Protección de recursos críticos en las redes de Telecomunicaciones

Publicado el 22 May 2014

Peter Snygg, solution manager de Blue Telecom Consulting

La seguridad de la red móvil es un asunto de máxima prioridad para los operadores que está protagonizando todas las conferencias de seguridad de red y otros eventos del sector. Esto se debe, fundamentalmente, al hecho de que las amenazas de seguridad y los ataques están aumentando tanto en número como en sofisticación. En una reciente conferencia internacional de seguridad de red se discutieron a fondo una serie de temas alrededor de la política de seguridad de la red móvil. La impresión general era, sin embargo, que el problema de seguridad parecía estar centrado casi exclusivamente en los dispositivos móviles y sus particulares aspectos de seguridad, sin prestar la misma atención a las implicaciones de pasar de una red de conmutación a una red IP y, por lo tanto, a la exposición de la red “core” a estos nuevos tipos de amenazas.

Aunque es cierto que los problemas de seguridad de los dispositivos móviles es un capítulo muy relevante, hay que ser conscientes de que tan solo supone una de las áreas que deben ser consideradas cuidadosamente desde una perspectiva de seguridad de red integral, y que la transición a las redes basadas en IP exige nuevas herramientas y soluciones.

Así, los operadores móviles se enfrentan a nuevos riesgos de seguridad y vulnerabilidades, tanto por esa transición a las redes IP como por la introducción de nuevos servicios, como la voz sobre LTE (VoLTE). En este nuevo escenario, resulta esencial implantar un sistema eficaz y detallado de detección y análisis de amenazas de red en tiempo real, para poder, de esta forma, proteger los recursos críticos de la red. De hecho, algunos operadores asiáticos y americanos que operan con redes muy avanzadas y han implementado VoLTE ya han introducido con éxito herramientas y soluciones específicas para ello.

Desde la aparición de los primeros servicios de VoIP basados en los estándares abiertos de Protocolo de Iniciación de Sesión (SIP), se está trabajando de forma continua para hacer frente a varios problemas de seguridad. El objetivo principal ha sido evitar distintos tipos de ataques y amenazas, tales como las tormentas de señalización y mensajes maliciosos, definiendo y poniendo en práctica medidas contra ellos. Las redes basadas en la arquitectura IMS (IP Multimedia Subsystem) cuentan con varios mecanismos de seguridad y autenticación definidos por la organización de estandarización 3GPP, con el fin de proteger tanto la red de acceso como los dominios de red y el plano de usuario. Los SBCs (Session Border Controllers), situados en los accesos y en las fronteras de las redes, protegen a las mismas de ataques maliciosos y de denegación de servicio, a la vez que realiza funciones de nodos de política y otras muchas funciones.

En la actualidad, los operadores móviles europeos están preparando y verificando sus redes para la introducción de servicios de voz y video sobre redes LTE. Sus esfuerzos se centran en verificar la interoperabilidad y la seguridad basada en perfiles de servicio IMS, definiendo un conjunto mínimo de características obligatorias. Para poder proteger tanto la red IMS como VoLTE contra los sofisticados ataques y amenazas actuales y futuros, existe la necesidad de detectar anomalías en la señalización que podrían conducir a una potencial amenaza de seguridad o a una inestabilidad incipiente. Para conseguirlo, tanto el encabezado como el cuerpo de cada mensaje deben ser analizados en detalle. Otro reto es detectar ataques iniciados por un pequeño número de mensajes maliciosos enviados a diferentes puntos de entrada en la red que podrían dar lugar a una denegación de servicio más adelante.

Para ser capaces de analizar a fondo las posibles amenazas en tiempo real y las variaciones en los niveles de tráfico, un sistema de detección de intrusiones (IDS) compatible con VoIP/IMS podría proporcionar una visión de la situación actual y, automáticamente, crear una lista de mensajes de anomalías y activación de alarmas. Este sistema IDS ayudaría a los operadores no solo a aumentar el nivel de protección y a automatizar acciones, sino también a acortar la fase de detección de problemas y de análisis, permitiéndoles, así, actuar antes de que afecten a sus clientes.

A la hora de evaluar diferentes opciones para la implementación de un sistema IDS compatible con VoIP/IMS hay que tener en consideración varios factores, tales como la ubicación del mismo dentro de la red. Otros factores son la capacidad y el rendimiento del sistema requeridos para realizar la inspección de paquetes a bajo nivel (DPI) de todas las cabeceras y cuerpos de los mensajes. Los recursos de red existentes pueden tener limitaciones de rendimiento o carecer de la funcionalidad de monitorización en tiempo real necesaria. Otro factor importante es la posibilidad de detectar síntomas de amenazas a la seguridad en una fase temprana, por ejemplo, ataques arbitrarios.

Una solución no intrusiva basada en un único controlador centralizado con sondas distribuidas tiene la ventaja de la detección de patrones de tráfico en múltiples puntos, también dentro de una red IMS. Eso permitiría una detección temprana de síntomas de amenazas como, por ejemplo, ataques arbitrarios.

En caso de un sistema VoIP/IMS en funcionamiento, se recomienda, como un primer paso, una auditoría de seguridad para evaluar el nivel de riesgos y vulnerabilidad. Esto proporcionaría un análisis de riesgos detallado con una clasificación por gravedad.

Si el operador se encuentra en la fase de planificar, seleccionar o implementar una nueva infraestructura de IMS, otra opción es realizar pruebas de seguridad antes de tomar las decisiones finales.

Basándose en los resultados de la auditoría o de la pruebas de seguridad, respectivamente, el operador puede llevar a cabo un plan de acciones con el fin de implementar las contramedidas adecuadas frente a las amenazas y vulnerabilidades identificadas.

¿Qué te ha parecido este artículo?

Tu opinión es importante para nosotros.

S
Peter Snygg

Artículos relacionados

Artículo 1 de 2