Sete Passos para melhor segurança SIP no Asterisk.

Categories: Segurança
Tags: No Tags
Comments: 2 Comments
Published on: 23 de agosto de 2013

No caso de qualquer um de vocês perguntarem por que razão não tem sido bastante notável o crescimento dos ataques  acontecendo no protocolo de sinalização “SIP”, a resposta é  "script kiddies ." Nos últimos meses, uma série de novas ferramentas tornaram mais fácil  a articulação de arrastões de ataque a tecnologias SIP, principalmente para fraudar sistemas baseados com Asterisk.

Existem ferramentas disponíveis que facilmente fazem verdadeiras varreduras nas redes procurando hosts SIP e, em seguida, uma nova varredura nos hosts à procura de extensões válidas e, em seguida, nova varredura nas extensões válidas à procura de senhas.

Você pode tomar medidas, AGORA, a fim de eliminar muitos desses problemas. Eu acho que a comunidade está interessada em vir para cima com uma solução baseada em Asterisk integrado que é muito mais amplo no âmbito de proteção dinâmica (Uma comunidade de compartilhamento de Blacklist seria o ideal neste momento), mas isso não significa que você deve aguardar algumas ferramentas novas para defender seus sistemas.  Você pode tomar de imediato  medidas de bom senso o suficiente para proteger o seu servidor Asterisk da maior parte das leituras e dos ataques que estão aumentando. Os métodos e as ferramentas de proteção já existem – basta aplicá-los, e você será capaz de dormir mais tranquilamente à noite.

Sete passos simples para melhor segurança SIP no Asterisk:

1) Não aceitar solicitações de autenticação SIP de todos os endereços IP . Use o "permit =" e "deny=" nas suas extensões no arquivo “sip.conf” para permitir que apenas um subconjunto razoável de endereço IP para atingir cada um listado das suas extensões/usuário em seu arquivo “sip.conf”.  Mesmo se você aceitar chamadas de entrada "em qualquer lugar" (via [padrão]) não deixe que os usuários cheguem autenticados com seus elementos!

2) Defina "alwaysauthreject=yes" no seu arquivo sip.conf. Esta opção tem sido em padrão de um tempo para cá, mas fica atribuída como “no”, o que permite vazamento de informações da suas extensões. Configurando-o para "yes" vai rejeitar solicitações de autenticação inválida, válida para nomes de usuário com as mesmas informações da rejeição como inválida nos nomes, negando os intrusos remotos a capacidade de detectar as extensões com ataques de força bruta.

3) Use senhas de alta segurança para entidades SIP. Este é, provavelmente, o passo mais importante que você pode tomar. Não apenas concatenar duas palavras e o sufixo "1" – se você viu como as ferramentas sofisticadas de buscas e adivinha das senhas, você pode entender que a ofuscação e trivial, que é um pequeno impedimento para uma CPU moderna. Usar símbolos, números, e uma mistura de letras maiúsculas e minúsculas com pelo menos 12 dígitos é uma boa solução.

4) Bloquear a sua  “AMI manager ports”. Usando "permit=" e "deny=" no seu arquivo “manager.conf” para reduzir as conexões de entrada com hospedeiros conhecidos apenas. Use senhas fortes aqui, mais uma vez, pelo menos, 12 caracteres com uma mistura complexa de símbolos, números e letras.

5) Permitir que apenas uma ou duas chamadas ao mesmo tempo possa ser realizada por uma entidade SIP (Extensões/Usuários), sempre que possível. Na pior das hipóteses, o que limita sua exposição a fraudes de tarifação é um sábio!  Este é também o limite de sua exposição ao legítimo “palavra-passe” (passphrase) dos titulares no seu sistema para não perder o controle de suas “palavra-passe” (passphrase). Já vi o cumulo de colocarem a palavra-passe na parte inferior do telefone SIP!

6) Fazer o seu “SIP name” diferentes de suas extensões. Embora seja conveniente ter extensão "1234" no mapa de entrada SIP "1234" que também é usuário do SIP  "1234", isto torna você um alvo fácil para os invasores de adivinhar nomes de autenticação SIP. Use o endereço MAC do dispositivo, ou algum tipo de combinação de uma frase comum  + ramal,  hash MD5  (exemplo: a partir de um prompt do shell , tente "md5 -s aparece o5000 ")

7) Garantir que o seu contexto [default] é seguro. Não permitir que os chamadores não autenticados possam alcançar quaisquer contextos que permitem chamadas interurbanas ou internacionais. Permitir que apenas um número limitado de chamadas ativas por meio de seu contexto padrão  (use o  “GROUP” como contador funciona muito bem.) Proibir chamadas totalmente não autenticado (se você não quer mordomias) por definição “allowguest=no” (Não) no [general] do seu arquivo “sip.conf.”

Estes 7 princípios básicos irá proteger a maioria das pessoas, mas há, certamente, outros passos que você pode tomar que são mais complexos e reativa. Aqui está uma “fail2ban ending” que pode permitir-lhe a proibição por terminação com base no volume de pedidos. Não há discussão sobre o asterisk-user e asterisl-dev  de usuário da lista “asteriskbrasil” de interesse de criar regras de SBC como funcionalidades do Asterisk – vamos ouvir as vossas ideias!

Se você gostaria de ver um exemplo das ferramentas que você está sendo usando contra você, veja este video demostrativo de um ataque usando ferramenta automatizado que faz  varredura, adivinha, e quebra os métodos através de um clique – e – baba interface.

Tem também o artigo do nosso amigo da lista AsteriskBrasil, Sylvio Jollenbeck que é uma dica muito boa para você garantir a segurança do seu sistema, este artigo pode ser lido neste endereço: http://sb.eti.br/?p=13

Em resumo: medidas básicas de segurança para proteger você contra a grande maioria dos ataques de força bruta baseados em SIP. A maioria dos invasores SIP é louca por ferramentas de invasão – eles são oportunistas que veem uma maneira fácil de enganar pessoas que não considerou os custos de métodos inseguros.

Asterisk tem alguns métodos para evitar a maioria dos ataques de evidente sucesso no nível de rede, mas o método mais eficaz de proteção são as questões administrativas do usuário senha robustez e obscuridade.

Fonte:

AsteriskUser discusão sobre segurança no Asterisk.

AsteriskBrasil discusão sobre Segurança no Asterisk.

2 Comments - Leave a comment
  1. Roger Pitigliani disse:

    Muito bom e importante.

    Parabéns, Abraço.

Leave a comment

O seu endereço de email não será publicado Campos obrigatórios são marcados *

Please copy the string sXgT1D to the field below:


Welcome , today is domingo, 26 de março de 2017