Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

Proteccion Asterisk

Anuncio 
Recomendaciones de protección de un Asterisk.
Estimado usuario
Hemos detectado un incremento en los ataques de “Hackers” a los sistemas Asterisk de
nuestros clientes, los que están generando importantes perdidas a los usuario, debido a
que el “hacker” ocupa el saldo de la cuenta, copa el límite de crédito y la deja en cero o
con un saldo negativo importante.
Para su conocimiento, los ataques más frecuentes, consisten en que un “Hacker” desde
Internet toma control y utiliza el Asterisk para generar llamadas a varios destinos,
generalmente caros. Este tipo de fraude, lo realiza registrando desde internet un anexo
remoto, habilitado para hacer llamadas, en un Asterisk.
En todos los casos, la administración de la seguridad de los equipos Asterisk, recae en
cada cliente. Redvoiss no puede distinguir entre las llamadas legítimas o ilegítimas que se
realicen desde las centrales Asterisk, por lo que todas las llamadas serán cursadas y
cobradas sin opción de rembolso.
Para evitar que se sigan produciendo estos ataques, les entregamos una serie de
recomendaciones las que apuntan a limitar la capacidad de llamadas a destinos no
autorizados y reducir el acceso a un equipo Asterisk, minimizando el riesgo de ser
defraudado.
Limitar el acceso al Asterisk
Se debe evitar que un “Hacker” tome control de su equipo o registre anexos en su
Asterisk, desde direcciones IP desconocidas o redes no autorizadas.
Para limitar el acceso, el administrador del servidor en que corre Asterisk debe agregar
listas de acceso a nivel de la interfaz ethernet de su servidor Linux.
IMPORTANTE: La siguiente información es sólo referencial. Puede que la expresión literal
de estos comandos no aplique a su sistema.
Badajoz 130, piso 16, Las Condes · Santiago
· (56 2) 240 8500
600 362 4444
www.redvoiss.com
Consulte con el administrador de su servidor o el manual de comando iptables para
confirmar sus opciones.
Primero debe bloquear la administración de su Asterisk para que no pueda ser controlado
por un “Hacker” externo (suponiendo que la interfaz conectada a Internet es la eth0). Para
esto debe permitir que el Asterisk sea administrado vía web sólo desde una dirección IP
específica, representada acá por:
xxx.xxx.xxxx.xxx e yyy.yyy.yyy.yyy
Para la administración web:
# Accept HTTP connections from:
iptables -A INPUT -i eth0 -s xxx.xxx.xxx.xxx -p tcp --dport http --jump ACCEPT
iptables -A INPUT -i eth0 -s yyy.yyy.yyy.yyy -p tcp --dport http --jump ACCEPT iptables -A
INPUT -i eth0 -p tcp --dport http -j LOG --log-prefix "{fw drop input} " iptables -A INPUT -i
eth0 -p tcp --dport http -j DROP
Las siguientes líneas permiten acceder al servidor sólo con protocolo SSH desde la IP
representada como zzz.zzz.zzz.zzz
Todo intento de acceder por Telnet, Ftp es bloqueado.
# Accept SSH connections from:
iptables -A INPUT -i eth0 -s zzz.zzzz.zzz.zzz -p tcp --dport ssh --jump ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport telnet -j LOG --log-prefix "{fw drop input} " iptables A INPUT -i eth0 -p tcp --dport telnet -j DROP
IMPORTANTE: la siguiente regla bloquea el acceso global (desde cualquier interfaz) a
TODOS los puertos privilegiados TCP y UDP.
Anterior a ella debe estar permitido el acceso a todos los servicios necesarios del servidor
(por ejemplo SSH, HTTP, FTP, etc.…)
# If it's not one of the above allowed cases, block connection
# attempts to privileged TCP and UDP ports.
Badajoz 130, piso 16, Las Condes · Santiago
· (56 2) 240 8500
600 362 4444
www.redvoiss.com
#
# Silently drop unwanted packets to waste the attacker's time.
iptables -A INPUT -p tcp --dport 1:1023 -j LOG --log-prefix "{fw drop input} "
iptables -A INPUT -p tcp --dport 1:1023 --jump DROP
iptables -A INPUT -p udp --dport 1:1023 -j LOG --log-prefix "{fw drop input} " iptables -A
INPUT -p udp --dport 1:1023 --jump DROP
La información siguiente sólo permite a su Asterisk hacer señalización SIP hacia y desde
el proxy SIPde Redvoiss. Además, se asume que la puerta eth0 del servidor apunta a
Internet.
# Accept SIP request messages (5060 UDP) from known hosts only
iptables -A INPUT -i eth0 -s 64.76.154.112 -p udp --dport 5060 --jump ACCEPT
iptables -A INPUT -i eth0 -p udp --dport 5060 -j LOG --log-prefix "{fw drop input
ETH0(5060)} "
iptables -A INPUT -i eth0 -p udp --dport 5060 -j DROP
Si sus anexos se conectan sólo desde su red interna se recomienda poner una regla
similar para permitir acceso SIP sólo desde la subred de la intranet.
Para permitir a sus anexos entrar desde la puerta eth1 sólo desde IPs de su intranet,
representadas acá como xx.xx.xx.xx/24
# Accept SIP request messages (5060 UDP) from known hosts only
iptables -A INPUT -i eth1 -s xx.xx.xx.xx/24 -p udp --dport 5060 --jump ACCEPT
iptables -A INPUT -i eth1 -p udp --dport 5060 -j LOG --log-prefix "{fw drop input
ETH1(5060)} "
iptables -A INPUT -i eth1 -p udp --dport 5060 -j DROP
No olvide que si usted permite anexos remotos que provengan desde internet, quedará
más expuesto a ataques externos.
Si ese es su caso, asegúrese que la password SIP de registro de sus anexos sea muy
segura.
Badajoz 130, piso 16, Las Condes · Santiago
· (56 2) 240 8500
600 362 4444
www.redvoiss.com
Documentos relacionados
Recomendaciones de protección de un Asterisk. Limitar el acceso al
Recomendaciones de protección de un Asterisk. Limitar el acceso al
PANEL PLANO BANDA I
PANEL PLANO BANDA I
Configurar un firewall con iptables sin romperse la cabeza
Configurar un firewall con iptables sin romperse la cabeza
Firewall con iptables. - Angel Alonso Párrizas
Firewall con iptables. - Angel Alonso Párrizas
Práctica 10
Práctica 10
Descargar
Anuncio
Anuncio