Saltar al contenido principal

Documentación de Cumplimiento de Intercepción ANSSI R226

Propósito del Documento: Este documento proporciona especificaciones técnicas requeridas para la autorización ANSSI R226 bajo los Artículos R226-3 y R226-7 del Código Penal Francés para el Servidor de Aplicaciones OmniTAS IMS.

Clasificación: Documentación de Cumplimiento Regulatorio

Autoridad Objetivo: Agence nationale de la sécurité des systèmes d'information (ANSSI)

Reglamento: R226 - Protección de la Privacidad de la Correspondencia y la Intercepción Legal

1. ESPECIFICACIONES TÉCNICAS DETALLADAS

1.1 Ficha Técnica Comercial

Nombre del Producto: Servidor de Aplicaciones OmniTAS IMS
Tipo de Producto: Servidor de Aplicaciones de Telecomunicaciones (TAS)
Función Principal: Procesamiento de llamadas IMS (IP Multimedia Subsystem) y gestión de sesiones
Protocolos de Red: SIP, Diameter, HTTP/HTTPS, SS7/MAP
Modelo de Despliegue: Aplicación de servidor local

Capacidades Principales

Procesamiento de Llamadas:

  • Funcionalidad de proxy SIP y B2BUA
  • Procesamiento de Criterios de Filtro Inicial IMS (iFC)
  • Enrutamiento de sesiones y control de llamadas
  • Manejo de llamadas de emergencia (enrutamiento PSAP E.164)
  • Generación de Registros de Detalle de Llamadas (CDR)

Interfaces de Red:

  • Northbound: Interfaz IMS S-CSCF (SIP sobre TCP/UDP)
  • Southbound: Interfaz SBC/Gateway (trunking SIP)
  • Diameter: Sh (datos del suscriptor), Ro (cobro en línea)
  • SS7: Interfaz de gateway MAP para interoperabilidad HLR/MSC
  • HTTP/HTTPS: Integración de servicios externos (SMS, TTS, gateway MAP)

Almacenamiento y Procesamiento:

  • Gestión del estado de sesión en tiempo real
  • Almacenamiento y recuperación de CDR
  • Base de datos de registro de suscriptores (Sofia SIP)
  • Base de datos de configuración (SQLite)

1.2 Capacidades de Intercepción

1.2.1 Adquisición de Señal

Captura de Señal SIP:

  • El OmniTAS procesa todos los mensajes de señalización SIP entre suscriptores IMS y redes externas
  • Acceso completo a los encabezados SIP, incluyendo:
    • Identificación de la parte que llama (From, P-Asserted-Identity)
    • Identificación de la parte llamada (To, Request-URI)
    • URIs de contacto y ubicación de red
    • Información de enrutamiento de llamadas
    • Descripción de la sesión (SDP) incluyendo códecs de medios y puntos finales

Adquisición de Metadatos de Llamadas:

  • Registros de Detalle de Llamadas (CDR) completos almacenados en la base de datos con:
    • Marca de tiempo (tiempos de inicio, respuesta, finalización)
    • Identificadores del llamante y del llamado (MSISDN, IMSI, SIP URI)
    • Dirección de la llamada (móvil que origina/termina)
    • Resultado de la llamada (respondida, ocupada, fallida, etc.)
    • Información de duración y cobro
    • Datos de ubicación de red (información de torres celulares cuando esté disponible)

Interfaz de Grabación de Sesiones (SIPREC):

  • Soporte para el protocolo SIPREC para intercepción legal
  • Capacidad para replicar la señalización SIP a servidores de grabación externos
  • Políticas de grabación de sesiones configurables
  • Control de Licencias: La funcionalidad SIPREC requiere autorización de licencia explícita
  • Control de Acceso: La configuración de SIPREC está restringida a administradores autorizados

1.2.2 Capacidades de Procesamiento de Medios

Plano de Medios:

  • B2BUA con capacidades de retransmisión de medios RTP
  • Flujos RTP pasan a través del servidor
  • Acceso a flujos de medios para fines de intercepción
  • Análisis SDP para información de puntos finales y códecs de medios

Plano de Señalización:

  • Análisis y procesamiento de mensajes SIP
  • Codificación/decodificación de mensajes Diameter (interfaces Sh, Ro)
  • Procesamiento de solicitudes/respuestas HTTP/HTTPS

1.2.3 Capacidades de Análisis

Monitoreo de Llamadas en Tiempo Real:

  • Panel de control de interfaz web mostrando llamadas activas con:
    • Estado de la llamada (intentando, sonando, activa, terminada)
    • Información del llamante/llamado
    • Duración de la llamada
    • Información del códec de medios
    • Puntos finales de red

Análisis Histórico:

  • Base de datos de CDR consultable por:
    • Rango de tiempo
    • Número de la parte que llama/llamada
    • Tipo de llamada (voz, emergencia, etc.)
    • Resultado/disposición de la llamada
    • Umbrales de duración

Seguimiento de Suscriptores:

  • Monitoreo de registro activo
  • Seguimiento de ubicación de suscriptores a través de:
    • URI de contacto de registro IMS
    • Encabezado P-Access-Network-Info (identificación de torre celular)
    • Información de dirección IP y puerto
  • Registros de registro históricos

Analítica de Red:

  • Métricas de volumen de llamadas (integración con Prometheus)
  • Estado y conectividad de gateways
  • Conectividad de pares Diameter
  • Métricas de rendimiento del sistema

Para documentación completa de métricas: Consulte metrics.md para configuración detallada de monitoreo, alertas y observabilidad.

Inteligencia de Ubicación:

  • Integración de base de datos de torres celulares
  • Mapeo de números E.164 a ubicación geográfica (Plan de Numeración de América del Norte)
  • Enrutamiento de servicios de emergencia (mapeo PSAP)

1.3 Capacidades de Contramedidas

1.3.1 Mecanismos de Protección de la Privacidad

Confidencialidad de la Comunicación:

  • Seguridad de transporte TLS de Diameter
  • HTTPS para interfaces web y APIs
  • Cifrado de base de datos en reposo (configurable)

Control de Acceso:

  • Control de acceso basado en roles (RBAC) para la interfaz web
  • Hashing de contraseñas con SHA-512 y sal (65,532 iteraciones)

Registro de Auditoría:

  • Registro completo de acciones administrativas
  • Registro de cambios de configuración
  • Registro de eventos de autenticación
  • Almacenamiento de registros a prueba de manipulaciones

1.3.2 Características Anti-Intercepción

Comunicaciones Seguras:

  • TLS obligatorio para interfaces externas (configurable)
  • Autenticación basada en certificados
  • Conjuntos de cifrado de Perfect Forward Secrecy (PFS)

Protección de Datos:

  • Políticas automáticas de retención de CDR
  • Capacidades de eliminación segura de datos
  • Controles de acceso a la base de datos
  • Soporte para segmentación de red (redes de gestión/señalización/medios separadas)

Fortalecimiento del Sistema:

  • Protección de parámetros de arranque
  • Mecanismos de verificación de integridad
  • Superficie de ataque mínima (solo se habilitan los servicios requeridos)

1. Interfaz SIPREC (Protocolo de Grabación de Sesiones - RFC 7866):

2. Interfaz de Exportación de CDR:

  • Exportación de CDR a sistemas externos
  • Formatos estándar (CSV, JSON)
  • Transferencia segura (HTTPS)

3. Acceso Directo a la Base de Datos:

  • Credenciales de base de datos de solo lectura para sistemas autorizados
  • Acceso a consultas SQL a tablas de CDR
  • Acceso a datos de registro de suscriptores
  • Acceso a registros de auditoría

4. Integración de API:

  • API RESTful para monitoreo de llamadas
  • Consultas de llamadas activas en tiempo real
  • Recuperación histórica de CDR
  • Estado de registro de suscriptores

Mecanismos de Activación de Intercepción

Intercepción Basada en Objetivos:

  • Coincidencia de identificador de suscriptor (MSISDN, IMSI, SIP URI)
  • Reglas de intercepción configurables en la lógica de la aplicación
  • División de sesión SIPREC basada en la identidad del llamante/llamado

Intercepción Basada en Eventos:

  • Detección y grabación de llamadas de emergencia
  • Monitoreo de números de destino específicos
  • Activación basada en área geográfica (ubicación de torre celular)

Intercepción Basada en Tiempo:

  • Ventanas de grabación programadas
  • Aplicación de períodos de retención
  • Expiración automática de órdenes de intercepción

2. CAPACIDADES DE CIFRADO Y CRIPTOANÁLISIS

2.1 Resumen de Capacidades Criptográficas

El Servidor de Aplicaciones OmniTAS IMS implementa mecanismos criptográficos para asegurar las comunicaciones y proteger datos sensibles. Esta sección documenta todas las capacidades criptográficas de acuerdo con los requisitos de ANSSI.

2.2 Cifrado de Capa de Transporte

2.2.1 Implementación de TLS/SSL

Protocolos Soportados:

  • TLS 1.2 (RFC 5246)
  • TLS 1.3 (RFC 8446)
  • SSL 2.0/3.0: DESHABILITADO (vulnerabilidades conocidas)
  • TLS 1.0/1.1: DEPRECATED (configurable, deshabilitado por defecto)

Conjuntos de Cifrados (Lista de Prioridad Configurable):

Preferido - TLS 1.3:

  • TLS_AES_256_GCM_SHA384
  • TLS_CHACHA20_POLY1305_SHA256
  • TLS_AES_128_GCM_SHA256

Soportado - TLS 1.2:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

Características de Seguridad:

  • Se requiere Perfect Forward Secrecy (PFS)
  • Grupos de Diffie-Hellman fuertes (mínimo 2048 bits)
  • Criptografía de Curva Elíptica: NIST P-256, P-384, P-521
  • Soporte para Server Name Indication (SNI)
  • OCSP stapling para validación de certificados

Gestión de Certificados:

  • Soporte para certificados X.509
  • Tamaños de clave RSA: mínimo 2048 bits, recomendado 4096 bits
  • Soporte para ECDSA (P-256, P-384)
  • Validación de cadena de certificados
  • Verificación de revocación CRL y OCSP
  • Certificados autofirmados (solo para desarrollo)
  • Integración con CA externa

Aplicaciones:

  • HTTPS para acceso a la interfaz web y API
  • Diameter sobre TLS

2.3 Cifrado de Datos en Reposo

2.3.1 Cifrado de Base de Datos

Cifrado de SQLite:

  • Soporte de integración SQLCipher
  • Cifrado AES-256
  • Almacenamiento cifrado para datos sensibles (CDR, datos de suscriptores)

2.3.2 Cifrado del Sistema de Archivos

Almacenamiento de Datos Sensibles:

  • Archivos CDR: cifrado AES-256 (opcional)
  • Archivos de configuración: almacenamiento cifrado para credenciales
  • Claves privadas: almacenes de claves cifrados (PKCS#12, PEM con frase de contraseña)
  • Archivos de registro: soporte de cifrado para registros archivados

Almacenamiento de Claves:

  • Almacenes de claves basados en archivos con protección de frase de contraseña
  • Mecanismos seguros de rotación de claves

2.4 Autenticación y Criptografía de Contraseñas

2.4.1 Hashing de Contraseñas

Algoritmo: SHA-512 con sal
Configuración:

  • Sal generado aleatoriamente (mínimo 128 bits)
  • 65,532 rondas de iteración (configurable)
  • Sal almacenada junto al hash
  • Resistente a ataques de tablas arcoíris

Formato de Almacenamiento:

$6$rounds=65532$<sal>$<hash>

Aplicaciones:

  • Autenticación de usuarios de la interfaz web
  • Generación de tokens de API
  • Almacenamiento de contraseñas de administradores
  • Credenciales de usuario de base de datos

2.4.2 Autenticación de Claves SSH

Tipos de Claves Soportados:

  • RSA: 1024-4096 bits (recomendado mínimo de 2048 bits)
  • DSA: 1024-4096 bits (obsoleto, preferido RSA)
  • ECDSA: curvas P-256, P-384, P-521
  • Ed25519: 256 bits (preferido para nuevas implementaciones)

Gestión de Claves:

  • Soporte para generación de claves externas
  • Importación de claves públicas para autenticación de clientes
  • Gestión de claves de host del servidor
  • Revocación de claves individuales
  • Procedimientos de rotación de claves

Protocolo SSH:

  • Solo protocolo SSH-2 (SSH-1 deshabilitado)
  • Algoritmos MAC fuertes (HMAC-SHA2-256, HMAC-SHA2-512)
  • Intercambio de claves: curve25519-sha256, ecdh-sha2-nistp256, diffie-hellman-group14-sha256

2.5 Seguridad del Protocolo Diameter

2.5.1 Mecanismos de Seguridad de Diameter

Seguridad de Transporte:

  • TLS sobre TCP para conexiones de pares Diameter
  • Autenticación mutua de certificados

Seguridad a Nivel de Aplicación:

  • Autenticación de pares mediante validación de Origin-Host/Origin-Realm
  • Configuración de secreto compartido (legado, obsoleto)
  • Cifrado de AVP (Atributo-Par de Valor) para datos sensibles
  • Seguridad de extremo a extremo con CMS (Cryptographic Message Syntax)

2.6 Mecanismos de Identidad SIP

P-Asserted-Identity:

  • Afirmación de red de confianza
  • Validación y traducción de identidad
  • Soporte para encabezados de privacidad

Nota: La autenticación de suscriptores es realizada por el Núcleo IMS (P-CSCF/S-CSCF), no por el TAS.

2.7 Capacidades de Criptoanálisis y Evaluación de Seguridad

2.7.1 Herramientas de Análisis de Protocolos

Capacidades de Depuración Integradas:

  • Trazado de mensajes SIP con captura completa de encabezados/cuerpo
  • Registro de mensajes Diameter (decodificación de AVP)
  • Depuración de handshake TLS
  • Registro de validación de cadena de certificados

Integración Externa:

  • Soporte para captura de paquetes Wireshark/tcpdump
  • Exportación SSLKEYLOGFILE para descifrado TLS (solo para desarrollo)
  • Exportación PCAP para análisis fuera de línea

2.7.2 Consideraciones de Evaluación de Vulnerabilidades

Debilidades Criptográficas Conocidas:

  • Soporte legado de MD5 en SIP Digest (mantenido por compatibilidad)
  • Conjuntos de cifrado débiles configurables (deshabilitados por defecto)
  • Soporte para certificados autofirmados (solo para desarrollo/pruebas)

Pruebas de Seguridad:

  • Se recomiendan auditorías de seguridad regulares
  • Soporte para pruebas de penetración
  • Validación de la fuerza de los conjuntos de cifrado
  • Monitoreo de expiración de certificados

2.8 Infraestructura de Gestión de Claves

2.8.1 Generación de Claves

Generación Interna de Claves:

  • Generación de claves RSA: biblioteca OpenSSL (algoritmos compatibles con FIPS 140-2)
  • Generación de números aleatorios: /dev/urandom (CSPRNG del núcleo de Linux)
  • Fuentes de entropía: RNG de hardware, pool de entropía del sistema

2.8.2 Almacenamiento y Protección de Claves

Almacenamiento de Claves Privadas:

  • Sistema de archivos con permisos restringidos (0600)
  • Formato PEM cifrado con frase de contraseña
  • Eliminación segura en la rotación de claves

Respaldo de Claves:

  • Procedimientos de respaldo cifrado
  • Mecanismos de recuperación de clave dividida
  • Escrow de claves seguro (si es requerido por la regulación)

2.8.3 Distribución de Claves

Distribución de Certificados:

  • Importación manual a través de la interfaz web
  • Aprovisionamiento automatizado a través de API
  • Soporte para el protocolo ACME (Let's Encrypt, mejora futura)

Distribución de Claves Simétricas:

  • Intercambio de claves fuera de banda para pares Diameter
  • Acuerdo de claves Diffie-Hellman en TLS
  • No transmisión de claves en texto claro

2.9 Cumplimiento y Normativas

Cumplimiento de Normativas Criptográficas:

  • NIST SP 800-52: directrices de TLS
  • NIST SP 800-131A: transiciones de algoritmos criptográficos
  • RFC 7525: recomendaciones de TLS
  • ETSI TS 133 310: seguridad de red IMS
  • 3GPP TS 33.203: seguridad de acceso IMS

Regulaciones Francesas de Criptografía:

  • Declaración de medios criptográficos (si aplica)
  • Certificación de productos criptográficos ANSSI (si es requerido)
  • No criptografía restringida a la exportación (todos los algoritmos estándar)

2.10 Resistencia al Criptoanálisis

2.10.1 Principios de Diseño

Defensa Contra el Criptoanálisis:

  • No algoritmos criptográficos personalizados/proprietarios
  • Solo algoritmos revisados por pares y estándar de la industria
  • Actualizaciones de seguridad regulares para bibliotecas criptográficas
  • Desaprobación de algoritmos débiles

2.10.2 Seguridad Operativa

Rotación de Claves:

  • Renovación de certificados TLS (anualmente recomendada)
  • Rotación de claves de sesión (por sesión para TLS)
  • Políticas de expiración de contraseñas (configurable)

Monitoreo y Detección:

  • Registro de intentos de autenticación fallidos
  • Alertas de expiración de certificados
  • Registro de negociación de conjuntos de cifrado
  • Detección de anomalías para fallos de cifrado

3. CONTROL DE INTERCEPCIÓN Y AUTORIZACIÓN

Autorización Administrativa:

  • Las características de intercepción legal requieren privilegios de nivel administrador
  • Acceso a la configuración de SIPREC: solo rol de superadministrador
  • Acceso a CDR: permisos basados en roles configurables
  • Registro de auditoría de todas las acciones relacionadas con la intercepción

Integración del Marco Legal:

  • Seguimiento de órdenes de intercepción (integración de sistema externo)
  • Listas de autorización de identificadores de objetivo
  • Activación de intercepción limitada en el tiempo
  • Desactivación automática al expirar la orden

3.2 Retención de Datos y Privacidad

Políticas de Retención:

  • Retención de CDR: configurable (predeterminado 90 días, requisito regulatorio 1 año)
  • Registros de registro: retención configurable
  • Registros de auditoría: retención mínima de 1 año
  • Purga automática de datos expirados

Protecciones de Privacidad:

  • Principio de mínima recopilación de datos
  • Limitación de propósito (provisión de servicios de telecomunicaciones)
  • Registro y monitoreo de acceso

3.3 Interfaces de Entrega para la Aplicación de la Ley

Interfaces de Intercepción Legal Estándar:

  • Soporte para interfaz ETSI LI (Intercepción Legal) (a través de dispositivo de mediación externo)
  • Integración de SIPREC a gateway LI
  • Soporte para interfaces X1, X2, X3 (sistema externo)

Formatos de Entrega:

  • IRI (Información Relacionada con la Intercepción): metadatos de CDR
  • CC (Contenido de la Comunicación): señalización SIP + medios (a través de MRF)
  • Informes estructurados: formatos XML, JSON

4. SEGURIDAD E INTEGRIDAD DEL SISTEMA

4.1 Seguridad de Arranque

Mecanismos de Arranque Seguro:

  • Protección de parámetros de arranque (requisito ANSSI R226)
  • Verificación de integridad de configuración
  • Detección de manipulaciones al inicio
  • Carga segura de configuración

4.2 Seguridad de Red

Seguridad de Red:

  • Puertos expuestos mínimos (solo SIP, Diameter, HTTPS)
  • Control de acceso basado en puertos
  • Lista blanca/negra de IP

4.3 Detección de Intrusiones

Capacidades de Monitoreo:

  • Monitoreo de autenticaciones fallidas
  • Detección de patrones de llamadas inusuales
  • Detección de tráfico Diameter anómalo
  • Alertas de eventos de seguridad (integración SIEM)

5. REFERENCIAS DE DOCUMENTACIÓN

5.1 Manuales Técnicos

Documentación disponible en el repositorio del proyecto:

  • README.md: Descripción general del sistema, arquitectura y características operativas
  • doc/deployment_guide.md: Instrucciones de despliegue (si están disponibles)
  • doc/configuration.md: Referencia de configuración (si está disponible)

5.2 Certificaciones de Seguridad

  • Informes de Pruebas de Penetración: [Se proporcionará a solicitud]
  • Informes de Auditoría de Seguridad: [Se proporcionará a solicitud]
  • Validación de Módulo Criptográfico: Cumplimiento de OpenSSL FIPS 140-2

5.3 Documentación de Cumplimiento

  • Solicitud de Autorización ANSSI R226: Este documento
  • Cumplimiento de Intercepción Legal: Según lo requerido por las regulaciones de telecomunicaciones francesas

6. INFORMACIÓN DE CONTACTO

Información del Proveedor/Operador:

  • Nombre de la Empresa: Omnitouch Network Services Pty Ltd
  • Dirección: PO BOX 296, QUINNS ROCKS WA 6030, AUSTRALIA
  • Persona de Contacto: Equipo de Cumplimiento
  • Correo Electrónico: compliance@omnitouch.com.au

Contacto de Seguridad Técnica:

Contacto Legal/Cumplimiento:

APÉNDICES

Apéndice A: Ejemplos de Flujo de Mensajes SIP

A.1 Flujo de Llamadas Móviles de Origen con Puntos de Intercepción

Leyenda: [INTERCEPCIÓN] = Puntos donde se captura la información de intercepción legal

A.2 Llamada de Emergencia con Seguimiento de Ubicación

A.3 Establecimiento de Sesión de Grabación SIPREC

Apéndice B: Esquema de CDR

El sistema OmniTAS almacena Registros de Detalle de Llamadas en una base de datos SQLite (formato CDR de FreeSWITCH) ubicada en /etc/freeswitch/db/cdr.db.

Nombre del CampoTipoDescripciónRelevancia para la Intercepción
uuidTEXTIdentificador único de llamadaCorrelación de sesión
caller_id_numberTEXTNúmero de la parte que llama (MSISDN)Identificador principal para seguimiento de objetivos
caller_id_nameTEXTNombre de visualización de la parte que llamaVerificación de identidad
destination_numberTEXTNúmero de la parte llamadaSeguimiento del destino objetivo
start_stampDATETIMEMarca de tiempo de inicio de la llamadaLínea de tiempo del evento
answer_stampDATETIMEMarca de tiempo de respuesta de la llamadaTiempo de establecimiento de la llamada
end_stampDATETIMEMarca de tiempo de finalización de la llamadaCálculo de duración de la sesión
durationINTEGERDuración total de la llamada (segundos)Longitud de la sesión
billsecINTEGERSegundos facturables (tiempo respondido)Duración real de la conversación
hangup_causeTEXTRazón de terminación de la llamadaAnálisis del resultado de la llamada
sip_hangup_dispositionTEXTDetalles de terminación SIPTerminación a nivel de protocolo
network_addrTEXTDirección IP de la redSeguimiento de ubicación de origen
sip_from_userTEXTParte del usuario del encabezado SIP FromIdentidad SIP original
sip_to_userTEXTParte del usuario del encabezado SIP ToDestino SIP
sip_call_idTEXTEncabezado SIP Call-IDCorrelación de sesión SIP

Consulta de llamadas por número objetivo:

SELECT * FROM cdr
WHERE caller_id_number = '+33612345678'
   OR destination_number = '+33612345678'
ORDER BY start_stamp DESC;

Consulta de llamadas dentro de una ventana de tiempo:

SELECT * FROM cdr
WHERE start_stamp BETWEEN '2025-11-01 00:00:00' AND '2025-11-30 23:59:59'
  AND (caller_id_number = '+33612345678' OR destination_number = '+33612345678')
ORDER BY start_stamp DESC;

Exportar a CSV para la aplicación de la ley:

.mode csv
.output /tmp/interception_report.csv
SELECT caller_id_number, destination_number, start_stamp, end_stamp, duration, hangup_cause
FROM cdr
WHERE caller_id_number = '+33612345678'
ORDER BY start_stamp DESC;
.output stdout

B.3 Retención de CDR

  • Retención predeterminada: configurable (típicamente de 90 días a 1 año)
  • Purga automática: soportada
  • Exportación manual: a través de la interfaz web en /cdr o API
  • Formato: base de datos SQLite, exportable a CSV/JSON

Apéndice C: Ejemplos de Configuración SIPREC

SIPREC (Protocolo de Grabación de Sesiones) permite que el OmniTAS envíe tanto la señalización de llamadas como los medios a Servidores de Grabación de Sesiones externos para intercepción legal.

C.1 Arquitectura SIPREC

C.2 Activación de Grabación SIPREC

La grabación puede ser activada en función de:

Basado en Objetivos:

  • Número de teléfono del llamante (caller_id_number)
  • Número de teléfono llamado (destination_number)
  • Coincidencia de URI SIP

Basado en Eventos:

  • Todas las llamadas de emergencia (911, 112, etc.)
  • Llamadas a/de destinos específicos
  • Grabación basada en ventanas de tiempo

Geográfico:

  • Ubicación de la torre celular (a través del encabezado P-Access-Network-Info)
  • Rangos de direcciones IP

C.3 Contenido de la Sesión SIPREC

La sesión SIPREC envía al SRS:

Metadatos de Señalización:

  • Encabezados SIP completos (From, To, P-Asserted-Identity)
  • Call-ID e identificadores de sesión
  • Marcas de tiempo (inicio, respuesta, finalización)
  • Información del llamante/llamado

Flujos de Medios:

  • Flujo RTP del participante 1 (audio del llamante)
  • Flujo RTP del participante 2 (audio del llamado)
  • Información del códec
  • Tonos DTMF

C.4 Integración con la Aplicación de la Ley

El Servidor de Grabación de Sesiones proporciona:

  • Interfaz X1: Función administrativa (gestión de órdenes)
  • Interfaz X2: Información Relacionada con la Intercepción (IRI) - metadatos de llamada
  • Interfaz X3: Contenido de la Comunicación (CC) - contenido de medios real

El OmniTAS actúa como el Cliente de Grabación de Sesiones (SRC) y entrega tanto IRI como CC al SRS para su entrega a la aplicación de la ley a través de interfaces estandarizadas.

Apéndice D: Guía de Configuración de Cifrado

D.1 Generación de Certificados

Generar Certificado TLS:

# Generar clave privada
openssl genrsa -out server.key 4096

# Generar solicitud de firma de certificado
openssl req -new -key server.key -out server.csr

# Certificado autofirmado (para pruebas)
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

# Producción: Obtener certificado de CA confiable

Nota: La señalización SIP hacia/desde IMS no utiliza TLS. La comunicación SIP es TCP/UDP sin cifrar.

D.2 Configuración de HTTPS para la Interfaz Web

TLS para API/Servidor Web (config/runtime.exs):

config :api_ex,
  api: %{
    enable_tls: true,
    tls_cert_path: "priv/cert/server.crt",
    tls_key_path: "priv/cert/server.key",
    tls_versions: [:"tlsv1.2", :"tlsv1.3"],
    ciphers: [
      "ECDHE-RSA-AES256-GCM-SHA384",
      "ECDHE-RSA-AES128-GCM-SHA256",
      "TLS_AES_256_GCM_SHA384",
      "TLS_AES_128_GCM_SHA256"
    ]
  }

D.3 Configuración SIP

Las interfaces SIP utilizan transporte TCP/UDP sin cifrar. No se requiere configuración TLS.

Perfil SIP de FreeSWITCH:

<!-- El perfil SIP utiliza solo TCP/UDP -->
<profile name="external">
  <settings>
    <param name="sip-port" value="5060"/>
    <param name="context" value="public"/>
  </settings>
</profile>

D.4 Configuración TLS de Diameter

TLS para Pares Diameter:

# Habilitar TLS para conexiones Diameter
config :diameter_ex,
  peers: [
    %{
      host: "dra.example.com",
      port: 3868,
      transport: :tls,
      tls_opts: [
        certfile: "priv/cert/diameter.crt",
        keyfile: "priv/cert/diameter.key",
        cacertfile: "priv/cert/ca.crt",
        verify: :verify_peer
      ]
    }
  ]

D.5 Cifrado de Base de Datos

Cifrado de SQLite con SQLCipher:

# config/runtime.exs
config :exqlite,
  encryption: true,
  encryption_key: System.get_env("DB_ENCRYPTION_KEY")

Nota: El cifrado de base de datos es opcional. Para fines de intercepción legal, los controles de acceso físico y el registro de acceso a la base de datos pueden ser suficientes.

D.6 Configuración de Seguridad de Contraseñas

El hashing de contraseñas está configurado automáticamente con SHA-512 y sal:

# Configuración predeterminada de hashing de contraseñas
config :pbkdf2_elixir,
  rounds: 65_532,
  salt_len: 16

No se requiere configuración adicional - seguro por defecto.

Apéndice E: Glosario

Organismos Regulatorios y Normativos

  • ANSSI: Agence nationale de la sécurité des systèmes d'information - Agencia Nacional de Ciberseguridad de Francia
  • ETSI: Instituto Europeo de Normas de Telecomunicaciones
  • 3GPP: Proyecto de Asociación de Tercera Generación - Organización de normas de telecomunicaciones móviles
  • IETF: Fuerza de Tarea de Ingeniería de Internet - Organismo de normas de Internet

Componentes de la Red IMS

  • IMS: IP Multimedia Subsystem - Arquitectura de red All-IP para servicios multimedia
  • CSCF: Función de Control de Sesiones de Llamadas - Servidor SIP en el núcleo IMS
    • P-CSCF: Proxy-CSCF - Primer punto de contacto para UE, proxy SIP
    • I-CSCF: Interrogating-CSCF - Punto de entrada a la red del operador
    • S-CSCF: Serving-CSCF - Control de sesión y activación de servicios
  • HSS: Home Subscriber Server - Base de datos de suscriptores
  • TAS: Servidor de Aplicaciones de Telefonía/Telecomunicaciones - Ejecución de lógica de servicio

Protocolos y Señalización

  • SIP: Protocolo de Inicio de Sesiones (RFC 3261) - Protocolo de señalización para llamadas de voz/video
  • SDP: Protocolo de Descripción de Sesiones (RFC 4566) - Parámetros de sesión de medios
  • RTP: Protocolo de Transporte en Tiempo Real (RFC 3550) - Transporte de flujos de medios
  • RTCP: Protocolo de Control de RTP - Monitoreo de calidad para RTP
  • SRTP: RTP Seguro (RFC 3711) - Flujos de medios cifrados
  • Diameter: Protocolo AAA utilizado en IMS (autenticación, autorización, contabilidad)
    • Sh: Interfaz Diameter para acceso a datos de suscriptores
    • Ro: Interfaz Diameter para cobro en línea
  • SIPREC: Protocolo de Grabación de Inicio de Sesiones (RFC 7866) - Protocolo de grabación de llamadas

Equipos de Telecomunicaciones

  • SBC: Controlador de Frontera de Sesiones - Seguridad de red y gateway de medios
  • MRF: Función de Recursos de Medios - Procesamiento de medios (transcodificación, mezcla, grabación)
  • UE: Equipo de Usuario - Dispositivo o teléfono móvil
  • PSAP: Punto de Respuesta de Seguridad Pública - Centro de llamadas de servicios de emergencia
  • DRA: Agente de Enrutamiento Diameter - Enrutamiento de mensajes Diameter
  • LI: Intercepción Legal - Monitoreo legal de telecomunicaciones
  • IRI: Información Relacionada con la Intercepción - Metadatos de llamada para la aplicación de la ley
  • CC: Contenido de la Comunicación - Contenido de voz/medios real
  • SRC: Cliente de Grabación de Sesiones - Cliente SIPREC (rol de OmniTAS)
  • SRS: Servidor de Grabación de Sesiones - Servidor SIPREC para almacenamiento de grabaciones
  • Interfaz X1: Interfaz administrativa de LI (gestión de órdenes)
  • Interfaz X2: Interfaz LI para entrega de IRI
  • Interfaz X3: Interfaz LI para entrega de CC
  • R226: Artículos R226-3 y R226-7 del Código Penal Francés que rigen el equipo de intercepción

Procesamiento de Llamadas

  • CDR: Registro de Detalle de Llamadas - Registro de facturación y registro para cada llamada
  • B2BUA: Agente de Usuario de Espalda a Espalda - Elemento SIP que actúa como cliente y servidor
  • DTMF: Tonos de Múltiples Frecuencias - Señales de tono de marcado
  • MSISDN: Número de Directorio Internacional de Suscriptores de Estación Móvil - Número de teléfono
  • IMSI: Identidad Internacional de Suscriptor Móvil - Identificador único de suscriptor
  • E.164: Plan de numeración internacional para números de teléfono

Seguridad y Cifrado

  • TLS: Seguridad de Capa de Transporte (RFC 5246, RFC 8446) - Protocolo de cifrado
  • PFS: Perfect Forward Secrecy - Propiedad criptográfica que asegura la seguridad de la clave de sesión
  • SHA-512: Algoritmo de Hash Seguro con salida de 512 bits
  • AES: Estándar de Cifrado Avanzado
  • RSA: Rivest-Shamir-Adleman - Algoritmo de criptografía de clave pública
  • ECDSA: Algoritmo de Firma Digital de Curva Elíptica
  • PKI: Infraestructura de Clave Pública - Sistema de gestión de certificados
  • CA: Autoridad de Certificación - Emite certificados digitales
  • CRL: Lista de Revocación de Certificados
  • OCSP: Protocolo de Estado de Certificado en Línea

Red y Ubicación

  • MAP: Parte de Aplicación Móvil - Protocolo SS7 para redes móviles
  • HLR: Registro de Ubicación del Hogar - Base de datos de ubicación de suscriptores (legado)
  • SS7: Sistema de Señalización No. 7 - Señalización telefónica legado
  • NANP: Plan de Numeración de América del Norte
  • Torre Celular/ID de Celda: Identificador de estación base de la red móvil para seguimiento de ubicación

Formatos de Datos y Almacenamiento

  • SQLite: Base de datos relacional embebida
  • SQLCipher: Extensión de SQLite con soporte de cifrado
  • CSV: Valores Separados por Comas - Formato de exportación
  • JSON: Notación de Objetos de JavaScript - Formato de intercambio de datos
  • XML: Lenguaje de Marcado Extensible - Formato de datos estructurados

Componentes de Aplicación

  • API: Interfaz de Programación de Aplicaciones - Acceso programático
  • UI: Interfaz de Usuario - Panel de control basado en web
  • RBAC: Control de Acceso Basado en Roles - Sistema de permisos
  • UUID: Identificador Único Universal - Seguimiento de sesión

Versión del Documento: 1.0
Fecha: 2025-11-29
Preparado para: Solicitud de Autorización ANSSI R226
Clasificación del Documento: Cumplimiento Regulatorio - Confidencial