Gerardo BarajasJonathan Fuentes
Proyectos Especiales e Ingeniería
Av. División del Norte 1354 - 202Col. Letrán Valle
Distrito Federal, México, 03650Tel. +52 (55) [email protected]
“Evitando Fraudes Telefónicos: Los Cinco
Puntos…..”
telefonía abierta www.neocenter.com
Telefonía Abierta www.neocenter.com
Quito, 17 Noviembre 2010
elastixWorld 2010
telefonía abierta www.neocenter.com
Nace en Marzo de 2003 como Empresa de Consultoría para Contact Center/Call Center
Del 2005 al 2006 desarrolla un producto de Marcación Predictiva y Aplicativos para Contact Center/Call Center basados en Open Source y Servidores
En el 2007 Neocenter se convierte en Mayorista de Telefonía Abierta, representando a varios fabricantes del Medio VOIP
Quién es Neocenter
Quito, 17 Noviembre 2010
elastixWorld 2010
telefonía abierta www.neocenter.com
En Junio de 2009 Es nombrado Partner Oficial de Elastix y ofrece las primeras Certificaciones de Elastix ECT y ECE en México 96 Técnicos en Elastix
20 Ingenieros en Elastix
En Marzo de 2011 lanza la primera Certificación en Terminales SIP de Aastra Telecom 45 Asociados de Apoyo Técnico
Quién es Neocenter
Quito, 17 Noviembre 2010
elastixWorld 2010
telefonía abierta www.neocenter.com
Hoy Noviembre de 2011
Grupo multidisciplinario: Open Source
Telecomunicaciones
Seguridad de redes
Portafolio integral de productos:
Estrategia Dinámica:Ecosistema
Quito, 17 Noviembre 2010
elastixWorld 2010
telefonía abierta www.neocenter.com
Basado en nuestra experiencia como Área de Ingeniería
Mas de 8 Años de Experiencia en Call Centers, IP-PBX (No solo con Asterisk)
Experiencias en Seguridad VOIP
Apoyamos a todo aquel que esta iniciando operaciones en el Mundo del Open Source
Cómo Evitar Fraudes Telefónicos:
Nuestra Experiencia
Quito, 17 Noviembre 2010
elastixWorld 2010
telefonía abierta www.neocenter.com
Áreas [Los 5 Puntos :) …..]
Ética, Ingeniería Social
Seguridad Física (Acceso a los equipos, troncales, etc)
Sistema Operativo y Aplicaciones (Centos, Elastix, FreePBX)
RED (Protocolos SIP)
Terminales
Quito, 17 Noviembre 2010
elastixWorld 2010
telefonía abierta www.neocenter.com
Ética, Ingeniería Social
Mal control de pinsets, contraseñas, etc. Hasta el policía sabe cuál es la contraseña para hacer llamadas sin restricción (intercambio de contraseñas, usuarios inquietos)
Colaboradores molestos que conocen la infraestructura
Uso de sniffers (captura de llamadas, captura del trafico SIP)
Uso indebido de las llamadas capturadas (extorsión, chantaje) Interno/externo
Quito, 17 Noviembre 2010
elastixWorld 2010
telefonía abierta www.neocenter.com
Recomendaciones:
Revisión constante del CDR, sobre todo que los pinsets sean los correspondientes al numero de extensión llamante, bloqueo de llamadas por categorías
Controlar el uso de los recursos de la compañía (Telefonía) con cartas responsivas (transferencia de llamadas patrocinadas, DISA)
Contratos de Servicios sobre Códigos de Ética tanto a personal Interno como Externo
Ética, Ingeniería Social
Quito, 17 Noviembre 2010
elastixWorld 2010
telefonía abierta www.neocenter.com
Cualquier colaborador tiene acceso al Site de Computo y comunicaciones (carencia de accesos controlados)
Cualquier persona tiene acceso al Monitor y teclado del IP-PBX, reiniciar el equipo en modo interactivo, cambio del password de root, etc
No se tiene conciencia sobre el equipo, al final del día son equipos cruciales sobre las operaciones de la organización (equipos en el cuarto de servicio, el librero, etc)
Física
Quito, 17 Noviembre 2010
elastixWorld 2010
telefonía abierta www.neocenter.com
Recomendaciones:
Restringir el acceso al site de computo: Huella Digital, Bitacora de Accesos, Sistemas de Circuito Cerrado, Etc.
Conciencia: Si no se tienen los recursos necesarios para montar un Site a Doc, montar el IP-PBX en un sitio que se encuentre “seguro”, P.E. la Oficina del Director “ Es un sitio que siempre se encuantra seguro y ademas cuenta con aire acondicionado”
Física
Quito, 17 Noviembre 2010
elastixWorld 2010
telefonía abierta www.neocenter.com
El Atacante siempre buscará: Acceder/Escalar al equipo:
Aplicación de Sniffers sobre equipos publicados (puertos abiertos en el equipo, SSH, HTTP, FTP)
Ejecutar código y scripts prediseñados para facilitar su operación (directorios de contraseñas, análisis de trafico)
Sistema Operativo y Aplicativos
Quito, 17 Noviembre 2010
elastixWorld 2010
telefonía abierta www.neocenter.com
Recomendaciones:
Asegurar SSH
Claves fuertes: Mezcle letras y números además de caracteres alfanuméricos
Use puertos no estándares
En la medida de lo posible use llaves encriptadas, deshabilite el acceso como root
No exponga sus equipos si utiliza la interface Web para Administrarlos:
Utilice VPN’s, Cambie las contraseñas de fabrica
Utilice Firewall’s, no admita tráfico que no conoce,
Al igual que SSH use contraseñas fuertes
Sistema Operativo y Aplicativos
Quito, 17 Noviembre 2010
elastixWorld 2010
telefonía abierta www.neocenter.com
Pequeños programas o scripts que se aprovechan de una vulnerabilidad para atacar un servicio (puertos abiertos)
Errores de Configuración (;allowguestcall=no, el valor por defecto es yes
Crackeo de contraseñas SIP (passwords débiles,
P.E. Ext 100 contraseña 100)
Secuestro de Sesiones SIP
Redirección de llamadas (uso de la infraestructura para hacer llamadas a otros lados)
Reproducción de llamadas (análisis de streams de RTP)
Ataque DoS por inundación
Entre otros
Red (Protocolo SIP)
Quito, 17 Noviembre 2010
elastixWorld 2010
telefonía abierta www.neocenter.com
Publicado de dispositivos puerto 80
Uso de contraseñas por defecto (configuración del dispositivo)
Passwords de Registro de SIP débiles (12345 o el mismo número de extensión)
Apertura de puertos en los cortafuegos (Extensiones Remotas, puertos SIP y RPT)
No existen enlaces seguros entre los dispositivos (Servidor de Registro y los EndPoints)
Terminales SIP
Quito, 17 Noviembre 2010
elastixWorld 2010
telefonía abierta www.neocenter.com
Use firewall
Use Switches Administrables en la medida de lo posible (no use Hub’s/Switches de bajo rendimiento)
Implemente SIP sobre TLS/SRTP (Terminales SIP/Asterisk)
Contraseñas Fuertes (MD5 puede ser una opción)
Túneles VPN
Vlans
Sistemas de detección de intrusos (IDS)
Alguien que configure bien tu sistema :)
Recomendaciones
Quito, 17 Noviembre 2010
elastixWorld 2010
telefonía abierta www.neocenter.com
A veces las personas no suelen preocuparse mucho por la seguridad y si alguna vez lo llegar a hacer la pregunta siempre es: cuanto $ vale y la respuesta es: no mejor dejálo así, hasta que truene lo resolvemos
Mantener un sistema 100% seguro es complicado, pero no imposible
Los resultados pueden ser devastadores: el no tomar medidas precautorias e invertir a tiempo en estos temas puede significar pérdidas millonarias y dejarnos con las preguntas ¿Por qué no lo hice a tiempo? ¿Por qué a mi?, el resultado es: alguien de TI desempleado, cuando el problema puede provenir de otra área (falta de decisiones)
Conclusiones
Quito, 17 Noviembre 2010
elastixWorld 2010
telefonía abierta www.neocenter.com
El tema de seguridad no debe mirarse como gasto, puede significar el seguro de vida de una organización
La recomendación es: siempre que implementen VOIP incluyan en sus propuestas el tema de seguridad o por lo menos hagan sus recomendaciones del tema sobre las mismas
Asesorarse con expertos si se ignora del tema, el implementar por implementar nos pude ocasionar muchos dolores de cabeza
Mantener actualizados sus sistemas
Capacitación en forma y auto-capacitación
Conclusiones
Quito, 17 Noviembre 2010
elastixWorld 2010
telefonía abierta www.neocenter.com
Toll Free 911-soporte
Neocenter cuenta con un selecto equipo de soporte, si tiene alguna pregunta o problema, no dude en llamarnos estamos para atenderle:
Quito, 17 Noviembre 2010
elastixWorld 2010
telefonía abierta www.neocenter.com
“Hay que atacar primero la consecuencia, después atacamos la causa del problema”
- Ernesto Casas -
El Valor del Servicio
Quito, 17 Noviembre 2010
elastixWorld 2010
telefonía abierta www.neocenter.com
¡ Gracias !
Las oportunidades marcan tendencias
Top Related