Embed Size (px)
Citation preview
www.xorcom.com
Seguridad, Alta Disponibilidad, Robustez
Ariel Mapelman – VP América Latina
Elastix World – Bogotá 2015
www.xorcom.com
Xorcom - Empresa
2004 Fundación:
Desarrollo, Producción y Comercialización de soluciones esenciales para la comunicación corporativa
Objetivo:
Casa Central en Israel y oficina comercial para EE.UU. y Canadá
Oficinas:
95% de las ventas exportadas a más de 100 países. América Latina equivale a más del 30% de las ventas globales.
Actividad:
Empresas privadas, Instituciones de Gobierno, Carriers, Distribuidores Profesionales, Fabricantes de Equipos.
Nuestros clientes:
www.xorcom.com
Agenda
• Seguridad en equipos Xorcom
• Alta disponibilidad – Sistemas Twinstar
• Equipos robustos, profesionales,
probados
www.xorcom.com
Eliminar el Miedo al Hacking y Proteger
• Aunque los beneficios de VoIP son muchos,• Internet está lleno de amenazas• Un PBX IP sin protección puede ser hackeado
en menos de 30 minutos• Hay un enorme Mercado de llamadas ilegales
• La Seguridad es la prioridad #1 para carriers; y tambien fundamental para los usuarios y canales profesionales
• Qué hacer…?
www.xorcom.com
Seguridad: necesidad y demanda del mercado
• Organismos regulatorios• Operadores de Servicio (carriers)• Nuevos estándares requeridos por usuarios• Xorcom ha implementado las demandas del Mercado y lo exigido por la regulación:
• Instale el PBX IP detrás de un Session Border Controller (SBC)• Claves complejas• Filtros para direcciones IP locales• Bloqueo de llamadas entrantes de fuentes desconocidas• Rechazo de solicitudes SIP con una única respuesta (evita ataques de fuerza bruta)• DISA y call back protegidas con claves• Puertos SSH no estándar
www.xorcom.com
Cont’
• Usar SSH para acceder a la interface web. No exponga HTTP o HTTPS• No configurar llamadas de troncal a troncal sin control• No exponer puertos SIP-IAX (use puertos no estándar) • Activar el firewall del PBX IP• Claves para llamadas internacionales (y toda ruta de alto costo)• Cambio de claves de MySQL, de la interface Web y de AMI (Asterisk Management
Interface)• Cambio en clave de usuario root de Linux• Chequear que el control de intrusión está bien configurado y funcionando• El PBX IP debe instalarse en una red protegida (detrás de firewall)
www.xorcom.com
Qué es un SBC?
• SBC = Session Border Controller(Controladora de Sesión de Borde de Red)
• Es un Hardware o software que normalmente está situado entre la red pública (“poco confiable”) y las redes del proveedor de servicios y de la empresa (“confiables”)
• Históricamente, el SBC era utilizado para resolver problemas en SIP relacionados con NAT
• Hoy en día los SBC tienen un papel importante en la protección del tráfico de voz en las redes SIP
www.xorcom.com
SIP/RTP
Qué es SBC en una red VoIP?
001100110100
Red Local del Cliente
Extensiones Remotas
Servicios de DatosServicios de Voz
www.xorcom.com
Seguridad, Seguridad, Seguridad
• El CompleteSBC sella efectivamente el PBX:• El Administrador debe habilitar el sistema CompleteSBC• CompleteSBC rechaza todas las solicitudes SIP en su interfaz pública
(puerto 6075)• El administrador debe habilitar el sistema para utilizar CompleteSBC• La configuración estándar contiene todos los terminales SIP soportados
por el Administrador de Dispositivos (EPM) de cPBX: Zoiper, Asterisk y CompletePBX (lista blanca). Eliminamos los que no usamos.
• Solicitudes SIP enviadas desde un terminal no definido en la configuración serán rechazadas
www.xorcom.com
Session Border Controller Integrado
• Incorporado en CompletePBX• Pre-instalado
• Incluye licencias demo• Interfaz gráfica de usuario• Pre-configurado e
inicialmente bloqueado• Permite reglas
sofisticadas
www.xorcom.com
Medidas de Seguridad Soportadas
• Firewall SIP• Control de Acceso y prevención de fraude• Contra ataques de Denegación de Servicio (DOS) y protección de sobrecarga
• NAT transversal• Ruteo inteligente• Mediación en interoperabilidad
• Beneficia instalaciones conmúltiples proveedores de servicio y equipamientos
www.xorcom.com
Información Adicional
• Licencia de Software• Se puede aplicar de forma remota• Costos por canal de comunicación
• Sistema de 64-bit (requiere CompletePBX v.4.6.x)• Para configuraciones TwinStar (HA) o con Elastix, se instala en
un servidor Xorcom adicional• Este servidor dedicado debe soportar el máximo número de llamadas
SIP simultáneas necesarias
www.xorcom.com
ACCIÓN Y PREVENCIÓN PARTICULARES DEL COMPLETEPBX
El CompletePBX provee la mejor protección contra cyber-ataques.
www.xorcom.com
CompletePBX: Cuatro Frentes de Seguridad
CamuflajeVigilanciaDefensaAlerta
www.xorcom.com
Camuflaje
• CompletePBX opera de forma Sigilosa• Métodos de identificación de dispositivos/puertos no estándar
• Configuración Segura para VoIP• De forma predeterminada, son denegadas solicitudes SIP no
deseadas sin revelar la razón del rechazo• Ataques de Fuerza Bruta no pueden adivinar fácilmente usuarios y
claves SIP
www.xorcom.com
Vigilancia
• Prevención y Detección de Intrusión• Cuenta con un Sistema de detección interno contra accesos no
autorizados basado en parámetros pre-definidos por el usuario• El usuario define el número de intentos fallidos de registración en un
período determinado de tiempo = intruso potencial• Luego de detectarlo, la dirección IP del intruso es bloqueada por un
período determinado de tiempo
www.xorcom.com
Defensa #1: CompleteSBC™
• El SBC basado en Software sella el PBX-IP• Actúa como un “firewall para SIP” a modo de
control de acceso• Incluye reglas predefinidas pero configurables• Incluye una interfaz GUI intuitiva• Una versión demo se incluye en cada sistema
cPBX.* * Versiones desde 4.6. La compra de una licencia electrónica remueve el límite máximo de duración de las llamadas y puede ser usada para incrementar el número de canales protegidos.
www.xorcom.com
Defensa #2: Firewall incorporado
• Los puntos más vulnerables para un cyber ataque están en la línea de encuentro entre las redes “confiables” y “no confiables”
• CompletePBX debe ser instalado en una red LAN protegida por un firewall
• CompletePBX también tiene su propio firewall• Reglas pre-determinadas pueden ser modificadas para habilitar
aplicaciones específicas relevantes para el cliente.
www.xorcom.com
Defensa #3: Bloqueo Inicial
• CompletePBX viene pre-configurado de tal forma que aplica políticas de seguridad restrictivas: • En la configuración pre-determinada las llamadas SIP desde
terminales ubicadas fuera de la LAN serán rechazadas• La configuración del firewall de CompletePBX debe ser modificada
para poder recibir llamadas entrantes desde fuentes ubicadas en Internet
www.xorcom.com
Defensa #4: Fortaleza de las claves
• Defina claves suficientemente complejas para las extensiones SIP/IAX2, DISA, y call-back
• Defina claves para todas las rutas de salida• Un algoritmo del sistema detecta contraseñas débiles y emite
una alerta
www.xorcom.com
Defensa #5: Acceso Remoto
• Herramienta Rapid Tunneling de Xorcom para obtener un acceso remoto seguro (pre- instalada)
• La interfaz Web de CompletePBX se accede a través de túnel SSH
www.xorcom.com
Defensa #6: Cuentas de Admin
• Múltiples niveles de usuarios definidos• Restringe el acceso a un rango determinado de extensiones o
de funcionalidades del PBX• Crea cuentas separadas para distintas personas
• Cambios de personal se resuelven simplemente removiendo la cuenta respectiva para asegurar que no hayan accesos futuros no autorizados
www.xorcom.com
Alerta: Alarma en Tiempo Real
• Una actividad no autorizada en el Sistema telefónico genera una alerta inmediata al administrador del Sistema por medio de correo electrónico.
www.xorcom.com
TwinStar Plus
La Nueva Generación de Sistemas de Alta Disponibilidad
www.xorcom.com
Introducción a TwinStar
• Solución pionera de Alta Disponibilidad en Asterisk• Redundancia Completa y automática
• VoIP• Líneas y Extensiones analógicas• Troncales E1/MFC-R2/T1
• Sincronización• Madurez tecnológica y estabilidad• Miles de implementaciones en decenas de países y mercados
verticales
www.xorcom.com
Solución de Alta Disponibilidad para Asterisk
• Provee redundancia completa del sistemade PBX, incluyendo las interfaces telefónicas
• Proceso rápido y automático de failoverque maximiza el tiempo de servicio activo del sistema
• Auto detección de fallas en el servidor principal & transferencia al sistema de respaldo
• Componentes de la solución:• Dos PBX IP de Xorcom con idéntica configuración• Banco(s) de canales Astribank de Xorcom con puertos USB duales (ahora opcionales)
XPP Technology
www.xorcom.com
Configuración Inicial: Servidores Idénticos
• Dos servidores Xorcom (+ Astribank con USB dual)
PSTN
Astribank (panel frontal) Banco de canales conectado por
USB. Provee interfaces telefónicas analógicas/digitales
Servidor Xorcom(backup)
Teléfonos Analógicos
Teléfonos IP
LAN/WANUSB USB
Servidor Xorcom(primario)
SIP Trunking
Corosync + DRBD
www.xorcom.com
Funcionamiento normal: servidor primario activo
Teléfonos IP
PSTN
Astribank (panel posterior)
Servidor Xorcom(backup)
Servidor Xorcom(primario)
Teléfonos Analógicos
USB USBLAN/WAN
SIP Trunking
Corosync + DRBD
www.xorcom.com
Teléfonos IP
Teléfonos Analógicos
Si el servidor principal falla…
PSTN
Servidor Xorcom(backup)
Falla en el
Servidor
Servidor Xorcom(primario)
USB USBLAN/WAN
SIP TrunkingAstribank (panel posterior)
Corosync + DRBD
www.xorcom.com
Corosync + DRBD
Teléfonos Analógicos
…el servidor de Backup se activa
PSTN
Servidor Xorcom(backup)
El Backup asume la Dirección IP del
primario
Servidor Xorcom(primario)
USB USBLAN/WAN
SIP Trunking
Transferencia Servidor de
Backup
Teléfonos IP
Astribank (panel posterior)
PRI / FXO
www.xorcom.com
Nuevo con cPBX 4.6.1?
• TwinStar Plus!• Perfeccionamiento y modernización
• Nueva lógica de conmutación• Arquitectura mejorada y adaptada a nuevos escenarios
• Conmutación del servicio ante fallos basado en SW• Posibilidad de configuraciones púramente SIP• Incorporación del desarrollo de Plug-and-Play
www.xorcom.com
Sólo SIP
• La versión anterior de TwinStar requiere de al menos una unidad Astribank
• TwinStar Plus funciona con o sin Astribanks• Mayor distancia entre unidades – no hay limitación del
cableado USB• Estructura de licenciamiento diferente: software, basado en
servidores
www.xorcom.com
Plug & Play
• Innovación de Xorcom para Asterisk• Implementado en CompletePBX y en DAHDI• Qué es plug and play?
• Flexibilidad• Recuperación• Maintenimiento
• Aumento de la ConfiabilidadSolución de Xorcom verdaderamente "Plug & Play" para dispositivos DAHDI
www.xorcom.com
Documentación Adicional
• TwinStar Plus – Cómo funciona
• Servidor TwinStar Plus Server – Instrucciones de Instalación
www.xorcom.com
Modelos de PBX IP en XorcomProducto P/N Usuarios* Puertos
análogos*Puertos
PRI *Llamadas SIP simultáneas*
“Blue Steel”CXT4000 1500 960 24 880
“Blue Steel”CXT3000 1000 800 16 550
CXE3000CXE2000
1000200
800160
161
55085
CXR3000CXR2000
1000200
800160
81
32585
CXR1000
“Spark”CXS1000
30
30
16
16
0
1/2
55
30
* Número máximo; puertos BRI ISDN soportados
www.xorcom.com
Introducción a…Blue Steel
PBX IP robusto, de alto rendimiento. Incluye:• Dos discos duros (RAID1) sustituibles en caliente, de nivel
servidor, funcionan 24x7• Fácil accceso desde el panel frontal• Con llave para bloqueo
• Dos Fuentes de Alimentación industriales sustituibles en caliente (250 Watt)
• Notificación de falla para ambos componentes:• En el panel LCD• Zumbido de alarma• Mensaje e-mail de aviso al administrador
www.xorcom.com
Tambien Incluye:
• Pánel LCD y teclado• Configuración de Red• Estado: de Red, de HW, monitoreo de fuente redundante (de Astribank)• Mantenimiento – rebuteo, proceso de reinicialización
• Rapid Recovery• Backup y restauración interna• Ventiladores redundantes• Puerto Ethernet adicional
www.xorcom.com
Redundancia Incorporada
Dos discos duros (RAID1) sustituibles en caliente
Dos Fuentes de Alimentación industriales sustituibles en caliente
www.xorcom.com
Soporte de Astribanks
• Permite conectar hasta 20 unidades externas Astribank (24 en total)
• Provee alimentación redundante para hasta cuatro Astribanks completos:
www.xorcom.com
Especificaciones de PBX IP Xorcom - I
CARACTERÍSTICA/MODELO CXS1000 XR1000/ CXR1000
XR2000/ CXR2000
XR3000/ CXR3000
XE2000/CXE2000
XE3000/CXE3000 CXT3000 CXT4000
Capacidad Máx. (usuarios) 30 30 200 1000 200 1000 1000 1500
Máx. Llamadas simultáneas 30 55 85 325 85 550 550 880
Max. puertos analógicos (FXS, FXO) 10 10 45 300 45 480 480 750
Max. puertos digitales 16 16 160 800 160 800 800 960
BRI RDSI 8 8 ü ü ü ü ü ü E1/T1 PRI, E1 R2, T1 CAS 1/2 û 1 8 1 16 16 24
Puerto (s) Ethernet
10/100/1000 Mb/s 10/100 ü ü 2 2 2 2 2
Cap. de Almacenamiento
Disco de Estado Sólido 8 GB SD 16 GB SSD û û û û û û 320 GB HDD û û ü ü ü ü ü û 1T û û û û û û û 2
Notaü Incluido û No soportado O Opcional
Blue Steel Blue SteelSpark
www.xorcom.com
Especificaciones de PBX IP Xorcom - II
Características/ Modelo CXS1000 XR1000/ CXR1000
XR2000/ CXR2000
XR3000/ CXR3000
XE2000/CXE2000
XE3000/CXE3000 CXT3000 CXT4000
RAID (Discos Múltiples)
RAID1 (2 HDDs) û û û û ü ü ü üInterfaz Adm. Plataforma Intelig. (IPMI) û û û ü û ü ü ü
Redundancia de ventiladores û û û û ü ü ü ü
Rapid Recovery™ O O O O ü ü ü ü
Backup y restauración interna û û û û ü ü ü üNotificación para Fuente de Alimentación û û û û ü ü ü ü
Panel LCD y teclado frontales û û û û ü ü ü ü
Puertos USB en panel frontal û û û û ü ü ü ü
Fuente de Poder Interna û û ü ü ü ü ü üFuente de alimentación reemplazable en caliente û û û û û û ü ü
19” chassis 1U 1U 2U 2U 2U 2U 2U 2U
Notaü Incluido û No soportado O Opcional
Blue SteelSpark Blue Steel
