Suministros Tecnolgicos Eirl.

Gerencia de Operaciones y Soporte

Seguridad en Asterisk

Los ataques ms frecuentes buscan servidores SIP, expuestos hacia internet, incluso protegidos mediante NATs o con Firewalls, (Muchas veces, errneamente se hace el NAT del puerto 5060 en TCP, este se expone a los escaneos externos). Son ataques SIP, no son intrusiones, ni se estn aprovechando vulnerabilidades que se puedan reparar con un parche, se esta aprovechando un descuido en la configuracin. Estos atacantes Intentan mediante fuerza bruta, diferentes nmeros de anexos, como los tpicos 100, 101, 1000, 201, etc. y prueban muchos passwords. Es muy frecuente que usemos el mismo pass para todos los anexos y generalmente con muy poca imaginacin, solo numero y combinaciones como 1234, 7777, 0000, etc,. Luego que ubican un anexo que les permita registrarse o enviar llamadas, prueban que tenga salida a todos los recursos, esto mediante software robot que hace varias pruebas, con un 9, con 00, etc, si logran tener salida, VENDEN la ruta a algn terminador internacional y durante ese sbado y domingo (o cualquier da, o madrugada) pueden hacer un trafico enorme de llamadas normalmente a destinos muy costosos como Cuba, celulares de frica y otros destinos. Uno de los casos que han reportado, fueron mas de 20,000 minutos a celulares de frica, Namibia, lo que equivale a mas 60 mil soles de facturacin en solo 2 das. Se recomienda: 1) Si hay que exponer el servidor hacia internet, usar Portsentry para no dejarse escanear. TODOS los ataques comienzan detectando el puerto SIP 5060 abierto en la victima. Con esta solucin no solo se oculta la informacin sino que se bloquea la IP del atacante. 2) Si es necesario hacer un NAT desde un router SOLO hacerlo en UDP no en TCP y SOLO los puertos necesarios, NO todo el servidor.

3) Verificar si en el SIP.CONF el [general] apunta a que contexto, normalmente Default, en ese contexto no debemos permitir llamadas annimas!!! y si lo hacemos debe llegar a un IVR o solo hasta una extensin o a un contexto controlado, pero no a los dems recursos. Usemos los contextos que para eso han sido creados! Ejemplo

[default] exten=> s,1,Congestion

4) NO deben existir cuentas que pueden salir a TODOS los recursos como celulares, llamadas internacionales etc.., no importa que sea la cuenta del fax o la del Gerente General, al exponer hacia internet el server se exponen TODOS los anexos. 5) Si es necesario tener esos accesos plenipotenciarios DEBEN usar claves de salida, o prefijos o no permitir recursos simples como 00 para internacionales o 0 para nacionales. Es muy probable que esta medida no sea muy popular entre los jefes y gerentes, pero nos puede ahorrar sorpresas en las facturas. 6) Mejorar los passwords de los anexos, no usar el 0000 o el 1234 deben ser ms fuertes y si es posible variar incluso letras, nmeros y caracteres especiales. 7) NAT=NO en los anexos que no sern usados desde el exterior, faxes, gerentes, etc. 8) Si se requiere un usuario viajero o movil recomiendo el uso de Zoiper, un softphone IAX, se puede usar un puerto diferente al estandar, es mucho ms seguro, la clave o password de usuario viaja encriptada en MD5, ademas, los ataques estn orientados hacia SIP y no hacia el protocolo IAX, y por muchas razones mas IAX es la alternativa ideal. 9) En caso de ser necesaria la interconexin SIP o H323 con otros equipos va internet, se recomienda el uso de VPNs, si no se han considerado los puntos anteriores y/o especificar la IP publica del otro extremo, no permitir que se utilice ips variables para estos casos. 10) OpenVPN, es free, cuenta con un cliente para windows y roadwarriors (viajeros, que se mueven entre hoteles, locutorios o internets domsticos) se puede implementar en el mismo servidor Asterisk para recibir conexiones seguras de anexos remotos.

La marca SNOM, cuenta en sus nuevos modelos 370, 820 y 870 con clientes OpenVPN en el mismo telfono. 11) Fail2Ban es una herramienta que escucha los intentos por registrar una cuenta SIP y registra que al ocurrir 10 errores de password se bloquee la IP que intenta registrarse. Es la herramienta mas segura hasta el momento para evitar estos ataques. 12) No aceptar pedidos de autenticacin SIP desde cualquier direccin IP. Utilizar las lneas permit= y deny= de sip.conf para slo permitir un subconjunto razonable de direcciones IP alcanzar cada usuario/extensin listado en el archivo sip.conf. An aceptando llamadas entrantes desde anywhere (via [default]) no se debe permitir a esos usuarios alcanzar elementos autenticados. 13) Establecer el valor de la entrada alwaysauthreject=yes en el archivo sip.conf. Esta opcin est disponible desde la versin 1.2 de Asterisk, pero su por defecto su valor es "no", lo que puede ser potencialmente inseguro. Estableciendo este valor en "yes" se rechazarn los pedidos de autenticacin fallidos utilizando nombres de extensiones vlidas con la misma informacin de un rechazo de usuario inexistente. De esta forma no facilitamos la tarea al atacante para detectar nombres de extensiones existentes utilizando tcnicas de "fuerza bruta".

Estas son algunas de las medidas que se pueden manejar para contener el gran incremento de ataques que se vienen produciendo hacia el protocolo SIP. Es gracias a la flexibilidad de Asterisk que se pueden tomar medidas simples como estas, en otras plataformas es el fabricante que tiene que activar algunas normas de seguridad. En VoIP los Firewalls no resuelven nada porque igual hay que abrir los puertos que se requieren para que pase la voz y por esa misma va es que ocurre el ataque. Atentamente

Miguel Rab Gerente de Operaciones y Soporte (SUMTEC)