Apreciado Usuario,
Para COMCEL la seguridad informática de nuestros clientes es primordial, por tal motivo contamos con la más moderna tecnología y procesos que nos permiten operar con altos estándares de seguridad en nuestra red y a la vez cumplir la normatividad vigente.
Con el ánimo de prevenir que los equipos, plantas telefónicas y/o servidores que están conectados a las líneas de telefonía local suministradas por COMCEL sean vulnerados por atacantes (hackers), malware o cualquier otra amenaza que comprometa la integridad, confidencialidad y disponibilidad del servicio y la información, es indispensable contar con las medidas de seguridad necesarias; por esta razón, le recordamos las obligaciones respecto de su esquema de seguridad y sugerimos algunas buenas prácticas y recomendaciones adicionales:
- Operar los equipos, plantas telefónicas y/o servidores que almacenan la información con las últimas versiones de seguridad disponibles y recomendadas por el fabricante.
- Actualizar periódicamente las versiones de software que permitan blindar las plantas telefónicas y/o servidores de atacantes externos, mitigándose de esta forma la posibilidad de que las líneas conectadas a las plantas telefónicas puedan ser vulneradas desde la red de datos, para derivar tráfico ilegal o generar consumos indeseados.
- No utilizar plantas telefónicas y/o servidores (tanto hardware como software) que se encuentran catalogados por su fabricante o proveedor en estado EoL (End of Life) o EoS (End of Support).
- Mantener las plantas telefónicas y/o servidores en una zona de seguridad perimetral protegidas, como mínimo, por el firewall del cliente, de tal manera que queden aislados tanto de la red interna como de Internet, permitiendo sólo el tráfico por los puertos, servicios y direcciones estrictamente necesarios.
- Habilitar las opciones disponibles de IPS/IDS, DoS, DPIs, DLPs en el firewall para la política de entrada del tráfico externo hacia las plantas telefónicas o servidores, cuidando que se generen consumos excesivos de procesamiento o memoria que comprometa la calidad de las llamadas.
- En la medida de lo posible, configurar una VLAN exclusiva para VoIP en la red LAN, en el caso que aplique.
- Se recomienda ejecutar escaneos periódicos, al menos cada trimestre, para detectar brechas de seguridad sobre las plantas telefónicas o servidores y se mitiguen conveniente y oportunamente los hallazgos.
- Priorizar el uso de VPN entre sedes o canales dedicados, evitando exponer las plantas telefónicas o servidores a Internet.
- Activar los registros de auditoría (logs) para las transacciones de gestión y administración de las plantas telefónicas y/o servidores.
Dado que las plantas telefónicas y/o servidores que el suscriptor conecte a los equipos de COMCEL hacen parte de la acometida interna del usuario, es importante destacar que estos elementos son de absoluta y exclusiva responsabilidad del usuario del servicio. En consecuencia, conforme a lo establecido para sus obligaciones en el contrato de servicios de Telecomunicaciones, el suscriptor o usuario responderá por cualquier anomalía, fraude o adulteración directa o indirecta que se encuentre sobre sus equipos de la siguiente manera:
“(;)El SUSCRIPTOR declara conocer íntegramente las implicaciones de la utilización de Internet y el uso de los servicios de telecomunicaciones, así como la relación contractual que se establece con el proveedor de servicios en la Nube, que ha aceptado al momento de contratar dichos servicios.. En razón de ello libera y exime expresamente a CLARO de toda responsabilidad directa o indirecta, presente o futura que pudiere ocurrir a causa o consecuencia de infracciones a las Leyes vigentes en materia de propiedad intelectual e industrial y las normas que las adicionen o modifiquen, la regulación o las normas de telecomunicaciones, así como a los tratados acuerdos o convenciones internacionales sobre propiedad intelectual que haya suscrito y adoptado Colombia como ley de la República.”
COMCEL no se hace responsable por las afectaciones, fraudes, fallas de seguridad o perjuicios ocasionados en dichas plantas que se deriven por malas prácticas de seguridad (cambios, procedimientos, procesos, etc.) o esquemas de seguridad deficientes (configuraciones, actualizaciones, alarmas, etc.), cuya responsabilidad es exclusiva del cliente.
Para mantener la seguridad de la red es requerido el esfuerzo decidido de Suscriptores o Usuarios. Reiteramos la importancia de tener presentes y llevar a la práctica las siguientes recomendaciones en cuestión de seguridad VoIP, las cuales resguardan los equipos de ataques y vulnerabilidades en la red:
Las siguientes son recomendaciones sobre la seguridad externa, seguridad de autenticación y seguridad de operación, sugerimos que sean implementadas por una empresa con experiencia en el tema:
Seguridad externa (acceso al sistema):
- Tener una política adecuada de acceso físico al servidor, donde aplique.
- Usar redes privadas virtuales VPN
- No dar acceso desde el exterior si no se necesita. Esto aplica a los puertos UDP 5060 y 4569 (SIP e IAX) y TCP 22, 443 (los más comunes).
- Bloquear los puertos que no vayan a ser usados.
- Desactivar los servicios que no use, especialmente servicio WEB. Para verificar los servicios use el comando chkconfig -list, en los casos que aplique.
- Si se necesita contar con administración remota del equipo se debe decidir correctamente que tipo de seguridad proveer, lo ideal es usar un túnel SSH o mejor aún una conexión por VPN.
- Tanto para administración remota como local, no se deben usar protocolos que no cifren la comunicación, como lo son HTTP (puerto 80) o TELNET (puerto 23).
- No usar protocolos criptográficos considerados vulnerables, como es el caso de SSL, o las versiones anteriores a TLS 1.2.Para las ocasiones que no puede cerrar el HTTPS para las redes de confianza, agregar más seguridad al mismo.
- Evitar utilizar puertos estándares
- No utilizar el puerto por defecto para las conexiones SSH al servidor donde tiene instalada su planta. Para el caso de plantas Asterisk, esta configuración se realiza en /etc/ssh/sshd_config
- Usar Firewall (cortafuegos) para filtrar solicitudes entrantes: para proteger el sistema Operativo y el servidor de comunicaciones, es necesario aceptar sólo las conexiones que sean necesarias y rechazar las demás.
- Instalar programas de detección de intrusos, por ejemplo fail2ban y portsentry para evitar escaneos y ataques de DoS (denegación de servicio).
- Para el caso de plantas Asterisk, es conveniente bloquear los puertos del Asterisk Manager Interface. Usar “permit=” y “deny=” en manager.conf para limitar las conexiones entrantes sólo a hosts conocidos.
Seguridad de autenticación:
- No aceptar usuarios no autenticados. Para el caso de plantas Asterisk se hace estableciendo “allowguest=no” en la parte [general] de sip.conf y establecer el valor de la entrada “alwaysauthreject=yes” en el archivo sip.conf. Esta opción está disponible desde la versión 1.2 de Asterisk, pero su valor por defecto es no", lo que puede ser potencialmente inseguro. Estableciendo este valor en "yes" se rechazarán los pedidos de autenticación fallidos utilizando extensiones válidas.
- Crear cuentas de tipo dirección MAC ej: [00FFAA998877], en lo posible evitar las típicas cuentas sip (extensiones) [100], [200] etc. Para el caso de Asterisk, esto se hace en el archivo sip.conf. Para facilitar el marcado se pueden usar alias en el archivo extensions.conf en la parte de [global]
- Tener listas de Acceso (ACL) para el registro de las extensiones. No aceptar pedidos de autenticación SIP desde cualquier dirección IP. Para el caso de plantas Asterisk, utilizar las líneas “permit=” y “deny=” de sip.conf para que sólo permita que un subconjunto razonable de direcciones IP alcance cada usuario/extensión listado en el archivo sip.conf
- Utilizar claves seguras para las entidades SIP. Usar símbolos, números, una mezcla de letras minúsculas, mayúsculas, números y caracteres especiales y al menos 12 caracteres de longitud. La clave se configura en cada cuenta SIP, en el parámetro “secret=”. Cambiar por una clave segura.
- No entregar las claves directamente al usuario de la entidad SIP para que lo configure por su cuenta, las configuraciones deben ser realizados por los administradores.
- Los nombres de usuarios SIP deben ser diferentes que sus extensiones.
- No dejar los usuarios y claves por defecto.
- Modificar las claves periódicamente.
- Utilizar claves seguras para cualquier ingreso de administración de la planta, SSH, HTTP, etc.
Seguridad de operación:
- De acuerdo a las necesidades de comunicación de su compañía limitar el número máximo de llamadas simultáneas por extensión a 2. Para el caso de Asterisk esto se hace agregando o modificando el parámetro call-limit=2 en cada cuenta creada del archivo sip.conf.
- Verificar los archivos de logs (bitácoras) del sistema. Para el caso de plata asterisk, están ubicados generalmente en /var/log/secure y /var/log/messages.
- Activar sólo el plan de llamadas necesario.
- Si no se va a permitir llamadas a móviles, internacionales y/o a líneas Premium, se recomienda restringirlas tanto en la planta como con el proveedor de telefonía.
- Poner limitantes no al teléfono, sino a la persona, obligando a quien marca a proporcionar un código que le autorice a marcar a ese destino. Para el caso de Asterisk, esto se hace con el parámetro “Authenticate()”
- Estar al día con las actualizaciones, vulnerabilidades y soluciones. Actualizar las distribuciones a la versión más reciente y estable.
- Llevar un control exhaustivo del sistema.
En COMCEL seguiremos ofreciéndoles a nuestros usuarios, el mejor servicio y los máximos niveles de seguridad y calidad para soportar sus necesidades de comunicación y crecimiento.
Cordial saludo,
Gerencia de Seguridad de la Información
CLARO Colombia