Tips para asegurar tu PBX Asterisk

Un buen administrador o sysadmin, siempre velará por la seguridad de la empresa, y tener un PBX Asterisk segura garantiza que las comunicaciones realizadas por la compañía son confiables, evitando de esta manera fraudes o suplantación de identidad de algún miembro de la junta.

A continuación veremos algunos puntos, que consideramos esenciales en el proceso de aseguramiento de una PBX Asterisk, asi, que manos a la obra…

Seguridad Básica

  1. Contraseñas seguras: En lo posible no menos de 13 caracteres, en combinación de mayúsculas, minúsculas, símbolos y números, adicional que cambien por lo menos cada 45 Días. Estas contraseñas deben de ser completamente distintas entre base de datos, extensiones, acceso al servidor, logueo, etc.
  2. Asegurar el Acceso al Server: Solo permitir el acceso desde una estación, o por lo menos la administración sea por SSH desde una sola IP.
  3. Siempre Actualizar: Piensa en los efectos de no cambiar tus zapatos con cierta regularidad, eso mismo le pasa a los sistemas, se degradan, fallan, se abren agujeros, etc. En lo posible actualizar el sistema una vez al mes.
  4. Instalar solo lo necesario: Para que tener interfaz gráfica cuando no se va a usar, es más, desde cuando un sysadmin respetado usa interfaz gráfica?
  5. No permitir si no se va a usar: Si sabemos que los puertos a usar son los de VozIP y SSH, para que permitir otros puertos?.
  6. Evitar Servicios Innecesarios: Aplicaría lo mismo que para el punto 3, pero a nivel de servicios, enserio es necesario tener Apache, o FTP sabiendo que tenemos SSH?.
  7. Red servidores independiente a la LAN: Se sabe que mas del 80% de los ataques provienen desde el interior de la empresa. Tener detrás de un Firewall Local en segmentos diferentes a la red operativa mitiga notablemente los riesgos de un ataque interno.
  8. Sentido Común: Importante, generar una buena política de gestión de las extensiones, asi como capacitación constante al personal de la compañía de los riesgos que pueden verse sometidos.

Seguridad Media

  1. Firewall Restrictivo o Negación Implícita: No hay mejor seguridad que la autoridad en los sistemas, tener un sistema de restrictivo, como regla, aumenta la carga administrativa pero disminuye notoriamente los agujeros de seguridad.
  2. Fail2Ban: Una gran herramienta que fusionada con DenyHost se convierten en el mejor aliado de los SysAdmins con los Logs. Visita nuestro articulo de como instalarlos: https://www.sugeek.co/protege-tu-server-de-ataques-externos/
  3. Logs: Los amigos inseparables de los SysAdmins, recuerda saber interpretar adecuadamente los registros de los sistemas, pueden dar falsos positivos, pero nunca está de más darles una ojeada, algo asi como 1 vez por semana.
  4. Notificaciones: Que cualquier actividad sospechosa en la red o sistema sea notificado, Fail2Ban tiene esa posibilidad, lo mismo DenyHost, Snort, Suricata, etc.
  5. ACL’s o Reglas de Acceso: Si son varias las personas que van a usar el servidor o administrarlo, recomendamos realizar una adecuada segmentación de permisos, y usar herramientas como SUDO – https://www.youtube.com/watch?v=FLdxhVU5YVQ
  6. Cambiar Puertos: Los puertos de telefonía IP (5060, 5061, 10000:30000) están dentro de los más escaneados y atacados por botnets, asi que cambiarlos, nos ahorrara intensos analisis de los registros, asi como posibles ataques de DDoS y no solo el de VoIP, si no también el del SSH.

Seguridad en la Aplicación (Asterisk)

  1. No permitir registros desde cualquier IP
  2. Configurar Alwaysauthreject = yes en el sip.conf, de esta manera el sistema bloquea aquellas IP’s que hacen escaneo de extensiones y evita ataques de fuerza bruta.
  3. Permitir Hasta 2 Llamadas por extensión.
  4. Usar salas de conferencias con contraseñas.
  5. Utilizar pinsets para salida de llamadas.
  6. En lo posible, asociar extensión por IP.
  7. Crear Contextos independientes por grupo de timbrado, áreas, etc.
  8. No utilizar el mismo nombre de registro que la extensión.
  9. Según la extensión, limitar el tiempo de las llamadas.
  10. Contraseñas para VoiceMail
  11. Usar TLS y SRTP para cifrado de comunicaciones y registros
  12. En lo posible, adquirir un SBC (Session Border Controller)

 

Recuerda, estamos a tu completa disposición para realizar la implementación de tu PBX o en su defecto el aseguramiento de la misma, no dude en contactarnos.