Alerta de Seguridad!!!! | Asterisk Peru: "Alerta de Seguridad llamadas robadas!!!!"
Estimados
He recibido ya 3 reportes de ataques severos de llamadas internacionales a traves de Asterisk mal configurados o expuestos hacia Internet.
Estos ataques suceden en la mayoria de los casos, los fines de Semana, y hasta ahora reportados por clientes de Telmex, ya que Telmex SOLO monitorea los consumos sospechosos de lunes a viernes y no los fines de semana.
Estos ataques buscan servidores Asterisk, expuestos hacia internet, incluso NATeados con firewalls, (cuando erroneamente se natea el puerto 5060 en TCP, se expone el puerto a los escaneos)
Intentan mediante fuerza bruta, diferentes numeros de anexos, como los tipicos 100, 101, 1000, 201, etc etc y prueban muchos passwords. Muchas veces es el mismo pass para todos los anexos.
Luego ubican un anexo que tenga salida a todos los recursos, esto mediante software robot que hace varias pruebas, con un 9, con 00, etc etc..., si logran tener salida, VENDEN la ruta a algun terminador internacional y durante ese sabado y domingo pueden meter un trafico enorme de llamadas...
He visto casos de 20,000 minutos a celulares de Africa, lo que equivale a 60 mil soles de factura en solo 2 dias.
A estar muy alertas!!!!
Recomiendo (y espero me puedan dar mas ideas)
1) Si hay que exponer el servidor, usar Portsentry para no dejarse escanear
2) Solo Natear en UDP no en TCP
3) Que no existan cuentas que pueden salir a TODOs los recursos, no importa que sea la cuenta del fax o la del gerente general, al exponer hacia internet el server se exponen TODOS los anexos.
3.5) Usar claves de salida, prefijos o no permitir recursos simples como 00 para internacionales o 0 para nacionales...
4) Hay ataques por el contexto DEFAULT, este contexto es peligroso y debe solo llevar hasta el IVR y desde el IVR SOLO se deberia poder marcar un anexo y nada mas...
5) Mejorar los passwords de los anexos, no usar el 0000 o el 1234... hay que ser mas creativos...
En VoIP los Firewalls no resuelven nada porque igual hay que abrirlos para que pase la voz y por esa misma via te pueden atacar.
Salu2
Espero sus comentarios
Miguel Rabi
No hay comentarios:
Publicar un comentario