You are on page 1of 36

AGENDA

AGENDA

Seguridad VoIP

Serie UCM6XXX
Serie UCM6200
IP PBX Appliance
▪ 2/4/8 puertos FXO, 2 puertos FXS.
▪ Hasta 100 llamadas concurrentes y cuarto de
conferencia con soporte de hasta 32
participantes.
▪ Soporte para 800 extensiones y hasta 50
troncales SIP.
▪ Doble Puerto de red 10/100/1000, PoE
integrado, Puerto USB y ranura para tarjetas
SD.
▪ Configuración automatica de terminales a
traves de la herramienta Zero Config
▪ Sin cargos adicionales por licencias
▪ Y mas….

WWW.GRANDSTREAM.COM 3
Serie UCM6510
IP PBX Appliance
▪ Puerto E1/T1/J1, 2 puertos FXO y 2 puertos 2
FXS.
▪ Hasta 200 llamadas simultaneas y sala de
conferencia con soporte hasta 64 participantes
▪ Capacidad para 2000 extensiones SIP
▪ Procesador Quad-core Cortex A9, 1GB RAM y
32GB Flash para mayor capacidad y
desempeño.
▪ Doble Puerto de red Gigabit, PoE integrado,
Puerto USB y ranura para tarjeta SD.
▪ Configuración automatica de terminales a
traves de la herramienta Zero Config
▪ Sin cargos adicionales por licencias
▪ Y mas….
WWW.GRANDSTREAM.COM 4
Grandstream IP PBX - Call Features
Operador Automatico Transferencia
Desvio de llamadas Lista Negra/Blanca
(IVR) Atendida/Ciega
Registro de llamadas
Cola de llamadas Callback Musica en espera
(CDR)
Funciones
Basicas Identificador de llamadas Parqueo de llamadas Voceo/Intercom Correo de Voz

Puentes de Conferencia Captura de llamadas Grupos de timbrado IPv6

No Molestar (DND) Llamada en espera Multi idiomas ACD

Servidor de grabacion Servidor LDAP Busy Lamp Field (BLF) Acceso 802.1X

Negociacion de codec de
Zero Config Enrutamiento por DID Extensiones remotas
video

Firewall/Router Servidor de Fax Fax a Email TLS


Funciones Seguridad multimedia Interfaz de facturacion
Deteccion automatica FXO Videoconferencia de 3 vias
Avanzadas (SRTP) (Aplicativo 3ro)

Asistente de Soporte para mensjes


Cuentas SIP compartidas Envio de fax en WebUi
configuracion SIP/SMS

Monitoreo de eventos en Integracion Calendario


Modo de entrada multiple Agenda de conferencia
tiempo real Google

WWW.GRANDSTREAM.COM 5
Voice Features

Entregando voz de forma segura y confiable para las Pymes

Personalizable
• Enrutamiento de llamadas
• Atendimiento automatico
• IVR
• Cola de llamadas
• Desvio de llamadas
• Devolucion de llamadas
• Musica en espera
• Transferencia
• Grupo de timbrado
• Modo de entrada multiple

WWW.GRANDSTREAM.COM 6
Entregando voz de forma segura y confiable para las Pymes

Seguridad
• Firewall integrado
• Seguridad de red 802.1X
• Encriptacion SRTP/TLS
• Interfaz web HTTPS
• Lista Negra/Blanca
• Monitoreo de eventos en
tiempo real…

WWW.GRANDSTREAM.COM 7
UCM6XXX Series
Riegos de seguridad, medidas a
tomar y funciones de seguridad
Riesgos de Seguridad
• Voz sobre IP (VoIP) posee los mismos riegos de seguridad que una red de datos, ademas de otras mas actuales

• Los productos tradicionales de seguridad IT no estan equipados para enfrentar los nuevos retos asociados a la
seguridad en los sistemas de voz

• Algunos de los riesgos de seguridad que su implementacion, basada en la serie UCM6XXX, puede enfrentar, son:

 Escuchar y grabar conversaciones de manera no autorizada


 Rastrear llamadas
 Robo de información confidencial
 Modificar/Manipular llamadas telefonicas
 Realizar llamadas telefonicas de manera gratuita

WWW.GRANDSTREAM.COM 9
Seguridad de la red
Resguarde su conexion fisica a la red
Protocolo 802.1X
• Utilice el protocolo de control de acceso a la red 802.1X para proporcionar
un mecanismo de autenticación al momento de conectar el UCM a la red.
• El UCM soporta los algoritmos:

 EAP-MD5
 EAP-TLS
 EAP-PEAPv0/MSCHAPv2

WWW.GRANDSTREAM.COM 10
Acceso a la interfaz Web
• Antes de colocar el UCM en una red pública, lo cual expone al
equipo a multiples amenazas, el administrador debe verificar los
parametros de acceso a la interfaz web para robustecer la
seguridad del UCM, tomando en cuenta las siguientes
consideraciones:

 Utilizar el protocolo HTTPS para acceder a la interfaz web del


equipo.
 Contraseña robusta con una combinación de caracteres
numericos, caracteres alfabeticos en mayuscula y/o
minuscula y caracteres especiales, siempre recomendado
para el inicio de sesión.
 Modifique el número de reintentos de login
 Cree usuarios con tipos de privilegios especificos

WWW.GRANDSTREAM.COM 11
Acceso a la interfaz Web
Limite de reintentos de login en Web UI
Configuraciones de
Login:
Defina las
configuraciones
correspondientes al
 El UCM6XXX soporta la configuracion login, tales como
tiempo limite, numero
de un limite de reintentos de login para de intentos fallidos y
prevenir ataques masivos de descifrado tiempo de rechazo.
de contraseña.
Lista de usuarios
rechazados:
 Los usuários pueden configurar un Lista de usuarios
maximo de intentos fallidos de login. rechazados, con la
respectiva direccion IP
Una vez este limite es alcanzado, la
Lista Blanca:
direccion IP sera rechazada durante un Añada usuarios
periodo de tiempo, basado en las privilegiados los
configuraciones del usuário. cuales no tendran
restricciones de login.

WWW.GRANDSTREAM.COM 12
Administración de usuarios
Administración de usuarios para acceso web
 Tres niveles de usuario para el acceso web
- Administrador
- Consumer
- Custom
 Login de multiples usuarios
- Multiples usuarios pueden acceder al web UI de manera
simultanea
- Las configuraciones editadas al mismo tiempo podran tener
efecto si y solo si están editando configuraciones diferentes.
Administrator

- Los usuarios seran notificados en el caso de que mas de uno


esten editando las mismas opciones de manera simultanea.

Consumer Consumer Consumer Consumer WWW.GRANDSTREAM.COM 13


Acceso a la interfaz Web
Administración de usuarios para acceso web

SuperAdministrador
- El nivel mas alto, el cual puede acceder a todas las paginas y puede
ejecutar todas las operaciones en la interfaz web.
- El SuperAdministrador puede crear usuarios de nivel Administrador.
- Se admite un unico SuperAdministrador por UCM.

Consumer
- Acceso unicamente a su cuenta personal.
- El portal del usuario Consumer incluye informacion basica
(Informacion de usuario, Extension, CDR) y a los archivos
correspondientes a su cuenta (Buzon de voz, archivos de grabacion,
archivos de fax)

WWW.GRANDSTREAM.COM 14
Administración de usuarios
Administración de usuarios para acceso web

 Sub-administradores pueden ser creados con diferentes privilegios.


 Estan disponibles 8 modulos para personalizar los privilegios.

Conference System System Active


CDR API CDR Records Conference PBX Status
Schedule Events Status Calls

WWW.GRANDSTREAM.COM 15
Administración de usuarios
Administración de usuarios para acceso web
 Cree privilegios con los modulos disponibles por
defecto.
 Seleccione el privilegio personalizado en la opcion
“Privilegio”.

WWW.GRANDSTREAM.COM 16
Telefonia
Señalización SIP segura con TLS
 El administrador del UCM puede considerar el
asegurar los paquetes SIP que son enviados a traves de
una red no confiable.
 TLS puede ser la solucion optima. TLS autentica
servidores y clientes, de ese modo puede cifrar los
mensajes SIP entre los participantes autenticados

WWW.GRANDSTREAM.COM 17
Telefonia
Resguarde la comunicación utilizando SRTP
 El protocolo por defecto para el transporte del audio es RTP, sin embargo, RTP no provee ningun tipo
de seguridad a los paquetes de audio transmitidos a traves de la red
 Para superar esto, el UCM soporta el protocolo “Secure RTP” el cual cifra el audio transmitido para
una mayor seguridad en sus comunicaciones.

Secured RTP flow Secured RTP flow

WWW.GRANDSTREAM.COM 18
Seguridad de Extensión SIP
Medidas de seguridad para la extensión SIP

• Privilegio
• Contraseña robusta
• Estrategia

WWW.GRANDSTREAM.COM 19
Seguridad de Extensión SIP
Niveles de privilegio
 Cuando se crea una extension SIP en el UCM, el administrador puede asignar un nivel de privilegio especifico
para cada una de las extensiones, el cual determinará que tipo de llamada podrá realizar cada extension.
 Existen 4 niveles de privilegio:
 INTERNAL: El nivel mas bajo, el cual autoriza a la extension a realizar llamadas hacia extensiones internas y
hacer llamadas externas a traves de la ruta de salida que tenga el nivel de privilegio internal
 LOCAL: los usuarios pueden realizar llamadas hacia extensiones internas y hacer llamadas externas a traves
de la ruta de salida que tenga el mismo nivel de privilegio ó inferior
 NACIONAL: los usuarios pueden realizar llamadas hacia extensiones internas y hacer llamadas externas a
traves de la ruta de salida que tenga el mismo nivel de privilegio ó inferior
 INTERNATIONAL: el nivel mas alto, permite a los usuarios llamar a extensions internas y hacer llamadas
externas a traves de la ruta de salida con el mismo nivel de privilegio ó inferior

WWW.GRANDSTREAM.COM 20
Seguridad de Extensión SIP
Configuración de contraseña

 Al momento de crear una nueva extension SIP/IAX, el administrador del UCM require definir una “Contraseña
SIP/IAX” la cual sera utilizada para el registro y autenticación de la cuenta.

 El UCM ofrece la opcion “Habilitar contraseña aleatoria”, la cual asignará de manera automatica y aleatoria
una contraseña segura y robusta al momento de crear la extension en el UCM. Esta opción está habilitada por
defecto en el UCM.
 Si el administrador intencionalmente deshabilita esta opcion, se recomienda que se utilice una contraseña que
contenga caracteres numericos y al menos un caracter alfabetico en mayuscula ó minuscula ó algun caracter
especial.

WWW.GRANDSTREAM.COM 21
Seguridad de Extensión SIP
Definición de estrategia
 El administrador del UCM puede controlar que direccion IP es permitida para registrar cierta extension
simplemente con editar la opcion “Estrategia” en el cuadro de edición de la extensión.

 Verifique y configure la “estrategia” en la opcion mas baja que se ofrece, de modo que se pueda prevenir
intentos de registro no necesarios para dicha extension.

Las opciones de estrategia son:


 “Unicamente subred local”
 “Direccion IP Especifica”
 “Permitir todas”

WWW.GRANDSTREAM.COM 22
Seguridad de Extensión SIP
Definicion de estrategia: ejemplo

WWW.GRANDSTREAM.COM 23
Seguridad de la troncal
Enrutamiento de llamadas: Como administrar/asegurar las rutas de salida
• Nivel de privilegio: Existen 4 niveles de privilegio:
• DESHABILITADO: Unicamente las extensiones seleccionadas ó grupos de extensiones estan autorizadas
para utilizar esta regla, y se debe utilizar el filtro por Caller ID de origen.
• INTERNAL: el nivel mas bajo y permite que cualquiera utilice la regla.
• LOCAL: solo para usuarios con nivel de privilegio local, nacional e internacional.
• NACIONAL: usuarios con nivel Nacional e Internacional pueden usar esta regla.
• INTERNACIONAL: el nivel mas alto. Unicamente los usuarios con nivel de privilegio Internacional pueden
usar esta regla.

• Contraseña

Cree una contraseña para que los usuarios la ingresen antes de que puedan usar la regla para realizar
llamadas externas.

WWW.GRANDSTREAM.COM 24
Seguridad de la troncal
Entrutamiento de llamadas: Como filtrar los usuarios permitidos para
usar las reglas de salida
• Permite a usuarios especificos a utilizar una regla
de salida especifica
• Permite a grupos de extensiones especificos a
utilizar una regla de salida especifica

WWW.GRANDSTREAM.COM 25
Seguridad de la troncal
Enrutmiento de llamadas: Regla de Salida | PIN Group
 El UCM6XXX soporta PIN Groups. Una vez se configure el recurso PIN Groups, los usuarios pueden aplicar el
PIN Groups a una regla de salida especifica.

 Quando se quiere establecer una llamada utilizando una regla de salida protegida con este recurso, se le
pedira a la persona que llama que ingrese el PIN que se le ha asignado.

Group 1
PIN Group 1

PIN Group 2

Group 2

WWW.GRANDSTREAM.COM 26
Seguridad de la troncal
Enrutamiento de llamadas:Reglas de
salida | Lista negra de salida
 El UCM6XXX permite a los usuarios colocar
restricciones para codigos de pais en las reglas de
salida especificas.

 Cuando la restricción esta habilitada, no se podrá


llamar al pais que haya sido restringido en dicha
regla de salida.

WWW.GRANDSTREAM.COM 27
Seguridad de la troncal
Enrutamiento de llamadas: Reglas de salida | Condición de tiempo
 El UCM soporta configurar condiciones de tiempo para las reglas de salida. Los usuarios pueden definir
horario de oficina, dias feriados, entre otros, de manera que se puedan utilizar las reglas de salida en los
horarios configurados.
Mon Tue Wed Thu Fri Sat Sun

8:00AM - 5:00PM Outbound Route 1

5:00PM - 8:00AM Outbound Route 2


Outbound
All Day
Route 3

Outbound Route 1

Outbound Route 2

Outbound Route 3

WWW.GRANDSTREAM.COM 28
Prevenciones de seguridad
Medidas preventivas
• Fail2Ban
• Lista Negra/Blanca
• Defensa dinámica
• Defensa estática

WWW.GRANDSTREAM.COM 29
Prevenciones de seguridad

Fail2Ban
Habilite el Fail2Ban en el UCM para errores de
autenticación SIP
- SIP REGISTRATION
- SIP INVITE
- SIP SUBSCRIBE

WWW.GRANDSTREAM.COM 30
Prevenciones de seguridad

Lista negra Fail2Ban


 El UCM6XXX soporta una lista negra de
fail2ban. Los usuarios podran ver cuales
son las direcciones IP que han sido
bloqueadas por el UCM.

WWW.GRANDSTREAM.COM 31
Prevenciones de seguridad
Defensa Dinámica
• Añade direcciones IP a la lista negra de
manera automatica cuando el modo de
red del UCM esta configurado como
“Route”.

• Si esta habilitado, el trafico entrante al


UCM puede ser monitoreado, lo que ayuda
a prevenir ataques masivos al dispositivo.

• La lista negra puede ser creada y


actualizada por el firewall del UCM y se
podra ver directamente en la interfaz web
del UCM.

WWW.GRANDSTREAM.COM 32
Prevenciones de seguridad
Defensa Dinámica: Lista blanca de rangos de IP
 El UCM6XXX soporta una lista blanca para
filtrar un rango de direcciones IP y puertos.

 Los usuarios pueden determinar un rango de


direcciones IP en la lista blanca, en vez de
colocarlas una a una.

WWW.GRANDSTREAM.COM 33
Checklist de seguridad
Resumen del Checklist
 Verifique que el UCM6XXX tenga deshabilitados todos los servicios que NO son necesarios.
 Asegurese que los puertos utilizados para las diferentes señalizaciones esten personalizados con valores
diferentes a los valores por defecto (por ejemplo, utilice el puerto 9090 para la señalizacion SIP)
 Cambie TODAS las contraseñas que vienen por defecto y verifique la complejidad y robustez de todas ellas
 Limite la fuente de registro de las extensiones SIP, definiendo una estrategia personalizada para cada
extensión.
 Use conexion VPN para las conexiones remotas para prevenir la apertura de puertos para acceder a traves de
internet.
 Cifre la señalizacion SIP utilizando TLS y el audio (multimedia) utilizando el protocolo SRTP
 Limite el numero maximo de llamadas por troncal y por extension, conforme a sus requerimientos
 Habilite las notificaciones y monitoree constantemente los logs/CDR de manera que se pueda identificar
cualquier actividad sospechosa en el UCM!
 Defina una rutina de creación de backups

WWW.GRANDSTREAM.COM 34
¿Preguntas?
Soporte: https://helpdesk.grandstream.com
Facebook: Grandstream Networks Latin America
Twitter: GrandLatam
YouTube: Grandstream Networks Latin America
Google+: Grandstream Networks Latin America

WWW.GRANDSTREAM.COM
Gracias!

You might also like