Diez consejos para un Sistema Telefónico IP más seguro

Si se encuentra a cargo de un sistema VoIP o está planeando desplegar uno, entonces seguramente la seguridad VoIP es uno de los aspectos a considerar. En este artículo presentamos diez consejos simples que lo ayudarán a convertir a su Sistema Telefónico IP en uno mucho más resistente a ataques desde la red.

  1. Proteja la interfaz de administración utilizando una contraseña segura – La mayoría de los Sistemas Telefónicos IP modernos pueden ser configurados a través de una interfaz web. Mientras que esto resulta excepcionalmente práctico, es muy importante elegir una contraseña segura. Algunos Sistemas Telefónicos IP pueden ser instalados con una contraseña por defecto. Dejar esta configuración por defecto en operación es una llamada a problemas. Por lo tanto es de importancia crítica para la seguridad VoIP que configure una contraseña segura durante la instalación. Si el servidor de su PBX se encuentra en equipamiento no propietario, es muy probable que cuente con sistema operativo Windows o Linux instalado. Estos sistemas típicamente tienen una interfaz de administración remota como RDP o SSH para que los administradores de sistemas puedan realizar tareas de mantenimiento. Es sabido que los atacantes intentan alcanzar estos servicios mediante ataques de fuerza bruta utilizando nombres de usuario comunes en el sistema. Por lo tanto también es muy importante elegir contraseñas seguras para estos usuarios con privilegios de acceso.
  2. Utilice contraseñas seguras y únicas para los Teléfonos IP – Otro lugar donde se utilizan contraseñas en un Sistema Telefónico IP es en los Teléfonos IP. Por más que algunos servidores PBX permitan no especificar contraseñas o utilizar una en blanco, no lo haga. Configure una contraseña segura y única para cada extensión de la PBX. Un error muy común que pone en peligro la seguridad VoIP en los sistemas telefónicos es configurar la contraseña igual al número de la extensión. Por ejemplo la extensión 100 con la contraseña “100″ y así sucesivamente. Los atacantes conocen muy bien esta tendencia y será una de las primeras cosas que intentarán explotar. Por lo tanto, no haga uso de patrones conocidos como estos para las contraseñas.
  3. Comience implementando seguridad VoIP durante la etapa de diseño – Es más probable que obtenga buenos resultados en seguridad si ésta es considerada una prioridad desde el comienzo. Una cantidad saludable de planeamiento le evitará problemas de seguridad en el futuro. La seguridad VoIP se trata de reducir el riesgo hasta un nivel aceptable. La mejor forma de hacer esto es haciendo que la seguridad sea una prioridad desde el comienzo.
  4. Segregar donde sea posible – Las personas de seguridad tienden a ser grandes seguidoras del principio KISS – “keep it simple stupid” (hazlo simple, estúpido). La segregación a menudo ayuda a simplificar redes complejas. Aunque es importante notar que en relación a diseño de redes, no hay una única fórmula que resuelva todos los problemas de seguridad VoIP. Diferentes requerimientos normalmente crean diferentes limitaciones, y por lo tanto requieren soluciones distintas. Por ejemplo, un hotel tendrá preocupaciones de seguridad diferentes para su sistema telefónico IP que una empresa. En el caso de un sistema telefónico para hoteles, la IP PBX podría no necesitar accede al resto del sistema y por lo tanto podría estar físicamente separada de la red interna del hotel. Por otro lado, una IP PBX de una empresa podría querer que el departamento de soporte utilice teléfonos IP por software y por lo tanto necesitaría que el sistema sea parte de la red interna.
  5. Reduzca la exposición a redes en las que no confía – La mayoría de las veces no hay necesidad de colocar a los teléfonos IP en Internet. Por lo tanto los teléfonos VoIP deberían colocarse detrás de un firewall con reglas de control de acceso configuradas. Esto puede prevenir el spam VoIP (también conocido como SPIT) como así también otros ataques desde internet que intentan alcanzar directamente a los teléfonos IP. Del mismo modo, si la PBX no necesita tener acceso a internet, entonces colocarla en una red protegida puede decrementar en gran medida la exposición y por lo tanto el riesgo. Cuando la IP PBX necesita exponer servicios en internet, es una buena práctica permitir solamente el acceso desde internet a los servicios requeridos.
  6. Haga uso de un IDS (Intrusion Detection System) – En seguridad VoIP, tomar medidas preventivas es solo la mitad del trabajo. La tarea de un sistema de detección de intrusos (IDS) es ayudar a los administradores de sistemas y analistas de seguridad a identificar posibles ataques de seguridad antes que sea demasiado tarde. Un sistema de detección de intrusos basado en host (HIDS), puede ser útil para identificar ataques en un sistema analizando archivos de log, anotaciones de eventos y modificaciones al sistema de archivos. En cambio, un sistema de detección de intrusos de red (NIDS) intenta identificar ataques monitoreando la red. Un ejemplo de NIDS es “Snort”, disponible en forma gratuita, el cual puede ser configurado para monitorear la red por ataques basados en VoIP y alertar a los administradores de sistemas cuando estos incidentes ocurren.
  7. Monitorear el uso de red – Otra forma de detectar ataques basados en la red hacia un sistema telefónico IP es monitorear el uso de red. Netflow es la forma en que Cisco hace esto proveyendo información sobre usuarios de red, aplicaciones y picos  en los tiempos de uso. MRTG es una herramienta de código abierto que permite a los operadores de la red monitorear el uso de la misma, mediante gráficos que permiten identificar visualmente actividad de red inusual. Siguiendo estos incidentes, las personas responsables deberían investigar para determinar si el tráfico es legitimo o no. Algunos ataques hacia sistemas telefónicos IP, como por ejemplo intentos de adivinar contraseñas mediante fuerza bruta, son conocidos por crear gran cantidad de tráfico, el cual podría ser detectado utilizando alguno de los métodos descritos.
  8. Endurecer el sistema operativo – Una forma de endurecer el sistema operativo de su sistema telefónico IP es frenar cualquier servicio innecesario. Algunos de estos servicios podrían ser IIS en Windows o Sendmail en Linux. Además de eso, hay varias cosas específicas de cada sistema operativo que uno puede hacer para convertirlo en uno más seguro. Por ejemplo, en Windows es recomendable deshabilitar LM y NTLM v1 a menos que haya necesidad de compatibilidad hacia atrás.
  9. Utilice un servidor dedicado – Cuando la IP PBX tiene varios servicios corriendo no relacionados con la telefonía, se incrementan las chances de que la IP PBX sufra una intrusión. Por ejemplo, si el servidor de la IP PBX también se encuentra funcionando como un servidor web, alojando aplicaciones web posiblemente vulnerables, entonces un atacante podría explotar la vulnerabilidad de la aplicación web y lograr acceso también al sistema telefónico IP.
  10. Mantenga el sistema operativo al día – Los sistemas operativos modernos son corregidos periódicamente por fallas de seguridad. Habilite las actualizaciones de seguridad automáticas y asegúrese de mantener al sistema al día. Los teléfonos SIP también obtienen actualizaciones de seguridad en forma periódica como actualizaciones de firmware. Algunas fallas de seguridad han permitido a los atacantes intervenir un teléfono SIP. Asegúrese de tener un sistema que facilita la actualización de los teléfonos SIP.

Conclusión

A medida que VoIP continuamente gana cuota de mercado y los beneficios de la telefonía IP van siendo apreciados y adoptados rápidamente por compañías en todo el mundo, es necesario tomar en consideración las implicaciones de la seguridad VoIP.

La seguridad VoIP puede ser implementada fácilmente en una IP PBX, asegurando que  los sistemas telefónicos IP estén protegidos de los ataques de red.