Seguridad en Denwa

 

 

 

En este documento brindamos una guía de configuración de DENWA enfocada principalmente a un aspecto muyimportante y en muchos casos desestimado, . Si bien el tema abordado es muy amplio de cubrir,la seguridadbrindamos las explicaciones y configuraciones necesarias para realizar una configuración óptima.

Esquema general

La siguiente imágen nos muestra todos los bloques que un atacante tiene que atravesar desde el momento queintenta realizar un ataque contra Denwa hasta que logra realizar una llamada no permitida. Asimismo se explicaráluego como realizar las configuraciones de todos estos bloques para que de ningún modo el atacante logre sucometido. 

 

 

 

 

Pasos de ataque y respuesta de Denwa UC

 

PRIMER PASO: El atacante como primer paso intentará esnifear el tráfico perteneciente a esa red,intentando obtener información que luego pueda utilizar en su ataque. 

Denwa contraresta este tipo de ataques permitiendo utilizar VPN para su conexión con el mundoexterior. 

Es muy importante conocer las herramientas que nos brinda DENWA a la hora de conectarnos

con otros dispositivos o equipos en una red insegura (como lo es la red de Internet). Para esto tenemos laposibilidad de utilizar a DENWA como un cliente VPN y conectarlo con su contraparte servidor para así cifrar todaslas comunicaciones entre estos dos puntos y obtener un alto grado de seguridad con una configuración simple.Esta configuración se realiza desde: configuracion --> redes --> clientes VPN

Se recomienda la configuración de esta funcionalidad en los escenarios que lo permitan 

 

 

El appliance PREMIUM adiciona la posibilidad de configurar servidores VPN. Esta herramienta brinda un valoragregado a la solución y es deseable para cualquier instalación. La configuración se realiza desde : configuracion

 --> denwa premium --> servicios

 

 

 

SEGUNDO PASO: El paso necesario por un atacante, es conocer con la mayor exactitud posible losservicios que el equipo atacado posee y luego de esto poder encontrar vulnerabilidades en los mismospara poder explorarlas.

DENWA contraresta este tipo de ataques con una herramienta muy importante denominada "escaneo

de puertos" que nos permite bloquear este tipo de ataques.

La herramienta de escaneo de puertos nos permite bloquear ataques de este tipo de maneraautomática, DENWA está constantemente chequeando posibles escaneos de puertos sobre el equipo, al detectaresto el sistema automáticamente bloquea la IP que está intentando realizar este posible ataque creando una nuevaregla en el Firewall. La única manera que esta regla sea quitada del firewall es que un administrador autorizado laquite de manera manual. LA configuración se realiza desde: configuración --> redes --> firewall

Es indispensable el uso de esta herramienta

TERCER PASO: El atacante luego de haber encontrado el puerto 5060 abierto en el equipo atacado, puedesuponer con un alto grado de seguridad que en ese equipo hay disponible una central telefónica. Por lo

tanto, para avanzar con su ataque procederá a intentar hacerce con una cuenta dentro del equipo (usuario ypassword válidos). Este tipo de ataques son realizados en su mayoría por fuerza bruta, con intentos deregistro con usuarios y passwords aleatorios hasta dar con uno válido. 

Denwa contraresta este tipo de ataques con otra herramienta muy importante denominada "intentosfallidos", con la cual es posible bloquear este tipo de ataques.

La herramienta "intentos fallidos" ofrece la posibilidad de bloquear este tipo de ataquesautomaticamente. DENWA constantemente chequea y guarda un registro de intentos de registro junto con la IP queintenta realizar el registro, si se encuentran 5 (cinco) intentos de registros fallidos con la misma IP, al detectar estoel sistema automáticamente bloquea la IP que está intentando realizar este posible ataque creando una nueva reglaen el Firewall. La única manera que esta regla sea quitada del firewall es que un administrador autorizado la quitede manera manual. LA configuración se realiza desde: configuración --> redes --> firewall

Es indispensable el uso de esta herramienta

Además de esta herramienta es importante controlar de manera exausiva el nivel de complejidad de los

passwords de todos los usuarios y asegurarse que estos tienen una complejidad alta. Esto es tambiénválido para el usuario ADMINISTRADOR, que necesita un password muy complejo para evitar ataques.

El password de todos los usuarios del sistema debe responder a una alta complejidad, esto sedebe a que de estar configurada de manera incorrecta la herramienta de "escaneo de puertos" e "intentos fallidos",el atacante puede realizar una búsqueda de usuarios y passwords válidos en el equipo. Como este tipo de ataquesson por fuerza bruta, los mismos llevan mucho tiempo para dar resultados positivos, excepto que los passwordssean muy simples (ejemplo: usuario 100 password: 100). A la hora de completar el password del usuario denwaindica el nivel de complejidad alcanzado, es recomendado que todos tengan una complejidad ALTA.

Se recomienda la correcta configuración de esta herramienta

 

Para cubrir otros tipos de ataques, además de poder realizar un esquema general de seguridad yreglas para los diferentes equipos y tráficos en nuestra red se dispone de una herramienta fundamental a la hora derealizar una nueva configuración de DENWA. Esta herramienta es el Firewall, que nos brinda la posibilidad deconfigurar todo de una manera gráfica muy intuitiva y simple.  Podemos configurar reglas específicas para el tráficoentrante, saliente y que pasa a través de DENWA, la herramienta permite permitir o denegar tráfico de muchasmaneras diferentes (servicio, protocolo/puerto especifico, orígen, destino). Solo los administradores puedenconfigurar el Firewall.

Es indispensable la correcta configuración de esta herramienta

Herramientas adicionales Premium

El equipo premium dispone además de dos herramientas adicionales a las nombradas anteriormente, estas son un y un (session border controller).Firewall de borde SBC

Este firewall está disponible en el equipo PREMIUM ya que este es también un router completo.Por esto posee un firewall previo al firewall de Denwa UC. Este firewall permite configurar listas de acceso parapermitir y denegar el tráfico que se requiera, tanto entrante como saliente. Se configura desde: configuracion -->denwa premium --> seguridad (listas de acceso)

Es indispensable la correcta configuración de esta herramienta

Esta herramienta es quizás el mejor aspecto de seguridad y normalización SIP que un equipo detelefonía puede disponer entre sus características. El SBC como su nombre lo indica nos permite hacer un controlexausivo de las seciones SIP que se realicen en el equipo. Es de gran ayuda a la hora de mejorar la seguridad yaque el propio SBC descarta el tráfico que no cumple con las reglas básicas del protocolo SIP (tráfico malformado),en Denwa el SBC no permitirá tráfico (puerto 5060) proveniente de otra IP que no sea una de la lista deproveedores que hemos configurado en el equipo. Por otro lado es importante a la hora de adaptar el tráfico detelefonía de un proveedor hacia otro pudiendo realizar manipulación de Hearers de los paquetes SIP. Ademáscontrola todo tipo de registros SIP externos.

Se recomienda utilizar el SBC en los proveedores.

Para configurar un proveedor en denwa con SBC lo único que es necesario es realizar un click en utilizar SBCcomo se muesta en la siguiente imágen:

Luego de nombrar todas estas herramientas y los pasos que el atacante realizó para intentar hacerse conuna cuenta en el equipo, es necesario hacer un paréntesis antes de continuar. En el ejemplo de ataque quese está siguiendo estamos suponiendo que todas las herramientas de DENWA están configuradas de unamanera incorrecta, para poder seguir con el ejemplo y poder explicar todas las herramientas. De estarconfigurado correctamente el equipo, el atacante nunca podía haber realizado un escaneo de puertos enbusca de servicios en DENWA y nunca hubiera podido hacer un ataque en búsca de un usuario y passwordválido en el equipo. 

Dejado esto en claro, seguimos con el ejemplo "suponiendo" que todo esta configurado incorrectamente yel atacante pudo obtener un usuario y un password válidos en el equipo.

CUARTO PASO: Intentar realizar llamadas sin costo para el atacante, esto es lo que un atacante de unsistema telefónico búsca. Para esto y ya registrado con el usuario y password que pudo captar de suataque, realiza llamadas a diferentes destinos.

DENWA posee algunos aspectos a configurar para que se controle que usuario puede o no realizarcierto tipo de llamadas.

Denwa necesita conocer de algún modo el esquema de red en donde está instalada, por lo que esnecesario configurar las redes que denwa debe interpretar como locales. Toda red que no pertenezca a las redeslocales será interpretada como una red externa. Esto es muy importante a la hora de la configuración de losusuarios y sus permisos ya que podemos configurar que el usuario no disponga de la posibilidad de realizar

llamadas si no se registró desde una red local, herramienta muy útil en el caso de usuarios que de ningún modo seregistrarán desde fuera de la red de la oficina.

Es importante la correcta configuración de las redes locales.

 

 

Esta opción habilita al usuario a poder realizar llamadas cuando está registrado de una red que nopertenece a las redes locales configuradas en el paso anterior. 

Se recomienda que solo los usuarios que realmente utilicen esta funcionalidad tengan activa estaopción en la configuración del usuario.

En esta área es donde se configuran todos los prefijos de llamadas para cada uno de los servicios(Nacionales, Internacionales, Celulares, etc). Por ejemplo para llamadas Internacionales el prefijo sería 00.Configurar esta sección nos permite luego, configurar los servicios permitidos para cada usuario de Denwapermitiendo que pueda o no realizar cierto tipo de llamadas. Se configura desde : Configuración --> servicios dellamadas.

Es primordial configurar los servicios de llamadas de manera correcta.

IMPORTANTE: Si no se configuran los servicios de llamadas, Denwa no sabrá que tipo de llamada se estáqueriendo realizar por lo que los servicios de llamadas que configuremos en los usuarios no tendránninguna validez y toda llamada será cursada sin importar el destino.

La configuración de los servicios de llamadas de los usuarios nos permiten permitirle a cadausuario de manera individual cursar una llamada a un cierto destino o negarle la posibilidad de realizar estallamada. Se configura desde : usuarios --> ver susuarios -> click en nombre ( pestaña servicios)

Se recomienda configurar los servicios de cada usuario haciendo un estudio previo de que funciónrealiza dentro de la estructura de la empresa.

Denwa permite configurar diferentes perfiles de usuario para luego utilizarlos en los usuarios quese requieran. Los perfiles de usuario en Denwa permite la configuración de los días en los que aplica, los serviciosde usuario que se utilizarán en el perfil y lo más importante desde el punto de vista de la seguridad es que permitela configuración de las rutas de los proveedores aceptadas por este perfil. Por esto, si el perfil de usuario no tienerutas cargadas, el usuario que posea este perfil no va a poder realizar ninguna llamada hacia el mundo exterior. 

Es recomendada la correcta configuración de esta herramienta.

 

Es importante la correcta configuración de las diferentes rutas de cada uno de los proveedoresdentro de Denwa. Estas rutas con las que, deacuerdo al numero discado, nos permiten cursar las llamadas. Estasrutas deben ser configuradas de la manera mas específica posible para que solamente las llamadas que nosotrosrealmente deseemos que se cursen por este proveedor sean realizadas, y para no dejar una ruta genérica quepueda ser utilizada por un posible atacante. 

Ejemplo: 

Si necesitamos que las llamadas que comienzan con el número 0 y tienen una longitud de 7 dígitos sean cursadaspor cierto proveedor, la configuración de la ruta debería ser "0______" (un cero y 6 _ ), una mala configuración (porejemplo, la ruta simplemente con 0 y prioridad 1 permite que cualquier llamada que comienza con 0 sea cursadapor este proveedor). 

Se recomienda una configuración meticulosa de las rutas de los proveedores.

Esta herramienta en Denwa nos permite realizar un control de fraude y con esto poder bloquearcierto tipo de llamadas que resulten sospechosas. Por ejemplo, si una extensión en Denwa genera 10 llamadas en5 minutos podemos suponer que es un "boot" generando llamadas con el objetivo de realizar daño. Estaherramienta permite controlar estos comportamientos y bloquearlos. 

 

Estas son las herramientas que hacen de denwa una solución extremadamente segura en todossus appliances. Resumiendo, un atacante necesita que se configure de manera incorrecta todosestas herramientas para realizar llamadas sin autorización en un equipo Denwa UC.