día neocenter | seguridad y complete sbc en completepbx
TRANSCRIPT
www.xorcom.com
Día NeocenterXORCOM – Soluciones Profesionales y Seguras
Ariel Mapelman – VP Business
www.xorcom.com
Xorcom - Empresa
2004 Fundación:
Desarrollo, Producción y Comercialización de
soluciones esenciales para la comunicación corporativaObjetivo:
Casa Central en Israel y oficina comercial para EE.UU.
y CanadáOficinas:
95% de las ventas exportadas a más de 100 países.
América Latina equivale a más del 30% de las ventas
globales. México es el principal Mercado regional
Actividad:
Corporaciones, Instituciones de Gobierno, Operadores
de Telefonía, Distribuidores, Fabricantes de Equipos.
Nuestros
clientes:
www.xorcom.com
Eliminar el Miedo al Hacking y Proteger
• Mientras que los beneficios del VoIP son grandes,• Internet está lleno de amenazas• Un PBX IP sin protección puede ser hackeado
en menos de 30 minutos• Hay un enorme Mercado de llamadas ilegales
• La Seguridad es la prioridad #1 para carriers; y tambien fundamental para los usuarios
• Qué hacer…?
www.xorcom.com
Seguridad: necesidad y demanda del mercado
• Organismos regulatorios• Operadores de Servicio (carriers)• Nuevos estándares requeridos por usuarios• Xorcom ha implementado las demandas del Mercado y lo
exigido por la regulación:• Claves complejas• Filtros para direcciones IP locales• Bloqueo de llamadas entrantes de fuentes desconocidas• Rechazo de solicitudes SIP con una única respuesta (evita ataques de
fuerza bruta)• No configurar llamadas de troncal a troncal sin control• DISA y call back protegidas con claves
www.xorcom.com
Cont’
• Definir claves para llamadas internacionales (y toda ruta de alto costo)• Cambiar claves de MySQL, de la interface web y de AMI (Asterisk
Management Interface)• Cambiar clave de usuario root de Linux• Chequear que el control de intrusión está bien configurado y
funcionando• El conmutador IP debe instalarse en una red protegida (detrás de
firewall)• No exponer puertos SIP-IAX (use puertos no estándar) • Puertos SSH no estándar• Use SSH para acceder a la interface web. No exponga HTTP o HTTPS• Active el firewall del conmutador• Instale el conmutador detrás de un Session Border Controller (SBC)
www.xorcom.com
Qué es un SBC?
• SBC = Session Border Controller(Controladora de Borde de Sesión de Red)
• Es un Hardware o software que normalmente está situado entre la red pública (“poco confiable”) y las redes del proveedor de servicios y de la empresa (“confiable”)
• Históricamente, el SBC era utilizado para resolver problemas en SIP relacionados con NAT
• Hoy en día los SBC tienen un papel importante en la protección del tráfico de voz en las redes SIP
www.xorcom.com
SIP/RTP
Qué es SBC en una red VoIP?
001100110100
Red Local del Cliente
Extensiones Remotas
Servicios de DatosServicios de Voz
www.xorcom.com
Seguridad, Seguridad, Seguridad
• El CompleteSBC sella efectivamente el PBX:• El Administrador debe habilitar el sistema CompleteSBC• CompleteSBC rechaza todas las solicitudes SIP en su interfaz
pública (puerto 6075)• El administrador debe habilitar el sistema para utilizar
CompleteSBC• La configuración estándar de la lista con Nombres de Agentes
contiene todos los terminales SIP soportados por el Administrador de Dispositivos (EPM) de cPBX: Zoiper, Asterisk y CompletePBX (‘GHJ’)
• El administrador debe remover cualquier Nombre de Agente irrelevante y agregar los específicos para esa instalación utilizando la misma sintáxis
• Solicitudes SIP enviadas con un Nombre de Agente no definido en la configuración será rechazado
www.xorcom.com
Session Border Controller Integrado
• Incorporado en CompletePBX• Pre-instalado
• Incluye licencias demo• Interfaz gráfica de usuario• Pre-configurado e
inicialmente bloqueado• Permite reglas
sofisticadas
www.xorcom.com
Medidas de Seguridad Soportadas
• Firewall SIP• Control de Acceso y prevención de fraude• Denegación de Servicio (DOS) y protección de
sobrecarga• NAT transversal• Ruteo inteligente• Mediación en interoperabilidad
• Beneficia instalaciones conmúltiples proveedores de servicio
www.xorcom.com
Información Adicional
• Licencia de Software• Se puede aplicar de forma remota• Costos por canal
• Sistema de 64-bit (requiere CompletePBX v. 4.6.x)• Para configuraciones TwinStar, el CompleteSBC
necesita ser instalado en un servidor Xorcom adicional• Este servidor dedicado debe soportar el máximo
número de llamadas SIP simultáneas necesarias
www.xorcom.com
ACCIÓN Y PREVENCIÓN PARTICULARES
DEL COMPLETEPBXEl CompletePBX provee la mejor protección contra cyber-ataques.
www.xorcom.com
CompletePBX: Cuatro Frentes de Seguridad
CamuflajeVigilanciaDefensaAlerta
www.xorcom.com
Camuflaje
• CompletePBX opera de forma Sigilosa• Métodos de identificación de dispositivos/puertos
no estándar• Configuración Segura para VoIP
• De forma predeterminada, son denegadas solicitudes SIP no deseadas sin revelar la razón del rechazo
• Ataques de Fuerza Bruta no pueden adivinar fácilmente usuarios y claves SIP
www.xorcom.com
Vigilancia
• Prevención y Detección de Intrusión• Cuenta con un Sistema de detección interno
contra accesos no autorizados basado en parámetros pre-definidos por el usuario
• El usuario define el número de intentos infructuosos de registración en un período determinado de tiempo = intruso potencial
• Luego de detectarlo, la dirección IP del intruso es bloqueada por un período determinado de tiempo
www.xorcom.com
Defensa #1: CompleteSBC™
• El SBC basado en Software sella el PBX-IP• Actúa como un “firewall para SIP” a modo de
control de acceso• Incluye reglas predefinidas pero configurables• Incluye una interfaz GUI intuitiva• Una versión demo se incluye en cada sistema
cPBX.*
* Versiones desde 4.6. La compra de una licencia electrónica remueve el límite máximo de duración de las llamadas y puede ser usada para incrementar el número de canales protegidos.
www.xorcom.com
Defensa #2: Firewall incorporado
• Los puntos más vulnerables para un cyber ataque están en la línea de encuentro entre las redes “confiable” y “no confiables”
• CompletePBX debe ser instalado en una red LAN protegida por un firewall/NAT
• CompletePBX también tiene su propio firewall• Reglas pre-determinadas pueden ser modificadas
para habilitar aplicaciones específicas relevantes para el cliente.
www.xorcom.com
Defensa #3: Bloqueo Inicial
• CompletePBX viene pre-configurado de tal forma que aplica políticas de seguridad restrictivas: • En la configuración pre-determinada las llamadas
SIP desde terminales ubicadas fuera de la LAN serán rechazadas
• La configuración del firewall de CompletePBX debe ser modificada para poder recibir llamadas entrantes desde fuentes ubicadas en Internet
www.xorcom.com
Defensa #4: Fortaleza de las claves
• Defina claves suficientemente complejas para las extensiones SIP/IAX2, DISA, y call-back
• Defina claves para todas las rutas de salida• Un algoritmo interno detecta contraseñas
débiles y emite una alerta
www.xorcom.com
Defensa #5: Acceso Remoto
• Utilice el Rapid Tunneling de Xorcom para obtener un acceso remoto seguro
• La interfaz Web de CompletePBX se accede a través de túnel SSH
www.xorcom.com
Defensa #6: Cuentas de Admin
• Múltiples niveles de usuarios definidos• Restringe el acceso a un rango determinado
de extensiones o de funcionalidades del PBX• Crea cuentas separadas para distintas
personas• Cambios de personal se resuelven simplemente
removiendo la cuenta respectiva para asegurar que no hayan accesos futuros no autorizados
www.xorcom.com
Alerta: Alarma en Tiempo Real
• Una actividad no autorizada en el Sistema telefónico genera una alerta inmediata al administrador del Sistema por medio de correo electrónico.
www.xorcom.com
NO ASUMA RIESGOS COSTOSOSEl CompletePBX ofrece la mejor protección
contra ataques cibernéticos en la industria.
