Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

De forma a proteger os sistemas SIPPulse, além de regras próprias do CLIENTE, é necessário (mas não suficiente) a implantação das recomendações abaixo que oferece proteção aos ataques mais comuns.

As recomendações abaixo referem-se a procedimentos de controle de acesso às portas do ambiente. Mantenha as portas de destino abertas apenas para 

...

Acesso de

...

Porta de Origem

...

Porta de Destino (liberar apenas)

...

para Servidor

...

Usuário Final

...

Firewall e rede

Recomendamos que TODAS as portas que não sejam estritamente necessárias para o completamento das chamadas (como SIP e RTP) sejam FECHADAS para a Internet, incluindo as portas de gerência da plataforma (8080) e SSH. Desta forma, eventuais bugs de segurança dos componentes usados na plataforma, desde sistema operacional até a aplicação em si, ficarão protegidos pela rede, tendo o acesso restrito.

Os IPs que podem acessar os servidores da plataforma devem ser apenas os do seu próprio escritório, os da SIPPulse fornecido pela equipe de implantação ou suporte e eventuais IPs de confiança para atividades remotas.

Já para as portas de serviços - SIP 5060 , RTP 10000-20000, Websocket 7443 e Portal do PABX 80 e 443 - recomendamos que elas sejam liberadas apenas para IPs do Brasil e eventuais IPs estrangeiros que seus clientes e fornecedores possam usar.

Além destes bloqueios, recomendamos o uso de Fail2ban nos servidores, protegendo de ataques de força bruta, fazendo com que essas tentativas sejam bloqueadas.

Gestão de Portas

Mantenha as portas de destino abertas apenas para: 

Porta de Destino para Servidor

Acesso liberado para

Porta de Origem

UDP/5060Servidor SIP/RTP

Usuário Final

Todas

TCP/5060Servidor SIP/RTP

Usuário Final

Todas

UDP/10000-
40000
65000Servidor SIP/RTP

Usuário Final

Todas

TCP/443NGINX/Apenas Portal de Usuário (HTTPS)
Servidor SIP/RTP

Usuário Final

Todas

TodasServidor APP/DB

Servidor

APP

SIP/

DB

RTP

Todas

TodasServidor SIP/RTP
Administrador

Servidor APP/DB

Todas

TodasServidor App/DB

Administrador

Todas

TodasServidor SIP/RTP
Integração

Administrador

Todas

3306Servidor App/DB

Integração

Todas

8080Servidor App/DB

Integração

Todas


Pode se usar um proxy reverso NGINX ou APACHE para permitir acesso a diferentes partes do portal de usuário e administração que hoje se encontram na mesma porta.

...

É importante que as regras sejam aplicadas de acordo com a arquitetura de implantação do sistema. Em projetos especiais podem haver mais do que dois servidores (APP/DB e SIP/RTP). Nestes casos é necessário considerar todos os aspectos e gerar uma política específica com base na arquitetura definida abaixo.:


Image RemovedImage Added


Caso necessite, a SIPPulse poderá recomendar consultorias especializadas em segurança que poderão desenhar politicas de segurança para a infra estrutura de sua empresa.

Lembramos ainda que no ambiente de telefonia, um dos grandes motivadores de hackers é financeiro. Ou seja, de modo geral hackers que invadem uma plataforma de telefonia buscam ganhos financeiros. Estes ganhos são muito comuns em serviços do tipo premium rate numbers, existentes em muitos países de forma legalizada e mesmo incentivada. Para mitigar os efeitos deste tipo de fraude, que muitas vezes pode originar em seu usuário em uma plataforma não controlada pelo CLIENTE, recomendamos, através de configurações funcionais na plataforma, ainda:

  • Por padrão, bloqueie serviços internacionais. Use regras do plano de discagem com restrição para chamadas internacionais. 
  • Para usuários com demanda de serviços internacionais, trabalhe com o recurso de cota de uso diária. Verifique constantemente clientes com excesso de uso da cota diária. De preferência, crie rotas apenas para os países que seu usuário demanda. 
  • Negocie com seus provedores/interconexões bloqueio a chamadas internacionais. 
  • NUNCA PUBLIQUE SEUS GATEWAYS NA INTERNET. 

Lembre-se: novas práticas de acesso indevido são desenvolvidas constantemente por hackers especializados. Segurança é uma disciplina que deve estar em constante evolução para confrontar novas ameaças.

Adote em sua politica política de segurança as práticas acima em suas práticas de segurançasugestões acima. Mas não faça destas sugestões a única forma de segurança de sua operação.

Troque regularmente as senhas de acesso de sua plataforma (administração e usuários)

Entenda quais são os motivadores de ataque à sua operação. Monitore sua infraestrutura constantemente, bem como o uso de sua plataforma. Não deixe de agir quando notar comportamentos adversos.

O CLIENTE será o único responsável por acesso indevido à plataforma SIPPulse e qualquer consequência advinda de acesso e do uso indevido, que afete de qualquer maneira , sua operação (continuidade operacional, dados, informações e custos)

...