Miguellinux » Blog Archive » Alerta de Seguridad Asterisk

Miguellinux » Blog Archive » Alerta de Seguridad Asterisk: "Alerta de Seguridad Asterisk
Oct 2009
16

Alerta de Seguridad Asterisk
Oct 2009
16

He recibido ya varios reportes de ataques severos de llamadas internacionales a traves de Call managers Cisco y de servidores Asterisk expuestos hacia Internet y mal configurados.

Sobre los Cisco… no tengo nada que decir. Pero sobre los servidores Asterisk hay mucho pan por rebanar.

Analicemos el escenario problema:

Estos ataques suceden en la mayoria de los casos, los fines de semana, los hasta ahora reportados por clientes de Telmex del Peru, este operador SOLO monitorea los consumos sospechosos de lunes a viernes y no los fines de semana.

Tambien Telefonica del Peru esta al tanto, habiendo reportado 5 casos en las ultimas 2 semanas (setiembre – octubre 2009) en su mayoria Ciscos Call managers y un caso de Asterisk.

Estos ataques buscan servidores Asterisk, expuestos hacia internet, incluso NATeados con firewalls, (cuando erroneamente se natea el puerto 5060 en TCP, se expone el puerto a los escaneos).

Son ataques SIP, no son intrusiones ni se estan aprovechando vulnerabilidades que se puedan reparar con un parche, se esta aprovechando un descuido en la configuracion.

Intentan mediante fuerza bruta, diferentes numeros de anexos, como los tipicos 100, 101, 1000, 201, etc etc y prueban muchos passwords. Es muy frecuente que usemos el mismo pass para todos los anexos y generalmente con muy poca imaginacion, solo numero y combinaciones como 1234, 7777, 0000, etc, etc…

Luego ubican un anexo que tenga salida a todos los recursos, esto mediante software robot que hace varias pruebas, con un 9, con 00, etc etc…, si logran tener salida, VENDEN la ruta a algun terminador internacional y durante ese sabado y domingo (o cualquier dia, o madrugada) pueden meter un trafico enorme de llamadas…

Uno de los casos que he visto, fueron mas de 20,000 minutos a celulares de Africa, lo que equivale a 60 mil soles de facturacion en solo 2 dias.

A estar muy alertas!!!!

Recomiendo (y espero me puedan dar mas ideas)

1) Si hay que exponer el servidor, usar Portsentry para no dejarse escanear. OjO TODOS los ataques comienzan detectando el puerto SIP 5060 abierto en la victima. Con esta solucion no solo se oculta la informacion sino que se bloquea la IP del atacante.

2) Si es necesario hacer un NAT desde un router SOLO Natear en UDP no en TCP y SOLO los puertos necesarios, NO todo el servidor.

3) Verificar si en el SIP.CONF el [general] apunta a que contexto, normalmente Default, en ese contexto no debemos permitir llamadas anonimas!!! y si lo hacemos debe llegar a un IVR o solo hasta una extension pero no a los demas recursos… usemos los contextos que para eso han sido creados!!!

Ejemplo

[default]

exten=> s,1,Congestion

4) Que no existan cuentas que pueden salir a TODOS los recursos como celulares, llamadas internacionales etc etc.., no importa que sea la cuenta del fax o la del Gerente General, al exponer hacia internet el server se exponen TODOS los anexos.

5) Si es necesario tener esos accesos plenipotenciarios DEBEN usar claves de salida, prefijos o no permitir recursos simples como 00 para internacionales o 0 para nacionales. Es muy probable que esta medida no sea muy popular entre los jefes y gerentes… pero es eso o una factura de $20k.

6) Mejorar los passwords de los anexos, no usar el 0000 o el 1234… hay que ser mas creativos…

7) NAT=NO en los anexos que no seran usados desde el exterior, faxes, gerentes, etc.

8 ) Si se requiere un usuario viajero o movil recomiendo el uso de Zoiper, un softphone IAX, se puede usar un puerto diferente al estandar, es mucho mas seguro, la clave o password de usuario viaja en MD5, los ataques estan orientados hacia SIP y no a IAX, y por muchas razones mas IAX es la alternativa ideal.

9) En caso de ser necesaria la interconexion SIP o H323 con otros equipos via internet, se recomienda el uso de VPNs, si no se han considerado los puntos anteriores.

10) OpenVPN, es free, cuenta con un cliente para windows y roadwarriors (viajeros, que se mueven entre hoteles, locutorios o internets domesticos) se puede implementar en el mismo servidor Asterisk para recibir conexiones seguras de anexos remotos.

La marca SNOM, cuenta en sus nuevos modelos 370, 820 y 870 con clientes OpenVPN en el mismo telefono.

En VoIP los Firewalls no resuelven nada porque igual hay que abrirlos para que pase la voz y por esa misma via te pueden atacar.