BOLETIM TÉCNICO

Boletim: 009/15
Produto: Informativo Técnico
Descrição: Procedimentos de segurança Active / VoIP e Ision
Data de atualização: 23/02/2015

Pós Vendas Leucotron

Procedimentos de segurança Active / VoIP

 Alterar no módulo VoIP a porta 5060, antes da ativação da central. Acesse
configuração do módulo VoIP via browser. Acessar no menu lateral a opção
SIP. Caso não tenha ramais IP fora da rede local, solicite o bloqueio dessa porta
no firewall.

 Para as centrais Active Advanced IP, ao criar um ramal IP pelo TGC/TGCO,

lembre-se de não deixar a senha com o mesmo número do ramal criado.

 Alterar a categoria dos ramais IP´s. Por default os mesmos saem como
privilegiados. Altere essa programação, permitindo ao usuário do ramal ligar
para números específicos ou somente ligações internas.

 Quando existe interligação entre centrais, lembre-se de alterar as senhas dos

ramais envolvidos no registro e demais ramais IP´s que possam estar sendo
usados. Se ambos os sistemas estiverem utilizando IP´s públicos programados
diretamente nas interfaces do PABX, solicite ao administrador da rede que crie
uma VPN entre as duas centrais.

 Altere a senha de acesso ao módulo VoIP. Por default sai como usuário ADMIN
e senha MASTER. Troque esses dados e crie contas para os usuários que terão
acesso ao sistema.

 Alterar nos terminais IP a porta de registro. Como a primeira opção é alterar a

porta SIP – 5060, obviamente os terminais IPs precisam enviar registro para a
nova porta configurada. Normalmente, coloca-se a informação da nova porta
após a opção de domínio de registro.

Por exemplo:
 IP da media gateway: 192.168.100.150 / Porta SIP configurada: 52500

Programar domínio do terminal IP para: 192.168.100.150:52500

Desta forma, todos os ramais IP´s deverão ser apontados para a nova porta SIP
programada.

Obs.: Caso o cliente já possua ativado o sistema com muitos ramais IP´s, recomenda-se
que se mantenha a porta 5060 na central e nos ramais IP´s internos. Neste caso, altere
somente a configuração dos ramais IP´s na rede externa para que o registro seja
encaminhado para uma outra porta qualquer (Ex: porta 40000) e faça um
redirecionamento no firewall do cliente para que toda informação recebida na porta
40000 seja redirecionada para o IP da media gateway na porta 5060.

OBS.: Essa porta 40000 é apenas como exemplo, podendo ser usado qualquer porta
entre 1024 a 65535.

Procedimentos de segurança – ISION

Bloqueio de porta SIP:

 Se cliente não tem acesso a internet ou meio externo, orientar ao cliente o

bloqueio da porta default SIP 5060 no roteador/firewall do próprio cliente.

Alteração da porta SIP:

 Se cliente precisa de acesso ao meio externo ou internet através do PABX,

solicitar alteração da porta 5060 no seu roteador/ firewall e também, se
necessário, alterar no PABX.

Ex: 55000 e que seja direcionado até a porta SIP 5060 do PABX.

Ativar facilidade SIPTRAP:

 Ativar SIPTRAP no PABX contra rajadas de invites que serão consideradas

como ataques.
Senha de prefixo global:

 Ativar a criar a senha de "Prefixo Global" de preferência com letras e números.

PREFIXO GLOBAL + SENHA DO RAMAL

Por exemplo: ramal 500 com senha 73621582 (cada ramal terá a sua própria senha)
Prefixo global: A7B8C9
Senha que dever ser configurada somente em terminais IPs: A7B8C973621582

Inibir ligações internacionais:

Em Categoria de Ramais devem-se inibir ligações internacionais de todos os ramais ou
de quem realmente não precisa – perfil principal/alternativo.
Se alguma personalidade precisa fazer ligações internacionais, cuide para que o perfil
do mesmo para períodos noturnos e finais de semana seja bloqueado esse acesso
(categoria restrito), pois, são os horários preferidos por hackers.
Permissão de registro e operação somente pelo IP:
 Marque na personalidade/classe para que os ramais façam registro apenas da
rede interna ou de determinado IP.

Quando se usa interligação entre centrais com registro entre ramais (registro
cruzado), configure a facilidade “aceitar registro e operação somente pelo
IP”, de modo que a personalidade somente aceite registro pelo IP determinado.

 Para clientes que não possuam ramais IP´s, ative a facilidade na classe para
todas as personalidades:

“nunca aceitar registro ou ligação quando apresentar-se a partir de Ip de classe

publica”
Alteração de senhas padrão:
 Mude usuário/senha padrão de acesso ao configurador Ision, acesso web à
Media Gateway.
 Altere a senha da personalidade. Ela nunca deverá coincidir com o número da
mesma ou tenha senhas fracas.

Ex: ramal 505 - senha 505

Comando TELNET “security”.

Procedimento descrito abaixo:

Uma vez por dia, ou sempre que o administrador utiliza o comando de telnet:
“security evaluate”

O Sistema ISION inspeciona um a um cada usuário, procurando pontos de

fragilidade, no que tange à segurança de sistema. Caso localize pontos de
fragilidade, é capaz de manter uma lista de usuários com problemas de
segurança e gera o alarme 094, alerta de segurança de base de dados de
usuários. Nesse caso, digitando no telnet: “security”

O sistema lista quais são os usuários com problemas de segurança e qual é o

problema apontado para cada um deles.

Password at Defaults: A personalidade em questão está com sua senha no

default. Incentive-a a trocar.
 Password fragile: A personalidade em questão definiu sua senha de forma
previsível e frágil (sequencial, string de mesmo dígito ou muito curta).

 Procure orientar o TI do cliente a bloquear resposta de ICMP ping do IP de

visibilidade do Ision a internet.
 Se central Ision está atrás de NAT, configure a porta a qual o ISION é visível na
internet. Será a porta SIP configurada nas regras de redirecionamento do
firewall.

Pós Vendas - Leucotron