Howto:Protección contra los ataques de fuerza bruta (SP)
Applies To
This information applies to
- innovaphone PBX having direct access to the internet
More Information
Protección contra Ataques de Fuerza Bruta
Seguridad: ¿Tiene su PBX suficiente protección?
En Internet existen siempre peligros latentes. Esto no es nada nuevo para usted, muestra de ello son los mecanimos apropiados de seguridad que utiliza para proteger sus sistemas. Un cortafuego protege su red de accesos no autorizados; un antivirus le protege de virus, gusanos, troyanos, etc., además de permitirle navegar y enviar emails de manera segura. De igual modo, las instalaciones telefónicas han de ser protegidas con mecanismos de seguridad que prevengan de ataques o de daños. Éste es precisamente el caso que se da en las instalaciones que se conectan directamente a Internet y no tienen ninguna protección en la red interna de la empresa, haciéndolas accesibles desde el exterior.
A lo largo de los últimos meses se han dado con más frecuencia ataques en sistemas telefónicos a través del método de “Ataques de Fuerza Bruta”. Un programa pirata comprueba combinaciones de contraseñas de usuarios al igual que accesos, de manera que realiza busquedas en fracciones de segundos. Si consiguen acceder al sistema, se denomina uso fraudulento o “Call Fraud”. El hacker podrá, por ejemplo, realizar llamadas gratuitas a expensas del propietario de la instalación telefónica. Uno de los peores ejemplos se da cuando los hackers instalan líneas de tarificación especial (900...) en la instalación del propietario para posteriormente llamarse a sí mismo desde esta instalación a las líneas mencionadas, de manera que se lucran del propietario de la instalación ya que generan elevadas facturas telefónicas. En otros casos, los ataques pretenden únicamente paralizar la infraestructura telefónica (Denial-of-Service o DOS).
Existen múltiples mecanismos para proteger la PBX innovaphone. Sin embargo, siguiendo los siguientes pasos se podrá incrementar de una manera considerable la seguridad en ella.
Crear únicamente objetos que se utilicen
A menudo se crean objetos en la PBX que no se usan activamente (por ejemplo, un trabajador que ya no trabaja en la empresa) y que probablemente no estén protegidos con contraseña. Cualquiera podría acceder desde una red externa a la instalación, probar con varios números y, cuando encuentre alguno inutilizado, causar el daño. Se aconseja que se protejan todos los objetos creados con una contraseña y establecer No. Of Regs w/o Pwd en 0.
Nombre de usuario corriente y protección con contraseña
Es muy común utilizar “admin” como nombre de usuario para registrarse. Simplemente con ser un poco creativos con el nombre le podemos complicar las cosas a los piratas informáticos (p. ej., PericoPalotes, VíctorTazo). Por lo general, una contraseña no garantiza la seguridad. Las contraseñas “abc” o “pbx” no le supone una gran dificultad a un hacker. En sólo dos minutos podrían piratear estas contraseñas de tres minúsculas. Igualmente, una contraseña de 3 caracteres, combinando mayúsculas y minúsculas, no le supondría al hacker más de media hora.
La cosa cambia cuando nos encontramos con una contraseña de 8 caracteres. Incluso tratándose únicamente de minúsculas, un programa tardaría 37.968 días para comprobar todas las combinaciones posibles. Si combinamos minúsculas y mayúsculas, la busqueda tardaría fácilmente unos 97.400... ¡años! Cuidado también con el ataque “Diccionario” que supone el problema siguiente: si escogemos una de las 5000 palabras que alberga el vocabulario español e inglés, al hacker no le supondrá más de una hora. Igual ocurre con una fecha de cumpleaños, sea cual sea la forma cómo se escriba (01.01.1960 o 01.01.60).
Por lo tanto, para estar bien protegidos, la contraseña ha de ser larga, que no sea ninguna de las palabras posibles en el ataque por diccionario y contener mayúsculas y minúsculas y/o dígitos. La probabilidad de que la contraseña sea robada disminuye proporcionalmente a su complejidad.
Desactivar “unknown registrations”
Hay diferentes funciones que ayudan al administrador a llevar a cabo la instalación telefónica simplificando el proceso, como la “Zero Configuration Deployment” que incluye también “unknown registrations” para ayudar al administrador a llevar a cabo accesos en el sistema sin haber introducido correctamente el nombre de usuario y contraseña. Esto es de gran ayuda para grandes instalaciones. La función se puede activar o desactivar, de manera que es importante que “unknown registrations” se desactive una vez que el proceso se haya completado, ya que si no cualquiera desde una red externa podría acceder sin tener un nombre de usuario o contraseña.
Este artículo describe únicamente ciertos tipos de errores y algunos mecanismos de protección. Con la aplicación de algunos de estos mecanismos mencionados se puede mejorar en gran medida la seguridad de la instalación telefónica. Sin embargo, el asunto de la Seguridad es tratado en una lección de la Formación Avanzada (Advanced Training) de innovaphone. Le aconsejamos que vuelva a repasar dicha lección, donde encontrará información detallada al respecto.
Configurar el Filtro IP (IP Filter)
Se recomienda establecer filtros globales IP para evitar accesos no autorizados desde redes IP externas. Únicamente accesos bajo esta configuración de red con filtro IP serán permitidos. Desde la V8 HF8 hay 2 filtros IP diferentes. Uno para accesos sin conrtaseña y el otro con contraseña.
Utilizar H323/TLS con TLS Only
Desde la V11r1 se recomienda utilizar H.323/TLS en lugar de H.323. Además de encriptar la señal de las llamadas, permite acceder teléfonos sin contraseña (Certificado). Marcando la casilla TLS Only en la sección Devices utilizada para el acceso, desactivaremos la indentificación por contraseña. De este modo, se evitarán accesos no deseados con contraseñas robadas o jaqueadas.
Related Articles
- Localized articles
Howto:Protection against Brute Force Attacks
Howto-localized:Schutz vor Brute Force Attacken (D)
Howto-localized:Bescherming tegen brute force attacks (NL)
Howto-localized:Protection contre les Attaques par Force Brute (FR)