Que hacer si tu PBX es hackeada

El siguiente es un texto sacado del blog de 3CX el cual me parece muy interesante.


¿Qué debe hacer si alguien intenta atacar la instalación de su Central Telefónica 3CX? Un hacker intentará utilizar la central para realizar llamadas a números de larga distancia, lo que permite al pirata informático realizar llamadas y pasarle los cargos a usted, o peor aún, a servicios premium con costos mucho mayores, y de este modo además pasar una porción de las ganancias al hacker. La mejor acción que puede tomar es asegurar su sistema limitando el acceso al puerto 5060. Este puerto debe ser usado exclusivamente por sus proveedores VoIP. Sin embargo, hay casos en los que los usuarios remotos necesitan para acceder al servidor, pero no pueden porque son incapaces de utilizar el túnel 3CX desde una dirección IP pública dinámica.

En la actualidad, los usuarios remotos utilizando el 3CXPhone para Android, 3CXPhone para Windows, o el 3CX SIP Proxy Manager (acceso de teléfonos móviles, computadoras y teléfonos de escritorio desde ubicaciones remotas) pueden tomar ventaja del protocolo de túnel de 3CX, aunque algunas plataformas aún no pueden hacerlo (los sistemas que no utilizan Windows o Android como sistema operativo, y algunos teléfonos de escritorio que son incompatibles con el protocolo de túnel de 3CX).

La Central Telefónica 3CX hace un gran trabajo en reaccionar rápidamente a los excesivos intentos de inicio de sesión fallidos, pero aún así siempre deben tenerse habilitadas las notificaciones, para que el administrador del sistema reciba inmediatamente una alerta por correo electrónico indicando que se han detectado demasiados intentos de inicio de sesión remotos fallidos. Esto por sí solo va a evitar que un hacker utilice el sistema para realizar llamadas no autorizadas. Sin embargo, el hacker puede intentar desmejorar la calidad de las comunicaciones o causar la denegación total del servicio (DoS) – se puede seguir bombardeando el servidor con peticiones que podrían colapsar su acceso a Internet o provocar una sobrecarga de la CPU del router. Ignorar los paquetes fraudulentos en el lado WAN del router no le ayudará debido a que el proveedor de Internet seguirá permitiendo el tráfico a través de su red y esto podría saturar su línea. Las siguientes directrices le ayudarán a minimizar el impacto de estos ataques y las pérdidas financieras potenciales.

Recopilando evidencia de un intento de ataque
Asegúrese de tener Wireshark instalado en el servidor 3CX (http://www.wireshark.org/) y capturar hasta un minuto de tráfico. Al filtrar el tráfico SIP, usted podrá ver todas las peticiones INVITE fraudulentas. Asegúrese de que la dirección IP de origen y el usuario no correspondan a un usuario real con un PIN o contraseña de autenticación mal configuradas. Guarde esta captura para utilizarla posteriormente. Tenga en cuenta que la captura puede contener información de ID de usuario y contraseñas reales.

Ahora vaya a http://www.arin.net e ingrese la dirección IP que origina el ataque en el cuadro de búsqueda en la parte superior derecha. La búsqueda le mostrará a quien está asignada la dirección IP. A mitad de la página hacia abajo (si se trata de una dirección en EE.UU.) encontrará la tabla de funciones. Haga clic en el lugar donde se indica para contactarse en caso de abuso. Es necesario reportar al delincuente, tanto a través de correo electrónico como llamando al Departamento de Abusos o al NOC (Network Operation Center). Sea lo más específico posible, y proporcione la dirección IP y el puerto (normalmente 5060). Si se trata de una dirección IP fuera de Estados Unidos, los resultados lo llevarán a la base de datos WHOIS que sirve ese espacio de direcciones IP en particular. Note que apnic.net cubre la región de Asia Pacífico, mientras que ripe.net sirve en Europa.

En este punto usted puede configurar su router para que ignore los paquetes en infracción, si desea evitar que ingresen a su red LAN, pero 3CX hace exactamente lo mismo mediante la funcionalidad de lista negra, bloqueando la dirección IP automáticamente.

Si el hacker continúa atacando el sistema, es probable que esté intentando causar una denegación de servicio. Póngase en contacto con su proveedor de Internet y pídales que filtren todos los paquetes desde las direcciones IP ofensivas, de modo que ni siquiera pasen a través de los routers centrales del ISP. Algunos ISP lo hará por usted sin problemas, mientras que otros no tendrán ni idea de lo que le está pidiendo que hagan – tendrá que ser persistente y explicar qué quiere decir.

Tenga en cuenta que en algunos casos, el delincuente puede cambiar la dirección IP desde la que se origina el ataque. Si lo hace, tendrá que iniciar este proceso nuevamente.

Los piratas informáticos más sofisticados utilizan servidores de alta potencia en centros de datos y todos los operadores responsables darán por terminado el ataque rápidamente. Asegúrese de que tiene números de PIN, ID de autenticación y contraseñas de autenticación complejos, que esta información no se repita en distintos campos para una extensión, que no sea compartida con otras extensiones, y que nunca se utilice el número de la extensión como PIN, ID de autenticación o contraseña de autenticación. De lo contrario, hace que sea más fácil para los atacantes acceder a su sistema y causar daños.

Fuente: http://www.3cx.es/blog/como-reaccionar-ataque/