La forma de ataque más común que se viene presentando hacia soluciones de telefonía IP basadas en Asterisk consiste en buscar servidores SIP, que se encuentren expuestos hacia Internet, incluso NATeados con firewalls (cuando erróneamente se natea el puerto 5060 en TCP, se expone el puerto a los escaneos).

Se trata de ataques SIP, no son intrusiones, ni se están aprovechando vulnerabilidades que se puedan reparar con un parche, son básicamente descuidos en la configuración hacia internet.

Los atacantes realizan intentos mediante técnicas de ?fuerza bruta?, probando diferentes números de anexos, como los típicos 100, 101, 1000, 2001, etc. y realizan pruebas con muchos passwords. Es muy frecuente que usemos el mismo password para todos los anexos y generalmente con muy poca imaginación, sólo números y combinaciones como 1234, 7777, 0000, etc.

El siguiente paso consiste en ubicar un anexo que tenga salida a todos los recursos, esto lo realizan mediante software robot que hace varias pruebas, con un 9, con 00, etc., si logran tener salida, VENDEN esa ruta a algún terminador internacional y durante ese sábado y domingo (o cualquier día, o madrugada) pueden pasar un trafico enorme de llamadas?

Uno de los casos reportados, se pasaron más de 20,000 minutos a celulares de África, lo que equivale a 60 mil soles de facturación en solo 2 días.

RECOMENDACIONES

1) Si se desea exponer el servidor Asterisk, usar el software Portsentry para no dejarse escanear. La gran mayoría los ataques comienzan detectando el puerto SIP 5060 abierto en la victima. Con esta solución no solo se oculta la información sino que se bloquea la IP del atacante.

2) Si es necesario hacer un NAT desde un router, SOLO Natear en UDP y no en TCP, y SOLO los puertos necesarios, NO todo el servidor.

3) Verificar si en el SIP.CONF el [general] apunta a que contexto, normalmente Default, en ese contexto no debemos permitir llamadas anónimas!!! y si lo hacemos debe llegar a un IVR o solo hasta una extensión pero no a los demás recursos? usemos los contextos que para eso han sido creados!!!

Ejemplo

[default]

exten=> s,1,Congestion

4) Que no existan cuentas que pueden salir a TODOS los recursos como celulares, llamadas internacionales, etc., no importa que sea la cuenta del fax o la del Gerente General, al exponer hacia Internet el Server se exponen TODOS los anexos. Si es necesario tener esos accesos plenipotenciarios, DEBEN usar claves de salida, prefijos o no permitir recursos simples como 00 para internacionales o 0 para nacionales. Es muy probable que esta medida no sea muy popular entre los jefes y gerentes? pero es eso o una factura de $20k.

5) Mejorar los passwords de los anexos, no usar el 0000 o el 1234? deben ser más fuertes y si es posible variar incluso letras, números y caracteres especiales.

6) NAT=NO en los anexos que no serán usados desde el exterior, faxes, gerentes, etc.

7) Si se requiere un usuario viajero o móvil, se recomienda instalar el softphone Zoiper, que utiliza protocolo IAX, se puede usar un puerto diferente al estándar, es mucho mas seguro, la clave o password de usuario viaja en MD5, los ataques están orientados hacia SIP y no a IAX, y por muchas razones mas IAX es la alternativa ideal.

8 ) En caso de ser necesaria la interconexión SIP o H323 con otros equipos vía internet, se recomienda el uso de VPNs, si no se han considerado los puntos anteriores y/o especificar la IP publica del otro extremo, no permitir que se utilice IPs dinámicas para estos casos. OpenVPN, es free, cuenta con un cliente para windows y roadwarriors (viajeros, que se mueven entre hoteles, locutorios o internets domésticos) se puede implementar en el mismo servidor Asterisk para recibir conexiones seguras de anexos remotos.

La marca SNOM, cuenta en sus nuevos modelos 370, 820 y 870 con clientes OpenVPN en el mismo teléfono.

9) Fail2Ban es una herramienta que ?escucha? los intentos por registrar una cuenta SIP y registra que al ocurrir 10 o mas errores de password se bloquee la IP del atacante que intenta registrarse, esta es una excelente solución para evitar los ataques por fuerza bruta, pero podemos llegar a acumular un largo historial de IP bloqueadas que deberemos revisar frecuentemente.

10)  No aceptar pedidos de autenticación SIP desde cualquier dirección IP. Utilizar las líneas ?permit=? y ?deny=? de sip.conf para sólo permitir un subconjunto razonable de direcciones IP alcanzar cada usuario/extensión listado en el archivo sip.conf. Aún aceptando llamadas entrantes desde ?anywhere? (via [default]) no se debe permitir a esos usuarios alcanzar elementos autenticados.

11)  Establecer el valor de la entrada ?alwaysauthreject=yes? en el archivo sip.conf. Esta opción está disponible desde la versión 1.2 de Asterisk, pero su por defecto su valor es ?no?, lo que puede ser potencialmente inseguro. Estableciendo este valor en ?yes? se rechazarán los pedidos de autenticación fallidos utilizando nombres de extensiones válidas con la misma información de un rechazo de usuario inexistente. De esta forma no facilitamos la tarea al atacante para detectar nombres de extensiones existentes utilizando técnicas de ?fuerza bruta?. Hay que considerar que la aplicación de esta variable podría afectar el funcionamiento del fail2ban, ya que los mensajes de Warning podrían ser diferentes a los esperados por este ultimo.

Es importante recordar que estos ataques afectan a TODOS los proveedores de equipos SIP, y no estan orientados a Asterisk, ni es este el mas vulnerable.

Es gracias a la flexibilidad de Asterisk que se pueden tomar medidas simples como estas, en otras plataformas es el fabricante que tiene que activar algunas normas de seguridad.

En VoIP los Firewalls no resuelven nada porque igual hay que abrir los puertos que se requieren para que pase la voz y por esa misma vía es que ocurre el ataque.