Sistemas de telefonía empresarial

7 pasos para una mayor seguridad con Asterisk 

Miguel 17/12/2022
Clock icon 4 min

Si estás utilizando Asterisk con un troncal SIP o vas a comenzar a emplearlo para tus comunicaciones tienes que tener en cuenta que la seguridad es fundamental para evitar correr cualquier tipo de riesgo. Y tampoco es que haya que hacer mil maniobras súper complicadas que solo un técnico pueda hacer. Basta con llevar a cabo estos 7 sencillos pasos para asegurar tu Asterisk.

asterisk

Por qué en Enreach queremos que aumentes tu seguridad en Asterisk

En los últimos meses, nuevas herramientas han facilitado los ataques y fraudes en los puertos SIP basados en sistemas Asterisk. Hay sencillas herramientas que escanean redes buscando servidores SIP, luego escanean los servidores buscando las extensiones y finalmente, escanean las extensiones buscando las contraseñas.

Por suerte, estos ataques se pueden frenar fácilmente si tenemos nuestro Asterisk asegurado como debería ser. La mayoría de las veces en que un ataque llega a su destino es porque:

  • Hay algún puerto abierto
  • La contraseña no es segura

Simplemente asegúrate de seguir los 7 pasos que describimos a continuación y te ahorrarás disgustos. Y tranquilo, en Enreach disponemos de más niveles de seguridad para que en el caso de tu Asterisk se viera comprometido el daño sea limitado.

Siete sencillos pasos para mejorar la seguridad en Asterisk

No abrir puertos 5060

El puerto 5060 tiene que estar bloqueado por el firewall para que no puedan acceder a tu Asterisk desde fuera. Nunca hay que abrir el puerto 5060 ya que eso supondría una invitación a los atacantes.

Por defecto el puerto 5060 permite las comunicaciones originadas desde dentro de la red local y crean un canal de comunicación para poderse registrar con Enreach a través del SIP trunk. Si abres el puerto 5060 cualquiera pueda llegar a intentar manipular tu centralita Asterisk.

1) No aceptes solicitudes de identificación desde todas las direcciones IP

Utiliza las líneas “permit=” y “deny=” en sip.conf para permitir solamente un grupo razonable de direcciones IP para llegar a cada usuario/extensión listado en tu archivo sip.conf. ¡Si aceptas llamadas entrantes de «anywhere», no dejes que estos usuarios lleguen a tus parámetros de identificación!

2) Pon “alwaysauthreject = yes” en tu archivo sip.conf

Esta opción ha estado rondando desde hace un tiempo pero, por defecto, está configurada en “no”, lo que hace que se pierda la información de la extensión. Cambiando a “yes” rechazará las solicitudes con identificación falsa en los nombres de usuario válidos con el mismo mensaje de rechazo que se muestra en los nombres de usuario no válidos. De esta forma y suponiendo ataques, los atacantes no podrán detectar las extensiones existentes mediante fuerza bruta.

3) Utiliza contraseñas FUERTES para entidades SIP

Este es probablemente el paso más importante que tienes que seguir. No te limites solo a poner dos palabras juntas. Acompáñalas de números. Si conoces lo sofisticadas que son las herramientas que adivinan contraseñas, entenderás que  en algo tan trivial como eso puede estar la diferencia entre tener tus datos protegidos o no. Puedes utilizar, además de números, símbolos, mezclar letras mayúsculas y minúsculas… La contraseña ha de tener una longitud mínima de 12 dígitos.

4) Bloquea tus puertos AMI (interfaz de Asterisk)

Utiliza las líneas “permit=” y “deny=” en manager.conf para limitar las conexiones entrantes sólo a servidores que conozcas. Utiliza aquí contraseñas complejas, de nuevo de al menos 12 caracteres que contengan símbolos, números y letras.

5) Permitir sólo una o dos llamadas a la vez por entidad SIP donde sea posible

En el peor de los casos, limitar tu exposición al fraude es una acción inteligente. Esto también limita tu exposición si los poseedores legítimos de las contraseñas en tu sistema olvidan sus “pistas”  para meter dichas contraseñas.

6) Diferencia los nombres de tus usuarios SIP de los de tus extensiones

Si bien es conveniente tener la extensión «1234»  (que es también el usuario “1234”) aplicada en la entrada SIP «1234”, esto es un blanco fácil para los atacantes a la hora de  adivinar los nombres de autenticación SIP. Utiliza la dirección MAC del dispositivo.

7) Mantén tus contextos seguros en todo momento

No permitas que llamantes no identificados alcancen cualquier contexto que les permita hacer llamadas fraudulentas. Permite sólo un número limitado de llamadas a través de tu contexto (utiliza la función “GROUP” como contador.) Prohíbe entrar llamadas sin identificar (si así lo quieres) configurando “allowguest=no” en la parte general de sip.conf.

En resumen: Estas medidas básicas de seguridad te protegerán contra la inmensa mayoría de los ataques. Por lo general, muchos de los que atacan son torpes con las herramientas. Son oportunistas que ven una manera fácil de estafar a la gente y  quienes no les importan las consecuencias de los daños causados. Asterisk tiene algunos métodos para prevenir los ataques más habituales en la red, pero el método más efectivo de protección para cuestiones administrativas es definir una contraseña muy sólida y un nombre de usuario absolutamente aleatorio.

Medidas extra de seguridad en Asterisk

Algunos operadores de telecomunicaciones VoIP pueden añadir niveles superiores de seguridad a su servicio de troncal sip para centralitas Asterisk  bloqueando accesos indeseados y limitando el uso de tu centralita ante un ataque:

1. Restringir acceso a Asterisk por IP

Podemos restringir la conexión para que únicamente se puedan conectar desde una o varias IPs públicas, eliminando así la posibilidad de que cualquier persona se pueda conectar desde fuera de la empresa.

2. Filtro por llamadas salientes

Bloquear llamadas salientes desde tu troncal SIP a determinados destinos internacionales y a números de tarificación especial.

3. Límites de consumo diarios

Establecer límites de consumo diarios, basado en minutos o moneda, en tu troncal SIP.

Bell icon ¡Suscríbete! Hearth icon Pide una demo