Professional Documents
Culture Documents
AGENDA
Seguridad VoIP
Serie UCM6XXX
Serie UCM6200
IP PBX Appliance
▪ 2/4/8 puertos FXO, 2 puertos FXS.
▪ Hasta 100 llamadas concurrentes y cuarto de
conferencia con soporte de hasta 32
participantes.
▪ Soporte para 800 extensiones y hasta 50
troncales SIP.
▪ Doble Puerto de red 10/100/1000, PoE
integrado, Puerto USB y ranura para tarjetas
SD.
▪ Configuración automatica de terminales a
traves de la herramienta Zero Config
▪ Sin cargos adicionales por licencias
▪ Y mas….
WWW.GRANDSTREAM.COM 3
Serie UCM6510
IP PBX Appliance
▪ Puerto E1/T1/J1, 2 puertos FXO y 2 puertos 2
FXS.
▪ Hasta 200 llamadas simultaneas y sala de
conferencia con soporte hasta 64 participantes
▪ Capacidad para 2000 extensiones SIP
▪ Procesador Quad-core Cortex A9, 1GB RAM y
32GB Flash para mayor capacidad y
desempeño.
▪ Doble Puerto de red Gigabit, PoE integrado,
Puerto USB y ranura para tarjeta SD.
▪ Configuración automatica de terminales a
traves de la herramienta Zero Config
▪ Sin cargos adicionales por licencias
▪ Y mas….
WWW.GRANDSTREAM.COM 4
Grandstream IP PBX - Call Features
Operador Automatico Transferencia
Desvio de llamadas Lista Negra/Blanca
(IVR) Atendida/Ciega
Registro de llamadas
Cola de llamadas Callback Musica en espera
(CDR)
Funciones
Basicas Identificador de llamadas Parqueo de llamadas Voceo/Intercom Correo de Voz
Servidor de grabacion Servidor LDAP Busy Lamp Field (BLF) Acceso 802.1X
Negociacion de codec de
Zero Config Enrutamiento por DID Extensiones remotas
video
WWW.GRANDSTREAM.COM 5
Voice Features
Personalizable
• Enrutamiento de llamadas
• Atendimiento automatico
• IVR
• Cola de llamadas
• Desvio de llamadas
• Devolucion de llamadas
• Musica en espera
• Transferencia
• Grupo de timbrado
• Modo de entrada multiple
WWW.GRANDSTREAM.COM 6
Entregando voz de forma segura y confiable para las Pymes
Seguridad
• Firewall integrado
• Seguridad de red 802.1X
• Encriptacion SRTP/TLS
• Interfaz web HTTPS
• Lista Negra/Blanca
• Monitoreo de eventos en
tiempo real…
WWW.GRANDSTREAM.COM 7
UCM6XXX Series
Riegos de seguridad, medidas a
tomar y funciones de seguridad
Riesgos de Seguridad
• Voz sobre IP (VoIP) posee los mismos riegos de seguridad que una red de datos, ademas de otras mas actuales
• Los productos tradicionales de seguridad IT no estan equipados para enfrentar los nuevos retos asociados a la
seguridad en los sistemas de voz
• Algunos de los riesgos de seguridad que su implementacion, basada en la serie UCM6XXX, puede enfrentar, son:
WWW.GRANDSTREAM.COM 9
Seguridad de la red
Resguarde su conexion fisica a la red
Protocolo 802.1X
• Utilice el protocolo de control de acceso a la red 802.1X para proporcionar
un mecanismo de autenticación al momento de conectar el UCM a la red.
• El UCM soporta los algoritmos:
EAP-MD5
EAP-TLS
EAP-PEAPv0/MSCHAPv2
WWW.GRANDSTREAM.COM 10
Acceso a la interfaz Web
• Antes de colocar el UCM en una red pública, lo cual expone al
equipo a multiples amenazas, el administrador debe verificar los
parametros de acceso a la interfaz web para robustecer la
seguridad del UCM, tomando en cuenta las siguientes
consideraciones:
WWW.GRANDSTREAM.COM 11
Acceso a la interfaz Web
Limite de reintentos de login en Web UI
Configuraciones de
Login:
Defina las
configuraciones
correspondientes al
El UCM6XXX soporta la configuracion login, tales como
tiempo limite, numero
de un limite de reintentos de login para de intentos fallidos y
prevenir ataques masivos de descifrado tiempo de rechazo.
de contraseña.
Lista de usuarios
rechazados:
Los usuários pueden configurar un Lista de usuarios
maximo de intentos fallidos de login. rechazados, con la
respectiva direccion IP
Una vez este limite es alcanzado, la
Lista Blanca:
direccion IP sera rechazada durante un Añada usuarios
periodo de tiempo, basado en las privilegiados los
configuraciones del usuário. cuales no tendran
restricciones de login.
WWW.GRANDSTREAM.COM 12
Administración de usuarios
Administración de usuarios para acceso web
Tres niveles de usuario para el acceso web
- Administrador
- Consumer
- Custom
Login de multiples usuarios
- Multiples usuarios pueden acceder al web UI de manera
simultanea
- Las configuraciones editadas al mismo tiempo podran tener
efecto si y solo si están editando configuraciones diferentes.
Administrator
SuperAdministrador
- El nivel mas alto, el cual puede acceder a todas las paginas y puede
ejecutar todas las operaciones en la interfaz web.
- El SuperAdministrador puede crear usuarios de nivel Administrador.
- Se admite un unico SuperAdministrador por UCM.
Consumer
- Acceso unicamente a su cuenta personal.
- El portal del usuario Consumer incluye informacion basica
(Informacion de usuario, Extension, CDR) y a los archivos
correspondientes a su cuenta (Buzon de voz, archivos de grabacion,
archivos de fax)
WWW.GRANDSTREAM.COM 14
Administración de usuarios
Administración de usuarios para acceso web
WWW.GRANDSTREAM.COM 15
Administración de usuarios
Administración de usuarios para acceso web
Cree privilegios con los modulos disponibles por
defecto.
Seleccione el privilegio personalizado en la opcion
“Privilegio”.
WWW.GRANDSTREAM.COM 16
Telefonia
Señalización SIP segura con TLS
El administrador del UCM puede considerar el
asegurar los paquetes SIP que son enviados a traves de
una red no confiable.
TLS puede ser la solucion optima. TLS autentica
servidores y clientes, de ese modo puede cifrar los
mensajes SIP entre los participantes autenticados
WWW.GRANDSTREAM.COM 17
Telefonia
Resguarde la comunicación utilizando SRTP
El protocolo por defecto para el transporte del audio es RTP, sin embargo, RTP no provee ningun tipo
de seguridad a los paquetes de audio transmitidos a traves de la red
Para superar esto, el UCM soporta el protocolo “Secure RTP” el cual cifra el audio transmitido para
una mayor seguridad en sus comunicaciones.
WWW.GRANDSTREAM.COM 18
Seguridad de Extensión SIP
Medidas de seguridad para la extensión SIP
• Privilegio
• Contraseña robusta
• Estrategia
WWW.GRANDSTREAM.COM 19
Seguridad de Extensión SIP
Niveles de privilegio
Cuando se crea una extension SIP en el UCM, el administrador puede asignar un nivel de privilegio especifico
para cada una de las extensiones, el cual determinará que tipo de llamada podrá realizar cada extension.
Existen 4 niveles de privilegio:
INTERNAL: El nivel mas bajo, el cual autoriza a la extension a realizar llamadas hacia extensiones internas y
hacer llamadas externas a traves de la ruta de salida que tenga el nivel de privilegio internal
LOCAL: los usuarios pueden realizar llamadas hacia extensiones internas y hacer llamadas externas a traves
de la ruta de salida que tenga el mismo nivel de privilegio ó inferior
NACIONAL: los usuarios pueden realizar llamadas hacia extensiones internas y hacer llamadas externas a
traves de la ruta de salida que tenga el mismo nivel de privilegio ó inferior
INTERNATIONAL: el nivel mas alto, permite a los usuarios llamar a extensions internas y hacer llamadas
externas a traves de la ruta de salida con el mismo nivel de privilegio ó inferior
WWW.GRANDSTREAM.COM 20
Seguridad de Extensión SIP
Configuración de contraseña
Al momento de crear una nueva extension SIP/IAX, el administrador del UCM require definir una “Contraseña
SIP/IAX” la cual sera utilizada para el registro y autenticación de la cuenta.
El UCM ofrece la opcion “Habilitar contraseña aleatoria”, la cual asignará de manera automatica y aleatoria
una contraseña segura y robusta al momento de crear la extension en el UCM. Esta opción está habilitada por
defecto en el UCM.
Si el administrador intencionalmente deshabilita esta opcion, se recomienda que se utilice una contraseña que
contenga caracteres numericos y al menos un caracter alfabetico en mayuscula ó minuscula ó algun caracter
especial.
WWW.GRANDSTREAM.COM 21
Seguridad de Extensión SIP
Definición de estrategia
El administrador del UCM puede controlar que direccion IP es permitida para registrar cierta extension
simplemente con editar la opcion “Estrategia” en el cuadro de edición de la extensión.
Verifique y configure la “estrategia” en la opcion mas baja que se ofrece, de modo que se pueda prevenir
intentos de registro no necesarios para dicha extension.
WWW.GRANDSTREAM.COM 22
Seguridad de Extensión SIP
Definicion de estrategia: ejemplo
WWW.GRANDSTREAM.COM 23
Seguridad de la troncal
Enrutamiento de llamadas: Como administrar/asegurar las rutas de salida
• Nivel de privilegio: Existen 4 niveles de privilegio:
• DESHABILITADO: Unicamente las extensiones seleccionadas ó grupos de extensiones estan autorizadas
para utilizar esta regla, y se debe utilizar el filtro por Caller ID de origen.
• INTERNAL: el nivel mas bajo y permite que cualquiera utilice la regla.
• LOCAL: solo para usuarios con nivel de privilegio local, nacional e internacional.
• NACIONAL: usuarios con nivel Nacional e Internacional pueden usar esta regla.
• INTERNACIONAL: el nivel mas alto. Unicamente los usuarios con nivel de privilegio Internacional pueden
usar esta regla.
• Contraseña
Cree una contraseña para que los usuarios la ingresen antes de que puedan usar la regla para realizar
llamadas externas.
WWW.GRANDSTREAM.COM 24
Seguridad de la troncal
Entrutamiento de llamadas: Como filtrar los usuarios permitidos para
usar las reglas de salida
• Permite a usuarios especificos a utilizar una regla
de salida especifica
• Permite a grupos de extensiones especificos a
utilizar una regla de salida especifica
WWW.GRANDSTREAM.COM 25
Seguridad de la troncal
Enrutmiento de llamadas: Regla de Salida | PIN Group
El UCM6XXX soporta PIN Groups. Una vez se configure el recurso PIN Groups, los usuarios pueden aplicar el
PIN Groups a una regla de salida especifica.
Quando se quiere establecer una llamada utilizando una regla de salida protegida con este recurso, se le
pedira a la persona que llama que ingrese el PIN que se le ha asignado.
Group 1
PIN Group 1
PIN Group 2
Group 2
WWW.GRANDSTREAM.COM 26
Seguridad de la troncal
Enrutamiento de llamadas:Reglas de
salida | Lista negra de salida
El UCM6XXX permite a los usuarios colocar
restricciones para codigos de pais en las reglas de
salida especificas.
WWW.GRANDSTREAM.COM 27
Seguridad de la troncal
Enrutamiento de llamadas: Reglas de salida | Condición de tiempo
El UCM soporta configurar condiciones de tiempo para las reglas de salida. Los usuarios pueden definir
horario de oficina, dias feriados, entre otros, de manera que se puedan utilizar las reglas de salida en los
horarios configurados.
Mon Tue Wed Thu Fri Sat Sun
Outbound Route 1
Outbound Route 2
Outbound Route 3
WWW.GRANDSTREAM.COM 28
Prevenciones de seguridad
Medidas preventivas
• Fail2Ban
• Lista Negra/Blanca
• Defensa dinámica
• Defensa estática
WWW.GRANDSTREAM.COM 29
Prevenciones de seguridad
Fail2Ban
Habilite el Fail2Ban en el UCM para errores de
autenticación SIP
- SIP REGISTRATION
- SIP INVITE
- SIP SUBSCRIBE
WWW.GRANDSTREAM.COM 30
Prevenciones de seguridad
WWW.GRANDSTREAM.COM 31
Prevenciones de seguridad
Defensa Dinámica
• Añade direcciones IP a la lista negra de
manera automatica cuando el modo de
red del UCM esta configurado como
“Route”.
WWW.GRANDSTREAM.COM 32
Prevenciones de seguridad
Defensa Dinámica: Lista blanca de rangos de IP
El UCM6XXX soporta una lista blanca para
filtrar un rango de direcciones IP y puertos.
WWW.GRANDSTREAM.COM 33
Checklist de seguridad
Resumen del Checklist
Verifique que el UCM6XXX tenga deshabilitados todos los servicios que NO son necesarios.
Asegurese que los puertos utilizados para las diferentes señalizaciones esten personalizados con valores
diferentes a los valores por defecto (por ejemplo, utilice el puerto 9090 para la señalizacion SIP)
Cambie TODAS las contraseñas que vienen por defecto y verifique la complejidad y robustez de todas ellas
Limite la fuente de registro de las extensiones SIP, definiendo una estrategia personalizada para cada
extensión.
Use conexion VPN para las conexiones remotas para prevenir la apertura de puertos para acceder a traves de
internet.
Cifre la señalizacion SIP utilizando TLS y el audio (multimedia) utilizando el protocolo SRTP
Limite el numero maximo de llamadas por troncal y por extension, conforme a sus requerimientos
Habilite las notificaciones y monitoree constantemente los logs/CDR de manera que se pueda identificar
cualquier actividad sospechosa en el UCM!
Defina una rutina de creación de backups
WWW.GRANDSTREAM.COM 34
¿Preguntas?
Soporte: https://helpdesk.grandstream.com
Facebook: Grandstream Networks Latin America
Twitter: GrandLatam
YouTube: Grandstream Networks Latin America
Google+: Grandstream Networks Latin America
WWW.GRANDSTREAM.COM
Gracias!