No podemos olvidarnos de la seguridad en las Centralitas Telefónicas. Como viene siendo habitual, los sistemas de Comunicaciones Unificadas; para no ser menos; son «atacados» desde Internet.
En nuestros logs hemos llegado a ver ataques por fuerza bruta de MÁS 1600 intentos de registro en una hora.
Lo normal es que las empresas tomen medidas de seguridad en los equipos frontera de la red(firewalls, proxies, etc). Poniendo de esta manera trabas a aquellos cuyas intenciones no son las de colaborar.
No obstante, esto puede no ser suficiente. Bien porque el ataque proviene desde nuestra red, alguien de nuestro equipo o un equipo infectado. Bien porque el ataque utilice alguna vulnerabilidad de nuestros sistemas de defensa.
Sí, es cierto, existen otras medidas de seguridad deseables:
- En lo que se refiere a la LAN. Todas aquellas destinadas a separar el tráfico de la voz del resto del tráfico de la empresa, como pueden ser,ordenadores, autómatas, etc. Estas medidas pueden implementarse de manera física no compartiendo el cableado y la electrónica de red hasta los equipos frontera, o bien puede realizarse a través de la segmentación de las redes en VLAN. Este nivel de seguridad nos permite aislar unos componentes de otros, de tal manera que minimicemos el riesgo de injerencia en caso de sufrir un «ataque».
- Respecto a las comunicaciones como tal, debemos de considerar el cifrado de las mismas, pudiendo cifrar por una parte «los paquetes de gestión de la comunicación» y por otra parte «los paquetes multimedia», estas herramientas minimizan los riesgos por ataques de «Man in the middle» o «sniffing».
Grandstream ha implementado algunas herramientas de seguridad en sus Centralitas Telefónicas, que ayudan a securizar las comunicaciones y a minimizar la posibilidad de “caer bajo fuego enemigo”.
Sistemas estáticos de defensa.
-
Sistema de firewall estándar, restricción de servicios por puertos y direcciones IP.
-
Sistema de defensa de Ping. Nos permitirá que no puedan ser encontrados nuestros equipos con un escaneo de red basado en Ping. Para ello debemos desactivar la respuesta al Ping.
-
Mitigación del ataque SYN-Flood. El ataque SYN-Flood se basa en la una solicitud masiva de paquetes SYN. Consiguiendo que el sistema deba destinar recursos para atender dichas solicitudes y que aquellas solicitudes de conexión legítimas no puedan ser atendida por falta de recursos, lo cual ocasiona una merma en la prestación del servicio.
-
Defensa contra Ping-of-Death. El ping de la muerte consiste en enviar datagramas que superen el tamaño máximo autorizado, cuando se envía a un sistema vulnerable genera la caída del sistema.
Sistema dinámico de defensa.
- El sistema dinámico de defensa genera de manera automática listas negras, añadiendo las direcciones IP sospechosas de pertenecer a un «ataque de fuerza bruta». Esta estrategia se basa en detectar aquellas direcciones IP que superan un umbral de intento de conexiones, en un periodo de tempo determinado.
Fail2ban.
-
Proporciona detección de intrusión mediante los errores de autenticación en SIP REGISTER, INVITE o SUSCRIBE. Una vez que un intento de conexión supera un periodo umbral sin haber conseguido autentificarse, el sistema ignora a dicho equipo durante un periodo de tiempo establecido.
Por estas y otras razones las Centralitas Telefónicas de Grandstream son una solución de bajo coste pero de altas prestaciones.
Son las Grandstream Centralitas Telefónicas igual de óptima y fiable que el resto de soluciones del mercado.