Plática impartida por Ariel Mapelman VP Business Xorcom
Habla sobre la visión de CompletePBX y la incorporación de un SBC por software que evita ataques al sistema.
3. www.xorcom.com
Xorcom - Empresa
2004Fundación:
Desarrollo, Producción y Comercialización de
soluciones esenciales para la comunicación corporativa
Objetivo:
Casa Central en Israel y oficina comercial para EE.UU.
y Canadá
Oficinas:
95% de las ventas exportadas a más de 100 países.
América Latina equivale a más del 30% de las ventas
globales. México es el principal Mercado regional
Actividad:
Corporaciones, Instituciones de Gobierno, Operadores
de Telefonía, Distribuidores, Fabricantes de Equipos.
Nuestros
clientes:
5. www.xorcom.com
Eliminar el Miedo al Hacking y Proteger
• Mientras que los beneficios del VoIP son
grandes,
• Internet está lleno de amenazas
• Un PBX IP sin protección puede ser hackeado
en menos de 30 minutos
• Hay un enorme Mercado de llamadas ilegales
• La Seguridad es la prioridad #1 para carriers; y
tambien fundamental para los usuarios
• Qué hacer…?
6. www.xorcom.com
Seguridad: necesidad y demanda del
mercado
• Organismos regulatorios
• Operadores de Servicio (carriers)
• Nuevos estándares requeridos por usuarios
• Xorcom ha implementado las demandas del Mercado y
lo exigido por la regulación:
• Claves complejas
• Filtros para direcciones IP locales
• Bloqueo de llamadas entrantes de fuentes desconocidas
• Rechazo de solicitudes SIP con una única respuesta (evita
ataques de fuerza bruta)
• No configurar llamadas de troncal a troncal sin control
• DISA y call back protegidas con claves
7. www.xorcom.com
Cont’
• Definir claves para llamadas internacionales (y toda ruta de alto costo)
• Cambiar claves de MySQL, de la interface web y de AMI (Asterisk
Management Interface)
• Cambiar clave de usuario root de Linux
• Chequear que el control de intrusión está bien configurado y
funcionando
• El conmutador IP debe instalarse en una red protegida (detrás de
firewall)
• No exponer puertos SIP-IAX (use puertos no estándar)
• Puertos SSH no estándar
• Use SSH para acceder a la interface web. No exponga HTTP o HTTPS
• Active el firewall del conmutador
• Instale el conmutador detrás de un Session Border Controller (SBC)
8. www.xorcom.com
Qué es un SBC?
• SBC = Session Border Controller
(Controladora de Borde de Sesión de Red)
• Es un Hardware o software que normalmente
está situado entre la red pública (“poco
confiable”) y las redes del proveedor de servicios
y de la empresa (“confiable”)
• Históricamente, el SBC era utilizado para resolver
problemas en SIP relacionados con NAT
• Hoy en día los SBC tienen un papel importante en
la protección del tráfico de voz en las redes SIP
9. www.xorcom.com
SIP/RTP
Qué es SBC en una red VoIP?
001100110100
Red Local del Cliente
Extensiones Remotas
Servicios
de Datos
Servicios
de Voz
11. www.xorcom.com
Seguridad, Seguridad, Seguridad
• El CompleteSBC sella efectivamente el PBX:
• El Administrador debe habilitar el sistema
CompleteSBC
• CompleteSBC rechaza todas las solicitudes SIP en su interfaz
pública (puerto 6075)
• El administrador debe habilitar el sistema para utilizar
CompleteSBC
• La configuración estándar de la lista con Nombres de Agentes
contiene todos los terminales SIP soportados por el
Administrador de Dispositivos (EPM) de cPBX: Zoiper, Asterisk y
CompletePBX (‘GHJ’)
• El administrador debe remover cualquier Nombre de Agente
irrelevante y agregar los específicos para esa instalación utilizando la
misma sintáxis
• Solicitudes SIP enviadas con un Nombre de Agente no definido
en la configuración será rechazado
12. www.xorcom.com
Session Border Controller Integrado
• Incorporado en CompletePBX
• Pre-instalado
• Incluye licencias demo
• Interfaz gráfica de usuario
• Pre-configurado e
inicialmente bloqueado
• Permite reglas
sofisticadas
14. www.xorcom.com
Medidas de Seguridad Soportadas
• Firewall SIP
• Control de Acceso y prevención de fraude
• Denegación de Servicio (DOS) y protección de
sobrecarga
• NAT transversal
• Ruteo inteligente
• Mediación en interoperabilidad
• Beneficia instalaciones con
múltiples proveedores de servicio
15. www.xorcom.com
Información Adicional
• Licencia de Software
• Se puede aplicar de forma remota
• Costos por canal
• Sistema de 64-bit (requiere CompletePBX v. 4.6.x)
• Para configuraciones TwinStar, el CompleteSBC
necesita ser instalado en un servidor Xorcom
adicional
• Este servidor dedicado debe soportar el máximo
número de llamadas SIP simultáneas necesarias
18. www.xorcom.com
Camuflaje
• CompletePBX opera de forma Sigilosa
• Métodos de identificación de dispositivos/puertos
no estándar
• Configuración Segura para VoIP
• De forma predeterminada, son denegadas
solicitudes SIP no deseadas sin revelar la razón del
rechazo
• Ataques de Fuerza Bruta no pueden adivinar
fácilmente usuarios y claves SIP
19. www.xorcom.com
Vigilancia
• Prevención y Detección de Intrusión
• Cuenta con un Sistema de detección interno
contra accesos no autorizados basado en
parámetros pre-definidos por el usuario
• El usuario define el número de intentos
infructuosos de registración en un período
determinado de tiempo = intruso potencial
• Luego de detectarlo, la dirección IP del intruso es
bloqueada por un período determinado de tiempo
20. www.xorcom.com
Defensa #1: CompleteSBC™
• El SBC basado en Software sella el PBX-IP
• Actúa como un “firewall para SIP” a modo de
control de acceso
• Incluye reglas predefinidas pero configurables
• Incluye una interfaz GUI intuitiva
• Una versión demo se incluye en cada sistema
cPBX.*
* Versiones desde 4.6. La compra de una licencia electrónica remueve el límite máximo
de duración de las llamadas y puede ser usada para incrementar el número de canales
protegidos.
21. www.xorcom.com
Defensa #2: Firewall incorporado
• Los puntos más vulnerables para un cyber
ataque están en la línea de encuentro entre
las redes “confiable” y “no confiables”
• CompletePBX debe ser instalado en una red
LAN protegida por un firewall/NAT
• CompletePBX también tiene su propio firewall
• Reglas pre-determinadas pueden ser modificadas
para habilitar aplicaciones específicas relevantes
para el cliente.
22. www.xorcom.com
Defensa #3: Bloqueo Inicial
• CompletePBX viene pre-configurado de tal
forma que aplica políticas de seguridad
restrictivas:
• En la configuración pre-determinada las llamadas
SIP desde terminales ubicadas fuera de la LAN
serán rechazadas
• La configuración del firewall de CompletePBX
debe ser modificada para poder recibir llamadas
entrantes desde fuentes ubicadas en Internet
23. www.xorcom.com
Defensa #4: Fortaleza de las claves
• Defina claves suficientemente complejas para
las extensiones SIP/IAX2, DISA, y call-back
• Defina claves para todas las rutas de salida
• Un algoritmo interno detecta contraseñas
débiles y emite una alerta
24. www.xorcom.com
Defensa #5: Acceso Remoto
• Utilice el Rapid Tunneling de Xorcom para
obtener un acceso remoto seguro
• La interfaz Web de CompletePBX se accede a
través de túnel SSH
25. www.xorcom.com
Defensa #6: Cuentas de Admin
• Múltiples niveles de usuarios definidos
• Restringe el acceso a un rango determinado
de extensiones o de funcionalidades del PBX
• Crea cuentas separadas para distintas
personas
• Cambios de personal se resuelven simplemente
removiendo la cuenta respectiva para asegurar
que no hayan accesos futuros no autorizados
26. www.xorcom.com
Alerta: Alarma en Tiempo Real
• Una actividad no autorizada en el Sistema
telefónico genera una alerta inmediata al
administrador del Sistema por medio de
correo electrónico.
27. www.xorcom.com
NO ASUMA RIESGOS COSTOSOS
El CompletePBX ofrece la mejor protección
contra ataques cibernéticos en la industria.