Nexo Tecnología VoIP

 Seguridad en los sistemas VoIP
 

Este documento contiene información sobre pautas generales y consideraciones que sirven para incrementar la seguridad del sistema de comunicación con tecnología VoIP. Esto comprende una serie de medidas de seguridad y recomendaciones (relacionadas con la instalación, configuración y operación del sistema), tendientes a evitar el uso indebido o fraudulento del servicio de telefonía IP.


  Nexo Tecnología VoIP



La tecnología VoIP, permite realizar llamadas de voz, utilizando una conexión de banda ancha a Internet, junto con otros servicios, tales como los provistos por empresas del tipo ITSP y de telefonía pública, conectadas a la red PSTN. Esta diversidad en los tipos de puntos de acceso, tanto a las redes públicas como a las privadas, y en las clases de conexiones, señales y paquetes de datos, que se utilizan, hace que la seguridad sea un tema prioritario y de muchas aristas, en la implementación del sistema.

La aplicación combinada de estas recomendaciones, tratará de bloquear el acceso o el uso no autorizado al sistema VoIP, intentando eliminar o, al menos, minimizar el impacto que pueda provocar este tipo de prácticas. Cuando la implementación, de estas medidad de seguridad, es aplicable a la configuración u operación del sistema de comunicación IP, se presentan las opciones disponibles en el equipo IP PBX.



Acceso restringido desde Internet

Dependiendo del router utilizado, puede configurarse para permitir el acceso desde Internet sólo para determinadas direcciones IP, o aplicar un filtro que permita un rango de direcciones conocidas.

Esta configuración puede aplicarse en el router, para permitir el acceso a determinados puertos desde direcciones habilitadas, utilizando mecanismos provistos en el equipo, tales como Port Forwarding o Virtual Server.



Bloqueo de puertos para acceso remoto

Bloquear el acceso desde Internet a los puertos http (80) y https (443) de la IP PBX, para evitar cualquier tipo de ingreso remoto a la configuración del equipo, sólo permitiendo direcciones locales.

Este bloqueo puede lograrse configurando el router y/o el firewall del sistem IP PBX, desde la opción: System Preferences > Firewall Rules.



Acceso web restringido a los usuarios

Restringir el acceso web a los usuarios de las extensiones, para modificar su configuración.

Esta función puede controlarse, desde la configuración de las extensiones IP, con la habilitación de la opción: PBX Basic > Extensions > Edit VoIP Extension > Other > Web Login. Aunque esto limita las prestaciones del sistema, desde el punto de vista del usuario, agrega un grado de seguridad adicional. La modificación de esta configuración queda permitida, en forma exclusiva, a los administradores del sistema.



Credenciales de autenticación seguras

En la configuración de las extensiones IP, utilizar credenciales de autenticación con nombres y passwords fuertes, combinando letras, números y caracteres especiales, de la mayor longitud posible.

Esta protección puede lograrse, en el equipo IP PBX, utilizando en las credenciales de autenticación, nombres diferentes al número de la extensión y passwords con calificación fuerte: strong.



Límites en los horarios y tiempos para la utilización del servicio

Aplicar restricciones de tiempo para la utilización del sistema, limitándolo al horario de trabajo y días laborables. Adicionalmente, también puede limitarse la duración máxima de cualquier llamada.

Desde la configuración Time Conditions > Specific Time Groups pueden establecerse los horarios y días permitidos, para la realización de llamadas salientes. Adicionalmente, desde General Preferences > Global Max. Call Duration, puede establecerse un límite para la duración de las llamadas.



Restricciones en los tipos de llamadas

Bloquear o restringir, por configuración, las llamadas salientes a destinos nacionales e internacionales. Para permitir el uso de este servicio, sólo a usuarios autorizados, puede solicitarse un código de acceso.

Utilizando la configuración de Dial Patterns puede restringirse el acceso a determinados tipos de llamadas, bloqueando prefijos específicos. Adicionalmente, para la habilitación del servicio puede solicitarse un código de acceso utilizando la configuración de:
PBX Basic > Outbound Routes > Settings > Route Password (31 digits) o, en forma similar:
PBX Advanced Settings > PIN Sets > PIN List > PIN (15 digits), donde puede crearse una lista de códigos, para ser utilizados en el acceso a este servicio.



Asegurar las plataformas para softphones

Cuando se utilizan softphones en el sistema, extremar las medidas de seguridad en los equipos donde se encuentran instalados. Esto se debe a que estas plataformas, debido a que tienen un sistema operativo más complejo que el de un teléfono IP, están expuestas a una gran cantidad de amenazas y su grado de vulnerabilidad depende de su configuración y del software de protección que tienen instalado: anti-virus, firewall, anti-spyware, etc.

Además, esta tecnología permite integrar una gran diversidad de recursos y dispositivos, para ser usados como terminales de comunicación (en forma similar a un teléfonos IP), tales como, un softphone instalado en una PC, una laptop, una tablet o un smartphone, teléfonos analógicos convencionales conectados por medio de adaptadores ATA o FXS Gateways, Intercoms IP y plug-ins en páginas web, entre otros, lo cual establece muchos puntos posibles para el ingreso o la salida de una llamada.

Teniendo en cuenta además, que existen virus del tipo Worms, que pueden tomar el control de softphones y realizar llamadas a cualquier destino, utilizando la misma cuenta que tiene configurada el teléfono, hace que deban extremarse todas las precauciones, en estas plataformas. En estos equipos, deben combinarse la mayor cantidad de medidas de seguridad, para minimizar el impacto que puedan producir esta clase de ataques.

Se recomienda instalar software de protección, en la plataforma donde se encuentra instalado el softphone, tal como: anti-virus, firewall, anti-spyware, etc. y evitar la descarga de cualquier software sospechoso.



Utilización de VPN en extensiones remotas

Para las extensiones remotas, además de utilizar protocolos seguros: TLS y SRTP, puede agregarse protección adicional, estableciendo la conexión segura (encriptada) a través de una VPN.

Configurar la conexión, con la extensión u oficina remota, a través de una VPN. Desde el equipo IP PBX, puede utilizarse la opción: Network Configuration > VPN Server (o alternativamente VPN Client) y configurar su contraparte, en el teléfono IP remoto o en el router de la oficina remota, según la opción elegida.



Bloqueos en los puntos de acceso y dispositivos interconectados

Aplicar restricciones en la configuración de los dispositivos y equipos que se encuentran interconectados con la IP PBX, para que actúen como última barrera de contención, contra los ataques, cuando todas las medidas de seguridad anteriores, no pudieron prevenir o bloquear la intrusión en el sistema de comunicaciones.

Como última barrera de contención, y en algunos casos, como primera, según el origen, para tratar de bloquear las intrusiones, pueden aplicarse restricciones sobre las líneas que se encuentren interconectadas con equipos que tienen acceso a la red pública PSTN, tales como gateways, PBX analógicas, etc., desde su configuración, para agregar un nivel de protección adicional.



Barreras para detección de intrusiones

Siempre que sea posible su implementación, en un dispositivo de la red IP, proteger al sistema IP PBX con un paquete para detección de intrusión (IDS: Intrusion Detection System) para tratar de evitar los ataques por fuerza bruta (ejemplo: fail2ban).

El equipo IP PBX implementa, en parte, esta detección de acceso no autorizado, a través de dos mecanismos independientes:
System Preferences > Security Info y System Preferences > Firewall Rules.
En Security Info, se genera una lista (BlackList) de direcciones IP detectadas, que cumplen con determinados criterios prestablecidos (Alert Settings: IPATTACK, WEBLOGIN), y se bloquea su acceso al sistema.
En Firewall Rules, se encuentra una lista de reglas preconfiguradas, para controlar el comportamiento y restricciones que se aplican a los puertos de comunicación.

En algunas instalaciones, las funciones del sistema para detección de intrusiones (IDS) pueden ser implementadas en un equipo o dispositivo intermedio (por ejemplo, router o proxy server), para evitar que este tipo de ataques alcancen al sistema VoIP.



Servicios de uso medido

Cuando está disponible, tanto para los servicios de telefonía IP como analógica (cuando se trata de sistemas híbridos), la utilización de planes que limitan el uso del servicio, pueden servir como una protección adicional, aplicando un límite a la disponibilidad del servicio, para prevenir el abuso o uso indebido del sistema de comunicaciones.



Mantener el software actualizado

El uso de dispositivos con versiones de software actualizadas es inevitable para reducir los posibles riesgos de ciberseguridad. Cuando un fabricante descubre una potencial vulnerabilidad en alguno de sus productos, la corrige en la siguiente versión de software. La instalación de actualizaciones de software permite utilizar parches de seguridad para cualquier vulnerabilidad recientemente detectada. 









 Versión: 1.0.2
 Revisión: 03/09/2020

Nexo VoIP © 2020