Conferencista: Ariel Mapelman ElastixWorld 2015 Octubre 7 Bogotá - Colombia

1. www.xorcom.com
Seguridad, Alta Disponibilidad, Robustez
Ariel Mapelman – VP América Latina
Elastix World – Bogotá 2015

2. www.xorcom.com
Acerca de Xorcom

3. www.xorcom.com
Xorcom - Empresa
2004Fundación:
Desarrollo, Producción y Comercialización de
soluciones esenciales para la comunicación corporativa
Objetivo:
Casa Central en Israel y oficina comercial para EE.UU.
y Canadá
Oficinas:
95% de las ventas exportadas a más de 100 países.
América Latina equivale a más del 30% de las ventas
globales.
Actividad:
Empresas privadas, Instituciones de Gobierno, Carriers,
Distribuidores Profesionales, Fabricantes de Equipos.
Nuestros
clientes:

4. www.xorcom.com
Agenda
• Seguridad en equipos Xorcom
• Alta disponibilidad – Sistemas Twinstar
• Equipos robustos, profesionales, probados

5. www.xorcom.com
Seguridad y CompleteSBC

6. www.xorcom.com
Eliminar el Miedo al Hacking y Proteger
• Aunque los beneficios de VoIP son muchos,
• Internet está lleno de amenazas
• Un PBX IP sin protección puede ser hackeado
en menos de 30 minutos
• Hay un enorme Mercado de llamadas ilegales
• La Seguridad es la prioridad #1 para carriers; y tambien
fundamental para los usuarios y canales profesionales
• Qué hacer…?

7. www.xorcom.com
Seguridad: necesidad y demanda del mercado
• Organismos regulatorios
• Operadores de Servicio (carriers)
• Nuevos estándares requeridos por usuarios
• Xorcom ha implementado las demandas del Mercado y lo exigido por la
regulación:
• Instale el PBX IP detrás de un Session Border Controller (SBC)
• Claves complejas
• Filtros para direcciones IP locales
• Bloqueo de llamadas entrantes de fuentes desconocidas
• Rechazo de solicitudes SIP con una única respuesta (evita ataques de fuerza bruta)
• DISA y call back protegidas con claves
• Puertos SSH no estándar

8. www.xorcom.com
Cont’
• Usar SSH para acceder a la interface web. No exponga HTTP o HTTPS
• No configurar llamadas de troncal a troncal sin control
• No exponer puertos SIP-IAX (use puertos no estándar)
• Activar el firewall del PBX IP
• Claves para llamadas internacionales (y toda ruta de alto costo)
• Cambio de claves de MySQL, de la interface Web y de AMI (Asterisk Management
Interface)
• Cambio en clave de usuario root de Linux
• Chequear que el control de intrusión está bien configurado y funcionando
• El PBX IP debe instalarse en una red protegida (detrás de firewall)

9. www.xorcom.com
Qué es un SBC?
• SBC = Session Border Controller
(Controladora de Sesión de Borde de Red)
• Es un Hardware o software que normalmente está situado entre la
red pública (“poco confiable”) y las redes del proveedor de
servicios y de la empresa (“confiables”)
• Históricamente, el SBC era utilizado para resolver problemas en SIP
relacionados con NAT
• Hoy en día los SBC tienen un papel importante en la protección del
tráfico de voz en las redes SIP

10. www.xorcom.com
SIP/RTP
Qué es SBC en una red VoIP?
001100110100
Red Local del Cliente
Extensiones Remotas
Servicios
de Datos
Servicios
de Voz

11. www.xorcom.com
Incorporamos SBC al CompletePBX

12. www.xorcom.com
Seguridad, Seguridad, Seguridad
• El CompleteSBC sella efectivamente el PBX:
• El Administrador debe habilitar el sistema CompleteSBC
• CompleteSBC rechaza todas las solicitudes SIP en su interfaz pública
(puerto 6075)
• El administrador debe habilitar el sistema para utilizar CompleteSBC
• La configuración estándar contiene todos los terminales SIP soportados
por el Administrador de Dispositivos (EPM) de cPBX: Zoiper, Asterisk y
CompletePBX (lista blanca). Eliminamos los que no usamos.
• Solicitudes SIP enviadas desde un terminal no definido en la configuración
serán rechazadas

13. www.xorcom.com
Session Border Controller Integrado
• Incorporado en CompletePBX
• Pre-instalado
• Incluye licencias demo
• Interfaz gráfica de usuario
• Pre-configurado e
inicialmente bloqueado
• Permite reglas
sofisticadas

14. www.xorcom.com
Arquitectura del CompleteSBC
PBX IP

15. www.xorcom.com
Medidas de Seguridad Soportadas
• Firewall SIP
• Control de Acceso y prevención de fraude
• Contra ataques de Denegación de Servicio (DOS) y protección de
sobrecarga
• NAT transversal
• Ruteo inteligente
• Mediación en interoperabilidad
• Beneficia instalaciones con
múltiples proveedores de servicio
y equipamientos

16. www.xorcom.com
Información Adicional
• Licencia de Software
• Se puede aplicar de forma remota
• Costos por canal de comunicación
• Sistema de 64-bit (requiere CompletePBX v.4.6.x)
• Para configuraciones TwinStar (HA) o con Elastix, se instala en
un servidor Xorcom adicional
• Este servidor dedicado debe soportar el máximo número de llamadas
SIP simultáneas necesarias

17. www.xorcom.com
ACCIÓN Y PREVENCIÓN PARTICULARES
DEL COMPLETEPBX
El CompletePBX provee la mejor protección
contra cyber-ataques.

18. www.xorcom.com
CompletePBX: Cuatro Frentes de Seguridad

19. www.xorcom.com
Camuflaje
• CompletePBX opera de forma Sigilosa
• Métodos de identificación de dispositivos/puertos no estándar
• Configuración Segura para VoIP
• De forma predeterminada, son denegadas solicitudes SIP no
deseadas sin revelar la razón del rechazo
• Ataques de Fuerza Bruta no pueden adivinar fácilmente usuarios y
claves SIP

20. www.xorcom.com
Vigilancia
• Prevención y Detección de Intrusión
• Cuenta con un Sistema de detección interno contra accesos no
autorizados basado en parámetros pre-definidos por el usuario
• El usuario define el número de intentos fallidos de registración en un
período determinado de tiempo = intruso potencial
• Luego de detectarlo, la dirección IP del intruso es bloqueada por un
período determinado de tiempo

21. www.xorcom.com
Defensa #1: CompleteSBC™
• El SBC basado en Software sella el PBX-IP
• Actúa como un “firewall para SIP” a modo de
control de acceso
• Incluye reglas predefinidas pero configurables
• Incluye una interfaz GUI intuitiva
• Una versión demo se incluye en cada sistema
cPBX.*
* Versiones desde 4.6. La compra de una licencia electrónica remueve el límite máximo
de duración de las llamadas y puede ser usada para incrementar el número de canales
protegidos.

22. www.xorcom.com
Defensa #2: Firewall incorporado
• Los puntos más vulnerables para un cyber ataque están en la
línea de encuentro entre las redes “confiables” y “no
confiables”
• CompletePBX debe ser instalado en una red LAN protegida por
un firewall
• CompletePBX también tiene su propio firewall
• Reglas pre-determinadas pueden ser modificadas para habilitar
aplicaciones específicas relevantes para el cliente.

23. www.xorcom.com
Defensa #3: Bloqueo Inicial
• CompletePBX viene pre-configurado de tal forma que aplica
políticas de seguridad restrictivas:
• En la configuración pre-determinada las llamadas SIP desde
terminales ubicadas fuera de la LAN serán rechazadas
• La configuración del firewall de CompletePBX debe ser modificada
para poder recibir llamadas entrantes desde fuentes ubicadas en
Internet

24. www.xorcom.com
Defensa #4: Fortaleza de las claves
• Defina claves suficientemente complejas para las extensiones
SIP/IAX2, DISA, y call-back
• Defina claves para todas las rutas de salida
• Un algoritmo del sistema detecta contraseñas débiles y emite
una alerta

25. www.xorcom.com
Defensa #5: Acceso Remoto
• Herramienta Rapid Tunneling de Xorcom para obtener un
acceso remoto seguro (pre- instalada)
• La interfaz Web de CompletePBX se accede a través de túnel
SSH

26. www.xorcom.com
Defensa #6: Cuentas de Admin
• Múltiples niveles de usuarios definidos
• Restringe el acceso a un rango determinado de extensiones o
de funcionalidades del PBX
• Crea cuentas separadas para distintas personas
• Cambios de personal se resuelven simplemente removiendo la
cuenta respectiva para asegurar que no hayan accesos futuros no
autorizados

27. www.xorcom.com
Alerta: Alarma en Tiempo Real
• Una actividad no autorizada en el Sistema telefónico genera
una alerta inmediata al administrador del Sistema por medio
de correo electrónico.

28. www.xorcom.com
NO ASUMA RIESGOS COSTOSOS

29. www.xorcom.com
TwinStar Plus
La Nueva Generación de Sistemas de Alta Disponibilidad

30. www.xorcom.com
Introducción a TwinStar
• Solución pionera de Alta Disponibilidad en Asterisk
• Redundancia Completa y automática
• VoIP
• Líneas y Extensiones analógicas
• Troncales E1/MFC-R2/T1
• Sincronización
• Madurez tecnológica y estabilidad
• Miles de implementaciones en decenas de países y mercados
verticales

31. www.xorcom.com
Esquema para TwinStar Plus

32. www.xorcom.com
Solución de Alta Disponibilidad
para Asterisk
• Provee redundancia completa del sistema
de PBX, incluyendo las interfaces telefónicas
• Proceso rápido y automático de failover
que maximiza el tiempo de servicio activo
del sistema
• Auto detección de fallas en el servidor
principal & transferencia al sistema de respaldo
• Componentes de la solución:
• Dos PBX IP de Xorcom con idéntica configuración
• Banco(s) de canales Astribank de Xorcom con puertos USB duales (ahora
opcionales)
XPP Technology

33. www.xorcom.com
Configuración Inicial: Servidores Idénticos
• Dos servidores Xorcom (+ Astribank con USB dual)
PSTN
Astribank (panel frontal)
Banco de canales conectado por
USB. Provee interfaces telefónicas
analógicas/digitales
Servidor Xorcom
(backup)
Teléfonos
Analógicos
Teléfonos IP
LAN/WAN
USB USB
Servidor Xorcom
(primario)
SIP Trunking
Corosync
+ DRBD

34. www.xorcom.com
Funcionamiento normal: servidor primario activo
Teléfonos IP
PSTN
Astribank (panel posterior)
Servidor Xorcom
(backup)
Servidor Xorcom
(primario)
Teléfonos
Analógicos
USB USB
LAN/WAN
SIP Trunking
Corosync
+ DRBD

35. www.xorcom.com
Teléfonos IP
Teléfonos
Analógicos
Si el servidor principal falla…
PSTN
Servidor Xorcom
(backup)
Falla en
el
Servidor
Servidor Xorcom
(primario)
USB USB
LAN/WAN
SIP Trunking
Astribank (panel posterior)
Corosync
+ DRBD

36. www.xorcom.com
Corosync
+ DRBD
Teléfonos
Analógicos
…el servidor de Backup se activa
PSTN
Servidor Xorcom
(backup)
El Backup asume la
Dirección IP del
primario
Servidor Xorcom
(primario)
USB USB
LAN/WAN
SIP Trunking
Transferencia
Servidor de
Backup
Teléfonos IP
Astribank (panel posterior)
PRI / FXO

37. www.xorcom.com
QUÉ MÁS INCORPORA TWINSTAR PLUS?

38. www.xorcom.com
Nuevo con cPBX 4.6.1?
• TwinStar Plus!
• Perfeccionamiento y modernización
• Nueva lógica de conmutación
• Arquitectura mejorada y adaptada a nuevos escenarios
• Conmutación del servicio ante fallos basado en SW
• Posibilidad de configuraciones púramente SIP
• Incorporación del desarrollo de Plug-and-Play

39. www.xorcom.com
Sólo SIP
• La versión anterior de TwinStar requiere de al menos una
unidad Astribank
• TwinStar Plus funciona con o sin Astribanks
• Mayor distancia entre unidades – no hay limitación del
cableado USB
• Estructura de licenciamiento diferente: software, basado en
servidores

40. www.xorcom.com
Plug & Play
• Innovación de Xorcom para Asterisk
• Implementado en CompletePBX y en DAHDI
• Qué es plug and play?
• Flexibilidad
• Recuperación
• Maintenimiento
• Aumento de la Confiabilidad
Solución de Xorcom
verdaderamente "Plug & Play"
para dispositivos DAHDI

41. www.xorcom.com
Documentación Adicional
• TwinStar Plus – Cómo funciona
• Servidor TwinStar Plus Server – Instrucciones de Instalación

42. www.xorcom.com
HARDWARE ROBUSTO – CLAVE DEL SISTEMA

43. www.xorcom.com
Modelos de PBX IP en Xorcom
Producto
P/N
Usuarios*
Puertos
análogos*
Puertos
PRI *
Llamadas SIP
simultáneas*
“Blue Steel”
CXT4000
1500 960 24 880
“Blue Steel”
CXT3000
1000 800 16 550
CXE3000
CXE2000
1000
200
800
160
16
1
550
85
CXR3000
CXR2000
1000
200
800
160
8
1
325
85
CXR1000
“Spark”
CXS1000
30
30
16
16
0
1/2
55
30
* Número máximo; puertos BRI ISDN soportados

44. www.xorcom.com
Introducción a…Blue Steel
PBX IP robusto, de alto rendimiento. Incluye:
• Dos discos duros (RAID1) sustituibles en caliente, de
nivel servidor, funcionan 24x7
• Fácil accceso desde el panel frontal
• Con llave para bloqueo
• Dos Fuentes de Alimentación industriales sustituibles
en caliente (250 Watt)
• Notificación de falla para ambos componentes:
• En el panel LCD
• Zumbido de alarma
• Mensaje e-mail de aviso al administrador

45. www.xorcom.com
Tambien Incluye:
• Pánel LCD y teclado
• Configuración de Red
• Estado: de Red, de HW, monitoreo de fuente redundante (de Astribank)
• Mantenimiento – rebuteo, proceso de reinicialización
• Rapid Recovery
• Backup y restauración interna
• Ventiladores redundantes
• Puerto Ethernet adicional

46. www.xorcom.com
Redundancia Incorporada
Dos discos duros (RAID1) sustituibles en caliente
Dos Fuentes de Alimentación industriales
sustituibles en caliente

47. www.xorcom.com
Soporte de Astribanks
• Permite conectar hasta 20 unidades externas Astribank (24 en
total)
• Provee alimentación redundante para hasta cuatro Astribanks
completos:

48. www.xorcom.com
Especificaciones de PBX IP Xorcom - I
CARACTERÍSTICA/MODELO CXS1000
XR1000/
CXR1000
XR2000/
CXR2000
XR3000/
CXR3000
XE2000/
CXE2000
XE3000/
CXE3000
CXT3000 CXT4000
Capacidad Máx. (usuarios) 30 30 200 1000 200 1000 1000 1500
Máx. Llamadas simultáneas 30 55 85 325 85 550 550 880
Max. puertos analógicos
(FXS, FXO) 10 10 45 300 45 480 480 750
Max. puertos digitales 16 16 160 800 160 800 800 960
BRI RDSI 8 8      
E1/T1 PRI, E1 R2, T1 CAS 1/2  1 8 1 16 16 24
Puerto (s) Ethernet
10/100/1000 Mb/s 10/100   2 2 2 2 2
Cap. de Almacenamiento
Disco de Estado Sólido 8 GB SD 16 GB SSD      
320 GB HDD        
1T        2
Nota
 Incluido  No soportado O Opcional
Blue Steel Blue SteelSpark

49. www.xorcom.com
Especificaciones de PBX IP Xorcom - II
Características/ Modelo CXS1000
XR1000/
CXR1000
XR2000/
CXR2000
XR3000/
CXR3000
XE2000/
CXE2000
XE3000/
CXE3000
CXT3000 CXT4000
RAID (Discos Múltiples)
RAID1 (2 HDDs)        
Interfaz Adm. Plataforma Intelig.
(IPMI)
       
Redundancia de ventiladores        
Rapid Recovery™ O O O O    
Backup y restauración interna        
Notificación para Fuente de
Alimentación
       
Panel LCD y teclado frontales        
Puertos USB en panel frontal        
Fuente de Poder Interna        
Fuente de alimentación
reemplazable en caliente
       
19” chassis 1U 1U 2U 2U 2U 2U 2U 2U
Nota
 Incluido  No soportado O Opcional
Blue SteelSpark Blue Steel

50. www.xorcom.com
Muchas gracias
ariel.mapelman@xorcom.com
www.xorcom.com