Protegiendo su Solución VoIP
Octubre 26, 2017 Eduardo Abad, Ingeniero de Pre-Ventas CALA
Antes de comenzar… • Abre y cierra su panel de control • Audio: • Elija Mic & Speakers para utilizar VoIP • Elija Telephone y marque utilizando la información provista • Envíe preguntas y comentarios a través del panel de Preguntas. Todas las preguntas se guardan, por lo tanto, si no tenemos tiempo para atender todas, las responderemos por escrito después de esta sesión • Nota: La presentación de hoy está siendo grabada y les será facilitada dentro de las siguientes 48 horas. © 2017 - Sangoma Technologies
2
Agenda • Migración a VoIP • Seguridad • Medidas de Seguridad de la Red – Lo Básico
• Seguridad en las inmediaciones • Actualizaciones de Software • Administración de contraseñas
– Asegurando su PBX – Seguridad en las llamadas y en funcionalidades
• Preguntas frecuentes
© 2017 - Sangoma Technologies
3
MIGRACIÓN A VOIP
© 2017 - Sangoma Technologies
4
Migración a VoIP •
El Mundo de las Telecomunicaciones está terminando de converger a SIP y VoIP – – – –
Las redes de los Telco están migrando internamente a conmutadores soft (soft switches) Los Telco han comenzado a dejar de soportar TDM, lo que obliga a los clientes a adoptar soluciones SIP/VoIP PBXs TDM ya no están disponibles Servicios de Troncales SIP creciendo aceleradamente •
•
EJ. Frost and Sullivan-$3.22B en el 2014 a $10.29B estimado para el 2020 en Norte America (Referencia: http://www.frost.com/prod/servlet/press-release.pag?docid=289265377 )
La comunicación empresarial está adoptando decididamente Voz sobre IP (VoIP) –
Eliminando la línea telefónica física y reemplazándola con tecnologías SIP • • •
–
Permitiendo las Comunicaciones Unificadas y videoconferencias Servicios alojados en la nube Troncales SIP
Beneficios tales como reducir costos recurrentes y gastos de capital, aparte de muchos otros como escalabilidad, números virtuales para presencia local, buzón de voz a email
© 2017 - Sangoma Technologies
5
Seguridad • La Seguridad debe siempre ser considerada – Sistemas heredados
• Fraude en llamadas a números de servicios • Fraude de PBX – llamadas internacionales • Fraude de Buzón de Voz
– Sistemas VoIP = Nuevos Retos
• La voz se viaja dentro de la misma red que la red de datos • Los hackers pueden atacar a todo el mundo usando tan solo IP • Señalización de voz (SIP) en texto plano dentro de paquetes IP
– Los hackers pueden ejecutar fácilmente trazas para monitorear información sensible » Direcciones IP, información de contactos, nombres de usuarios
© 2017 - Sangoma Technologies
6
Seguridad Dónde/Por qué/Cómo • Ejemplo de red VoIP – Voz y Datos juntos LAN Ruteador
Internet + Voz Internet
Troncal SIP
ITSP
Requiere Seguridad
• • •
Seguridad en la Red Seguridad en el Servidor (inmediaciones) Seguridad dentr de la IPPBX
IPBX
© 2017 - Sangoma Technologies
7
Hackeo de VoIP y PBX en aumento •
•
5 métodos de Fraude más comunes ($B USD) 5.22
Fraude de suscripción 4.42
Hackeo de PBX
5 métodos de Fraude con crecimiento más acelerado Hackeo de PBX Fraude de suscripción
10% 10%
Robo de Identidad
3.62
Hackeo VoIP
Hackeo VoIP
3.62
Fraude de distribuidor Robo de Identidad
3.35
Fraude de distribuidor 0
1
2
3
4
5
12%
6
7% 6% 0% 2% 4% 6% 8% 10% 12% 14% www.cfca.org/fraudlosssurvey/
© 2017 - Sangoma Technologies
8
Medidas de Seguridad de la Red – Lo Básico • Seguridad en las inmediaciones • Actualizaciones de Software • Administración de contraseñas
– Asegurando su PBX – Seguridad en las llamadas y en funcionalidades
© 2017 - Sangoma Technologies
9
Seguridad en las inmediaciones - Software •
Firewall
General VoIP Network
•
Configuración de la Red
LAN
– Protege la red de datos – IP DOS, Listas de Control de Acceso para tráfico deseado y no deseado
Ruteador
Internet + Voz Internet
– Virtual LANS (VLANS)
• Segregar la voz de los datos • Crea un obstáculo para que los hackers no tengan acceso a la red de voz en caso de que la red de datos se vea comprometida • Beneficio: prioriza el tráfico de voz sobre los datos para garantizar la calidad del servicio (QoS)
© 2017 - Sangoma Technologies
Troncales SIP
ITSP
IPBX
10
Seguridad en las inmediaciones - Hardware •
Session Border Controller (SBC) –
LAN
–
Firewall de hardware/software especializado para tráfico VoIP Entiende SIP, el protocolo de señalización VoIP por lo que puede analizar la información de la llamada (a nivel granular) y proteger contra • Fraud de llamadas a servicios • DOS • Todas las amenzas VoIP restantes
General VoIP Network
Ruteador
Internet + Voz
Troncal SIP Internet
ITSP
– Otras Funcionalidades • • • • •
Límite de llamadas Control de Admisión de Llamada para proteger el ancho de banda Ocultación de la topología Continuidad del negocio Transcodificación
© 2017 - Sangoma Technologies
IPBX
11
Seguridad en las inmediaciones - Recordatorio • NOTA IMPORTANTE: El Firewall de red protege únicamente su red de datos. Un SBC protege su red de Voz – Abrir puertos para permitir que VoIP funcione, expone su IPPBX a los hackers! – ALG no es su solución! Causa audio de una sola vía – no entiende SIP por lo que las llamadas pueden ser bloqueadas inintencionadamente
© 2017 - Sangoma Technologies
12
Seguridad en las inmediaciones - Recordatorio
SBC SMB • •
Orientado a pequeñas empresas 5, 10 y 20 sesiones
SBC Netborder (Carrier) • • •
SBC Enterprise VM Software
SBC Enterprise • • •
Orientado a empresas corporativas, carriers Hasta 4000 sesiones Permite hacer transcoding, integrar interfaces digitales
•
Hasta 4000 sesiones
Orientado a empresas corporativas 25, 50, 100 y 250 sesiones Permite hacer transcoding, integrar interfaces digitales
https://www.sangoma.com/products/sbc-hardware/ © 2017 - Sangoma Technologies
13
Actualizaciones de Software • Mantenga el software actualizado para todos los elementos de su infraestructura
FreePBX / PBXact PBX
– Actualizaciones de Seguridad – Sistema Operativo y aplicaciones – Siempre monitoreado - no 'configure y olvide'
• La seguridad es tan fuerte como tu enlace más débil
- Actualizaciones de sistema y de módulos - Notificaciones por correo electrónico
© 2017 - Sangoma Technologies
14
Administración de contraseñas •
Usar contraseñas seguras para todos los dispositivos de punto final
FreePBX /PBXact PBX
– Extensiones de Usuarios
• FreePBX / PBXact crea contraseñas predeterminadas complejas para tí
– Panel de Control de Usuario (UCP)
•
Cambiar las contraseñas de administrador predeterminadas
– Los hackers pueden realizar escaneos de red e intentar usar la contraseña predeterminada del fabricante para acceder a los sistemas
•
FreePBX / PBXact tiene un modulo de detección de contraseñas inseguras
© 2017 - Sangoma Technologies
15
Medidas de Seguridad de la Red – Lo Básico • Seguridad en las inmediaciones • Actualizaciones de Software • Administración de contraseñas
– Asegurando su PBX • • • •
Firewall Detección Intrusión Lista de Control de Acceso Administración de Puertos
– Seguridad en las llamadas y en funcionalidades © 2017 - Sangoma Technologies
16
Firewall • Siempre es bueno tener protección adicional más allá del Firewall de red • FreePBX / PBXact trae un Firewall incorporado – – – –
FreePBX / PBXact PBX Firewall
Asistente de configuración Se auto-configura Consciente del VoIP Responsivo
https://wiki.sangoma.com/display/FPG/Firewall
© 2017 - Sangoma Technologies
17
Detección de Intrusión • Fail2ban en FreePBX / PBXact
FreePBX / PBXact PBX
– Escanea los log en busca de intentos de autenticación fallidos, luego bloquea esas direcciones IP de origen. – Monitorea el acceso administrador a la GUI, la conectividad SIP y otros servicios – Notifica alertas mediante correo electrónico https://wiki.sangoma.com/display/FPG/ System+Admin+-+Intrusion+Detection
© 2017 - Sangoma Technologies
18
Lista de Control de Acceso • Asegure sus extensiones para que sólo permitan registros provenientes de una IP específica o de determinado rango de subred • Muy útil si se tiene personal remoto
FreePBX / PBXact PBX
– Limitar a un rango específico de subred si este se lo conoce
© 2017 - Sangoma Technologies
19
Administración de Puertos – Acceso de Usuarios • Cambiar los puertos predeterminados de administrador para el webUI y otras herramientas de usuario final en la red
•
FreePBX / PBXAct
– Cambie el puerto por defecto de la webUI – Cambie el puerto por defecto del Panel de Control de Usuario (UCP) – Cambie el puerto por defecto SSH (22) por otro
– Evita que los hackers intenten iniciar sesión en la IPPBX y demás servicios de red usando la configuración estándar del fabricante https://wiki.sangoma.com/display/FPG/System+Admin++Port+Management © 2017 - Sangoma Technologies
20
Administración de Puertos – Señalización • Cambie el puerto por defecto de señalización SIP (5060)
•
FreePBX / PBXact
– Puerto predeterminado para señalización VoIP – Cualquier hacker probará el puerto 5060 al escanear en busca de sistemas para ingresar – Verifique con su proveedor de truncal SIP antes de cambiar este puerto • Posibles discrepancias causarán problemas de registro y de llamadas
© 2017 - Sangoma Technologies
21
Medidas de Seguridad de la Red – Lo Básico • Seguridad en las inmediaciones • Actualizaciones de Software • Administración de contraseñas
– Asegurando su PBX – Seguridad en las llamadas y en funcionalidades • • • • • •
AMI Buzón de Voz Configuraciones SIP Spam VoIP Ruteo Aprovisionamiento de Teléfonos © 2017 - Sangoma Technologies
22
AMI • FreePBX / PBXact – La Interfaz de Manejo de Asterisk (AMI) es una API para integrar aplicaciones de terceros – Revise los permisos dados a las aplicaciones • ej Panel de Control de Usuario https://wiki.sangoma.com/display/FPG/ Asterisk+Managers+Interface
© 2017 - Sangoma Technologies
23
Buzón de Voz • Requerir contraseñas cuando los usuarios llaman desde su propia extensión • Monitorear el correo de voz de usuarios en busca de contraseñas débiles • Desactivar la devolución de llamada del correo de voz o marcado hacia afuera © 2017 - Sangoma Technologies
FreePBX / PBXact
24
Configuraciones SIP • Deshabilitar llamadas SIP entrantes anónimas
FreePBX / PBXact
– Deshabilitado por defecto – Utilizado para llamadas SIP-URI • ej. llámame a
[email protected]
– Violación de seguridad esperando a suceder
© 2017 - Sangoma Technologies
25
Configuraciones SIP • Límite de llamadas – Limite el número de llamadas por extensión y por troncal – Si la extensión se ve comprometida, esto puede reducir significativamente la cantidad de llamadas fraudulentas y el costo relacionado para su negocio
FreePBX / PBXact
© 2017 - Sangoma Technologies
26
Configuraciones SIP • Encriptación – Encripte señalización VoIP y audio con TLS y SRTP – Prevenga que los hackers intenten escuchar y grabar información confidencial en llamadas – Entre la IPPBX y dispositivos de punto final dentro de su red
FreePBX / PBXact
• FreePBX / PBXact teléfono WebRTC pre-configurado © 2017 - Sangoma Technologies
27
Spam VoIP • Listas Negras – Prevenga recibir llamadas de origenes no deseados – Módulo incorporado en FreePBX / PBXact
FreePBX / PBXact
• *30 – añade número a lista negra • *32 – añade último llamante a lista negra • *31 – remueve número de lista negra
– Similar a sus filtros de correo no deseado, https://wiki.sangoma.com/display/FPG/Blacklist+Module pero para llamadas telefónicas
© 2017 - Sangoma Technologies
28
Ruteo •
Códigos Pin
– Marcado a destinos internacionales – Cuartos de Conferencia •
•
FreePBX / PBXact – Clase-de-Servicio
Habilitar también ‘esperar al líder’
Establecer Condiciones de Tiempo
– Llamadas salientes prohibidas fuera de horario – Llamadas salientes prohibidas hacia destinos específicos
•
FreePBX / PBXact Módulo ‘Clase-de-Servicio’ – Establecer permisos de extensión para: • • •
Rutas Salientes Grupos de Timbrado Colas …etc
https://wiki.sangoma.com/display/ FPG/Class+of+Service
© 2017 - Sangoma Technologies
29
Autoprovisionamiento de Teléfonos •
Deshabilite los métodos de aprovisionamiento de direcciones MAC cuando no sean necesarios
Teléfono Sangoma con FreePBX / PBXact
– Servicios de Redireccionamiento – Las listas de direcciones MAC de los fabricante son fácilmente accesibles – Los hackers pretenden ser un teléfono y solicitan detalles de aprovisionamiento
•
Los teléfonos IP Sangoma vienen asignados desde fábrica con un certificado único previniendo el hackeo por MAC © 2017 - Sangoma Technologies
30
Autoprovisionamiento de Teléfonos •
Configuración VPN con Sangoma
Conexión VPN entre teléfonos remotos e IPPBX
Tunel VPN
– Agrega nivel de seguridad para prevenir intrusos a la IPPBX – Los teléfonos IP Sangoma incluyen cliente VPN de fábrica, listos para conectarse con los servidores VPN dentro de FreePBX / PBXact
•
IPPBX con VPN incorporada
Internet
SBC Implementation
Session Border Controller
– Otra opción para proteger a los usuarios remotos de la IPPBX – Funciones de seguridad avanzadas – No utiliza recursos de la IPPBX
LAN
Internet
Oficina
SBC
SBC Oficina Sucursal/ Hogar
© 2017 - Sangoma Technologies
31
Resumen • • • • •
La Educación sobre la Seguridad protege su red VoIP La Seguridad es tan fuerte como su enlace más débil FreePBX / PBXact de Sangoma ofrecen muchas herramientas para ayudar a proteger su red VoIP Un Session Border Controller proporciona una excelente protección de VoIP, junto con muchas otras características valiosas Recuerde no exagerar, de lo contrario algunos de sus usuarios pueden dedicarse a intentar eludir las políticas establecidas dejando sin propósito el haberlas levantado en primer lugar
© 2017 - Sangoma Technologies
32
Información
https://wiki.freepbx.org/ https://portal.sangoma.com/ https://training.sangoma.com/ © 2017 - Sangoma Technologies
33
¿Dónde?
© 2017 - Sangoma Technologies
34
Gracias!
