Preguntas Webinar Webinar: Asegurando su solución VoIP
Oct 26, 2017
Q: ¿Un SBC puede ser virtualizado? A: Sí, es correcto. La iso para su instalación se la descarga en https://wiki.freepbx.org/display/SBC/SBC+Downloads Q: ¿Actualmente tengo mi central en Asterisk puro, puedo usar un SBC? A: Sí, un SBC proporciona seguridad y otros beneficios como transcoding, interoperabilidad, ocultación de la topología, QoS, NATeo y más para cualquier software o hardware que maneje comunicaciones SIP. Q: ¿El SBC genera certificados TLS/SSL? A: No, un certificado TLS es generado por una entidad tercera, como “Simple Authority”. Más detalles en estos dos enlaces: • https://wiki.freepbx.org/display/SBC/SBC+TLS+Certificates+using+Simple+Authority • https://wiki.freepbx.org/display/SBC/How+to+create+SSL+Certificates+for+your+TLS+support+on+Sangoma+SBC Q: ¿El SBC es compatible con cualquier IP-PBX? A: Si, es compatible con cualquier IP-PBX que hable SIP, una de sus tareas es justamente entender las distintas variaciones en las implementaciones de SIP y permitir que se entiendan los equipos involucrados. Q: Se requiere asegurar la conexión entre un ITSP y la PBX, ¿Necesitaría un SBC o configurando el servidor FreePBX tengo seguridad suficiente? A: Mientras más seguridad mejor. Si no tuvieras un SBC, una buena práctica es restringir el acceso desde cualquier IP no conocida, bloquear puertos y permitir solo el registro de IPs conocidas, por ejemplo la del operador si este da un SIP trunk. En ese caso un SBC ayudaría de todas maneras con temas de ocultación de la topología, negación de servicio, interoperabilidad, transcoding y más. Q: ¿Es posible instalar FreePBX sobre un appliance ELX de Elastix? A: Si es posible, Elastix usaba FreePBX en el núcleo y también, su SO estaba basado en CentOS al igual que FreePBX, de tal manera que una migración debería ser sencilla. Tener en cuenta que la última versión disponible de FreePBX (14) corre sobre una versión customizada de CentOS 7. Q: ¿Cuál es la dirección para ingresar a training y con qué usuario lo puedo hacer? A: Puedes ingresar en https://training.sangoma.com, el usuario es el mismo de https://portal.sangoma.com, es muy fácil crear una cuenta y es gratis. Q: ¿El curso FreePBX que está disponible en training.sangoma.com es en español? A: Por el momento el material disponible está en inglés solamente, sin embargo, estamos trabajando en la traducción de contenido a español. Q: ¿Fail2Ban viene instalado por defecto en FreePBX? A: Si, su configuración a nivel de webUI se ubica en el módulo "Intrusion Detection".
Q: ¿Que Softphone recomiendan usar para aprovechar todas las características de seguridad (incluyendo la encriptación SIP)? A: Sangoma ha desarrollado Zulu, un cliente de usuario final que incluye un softphone que usa web socket lo que permite usar WebRTC que por defecto encripta los flujos de medios. Hay otros clientes SIP como Bria, Zoiper y Blink que tienen la capacidad de trabajar incluyendo certificados TLS/SRTP. La parte principal de la seguridad inicia en el servidor. Q: ¿El SBC realiza el análisis del paquete SIP en algún nivel del protocolo? ¿Cómo hace el SBC para asegurar el protocolo SIP como tal? A: El SBC analiza cada paquete SIP que recibe y actúa acordemente según su configuración, puede por ejemplo bloquear la IP de origen si detecta repetidos paquetes SIP REGISTER fallidos; para el caso de la interoperabilidad, por ejemplo, es capaz de modificar en tiempo real las cabeceras de los paquetes SIP INVITE. Q: ¿Cómo está involucrado el SBC en el trafico RTP, ejecuta algún análisis que pueda afectar la calidad de servicio, provocar "drop" de paquetes? A: Las operaciones que el SBC es capaz de realizar a nivel de media incluyen transcodificación, encriptación, ajustes de niveles de ganancia, supresión de eco, reducción de ruido y ajuste de jitter. Estas operaciones más bien ayudan a mejorar la calidad del servicio y no provocan "drop" de paquetes RTP. Q: ¿Qué factores debo tomar en cuenta al momento de integrar un SBC a mi infraestructura? A: Ninguno en especial a más del físico: puerto de red disponible para sus conexiones LAN y WAN y espacio en el rack del cuarto de servidores. Tener presente eso sí que el SBC trabaja con paquetes SIP, otro tipo de comunicación VoIP como IAX o H.323 no son soportadas. Q: ¿Se requiere alguna variante en el SBC si se va a utilizar pjsip? ¿Es necesaria alguna configuración especial? O ¿El SBC soporta PJSIP? A: Ninguna variante, para el SBC es transparente SIP o PJSIP ya que este último utiliza el stack SIP. Q: ¿El SBC requiere adquirir licencias? A: Es correcto, tanto en las versiones de hardware como la versión de Virtual Machine, están basadas en licenciamiento por sesiones. En el caso de nuestro SBC Small Business, la versión de menor número de sesiones es 5 y se puede ir aumentando con licencias de 5 sesiones hasta llegar a las 20 sesiones. En el caso del SBC Virtual Machine, el licenciamiento es por paquetes de 25 sesiones. Q: ¿El transcoding en el SBC se puede realizar por software en lugar de hardware? A: Sí puede ser realizado por software también, la ventaja de tenerlo por hardware es la de liberar recursos de procesamiento al CPU del SBC. En el caso de la versión SBC VM (Virtual Machine) un D150 puede ser colocado en la red para poder realizar transcoding por hardware en el SBC virtualizado. Más detalles aquí: • https://wiki.freepbx.org/display/MTC/Media+Transcoding Q: ¿La versión VM de SBC incluye licenciamiento g729? A: El transcoding lo realiza la tarjeta D150, esta incluye licenciamiento para g729 Q: ¿Qué limitaciones tendría el intentar integrar un SBC con un servidor Skype for Business? A: Ninguna, está plenamente soportado. Q: ¿De qué forma podemos autoprovisionar por el panel web de PBXact a otras marcas de teléfonos IP? A: A través del módulo Endpoint Manager, aquí un listado de dispositivos soportados: • https://wiki.freepbx.org/display/FPG/EPM-Supported+Devices En PBXact, al igual que en FreePBX, el módulo Endpoint Manager soporta dispositivos de terceros bajo licenciamiento (una sóla licencia da soporte para todos los dispositivos de terceros compatibles). Para el caso de teléfonos Sangoma, el soporte está incluido sin costo adicional.
Q: ¿Hablando acerca de FreePBX, se tiene planes a futuro de sacar un módulo completo equivalente al antiguo a Elastix Call Center? A: FreePBX tiene por defecto funcionalidades de Call Center embebidas, por ejemplo, colas. El Call Center de Elastix estaba basado en el uso de colas de Asterisk y FreePBX. Actualmente tenemos un conjunto de módulos comerciales que incrementan la funcionalidad de Call Center, bien sea en el manejo de colas, en la reportería, entre otros. El módulo XactDialer es un marcado progresivo que hace llamadas salientes e incluye broadcast. Estamos trabajando en adicionar mayor funcionalidad, dirigida a agentes, supervisores y reportería. Aquí puedes encontrar más detalles: • https://www.sangoma.com/solutions/call-center/ Q: ¿Si habilito TLS/SRTP en algunos anexos podría comunicarme con anexos locales que no se les añada esa propiedad? A: Sí, es posible. Tener en cuenta eso sí que la seguridad/encriptación no estará presente para la pata de la comunicación que involucra al anexo no configurado con TLS/SRTP. Q: ¿Cómo puedo migrar versiones de Elastix 2.0/2/2 o más antiguas? A: Si la herramienta de migración no lo soporta, es necesario actualizar ese Elastix a la última versión disponible. Intenta haciendo la migración a una máquina de prueba. Aquí la herramienta de migración: • https://wiki.freepbx.org/display/PPS/Elastix+and+PBXinaFlash+to+FreePBX+Distro+Conversion+Tool Q: ¿Existe un curso para SBC? A: Si, al momento solo presencial. En https://training.sangoma.com estamos publicando las fechas de cursos disponibles. Q: ¿Tengo instalado FreePBX en un servidor Dell, cree un trocal SIP, luego lo elimine la troncal, ahora quiero crear una troncal de nuevo y ya no me lo permite, me sale error indicando que ya hay una troncal, cuál podría ser el problema? A: Es necesario levantar un ticket de Soporte (support.sangoma.com) para esto o bien borrar la troncal en la base de datos. Q: ¿Los appliances de Sangoma incluyen licenciamiento g729? A: No, Asterisk aún no incluye g729 por defecto. Q: ¿Los módulos como Class of Service están solamente disponibles en FreePBX comercial? A: Todos nuestros módulos comerciales están disponibles tanto para FreePBX y como para PBXact (nuestra distro "FreePBX comercial"), la diferencia es que con PBXact la mayoría de estos módulos comerciales ya viene incluidos de fábrica representando un costo menor que si se los adquiriesen uno por uno para ser instalados en un sistema FreePBX. Aquí se detalla qué módulos comerciales ya vienen incluidos con PBXact y cuales no: • https://www.sangoma.com/products/pbxact/ Todos nuestros módulos comerciales así como demás servicios y hardware Sangoma se los puede adquirir en https:// portal.sangoma.com Q: ¿Los videos de Entrenamiento están también en español? A: Estamos planificando traducir el contenido e inicialmente agregar subtítulos. Q: ¿Cómo se puede proteger a un hotel para que pueda realizar llamadas internacionales? A: En este punto es importante mencionar que si la integración de telefonía es tradicional (análoga o digital), es suficiente restringir el acceso del PBX a internet. Si fuera necesario que el PBX tenga acceso a internet, bloquear puertos, permitir el acceso únicamente a IPs conocidas. Si es telefonía SIP, un SBC entre el proveedor y la PBX es el escenario ideal, y si esto no es posible, bloquear todos los accesos y solo permitir el acceso de la IP del operador de telefonía, para el registro de la troncal. Q: ¿El PBX soporta cifrado de llamadas? A: Es correcto, varias distribuciones soportan SRTP actualmente, incluido FreePBX
Q: ¿FreePBX trae su propio Firewall con eso podría solucionar potenciales problemas de seguridad? A: FreePBX tiene un firewall, pero en seguridad siempre es recomendable todas las medidas posibles. FreePBX también tiene VPN, basado en OpenVPN. Q: ¿Una sesión en un SBC es igual a llamadas en línea de ida y vuelta? A: Los SBC son típicamente instalados como un B2BUA (Back to Back User Agent). Un B2BUA es un elemento lógico de red definido en aplicaciones SIP, opera entre dos “endpoints” en una sesión de comunicaciones y divide el canal de comunicación en dos “patas” diferentes (Call legs). Esto quiere decir que en una sesión hay dos legs, una leg que entra al SBC y otra leg que sale del mismo. En el caso de Sangoma, el licenciamiento (por sesiones) toma en consideración una conversación completa (las dos patas), a diferencia de algunos proveedores que toman una sesión por leg. Q: ¿Cuál es el precio de un appliance SBC? A: Depende de la aplicación y número de sesiones. El SBC SMB (Small Medium Business) tiene un precio de $695.00 para 10 sesiones. Puedes abrir una cuenta en https://portal.sangoma.com contamos con un Store en línea con precios de productos y servicios publicados. Q: ¿En el caso de acceso de extensiones remotas, podría usar un dyndns en caso de no tener una IP pública? A: Si es correcto, se puede utilizar dydns para el caso de querer utilizar extensiones remotas y no contar con una IP pública fija. Sangoma ofrece un servicio DNS dinámico configurable dentro el módulo comercial Sysadmin Pro. También se debe configurar en el menú Asterisk SIP Settings. Q: ¿En el caso del provisionamiento de teléfonos Sangoma, si tengo el teléfono en la red interna también se podrá provisionar con el provisionamiento de Sangoma? A: Sí, la funcionalidad de provisionamiento Zero Touch - para los teléfonos Sangoma - permite definir en nuestro Servidor de Redireccionamiento una IP/FQDN local o pública que le indica al teléfono dónde encontrar su servidor FreePBX. Si los teléfonos se encuentran en la misma red interna que el FreePBX se configura la IP local del FreePBX en nuestro portal.sangoma.com y listo. Q:¿Cómo me puedo volver distribuidor/reseller de Sangoma? A: El proceso inicia llenando un formulario en esta página: https://www.sangoma.com/company/partner-program/, luego enviamos un detalle de requerimientos que incluyen un kit de partner con el cual el integrador hacer DEMOS a sus clientes y entrenar a su personal técnico. Q: ¿Es recomendable desinstalar los módulos que no se utilizan para evitar vulnerabilidades y ahorro de recursos? A: Cuando el módulo instalado no corresponde a módulos oficiales de FreePBX, no hay manera para nosotros de saber si va a haber una vulnerabilidad. Es el caso que le pasó a una distro VoIP que incluía Vtiger como módulo de CRM. Vtiger tenía constantes problemas de seguridad y eso permitía acceso de hackers hacia la parte de telefonía del servidor. Para el caso de FreePBX, lo recomendable es revisar de manera constante noticias de seguridad de módulos que no estén en nuestros repositorios oficiales y, por supuesto, mantenerlos siempre actualizados. Q:¿Como puedo dar una seguridad a una solución de VoIP si se agrega otra marca de teléfonos o softphone (puertos)? La seguridad depende más del servidor UC, del medio ambiente de red que tengas, de infraestructura de seguridad en general, más que del teléfono o el softphone. Si tuvieras que escoger qué teléfonos usar, asegúrate que soporten TLS y SRTP y si es posible que su funcionalidad incluya VPN. Q: ¿Qué es ALG? A: Application Layer Gateway, y se recomienda deshabilitarlo en el router/firewall, porque agrega opciones que no son compatibles con SIP siempre. Q: ¿Se puede migrar PBX Elastix 2.5 a un PBX Sangoma? A: Si es posible. Sangoma desarrolló una herramienta de migración para todos los interesados, aquí tienes más información: https://www.freepbx.org/home2freepbx-conversion-tool/
Q: ¿Dónde consigo el ISO para una instalación de prueba? A: Para FreePBX puedes ir a: • https://www.freepbx.org/downloads/freepbx-distro/ Para un SBC puedes ir a este enlace: • https://wiki.freepbx.org/display/SBC/SBC+Downloads La licencia de prueba para 2 sesiones (llamadas) simultáneas puedes descargarla en: • https://www.sangoma.com/products/vega-enterprise-sbc-vmsoftware/ (botón "Download Now") Los pasos iniciales de configuración (una vez instalada la VM) se los describe en: • https://wiki.freepbx.org/display/SBC/Hardware+Installation Tener en cuenta sobre esta última página que el usuario es root pero la contraseña no es "sangoma" sino la que se configuró al momento de instalar el SBC. Contamos con bastante documentación en línea (por ahora únicamente en inglés) en: • https://wiki.freepbx.org/display/SBC • http://sbc.docs.sangoma.com Q:¿En qué versiones de FreePBX están disponibles las opciones de seguridad que se mostraron en este webinar? A: Desde la versión 13 y 14 (actuales). Las actualizaciones automáticas de seguridad están disponibles desde la versión 14. Q: ¿Cuál es un criterio de seguridad apropiado para casos en que los usuarios no están en la red interna, y deben registrarse a la PBX mediante un softphone? A: Upper Registration: https://wiki.freepbx.org/display/SBC/SBC+Upper+Registration Q: ¿El SBC tiene las posibilidades de crear servicio de VPN? No, son dos cosas diferentes, aunque FreePBX sí tiene VPN y puedes generar certificados e incluso provisionarlos a los teléfonos Sangoma a través del módulo Endpoint Manager. Q: ¿El límite de llamadas es un parámetro entre internos solamente? ¿Cómo aplica en el caso de troncales? A: Las llamadas concurrentes son el total de llamadas realizas por la PBX sea entre internos o entre un usuario interno llamando a un número telefónico, o una llamada entrante. La troncal en este caso es un medio.
© 2017 Sangoma Technologies. All Rights Reserved