Medidas de seguridad y prevención para Asterisk

Si tenemos Asterisk instalado siempre es bueno preocuparse de la seguridad. En el siguiente artículo  se entregan algunas medidas que ayudaran a prevenir atacaques y ser victimas de un jackeo -no uso la palabra hacker si no me refiero a crackeo- en un sistema con Asterisk.

Configuración sip.conf

En archivo extensions.conf es importante fijarse que los siguientes parámetros estén seteados según los valores expresados

  • alwaysauthreject = yes
  • allowguest = no 

Configuración extensions.conf

Que los contextos como default y los que vienen como ejemplo no sean accesibles por las extensiones de los usuarios.

Contraseñas

Las contraseñas deben ser robustas, ojalá con más de 20 caractéres donde se  incluyan signos y numeros. Una contraseña para una extensión SIP por ejemplo, es algo que se setea y se configura generalmente una vez, por lo tanto, no debería algo que ser fácil de recordar o deducir.

 

Autorización

Si se conoce desde donde se van  a conectar las extensiones IP usar permit y deny

En caso de tener un proveedor IP como de llamadas salientes u otra conexión a otra sede, autorizar  mediante  iptables o firewall solo el trafico SIP y RTP  a esas IPs para que  puedan acceder a al sistema.  Los puertos donde comunica RTP Asterisk se definen en el archivo /etc/asterisk/rtp.conf

Revisar y asegurar los usuarios del manager, también usando deny/allow y los permisos que se asignan a cada uno de ellos.

Nunca está de mas usar una medida preventiva como Fail2Ban. Hace un tiempo atrás escribí un artículo llamado  Proteger Asterisk y mitigar ataques con Fail2ban que puede ser útil en caso que requieras implementar.

En caso de extensiones remotas usar conectividad por medio de VPN.

Llamadas

Agregar limite para el número de llamadas por extensión mediante la configuración call-limit

En caso de llamadas a destinos no comunes  -lease, local, celular, provincias- utilizar pin de salida.

Sanitizar las expresiones que se usan en el Dial mediante la función FILTER

 

Otras

Mantener actualizado el sistema y tener la última versión estable de la rama que tienes instalado. Revisar las actualizaciones de seguridad para Asterisk y seguir el suceso de cambios.

Si usas SSH para conectarte al sistema, deshabilitar el acceso a root y establecer que las conexiones se establezcan por ssh_keys

Con estas medidas de seguridad para Asterisk es posible prevenir fraudes y ataques a la PBX.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *