jueves, 27 de agosto de 2015

Seguridad para IP-PBX Asterisk

Hola a tod@s.


Como ya bien saben Asterisk nos permite tener multiples funcionalidades que nos permiten crear oficinas virtuales y/o extensiones multiubicación.

Dicha funcionalidad implementada sin los cuidados necesarios, podría convertirse en una práctica que lo podría dejar facilmente con una importante deuda a su operador de servicios de teléfonia.

A continuación expongo de una manera muy sencillas las cosas que NO se deben hacer y las cosas que SI se deben hacer para generar un escenario seguro si se desea tener extensiones a traves de la red de Internet.


COSAS QUE NO SE DEBEN HACER:

1. Publicar la dirección de la IP-PBX directo hacia internet, es decir que el servidor este directo hacia Internet, por el puerto 22, 21, 80, 443 en TCP y por supuesto 5060 UDP. 

 2. Crear contraseñas fáciles de decifrar por ejemplo:
-1234567890
- qwerty
- qwerty123
- holamundo
- asterisk
- centralita
Entre muchas otras que ya se encuentran en directorios de claves en Internet.

Trate que sus claves no tengan sentido, que sean alfanumericas, tengan caracteres como #$* y que tengan mayúsculas y minúsculas, no le haga el trabajo fácil a los hackers.

 3. Las claves de las extensiones NO deben ser las mismas que los UserID, es decir si su extensión es la 2377, NO le asigne la clave 2377.

4. En ambientes donde no hay extensiones remotas, no debe dejar que cualquier IP pueda registrar una extensión, asignele una dirección IP/Mask a cada usuario y genere un direccionamiento fijo, para que esta extensión si y solo si se registre de dicha dirección IP.

5. La opción "Allow Anonymous" NO debe estar configurado en "yes".

6. Cuando cree los usuarios administradores siempre configure un usuario que se llame: "asteriskuser" y asignele una contraseña compleja, se ha demostrado que los principales intentos de hackeo a plataformas asterisk desde el GUI se han realizado desde dicho usuario.

 7. No deje habilitado el servicio de httpd, siempre y cuando que la necesite habilite y vuelva y deshabilite dicho daemon.

 8. No divulgue las contraseñas de la plataforma de comunicaciones unificadas.
Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)