Seguridad en Asterisk
Los ataques ms frecuentes buscan servidores SIP, expuestos hacia internet, incluso protegidos mediante NATs o con Firewalls, (Muchas veces, errneamente se hace el NAT del puerto 5060 en TCP, este se expone a los escaneos externos). Son ataques SIP, no son intrusiones, ni se estn aprovechando vulnerabilidades que se puedan reparar con un parche, se esta aprovechando un descuido en la configuracin. Estos atacantes Intentan mediante fuerza bruta, diferentes nmeros de anexos, como los tpicos 100, 101, 1000, 201, etc. y prueban muchos passwords. Es muy frecuente que usemos el mismo pass para todos los anexos y generalmente con muy poca imaginacin, solo numero y combinaciones como 1234, 7777, 0000, etc,. Luego que ubican un anexo que les permita registrarse o enviar llamadas, prueban que tenga salida a todos los recursos, esto mediante software robot que hace varias pruebas, con un 9, con 00, etc, si logran tener salida, VENDEN la ruta a algn terminador internacional y durante ese sbado y domingo (o cualquier da, o madrugada) pueden hacer un trafico enorme de llamadas normalmente a destinos muy costosos como Cuba, celulares de frica y otros destinos. Uno de los casos que han reportado, fueron mas de 20,000 minutos a celulares de frica, Namibia, lo que equivale a mas 60 mil soles de facturacin en solo 2 das. Se recomienda: 1) Si hay que exponer el servidor hacia internet, usar Portsentry para no dejarse escanear. TODOS los ataques comienzan detectando el puerto SIP 5060 abierto en la victima. Con esta solucin no solo se oculta la informacin sino que se bloquea la IP del atacante. 2) Si es necesario hacer un NAT desde un router SOLO hacerlo en UDP no en TCP y SOLO los puertos necesarios, NO todo el servidor.
3) Verificar si en el SIP.CONF el [general] apunta a que contexto, normalmente Default, en ese contexto no debemos permitir llamadas annimas!!! y si lo hacemos debe llegar a un IVR o solo hasta una extensin o a un contexto controlado, pero no a los dems recursos. Usemos los contextos que para eso han sido creados! Ejemplo
La marca SNOM, cuenta en sus nuevos modelos 370, 820 y 870 con clientes OpenVPN en el mismo telfono. 11) Fail2Ban es una herramienta que escucha los intentos por registrar una cuenta SIP y registra que al ocurrir 10 errores de password se bloquee la IP que intenta registrarse. Es la herramienta mas segura hasta el momento para evitar estos ataques. 12) No aceptar pedidos de autenticacin SIP desde cualquier direccin IP. Utilizar las lneas permit= y deny= de sip.conf para slo permitir un subconjunto razonable de direcciones IP alcanzar cada usuario/extensin listado en el archivo sip.conf. An aceptando llamadas entrantes desde anywhere (via [default]) no se debe permitir a esos usuarios alcanzar elementos autenticados. 13) Establecer el valor de la entrada alwaysauthreject=yes en el archivo sip.conf. Esta opcin est disponible desde la versin 1.2 de Asterisk, pero su por defecto su valor es "no", lo que puede ser potencialmente inseguro. Estableciendo este valor en "yes" se rechazarn los pedidos de autenticacin fallidos utilizando nombres de extensiones vlidas con la misma informacin de un rechazo de usuario inexistente. De esta forma no facilitamos la tarea al atacante para detectar nombres de extensiones existentes utilizando tcnicas de "fuerza bruta".
Estas son algunas de las medidas que se pueden manejar para contener el gran incremento de ataques que se vienen produciendo hacia el protocolo SIP. Es gracias a la flexibilidad de Asterisk que se pueden tomar medidas simples como estas, en otras plataformas es el fabricante que tiene que activar algunas normas de seguridad. En VoIP los Firewalls no resuelven nada porque igual hay que abrir los puertos que se requieren para que pase la voz y por esa misma va es que ocurre el ataque. Atentamente