Si tenemos Asterisk instalado siempre es bueno preocuparse de la seguridad. En el siguiente artículo se entregan algunas medidas que ayudaran a prevenir atacaques y ser victimas de un jackeo -no uso la palabra hacker si no me refiero a crackeo- en un sistema con Asterisk.
Configuración sip.conf
En archivo extensions.conf es importante fijarse que los siguientes parámetros estén seteados según los valores expresados
- alwaysauthreject = yes
- allowguest = no
Configuración extensions.conf
Que los contextos como default y los que vienen como ejemplo no sean accesibles por las extensiones de los usuarios.
Contraseñas
Las contraseñas deben ser robustas, ojalá con más de 20 caractéres donde se incluyan signos y numeros. Una contraseña para una extensión SIP por ejemplo, es algo que se setea y se configura generalmente una vez, por lo tanto, no debería algo que ser fácil de recordar o deducir.
Autorización
Si se conoce desde donde se van a conectar las extensiones IP usar permit y deny
En caso de tener un proveedor IP como de llamadas salientes u otra conexión a otra sede, autorizar mediante iptables o firewall solo el trafico SIP y RTP a esas IPs para que puedan acceder a al sistema. Los puertos donde comunica RTP Asterisk se definen en el archivo /etc/asterisk/rtp.conf
Revisar y asegurar los usuarios del manager, también usando deny/allow y los permisos que se asignan a cada uno de ellos.
Nunca está de mas usar una medida preventiva como Fail2Ban. Hace un tiempo atrás escribí un artículo llamado Proteger Asterisk y mitigar ataques con Fail2ban que puede ser útil en caso que requieras implementar.
En caso de extensiones remotas usar conectividad por medio de VPN.
Llamadas
Agregar limite para el número de llamadas por extensión mediante la configuración call-limit
En caso de llamadas a destinos no comunes -lease, local, celular, provincias- utilizar pin de salida.
Sanitizar las expresiones que se usan en el Dial mediante la función FILTER
Otras
Mantener actualizado el sistema y tener la última versión estable de la rama que tienes instalado. Revisar las actualizaciones de seguridad para Asterisk y seguir el suceso de cambios.
Si usas SSH para conectarte al sistema, deshabilitar el acceso a root y establecer que las conexiones se establezcan por ssh_keys
Con estas medidas de seguridad para Asterisk es posible prevenir fraudes y ataques a la PBX.