Crear una cuenta
Gamma
Gamma
Servicios en la nube para empresas

Puntos sobre Seguridad VoIP

security ip 01

La seguridad en términos generales es muy importante, pero cuando tratamos interconexiones y sistemas basados en SIP/VoIP debemos tenerlos todavía más presentes, ya que un sistema sin seguridad o siendo esta muy baja, está totalmente expuesto en la red.

Por parte de Gamma disponemos de varios puntos para poder incrementar la seguridad en este tipo de servicios y de este modo no estar tan expuesto a cualquier ataque (escaneo de puertos vulnerables masivos, filtrado de credenciales, errores de red, backdoors, etc...).

A continuación quedan listados los puntos de seguridad que aplica Gamma al igual que recomendados:

 

Seguridad avanzada por parte de Gamma

 Filtrado / Restricción de WAN IP en área de usuarios de Gamma

El filtro de IP para el registro permite mejorar la seguridad de su servicio Direct, rechazando el uso de sus credenciales (usuario y password SIP) si no es desde la dirección o direcciones IP que usted configure.
Este punto se realiza antes de finalizar la instalación por parte del departamento de instalaciones, siempre y cuando la IP WAN del acceso sea Estática (sea o no de Gamma) y posteriormente puede añadir/eliminar IPs a traves del área de usuarios

 Control de Riesgo Inteligente

Sistema inteligente capaz de realizar el control en tiempo real de todas las llamadas emitidas y bloqueo de llamadas salientes en caso de detectar patrones de uso no habituales. Entre muchas cosas controla por ejemplo:

  • Número anormal de llamadas internacionales a destinos no habituales
  • Incremento repentino de llamadas a destinos especialmente caros.

Diariamente controla los niveles de riesgo de todos los clientes, si se detecta alguna irregularidad en algún cliente se analiza en detalle para tomar las medidas adecuadas: Notificar al cliente, aumentar límite de riesgo, etc...

Credenciales SIP

Credenciales del Trunk SIP encriptadas y actualizables por el usuario a través del Área de Usuario. Claves generadas automáticamente para evitar que sean sencillas. Para poder modificar las credenciales puede acceder a:

 Sin necesidad de aperturas de puertos

En el servicio Direct no es necesaria la apertura de puertos para su funcionamiento. Únicamente será necesario en casos concretos si el sistema así lo requiere para el registro de extensiones remotas, administración remota del sistema, etc... por lo que es un punto de seguridad pasivo, el cual no vulnera el acceso desde puertos estándar expuestos (5060, 5070, 5062).

Duración máxima de llamadas

La duración máxima de llamada está configurada a 2 horas, así podemos evitar que una llamada se quede bloqueada y nos genere un gasto innecesario.

Bloqueo de Puertos SIP

Los CPE de Gamma tienen bloqueado por defecto los puertos SIP estándar. Si un Cliente quiere desbloquearlos, debe realizar una solicitud expresa y así podemos advertir de los riesgos que supone el utilizar puertos SIP estándar y abrirlos

Bloqueo de llamadas

 A través del Área de Usuario tenemos la posibilidad de bloqueo de llamadas salientes a ciertos destinos o el bloqueo total. Así, como medida preventiva podemos bloquear llamadas a numeración especial por ejemplo, o en caso de que detectemos alguna irregularidad podemos bloquear todas las llamadas.

 

Control de Autenticación

Sistema inteligente de control de intentos de autenticación en nuestra plataforma de manera que tras un cierto número de intentos fallidos en un período de tiempo se bloquea automáticamente la IP que está intentando autenticarse, para identificar una clave por fuerza bruta se necesitarían 10 años.

 

 

Recomendaciones sobre seguridad básica

 Puertos expuestos

El rango de puertos 5070, 5060-5062 es un rango muy filtrado por los ataques de fuerza bruta por ser los puertos por defecto para los servicios SIP/VoIP, por lo que siempre que sea posible se debería buscar una alternativa en cuanto a puertos a redirigir para extensiones remotas o servicios necesarios. También tener en cuenta los puertos de acceso a la parte de administración web (80-8080-443) y no dejarlos abiertos (si es necesario, realizarlo a través de puertos fuera de lo común o asimétricos, ej. 10050 -> 80).

Extensiones Remotas

Algunos escenarios de configuración precisan de redirección de puertos para la configuración de extensiones remotas. NO recomendamos dichos escenarios. Si configuramos extensiones remotas sin utilizar una VPN, estamos dejando una puerta abierta, por lo cual desde Gamma recomendamos:

  • Conexión de extensiones remotas a través de VPN.
  • No recomendamos utilizar puertos estándares de configuración, como por ejemplo el 5060.
  • Aseguremos que la pareja usuario/contraseña de la extensión sea suficientemente compleja y que lo cambiamos regularmente. Evitemos patrones de configuración.
  • Autorización y configuración de registro de la extensión sólo desde la IP remota de la sede.

 

Credenciales de registro de la centralita

El usuario de red ( Usuario SIP) y la contraseña recibidos para la configuración de Direct en la centralita NO se debe facilitar a NADIE. Quién disponga de esta información podrá cursar llamadas en su nombre y a su cargo.

 Password de la centralita

La contraseña de acceso local/remoto a la administración de la PBX es un punto que por lo general se obvia, dejando las credenciales por defecto, y es una de las brechas de seguridad habituales por la cual pueden acceder usuarios no deseados. Desde Gamma recomendamos SIEMPRE definir Passwords de más de 9 dígitos y las cuales contengan "Mayúsculas", "Letras", "Números" y "Caracteres especiales"($,%,@...).

Acceso a la Centralita

Todas las centralitas disponen de un interfaz de configuración. La gran mayoría de ellas permiten el acceso remoto a éste, ya sea mediante un navegador web o mediante un software específico. Debemos evitar dejar dicho acceso abierto a Internet, No recomendamos dejar puertos abiertos ya que vulneran la seguridad, recomendamos utilizar siempre que sea posible una conexión vía VPN.

 Access List (ACL) / White List

Si su centralita dispone de esta funcionalidad podrá permitir el acceso a la PBX únicamente desde ciertas IPs de confianza, lo cual es una buena herramienta para evitar que puedan acceder y sustraer las credenciales de su SIP Trunk.

 Firmware actualizado

Siempre que sea posible, mantener el Firmware actualizado en su PBX, ya que los fabricantes, a parte de añadir funcionalidades, corrigen pequeños fallos y en algunas ocasiones, brechas de seguridad.



¡Atención! Este sitio usa cookies y tecnologías similares.

Si no cambia la configuración de su navegador, usted acepta su uso. Saber más

Acepto

Política de cookies en soporte.oigaa.com

Con el fin de ofrecerle una experiencia de navegación adaptada a sus necesidades, y optimizar el rendimiento de la web de soporte.oigaa.com, le informamos de que esta web utiliza cookies. VozTelecom hace un uso completamente responsable y nada intrusivo de las cookies, y dado que nos preocupa su privacidad, queremos informarle sobre el uso que hacemos de ellas y las opciones que tiene a su disposición como usuario para gestionarlas.

¿Qué son las cookies?

Las Cookies son pequeños archivos de texto, creados por los sitios web que ha visitado, que almacenan información. Existen dos tipos de Cookies, las Cookies de origen, habilitadas por el dominio del sitio por el que navega, y las Cookies de terceros, que proceden de otras fuentes de dominio.

Cookies de origen

Cookie Proveedor

PHPSESID

En las descargas de archivos protegidos, controla que el usuario y la contraseña introducidos por el usuario son correctos para permitir la descarga del archivo. Estas Cookies solo permanecerán en su equipo hasta el final de la sesión.

 oigaa.com

cookieaccept

Cookie para controlar si se han aceptado las condiciones respecto al uso de Cookies por parte de los sites de VozTelecom

 oigaa.com

Cookies de terceros

Cookie Proveedor

ARPT

Esta Cookie recopila el número de visitas a nuestra web

 Google

_utma

_utmb

_utmc

_utmz

Estas Cookies permiten a Google Analytics medir el uso de la página web. Estas Cookies nos informan de cuantos usuarios están visitando la web y cuántos de ellos la han visitado previamente, durante cuánto tiempo permanecen visitando la web o qué páginas son las que han visitado. No se almacena ningún tipo de información personal. Estas Cookies pueden permanecer en su equipo hasta 2 años.

Puede encontrar más información acerca de las Cookies de Google Analytics aquí: http://www.google.com/policies/privacy/ads/#toc-analytics

 Google

Conversion

Estas Cookies permiten a Google Adwords conocer cuántos usuarios visitan nuestras web procedentes de anuncios publicados en esta plataforma.

 Googleadservices.com

Cómo gestionar las Cookies en su equipo:

La mayor parte de los Navegadores soportan el uso de Cookies. Sin embargo, usted como usuario puede elegir si acepta las Cookies o no.

Las opciones más comunes que ofrecen los Navegadores son:

    • No aceptar Cookies nunca
    • El Navegador pregunta al usuario si se debe aceptar cada cookie individualmente
    • Aceptar Cookies siempre

Su Navegador también puede incluir la posibilidad de especificar mejor qué Cookies deben que ser aceptadas y cuáles no. Además, también tiene la posibilidad de ver y borrar Cookies individualmente. Si desconoce cómo gestionar sus Cookies y la política de privacidad de su navegador web, puede encontrarlo en la ayuda del navegador.

Manejo de Cookies en los diferentes Navegadores:

Le recomendamos que consulte la ayuda de su navegador. O acceda a las páginas web de ayuda de los principales Navegadores: