jueves, 27 de agosto de 2015

Seguridad para IP-PBX Asterisk

Hola a tod@s.


Como ya bien saben Asterisk nos permite tener multiples funcionalidades que nos permiten crear oficinas virtuales y/o extensiones multiubicación.

Dicha funcionalidad implementada sin los cuidados necesarios, podría convertirse en una práctica que lo podría dejar facilmente con una importante deuda a su operador de servicios de teléfonia.

A continuación expongo de una manera muy sencillas las cosas que NO se deben hacer y las cosas que SI se deben hacer para generar un escenario seguro si se desea tener extensiones a traves de la red de Internet.


COSAS QUE NO SE DEBEN HACER:

1. Publicar la dirección de la IP-PBX directo hacia internet, es decir que el servidor este directo hacia Internet, por el puerto 22, 21, 80, 443 en TCP y por supuesto 5060 UDP. 

 2. Crear contraseñas fáciles de decifrar por ejemplo:
-1234567890
- qwerty
- qwerty123
- holamundo
- asterisk
- centralita
Entre muchas otras que ya se encuentran en directorios de claves en Internet.

Trate que sus claves no tengan sentido, que sean alfanumericas, tengan caracteres como #$* y que tengan mayúsculas y minúsculas, no le haga el trabajo fácil a los hackers.

 3. Las claves de las extensiones NO deben ser las mismas que los UserID, es decir si su extensión es la 2377, NO le asigne la clave 2377.

4. En ambientes donde no hay extensiones remotas, no debe dejar que cualquier IP pueda registrar una extensión, asignele una dirección IP/Mask a cada usuario y genere un direccionamiento fijo, para que esta extensión si y solo si se registre de dicha dirección IP.

5. La opción "Allow Anonymous" NO debe estar configurado en "yes".

6. Cuando cree los usuarios administradores siempre configure un usuario que se llame: "asteriskuser" y asignele una contraseña compleja, se ha demostrado que los principales intentos de hackeo a plataformas asterisk desde el GUI se han realizado desde dicho usuario.

 7. No deje habilitado el servicio de httpd, siempre y cuando que la necesite habilite y vuelva y deshabilite dicho daemon.

 8. No divulgue las contraseñas de la plataforma de comunicaciones unificadas.
Publicado por en No hay comentarios:

Configuración Tarjeta Digium en Asterisk



A continuación se encuentran los pasos necesarios para la instalación/reparación de una tarjeta Digium:

 1.) Detección de la tarjeta:

   # (this will generate /etc/dahdi/system.conf and  /etc/asterisk/dahdi-channels.conf)
 asterisk:~# dahdi_genconf

 2.) Lectura del systm.conf y configuración del kernel:
 asterisk:~# dahdi_cfg -v

 3.) Reiniciar dahdi para bajar y subir todos los modulos y drivers de la tarjeta:
  asterisk:~#  /etc/init.d/dahdi restart

 4.) Archivos de configuración chan_dahdi.conf a /etc/asterisk/dahdi-channels.conf
  # open chan_dahdi.conf and include it under the section [channels]
  #
  # NOTE: You can edit and configure /etc/asterisk/dahdi-channels.conf at any time
  # to set up your specific options there.
  ...
  [channels]
  ...
  #include /etc/asterisk/dahdi-channels.conf
  ...

 5.) Reiniciar asterisk:
  asterisk:~#  /etc/init.d/asterisk restart

 5.1 Verificar el estado de la tarjeta Digium. Debería salir así:

   asterisk*CLI> dahdi show status
  Description                              Alarms     IRQ        bpviol     CRC4     
  Wildcard TDM410P Board 1                 OK         0          0          0        
  Wildcard TDM800P Board 2                 OK         0          0          0   

5.2 Verificar que los canales queden configurados:

   asterisk*CLI> dahdi show channels
    Chan Extension  Context         Language   MOH Interpret      
  pseudo            default                    default            
       1            from-pstn       de         default            
       2            from-pstn       de         default            
       3            from-pstn       de         default            
       4            from-pstn       de         default            
       5            from-pstn       de         default            
       6            from-pstn       de         default            
       7            from-pstn       de         default            
       8            from-pstn       de         default            
       9            from-pstn       de         default            
      10            from-pstn       de         default            
      11            from-pstn       de         default            
      12            from-pstn       de         default            
  asterisk*CLI> 


Ivan Mauricio Gutiérrez G.
Ingeniero de Telecomunicaciones
Bogotá, Colombia.
ivanchomg@gmail.com
Publicado por en No hay comentarios:
Suscribirse a: Comentarios (Atom)