Protegiendo su Solución VoIP - Sangoma Portal

26 oct. 2017 - La comunicación empresarial está adoptando decididamente Voz sobre IP (VoIP). – Eliminando ... Ruteador. IPBX. Internet. ITSP. Internet. + Voz. Troncal. SIP. Requiere Seguridad. • Seguridad en la Red. • Seguridad en el Servidor. (inmediaciones). • Seguridad ... Entiende SIP, el protocolo de señalización.
7MB Größe 61 Downloads 43 vistas
Protegiendo su Solución VoIP

Octubre 26, 2017 Eduardo Abad, Ingeniero de Pre-Ventas CALA

Antes de comenzar… • Abre y cierra su panel de control • Audio: • Elija Mic & Speakers para utilizar VoIP • Elija Telephone y marque utilizando la información provista • Envíe preguntas y comentarios a través del panel de Preguntas. Todas las preguntas se guardan, por lo tanto, si no tenemos tiempo para atender todas, las responderemos por escrito después de esta sesión • Nota: La presentación de hoy está siendo grabada y les será facilitada dentro de las siguientes 48 horas. © 2017 - Sangoma Technologies

2

Agenda • Migración a VoIP • Seguridad • Medidas de Seguridad de la Red – Lo Básico

• Seguridad en las inmediaciones • Actualizaciones de Software • Administración de contraseñas

– Asegurando su PBX – Seguridad en las llamadas y en funcionalidades

• Preguntas frecuentes

© 2017 - Sangoma Technologies

3

MIGRACIÓN A VOIP

© 2017 - Sangoma Technologies

4

Migración a VoIP •

El Mundo de las Telecomunicaciones está terminando de converger a SIP y VoIP – – – –

Las redes de los Telco están migrando internamente a conmutadores soft (soft switches) Los Telco han comenzado a dejar de soportar TDM, lo que obliga a los clientes a adoptar soluciones SIP/VoIP PBXs TDM ya no están disponibles Servicios de Troncales SIP creciendo aceleradamente •



EJ. Frost and Sullivan-$3.22B en el 2014 a $10.29B estimado para el 2020 en Norte America (Referencia: http://www.frost.com/prod/servlet/press-release.pag?docid=289265377 )

La comunicación empresarial está adoptando decididamente Voz sobre IP (VoIP) –

Eliminando la línea telefónica física y reemplazándola con tecnologías SIP • • •



Permitiendo las Comunicaciones Unificadas y videoconferencias Servicios alojados en la nube Troncales SIP

Beneficios tales como reducir costos recurrentes y gastos de capital, aparte de muchos otros como escalabilidad, números virtuales para presencia local, buzón de voz a email

© 2017 - Sangoma Technologies

5

Seguridad • La Seguridad debe siempre ser considerada – Sistemas heredados

• Fraude en llamadas a números de servicios • Fraude de PBX – llamadas internacionales • Fraude de Buzón de Voz

– Sistemas VoIP = Nuevos Retos

• La voz se viaja dentro de la misma red que la red de datos • Los hackers pueden atacar a todo el mundo usando tan solo IP • Señalización de voz (SIP) en texto plano dentro de paquetes IP

– Los hackers pueden ejecutar fácilmente trazas para monitorear información sensible » Direcciones IP, información de contactos, nombres de usuarios

© 2017 - Sangoma Technologies

6

Seguridad Dónde/Por qué/Cómo • Ejemplo de red VoIP – Voz y Datos juntos LAN Ruteador

Internet + Voz Internet

Troncal SIP

ITSP

Requiere Seguridad

• • •

Seguridad en la Red Seguridad en el Servidor (inmediaciones) Seguridad dentr de la IPPBX

IPBX

© 2017 - Sangoma Technologies

7

Hackeo de VoIP y PBX en aumento •



5 métodos de Fraude más comunes ($B USD) 5.22

Fraude de suscripción 4.42

Hackeo de PBX

5 métodos de Fraude con crecimiento más acelerado Hackeo de PBX Fraude de suscripción

10% 10%

Robo de Identidad

3.62

Hackeo VoIP

Hackeo VoIP

3.62

Fraude de distribuidor Robo de Identidad

3.35

Fraude de distribuidor 0

1

2

3

4

5

12%

6

7% 6% 0% 2% 4% 6% 8% 10% 12% 14% www.cfca.org/fraudlosssurvey/

© 2017 - Sangoma Technologies

8

Medidas de Seguridad de la Red – Lo Básico • Seguridad en las inmediaciones • Actualizaciones de Software • Administración de contraseñas

– Asegurando su PBX – Seguridad en las llamadas y en funcionalidades

© 2017 - Sangoma Technologies

9

Seguridad en las inmediaciones - Software •

Firewall

General VoIP Network



Configuración de la Red

LAN

– Protege la red de datos – IP DOS, Listas de Control de Acceso para tráfico deseado y no deseado

Ruteador

Internet + Voz Internet

– Virtual LANS (VLANS)

• Segregar la voz de los datos • Crea un obstáculo para que los hackers no tengan acceso a la red de voz en caso de que la red de datos se vea comprometida • Beneficio: prioriza el tráfico de voz sobre los datos para garantizar la calidad del servicio (QoS)

© 2017 - Sangoma Technologies

Troncales SIP

ITSP

IPBX

10

Seguridad en las inmediaciones - Hardware •

Session Border Controller (SBC) –

LAN



Firewall de hardware/software especializado para tráfico VoIP Entiende SIP, el protocolo de señalización VoIP por lo que puede analizar la información de la llamada (a nivel granular) y proteger contra • Fraud de llamadas a servicios • DOS • Todas las amenzas VoIP restantes

General VoIP Network

Ruteador

Internet + Voz

Troncal SIP Internet

ITSP

– Otras Funcionalidades • • • • •

Límite de llamadas Control de Admisión de Llamada para proteger el ancho de banda Ocultación de la topología Continuidad del negocio Transcodificación

© 2017 - Sangoma Technologies

IPBX

11

Seguridad en las inmediaciones - Recordatorio • NOTA IMPORTANTE: El Firewall de red protege únicamente su red de datos. Un SBC protege su red de Voz – Abrir puertos para permitir que VoIP funcione, expone su IPPBX a los hackers! – ALG no es su solución! Causa audio de una sola vía – no entiende SIP por lo que las llamadas pueden ser bloqueadas inintencionadamente

© 2017 - Sangoma Technologies

12

Seguridad en las inmediaciones - Recordatorio

SBC SMB • •

Orientado a pequeñas empresas 5, 10 y 20 sesiones

SBC Netborder (Carrier) • • •

SBC Enterprise VM Software

SBC Enterprise • • •

Orientado a empresas corporativas, carriers Hasta 4000 sesiones Permite hacer transcoding, integrar interfaces digitales



Hasta 4000 sesiones

Orientado a empresas corporativas 25, 50, 100 y 250 sesiones Permite hacer transcoding, integrar interfaces digitales

https://www.sangoma.com/products/sbc-hardware/ © 2017 - Sangoma Technologies

13

Actualizaciones de Software • Mantenga el software actualizado para todos los elementos de su infraestructura

FreePBX / PBXact PBX

– Actualizaciones de Seguridad – Sistema Operativo y aplicaciones – Siempre monitoreado - no 'configure y olvide'

• La seguridad es tan fuerte como tu enlace más débil

- Actualizaciones de sistema y de módulos - Notificaciones por correo electrónico

© 2017 - Sangoma Technologies

14

Administración de contraseñas •

Usar contraseñas seguras para todos los dispositivos de punto final

FreePBX /PBXact PBX

– Extensiones de Usuarios

• FreePBX / PBXact crea contraseñas predeterminadas complejas para tí

– Panel de Control de Usuario (UCP)



Cambiar las contraseñas de administrador predeterminadas

– Los hackers pueden realizar escaneos de red e intentar usar la contraseña predeterminada del fabricante para acceder a los sistemas



FreePBX / PBXact tiene un modulo de detección de contraseñas inseguras

© 2017 - Sangoma Technologies

15

Medidas de Seguridad de la Red – Lo Básico • Seguridad en las inmediaciones • Actualizaciones de Software • Administración de contraseñas

– Asegurando su PBX • • • •

Firewall Detección Intrusión Lista de Control de Acceso Administración de Puertos

– Seguridad en las llamadas y en funcionalidades © 2017 - Sangoma Technologies

16

Firewall • Siempre es bueno tener protección adicional más allá del Firewall de red • FreePBX / PBXact trae un Firewall incorporado – – – –

FreePBX / PBXact PBX Firewall

Asistente de configuración Se auto-configura Consciente del VoIP Responsivo

https://wiki.sangoma.com/display/FPG/Firewall

© 2017 - Sangoma Technologies

17

Detección de Intrusión • Fail2ban en FreePBX / PBXact

FreePBX / PBXact PBX

– Escanea los log en busca de intentos de autenticación fallidos, luego bloquea esas direcciones IP de origen. – Monitorea el acceso administrador a la GUI, la conectividad SIP y otros servicios – Notifica alertas mediante correo electrónico https://wiki.sangoma.com/display/FPG/ System+Admin+-+Intrusion+Detection

© 2017 - Sangoma Technologies

18

Lista de Control de Acceso • Asegure sus extensiones para que sólo permitan registros provenientes de una IP específica o de determinado rango de subred • Muy útil si se tiene personal remoto

FreePBX / PBXact PBX

– Limitar a un rango específico de subred si este se lo conoce

© 2017 - Sangoma Technologies

19

Administración de Puertos – Acceso de Usuarios • Cambiar los puertos predeterminados de administrador para el webUI y otras herramientas de usuario final en la red



FreePBX / PBXAct

– Cambie el puerto por defecto de la webUI – Cambie el puerto por defecto del Panel de Control de Usuario (UCP) – Cambie el puerto por defecto SSH (22) por otro

– Evita que los hackers intenten iniciar sesión en la IPPBX y demás servicios de red usando la configuración estándar del fabricante https://wiki.sangoma.com/display/FPG/System+Admin++Port+Management © 2017 - Sangoma Technologies

20

Administración de Puertos – Señalización • Cambie el puerto por defecto de señalización SIP (5060)



FreePBX / PBXact

– Puerto predeterminado para señalización VoIP – Cualquier hacker probará el puerto 5060 al escanear en busca de sistemas para ingresar – Verifique con su proveedor de truncal SIP antes de cambiar este puerto • Posibles discrepancias causarán problemas de registro y de llamadas

© 2017 - Sangoma Technologies

21

Medidas de Seguridad de la Red – Lo Básico • Seguridad en las inmediaciones • Actualizaciones de Software • Administración de contraseñas

– Asegurando su PBX – Seguridad en las llamadas y en funcionalidades • • • • • •

AMI Buzón de Voz Configuraciones SIP Spam VoIP Ruteo Aprovisionamiento de Teléfonos © 2017 - Sangoma Technologies

22

AMI • FreePBX / PBXact – La Interfaz de Manejo de Asterisk (AMI) es una API para integrar aplicaciones de terceros – Revise los permisos dados a las aplicaciones • ej Panel de Control de Usuario https://wiki.sangoma.com/display/FPG/ Asterisk+Managers+Interface

© 2017 - Sangoma Technologies

23

Buzón de Voz • Requerir contraseñas cuando los usuarios llaman desde su propia extensión • Monitorear el correo de voz de usuarios en busca de contraseñas débiles • Desactivar la devolución de llamada del correo de voz o marcado hacia afuera © 2017 - Sangoma Technologies

FreePBX / PBXact

24

Configuraciones SIP • Deshabilitar llamadas SIP entrantes anónimas

FreePBX / PBXact

– Deshabilitado por defecto – Utilizado para llamadas SIP-URI • ej. llámame a [email protected]

– Violación de seguridad esperando a suceder

© 2017 - Sangoma Technologies

25

Configuraciones SIP • Límite de llamadas – Limite el número de llamadas por extensión y por troncal – Si la extensión se ve comprometida, esto puede reducir significativamente la cantidad de llamadas fraudulentas y el costo relacionado para su negocio

FreePBX / PBXact

© 2017 - Sangoma Technologies

26

Configuraciones SIP • Encriptación – Encripte señalización VoIP y audio con TLS y SRTP – Prevenga que los hackers intenten escuchar y grabar información confidencial en llamadas – Entre la IPPBX y dispositivos de punto final dentro de su red

FreePBX / PBXact

• FreePBX / PBXact teléfono WebRTC pre-configurado © 2017 - Sangoma Technologies

27

Spam VoIP • Listas Negras – Prevenga recibir llamadas de origenes no deseados – Módulo incorporado en FreePBX / PBXact

FreePBX / PBXact

• *30 – añade número a lista negra • *32 – añade último llamante a lista negra • *31 – remueve número de lista negra

– Similar a sus filtros de correo no deseado, https://wiki.sangoma.com/display/FPG/Blacklist+Module pero para llamadas telefónicas

© 2017 - Sangoma Technologies

28

Ruteo •

Códigos Pin

– Marcado a destinos internacionales – Cuartos de Conferencia •



FreePBX / PBXact – Clase-de-Servicio

Habilitar también ‘esperar al líder’

Establecer Condiciones de Tiempo

– Llamadas salientes prohibidas fuera de horario – Llamadas salientes prohibidas hacia destinos específicos



FreePBX / PBXact Módulo ‘Clase-de-Servicio’ – Establecer permisos de extensión para: • • •

Rutas Salientes Grupos de Timbrado Colas …etc

https://wiki.sangoma.com/display/ FPG/Class+of+Service

© 2017 - Sangoma Technologies

29

Autoprovisionamiento de Teléfonos •

Deshabilite los métodos de aprovisionamiento de direcciones MAC cuando no sean necesarios

Teléfono Sangoma con FreePBX / PBXact

– Servicios de Redireccionamiento – Las listas de direcciones MAC de los fabricante son fácilmente accesibles – Los hackers pretenden ser un teléfono y solicitan detalles de aprovisionamiento



Los teléfonos IP Sangoma vienen asignados desde fábrica con un certificado único previniendo el hackeo por MAC © 2017 - Sangoma Technologies

30

Autoprovisionamiento de Teléfonos •

Configuración VPN con Sangoma

Conexión VPN entre teléfonos remotos e IPPBX

Tunel VPN

– Agrega nivel de seguridad para prevenir intrusos a la IPPBX – Los teléfonos IP Sangoma incluyen cliente VPN de fábrica, listos para conectarse con los servidores VPN dentro de FreePBX / PBXact



IPPBX con VPN incorporada

Internet

SBC Implementation

Session Border Controller

– Otra opción para proteger a los usuarios remotos de la IPPBX – Funciones de seguridad avanzadas – No utiliza recursos de la IPPBX

LAN

Internet

Oficina

SBC

SBC Oficina Sucursal/ Hogar

© 2017 - Sangoma Technologies

31

Resumen • • • • •

La Educación sobre la Seguridad protege su red VoIP La Seguridad es tan fuerte como su enlace más débil FreePBX / PBXact de Sangoma ofrecen muchas herramientas para ayudar a proteger su red VoIP Un Session Border Controller proporciona una excelente protección de VoIP, junto con muchas otras características valiosas Recuerde no exagerar, de lo contrario algunos de sus usuarios pueden dedicarse a intentar eludir las políticas establecidas dejando sin propósito el haberlas levantado en primer lugar

© 2017 - Sangoma Technologies

32

Información

https://wiki.freepbx.org/ https://portal.sangoma.com/ https://training.sangoma.com/ © 2017 - Sangoma Technologies

33

¿Dónde?

© 2017 - Sangoma Technologies

34

Gracias!