Nexo Tecnología VoIP

 Seguridad en los sistemas VoIP
 

Este documento contiene información sobre pautas generales y consideraciones que sirven para incrementar la seguridad del sistema de comunicación con tecnología VoIP. Esto comprende una serie de medidas de seguridad y recomendaciones (relacionadas con la instalación, configuración y operación del sistema), tendientes a evitar el uso indebido o fraudulento del servicio de telefonía IP.


  Nexo Tecnología VoIP



Principales amenazas

La seguridad abarca varios aspectos en la implementación de una Plataforma VoIP. Esta tecnología permite cubrir desde la Seguridad física (de personas y bienes), utilizando elementos para el control de acceso (Videoporteros IP, Videoconsolas, Accionamiento de cerraduras, entre otros), difusión de mensajes por medio de altavoces (Audio IP), etc., hasta la Seguridad informática (protección de los datos y las comunicaciones), por medio de Firewalls, Autenticación, Encriptación y otros mecanismos similares.


images/nexo_voip_categories.png


La tecnología VoIP, permite realizar llamadas de voz, utilizando una conexión de banda ancha a Internet, en conjunto con otros servicios, tales como los provistos por empresas del tipo ITSP y de telefonía pública, conectadas a la red PSTN. Esta diversidad en los tipos de puntos de acceso, tanto a las redes públicas como a las privadas, y en las clases de conexiones, señales y paquetes de datos, que se utilizan, hace que la seguridad sea un tema prioritario y que presenta muchas aristas, en la implementación de la protección para el Sistema VoIP.


Las principales amenazas que deben considerarse son las siguientes:


images/nexo_voip_security_01.png


images/nexo_voip_security_02.png


images/nexo_voip_security_03.png


images/nexo_voip_security_04.png


images/nexo_voip_security_05.png


images/nexo_voip_security_06.png




Características de seguridad


images/nexo_voip_security_07.png


El equipo Nexo IP PBX dispone de múltiples herramientas de seguridad para proteger al sistema contra las principales amenazas.

La aplicación
combinada de estas características de seguridad, junto con las recomendaciones que se encuentran a continuación, tratará de bloquear el acceso o el uso no autorizado al sistema VoIP, intentando eliminar o, al menos, minimizar el impacto que pueda provocar este tipo de prácticas.

En los temas que se exponen a continuación, cuando la implementación de estas características o medidad de seguridad, es aplicable a la configuración u operación del sistema de comunicación VoIP, se presentan las opciones disponibles
en el equipo Nexo IP PBX.



Acceso restringido desde Internet

Dependiendo del router utilizado, puede configurarse para permitir el acceso desde Internet sólo para determinadas direcciones IP, o aplicar un filtro que permita un rango de direcciones conocidas.

Esta configuración puede aplicarse en el router, para permitir el acceso a determinados puertos desde direcciones habilitadas, utilizando mecanismos provistos en este equipo, tales como

- Port Forwarding, o
- Virtual Server.




Bloqueo de puertos para acceso remoto

Bloquear el acceso desde Internet a los puertos http (80) y https (443) de la IPPBX, para evitar cualquier tipo de ingreso remoto a la configuración del equipo, sólo permitiendo direcciones locales.

Este bloqueo puede lograrse configurando el router y/o el firewall del sistem IPPBX.
Para información más detallada, consultar en la configuración de la
IPPBX, la opción:
Configuración de seguridad (System Preferences >> Firewall Rules).



Acceso web restringido a los usuarios

Restringir el acceso web a los usuarios de las extensiones, para modificar su configuración.

Esta función puede controlarse, desde la configuración de las extensiones IP, con la habilitación de la opción:
PBX Basic >> Extensions >> Edit VoIP Extension >> Other >> Web Login.

Aunque esto limita las prestaciones del sistema, desde el punto de vista del usuario, agrega un grado de seguridad adicional.
La modificación de esta configuración queda permitida, en forma exclusiva, a los administradores del sistema.



Credenciales de autenticación seguras

En la configuración de las extensiones IP, utilizar credenciales de autenticación con nombres y passwords fuertes, combinando letras, números y caracteres especiales, de la mayor longitud posible.

Esta protección puede lograrse, en el equipo IPPBX, utilizando en las credenciales de autenticación, nombres diferentes al número de la extensión y passwords con calificación fuerte: strong.



Límites en los horarios y tiempos para la utilización del servicio

Aplicar restricciones de tiempo para la utilización del sistema, limitándolo al horario de trabajo y días laborables. Adicionalmente, también puede limitarse la duración máxima de cualquier llamada.

Desde la configuración Time Conditions > Specific Time Groups pueden establecerse los horarios y días permitidos, para la realización de llamadas salientes. Adicionalmente, desde General Preferences > Global Max. Call Duration, puede establecerse un límite para la duración de las llamadas.



Restricciones en los tipos de llamadas

Bloquear o restringir, por configuración, las llamadas salientes a destinos nacionales e internacionales.
Para permitir el uso del servicio de llamadas a determinados destinos, sólo a usuarios autorizados, puede solicitarse un código de acceso (PIN).

Utilizando la configuración de Dial Patterns puede restringirse el acceso a determinados tipos de llamadas, bloqueando prefijos específicos.
Adicionalmente, para la habilitación del servicio puede solicitarse un código de acceso utilizando la configuración de:

PBX Basic >> Outbound Routes >> Settings >> Route Password (31 digits) o, en forma similar,
PBX Advanced Settings > PIN Sets > PIN List > PIN (15 digits),

donde puede crearse una lista de códigos, para ser utilizados en el acceso a este servicio.



Asegurar las plataformas para softphones

Cuando se utilizan softphones en el sistema, extremar las medidas de seguridad en los equipos donde se encuentran instalados. Esto se debe a que estas plataformas, debido a que tienen un sistema operativo más complejo que el de un teléfono IP, están expuestas a una gran cantidad de amenazas y su grado de vulnerabilidad depende de su configuración y del software de protección que tienen instalado: anti-virus, firewall, anti-spyware, etc.

Además, esta tecnología permite integrar una gran diversidad de recursos y dispositivos, para ser usados como terminales de comunicación (en forma similar a un teléfonos IP), tales como, un softphone instalado en una PC, una laptop, una tablet o un smartphone, teléfonos analógicos convencionales conectados por medio de adaptadores ATA o FXS Gateways, Intercoms IP y plug-ins en páginas web, entre otros, lo cual establece muchos puntos posibles para el ingreso o la salida de una llamada.

Teniendo en cuenta además, que existen virus del tipo Worms, que pueden tomar el control de softphones y realizar llamadas a cualquier destino, utilizando la misma cuenta que tiene configurada el teléfono, hace que deban extremarse todas las precauciones, en estas plataformas. En estos equipos, deben combinarse la mayor cantidad de medidas de seguridad, para minimizar el impacto que puedan producir esta clase de ataques.

Se recomienda instalar software de protección, en la plataforma donde se encuentra instalado el softphone, tal como: anti-virus, firewall, anti-spyware, etc. y evitar la descarga de cualquier software sospechoso.



Utilización de protocolos seguros y VPN en extensiones remotas

Para las extensiones remotas, además de utilizar protocolos seguros: TLS y SRTP, puede agregarse protección adicional, estableciendo la conexión segura (encriptada) a través de una VPN.
La información detallada sobre protocolos seguros se encuentra en:
Extensiones TLS/SRTP locales y remotas.

Configurar la conexión, con la extensión u oficina remota, a través de una VPN.
Más información se encuentra en:
Extensiones VPN remotas.

Desde el equipo IPPBX, puede utilizarse la opción: Network Configuration >> VPN Server (o alternativamente VPN Client), y
configurar su contraparte, en el Teléfono o Dispositivo IP remoto o en el router de la oficina remota, según la opción elegida.




Bloqueos en los puntos de acceso y dispositivos interconectados

Aplicar restricciones en la configuración de los dispositivos y equipos que se encuentran interconectados con la IP PBX, para que actúen como última barrera de contención, contra los ataques, cuando todas las medidas de seguridad anteriores, no pudieron prevenir o bloquear la intrusión en el sistema de comunicaciones.

Como última barrera de contención, y en algunos casos, como primera, según el origen, para tratar de bloquear las intrusiones, pueden aplicarse restricciones sobre las líneas que se encuentren interconectadas con equipos que tienen acceso a la red pública PSTN, tales como gateways, PBX analógicas, etc., desde su configuración, para agregar un nivel de protección adicional.



Barreras para detección de intrusiones

Siempre que sea posible su implementación, en un dispositivo de la red IP, proteger al sistema IP PBX con un paquete para detección de intrusión (IDS: Intrusion Detection System) para tratar de evitar los ataques por fuerza bruta (ejemplo: fail2ban).

El equipo IPPBX implementa, en parte, esta detección de acceso no autorizado, a través de dos mecanismos independientes:

- System Preferences >> Security Info y System Preferences >> Firewall Rules.

En Security Info, se genera una lista (BlackList) de direcciones IP detectadas, que cumplen con determinados criterios prestablecidos (Alert Settings: IPATTACK, WEBLOGIN), y se bloquea su acceso al sistema.
En Firewall Rules, se encuentra una lista de reglas preconfiguradas, para controlar el comportamiento y restricciones que se aplican a los puertos de comunicación.

En algunas instalaciones, las funciones del sistema para detección de intrusiones (IDS) pueden ser implementadas en un equipo o dispositivo intermedio (por ejemplo, router o proxy server), para evitar que este tipo de ataques alcancen al Sistema VoIP.



Servicios de uso medido

Cuando está disponible, tanto para los servicios de telefonía IP como analógica (cuando se trata de sistemas híbridos), la utilización de planes que limitan el uso del servicio, pueden servir como una protección adicional, aplicando un límite a la disponibilidad del servicio, para prevenir el abuso o uso indebido del sistema de comunicaciones.



Mantener el software actualizado

El uso de dispositivos con versiones de software actualizadas es inevitable para reducir los posibles riesgos de ciberseguridad.
Cuando un fabricante o desarrollador de software, descubre una potencial vulnerabilidad en alguno de sus productos, la corrige en la siguiente versión de software.
La instalación de actualizaciones de software permite utilizar parches de seguridad para cualquier vulnerabilidad recientemente detectada. 










 Versión: 1.0.7
 Revisión: 29/06/2023 - 03/09/2020

Nexo VoIP © 2023