Innovaphone secure your voice

Com8Secure your voice

Com8 Benelux ) Noordkaai 24 B-8870 Izegem ) BELGIUM ) +32 9 377 04 50

) Neerloopweg 4B 4814 RS Breda ) NEDERLAND ) +31 76 766 00 50

Com8 France ) 1, Place du Forum 57000 Metz ) FRANCE ) +33 (0)3 72 88 00 80

www.com8.eu

Secure your voice

Door de wereldwijde hack begin mei woedt weer volop de vraag wie of wat zoal vatbaar is voor cyberaanvallen en hoe men zich hiertegen kan beschermen. Tijdens deze recente cyberaanval werden niet enkel computers en servers gehackt, maar ook gebruikers van domotica, camera’s en telefoniesystemen werden slachtoffer. Hoe zit dat dan met onze telefonie die nu ook via het “internet” verloopt? Hoe kunnen we onszelf en onze klanten beschermen tegen deze aanvallen?




www.com8.eu

Soorten VoIP oplossingen

Klassieke technologie met

een centrale en Ethernet

Hybride oplossingen

Geen bewegendeonderdelen

Geen extern OS

Appliance met een soft PBX on board

Server gebaseerdeoplossingen

In een server wordt de telefoniesoftware geïnstalleerd bovenophet bestaande OS (meestalWindows of Linux)




www.com8.eu

Risico’s

SIP Trunk

LAN

IP telefoon

centrale

ATA

Analog Fax

InternetSIP operator

IP telefoon

IP telefoon

IP telefoon

Hacker

Hacker

thuiswerker

Mobility




www.com8.eu

De markt verandert snel:

Werknemers en werkgevers verwachten dat iedereen

• Mobiel kan werken

• Met verschillende apparaten

• Van overal

Telefonie is maar 1 onderdeel van de Collaboration en UC mogelijkheden

Samenwerken is niet alleen maar binnen het bedrijf

In tijden van „All IP“ is security cruciaal

Risico’s




www.com8.eu

Welke risico’s zijn er verbonden aan het gebruik maken van VoIP:

• De SIP trunk kan gehackt worden

• Telefoon toestel kan gehackt worden

• De centrale kan gehackt worden

• De gegevens van het bedrijf (naam medewerkers, telefoonnummer, email adres, edm) kan gehackt worden

• De gesprekken kunnen afgeluisterd worden (interne medewerkers)

Oplossing:

• De centrale loskoppelen van het netwerk en het internet

• Een firewall alles laten opvangen

nadeel: alle voordelen (vooral geografisch en flexibiliteit) verdwijnen

Een firewall is niet gemaakt om alle kleine VoIP pakketten te scannen

Risico’s




www.com8.eu

SIP trunk gehackt

SIP Trunk

LAN

IP telefoon

centrale

ATA

Analog Fax


IP telefoon

IP telefoon

IP telefoon

Hacker

Hacker

thuiswerker

Mobility




www.com8.eu

Probleem: niet noodzakelijk telefooncentrale gerelateerd

• hacker krijgt toegang tot de gegevens van de SIP trunk en gaat daarbij bellen op kosten van de firma, vaak naar buitenlandse 0900 nummers zodat ze het geld dat ze opbellen zelf kunnen ontvangen

• die gegevens van de SIP trunk zijn opgeslagen in een bestand op een PC/Server waar de hacker toegang kreeg

• Vaak in het weekend zodat men pas na het weekend of bij de volgende factuur merkt dat men veel geld kwijt is

Oplossing:

• Zoals als bij alle gevoelige informatie: zorg dat die informatie beveiligd opgeslagen is zoals alle andere login gegevens

• Meeste SIP trunk providers / operatoren blokkeren de SIP trunk indien er verdachte transacties gebeuren zoals max bedrag dat er kan gebeld worden of bepaalde landen worden standaard geblokkeerd

SIP trunk gehackt




www.com8.eu

Probleem: in plaats van toegang te krijgen tot de SIP trunk data

• hacker probeert om zijn telefoontoestellen te registreren op de telefooncentrale

• Hij scant het internet af op zoek naar plaatsen waar poort 5060 en probeert dan zijn toestellen te laten registreren, hiervoor stuurt hij 1000-den requestsmet random extensie nummers en paswoorden

• Hacker probeert in te loggen op telefoons en laat de telefoon gesprekken opzetten

• Hacker probeert via de UC client een telefoontoestel aan te sturen en zo gesprekken op te zetten

• Eenmaal binnen gaat hij opnieuw bellen op kosten van het bedrijf

Oplossing:

• Gebruik geen standaard paswoorden en laat mensen niet registreren op basis van extensie maar naam

SIP trunk of telefoons gehackt (alternatieve wijze)




www.com8.eu

Centrale gehackt

SIP Trunk

LAN

IP telefoon

centrale

ATA

Analog Fax


IP telefoon

IP telefoon

IP telefoon

Hacker

Hacker

thuiswerker

Mobility




www.com8.eu

Probleem: vele VoIP oplossingen zijn software oplossingen die op een server geïnstalleerd moeten worden, deze servers werken met Windows of Linux als OS en het OS wordt gehackt

• Om optimaal gebruik te maken van een VoIP oplossing moet de oplossing bereikt kunnen worden vanuit het internet en hiervoor moeten er specifieke poorten opengesteld worden (5060) en die poorten zijn dynamisch

• Hackers vermommen zich als VoIP verkeer om toegang te krijgen tot de server, niet zozeer om de telefonie te misbruiken maar om via de server bedrijfsgegevens te verkrijgen of om die server te gebruiken als botnet server bij een DDos aanval

Oplossing:

• Gebruik geen server met bekend OS als onderliggende laag

Server gehackt




www.com8.eu

Afluisteren

SIP Trunk

LAN

IP telefoon

centrale

ATA

Analog Fax


IP telefoon

IP telefoon

IP telefoon

Hacker

Hacker

thuiswerker

Mobility




www.com8.eu

Probleem: een hacker kan (indien hij intern zit) dmv. een spoofing en sniffer technieken alle netwerk verkeer binnen een bedrijf bekijken

• VoIP is netwerk verkeer en kan dus onderschept worden en opgeslagen worden

• Deze gesprekken kunnen daarna gewoon beluisterd worden

Oplossing:

• End-to-end encryptie waarbij de VoIP tussen de toestellen geëncrypteerd wordt

Afluisteren




www.com8.eu

Innovaphone beschermt jouw telefooncentrale op volgende manier:

• Innovaphone maakt geen gebruik van een server:

• Appliance zonder bewegende onderdelen, dus hoge beschikbaarheid

• Geen bekend OS

• Redundantie en geo-redundantie mogelijk

• Data: geen enkel paswoord op de centrale wordt opgeslagen in clear-tekst

• Configuratie:

• de centrale is vanuit het netwerk en/of internet bereikbaar voor configuratie maar dit is vanuit de homepage al onmiddellijk beschermd met een paswoord of er wordt alleen maar vanuit het interne netwerk toegang gegeven. VPN tunneling is ook mogelijk.

• Verschillende niveaus van configuratie mogelijk

• Registraties:

• alle paswoorden zijn geëncrypteerd bij registratie

• IP filter en call filter mogelijkheden

• Inkomende DDos attacks: built-in DDos filter

Innovaphone security




www.com8.eu

Innovaphone beschermt jouw telefooncentrale op volgende manier:

• Standaard Session Border Controller (SIP firewall inbegrepen) in elk innovaphone systeem

• Mogelijkheid om VPN tunnels tussen de systemen te laten opzetten

• Reverse Proxy

• Gesprekken met end-to-end encryptie en SRTP of SIPS naar SIP operator en ARP om spoofing tegen te gaan

• Redundantie mogelijkheden, zowel op 1 plaats of geografisch verschillende plaatsen

Innovaphone security




www.com8.eu

SIP

ProviderPBX

All IP scenario

All IP

Security risico: het IP network van de klant moet open staan naar het internet en de SIP operator!

Firewall




www.com8.eu

SIP

ProviderPBX

innovaphone SBC

innovaphone SBC

IP0011

De oplossing: innovaphone Session Border Controller (SBC)

Om SIP trunks te beveiligen

Volledig geïntegreerd in de innovaphone software

Geen externe SBC nodig kost voordeel en

vereenvoudigde installatie

Firewall

All IP

Security risico: het IP network van de klant moet open staan naar het internet en de SIP operator!




www.com8.eu

PBX

Anywhere Workplace

Anywhere Workplace

Toegang vanuit externe netwerken grotere security risico’s

CallMe

HomeOffice

myPBX

mobile

Firewall




www.com8.eu

PBX

innovaphone Reverse Proxy

CallMe

HomeOffice


IP0011

De oplossing: innovaphone Reverse Proxy

Laat beveiligde toegang toe tot de innovaphone PBX van gelijk waar

Address translation wordt omgekeerd toegepast increased security

Intrusion detection

Aanmaken van blacklists en whitelists

myPBX

mobile

Firewall

Anywhere Workplace

Toegang vanuit externe netwerken grotere security risico’s




www.com8.eu

PBX

DMZ – the full blast solution

DMZ (Demilitarized Zone)

= de SBC kan in de DMZ geplaatst worden

CallMe

myPBX

mobile

Home

Office

IP0011 als

innovaphone SBC


DMZ

SIP

ProviderFirewall

Firewall




www.com8.eu

Innovaphone ontvangt security certificaat




www.com8.eu

• Verander de standaard login en paswoord gegevens en gebruik complexe paswoorden

• Geef individuele gebruikers individuele accounts

• Gebruik meest recente firmware

• Laat geen “unknown” registraties toe

BELANGRIJK !!!!




www.com8.eu

Vragen ????

Innovaphone secure your voice

Technology

Transcript of Innovaphone secure your voice