En los sistemas VoIP, deben eliminarse todas las vulnerabilidades conocidas, para minimizar el riego de fraude o ataque externo.
A continuación, se mencionan algunos de los errores más comunes, que son parte de esas vulnerabilidades, que deben evitarse:
1. Credenciales débiles
El primer error es usar credenciales débiles para tus extensiones.
Al crear una extensión en su sistema telefónico, se generan credenciales aleatorias predeterminadas en todos los niveles, un ID de autenticación SIP y una contraseña para SIP, una contraseña segura para su cliente web, la interfaz web de su teléfono, el PIN de correo de voz, todos al azar, estos valores aleatorios garantizan la protección contra ataques de fuerza bruta.
En algunos sistemas IP PBX, es imposible editar y guardar una extensión con credenciales que son demasiado cortas, sin embargo, puede haber heredado una configuración de este tipo de versiones anteriores o copias de seguridad.
También nos hemos asegurado de advertir a los administradores cuando tienen credenciales débiles al señalar un indicador de advertencia junto a los nombres de las extensiones. Si verifica la configuración de la extensión, obtendrá más información sobre este potencial problema.
Por cierto, nunca establezca credenciales temporales cuando realice pruebas, ya que pensará que las cambiará más adelante cuando el sistema entre en producción, ya que generalmente la gente tiende a olvidar estas cosas.
2. Permitiendo el acceso remoto
El segundo error más común es tener desmarcada la opción “No Permitir el uso de la extensión fuera de la red LAN” cuando realmente no es necesario.
Esta opción evita el registro SIP remoto de su extensión y está marcada de forma predeterminada al crear una extensión. Aún, bajo esta condición, algunos sistemas permiten seguir utilizando las Apps de forma remota o el Cliente Web, cuando está disponible, sin verse afectado, ya que algunos clientes usan el protocolo de túnel para conectarse a la central IP PBX. En efecto, la opción debe estar desactivada solo cuando se utiliza un teléfono por medio de STUN remoto.
3. Demasiados países permitidos
Cuando utilice los servicios de un proveedor ITSP o configure su IP PBX por primera vez, aparecerá una pantalla de enrutamiento, en la cual deberá seleccionar los prefijos de los países a los cuales son permitidas llamadas entrantes y salientes. Esta lista se puede encontrar en la configuración del prestador de servicio VoIP en la sección de Seguridad, como códigos de países permitidos.
Debe estar restringida a los países a los cuales llaman los usuarios. Por defecto, restringimos su uso sólamente al país donde se realiza la instalación.
Una mala práctica es, por supuesto, permitir las llamadas a todos los países, pensando que después ajustará este valor, algo que por lo general nunca pasa.
Nota para clientes en Estados Unidos: el Plan de numeración de América del Norte (NANP) permite marcar 25 regiones o países de América del Norte y el Caribe, sin un código de marcación internacional. El código de marcación internacional sería 011, o + en el caso de los Estados Unidos. La función anti-hacking permitirá que dichos números se conviertan en números locales (según los estándares de la UIT). Por lo tanto, debe tener reglas de salida estrictas, con una lista de prefijos NANP para bloquear y enrutar 1: bloquear llamadas, y asegurarse de que esta regla se encuentre en la primera posición (prioridad más alta).
4. Reglas de Salida Comodín
Otra mala práctica es tener reglas de salida “comodín” o también llamadas “perezosas”, permitiendo que cualquier número marcado por cualquier persona en el sistema pueda ser completado. Una regla típica es una que no tiene ningún criterio que no sea el grupo de extensión DEFAULT.
Debe tener reglas establecidas tan estrictamente como sea posible, como en los firewalls, definiendo prefijos específicos o longitudes de números y qué extensiones o qué grupos de extensiones se podrán marcar.
5. Errores de configuración de E164
El procesamiento E164, en la configuración de la IP PBX permite el reemplazo del signo “+” por su código de marcación internacional local. Se toma como referencia al país definido en el momento de la instalación. Por ejemplo, en la mayoría de los países obtendrá “00” como el código de marcación internacional, para EE. UU. Obtendrá “011”. Esos son valores según las normas de la UIT.
Esta configuración es importante ya que también se usa para determinar la lista de códigos de país bloqueados según la pestaña “Códigos de país permitidos” que se explicó anteriormente.
Por ejemplo, con “00” y Albania bloqueada, la función buscará los números marcados en la forma de 00355xxx o + 355xxx.
Si configuró incorrectamente el código de marcación internacional, esto puede resultar en un reemplazo incorrecto de “+”, pero también en la seguridad de ser inoperante.
Tenga en cuenta que en la mayoría de los esquemas de fraude de llamadas observados, la suma de los 5 errores anteriores dio lugar a un sistema comprometido. Una sola, por lo general, no sería suficiente para que un atacante tenga éxito.