Seguridad Asterisk (2)
Continuando con nuestra serie de articulos de seguridad sobre Asterisk, vamos a intentar centrar nos en los ficheros de asterisk propiamente dichos.
1- en el sip.conf, hay varias cosas que podemos tratar, la primera esta en la directiva [general], y no es mas que el paramterto listen, que en el caso de que nuestra centralita este en una red local cambiar lo del valor listen=0.0.0.0 a listen=192.168.0.1, asi solo se registraran telefonos que hacen una peticion de registro a esta IP en concreto, el segundo paramtero es allowguest=no, para no permitir aceptar llamadas aunque sean al contexto por defecto, ya que muchas veces, ya sea por error o imprudencia podemos añadir alguna extension que permite emitir llamadas, el tercero en esta directiva es el paramtero domain, en el caso que nuestro asterisk tenga una IP publica, conviene asignar le un subdominio tipo sip.miteltefonovirtual.com, y darle el valor domain=sip.mitelefonovirtual.com y autodomain=no para que no nos cree un dominio con la IP del equipo, con esto conseguimos que si el registro es a nuestra IP en el formato usuario:clave@88.88.88.88 es ignorada por nuestro Asterisk, mientras que si esta con el dominio usuario:clave@sip.mitelefonovirtual.com, de esta forma no nos molestan las personas que van snifando IPs y intentando hacer ataques.
2- a la hora de crear usuarios, usar username algo diferente, ya que la moyoria de los ataques, intentan registros con username tipo 100 y luego van probando claves, luego habra que poner una clave algo complicada no la tipica 123456, que yo tb pongo a veces en prueba, y se te puede olvidar luego y lo pones en produccion, asi que debemos poner algo tipo 1e43s3, que si alguien quiere probar claves de diccionario o tipicas le cueste mucho dar con la nuestra, finalmente si sabemos la IP o la red desde donde se registrara nuestra extension usar ACLs de asterisk con un deny=0.0.0.0/0.0.0.0 que deniega todo, y luego permitimos el registro de las IPs de nuestras oficinas, redes locales, VPN etc.., y asi sabemos donde nos puede llegar, mediante el parametro permit=192.168.1.1/255.255.255.0.
Tambien para añadir algo mas de seguridad podemos añadir la directiva “alwaysauthreject=yes“ en el seccion [general], con esto conseguimos que culaquier intento de registro a nuestro asterisk que tenga un error en sus credenciales por ejemplo el password reciba un mensaje de usuario no existente “SIP code 404″ , De esta forma no facilitamos la tarea al atacante para detectar nombres de extensiones existentes utilizando técnicas de “fuerza bruta”.
NOTA: esto no es siempre posible, asi que al menos a las extensiones que no sabemos desde donde se pueden registrar, intentar limitar el daño que nos pueden causar en caso de ataque para ello saber a donde deben tener permiso para llamar y ponerles el contexto adecuado para sus pemrisos, y luego limitarles el numero de canales o llamadas simultaneas, pero que en el pero de los casos solo puedan realizar una llamada a la vez mediante la opcion call-limit=1 en su usuario.
3- Desde extensiones.conf, evitar las extensiones genericas, tipo exten => _XXX.,1,Dial(DAhdi/g1/${EXTEN},90), ya que esto permite llamar a cualquier destino, incluyendo 906, 80x que tienen un coste superior al 1€ por minuto, es decir si tenemos un acceso primario E1 con 30 canales, y algun listo se hace con una extension en nuestra central, estaremos perdiendo 30€ al menos por minuto, asi que saquen las calculadoras y tiemblen, lo ideal serian extensiones , del tipo _9ZXXXXXXX,1,Dial(DAhdi/g0/${EXTEN},90) que solo permite llamar a numeros que comiencen con 9 y que el segundo numero no es un cero.
Tambien habria que asignar un contexto a cada extension en funcion de las llamadas que debe realizar, es decir si los de contabilidad solo van a llamar a fijos, pues que tengan un contexto que solo de acceso a estas llamadas.
Did you enjoy this post? Why not leave a comment below and continue the conversation, or subscribe to my feed and get articles like this delivered automatically to your feed reader.
Comments
Aún no hay comentarios.
Deja un comentario