evitando fraudes telefónicos los cinco puntos

Gerardo BarajasJonathan Fuentes

Proyectos Especiales e Ingeniería

Av. División del Norte 1354 - 202Col. Letrán Valle

Distrito Federal, México, 03650Tel. +52 (55) [email protected]

“Evitando Fraudes Telefónicos: Los Cinco

Puntos…..”

telefonía abierta www.neocenter.com

Telefonía Abierta www.neocenter.com

mailto:[email protected]

Quito, 17 Noviembre 2010

elastixWorld 2010


Nace en Marzo de 2003 como Empresa de Consultoría para Contact Center/Call Center

Del 2005 al 2006 desarrolla un producto de Marcación Predictiva y Aplicativos para Contact Center/Call Center basados en Open Source y Servidores

En el 2007 Neocenter se convierte en Mayorista de Telefonía Abierta, representando a varios fabricantes del Medio VOIP

Quién es Neocenter


elastixWorld 2010


En Junio de 2009 Es nombrado Partner Oficial de Elastix y ofrece las primeras Certificaciones de Elastix ECT y ECE en México 96 Técnicos en Elastix

20 Ingenieros en Elastix

En Marzo de 2011 lanza la primera Certificación en Terminales SIP de Aastra Telecom 45 Asociados de Apoyo Técnico

Quién es Neocenter


elastixWorld 2010


Hoy Noviembre de 2011

Grupo multidisciplinario: Open Source

Telecomunicaciones

Seguridad de redes

Portafolio integral de productos:

Estrategia Dinámica:Ecosistema


elastixWorld 2010


Basado en nuestra experiencia como Área de Ingeniería

Mas de 8 Años de Experiencia en Call Centers, IP-PBX (No solo con Asterisk)

Experiencias en Seguridad VOIP

Apoyamos a todo aquel que esta iniciando operaciones en el Mundo del Open Source

Cómo Evitar Fraudes Telefónicos:

Nuestra Experiencia


elastixWorld 2010


Áreas [Los 5 Puntos :) …..]

Ética, Ingeniería Social

Seguridad Física (Acceso a los equipos, troncales, etc)

Sistema Operativo y Aplicaciones (Centos, Elastix, FreePBX)

RED (Protocolos SIP)

Terminales


elastixWorld 2010



Mal control de pinsets, contraseñas, etc. Hasta el policía sabe cuál es la contraseña para hacer llamadas sin restricción (intercambio de contraseñas, usuarios inquietos)

Colaboradores molestos que conocen la infraestructura

Uso de sniffers (captura de llamadas, captura del trafico SIP)

Uso indebido de las llamadas capturadas (extorsión, chantaje) Interno/externo


elastixWorld 2010


Recomendaciones:

Revisión constante del CDR, sobre todo que los pinsets sean los correspondientes al numero de extensión llamante, bloqueo de llamadas por categorías

Controlar el uso de los recursos de la compañía (Telefonía) con cartas responsivas (transferencia de llamadas patrocinadas, DISA)

Contratos de Servicios sobre Códigos de Ética tanto a personal Interno como Externo



elastixWorld 2010


Cualquier colaborador tiene acceso al Site de Computo y comunicaciones (carencia de accesos controlados)

Cualquier persona tiene acceso al Monitor y teclado del IP-PBX, reiniciar el equipo en modo interactivo, cambio del password de root, etc

No se tiene conciencia sobre el equipo, al final del día son equipos cruciales sobre las operaciones de la organización (equipos en el cuarto de servicio, el librero, etc)

Física


elastixWorld 2010


Recomendaciones:

Restringir el acceso al site de computo: Huella Digital, Bitacora de Accesos, Sistemas de Circuito Cerrado, Etc.

Conciencia: Si no se tienen los recursos necesarios para montar un Site a Doc, montar el IP-PBX en un sitio que se encuentre “seguro”, P.E. la Oficina del Director “ Es un sitio que siempre se encuantra seguro y ademas cuenta con aire acondicionado”

Física


elastixWorld 2010


El Atacante siempre buscará: Acceder/Escalar al equipo:

Aplicación de Sniffers sobre equipos publicados (puertos abiertos en el equipo, SSH, HTTP, FTP)

Ejecutar código y scripts prediseñados para facilitar su operación (directorios de contraseñas, análisis de trafico)

Sistema Operativo y Aplicativos


elastixWorld 2010


Recomendaciones:

Asegurar SSH

Claves fuertes: Mezcle letras y números además de caracteres alfanuméricos

Use puertos no estándares

En la medida de lo posible use llaves encriptadas, deshabilite el acceso como root

No exponga sus equipos si utiliza la interface Web para Administrarlos:

Utilice VPN’s, Cambie las contraseñas de fabrica

Utilice Firewall’s, no admita tráfico que no conoce,

Al igual que SSH use contraseñas fuertes

Sistema Operativo y Aplicativos


elastixWorld 2010


Pequeños programas o scripts que se aprovechan de una vulnerabilidad para atacar un servicio (puertos abiertos)

Errores de Configuración (;allowguestcall=no, el valor por defecto es yes

Crackeo de contraseñas SIP (passwords débiles,

P.E. Ext 100 contraseña 100)

Secuestro de Sesiones SIP

Redirección de llamadas (uso de la infraestructura para hacer llamadas a otros lados)

Reproducción de llamadas (análisis de streams de RTP)

Ataque DoS por inundación

Entre otros

Red (Protocolo SIP)


elastixWorld 2010


Publicado de dispositivos puerto 80

Uso de contraseñas por defecto (configuración del dispositivo)

Passwords de Registro de SIP débiles (12345 o el mismo número de extensión)

Apertura de puertos en los cortafuegos (Extensiones Remotas, puertos SIP y RPT)

No existen enlaces seguros entre los dispositivos (Servidor de Registro y los EndPoints)

Terminales SIP


elastixWorld 2010


Use firewall

Use Switches Administrables en la medida de lo posible (no use Hub’s/Switches de bajo rendimiento)

Implemente SIP sobre TLS/SRTP (Terminales SIP/Asterisk)

Contraseñas Fuertes (MD5 puede ser una opción)

Túneles VPN

Vlans

Sistemas de detección de intrusos (IDS)

Alguien que configure bien tu sistema :)

Recomendaciones


elastixWorld 2010


A veces las personas no suelen preocuparse mucho por la seguridad y si alguna vez lo llegar a hacer la pregunta siempre es: cuanto $ vale y la respuesta es: no mejor dejálo así, hasta que truene lo resolvemos

Mantener un sistema 100% seguro es complicado, pero no imposible

Los resultados pueden ser devastadores: el no tomar medidas precautorias e invertir a tiempo en estos temas puede significar pérdidas millonarias y dejarnos con las preguntas ¿Por qué no lo hice a tiempo? ¿Por qué a mi?, el resultado es: alguien de TI desempleado, cuando el problema puede provenir de otra área (falta de decisiones)

Conclusiones


elastixWorld 2010


El tema de seguridad no debe mirarse como gasto, puede significar el seguro de vida de una organización

La recomendación es: siempre que implementen VOIP incluyan en sus propuestas el tema de seguridad o por lo menos hagan sus recomendaciones del tema sobre las mismas

Asesorarse con expertos si se ignora del tema, el implementar por implementar nos pude ocasionar muchos dolores de cabeza

Mantener actualizados sus sistemas

Capacitación en forma y auto-capacitación

Conclusiones


elastixWorld 2010


Toll Free 911-soporte

Neocenter cuenta con un selecto equipo de soporte, si tiene alguna pregunta o problema, no dude en llamarnos estamos para atenderle:


elastixWorld 2010


“Hay que atacar primero la consecuencia, después atacamos la causa del problema”

- Ernesto Casas -

El Valor del Servicio


elastixWorld 2010


¡ Gracias !

Las oportunidades marcan tendencias

evitando fraudes telefónicos los cinco puntos

Technology