Un buen administrador o sysadmin, siempre velará por la seguridad de la empresa, y tener un PBX Asterisk segura garantiza que las comunicaciones realizadas por la compañía son confiables, evitando de esta manera fraudes o suplantación de identidad de algún miembro de la junta.
A continuación veremos algunos puntos, que consideramos esenciales en el proceso de aseguramiento de una PBX Asterisk, asi, que manos a la obra…
Seguridad Básica
- Contraseñas seguras: En lo posible no menos de 13 caracteres, en combinación de mayúsculas, minúsculas, símbolos y números, adicional que cambien por lo menos cada 45 Días. Estas contraseñas deben de ser completamente distintas entre base de datos, extensiones, acceso al servidor, logueo, etc.
- Asegurar el Acceso al Server: Solo permitir el acceso desde una estación, o por lo menos la administración sea por SSH desde una sola IP.
- Siempre Actualizar: Piensa en los efectos de no cambiar tus zapatos con cierta regularidad, eso mismo le pasa a los sistemas, se degradan, fallan, se abren agujeros, etc. En lo posible actualizar el sistema una vez al mes.
- Instalar solo lo necesario: Para que tener interfaz gráfica cuando no se va a usar, es más, desde cuando un sysadmin respetado usa interfaz gráfica?
- No permitir si no se va a usar: Si sabemos que los puertos a usar son los de VozIP y SSH, para que permitir otros puertos?.
- Evitar Servicios Innecesarios: Aplicaría lo mismo que para el punto 3, pero a nivel de servicios, enserio es necesario tener Apache, o FTP sabiendo que tenemos SSH?.
- Red servidores independiente a la LAN: Se sabe que mas del 80% de los ataques provienen desde el interior de la empresa. Tener detrás de un Firewall Local en segmentos diferentes a la red operativa mitiga notablemente los riesgos de un ataque interno.
- Sentido Común: Importante, generar una buena política de gestión de las extensiones, asi como capacitación constante al personal de la compañía de los riesgos que pueden verse sometidos.
Seguridad Media
- Firewall Restrictivo o Negación Implícita: No hay mejor seguridad que la autoridad en los sistemas, tener un sistema de restrictivo, como regla, aumenta la carga administrativa pero disminuye notoriamente los agujeros de seguridad.
- Fail2Ban: Una gran herramienta que fusionada con DenyHost se convierten en el mejor aliado de los SysAdmins con los Logs. Visita nuestro articulo de como instalarlos: https://www.sugeek.co/protege-tu-server-de-ataques-externos/
- Logs: Los amigos inseparables de los SysAdmins, recuerda saber interpretar adecuadamente los registros de los sistemas, pueden dar falsos positivos, pero nunca está de más darles una ojeada, algo asi como 1 vez por semana.
- Notificaciones: Que cualquier actividad sospechosa en la red o sistema sea notificado, Fail2Ban tiene esa posibilidad, lo mismo DenyHost, Snort, Suricata, etc.
- ACL’s o Reglas de Acceso: Si son varias las personas que van a usar el servidor o administrarlo, recomendamos realizar una adecuada segmentación de permisos, y usar herramientas como SUDO – https://www.youtube.com/watch?v=FLdxhVU5YVQ
- Cambiar Puertos: Los puertos de telefonía IP (5060, 5061, 10000:30000) están dentro de los más escaneados y atacados por botnets, asi que cambiarlos, nos ahorrara intensos analisis de los registros, asi como posibles ataques de DDoS y no solo el de VoIP, si no también el del SSH.
Seguridad en la Aplicación (Asterisk)
- No permitir registros desde cualquier IP
- Configurar Alwaysauthreject = yes en el sip.conf, de esta manera el sistema bloquea aquellas IP’s que hacen escaneo de extensiones y evita ataques de fuerza bruta.
- Permitir Hasta 2 Llamadas por extensión.
- Usar salas de conferencias con contraseñas.
- Utilizar pinsets para salida de llamadas.
- En lo posible, asociar extensión por IP.
- Crear Contextos independientes por grupo de timbrado, áreas, etc.
- No utilizar el mismo nombre de registro que la extensión.
- Según la extensión, limitar el tiempo de las llamadas.
- Contraseñas para VoiceMail
- Usar TLS y SRTP para cifrado de comunicaciones y registros
- En lo posible, adquirir un SBC (Session Border Controller)
Recuerda, estamos a tu completa disposición para realizar la implementación de tu PBX o en su defecto el aseguramiento de la misma, no dude en contactarnos.