Luego de configurar una central telefónica, es recomendable dedicarle tiempo a la seguridad. A continuación presentamos una lista de 10 consejos de seguridad para centrales telefónicas de la serie Grandstream UCM6100, que harán que su sistema sea mas robusto y a la corta o a la larga le puede evitar un problema que le podría costar mucho dinero.
Configurar una central IP es una tarea sumamente fácil, si consideramos como configuración, el crear extensiones, troncales, y rutas entrantes y salientes.
Sin embargo, una instalación profesional va un poco mas allá de esto. Debemos considerar ciertos ajustes de seguridad ya que estos equipos están en la red y como tal pueden ser vulnerables.
- PASSWORD DE ADMINISTRACION: Asegúrate de cambiar el password de administración por uno fuerte (que incluya mayusculas, minúsculas, números y símbolos). Ej. 65$*gFK3h
Esto lo haces en: Settings->User Management->User Settings
- PASSWORDS DE LAS EXTENSIONES: Los passwords de las extensiones deben ser diferente, no usar el mismo para todas.
PBX->Basic/Call Routes->Extensions - LINEAS TRONCALES: Para las lineas troncales, las centrales Grandstream utilizan dos parametros de seguridad:
- Cada ruta saliente se le asigna un nivel de privilegio (Interno, Local, Nacional o Internacional). Estos mismos niveles de privilegios deben ser asignados a las extensiones. Una extension con nivel de privilegio internacional podrá hacer llamadas tanto a internacionales como nacional, local e interno. Una Extension con nivel local, solo podrá hacer llamadas a rutas locales e internas. Las extensiones se consideran como una ruta Interna.
- Contraseña para rutas: cada ruta puede tener una contraseña. Si una extension tiene pasa el nivel de privilegio e intenta hacer una llamada por una ruta con contraseña, el sistema le pide dicha contraseña antes de proceder con la llamada.
- DISA: En telefonía DISA es la abreviación de Direct Inward Access System. Esta función permite que una persona pueda marcar desde el exterior hacia la PBX y luego la central te da un segundo tono de marcado para hacer una nueva llamada hacia el exterior. En pocas palabras, utilizar la central como puente para hacer llamadas de larga distancia, a celulares o internacionales.
Como puedes ver, esto puede ser peligroso si cae en manos inescrupulosas, por lo que sugerimos no activar esta función, y en caso de que requieran activarla, utilizar una clave secreta para ello.
PBX->Call Features->DISA
- FIREWALL Defensa Estatica: El Firewall es una herramienta poderosísima en la seguridad para centrales telefónicas. En esta central puede ser configurado en Settings->Firewall->Static Defense. El proposito principal de la defensa estática es e uso de reglas de filtrado pre configuradas. Los tres tipos de reglas que soporta son: ACCEPT, REJECT, and DROP. Similar al IPTABLE de Linux.
- FIREWALL Defensa dinámica: Se puede configurar en Settings->Firewall->Dynamic Defense. Una vez habilitada, la UCM pondra en lista negra todas aquellas ip desde donde vengan intentos de ataque tipo fuerza bruta.
- FAIL TO BAN: Esta diseñado principalmente para prevenir intrusiones por medio de intento de registraciones. Mediante esta función, el administrador puede configurar la central para que rechace peticiones de direcciones IP cuando haya alcanzado un cierto numero de peticiones fallidas y también puede definir el tiempo que durara antes de volver a aceptar peticiones.
Settings->Firewall->Fail2ban
- ACCESO WEB: Utiliza el protocolo HTTPS en vez del HTTP ya que la transferencia de información en HTTPS es encriptada. De esta manera evitas que alguien que este monitoreando el trafico de datos en la red pueda ver tus credenciales y asi entrar luego a la configuracion de tu equipo.
Settings->HTTP Server
- LIMITACION DE IP DE LAS EXTENSIONES: Puedes limitar desde donde una especifica extension se puede registrar en la central: desde la misma red local, desde una ip address en especifico o desde cualquier lado.
en PBX->Extension->Media
- IVR DIAL TRUNK: Cuando creas un IVR (contestadora automática o menu autoatendant) puedes decidir si permitir al que llama marcar un numero saliente o no. Esta opción es muy peligrosa ya que estas permitiendo al que llama desde la calle a que pueda utilizar la central como un puente para hacer llamadas a celulares o internacionales. Sugerimos no activar esta función a menos que sea estrictamente necesario, y en ese caso, proteger las rutas salientes con contraseña.
PBX->Call Features->IVR
- ALLOW GUEST CALLS: (Permitir llamadas a los visitantes). Esta opción puede encontrarla en PBX->Sip Settings->General. Recomendamos altamente no activar esta opción ya que esto permite que cualquier equipo pueda hacer llamadas sin credenciales de registración (usuario y password)
Con estos consejos de seguridad para centrales telefonicas, reducirá al mínimo los riesgos de hackeo en su sistema, lo que se traduciría en pérdidas económicas si es víctima de manos inescrupulosas.
Debes ser identificado introducir un comentario.