En cuanto a seguridad, debemos entender que si alguien desea realmente entrar a nuestro sistema y es lo suficientemente bueno lo hará, lo que podemos hacer es complicarle la intromisión.

Existen ciertas configuraciones básicas de seguridad que nos ayudara a mejorar con creces nuestro sistema VoIP, como los que en listamos a continuación.

 

1.- No usar contraseñas por default

El utilizar contraseñas seguras, para el acceso al dispositivo PBX como para el firmado de las extensiones, es un tema recurrente donde no se cambia las contraseñas por default de los dispositivos y de repente alguien tomo el control, la verdad nosotros no consideramos ese evento como un hackeo y es un evento comprendido directamente por el descuido del usuario.

Claro que al crear contraseñas hay algunas más fáciles que otras incluso se publican cada año las contraseñas más comunes para evitar que un programa descifre la contraseña en un instante podemos utilizar esta herramienta para revisar la seguridad de una contraseñas: https://howsecureismypassword.net

 

2.- Evitar reglas de salida genéricas.

Esto es común utilizar un patrón de marcado como _x.

Es mejor utilizar reglas de marcado, como por ejemplo, sí para poder marcar a un celular es necesario colocar la lada + el número podemos realizar una regla exclusiva para llamadas a celular como:

 

_0xxxxxxxxxxxx

 

Donde 0xx es la lada + xxxxxxxxxx los 10 números sin utilizar el punto, esto obliga que solo saldrán números con una longitud de 13 dígitos que empiecen con 0.

 

O para marcado internacionales podemos forzar solo los países que nos interesan como estados unidos:

 

00 + 1 + Ciudad + Numero

 

Por ejemplo para marcar a San Francisco/California

 

00 + 1 + 415 + Numero (554-4000)

 

Nuestro código sería _001415xxxxxxx y esto lo podemos hacer para cada uno de los métodos de marcado que se usaran en el sistema esto para evitar que si tenemos una intrusión no pueda realizar marcados a países extraños.

 

3.- Bloqueo de países.

Los equipos UCM son capaces de crear listas negras para evitar que las llamadas salgan a ciertos países de esta manera estará más protegido contra estafas telefónicas.

 

4.- Utilizar solo un aprovisionamiento de equipo.

 Las extensiones tienen la capacidad de aprovisionar diferentes dispositivos con una sola cuenta SIP este tipo de configuración no es recomendable es preferible solo permitir un registro por cuenta SIP.

 Solo se debe utilizar en los casos que alguien quiera tener su extensión de modo remoto y que sea exactamente la misma que usa en la oficina.

 

5.- Cambio de puertos por default.

Muchos de los sistemas para hackear un conmutador utiliza puertos predestinados y podemos aumentar la dificultar para descifrar nuestra comunicación cambiando los puertos por defecto como el 5060 que se usa para el registro SIP.

Nota: Al realizar el cambio debemos configurar los teléfonos apuntando al nuevo puerto(IP Conmutador : NuevoPuerto), si se usa ZeroConfig no es necesario solo reiniciar el teléfono la nueva configuración sera asignada al teléfono.

 

6.- Usar VPN para extensiones Remotas y Troncales entre Conmutadores.

Si bien utilizar solo el envío del tráfico a una IP publica o DDNS es mucho más sencillo también es la menos segura, el utilizar una VPN nos puede ahorrar problemas en un futuro ya que al utilizarlo el trafico sera encriptado hacia los PBX  y será más difícil ser  blanco de los hackers.

 

7.- Firewalls

 Si bien los equipos UCM de GrandStream cuentan con pequeñas funciones de Firewall, es recomendable usar un Firewall exclusivo para nuestra red para tener un control del tráfico de lo que entra y lo que sale de nuestra infraestructura como especificar las direcciones IP de las cuales podemos recibir tráfico y desde que Destino.

 

Ejemplo; Podemos imaginar el tener un sitio remoto con una IP Publica dinámica pero un DDNS: sitio.1.ddns.net podemos configurar una regla en el firewall para especificar que todo el tráfico SIP solo es aceptado cuando venga desde sitio.1.ddns.net y si colocamos una VPN podemos realizarlo más complejo hasta el punto de aceptar solo el tráfico de la red: 192.168.x.x/24 que venga de la dirección sitio1.ddns.net si no se cumplen esas dos reglas no tendrán posibilidad de entrar a nuestra infraestructura.

¿Encontró su respuesta?