Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Hay unas reglas de oro que se necesita seguir en la configuracin de Asterisk. Estas reglas permiten
mejorar la seguridad de la PBX y evitar ataques exitosos:
Ademas de estas 8 reglas, es posible instalar en el servidor Asterisk Fail2Ban, un programa que lee los
registros de Asterisk, en este caso /var/log/asterisk/security y si hay un numero determinado de intentos
de conexin sin xito, bloquea la IP de donde se han originados, interactuando con IPtables
(cortafuego).
Se descarga el programa:
cd /usr/src
wget https://github.com/fail2ban/fail2ban/archive/0.9.4.tar.gz
se descomprime:
cd fail2ban-0.9.4
y se instala:
cp /usr/src/fail2ban-0.9.4/files/redhat-initd /etc/init.d/fail2ban
chkconfig fail2ban on
nano /etc/fail2ban/filter.d/asterisk.conf
Se aade:
^%(__prefix_line)s%(log_prefix)s Request from '[^']*' failed for '<HOST>(?::\d+)?' \(callid: \w*\) -
No matching endpoint found$
De esta forma se bloquearn tambin los intentos de registro hacia PJSIP. Se guardan los cambios y se
termina modificando el archivo de configuracin general de fail2ban:
cd /etc/fail2ban
nano jail.conf
[asterisk-iptables]
enabled = true
filter = asterisk
action = iptables-allports[name=ASTERISK, protocol=all]
sendmail-whois[name=ASTERISK, dest=root@localhost, sender=fail2ban@sipXX.voztovoice.org]
logpath = /var/log/asterisk/security
maxretry = 5
bantime = 60
En la lnea logpath aparece el archivo de registros que fail2ban leer para averiguar intentos frustrados
de conexin a Asterisk. En la configuracin hay que modificar la direccin de correo electrnico.
En lugar de root@localhost se pone la direccin de correo electrnico donde se quiere recibir las
notificaciones. En sender, en lugar de fail2ban@sipXX.voztovoice.org se pone
fail2ban@nombrededominio del servidor donde est instalado Asterisk. Para enviar los correos,
fail2ban est configurado con Sendmail. Con esta configuracin cuando se verifiquen 5 ataques del
mismo tipo procedentes de la misma IP, Fail2ban bloquear el IP insertando una nueva regla en la
configuracin de Iptables y la mantendr bloqueada por 60 segundos. Este valor es para que puedan
realizar pruebas. En produccin utilizar un valor ms alto (3600 una hora, por ejemplo).
Para que funcione hay que modificar el archivo de configuracin de los registros de Asterisk:
nano /etc/asterisk/logger.conf
Se inicia fail2ban:
service fail2ban start
Starting fail2ban (via systemctl): [ OK ]
tail -f /var/log/fail2ban.log
Si se quiere realizar una prueba se configura en X-Lite una extensin que no existe en el sistema o para
la extensin PJSIP 1000 se pone una contrasea equivocada y se intenta el registro a Asterisk. La IP de
donde se est intentando registrarse ser bloqueada. Accediendo a la consola del servidor remoto desde
otra direccin IP con el comando:
iptables -L
se ver la IP bloqueada:
Si por error se bloquea la IP de un computador, la nica forma de quitar el bloqueo es parar y reiniciar
IPtables o reiniciar el servidor Linux.