Posiblemente, muchos de los empresarios o empleados que leen este blog, tengan implementada en sus compañías alguna solución de Telefonía IP por las muchas razones posibilidades que esta nos ofrece, como pueden ser: ahorro en el costo de las llamadas, ahorro en costo por desplazamientos, aumento de la productividad del personal de la compañía etc.; sin embargo, una de las principales causas para la implementación de este tipo de soluciones sumado al gran ahorro que nos trae, es la versatilidad que nos ofrece. Esta versatilidad normalmente la obtenemos al implementar teléfonos que pueden conectarse de nuestro sistema telefónico desde cualquier parte del mundo. Inclusive, muchas empresas implementan para el personal que viaja, SoftPhones instalados en el computador o teléfono celular de estos y de así ahorrar costos en las llamadas que realizan mientras están por fuera de las instalaciones de la empresa. Ya en otro post habíamos hablado de los agentes virtuales para la implementación de nuestros call centers, situación que ayuda también a disminuir costos en muchos otros aspectos, como energía, agua y hasta ayuda al medio ambiente.
Toda esta versatilidad en la conexión de nuestras extensiones, trae consigo la necesidad de abrir en nuestros firewalls, puertos a cualquier dirección ip que desee conectarse desde internet a nuestro sistema telefónico, ya que no conocemos las direcciones desde las que se conectarán nuestros usuarios. Inclusive para los usuarios caseros, al menos en Colombia, nuestra dirección ip cambia con frecuencia, lo que traería a los administradores una alta carga de trabajo al tratar de mantener las reglas de nuestro firewall para que permita conexiones únicamente de las direcciones IP de los usuarios autorizados.
Todo esto nos hace ver en la necesidad de exponer nuestro sistema a cualquier dirección IP que desee conectarse desde internet y con ello vienen también los peligros inherentes a la red de redes. Aunque usted no lo crea, o lo ponga en duda, hay quienes se dedican única y exclusivamente a descubrir claves de sus dispositivos para conectarse a su sistema telefónico y generar llamadas a nombre suyo.La Prueba de Fuego:
En Conntux S.A.S. nos dispusimos a realizar una prueba para verificar qué tanto nos atacarían una máquina configurada con un sistema telefónico IP, con una dirección IP pública a la cual se conectan nuestros dispositivos. A esta máquina le configuramos un firewall para permitir únicamente los puertos necesarios para la conexión SIP de nuestros teléfonos y una conexión SSH; es decir, abrimos únicamente los puertos 5060(SIP), 10000:15000(RTP) y el puerto 22(SSH).
Creamos una cuenta con un proveedor de telefonía IP, y la cargamos con U$50,00 para permitir las llamadas nacionales e internacionales y durante una semana los resultados fueron los siguientes:
Se realizaron intentos fallidos de conexiones SIP desde 782 direcciones IP la gran mayoría provenientes de Estados Unidos e India.
Se realizaron 67 ataques de fuerza bruta al puerto 5060 para descubrir contraseña de los pares configurados en el Asterisk*. De estos, 7 ataques fueron exitosos y lograron realizar llamadas desde nuestro sistema telefónico. Entre los destinos que nos reportó el sistema telefónico tenemos: USA-RBOC, FALKLAND ISLANDS, DJIBOUTI, NETHERLANDS, SAUDI ARABIA-RIYADH entre otros.
Se realizaron 116 ataques de fuerza bruta al puerto 22 para descubrir contraseña de root de nuestro sistema (si las descubren estamos perdidos). Afortunadamente no hubo ataques exitosos a este.
Luego de finalizadas las pruebas el saldo de nuestra cuenta fue de US0,07.
Estas pruebas aunque bastante preocupantes, muestran la realidad de lo que se vive en internet a diario y a lo que los administradores de sistemas deben enfrentarse a continuamente en cada una de las máquinas por las que estos velan.
La Mala Noticia.
Muchas empresas implementadores de Asterisk* solo se preocupan porque la solución efectivamente funcione; sin embargo, al momento de resultar situaciones como las presentada en las pruebas realizadas y que comentamos anteriormente, no ayudan a su cliente a solucionar inconvenientes de ese estilo; inicialmente porque desde el diseño de la solución no se tuvo en cuenta la seguridad del sistema y segundo y el más grave por falta de conocimiento para prevenir o enfrentar estos ataques.
La Buena Noticia.
En Conntux S.A.S la seguridad de su sistema siempre es tenida en cuenta desde el diseño de la solución, para evitarles dolores de cabeza a nuestros clientes. Contamos con el personal idóneo para la implementación no solo de la solución IP, sino también de herramientas de seguridad que le ayuden a monitorear su sistema y a prevenir ataques como los vividos en las pruebas que se realizaron en nuestro laboratorio. Todas estas pruebas se realizan precisamente para vivir en carne propia la situación de nuestros clientes y de esta forma conocer de exactamente la necesidad que tienen y así hacer mucho más eficiente ganadora su solución IP.
Recuerde que nuestros profesionales están a su entera disposición para asesorarle tanto en el diseño de su solución como en la implementación de la misma. Si usted ya posee su IPPBX contáctenos y nosotros nos encargamos de hacer de este un sistema mucho más seguro y así cuidar de su bolsillo. En Conntux S.A.S., Siempre queremos darle soluciones que agreguen valor a su negocio y no problemas que agreguen trabajo a sus empleados.
C.E.O.
Conntux S.A.S.
gerencia@conntux.com
No hay comentarios:
Publicar un comentario