En el blog de digium se publican 7 pasos recomendados para hacer nuestra centralita más segura si usamos SIP como protocolo.

1) No aceptar peticiones de autenticación SIP desde todas las IPs. Usa “permit=” y “deny=” en sip.conf para permitir sólo un rezonable subconjunto de direcciones ip para tus usuarios en sip.conf. Incluso si aceptas llamadas desde cualquier desde cualquier ip, en [default] no permitas que accedan a elementos autenticados.

2) Pon “alwaysauthreject=yes”en tu archivo sip.conf . Esta opcion ha estado ahí desde Asterisk 1.2, pero por defecto es no, lo que puede permitir robar información de extensiones. Si se pone a yes, se rechazarán peticiones erróneas de autenticación con usuarios correctos en el sistema de igual forma a usuarios no existentes, con lo que se lo pondremos más dificil a los atacantes que usen fuerza bruta.

3) Usa password complicados en entidades SIP. Esto es probablemente lo más importante que puedes hacer. Se recomienda al menos 12 dígitos de password.

4) Bloquea tus puertos de AMI. Usa “permit=” and “deny=”en manager.conf para reducir quien se puede conectar a ellos. Usa password fuertes también aquí, y de al menos 12 caracteres, mezclando símbolos, números y letras.

5) Permite una o dos llamadas como mucho por cada entidad SIP, donde sea posible. En el peor de los casos, limitas la exposición al fraude en llamadas donde te lanzarán decenas de llamadas por segundo.

6) Haz tus usuarios SIP diferentes a las extesiones. Usa la dirección MAC del dispositivo, una combinación corta de una frase más un hash de md5 o algo similar. (ejemplo: desde shell prueba “md5 -s ThePassword5000″)

7) Aseguraté que tu contexto [default] es seguro. No permites llamantes sin autenticar llegar a ese contexto y poder llamar. Permite un número limitado de llamadas en ese contexto usando la función GROUP como contador. Prohibe llamadas sin autenticar , poniendo allowguest=no, si lo necesitas, en la parte [general] de sip.conf

Más información en http://blogs.digium.com/2009/03/28/sip-security/

Technorati tags: asterisk, security, seguridad, 7, steps, practicas, habituales

Comentario:

Nombre:
Email/HTTP:

Introduce los caracteres que ves en la imagen:
Recordar usuario