Instalación:
□ Arquitectura de Sistema:
1. Verifique el sistema para establecer si las funciones administrativas están conectadas a la central PBX en puertos dedicados, o por los mismos puertos que transportan tráfico de voz y datos. La vulnerabilidad del sistema se puede reducir configurando para restringir las funciones de administración a puertos dedicados.
2. Equipos físicos – Implemente una seguridad física adecuada para evitar el acceso no autorizado, ejemplo:
• Evitar el acceso no autorizado a los gabinetes telefónicos y las instalaciones de PBX. Siempre que sea posible, la central se debe mantener en una habitación cerrada con acceso restringido.
• Los componentes críticos del hardware deben bloquearse con dispositivos anti sabotaje.
• Realizar verificaciones periódicas de integridad en componentes críticos.
□ Limite la marcación PSTN a destinos esenciales (locales e internacionales).
□ Evite lógicas de enrutamiento que faciliten el acceso de circuito (loop) a la PSTN a través de la central PBX.
□ Habilite los controles de admisión de llamadas, ejemplo: Máximo número de sesiones, llamadas tripartitas, políticas de registro, etc.
□ Interconectarse a través de una interfaz confiable cuando sea posible, ejemplo: TLS o Ipsec.
□ Habilite reglas de marcado dinámico si es posible, ejemplo: hora del día y/o políticas de destino de enrutamiento.
□ Establezca políticas de bloqueo de cuentas para combatir ataques de fuerza bruta basados en diccionarios.
□ Configure adecuadas políticas de notificación para cuentas bloqueadas.
□ Limite el acceso y el procesamiento de llamadas solo a direcciones IP conocidas.
□ Bloquee todos los puertos TCP "inferiores" (<1024) a IP públicas.
□ Utilice puertos no estándar para interfaces accesibles desde la web, si estas deben ser accesibles desde IP públicas.
□ Bloquee las respuestas ICMP para dispositivos de "misión crítica" y sólo permita selectivamente las respuestas ICMP a IP confiables.
□ Utilice un protocolo de autenticación "desafío-respuesta" para encriptar la comunicación a cualquier portal basado en web sobre IP pública.
□ Asegure su borde con un SBC (session border controller) en las instalaciones o mediante un proveedor de servicios.
□ En el caso de los enlaces troncales SIP, asegúrese de que en el controlador / SBC firewall se incluya una detección de direcciones IP de origen. Sólo las direcciones IP de una lista blanca pueden acceder a troncales SIP particulares (configuraciones de políticas locales).
□ Comprenda el dispositivo que está ejecutando. Por ejemplo, algunos SBC permiten el registro de punto final sin un nombre de usuario o contraseña siempre que se configure una extensión.
□ Bloquee el acceso de administración desde una IP pública para dispositivos VoIP.
□ Permita que solo IPs confiables se conecten al puerto VoIP predeterminado.
□ Implemente contraseñas seguras y si requiere acceso público solo permita el acceso desde IP específicas. Considere implementar una arquitectura de servidor de salto como Citrix.
□ Deshabilite la marcación remota y las capacidades de marcación entre terminales.
□ Envíe llamadas VoIP a su propia red para probar su vulnerabilidad.
□ Escanee su red desde una IP pública para descubrir puertos abiertos y protegerlos.
□ Requerir autenticación de operador utilizando prefijos que tengan al menos seis dígitos de largo y cambien regularmente.
□ Ignorar o bloquear completamente mensajes de direcciones IP desconocidas. Algunos dispositivos enviarán 100 llamadas a una IP no autorizada, solo para rechazar la llamada en un mensaje posterior. Esto solo sirve para informar a un intruso que un dispositivo VoIP está disponible y escuchando.
□ Deshabilitar rangos de puertos no esenciales.
Mantenimiento:
Los procedimientos de mantenimiento se encuentran entre las funciones más comúnmente explotadas en los sistemas en red, y el mantenimiento de la central con frecuencia requiere la participación de personal externo. Para minimizar las vulnerabilidades de las funciones de mantenimiento:
□ Asegúrese de que el acceso de mantenimiento remoto esté bloqueado de forma predeterminada y solo se puede obtener solicitando al personal local que habilite los puertos de mantenimiento remoto.
□ Instale una fuerte autenticación de dos factores en los puertos de mantenimiento remoto: los sistemas basados en tarjetas inteligentes o los tokens de contraseña únicos hacen que sea mucho más difícil para los atacantes violar la seguridad de su sistema.
□ Mantenga los terminales de mantenimiento en un área bloqueada y restringida.
□ Desactive las funciones de mantenimiento cuando no sean necesarias.
Administración:
□ Los sistemas de administración deben estar protegidos con contraseña y la sesión debe bloquearse después de un número específico de intentos fallidos. El sistema debe agotar el tiempo de espera después de un período específico de inactividad. Se debe implementar una fuerte protección con contraseña. SIP permite utilizar contraseñas complejas en IP-PBX. Reemplace inmediatamente las contraseñas predeterminadas de fábrica (por ejemplo, administrador, usuario, etc.) con algunas otras contraseñas seguras.
□ Contar con una persona específica del lado del proveedor de PBX para consultar sobre cuestiones de seguridad.
□ Emitir una política telefónica de la empresa y comunicarla a todo el personal.
□ Operar un procedimiento recurrente para eliminar la funcionalidad del personal individual cuando este deja la empresa. Cambie las contraseñas de administrador cuando los administradores cambien.
□ Cambie las contraseñas predeterminadas para todos sus dispositivos, especialmente las cuentas con privilegios administrativos.
□ Utilice contraseñas seguras con una combinación de letras mayúsculas y minúsculas, números y símbolos.
□ Poner en práctica políticas de caducidad de contraseña.
□ Hacer cumplir los estándares para las contraseñas de correo de voz, incluidos los restablecimientos periódicos de contraseña.
□ Aplicar actualizaciones y parches de forma regular.
□ Actualice sus dispositivos con la última versión estable.
□ Las extensiones no asignadas o las líneas directas deben desconectarse.
□ Restringir la función de desvío de llamadas, ejemplo: limite a 6 dígitos para que sólo puedan reenviar a otros números internos. Tenga en cuenta que esto no es muy útil en el caso de que la empresa tenga más de un PBX; ejemplo: una PBX por subsidiaria, en este caso el hacker marcará la primera PBX y llamará a la segunda PBX, la segunda PBX verá que la llamada recibida proviene de su colega PBX (llamada interna) y permitirá que se establezca una llamada internacional arriba. Este es un escenario de fraude de PBX de "marcación entre terminales".
□ Si DISA (Acceso directo al servicio interno / Acceso al sistema de marcación, etc.) no se puede desactivar por razones comerciales, los usuarios deben ingresar un código de autorización personal además del código requerido para obtener una línea externa. El proveedor de PBX debe estar disponible para brindar soporte en las diversas funciones que se habilitarán, deshabilitarán o restringirán.
□ Elimine la posibilidad de acceder a una línea externa marcando en los servicios de Operadora Automática o Mensajería de Voz: no debe haber ningún método para acceder al tono de marcación marcando en su PBX a menos que se use una red privada virtual (VPN).
□ Especifique las características / funcionalidades mínimas requeridas por un usuario estándar y solo proporcione estos servicios. Las funcionalidades adicionales deben ser solicitadas por escrito y aprobadas por un Gerente apropiado.
□ Implementar una buena política de contraseñas en las extensiones, es decir, las contraseñas de las extensiones no deben ser iguales al número de la extensión. Cambiar las contraseñas regularmente.
□ El correo de voz debe estar protegido con PIN, si es posible con un PIN de 6 o más dígitos; el PIN debe cambiarse del número predeterminado (las contraseñas de los buzones de voz no deben ser los últimos cuatro dígitos del número de teléfono) y deben deshabilitarse después de un número específico de intentos fallidos.
□ Fuera del horario normal de oficina, un sistema PBX debe configurarse en modo de servicio nocturno. Esto ofrece un servicio restringido y reduce la vulnerabilidad a los hackers durante la noche y los fines de semana. Esto puede no ser factible para las empresas con actividad internacional que requieren el uso global de la PBX durante todo el día.
□ Active un sistema de registro de llamadas en la central que monitoreará el tráfico de forma individual, rastreando parámetros tales como número de llamada, destino, hora, duración, frecuencia, etc. Registros similares deben estar disponibles para el monitoreo por parte del operador de red a través de su propia infraestructura.
□ Limite el número de intentos de llamadas o intentos de registrarse en una extensión.
□ Configuración adecuada del enrutador: un enrutador bien configurado generará una alerta desde el firewall interno o el Sistema de Detección de Intrusiones (IDS) en caso de un ataque a una IP-PBX. Se recomienda al cliente que mantenga registros de firewall para análisis de casos de ataque.
□ No utilice el puerto 5060 como puerto SIP predeterminado del servidor.
Comentarios
0 comentarios
Inicie sesión para dejar un comentario.