3. www.xorcom.com
Xorcom - Empresa
2004Fundación:
Desarrollo, Producción y Comercialización de
soluciones esenciales para la comunicación corporativa
Objetivo:
Casa Central en Israel y oficina comercial para EE.UU.
y Canadá
Oficinas:
95% de las ventas exportadas a más de 100 países.
América Latina equivale a más del 30% de las ventas
globales.
Actividad:
Empresas privadas, Instituciones de Gobierno, Carriers,
Distribuidores Profesionales, Fabricantes de Equipos.
Nuestros
clientes:
6. www.xorcom.com
Eliminar el Miedo al Hacking y Proteger
• Aunque los beneficios de VoIP son muchos,
• Internet está lleno de amenazas
• Un PBX IP sin protección puede ser hackeado
en menos de 30 minutos
• Hay un enorme Mercado de llamadas ilegales
• La Seguridad es la prioridad #1 para carriers; y tambien
fundamental para los usuarios y canales profesionales
• Qué hacer…?
7. www.xorcom.com
Seguridad: necesidad y demanda del mercado
• Organismos regulatorios
• Operadores de Servicio (carriers)
• Nuevos estándares requeridos por usuarios
• Xorcom ha implementado las demandas del Mercado y lo exigido por la
regulación:
• Instale el PBX IP detrás de un Session Border Controller (SBC)
• Claves complejas
• Filtros para direcciones IP locales
• Bloqueo de llamadas entrantes de fuentes desconocidas
• Rechazo de solicitudes SIP con una única respuesta (evita ataques de fuerza bruta)
• DISA y call back protegidas con claves
• Puertos SSH no estándar
8. www.xorcom.com
Cont’
• Usar SSH para acceder a la interface web. No exponga HTTP o HTTPS
• No configurar llamadas de troncal a troncal sin control
• No exponer puertos SIP-IAX (use puertos no estándar)
• Activar el firewall del PBX IP
• Claves para llamadas internacionales (y toda ruta de alto costo)
• Cambio de claves de MySQL, de la interface Web y de AMI (Asterisk Management
Interface)
• Cambio en clave de usuario root de Linux
• Chequear que el control de intrusión está bien configurado y funcionando
• El PBX IP debe instalarse en una red protegida (detrás de firewall)
9. www.xorcom.com
Qué es un SBC?
• SBC = Session Border Controller
(Controladora de Sesión de Borde de Red)
• Es un Hardware o software que normalmente está situado entre la
red pública (“poco confiable”) y las redes del proveedor de
servicios y de la empresa (“confiables”)
• Históricamente, el SBC era utilizado para resolver problemas en SIP
relacionados con NAT
• Hoy en día los SBC tienen un papel importante en la protección del
tráfico de voz en las redes SIP
10. www.xorcom.com
SIP/RTP
Qué es SBC en una red VoIP?
001100110100
Red Local del Cliente
Extensiones Remotas
Servicios
de Datos
Servicios
de Voz
12. www.xorcom.com
Seguridad, Seguridad, Seguridad
• El CompleteSBC sella efectivamente el PBX:
• El Administrador debe habilitar el sistema CompleteSBC
• CompleteSBC rechaza todas las solicitudes SIP en su interfaz pública
(puerto 6075)
• El administrador debe habilitar el sistema para utilizar CompleteSBC
• La configuración estándar contiene todos los terminales SIP soportados
por el Administrador de Dispositivos (EPM) de cPBX: Zoiper, Asterisk y
CompletePBX (lista blanca). Eliminamos los que no usamos.
• Solicitudes SIP enviadas desde un terminal no definido en la configuración
serán rechazadas
13. www.xorcom.com
Session Border Controller Integrado
• Incorporado en CompletePBX
• Pre-instalado
• Incluye licencias demo
• Interfaz gráfica de usuario
• Pre-configurado e
inicialmente bloqueado
• Permite reglas
sofisticadas
15. www.xorcom.com
Medidas de Seguridad Soportadas
• Firewall SIP
• Control de Acceso y prevención de fraude
• Contra ataques de Denegación de Servicio (DOS) y protección de
sobrecarga
• NAT transversal
• Ruteo inteligente
• Mediación en interoperabilidad
• Beneficia instalaciones con
múltiples proveedores de servicio
y equipamientos
16. www.xorcom.com
Información Adicional
• Licencia de Software
• Se puede aplicar de forma remota
• Costos por canal de comunicación
• Sistema de 64-bit (requiere CompletePBX v.4.6.x)
• Para configuraciones TwinStar (HA) o con Elastix, se instala en
un servidor Xorcom adicional
• Este servidor dedicado debe soportar el máximo número de llamadas
SIP simultáneas necesarias
19. www.xorcom.com
Camuflaje
• CompletePBX opera de forma Sigilosa
• Métodos de identificación de dispositivos/puertos no estándar
• Configuración Segura para VoIP
• De forma predeterminada, son denegadas solicitudes SIP no
deseadas sin revelar la razón del rechazo
• Ataques de Fuerza Bruta no pueden adivinar fácilmente usuarios y
claves SIP
20. www.xorcom.com
Vigilancia
• Prevención y Detección de Intrusión
• Cuenta con un Sistema de detección interno contra accesos no
autorizados basado en parámetros pre-definidos por el usuario
• El usuario define el número de intentos fallidos de registración en un
período determinado de tiempo = intruso potencial
• Luego de detectarlo, la dirección IP del intruso es bloqueada por un
período determinado de tiempo
21. www.xorcom.com
Defensa #1: CompleteSBC™
• El SBC basado en Software sella el PBX-IP
• Actúa como un “firewall para SIP” a modo de
control de acceso
• Incluye reglas predefinidas pero configurables
• Incluye una interfaz GUI intuitiva
• Una versión demo se incluye en cada sistema
cPBX.*
* Versiones desde 4.6. La compra de una licencia electrónica remueve el límite máximo
de duración de las llamadas y puede ser usada para incrementar el número de canales
protegidos.
22. www.xorcom.com
Defensa #2: Firewall incorporado
• Los puntos más vulnerables para un cyber ataque están en la
línea de encuentro entre las redes “confiables” y “no
confiables”
• CompletePBX debe ser instalado en una red LAN protegida por
un firewall
• CompletePBX también tiene su propio firewall
• Reglas pre-determinadas pueden ser modificadas para habilitar
aplicaciones específicas relevantes para el cliente.
23. www.xorcom.com
Defensa #3: Bloqueo Inicial
• CompletePBX viene pre-configurado de tal forma que aplica
políticas de seguridad restrictivas:
• En la configuración pre-determinada las llamadas SIP desde
terminales ubicadas fuera de la LAN serán rechazadas
• La configuración del firewall de CompletePBX debe ser modificada
para poder recibir llamadas entrantes desde fuentes ubicadas en
Internet
24. www.xorcom.com
Defensa #4: Fortaleza de las claves
• Defina claves suficientemente complejas para las extensiones
SIP/IAX2, DISA, y call-back
• Defina claves para todas las rutas de salida
• Un algoritmo del sistema detecta contraseñas débiles y emite
una alerta
25. www.xorcom.com
Defensa #5: Acceso Remoto
• Herramienta Rapid Tunneling de Xorcom para obtener un
acceso remoto seguro (pre- instalada)
• La interfaz Web de CompletePBX se accede a través de túnel
SSH
26. www.xorcom.com
Defensa #6: Cuentas de Admin
• Múltiples niveles de usuarios definidos
• Restringe el acceso a un rango determinado de extensiones o
de funcionalidades del PBX
• Crea cuentas separadas para distintas personas
• Cambios de personal se resuelven simplemente removiendo la
cuenta respectiva para asegurar que no hayan accesos futuros no
autorizados
27. www.xorcom.com
Alerta: Alarma en Tiempo Real
• Una actividad no autorizada en el Sistema telefónico genera
una alerta inmediata al administrador del Sistema por medio
de correo electrónico.
30. www.xorcom.com
Introducción a TwinStar
• Solución pionera de Alta Disponibilidad en Asterisk
• Redundancia Completa y automática
• VoIP
• Líneas y Extensiones analógicas
• Troncales E1/MFC-R2/T1
• Sincronización
• Madurez tecnológica y estabilidad
• Miles de implementaciones en decenas de países y mercados
verticales
32. www.xorcom.com
Solución de Alta Disponibilidad
para Asterisk
• Provee redundancia completa del sistema
de PBX, incluyendo las interfaces telefónicas
• Proceso rápido y automático de failover
que maximiza el tiempo de servicio activo
del sistema
• Auto detección de fallas en el servidor
principal & transferencia al sistema de respaldo
• Componentes de la solución:
• Dos PBX IP de Xorcom con idéntica configuración
• Banco(s) de canales Astribank de Xorcom con puertos USB duales (ahora
opcionales)
XPP Technology
33. www.xorcom.com
Configuración Inicial: Servidores Idénticos
• Dos servidores Xorcom (+ Astribank con USB dual)
PSTN
Astribank (panel frontal)
Banco de canales conectado por
USB. Provee interfaces telefónicas
analógicas/digitales
Servidor Xorcom
(backup)
Teléfonos
Analógicos
Teléfonos IP
LAN/WAN
USB USB
Servidor Xorcom
(primario)
SIP Trunking
Corosync
+ DRBD
34. www.xorcom.com
Funcionamiento normal: servidor primario activo
Teléfonos IP
PSTN
Astribank (panel posterior)
Servidor Xorcom
(backup)
Servidor Xorcom
(primario)
Teléfonos
Analógicos
USB USB
LAN/WAN
SIP Trunking
Corosync
+ DRBD
35. www.xorcom.com
Teléfonos IP
Teléfonos
Analógicos
Si el servidor principal falla…
PSTN
Servidor Xorcom
(backup)
Falla en
el
Servidor
Servidor Xorcom
(primario)
USB USB
LAN/WAN
SIP Trunking
Astribank (panel posterior)
Corosync
+ DRBD
36. www.xorcom.com
Corosync
+ DRBD
Teléfonos
Analógicos
…el servidor de Backup se activa
PSTN
Servidor Xorcom
(backup)
El Backup asume la
Dirección IP del
primario
Servidor Xorcom
(primario)
USB USB
LAN/WAN
SIP Trunking
Transferencia
Servidor de
Backup
Teléfonos IP
Astribank (panel posterior)
PRI / FXO
38. www.xorcom.com
Nuevo con cPBX 4.6.1?
• TwinStar Plus!
• Perfeccionamiento y modernización
• Nueva lógica de conmutación
• Arquitectura mejorada y adaptada a nuevos escenarios
• Conmutación del servicio ante fallos basado en SW
• Posibilidad de configuraciones púramente SIP
• Incorporación del desarrollo de Plug-and-Play
39. www.xorcom.com
Sólo SIP
• La versión anterior de TwinStar requiere de al menos una
unidad Astribank
• TwinStar Plus funciona con o sin Astribanks
• Mayor distancia entre unidades – no hay limitación del
cableado USB
• Estructura de licenciamiento diferente: software, basado en
servidores
40. www.xorcom.com
Plug & Play
• Innovación de Xorcom para Asterisk
• Implementado en CompletePBX y en DAHDI
• Qué es plug and play?
• Flexibilidad
• Recuperación
• Maintenimiento
• Aumento de la Confiabilidad
Solución de Xorcom
verdaderamente "Plug & Play"
para dispositivos DAHDI
44. www.xorcom.com
Introducción a…Blue Steel
PBX IP robusto, de alto rendimiento. Incluye:
• Dos discos duros (RAID1) sustituibles en caliente, de
nivel servidor, funcionan 24x7
• Fácil accceso desde el panel frontal
• Con llave para bloqueo
• Dos Fuentes de Alimentación industriales sustituibles
en caliente (250 Watt)
• Notificación de falla para ambos componentes:
• En el panel LCD
• Zumbido de alarma
• Mensaje e-mail de aviso al administrador
45. www.xorcom.com
Tambien Incluye:
• Pánel LCD y teclado
• Configuración de Red
• Estado: de Red, de HW, monitoreo de fuente redundante (de Astribank)
• Mantenimiento – rebuteo, proceso de reinicialización
• Rapid Recovery
• Backup y restauración interna
• Ventiladores redundantes
• Puerto Ethernet adicional
47. www.xorcom.com
Soporte de Astribanks
• Permite conectar hasta 20 unidades externas Astribank (24 en
total)
• Provee alimentación redundante para hasta cuatro Astribanks
completos: