Saltar al contenido principal

Documentación de Cumplimiento de Intercepción ANSSI R226

Propósito del Documento: Este documento proporciona especificaciones técnicas requeridas para la autorización ANSSI R226 bajo los Artículos R226-3 y R226-7 del Código Penal Francés para el Servidor de Aplicaciones OmniTAS IMS.

Clasificación: Documentación de Cumplimiento Regulatorio

Autoridad Objetivo: Agence nationale de la sécurité des systèmes d'information (ANSSI)

Reglamento: R226 - Protección de la Privacidad de la Correspondencia y la Intercepción Legal

1. ESPECIFICACIONES TÉCNICAS DETALLADAS

1.1 Ficha Técnica Comercial

Nombre del Producto: Servidor de Aplicaciones OmniTAS IMS
Tipo de Producto: Servidor de Aplicaciones de Telecomunicaciones (TAS)
Función Principal: Procesamiento de llamadas IMS (IP Multimedia Subsystem) y gestión de sesiones
Protocolos de Red: SIP, Diameter, HTTP/HTTPS, SS7/MAP
Modelo de Despliegue: Aplicación de servidor en las instalaciones

Capacidades Principales

Procesamiento de Llamadas:

  • Funcionalidad de proxy y B2BUA del Protocolo de Inicio de Sesión (SIP)
  • Procesamiento de Criterios de Filtro Inicial IMS (iFC)
  • Enrutamiento de sesiones y control de llamadas
  • Manejo de llamadas de emergencia (enrutamiento PSAP E.164)
  • Generación de Registros de Detalles de Llamadas (CDR)

Interfaces de Red:

  • Northbound: Interfaz IMS S-CSCF (SIP sobre TCP/UDP)
  • Southbound: Interfaz SBC/Gateway (trunking SIP)
  • Diameter: Sh (datos del suscriptor), Ro (cobro en línea)
  • SS7: Interfaz de gateway MAP para interoperabilidad HLR/MSC
  • HTTP/HTTPS: Integración de servicios externos (SMS, TTS, gateway MAP)

Almacenamiento y Procesamiento:

  • Gestión del estado de sesión en tiempo real
  • Almacenamiento y recuperación de CDR
  • Base de datos de registro de suscriptores (Sofia SIP)
  • Base de datos de configuración (SQLite)

1.2 Capacidades de Intercepción

1.2.1 Adquisición de Señales

Captura de Señales SIP:

  • El OmniTAS procesa todos los mensajes de señalización SIP entre suscriptores IMS y redes externas
  • Acceso completo a los encabezados SIP, incluyendo:
    • Identificación de la parte que llama (From, P-Asserted-Identity)
    • Identificación de la parte llamada (To, Request-URI)
    • URIs de contacto y ubicación de red
    • Información de enrutamiento de llamadas
    • Descripción de la sesión (SDP) incluyendo códecs de medios y puntos finales

Adquisición de Metadatos de Llamadas:

  • Registros de Detalles de Llamadas (CDR) completos almacenados en la base de datos con:
    • Marca de tiempo (tiempos de inicio, respuesta, fin)
    • Identificadores de llamador y receptor (MSISDN, IMSI, SIP URI)
    • Dirección de la llamada (móvil originando/terminando)
    • Resultado de la llamada (respondida, ocupada, fallida, etc.)
    • Información de duración y cobro
    • Datos de ubicación de red (información de torres celulares cuando esté disponible)

Interfaz de Grabación de Sesiones (SIPREC):

  • Soporte para el protocolo SIPREC para intercepción legal
  • Capacidad para replicar la señalización SIP a servidores de grabación externos
  • Políticas de grabación de sesiones configurables
  • Control de Licencias: La funcionalidad SIPREC requiere autorización de licencia explícita
  • Control de Acceso: La configuración de SIPREC está restringida a administradores autorizados

1.2.2 Capacidades de Procesamiento de Medios

Plano de Medios:

  • B2BUA con capacidades de retransmisión de medios RTP
  • Flujos RTP pasan a través del servidor
  • Acceso a flujos de medios para fines de intercepción
  • Análisis SDP para información de puntos finales y códecs de medios

Plano de Señalización:

  • Análisis y procesamiento de mensajes SIP
  • Codificación/decodificación de mensajes Diameter (interfaces Sh, Ro)
  • Procesamiento de solicitudes/respuestas HTTP/HTTPS

1.2.3 Capacidades de Análisis

Monitoreo de Llamadas en Tiempo Real:

  • Panel de control de UI web mostrando llamadas activas con:
    • Estado de la llamada (intentando, sonando, activa, terminada)
    • Información de llamador/receptor
    • Duración de la llamada
    • Información de códec de medios
    • Puntos finales de red

Análisis Histórico:

  • Base de datos CDR consultable por:
    • Rango de tiempo
    • Número de la parte que llama/parte llamada
    • Tipo de llamada (voz, emergencia, etc.)
    • Resultado/disposición de la llamada
    • Umbrales de duración

Seguimiento de Suscriptores:

  • Monitoreo de registro activo
  • Seguimiento de ubicación de suscriptores a través de:
    • URI de contacto de registro IMS
    • Encabezado P-Access-Network-Info (identificación de torre celular)
    • Información de dirección IP y puerto
  • Registros de registro históricos

Analíticas de Red:

  • Métricas de volumen de llamadas (integración con Prometheus)
  • Estado y conectividad del gateway
  • Conectividad de pares Diameter
  • Métricas de rendimiento del sistema

Para documentación completa de métricas: Consulte metrics.md para configuración detallada de monitoreo, alertas y observabilidad.

Inteligencia de Ubicación:

  • Integración de base de datos de torres celulares
  • Mapeo de números E.164 a ubicación geográfica (Plan de Numeración de América del Norte)
  • Enrutamiento de servicios de emergencia (mapeo PSAP)

1.3 Capacidades de Contramedidas

1.3.1 Mecanismos de Protección de Privacidad

Confidencialidad de la Comunicación:

  • Seguridad de transporte TLS de Diameter
  • HTTPS para interfaces web y APIs
  • Cifrado de base de datos en reposo (configurable)

Control de Acceso:

  • Control de acceso basado en roles (RBAC) para UI web
  • Hashing de contraseñas con SHA-512 y sal (65,532 iteraciones)

Registro de Auditoría:

  • Registro completo de acciones administrativas
  • Registro de cambios de configuración
  • Registro de eventos de autenticación
  • Almacenamiento de registros a prueba de manipulaciones

1.3.2 Características Anti-Intercepción

Comunicaciones Seguras:

  • TLS obligatorio para interfaces externas (configurable)
  • Autenticación basada en certificados
  • Conjuntos de cifrado de Perfect Forward Secrecy (PFS)

Protección de Datos:

  • Políticas automáticas de retención de CDR
  • Capacidades de eliminación segura de datos
  • Controles de acceso a la base de datos
  • Soporte para segmentación de red (redes de gestión/señalización/medios separadas)

Fortalecimiento del Sistema:

  • Protección de parámetros de arranque
  • Mecanismos de verificación de integridad
  • Superficie de ataque mínima (solo se habilitan los servicios requeridos)

1. Interfaz SIPREC (Protocolo de Grabación de Sesiones - RFC 7866):

2. Interfaz de Exportación de CDR:

  • Exportación de CDR a sistemas externos
  • Formatos estándar (CSV, JSON)
  • Transferencia segura (HTTPS)

3. Acceso Directo a la Base de Datos:

  • Credenciales de base de datos de solo lectura para sistemas autorizados
  • Acceso a consultas SQL a tablas CDR
  • Acceso a datos de registro de suscriptores
  • Acceso a registros de auditoría

4. Integración API:

  • API RESTful para monitoreo de llamadas
  • Consultas de llamadas activas en tiempo real
  • Recuperación histórica de CDR
  • Estado de registro de suscriptores

Mecanismos de Activación de Intercepción

Intercepción Basada en Objetivos:

  • Coincidencia de identificador de suscriptor (MSISDN, IMSI, SIP URI)
  • Reglas de intercepción configurables en la lógica de la aplicación
  • Ramificación de sesión SIPREC basada en la identidad del llamador/receptor

Intercepción Basada en Eventos:

  • Detección y grabación de llamadas de emergencia
  • Monitoreo de números de destino específicos
  • Activación basada en área geográfica (ubicación de torre celular)

Intercepción Basada en Tiempo:

  • Ventanas de grabación programadas
  • Aplicación de períodos de retención
  • Expiración automática de órdenes de intercepción

2. CAPACIDADES DE CIFRADO Y CRIPTOANÁLISIS

2.1 Resumen de Capacidades Criptográficas

El Servidor de Aplicaciones OmniTAS IMS implementa mecanismos criptográficos para asegurar las comunicaciones y proteger datos sensibles. Esta sección documenta todas las capacidades criptográficas de acuerdo con los requisitos de ANSSI.

2.2 Cifrado de Capa de Transporte

2.2.1 Implementación de TLS/SSL

Protocolos Soportados:

  • TLS 1.2 (RFC 5246)
  • TLS 1.3 (RFC 8446)
  • SSL 2.0/3.0: DESHABILITADO (vulnerabilidades conocidas)
  • TLS 1.0/1.1: DEPRECATED (configurable, deshabilitado por defecto)

Conjuntos de Cifrado (Lista de Prioridad Configurable):

Preferido - TLS 1.3:

  • TLS_AES_256_GCM_SHA384
  • TLS_CHACHA20_POLY1305_SHA256
  • TLS_AES_128_GCM_SHA256

Soportado - TLS 1.2:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

Características de Seguridad:

  • Se requiere Perfect Forward Secrecy (PFS)
  • Grupos de Diffie-Hellman fuertes (mínimo de 2048 bits)
  • Criptografía de Curva Elíptica: NIST P-256, P-384, P-521
  • Soporte para Server Name Indication (SNI)
  • OCSP stapling para validación de certificados

Gestión de Certificados:

  • Soporte para certificados X.509
  • Tamaños de clave RSA: mínimo de 2048 bits, recomendado 4096 bits
  • Soporte para ECDSA (P-256, P-384)
  • Validación de cadena de certificados
  • Verificación de revocación CRL y OCSP
  • Certificados autofirmados (solo para desarrollo)
  • Integración de CA externa

Aplicaciones:

  • HTTPS para acceso a UI web y API
  • Diameter sobre TLS

2.3 Cifrado de Datos en Reposo

2.3.1 Cifrado de Base de Datos

Cifrado SQLite:

  • Soporte de integración SQLCipher
  • Cifrado AES-256
  • Almacenamiento cifrado para datos sensibles (CDR, datos de suscriptores)

2.3.2 Cifrado del Sistema de Archivos

Almacenamiento de Datos Sensibles:

  • Archivos CDR: cifrado AES-256 (opcional)
  • Archivos de configuración: almacenamiento cifrado para credenciales
  • Claves privadas: almacenes de claves cifrados (PKCS#12, PEM con frase de paso)
  • Archivos de registro: soporte de cifrado para registros archivados

Almacenamiento de Claves:

  • Almacenes de claves basados en archivos con protección de frase de paso
  • Mecanismos seguros de rotación de claves

2.4 Autenticación y Criptografía de Contraseñas

2.4.1 Hashing de Contraseñas

Algoritmo: SHA-512 con sal
Configuración:

  • Sal generada aleatoriamente (mínimo de 128 bits)
  • 65,532 rondas de iteración (configurable)
  • Sal almacenada junto al hash
  • Resistente a ataques de tabla arcoíris

Formato de Almacenamiento:

$6$rounds=65532$<sal>$<hash>

Aplicaciones:

  • Autenticación de usuarios de UI web
  • Generación de tokens de API
  • Almacenamiento de contraseñas de administradores
  • Credenciales de usuario de base de datos

2.4.2 Autenticación con Clave SSH

Tipos de Clave Soportados:

  • RSA: 1024-4096 bits (mínimo recomendado de 2048 bits)
  • DSA: 1024-4096 bits (deprecado, preferido RSA)
  • ECDSA: curvas P-256, P-384, P-521
  • Ed25519: 256 bits (preferido para nuevos despliegues)

Gestión de Claves:

  • Soporte para generación de claves externas
  • Importación de claves públicas para autenticación de clientes
  • Gestión de claves de host del servidor
  • Revocación de claves individuales
  • Procedimientos de rotación de claves

Protocolo SSH:

  • Solo protocolo SSH-2 (SSH-1 deshabilitado)
  • Algoritmos MAC fuertes (HMAC-SHA2-256, HMAC-SHA2-512)
  • Intercambio de claves: curve25519-sha256, ecdh-sha2-nistp256, diffie-hellman-group14-sha256

2.5 Seguridad del Protocolo Diameter

2.5.1 Mecanismos de Seguridad de Diameter

Seguridad de Transporte:

  • TLS sobre TCP para conexiones de pares Diameter
  • Autenticación mutua de certificados

Seguridad a Nivel de Aplicación:

  • Autenticación de pares mediante validación de Origin-Host/Origin-Realm
  • Configuración de secreto compartido (legado, deprecado)
  • Cifrado AVP (Attribute-Value Pair) para datos sensibles
  • Seguridad de extremo a extremo con CMS (Cryptographic Message Syntax)

2.6 Mecanismos de Identidad SIP

P-Asserted-Identity:

  • Afirmación de red confiable
  • Validación y traducción de identidad
  • Soporte para encabezados de privacidad

Nota: La autenticación de suscriptores es realizada por el Núcleo IMS (P-CSCF/S-CSCF), no por el TAS.

2.7 Capacidades de Criptoanálisis y Evaluación de Seguridad

2.7.1 Herramientas de Análisis de Protocolos

Capacidades de Depuración Integradas:

  • Trazado de mensajes SIP con captura completa de encabezado/cuerpo
  • Registro de mensajes Diameter (decodificación AVP)
  • Depuración de handshake TLS
  • Registro de validación de cadena de certificados

Integración Externa:

  • Soporte para captura de paquetes Wireshark/tcpdump
  • Exportación SSLKEYLOGFILE para descifrado TLS (solo para desarrollo)
  • Exportación PCAP para análisis fuera de línea

2.7.2 Consideraciones de Evaluación de Vulnerabilidades

Debilidades Criptográficas Conocidas:

  • Soporte legado de MD5 en SIP Digest (mantenido por compatibilidad)
  • Conjuntos de cifrado débiles configurables (deshabilitados por defecto)
  • Soporte para certificados autofirmados (solo para desarrollo/pruebas)

Pruebas de Seguridad:

  • Se recomiendan auditorías de seguridad regulares
  • Soporte para pruebas de penetración
  • Validación de la fortaleza de los conjuntos de cifrado
  • Monitoreo de expiración de certificados

2.8 Infraestructura de Gestión de Claves

2.8.1 Generación de Claves

Generación Interna de Claves:

  • Generación de claves RSA: biblioteca OpenSSL (algoritmos compatibles con FIPS 140-2)
  • Generación de números aleatorios: /dev/urandom (CSPRNG del núcleo de Linux)
  • Fuentes de entropía: RNG de hardware, pool de entropía del sistema

2.8.2 Almacenamiento y Protección de Claves

Almacenamiento de Claves Privadas:

  • Sistema de archivos con permisos restringidos (0600)
  • Formato PEM cifrado con frase de paso
  • Eliminación segura en la rotación de claves

Respaldo de Claves:

  • Procedimientos de respaldo cifrado
  • Mecanismos de recuperación de clave dividida
  • Escrow de claves seguro (si es requerido por la regulación)

2.8.3 Distribución de Claves

Distribución de Certificados:

  • Importación manual a través de UI web
  • Aprovisionamiento automatizado a través de API
  • Soporte para protocolo ACME (Let's Encrypt, mejora futura)

Distribución de Claves Simétricas:

  • Intercambio de claves fuera de banda para pares Diameter
  • Acuerdo de claves Diffie-Hellman en TLS
  • No transmisión de claves en texto claro

2.9 Cumplimiento y Normativas

Cumplimiento de Normativas Criptográficas:

  • NIST SP 800-52: pautas de TLS
  • NIST SP 800-131A: transiciones de algoritmos criptográficos
  • RFC 7525: recomendaciones de TLS
  • ETSI TS 133 310: seguridad de red IMS
  • 3GPP TS 33.203: seguridad de acceso IMS

Regulaciones Francesas de Criptografía:

  • Declaración de medios criptográficos (si aplica)
  • Certificación de productos criptográficos ANSSI (si es requerido)
  • No criptografía restringida a la exportación (todos los algoritmos estándar)

2.10 Resistencia al Criptoanálisis

2.10.1 Principios de Diseño

Defensa Contra el Criptoanálisis:

  • No algoritmos criptográficos personalizados/proprietarios
  • Solo algoritmos revisados por pares y estándar de la industria
  • Actualizaciones de seguridad regulares para bibliotecas criptográficas
  • Degradación de algoritmos débiles

2.10.2 Seguridad Operativa

Rotación de Claves:

  • Renovación de certificados TLS (anualmente recomendado)
  • Rotación de claves de sesión (por sesión para TLS)
  • Políticas de expiración de contraseñas (configurable)

Monitoreo y Detección:

  • Registro de intentos de autenticación fallidos
  • Alertas de expiración de certificados
  • Registro de negociación de conjuntos de cifrado
  • Detección de anomalías para fallos de cifrado

3. CONTROL Y AUTORIZACIÓN DE INTERCEPCIÓN

Autorización Administrativa:

  • Las características de intercepción legal requieren privilegios a nivel de administrador
  • Acceso a la configuración SIPREC: solo rol de superadministrador
  • Acceso a CDR: permisos basados en roles configurables
  • Registro de auditoría de todas las acciones relacionadas con la intercepción

Integración del Marco Legal:

  • Seguimiento de órdenes de intercepción (integración de sistema externo)
  • Listas de autorización de identificadores de objetivos
  • Activación de intercepción limitada en el tiempo
  • Desactivación automática al expirar la orden

3.2 Retención de Datos y Privacidad

Políticas de Retención:

  • Retención de CDR: configurable (por defecto 90 días, requisito regulatorio 1 año)
  • Registros de registro: retención configurable
  • Registros de auditoría: retención mínima de 1 año
  • Purga automática de datos expirados

Protecciones de Privacidad:

  • Principio de mínima recolección de datos
  • Limitación de propósito (provisión de servicios de telecomunicaciones)
  • Registro y monitoreo de accesos

3.3 Interfaces de Entrega para la Aplicación de la Ley

Interfaces de Intercepción Legal Estándar:

  • Soporte para interfaz ETSI LI (Intercepción Legal) (a través de dispositivo de mediación externo)
  • Integración de SIPREC a gateway LI
  • Soporte para interfaces X1, X2, X3 (sistema externo)

Formatos de Entrega:

  • IRI (Información Relacionada con la Intercepción): metadatos de CDR
  • CC (Contenido de la Comunicación): señalización SIP + medios (a través de MRF)
  • Informes estructurados: formatos XML, JSON

4. SEGURIDAD E INTEGRIDAD DEL SISTEMA

4.1 Seguridad de Arranque

Mecanismos de Arranque Seguro:

  • Protección de parámetros de arranque (requisito ANSSI R226)
  • Verificación de integridad de configuración
  • Detección de manipulaciones al inicio
  • Carga segura de configuración

4.2 Seguridad de Red

Seguridad de Red:

  • Puertos expuestos mínimos (solo SIP, Diameter, HTTPS)
  • Control de acceso basado en puertos
  • Listado/negación de IP

4.3 Detección de Intrusiones

Capacidades de Monitoreo:

  • Monitoreo de autenticaciones fallidas
  • Detección de patrones de llamadas inusuales
  • Detección de tráfico Diameter anómalo
  • Alertas de eventos de seguridad (integración SIEM)

5. REFERENCIAS DE DOCUMENTACIÓN

5.1 Manuales Técnicos

Documentación disponible en el repositorio del proyecto:

  • README.md: Visión general del sistema, arquitectura y características operativas
  • doc/deployment_guide.md: Instrucciones de despliegue (si están disponibles)
  • doc/configuration.md: Referencia de configuración (si está disponible)

5.2 Certificaciones de Seguridad

  • Informes de Pruebas de Penetración: [A proporcionar a solicitud]
  • Informes de Auditoría de Seguridad: [A proporcionar a solicitud]
  • Validación de Módulo Criptográfico: Cumplimiento de OpenSSL FIPS 140-2

5.3 Documentación de Cumplimiento

  • Solicitud de Autorización ANSSI R226: Este documento
  • Cumplimiento de Intercepción Legal: Según lo requerido por las regulaciones de telecomunicaciones francesas

6. INFORMACIÓN DE CONTACTO

Información del Vendedor/Operador:

  • Nombre de la Empresa: Omnitouch Network Services Pty Ltd
  • Dirección: PO BOX 296, QUINNS ROCKS WA 6030, AUSTRALIA
  • Persona de Contacto: Equipo de Cumplimiento
  • Correo Electrónico: compliance@omnitouch.com.au

Contacto Técnico de Seguridad:

Contacto Legal/Cumplimiento:

APÉNDICES

Apéndice A: Ejemplos de Flujo de Mensajes SIP

A.1 Flujo de Llamada Móvil Originando con Puntos de Intercepción

Leyenda: [INTERCEPCIÓN] = Puntos donde se captura información de intercepción legal

A.2 Llamada de Emergencia con Seguimiento de Ubicación

A.3 Establecimiento de Sesión de Grabación SIPREC

Apéndice B: Esquema de CDR

El sistema OmniTAS almacena Registros de Detalles de Llamadas en una base de datos SQLite (formato CDR de FreeSWITCH) ubicada en /etc/freeswitch/db/cdr.db.

Nombre del CampoTipoDescripciónRelevancia para la Intercepción
uuidTEXTIdentificador único de llamadaCorrelación de sesión
caller_id_numberTEXTNúmero de la parte que llama (MSISDN)Identificador principal para seguimiento de objetivos
caller_id_nameTEXTNombre de visualización de la parte que llamaVerificación de identidad
destination_numberTEXTNúmero de la parte llamadaSeguimiento del destino objetivo
start_stampDATETIMEMarca de tiempo de inicio de la llamadaLínea de tiempo del evento
answer_stampDATETIMEMarca de tiempo de respuesta de la llamadaHora de establecimiento de la llamada
end_stampDATETIMEMarca de tiempo de fin de la llamadaCálculo de duración de la sesión
durationINTEGERDuración total de la llamada (segundos)Longitud de la sesión
billsecINTEGERSegundos facturables (tiempo respondido)Duración real de la conversación
hangup_causeTEXTRazón de terminación de la llamadaAnálisis del resultado de la llamada
sip_hangup_dispositionTEXTDetalles de terminación SIPTerminación a nivel de protocolo
network_addrTEXTDirección IP de la redSeguimiento de ubicación de origen
sip_from_userTEXTParte de usuario del encabezado SIP FromIdentidad SIP original
sip_to_userTEXTParte de usuario del encabezado SIP ToDestino SIP
sip_call_idTEXTEncabezado SIP Call-IDCorrelación de sesión SIP

Consultar llamadas por número objetivo:

SELECT * FROM cdr
WHERE caller_id_number = '+33612345678'
   OR destination_number = '+33612345678'
ORDER BY start_stamp DESC;

Consultar llamadas dentro de un intervalo de tiempo:

SELECT * FROM cdr
WHERE start_stamp BETWEEN '2025-11-01 00:00:00' AND '2025-11-30 23:59:59'
  AND (caller_id_number = '+33612345678' OR destination_number = '+33612345678')
ORDER BY start_stamp DESC;

Exportar a CSV para la aplicación de la ley:

.mode csv
.output /tmp/interception_report.csv
SELECT caller_id_number, destination_number, start_stamp, end_stamp, duration, hangup_cause
FROM cdr
WHERE caller_id_number = '+33612345678'
ORDER BY start_stamp DESC;
.output stdout

B.3 Acceso a CDR API

El TAS proporciona acceso programático a través del módulo Tas.Cdr:

# Obtener todas las llamadas para un número específico
Tas.Cdr.get_records_by(:caller_id_number, "+33612345678")

# Obtener llamadas en rango de fechas
Tas.Cdr.get_records_by_date_range("2025-11-01 00:00:00", "2025-11-30 23:59:59")

# Buscar con filtrado avanzado
Tas.Cdr.get_filtered_records(search: "33612345678", limit: 1000)

# Obtener estadísticas
Tas.Cdr.get_statistics()

B.4 Retención de CDR

  • Retención por defecto: configurable (típicamente de 90 días a 1 año)
  • Purga automática: soportada
  • Exportación manual: a través de UI web en /cdr o API
  • Formato: base de datos SQLite, exportable a CSV/JSON

Apéndice C: Ejemplos de Configuración SIPREC

SIPREC (Protocolo de Grabación de Sesiones de Iniciación de Protocolo) permite que el OmniTAS envíe tanto la señalización de llamadas como los medios a Servidores de Grabación de Sesiones externos para intercepción legal.

C.1 Arquitectura SIPREC

C.2 Activación de Grabación SIPREC

La grabación puede ser activada en función de:

Basada en Objetivos:

  • Número de teléfono del llamador (caller_id_number)
  • Número de teléfono llamado (destination_number)
  • Coincidencia de URI SIP

Basada en Eventos:

  • Todas las llamadas de emergencia (911, 112, etc.)
  • Llamadas a/desde destinos específicos
  • Grabación basada en ventana de tiempo

Geográfica:

  • Ubicación de la torre celular (a través del encabezado P-Access-Network-Info)
  • Rangos de direcciones IP

C.3 Contenido de la Sesión SIPREC

La sesión SIPREC envía al SRS:

Metadatos de Señalización:

  • Encabezados SIP completos (From, To, P-Asserted-Identity)
  • Call-ID e identificadores de sesión
  • Marcas de tiempo (inicio, respuesta, fin)
  • Información de llamador/receptor

Flujos de Medios:

  • Flujo RTP del participante 1 (audio del llamador)
  • Flujo RTP del participante 2 (audio del receptor)
  • Información de códec
  • Tonos DTMF

C.4 Integración con la Aplicación de la Ley

El Servidor de Grabación de Sesiones proporciona:

  • Interfaz X1: Función administrativa LI (gestión de órdenes)
  • Interfaz X2: Información Relacionada con la Intercepción (IRI) - metadatos de llamada
  • Interfaz X3: Contenido de la Comunicación (CC) - medios reales

El OmniTAS actúa como Cliente de Grabación de Sesiones (SRC) y entrega tanto IRI como CC al SRS para su entrega a la aplicación de la ley a través de interfaces estandarizadas.

Apéndice D: Guía de Configuración de Cifrado

D.1 Generación de Certificados

Generar Certificado TLS:

# Generar clave privada
openssl genrsa -out server.key 4096

# Generar solicitud de firma de certificado
openssl req -new -key server.key -out server.csr

# Certificado autofirmado (para pruebas)
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

# Producción: Obtener certificado de CA confiable

Nota: La señalización SIP hacia/desde IMS no utiliza TLS. La comunicación SIP es TCP/UDP sin cifrado.

D.2 Configuración HTTPS para UI Web

API/Servidor Web TLS (config/runtime.exs):

config :api_ex,
  api: %{
    enable_tls: true,
    tls_cert_path: "priv/cert/server.crt",
    tls_key_path: "priv/cert/server.key",
    tls_versions: [:"tlsv1.2", :"tlsv1.3"],
    ciphers: [
      "ECDHE-RSA-AES256-GCM-SHA384",
      "ECDHE-RSA-AES128-GCM-SHA256",
      "TLS_AES_256_GCM_SHA384",
      "TLS_AES_128_GCM_SHA256"
    ]
  }

D.3 Configuración SIP

Las interfaces SIP utilizan transporte TCP/UDP sin cifrado. No se requiere configuración de TLS.

Perfil SIP de FreeSWITCH:

<!-- El perfil SIP utiliza solo TCP/UDP -->
<profile name="external">
  <settings>
    <param name="sip-port" value="5060"/>
    <param name="context" value="public"/>
  </settings>
</profile>

D.4 Configuración TLS de Diameter

TLS para Pares Diameter:

# Habilitar TLS para conexiones Diameter
config :diameter_ex,
  peers: [
    %{
      host: "dra.example.com",
      port: 3868,
      transport: :tls,
      tls_opts: [
        certfile: "priv/cert/diameter.crt",
        keyfile: "priv/cert/diameter.key",
        cacertfile: "priv/cert/ca.crt",
        verify: :verify_peer
      ]
    }
  ]

D.5 Cifrado de Base de Datos

Cifrado SQLite con SQLCipher:

# config/runtime.exs
config :exqlite,
  encryption: true,
  encryption_key: System.get_env("DB_ENCRYPTION_KEY")

Nota: El cifrado de la base de datos es opcional. Para fines de intercepción legal, los controles de acceso físico y el registro de acceso a la base de datos pueden ser suficientes.

D.6 Configuración de Seguridad de Contraseñas

El hashing de contraseñas se configura automáticamente con SHA-512 y sal:

# Configuración de hashing de contraseñas por defecto
config :pbkdf2_elixir,
  rounds: 65_532,
  salt_len: 16

No se requiere configuración adicional: seguro por defecto.

Apéndice E: Glosario

Organismos Regulatorios y Normativos

  • ANSSI: Agence nationale de la sécurité des systèmes d'information - Agencia Nacional de Ciberseguridad de Francia
  • ETSI: Instituto Europeo de Normas de Telecomunicaciones
  • 3GPP: Proyecto de Asociación de Tercera Generación - Organización de estándares de telecomunicaciones móviles
  • IETF: Fuerza de Tarea de Ingeniería de Internet - Organismo de estándares de Internet

Componentes de Red IMS

  • IMS: IP Multimedia Subsystem - Arquitectura de red All-IP para servicios multimedia
  • CSCF: Función de Control de Sesiones de Llamadas - Servidor SIP en el núcleo IMS
    • P-CSCF: Proxy-CSCF - Primer punto de contacto para UE, proxy SIP
    • I-CSCF: Interrogating-CSCF - Punto de entrada a la red del operador
    • S-CSCF: Serving-CSCF - Control de sesión y activación de servicios
  • HSS: Home Subscriber Server - Base de datos de suscriptores
  • TAS: Servidor de Aplicaciones de Telefonía/Telecomunicaciones - Ejecución de lógica de servicio

Protocolos y Señalización

  • SIP: Protocolo de Iniciación de Sesiones (RFC 3261) - Protocolo de señalización para llamadas de voz/video
  • SDP: Protocolo de Descripción de Sesión (RFC 4566) - Parámetros de sesión de medios
  • RTP: Protocolo de Transporte en Tiempo Real (RFC 3550) - Transporte de flujos de medios
  • RTCP: Protocolo de Control de RTP - Monitoreo de calidad para RTP
  • SRTP: RTP Seguro (RFC 3711) - Flujos de medios cifrados
  • Diameter: Protocolo AAA utilizado en IMS (autenticación, autorización, contabilidad)
    • Sh: Interfaz Diameter para acceso a datos de suscriptor
    • Ro: Interfaz Diameter para cobro en línea
  • SIPREC: Protocolo de Grabación de Sesiones de Iniciación de Protocolo (RFC 7866)

Equipos de Telecomunicaciones

  • SBC: Controlador de Frontera de Sesiones - Seguridad de red y gateway de medios
  • MRF: Función de Recursos de Medios - Procesamiento de medios (transcodificación, mezcla, grabación)
  • UE: Equipo de Usuario - Dispositivo o teléfono móvil
  • PSAP: Punto de Atención de Seguridad Pública - Centro de llamadas de servicios de emergencia
  • DRA: Agente de Enrutamiento Diameter - Enrutamiento de mensajes Diameter
  • LI: Intercepción Legal - Monitoreo legal de telecomunicaciones
  • IRI: Información Relacionada con la Intercepción - Metadatos de llamada para la aplicación de la ley
  • CC: Contenido de la Comunicación - Contenido de voz/medios real
  • SRC: Cliente de Grabación de Sesiones - Cliente SIPREC (rol de OmniTAS)
  • SRS: Servidor de Grabación de Sesiones - Servidor SIPREC para almacenamiento de grabaciones
  • Interfaz X1: Interfaz administrativa LI (gestión de órdenes)
  • Interfaz X2: Interfaz LI para entrega de IRI
  • Interfaz X3: Interfaz LI para entrega de CC
  • R226: Artículos R226-3 y R226-7 del Código Penal Francés que rigen el equipo de intercepción

Procesamiento de Llamadas

  • CDR: Registro de Detalles de Llamadas - Registro de facturación y registro para cada llamada
  • B2BUA: Agente de Usuario de Espalda a Espalda - Elemento SIP que actúa como cliente y servidor
  • DTMF: Tonos de Múltiples Frecuencias - Señales de tono de marcado
  • MSISDN: Número de Directorio Internacional de Suscriptores de Estación Móvil - Número de teléfono
  • IMSI: Identidad Internacional de Suscriptor Móvil - Identificador único de suscriptor
  • E.164: Plan de numeración internacional para números de teléfono

Seguridad y Cifrado

  • TLS: Seguridad de Capa de Transporte (RFC 5246, RFC 8446) - Protocolo de cifrado
  • PFS: Perfect Forward Secrecy - Propiedad criptográfica que asegura la seguridad de la clave de sesión
  • SHA-512: Algoritmo de Hash Seguro con salida de 512 bits
  • AES: Estándar de Cifrado Avanzado
  • RSA: Rivest-Shamir-Adleman - Algoritmo de criptografía de clave pública
  • ECDSA: Algoritmo de Firma Digital de Curva Elíptica
  • PKI: Infraestructura de Clave Pública - Sistema de gestión de certificados
  • CA: Autoridad de Certificación - Emite certificados digitales
  • CRL: Lista de Revocación de Certificados
  • OCSP: Protocolo de Estado de Certificado en Línea

Red y Ubicación

  • MAP: Parte de Aplicación Móvil - Protocolo SS7 para redes móviles
  • HLR: Registro de Ubicación del Hogar - Base de datos de ubicación de suscriptores (legado)
  • SS7: Sistema de Señalización No. 7 - Señalización telefónica legado
  • NANP: Plan de Numeración de América del Norte
  • Torre Celular/ID de Celda: Identificador de estación base de la red móvil para seguimiento de ubicación

Formatos de Datos y Almacenamiento

  • SQLite: Base de datos relacional embebida
  • SQLCipher: Extensión de SQLite con soporte de cifrado
  • CSV: Valores Separados por Comas - Formato de exportación
  • JSON: Notación de Objetos de JavaScript - Formato de intercambio de datos
  • XML: Lenguaje de Marcado Extensible - Formato de datos estructurados

Componentes de Aplicación

  • API: Interfaz de Programación de Aplicaciones - Acceso programático
  • UI: Interfaz de Usuario - Panel de control basado en web
  • RBAC: Control de Acceso Basado en Roles - Sistema de permisos
  • UUID: Identificador Único Universal - Seguimiento de sesión

Versión del Documento: 1.0
Fecha: 2025-11-29
Preparado para: Solicitud de Autorización ANSSI R226
Clasificación del Documento: Cumplimiento Regulatorio - Confidencial