PDF de programación - Seguridad en Internet Multimedia Subsystem (IMS)

Seguridad en Internet Multimedia Subsystem (IMS)



Seguridad en Internet Multimedia Subsystem (IMS)

Alejandro Corletti Estrada

[email protected]



Resumen


Las redes de voz están orientadas a la conexión y al establecimiento de circuitos. Las redes de
datos, están orientadas a la flexibilidad de sus rutas y a la entrega de paquetes. Hoy en día todas
las operadoras tienen su core como red de datos.

Al implantar definitivamente la "paquetización de voz" desde el
acceso mismo (terminal móvil o teléfono fijo), es decir con VoLTE
(Voz sobre LTE) en la red móvil y para los accesos por medio de
fibra óptica en la red fija, estas conversaciones ingresan a la red ya
como paquetes.

Una red de paquetes no tiene ninguna razón para mantener un flujo constante en ambos sentidos.
Esto sí se viene realizando para las redes de voz convencionales desde hace más de 30 años con el
sistema de señalización 7 (SS7) presentado en la última charla. Tal cual vimos en la misma, este
SS7 ya no se puede implementar en redes de paquetes, para las mismas su reemplazo es el
protocolo Session Initiation Protocol IP (SIP).
Para resumir estos conceptos introducto-
rios, cuando ingresamos por VoLTE o por
fibra nuestra voz paquetizada, a la par de
estos paquetes que contienen voz,
también se generan paquetes SIP que son
los responsables de "señalizar" estas
El diálogo SIP
conversaciones.
fundamentalmente se realiza contra esta
Infraestructura que se llama IMS.
Ahora bien, con los avances tecnológicos, hoy en día no solo nos importa la voz, sino varios tipos de
diálogos más, que los englobamos en la categoría de "multimedia". IMS está
diseñado para gestionar todo este tipo de "diálogos multimedia" en las sesiones
de un usuario a otro(s) usuario(s), o de un usuario a un servicio.



Lo interesante de todo esto es que ahora,
si logro ser "root" de mi teléfono móvil o
del router de fibra óptica de mi casa, ya
estoy siendo parte de esta comunicación
directa hacia la infraestructura IMS...
¿y la operadora lo tendrá bien o mal
configurado/bastionado?.........
de esto hablaremos en este Webinar.

Alejandro Corletti Estrada



Página 1


Seguridad en Internet Multimedia Subsystem (IMS)



Índice



1. Por qué hoy hablamos de IMS.
2. Convergencia Fija móvil y el modelo de capas IMS.
3. Focalicemos el problema.
4. Seguridad en el acceso.
5. Análisis de seguridad IMS desde un acceso fijo y desde uno móvil.
6. Empleo de herramientas.

Desarrollo

1. Por qué hoy hablamos de IMS.


En la actualidad, toda operadora de voz y datos, en realidad está obligada a mantener dos
tipos de redes:
- Red de conmutación de circuitos (PSTN: Public Switched Telephone Network).
- Red de conmutación de paquetes (PSDN: Packet Switched Data Network).
Los “datos” hoy superan ampliamente al tráfico de voz, por lo que día a día las operadoras
necesitan invertir más y más en redes de paquetes de alta velocidad con altas exigencias de
calidad de servicio, y a su vez mantener “viva” la PSTN, sobre la cual no se desea invertir
mucho más, por no tener sentido pues disminuye día a día.
La historia de la transmisión de voz por medio de las redes de telecomunicaciones en sus
más de cien años, se basó SIEMPRE en mantener el sincronismo, este fue el pilar que la
sustentó sin duda. Se montaban enormes infraestructuras para poder hacer viajar la voz,
como si fuera el metro circular de Madrid (la línea gris), pasando vagones cada “n” mili o
microsegundos, a los cuales subían o bajaban sus pasajeros (voz) en cada estación, SIEMPRE,
cada “n” intervalos de tiempo. En lo personal, siempre se me representó esta como la mejor
analogía.
Las redes de paquetes, nacen como un “desorden organizado” de envío y recepción de datos
por medio de rutas que pueden variar según un amplio juego de opciones, de envíos y
recepción, que no tienen por qué estar en orden, de “delay” variables, de paquetes cuyo
tamaño no es fijo, de conexiones punto / multipunto, etc… Es decir, un verdadero CAOS, y
concretamente así lo veíamos todos lo que veníamos del mundo de la telefonía…. ¡¡¡ Esto no
va andar!!!..... pero como el chiste à ¡Andó! (o anduvo, si somos muy castellanos y poco
graciosos).

Alejandro Corletti Estrada



Página 2


Seguridad en Internet Multimedia Subsystem (IMS)



1

2

10-2

Estas redes de paquetes, aumentaron tanto y tanto su velocidad en pocos años, que hoy en
día un sencillo paquete que transfiera una voz digitalizada, puede ser enviado a 10.000 km
de distancia, si falla volverlo a enviar, y se produce un error, tomar otra ruta, enviarlo
nuevamente, cien, mil o diez mil veces y todo esto sin superar los 400 milisegundos de
demora que suele ser el umbral en el cual una conversación de voz comienza a degradarse.
Hay un hecho muy significativo y es que el ancho de banda de las redes actuales de paquetes
de las operadoras telefónicas permiten garantizar determinados patrones clave.
GSMA estandarizó un parámetro fundamental denominado “Identificador de clase de QoS”
(QCI) que especifica el nivel de latencia y pérdida aceptable para diferentes tipos de tráfico,
como se muestra en la siguiente figura:
Retardo de
QCI
paquetes
100 mseg

Pérdida de
paquetes

Tipo de
portador

Llamada VoIP

Prioridad

Ejemplo

2

3

4

5

6

7

8

9



GBR



No GBR

4

3

5

1

6

7
8

9

150 ms

50 mseg

300 ms

100 mseg

300 ms

100 mseg

300 ms



10-3

10-6

10-3

10-6

Tabla 1: QCI

Llamada de video

Juegos en línea (en tiempo real)

Transmisión de video por secuencias

Señalización IMS

Video, servicios basados en TCP, por ejemplo:
correo electrónico,

"chat", ftp, etc.

Voz, video, juegos interactivos

Video, servicios basados en TCP, por ejemplo:
correo electrónico,

"chat", ftp, etc.


GBR (Guarranty Bit Rate) como su nombre lo indica implica que la red debe garantizar una
tasa “constante” de entrega de bits, y por el contrario No GBR no debe hacerlo, pero en
ambos casos se debe cumplir un “retardo de paquetes” (delay) y una tasa de pérdida de los
mismos inferior a lo que para cada línea se expone en la tabla. Si prestamos atención a eta
tabla, podemos notar que, en el caso de nuestro especial interés (paquetes de voz), el
retardo que debe cumplir cualquier tipo de comunicación de voz es muy inferior a los 400
ms que acabo de mencionar.
Las actuales redes de telecomunicaciones en las grandes operadoras están en capacidad de
ofrecer estos valores sobradamente, con lo que ya no es necesario seguir invirtiendo en dos
redes paralelas (PSTN y PSDN) pues con una sola de ellas será suficiente en pocos años.
Para que podamos ofrecer TODOS los servicios actuales de telecomunicaciones a través de
la PSDN es imprescindible contar con una robusta infraestructura de IMS.

IP y VoLTE, 1.6 NGN (Next Generation Network) y 1.7. IMS (IP Multimedia Subsystem) de
por lo que no continuaremos ampliándolo en este texto.

mi libro “Seguridad en Redes” (que puede descargarse gratuitamente en: www.darFe.es),

NOTA: Todos estos conceptos están desarrollados en detalle en los puntos 1.5. Voz sobre



Alejandro Corletti Estrada



Página 3


Seguridad en Internet Multimedia Subsystem (IMS)



Lo que sí deseo remarcar es que las características principales de los servicios IP multimedia
que IMS hace posible son las siguientes:

• La comunicación orientada a sesión de un usuario a otro(s) usuario(s), o de un usuario

a un servicio.
La comunicación en tiempo real o diferido.

•
• Las sesiones IP multimedia compuestas por flujos y contenidos multimedia diversos,
con un nivel adecuado de Calidad de Servicio para vídeo, audio y sonido, texto,
imagen, datos de aplicación, etc.

• La identificación de usuarios, servicios y nodos mediante URIs (Universal Resource
Identifier), que aumenta la usabilidad de los servicios de cara a los abonados. Éstos
ya no tienen que manejar números de teléfono imposibles de recordar, sino nombres
al estilo de servicios Internet, como el correo electrónico.



2. Convergencia Fija móvil y el modelo de capas IMS.


El tema clave de este punto se encuentra en el protocolo SIP. El día que logre apagarse
definitivamente SS7 (Sistema de Señalización 7) del que hablamos en el último Webinar, el
mundo se señalizará por SIP, con todas las ventajas que esta familia está demostrando
(integrar audio, video, multiconferencia, servicios de valor agregado, mensajes, mail, web,
etc.).
La arquitectura de IMS es independiente de la red de acceso, pero para ofrecer la totalidad
de los servicios que posee IMS, es necesario garantizar los valores que expusimos en la tabla
del punto anterior de extremo a extremo (e2e). Por esta razón es que en estos días la voz
sobre IP a nivel operadora de servicios de voz y datos, sólo se ofrece a través de “VoLTE”
para los acceso móviles y a través de acometidas con fibra óptica para los accesos de la red
fija. También encontraremos servicios a través de accesos fijos de empresas o “WiFi” para
teléfonos móviles en zonas de gran afluencia (aeropuertos, terminales, centros comerciales),
cabe aclarar que este último siempre y cuando tengamos “VoLTE” en nuestro teléfono y
operadora y en vez de conectarme a través de la antena 4G, lo haga por medio de WiFi.
Cada una de estas tecnologías, accede a la infraestructura de IMS por caminos diferentes,
los cuáles los desarrollaremos más adelante, pero lo que sí es importante destacar es que
los caminos diferentes son los de “señalización”, es decir los paquetes “SIP”, luego los
paquetes de voz (en general RTP: Real Time Protocol), seguirán la ruta que esta señalización,
junto a los diferentes nodos de la arquitectura IMS