jueves, 12 de abril de 2012

Recomendaciones de Seguridad en Elastix

El siguiente es un texto sacado desde el Blog de Elastix, si bien es antiguo los consejos son siempre los mismos:


Muchos usuarios de Elastix no toman en cuenta que después de haber instalado y configurado su central, y dejar esta en funcionamiento aún queda mucho trabajo por hacer, sobre todo en el lado en cuanto a seguridad se refiere.

Existe mucha gente y empresas alrededor del mundo que día a día buscan romper servidores VOIP, esto con el simple objetivo de enrutar tráfico a través de estos servidores hacia destinos de costos muy altos, de esta forma estas personas pueden comercializar minutos que normalmente tienen un costo alto a una fracción del costo.

En tan solo 1 hora se puede llegar a enviar hasta casi 2000 minutos a través de un enlace E1 con 30 canales activos, lo que en números redondos puede llegar a costar mas de 200 USD tomando en cuenta que se enrute tráfico a un destino de bajo precio, pero a otros podría llegar a costar hasta 2500 USD.
Estas matemáticas simples nos alertan de la importancia de implementar políticas  de seguridad, a continuación hablaremos de algunas de ellas que deben de ser básicas en nuestras instalaciones y otras que de ser posible no se deben de dejar a un lado.

#1- Utilice contraseñas fuertes.

Después de recientes ataques a Gmail y otros servidores de correo se descubrió que la contraseña mas utilizada por los usuarios increíblemente era “123456″ y por desgracia esta es la misma que muchos usuarios de Elastix utilizan, haciendo así 100% vulnerable su equipo.

Se recomienda utilizar combinación de caracteres especiales (#,,%,&,/,@, etc.), números y mayúsculas y minúsculas además de evitar utilizar secuencias de números o palabras que se puedan encontrar en el diccionario.

No solo la contraseña de root y usuario Web deben tener estas características, también las contraseñas de MySQL, FreePBX, FOP, y de las extensiones sobre todo.

#2- Cambie las contraseñas de Default.

Hay que tomar en cuenta que existen mas de 500,000 descargas de Elastix, por lo tanto existen al menos 500,000 usuarios que conocen todas las contraseñas que tiene este software por defecto, sin tomar en cuenta los que realizan la búsqueda “Elastix default passwords” en Google.
NUNCA utilice como contraseña de las extensiones el mismo número de extensión, esto facilita las cosas hasta para el menos experimentado de los hackers.

Recuerda cambiar al menos tus contraseñas del FOP, FreePBX , Web y MySQL.

#3- Restringa el acceso a sus Equipos.

Si existe la posibilidad bloque el acceso a sus equipos desde direcciones IPS que no pertenezcan a las de su país.

Utilice IPTables para restringir el acceso a ciertos puertos desde ciertas direcciones

No deje abierto el acceso SSH y Web para cualquiera, una vez que se rompe alguna de estas contraseñas el intruso puede hacer cualquier cosa con nuestro equipo.

#4- Cambie sus puertos de Acceso.

Para un atacante será mas fácil su trabajo si sabe que puertos debe de atacar, así que si cambiamos los puertos comunes haremos que por lo menos su trabajo sea un poco más complicado, dándonos tiempo  detectar estos ataques en nuestros logs . Al menos debemos cambiar el puerto de nuestro servidor SSH y de las extensiones remotas.

Este cambio lo podemos hacer en nuestro servidor o con algunos routers que nos permiten realizar traducción de puertos, de modo que al intentar conectar a nuestro equipo por el puerto 786 por ejemplo , realiza la traducción al puerto 22, pero si intentamos conectarnos al puerto 22 directamente este se encuentra bloqueado.

#5- Utilice software para el escaneo de logs.

Fail2Ban es un software que escanea los logs de nuestros equipos en búsqueda de repetidos intentos de autenticación fallida y bloqueando de forma automática dicha IP, de forma tal que la lp del atacante será bloqueada después de cierto número de intentos no permitiéndole así adivinar o descifrar nuestras contraseñas.

#6- Utilice VPN’s para la conexión a sus servidores.

El uso de túneles VPN tanto para el acceso de administración de nuestros equipos como para la conexión de extensiones remotas nos garantiza no solo que no cualquier persona podrá alcanzar nuestros equipos, sino que además la información viajara encriptada de forma tal que será difícil de detectar.

Nuestro equipo Elastix puede ser configurado como servidor VPN en pocos pasos y en tan solo 10 minutos, en futuras publicaciones hablaremos de como realizar esto.

#6- Ajuste la configuración de sus archivos de configuración SIP.

Muchas veces creemos que los archivos de configuración vienen listos y 100% preparados y no requieren de mayor configuración, pero esto no es así, existen  ciertos parámetros de seguridad que debemos de especificar y que no nos tomará mas de 5 minutos en hacerlo.

Cuando un usuario se autentica incorrectamente recibe un mensaje de reject pero dentro de este mensaje se encuentra la información correcta de registro, así que si se logra descifrar tenemos las credenciales correctas para registrarnos y comenzar a realizar llamadas, es por ello que es importante cambiar alwaysauthreject=no a alwaysauthreject=yes.

Limite el número de llamadas simultaneas por usuario al mínimo posible. En el peor de los casos en que logren descifrar las credenciales de algún usuario el daño será mínimo.

#7- Utilice un firewall.

Muchos se quejan del alto costo de un appliance especial para el bloqueo de intrusos y ataques, pero pocos toman en cuenta que es un inversión que nos puede ahorrar varios cientos de dólares sino es que miles. Algunas veces hay que hacer un poco mas de la inversión planeada y un firewall es una de ellas, estos appliances dedicados nos pueden salvar y mantener lejos de la mira de los hackers, claro , hay que recordar que no basta con conectar los equipos a la red y energizarlos, hay que configurarlos.

#7- No acepte trafico anónimo.

Si nuestro servidor tiene acceso público jamás debemos de activar la opción de aceptar llamadas anónimas, esto permitiría que cualquiera enviar tráfico a nuestro servidor sin la necesidad de autenticación.

Por último debemos de recordar que el registro en logs existe por algo, no son un adorno, es importante revisar periódicamente estos archivos en búsqueda de Warnings y Errores que nos indiquen que hemos recibido ataques a nuestros equipos, de igual forma debemos mantenernos informados y pendientes de las listas de desarrollo y usuarios ya que en ellas se reportan Bugs de seguridad y además la solución a los mismos.

Links Recomendados:

http://blogs.digium.com/2009/03/28/sip-security/
http://nerdvittles.com/?p=580
http://csrc.nist.gov/publications/nistpubs/800-58/SP800-58-final.pdf
www.fail2ban.org

No hay comentarios:

Publicar un comentario