Crear una cuenta
VozTelecom
VozTelecom
Servicios en la nube para empresas

Puntos sobre Seguridad VoIP

security ip 01

La seguridad en términos generales es muy importante, pero cuando tratamos interconexiones y sistemas basados en SIP/VoIP debemos tenerlos todavía más presentes, ya que un sistema sin seguridad o siendo esta muy baja, está totalmente expuesto en la red.

Por parte de VozTelecom disponemos de varios puntos para poder incrementar la seguridad en este tipo de servicios y de este modo no estar tan expuesto a cualquier ataque (escaneo de puertos vulnerables masivos, filtrado de credenciales, errores de red, backdoors, etc...).

A continuación quedan listados los puntos de seguridad que aplica VozTelecom al igual que recomendados:

 

Seguridad avanzada por parte de VozTelecom

 Filtrado / Restricción de WAN IP en área de clientes de VozTelecom

El filtro de IP para el registro permite mejorar la seguridad de su servicio Oigaa Direct, rechazando el uso de sus credenciales (usuario y password SIP) si no es desde la dirección o direcciones IP que usted configure.
Este punto se realiza antes de finalizar la instalación por parte del departamento de instalaciones, siempre y cuando la IP WAN del acceso sea Estática (sea o no de VozTelecom) y posteriormente puede añadir/eliminar IPs a traves del area de cliente.

 Control de Riesgo Inteligente

Sistema inteligente capaz de realizar el control en tiempo real de todas las llamadas emitidas y bloqueo de llamadas salientes en caso de detectar patrones de uso no habituales. Entre muchas cosas controla por ejemplo:

  • Número anormal de llamadas internacionales a destinos no habituales
  • Incremento repentino de llamadas a destinos especialmente caros.

Diariamente controla los niveles de riesgo de todos los clientes, si se detecta alguna irregularidad en algún cliente se analiza en detalle para tomar las medidas adecuadas: Notificar al cliente, aumentar límite de riesgo, etc...

Credenciales SIP

Credenciales del Trunk SIP encriptadas y actualizables por el usuario a través del Área de Usuario. Claves generadas automáticamente para evitar que sean sencillas. Para poder modificar las credenciales puede acceder a:

 

 Sin necesidad de aperturas de puertos

En el servicio Oigaa Direct no es necesaria la apertura de puertos para su funcionamiento, únicamente será necesario en casos puntuales (Extensiones remotas, etc...). Por lo que es un punto de seguridad pasivo, el cual no vulnera el acceso desde puertos expuestos (5060).

Duración máxima de llamadas

La duración máxima de llamada está configurada a 2 horas, así podemos evitar que una llamada se quede bloqueada y nos genere un gasto innecesario.

Bloqueo de Puertos SIP

Los CPE de VozTelecom tienen bloqueado por defecto los puertos SIP estándar. Si un Cliente quiere desbloquearlos, debe realizar una solicitud expresa y así podemos advertir de los riesgos que supone el utilizar puertos SIP estándar y abrirlos

Bloqueo de llamadas

 A través del Área de Usuario tenemos la posibilidad de bloqueo de llamadas salientes a ciertos destinos o el bloqueo total. Así, como medida preventiva podemos bloquear llamadas a numeración especial por ejemplo, o en caso de que detectemos alguna irregularidad podemos bloquear todas las llamadas.

 

Control de Autenticación

Sistema inteligente de control de intentos de autenticación en nuestra plataforma de manera que tras un cierto número de intentos fallidos en un período de tiempo se bloquea automáticamente la IP que está intentando autenticarse, para identificar una clave por fuerza bruta se necesitarían 10 años.

 

 

Recomendaciones sobre seguridad básica

 Puertos expuestos

El rango de puertos 5060-5062 es un rango muy filtrado por los ataques de fuerza bruta por ser los puertos por defecto para los servicios SIP/VoIP, por lo que siempre que sea posible se debería buscar una alternativa en cuanto a puertos a redirigir para extensiones remotas o servicios necesarios. También tener en cuenta los puertos de acceso a la parte de administración web (80-8080-443) y no dejarlos abiertos (si es necesario, realizarlo a través de puertos fuera de lo común o asimétricos, ej. 10050 -> 80).

Extensiones Remotas

Algunos escenarios de configuración precisan de redirección de puertos para la configuración de extensiones remotas. NO recomendamos dichos escenarios. Si configuramos extensiones remotas sin utilizar una VPN, estamos dejando una puerta abierta, por lo cual desde VozTelecom recomendamos:

  • Conexión de extensiones remotas a través de VPN.
  • No utilizar nunca los puertos estándares de configuración, NUNCA utilizar el 5060.
  • Aseguremos que la pareja usuario/contraseña de la extensión sea suficientemente compleja y que lo cambiamos regularmente. Evitemos patrones de configuración.
  • Autorización y configuración de registro de la extensión sólo desde la IP remota de la sede.

 

Credenciales de registro de la centralita

El usuario de red ( Usuario SIP) y la contraseña recibidos para la configuración de OIGAA Direct en la centralita NO se debe facilitar a NADIE. Quién disponga de esta información podrá cursar llamadas en su nombre y a su cargo.

 Password de la centralita

La contraseña de acceso local/remoto a la administración de la PBX es un punto que por lo general se obvia, dejando las credenciales por defecto, y es una de las brechas de seguridad habituales por la cual pueden acceder usuarios no deseados. Desde VozTelecom recomendamos SIEMPRE definir Passwords de más de 9 dígitos y las cuales contengan "Mayúsculas", "Letras", "Números" y "Caracteres especiales"($,%,@...).

Acceso a la Centralita

Todas las centralitas disponen de un interfaz de configuración. La gran mayoría de ellas permiten el acceso remoto a éste, ya sea mediante un navegador web o mediante un software específico. Debemos evitar dejar dicho acceso abierto a Internet, NO debemos dejar nunca redirecciones de puertos abiertos en el router para acceder al interfaz de configuración de la centralita.

 Access List (ACL) / White List

Si su centralita dispone de esta funcionalidad podrá permitir el acceso a la PBX únicamente desde ciertas IPs de confianza, lo cual es una buena herramienta para evitar que puedan acceder y sustraer las credenciales de su SIP Trunk.

 Firmware actualizado

Siempre que sea posible, mantener el Firmware actualizado en su PBX, ya que los fabricantes, a parte de añadir funcionalidades, corrigen pequeños fallos y en algunas ocasiones, brechas de seguridad.