¿Como mejorar la seguridad de mis troncales SIP?

Dicen por ahi que el Protocolo de Inicio de Sesion SIP tiene mala reputación. Pero, como cualquier otra forma de tecnología emergente aquellos que no entienden como funciona tienden a perpetuar dicho temor en lugar de aprender como volverlo un elemento vital de su negocio. Ciertamente no se puede negar que hay casos e historias donde SIP ha sido la causa de grandes impactos financieros producto de fraude telefónico. También se rumorea que SIP es la causa por la que las redes se vuelven vulnerables y que cualquiera puede espiar las llamadas, etc. Este articulo pretende ilustrar sobre los mitos y verdades de estos casos, así como ilustrar sobre las mejores practicas en el uso de troncales SIP.

Seguridad de troncales SIP

En primer lugar y para que quede claro, el uso de la tecnología SIP ha venido creciendo en forma masiva en todo el mundo. Esta es una tecnología que ofrece mucha confiabilidad y seguridad que hasta los operadores celulares 4G LTE optaron usarla. Adicionalmente reportes recientes indican que el mercado de las Troncales SIP espera crecer un valor de $8 billones de dólares para el año 2018. Infonetics, una firma analista, recientemente hizo una encuesta que revelo que el 62% de las empresas en los Estados Unidos esperan usar SIP para el año 2017.

Las Troncales SIP proveen conexiones desde aplicaciones de telefonía hacia la infraestructura de la telefonía pública (RTPC) para permitir servicios de comunicación como hacer y recibir llamadas ó enviar y recibir mensajes de texto. Contrario a lo que pueda haber leído, las troncales SIP solo proveen información relacionada con el origen y el destino, por lo que no hay nada genere una vulnerabilidad a la seguridad de red. En otras palabras las troncales SIP son gateways controlados hacia la Red Publica Telefonica Conmutada. Incluso aunque la seguridad de la red no fuera buena, esto no incrementa las posibilidades de fraude de llamadas. Sin embargo es importante que exista un apropiado nivel de seguridad perimetral para prevenir el acceso no autorizado a la red y sus recursos; incluyendo su PBX.

Como cualquier experto en TI opinaría, la seguridad es tan buena como el eslabón mas débil y tratándose de Troncales SIP pasa lo mismo: serán tan seguras como nosotros las hagamos. Por ello le presentamos una serie de recomendaciones y mejores prácticas para evitar caer en manos de terceros que cometen abusos.

1. Asegúrese de que su software y firmware estan actualizados

No lo creerá pero los piratas y hackers no descansan hasta encontrar agujeros en plataformas de red, especialmente en aquellas Open Source o de Código Abierto. Cuando una vulnerabilidad es encontrada se “riega la bola” rápidamente y los criminales empiezan a actuar. Es importante permanecer vigilante por las actualizaciones de sistemas operativos, softwares de CRM, comunicaciones unificadas, PBX, etc. sobre todo si ellos estan conectados a recursos de su red. Esta sugerencia también es aplicable al firmware de su router. Fallar al mantener actualizada las versiones de software es lo que mas contribuye al fraude de llamadas.

2. Cree y requiera claves complejas

En pleno siglo 21 todavia hay quienes usan claves como ‘1234′ o ‘12345′ o usan palabras de diccionario. Use caracteres alfanuméricos y símbolos como ‘$’ ó ‘#’ en forma combinada. No permita que una clave muy fácil abra la puerta a criminales. Recuerde que ellos usan poderosos procesadores que son capaces de probar millones de combinaciones en cuestión de minutos. No les facilite el trabajo con claves fáciles de adivinar.

3. Cree listas de acceso de direcciones IP

Empiece restringiendo el acceso a los recursos de telefonía solo desde las redes internas. El hacerlo permitirá que solo personas dentro se du red o dominio utilizarán los recursos de telefonía o mensajería. Si esto no es posible porque tiene usuarios móviles o sucursales y necesita permitir acceso desde direcciones IP dinámicas, entonces cree y mantenga una lista negra de direcciones IP que puedan significar una amenaza. Consulte con su proveedor de Troncales SIP si puede ofrecerle una lista de direcciones que pueda añadir a su firewall.

4. Permita solo proveedores de Troncales SIP en los que confíe

Y esto es válido tanto en términos técnicos como comerciales. Su PBX es el punto de entrada potencial de amenazas de seguridad y por tanto necesita que lo asegure. Desde el punto de vista técnico asegurese de que su Firewall permite conexiones SIP de su proveedor y que sus direcciones IP estan en una lista blanca. Desde el punto de vista comercial solo adquiera servicios con proveedores que tengan reputación y experiencia.

5. Entienda como trabaja la señalización y el contenido

Una práctica solida es asegurar el camino de transmisión tanto como sea posible cuando se envían llamadas sobre la Red Publica Telefónica Conmutada que, por cierto, no tiene ninguna seguridad o encriptación. Al usar un proveedor de Troncales SIP que envía la señalización y el contenido (video, audio o texto) en dos flujos que no estan asociados las llamadas que llevan voz pueden ocultarse y no ser identificadas. De esta manera, suponiendo que un criminal intercepte la señalización, todo que recibe es la información numérica de la llamada pero no el audio. Contrate unicamente con proveedores de servicio que pueden documentarle como manejan y transportan sus llamadas. Consulte si pueden encriptar las sesiones de fin a fin y mediante estrategias de SRTP (Secure Realtime Transmission Protocol).

6. Establezca conexiones seguras

Si tiene usuarios móviles o tele-trabajadores que se conectan remotamente a su PBX utilice Redes Privadas Virtuales o VPNs para permitir el acceso remoto a través de Internet. De esta manera reduce las posibilidades de conexión fraudulenta e intentos no autorizados por ganar acceso. Si no es posible el uso de VPNs entonces configure su plataforma de PBX para usar puertos que no sean estándares. Por ejemplo en lugar de recibir conexiones por el puerto 5060 hágalo desde un puerto diferente. Así confundirá a los criminales.

7. Realice autenticación por dirección IP

Solicite a su proveedor que en lugar de autenticarlo por un usuario y una contraseña, lo haga mediante su dirección IP pública. Así se asegura que su proveedor solo acepte requerimientos de usar Troncales SIP si y solo si vienen exclusivamente de su dirección pública. Si expusiera al dominio público las credenciales de sus Troncales SIP no podrán ser usadas porque el origen de la conexión no esta autorizado.

Pregunte también si su operador de servicio puede ofrecer capas mas avanzadas de seguridad como autenticación por geografia. Esto es, si todas sus llamadas se originan desde Colombia puede negar el inicio de sesiones desde locaciones geográficas distintas a la suya. Añada listas negras de países que se conocen por sus constantes fraudes.

8. Establezca un control anti-fraude por una lista blanca de destino

Contacte a su proveedor de servicio y especifique que solo desea que sus Troncales SIP llamen a ciertos destinos con los que frecuentemente se comunica. Puede ofrecer una lista de ciudades o de países que le interesen. Adicionalmente puede crear una lista negra con los destinos que son mas frecuentemente abusados y usados por criminales. Si usted no llama a esos destinos entonces cree una lista negra. Así estará añadiendo capas extra de seguridad.

Con estas prácticas, usted puede sentirse mas seguro y disfrutar de los beneficios de SIP sin preocupaciones

Si tiene dudas de que su configuración de Troncales SIP es segura pongase en contacto con nosotros.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *