Tabla de contenido
Publicidad
9.31.2 VoIP seguro (SRTP)
Protocolo de transporte seguro en tiempo real (SRTP) se refiere a la aplicación de cifrado y/o autenticación adicionales a
las llamadas VoIP (SIP y H.323). SRTP se puede aplicar entre teléfonos, entre extremos de una troncal IP o en varias
otras combinaciones. Esta opción se admite con la versión 6.x aunque los campos para configurar esta función ya se
podían ver en versiones anteriores
Los siguientes métodos de seguridad pueden ser parte de SRTP:
· Cifrado
El cifrado se puede aplicar tanto a la parte de voz de la llamada (el flujo RTP) como a la señal de control asociada
con la llamada (el flujo RTCP). El valor predeterminado es aplicar el cifrado sólo al flujo RTP. Los dispositivos
pueden admitir múltiples métodos de cifrado y negociarán el método a utilizar a partir de los que admitan durante
el configuración de la llamada. El sistema Avaya Branch Gateway admite los siguientes métodos de cifrado:
· SRTP AES CM 128 SHA1 80: Advanced Encryption Standard (AES) con claves de 128 bits en modo contador
(CM) con clave de hashing SHA-1 (Secure Hash Algorithm).
· SRTP AES CM 128 SHA1 32: Advanced Encryption Standard (AES) con claves de 128 bits en modo contador
(CM) con clave de hashing SHA-1 (Secure Hash Algorithm).
· Autenticación
La autenticación se puede aplicar a la parte de voz de las llamadas (el flujo de RTP) y/o a la señal de control
asociado con la llamada (el flujo RTCP). Las acceiones predeterminados para SRTP son aplicar cifrado al flujo de
RTP y autenticación al flujo de RTCP. La autenticación se aplica después del cifrado para que los paquetes puedan
ser autenticados en el extremo remoto sin tener que ser primero decodificados.
· El método que se utiliza para el intercambio inicial de claves de autenticación durante la configuración de la
llamada depende de si la llamada está utilizando SIP o H.323. El sistema Avaya Branch Gateway utiliza SDESC
para llamadas SIP y H235.8 para llamadas H.323.
· Debido a la naturaleza histórica de los protocolos SIP y H.323, algunas partes de la configuración de la
llamada se envían siempre como texto sin cifrar. Por esa razón, SRTP sólo es admitido cuando se utiliza un
método de adición, tal como TLS o un túnel VPN, para establecer una trayectoria de datos segura antes de
configurar la llamada.
· Protección contra ataques a la repetición
Un ataque a la repetición es cuando alguien intercepta los paquetes y luego intenta utilizarlos para una denegación
de servicio o para obtener acceso no autorizado. Protección de repetición registra la secuencia de paquetes ya
recibidos; si se recibe de nuevo, se ignora. Si se ha recibido con anterioridad. Si los paquetes llegaran fuera de un
rango de secuencias especificado, el dispositivo de seguridad los rechazará. Todos los paquetes de un flujo (RTP y
RTCP) tienen un número de índice secuencial; sin embargo los paquetes podrían no ser recibidos en orden
secuencial. SRTP protege contra ataques a repeticiones utilizando una ventana de reproducción en movimiento que
contiene los números de índice de los últimos 64 paquetes autenticados recibidos o esperados. Cualquier paquete
recibido que tenga un índice más antiguo que el de la ventana actual se ignora. Sólo los paquetes con un índice
por delante de la ventana o dentro de la ventana pero no ya recibidos son aceptados. Para los flujos RTP y RTCP
se utiliza protección de repetición separada.
· Reautenticar
Reautenticar es el envío de nuevas claves de autenticación a intervalos regulares durante una llamada segura.
Esta opción no es admitida por el sistema Avaya Branch Gateway, que simplemente envía claves de autenticación
al inicio de la llamada.
Las sesiones SRTP pueden utilizar medios directos entre los dispositivos o pueden ser retransmitidas a través del sistema
Avaya Branch Gateway. En algunos escenarios el sistema Avaya Branch Gateway puede ser uno de los extremos de la
parte SRTP de una llamada que luego continúa a un destino no SRTP.
· Si tanto el autor de llamada como el destino requieren SRTP
Se efectúa una llamada directa de medios si fuera admitida, utilizando SRTP. Si Direct Media no está admitido, la
llamada se retransmite a través del sistema Avaya Branch Gateway. En cualquier caso, los parámetros de SRTP se
negocian de extremo a extremo con el sistema Avaya Branch Gateway que los traduce y reenvía de un extremo al
otro extremo si fuera necesario.
· Si sólo el iniciador o el destino requieren SRTP
Se establecerá una llamada no directa de medios con SRTP negociado entre el sistema Avaya Branch Gateway y el
participante que requiere SRTP.
· Llamadas de emergencia
Las llamadas de emergencia desde una extensión no son bloqueadas, incluso si SRTP fuese requerida pero no
puede ser establecido.
Las llamadas que utilizan SRTP no utilizan ninguna indicación especial en el teléfono del usuario. Las funciones de llamada
normales (conferencia, transferencia, etc) siguen estando disponibles para el usuario. La única indicación especial que se
aplica la constituyen dos tonos cortos reproducidos dos veces cuando aparece por primera vez una alarma de repetición
de ataque durante una llamada. Las alarmas SRTP y los detalles sobre cuándo se está utilizando SRTP se muestran
mediante las aplicaciones System Status Application y System Monitor.
Avaya Branch Gateway Manager 10.0
B5800 Branch Gateway
Página 804
15-601011 Número 29r (11/9/2012)
Publicidad
Tabla de contenido
