¿Qué es E1 - Siptrunk?
Servicio dedicado de telefonía con capacidad de 30 canales de voz lo cual permite múltiples llamadas simultáneas. El servicio SIP Trunk es una solución de telefonía IP que utiliza la infraestructura NGN de TIGO, permitiendo ofrecer elevados estándares de calidad y alta disponibilidad a las empresas que buscan movilizar sus comunicaciones.
SIP Trunk permite establecer llamadas desde usuarios de PBX IP o PBX TDM con la Red de Telefonía Pública Conmutada (PSTN), y desde la Red de Telefonía Pública (PSTN) hacia usuarios de PBX IP o PBX TDM utilizando la red VPN IP MPLS y NGN de TIGO como elemento de interconectividad.
Le invitamos a leer las siguientes recomendaciones para evitar ciberataques y así evitar fraudes.
Verifique el sistema para establecer si las funciones administrativas están conectadas a la central PBX en puertos dedicados o por los mismos puertos que transportan tráfico de voz y datos. La vulnerabilidad del sistema se puede reducir configurando para restringir las funciones de administración a puertos dedicados.
Equipos fisicos – Implemente una seguridad física adecuada para evitar el acceso no autorizado, ej:
- Evitar el acceso no autorizado a los gabinetes telefónicos y las instalaciones de PBX.
- Siempre que sea posible, la central se debe mantener en una habitación cerrada con acceso restringido.
- Siempre que sea posible, la central se debe mantener en una habitación cerrada con acceso restringido.
Limite la marcación PSTN a destinos esenciales (locales e internacionales).
Evite logicas de enrutamiento que faciliten el acceso de circuito(loop) a la PSTN a través de la central PBX.
Habilite los controles de admisión de llamadas, ej. Maximo numero de sesiones, llamadas tripartitas, políticas de Interconectarse a través de una interfaz confiable cuando sea posible, ej. TLS o Ipsec.
Habilite reglas de marcado dinámico si es posible, ej. hora del día y/o políticas de destino de enrutamiento.
Establezca políticas de bloqueo de cuentas para combatir ataques de fuerza bruta basados en diccionarios.
Configure adecuadas políticas de notificación para cuentas bloqueadas.
Limite el acceso y el procesamiento de llamadas solo a direcciones IP conocidas.
Bloquee todos los puertos TCP "inferiores" <1024) a IP públicas.
Utilice puertos no estándar para interfaces accesibles desde la web, si estas deben ser accesibles desde IP públicas.
Bloquee las respuestas ICMP para dispositivos de "misión crítica" y solo permita selectivamente las respuestas ICMP a IP.
Utilice un protocolo de autenticación "desafío-respuesta" para encriptar la comunicación a cualquier portal basado en:
- Asegure su borde con un SBC(session border controller) en las instalaciones o mediante un proveedor de servicios.
- En el caso de los enlaces troncales SIP, asegúrese de que en el controlador/ SBC firewall se incluya una detección de direcciones IP de origen.
- Solo las direcciones IP de una lista blanca pueden acceder a troncales SIP particulares.
- Comprenda el dispositivo que está ejecutando. Por ejemplo, algunos SBC permiten el registro de punto final sin un nombre de usuario o contraseña siempre que se configure una extensión.
Bloquee el acceso de administración desde una IP pública para dispositivos VoIP.
Permita que solo IPs confiables se connected al puerto VoIP predeterminado.
Implemente contraseñas seguras y si requiere acceso público solo permita el acceso desde IP específicas.
Considere deshabilite la marcación remota y las capacidades de marcación entre terminales.
Envíe llamadas VoIP a su propia red para probar su vulnerabilidad.
Escanee su red desde una IP pública para descubrir puertos abiertos y protegerlos.
Requerir autenticación de operador utilizando prefijos que tengan al menos seis dígitos de largo y cambien.
Ignorar o bloquear completamente mensajes de direcciones IP desconocidas. Algunos dispositivos enviarán 100 llamadas a una IP no autorizada, solo para rechazar la llamada en un mensaje posterior. Esto solo sirve para informar a deshabilitar rangos de puertos no esenciales.
Mantenimiento
Los procedimientos de mantenimiento se encuentran entre las funciones más comúnmente explotadas en los sistemas en red, y el mantenimiento de la central con frecuencia requiere la participación de personal externo.
Asegúrese de que el acceso de mantenimiento remoto esté bloqueado de forma predeterminada y solo se puede obtener solicitando al personal local que habilite los puertos de mantenimiento remoto.
Instale una fuerte autenticación de dos factores en los puertos de mantenimiento remoto: los sistemas basados en tarjetas inteligentes o los tokens de contraseña únicos hacen que sea mucho más difícil para los atacantes violar la mantenga los terminales de mantenimiento en un área bloqueada y restringida desactive las funciones de mantenimiento cuando no sean necesarias
Administración
Los sistemas de administración deben estar protegidos con contraseña y la sesión debe bloquearse después de un número específico de intentos fallidos.
El sistema debe agotar el tiempo de espera después de un período específico de inactividad.
Se debe implementar una fuerte protección con contraseña.
SIP permite utilizar contraseñas complejas en IP.
Contar con una persona específica del lado del proveedor de PBX para consultar sobre cuestiones de seguridad.
Emitir una política telefónica de la empresa y comunicarla a todo el personal Emitir una política telefónica de la empresa y comunicarla a todo el personal.
Cambie las contraseñas de administrador cuando los administradores tambien cambie las contraseñas predeterminadas para todos sus dispositivos, especialmente las cuentas con privilegios.
Utilice contraseñas seguras con una combinación de letras mayúsculas y minúsculas, números y símbolos.
Poner en práctica políticas de caducidad de contraseña.
Hacer cumplir los estándares para las contraseñas de correo de voz, incluidos los restablecimientos periódicos de aplicar actualizaciones y parches de forma regular.
Actualice sus dispositivos con la última versión estable.
Las extensiones no asignadas o las líneas directas deben desconectarse.
Restringir la función de desvío de llamadas, ej. limite a 6 dígitos para que solo puedan reenviar a otros números internos. Tenga en cuenta que esto no es muy útil en el caso de que la empresa tenga más de un PBX; ej. una PBX por subsidiaria, en este caso el hacker marcará la primera PBX y llamará a la segunda PBX, la segunda PBX verá que la llamada recibida proviene de su colega PBX (llamada interna) y permitirá que se establezca una llamada internacional arriba. Este es un escenario de fraude de PBX de "marcación entre terminales".
Si DISA (Acceso directo al servicio interno / Acceso al sistema de marcación, etc.) no se puede desactivar por razones comerciales, los usuarios deben ingresar un código de autorización personal además del código requerido para obtener una línea externa.
El proveedor de PBX debe estar disponible para brindar soporte en las diversas funciones que se habilitarán, deshabilitarán o restringirán Elimine la posibilidad de acceder a una línea externa marcando en los servicios de Operadora automática o Mensajería de voz: no debe haber ningún método para acceder al tono de marcación marcando en su PBX a menos que se use una red privada virtual (VPN).
Especifique las características/funcionalidades mínimas requeridas por un usuario estándar y solo proporcione estos servicios. Las funcionalidades adicionales deben ser solicitadas por escrito y aprobadas por un gerente apropiado.
Implementar una buena política de contraseñas en las extensiones, es decir, las contraseñas de las extensiones no deben ser iguales al número de la extensión. Cambia las contraseñas regularmente.
El correo de voz debe estar protegido con PIN, si es posible con un PIN de 6 o más dígitos; el PIN debe cambiarse del número predeterminado (las contraseñas de los buzones de voz no deben ser los últimos cuatro dígitos del número de fuera del horario normal de oficina, un sistema PBX debe configurarse en modo de servicio nocturno. Esto ofrece un servicio restringido y reduce la vulnerabilidad a los hackers durante la noche y los fines de semana. Esto puede no ser active un sistema de registro de llamadas en la central que monitoreará el tráfico de forma individual, rastreando parámetros tales como número de llamada, destino, hora, duración, frecuencia, etc. Registros similares deben estar disponibles para el monitoreo por parte del operador de red a través de su propia infraestructura.
Limite el número de intentos de llamadas o intentos de registrarse en una extensión.
Configuración adecuada del enrutador: un enrutador bien configurado generará una alerta desde el firewall interno o el sistema de detección de intrusiones (IDS) en caso de un ataque a una IP-PBX. Se recomemienda al cliente que mantenga registros de firewall para analisis de casos de ataque. No utilice el puerto 5060 como puerto SIP predeterminado del servidor.