comando
.ssh/authorized_keys para hacer valida esta
autenticación se desactiva el campo permit login no,
tal como se muestra en la siguiente imagen:
Fig. 14 Activación de la autenticación por clave.
Fuente: El Autor (2015).
Para el acceso se debe cargar la clave en PuTTy que fue
descargada previamente en el campo (SSH) ->Auth.
Finalmente se puede cambiar el puerto ssh para despistar
a usuarios mal intencionado en el campo port se cambia
el 22 que es por defecto por el que se desee (puertos no
definidos) y para el acceso con PuTTy se cambia el puerto
22 por que se asignó, finalmente se reinicia el archivo
para validar los cambios /etc/init.d/sshd restart.
4.2.4. Bloquear a las IP que hacen más de 5 logeos
erroneos:
Para realizar esta configuración se requiere la instalación
de una herramienta denominada (fail2ban), esta sirve
para evitar ataques de (DoS), funciona como un (IDS),
denegando el registro de un cliente si ha intentado
loguearse cierta cantidad de veces con datos erróneos
además se pueden configurar iptables como un firewall.
Fig. 15 Configuración del archivo jail.local
Fuente: El Autor (2015).
Para ello se abrir el archivo denominado jail.local dentro  Se deja pasar todo el tráfico en entrada destinado a
de los repositorios de fail2ban con el siguiente comando: los puertos udp que van de 10000 a 20000, tráfico
#vim /etc/fail2ban/jail.local en este debe ser (RTP):
configurado como se muestra en la imagen 13.
iptables -A INPUT -p udp –dport 10000:20000
-j ACCEPT
4.2.5. Activación del firewall de Elastix
Una vez establecidos todos los puertos necesarios para
Elastix cuenta con un firewall basado en Linux Asterisk, se rechaza el resto de tráfico:
(IPTABLES), donde se pueden configurar reglas de
iptables -A INPUT -j REJECT
seguridad, para minimizar el riesgo de accesos indebidos iptables -A FORWARD -j REJECT
al servidor, así como restringir las redes IP que tendrán
acceso a los servicios de telefonía que el servidor Elastix Comprobamos las reglas creadas y las guardamos:
provee para ingresar damos clic en la pestaña -> Security, iptables -L
luego aparece la pantalla del Firewall, damos clic en la service iptables save
service iptables start
opción -> Activate Firewall. En el cual todas las reglas
están numeradas y activas para permitir todo. Para terminar hay que configurar Asterisk para que use
los puertos (UDP) desde 10000 hasta 20000 para el
Se debe editar las siguientes reglas: 10 (SSH), 12 (HTTP) protocolo (RTP): para ello se modifica el archivo de
y 15 (HTTPS). Lo que se pretende con esta configuración configuración del (RTP): sudo vim
es permitir el acceso únicamente desde una sola dirección /etc/asterisk/rtp.conf
(IP), se ingresa la dirección (IP) y la máscara de subred.

Es recomendable colocar primero la regla para (SSH). En

la regla 12 es el mismo procedimiento en la 15 se debe
cambiar (HTTP) por (HTTPS) una vez editado nos queda
de la siguiente manera:

Fig. 17 Configuración de la regla 10 del firewall de Elastix

Fuente: El Autor (2015).

Se guardan los cambios efectuados y se recarga la

configuración de Asterisk tal como se muestra en la
Fig. 16 Reglas activadas en el firewall de Elastix imagen 18: sudo /etc/init.d/asterisk reload
Fuente: El Autor (2015).

4.2.6. Cerrar puertos innecesarios abiertos 4.3. Comprobación de la implementación de

propuesta de seguridad.
Para cerrar los puertos se debe trabajar con iptables para
proteger el servidor de accesos no autorizados y abrir los Una vez realizadas las configuraciones de seguridad y
puertos que necesita el servidor asterisk. Para instalar haber establecido un canal cifrado de comunicaciones, es
iptables: En Fedora, Centos, RedHat: sudo yum install necesario comprobar que dicha seguridad, está
iptables cumpliendo de forma eficiente con su trabajo, para ello
se realiza algunas configuraciones en wireshark y se
A continuación las reglas a definir en iptables: intenta capturar los protocolos (SIP o RTP), cuyos
intentos son inútiles debido a que la información ya se
 Se deja pasar todo el tráfico en entrada destinado al trasmite dentro de (TLS), el cual se puede apreciar en la
puerto udp 5060 (protocolo SIP): siguiente imagen:
iptables -A INPUT -p udp –dport 5060 -j
ACCEPT

10

Fig. 18 Cuerpo del protocolo TLS.
Fuente el Autor (2015)
Luego de varios intentos se capturara una llamada la cual
no se escuchar ningún audio, ya que el audio puede ser
decodificado por la extensión de la dirección de destino
cuyo certificado de seguridad es asignado desde el
servidor al cliente.
Fig. 19 Captura de audio cifrado con Wireshark.
Fuente: El Autor.
IV. CONCLUSIONES
Con la configuración e implementación del protocolo de
seguridad (TLS), en el servidor de Asterisk se
contrarrestó ataques como el eavesdropping (MitM), es
decir, se redujo drásticamente las escuchas indebidas en
la red, ya que (TLS) genera un túneles cifrados para la
transmisión de la comunicación entre los dos extremos
(origen, destino) y de esta manera proteger la integridad,
disponibilidad y confidencialidad de la información.
Las soluciones que se implementaron en el archivo
sip.conf, tuvieron éxito porque se logró bloquear a
usuarios anónimos que intentaban acceder al sistema, con
el fin de obtener información del servidor, de esta manera
se ha logrado contrastar las vulnerabilidades encontradas,
como la (DoS), sin embargo, es importante pensar que
11
estas no son las únicas soluciones posibles y que no habrá
medida de seguridad que brinde el 100%, de fiabilidad,
pero existen métodos para corregir estas vulnerabilidades.
Los procesos de la metodología (OCTAVE) permiten
llevar a cabo un proceso minucioso y sistemático,,
mientras que la metodología (OSSTMM) dice como se
tiene que realizar una evaluación de seguridad, razón por
la cual resulta satisfactorio la fusión de estas dos
tecnologías, ya que juntas permiten realizar una
evaluación completa a los activos de una organización.
Por medio de estas metodologías se conoció los puntos
críticos en la red (VoIP) y se supo cómo evaluarlos, de
esta forma se determinó la probabilidad de amenazas y
los ataques a los que están sujetos estos activos, luego se
los clasifica de acuerdo a la magnitud e impacto; los
riesgos más altos son utilizados para determinar una
estrategia de seguridad cuyo fin es contrarrestar dicha
vulnerabilidad y evitar ataques que puedan degradar el
servicio de la tecnología (VoIP).
IV. BIBLIOGRAFÍA.
[1] J. A. C. Falcón, VoIP : la telefonía de Internet, España: Editorial
Paraninfo, 2010.
[2] M. J. L. Campos, SEGURIDAD EN VOZ SOBRE IP, Valparaíso:
Editorial FUGA , 2010..
[3] P. Herzog, «OSSTMM 2.1.,» INSTITUTE FOR SECURITY AND OPEN
(ISECOM), vol. II, nº 8, pp. 12-23, 2003.
[4] A. Fernández-Laviada, La gestión del riesgo operacional, Madrid:
Infoprint, S.L, 2010.
[5] M. Meucci y A. Muller, OWASP Testin Guide, Nueva York: Penguin
Random House U.S.A - New York, NY, 2010.
[6] A. Lopez, El portal de ISO 27001 en Espanol., Madrid, 2010.
[7] B. Rathore, Information Systems Secury Assessment Framework,
Colorado: Social Science Research Council, 2009.
[8] J. M. H. Moya, Redes y servicios de telecomunicaciones, Madrid:
Thomson Editores Spain S.A, 2006.
[9] D. M. V. Z., Ingeniería de Software Avanzada, Valparaiso: Editorial
Universitaria, 2010.
[10] D. R. M. José Manuel Huidobro, Tecnología VoIP y tecnología IP: la
telefonía por Internet, Puebla: Alfa Omega Grupo Editor, 2010.
[11] M. A. R. GUTIERREZ, «“VULNERABILIDADES DE LAS REDES
TCP/IP Y PRINCIPALES MECANISMOS DE SEGURIDAD”,» 2009.
[En línea]. [Último acceso: Junio 2015].
[12] J. G. T. Ayuso, Protocolos criptográficos y seguridad en redes, Cantabria:
Graficas Calima S.A, 2003.
[13] J. Oliva, «SEGURIDAD EN ELASTIX,» 2 JULIO 2012. [En línea].
Available: https://jroliva.wordpress.com/2012/07/02/modulo-de-
seguridad-en-elastix-restringir-el-acceso-al-entrorno-web/. [Último
acceso: 13 Novienmbre 2015].
Cristian Calderón, egresado de la
carrera de Ingeniería en Sistemas de la
Universidad Nacional de Loja periodo
2010-2015, Posee conocimientos de
Servidores Linux, mantenimiento y
reparación de computadoras. Áreas de
interés seguridad informática, redes e
inteligencia artificial y OS Linux.
Provincia de Loja, Ciudad Loja, Ecuador, 2015.