Administración de seguridad
utiliza RTP. Si se utiliza la configuración Aplicado, y SRTP no es compatible con el otro
extremo, no se establece la llamada.
La configuración de nivel de sistema se puede anular en la línea troncal o a nivel de
extensión. Esto se puede utilizar para casos especiales donde la configuración de la línea
troncal o la extensión debe ser diferente de la configuración del sistema.
Si la configuración de nivel de sistema es Aplicado, y hay dispositivos que no admiten SRTP
conectados al sistema, su configuración de nivel de extensión debe ser Deshabilitado o
fallarán las llamadas. Esta configuración adicional habitualmente no se requeriría si la
configuración de nivel de sistema es Mejor esfuerzo.
SRTP se admite en líneas SIP, líneas SM y líneas IP Office. SRTP no es compatible con las
troncales IP H.323.
RTCP cifrado
IP Office admite RTCP sin cifrar, de manera predeterminada. Este parámetro predeterminado
es compatible con la mayoría de los terminales Avaya que actualmente no admiten RTCP
cifrado. En la medida de lo posible, cualquier tipo de terminal que utilice SRTP con IP Office
debería utilizar RTCP sin cifrar para ser coherente con los demás terminales a fin de permitir
los medios directos.
IP Office admite el cifrado de RTCP como opción configurable. Además de la configuración de
nivel de sistema, puede activarse a nivel de línea troncal y de extensión. Por lo tanto, el
cifrado RTCP se puede configurar como una excepción para una entidad que solo admite
RTCP cifrado. En tal caso no habrá SRTP de medios directos entre esa entidad y una que no
admita RTCP cifrado, e IP Office retransmitirá los medios de SRTP.
Autenticación
La autenticación se puede aplicar a la parte de voz de las llamadas (el flujo de RTP) y/o a la
señal de control asociado con la llamada (el flujo RTCP). De manera predeterminada, IP
Office admite el cifrado de RTP, la autenticación de RTP y la autenticación de RTCP. La
autenticación se aplica después del cifrado para que los paquetes puedan ser autenticados en
el extremo remoto sin tener que ser primero decodificados.
• El método que se utiliza para el intercambio inicial de claves de autenticación durante la
configuración de la llamada depende de si la llamada está utilizando SIP o H.323. El
sistema IP Office utiliza SDESC para llamadas SIP y H235.8 para llamadas H.323.
• SRTP solo es admitido cuando se utiliza un método de adición, tal como TLS o un túnel
VPN, para establecer una trayectoria de datos segura antes de configurar la llamada.
• Un ataque a la repetición es cuando alguien intercepta los paquetes y luego intenta
utilizarlos para una denegación de servicio o para obtener acceso no autorizado. La
protección a la repetición graba la secuencia de paquetes ya recibidos. Si un paquete se
recibió previamente, se ignora. Si los paquetes llegaran fuera de un rango de secuencias
especificado, el dispositivo de seguridad los rechazará. Todos los paquetes de un flujo
(RTP y RTCP) tienen un número de índice secuencial; sin embargo los paquetes podrían
no ser recibidos en orden secuencial. SRTP protege contra ataques a repeticiones
utilizando una ventana de reproducción en movimiento que contiene los números de
índice de los últimos 64 paquetes autenticados recibidos o esperados. Cualquier paquete
recibido que tenga un índice más antiguo que el de la ventana actual se ignora. Sólo los
paquetes con un índice por delante de la ventana o dentro de la ventana pero no ya
recibidos son aceptados. Para los flujos RTP y RTCP se utiliza protección de repetición
separada.
• Reautenticar es el envío de nuevas claves de autenticación a intervalos regulares
durante una llamada segura. Esta opción no es admitida por el sistema IP Office, que
simplemente envía claves de autenticación al inicio de la llamada.
Febrero de 2019
Administración de la plataforma IP Office
¿Comentario sobre este documento? infodev@avaya.com
™
de Avaya con Manager
118