Un Asterisk mal configurado puede dar más de un dolor de cabeza a su instalador o administrador, porque puede permitir INVITES externos y ser rutados a PSTN, con el consiguiente gasto.
1.- Poner allowguest=no, por defecto si no está aplicada esta opción, se considera a yes, y aceptarás INVITEs que si tu contexto por defecto permite llamadas salientes, te dará dolores de cabeza si alguien lo descubre.
2.- allowexternalinvites=no ó allowexternaldomains=no, para no permitir INVITES a dominios SIP que no tienes.
3.- domain=direccion_ip o autodomain=yes
4.- Poner alwaysauthreject=yes . Con esto despistarás a los que prueban usuarios en tu sistema, para luego buscar la password.
5.- Usar contexto sin salida a PSTN para extensiones externas. Esto es una cura de salud, porque si consiguen hackear el password o que tu Asterisk acepte los INVITES, simplemente podrán molestarte llamando a tus extensiones locales
6.- Usar passwords fuertes, eso de poner el nombre de la empresa como password no siempre es buena idea. Puedes generarlas con http://strongpasswordgenerator.com/ o algo similar.
7.- Quitar los canales que no usas. Si no vas a usar IAX, no tienes porque tenerlo activo.
8.- No poner tu Asterisk en DMZ, siempre es mejor mapear los puertos que vas a usar de SIP y RTP.
9.- Usa un puerto alto para SSH, con eso quitarás moscas molestándote continuamente. El puerto 22 es el más codiciado de los script kiddies.
10.- Usar un puerto distinto al 5060 para SIP. Es un poco molesto porque tendrás que añadir :puerto a todos tus teléfonos y dispositivos SIP, pero te quitará de encima a esos escaneadores de puerto SIP que están continuamente pululando en Internet.
11.- Usar call-limit=2 para extensiones externas y/o locales donde puedas usarlo. De esta forma sólo podrán cursarte pocas llamadas... Poner un call-limit=100 en un trunk SIP quizá no sea buena idea.
12.- Si el contexto por defecto de asterisk en el sip.conf permite llamadas salientes, quítalo. Reestructura tu dialplan para que sólo permita acceder a extensiones locales y/o IVR. Cuidado con los domain=direccio_ip,outgoing....
13.- Usa fail2ban para banear ips. En voip-info puedes encontrar un script bastante interesante
14.- Banear ips de países que no te interesan. Si al final vas a tener extensiones remotas en ISPs de España u otro país, ¿ porque tener expuesto tu Asterisk al resto del mundo?.
15.- Evitar usar nombres de dominio como sip.midominio.es, o voip.midominio.es.. es lo primero que van a buscar para atacarte..
16.- Usar ACLs en tus extensiones. La olvidada deny=0.0.0.0/0.0.0.0 y permit=192.168.1.0/255.255.255.0 puede evitarte bastantes disgustos.
si quieres ver el articulo original, puedes encontrarlo en :
http://www.voipnovatos.es/item/2009/08/cmo-proteger-tu-asterisk-frente-a-ataques
No hay comentarios:
Publicar un comentario