116 11 Seguridad en Asterisk [Modo de compatibilidad] · 2020. 12. 27. · de cualquier otro modo,...
Transcript of 116 11 Seguridad en Asterisk [Modo de compatibilidad] · 2020. 12. 27. · de cualquier otro modo,...
![Page 1: 116 11 Seguridad en Asterisk [Modo de compatibilidad] · 2020. 12. 27. · de cualquier otro modo, verifica el md5 + allow/deny. • Si el peer no se encuentra ? Permitimos el “allow](https://reader033.fdocuments.co/reader033/viewer/2022060905/60a049b8f5d565330331c284/html5/thumbnails/1.jpg)
B-STDX 8000SeguridadyAsterisk
Confidencial
© 2010 Callmyway NY S.A. Todos los derechos reserva dos
NOTA: La siguiente información es meramente informativa. Callmyway no se hace responsable de los resultados o
veracidad de los mismos.
![Page 2: 116 11 Seguridad en Asterisk [Modo de compatibilidad] · 2020. 12. 27. · de cualquier otro modo, verifica el md5 + allow/deny. • Si el peer no se encuentra ? Permitimos el “allow](https://reader033.fdocuments.co/reader033/viewer/2022060905/60a049b8f5d565330331c284/html5/thumbnails/2.jpg)
B-STDX 8000
Seguridady Asterisk
• Asterisk: Configuración descuidada
• Endureciendo Asterisk
• Protección de Privacidad
Confidencial
© 2010 Callmyway NY S.A. Todos los derechos reserva dos
![Page 3: 116 11 Seguridad en Asterisk [Modo de compatibilidad] · 2020. 12. 27. · de cualquier otro modo, verifica el md5 + allow/deny. • Si el peer no se encuentra ? Permitimos el “allow](https://reader033.fdocuments.co/reader033/viewer/2022060905/60a049b8f5d565330331c284/html5/thumbnails/3.jpg)
B-STDX 8000
Asterisk ConfiguraciónDescuidada
• Seguridad en el Dial plan
• SIP.conf
• IAX2.conf
Confidencial
© 2010 Callmyway NY S.A. Todos los derechos reserva dos
• Manager.conf
• Problemas de Facturación
![Page 4: 116 11 Seguridad en Asterisk [Modo de compatibilidad] · 2020. 12. 27. · de cualquier otro modo, verifica el md5 + allow/deny. • Si el peer no se encuentra ? Permitimos el “allow](https://reader033.fdocuments.co/reader033/viewer/2022060905/60a049b8f5d565330331c284/html5/thumbnails/4.jpg)
B-STDX 8000
Seguridaden el Dial Plan
• - Salto entre Extensiones• - Protecciones basadas en el CallerID• - _.
Confidencial
© 2010 Callmyway NY S.A. Todos los derechos reserva dos
• - _.• - El Contacto Demo• - Cuentas de Usuario en el dial plan• - Mucho cuidado con el contexto por defecto• - Límite las llamadas simultaneas
![Page 5: 116 11 Seguridad en Asterisk [Modo de compatibilidad] · 2020. 12. 27. · de cualquier otro modo, verifica el md5 + allow/deny. • Si el peer no se encuentra ? Permitimos el “allow](https://reader033.fdocuments.co/reader033/viewer/2022060905/60a049b8f5d565330331c284/html5/thumbnails/5.jpg)
B-STDX 8000
Salto entre Extensiones
• El usuario puede alcanzar CUALQUER extensiónbajo el siguiente contexto:
[internal]exten=> intro,1,Background(question);
Confidencial
© 2010 Callmyway NY S.A. Todos los derechos reserva dos
exten=> intro,1,Background(question);exten => 1,spanish,Goto(Spanish)exten => 2,english,Goto(English)
exten => _XX.,1,Dial(ZAP/g1/${EXTEN});
![Page 6: 116 11 Seguridad en Asterisk [Modo de compatibilidad] · 2020. 12. 27. · de cualquier otro modo, verifica el md5 + allow/deny. • Si el peer no se encuentra ? Permitimos el “allow](https://reader033.fdocuments.co/reader033/viewer/2022060905/60a049b8f5d565330331c284/html5/thumbnails/6.jpg)
B-STDX 8000
Protecciónbasadaen el CallerID
exten => _X.,1,GotoIf($[“${CALLERIDNUM}”=“32134”?3);
exten => _X.,2,Hangup();
exten=> _X.,3,Dial(${EXTEN});
Confidencial
© 2010 Callmyway NY S.A. Todos los derechos reserva dos
exten=> _X.,3,Dial(${EXTEN});
• Cuando no se encuentra explicitamente definida paracada usuario/canal en zapata.conf, sip.conf, iax.conf, entonces el usuario puede escoger su propioCallerID!
![Page 7: 116 11 Seguridad en Asterisk [Modo de compatibilidad] · 2020. 12. 27. · de cualquier otro modo, verifica el md5 + allow/deny. • Si el peer no se encuentra ? Permitimos el “allow](https://reader033.fdocuments.co/reader033/viewer/2022060905/60a049b8f5d565330331c284/html5/thumbnails/7.jpg)
B-STDX 8000
Usoinapropisadode _.
• _. Se acopla con TODO!(incluyendo: fax, colgado, invalido, timeout,….)
Ejemplo:
Confidencial
© 2010 Callmyway NY S.A. Todos los derechos reserva dos
Ejemplo:exten => _.,1,Playback(blah);exten => _.,2,Hangup;� Causando un “FAST LOOP”.
(cambiado en CVS-head)
![Page 8: 116 11 Seguridad en Asterisk [Modo de compatibilidad] · 2020. 12. 27. · de cualquier otro modo, verifica el md5 + allow/deny. • Si el peer no se encuentra ? Permitimos el “allow](https://reader033.fdocuments.co/reader033/viewer/2022060905/60a049b8f5d565330331c284/html5/thumbnails/8.jpg)
B-STDX 8000
Context de demo
• No es un riesgo real
• Pero… Alguien podría jugar con su sistema y utilizar su ancho de banda, realizar llamadas de bromaa Digium.
Confidencial
© 2010 Callmyway NY S.A. Todos los derechos reserva dos
bromaa Digium.
![Page 9: 116 11 Seguridad en Asterisk [Modo de compatibilidad] · 2020. 12. 27. · de cualquier otro modo, verifica el md5 + allow/deny. • Si el peer no se encuentra ? Permitimos el “allow](https://reader033.fdocuments.co/reader033/viewer/2022060905/60a049b8f5d565330331c284/html5/thumbnails/9.jpg)
B-STDX 8000
Accesode los usuariosal dialplan
• - AMP y otros GUI’s (Interfaces Graficos de Usuario) podrían permitir al usuario cambiar el dial plan en su propio contexto. ie.: PBX hospedada
Confidencial
© 2010 Callmyway NY S.A. Todos los derechos reserva dos
hospedada
• - Goto / GotoIf / dial(Local/…) -> Saltar entre diferentes contextos.
• - System -> podría hacer cualquier cosa
![Page 10: 116 11 Seguridad en Asterisk [Modo de compatibilidad] · 2020. 12. 27. · de cualquier otro modo, verifica el md5 + allow/deny. • Si el peer no se encuentra ? Permitimos el “allow](https://reader033.fdocuments.co/reader033/viewer/2022060905/60a049b8f5d565330331c284/html5/thumbnails/10.jpg)
B-STDX 8000
Contextopor defecto
• Ejemplo:
[default]Include outgoing;
Confidencial
© 2010 Callmyway NY S.A. Todos los derechos reserva dos
Include outgoing;Include internal;
PELIGRO: Las llamadas invitadas iran al contexto por defecto!!!!!
![Page 11: 116 11 Seguridad en Asterisk [Modo de compatibilidad] · 2020. 12. 27. · de cualquier otro modo, verifica el md5 + allow/deny. • Si el peer no se encuentra ? Permitimos el “allow](https://reader033.fdocuments.co/reader033/viewer/2022060905/60a049b8f5d565330331c284/html5/thumbnails/11.jpg)
B-STDX 8000
Contextode USO:
• Toda llamada tiene dos extremos, el contextoutilizado es el contexto definido para dichousuario/canal en el archivo de configuración para dicho protocolo.
ie:
Confidencial
© 2010 Callmyway NY S.A. Todos los derechos reserva dos
ie:
- Llamada Zap a SIP:
El contexto establecido en zapata.conf es usado
- Llamada SIP a IAX:
El contexto utilizado es sip.conf
![Page 12: 116 11 Seguridad en Asterisk [Modo de compatibilidad] · 2020. 12. 27. · de cualquier otro modo, verifica el md5 + allow/deny. • Si el peer no se encuentra ? Permitimos el “allow](https://reader033.fdocuments.co/reader033/viewer/2022060905/60a049b8f5d565330331c284/html5/thumbnails/12.jpg)
B-STDX 8000
Contextode USO:
• En sip.conf, zapata.conf, iax2.conf…
Un contexto por defecto es definido, si no existeun contextoespecificodefinidoparaun canal o
Confidencial
© 2010 Callmyway NY S.A. Todos los derechos reserva dos
un contextoespecificodefinidoparaun canal o usuario, entonces el contexto por defecto esutilizado!
![Page 13: 116 11 Seguridad en Asterisk [Modo de compatibilidad] · 2020. 12. 27. · de cualquier otro modo, verifica el md5 + allow/deny. • Si el peer no se encuentra ? Permitimos el “allow](https://reader033.fdocuments.co/reader033/viewer/2022060905/60a049b8f5d565330331c284/html5/thumbnails/13.jpg)
B-STDX 8000
Limite lasllamadassimultaneas• Generalmente usted no desea que ciertos usuarios no realicen
llamadas simultaneas multiples..
• Ejemplo: Servicios pagados / tarjetas telefónicas / llamadas al PSTN
Confidencial
© 2010 Callmyway NY S.A. Todos los derechos reserva dos
Solucion: setgroup, checkgroup (no confie en el incominglimit.)exten => s,1,SetGroup(${CALLERIDNUM})exten => s,2,CheckGroup(1)
Solo funciona si el CallerIDno puede ser falsificado !!!!Considere utilizar el accountcode para esto.
![Page 14: 116 11 Seguridad en Asterisk [Modo de compatibilidad] · 2020. 12. 27. · de cualquier otro modo, verifica el md5 + allow/deny. • Si el peer no se encuentra ? Permitimos el “allow](https://reader033.fdocuments.co/reader033/viewer/2022060905/60a049b8f5d565330331c284/html5/thumbnails/14.jpg)
B-STDX 8000
Sip.conf
• Default context• Bindport, bindhost, bindip• [username] vs username=• Permit, deny, mask • Insecure=yes, very, no• User vs peer vs friend
Confidencial
© 2010 Callmyway NY S.A. Todos los derechos reserva dos
• Allowguest • Autocreatepeer• Pedantic• Ospauth• Realm• Md5secret• User authentication logic• Username= vs [username]
![Page 15: 116 11 Seguridad en Asterisk [Modo de compatibilidad] · 2020. 12. 27. · de cualquier otro modo, verifica el md5 + allow/deny. • Si el peer no se encuentra ? Permitimos el “allow](https://reader033.fdocuments.co/reader033/viewer/2022060905/60a049b8f5d565330331c284/html5/thumbnails/15.jpg)
B-STDX 8000
Bindport, bindhost,bindip
• Si usted utiliza SIP únicamente para llamadasinternas, no configure bindip=0.0.0.0, más bienlimitelo a la IP interna.
Confidencial
© 2010 Callmyway NY S.A. Todos los derechos reserva dos
• Cambiar el bindport hacia uno que no sea el puerto 5060 podría salvarle de barridas de escaneo de puerto hacia este puerto.
![Page 16: 116 11 Seguridad en Asterisk [Modo de compatibilidad] · 2020. 12. 27. · de cualquier otro modo, verifica el md5 + allow/deny. • Si el peer no se encuentra ? Permitimos el “allow](https://reader033.fdocuments.co/reader033/viewer/2022060905/60a049b8f5d565330331c284/html5/thumbnails/16.jpg)
B-STDX 8000
Permit, deny, mask
• Bloquee todo, luego permita por usuario lo permitido y sus rangos.
(Multiple es permitido)
Confidencial
© 2010 Callmyway NY S.A. Todos los derechos reserva dos
![Page 17: 116 11 Seguridad en Asterisk [Modo de compatibilidad] · 2020. 12. 27. · de cualquier otro modo, verifica el md5 + allow/deny. • Si el peer no se encuentra ? Permitimos el “allow](https://reader033.fdocuments.co/reader033/viewer/2022060905/60a049b8f5d565330331c284/html5/thumbnails/17.jpg)
B-STDX 8000
SIP.conf – opcioninseguraInsecure = …• No: la opcion por defecto siempre pregunta por
autenticación• Si: Aceptar un peer basado únicamente en su
dirección.• insecure=very ; permitir servidores registrados llamar
Confidencial
© 2010 Callmyway NY S.A. Todos los derechos reserva dos
• insecure=very ; permitir servidores registrados llamar sin reautenticar y validar únicamente por dirección IP
• insecure=port; no importa si el portnumber es diferente de cuando se registraron
• insecure=invite; cada invite es aceptado.
![Page 18: 116 11 Seguridad en Asterisk [Modo de compatibilidad] · 2020. 12. 27. · de cualquier otro modo, verifica el md5 + allow/deny. • Si el peer no se encuentra ? Permitimos el “allow](https://reader033.fdocuments.co/reader033/viewer/2022060905/60a049b8f5d565330331c284/html5/thumbnails/18.jpg)
B-STDX 8000
User vs Peer vs Friend en SIP
• USER: nunca registra, solo realiza llamadas• PEER: puede registrarse + puede realizar llamadas.
[user1]type=user
Confidencial
© 2010 Callmyway NY S.A. Todos los derechos reserva dos
type=user[user1]type=peer
Con type=friend si los otros paramentros son identicos!!!
![Page 19: 116 11 Seguridad en Asterisk [Modo de compatibilidad] · 2020. 12. 27. · de cualquier otro modo, verifica el md5 + allow/deny. • Si el peer no se encuentra ? Permitimos el “allow](https://reader033.fdocuments.co/reader033/viewer/2022060905/60a049b8f5d565330331c284/html5/thumbnails/19.jpg)
B-STDX 8000
Allowguest =…
• True: usuarios sin autenticar utilizaran en el contexto por defecto segun se define en sip.conf
• False: usuariossin autenticarobtendranun
Confidencial
© 2010 Callmyway NY S.A. Todos los derechos reserva dos
• False: usuariossin autenticarobtendranun mensaje de “permission denied error”.
• OSP: para permitir a acceso de invitado paratráfico VoIP desde un servidor OSP.
![Page 20: 116 11 Seguridad en Asterisk [Modo de compatibilidad] · 2020. 12. 27. · de cualquier otro modo, verifica el md5 + allow/deny. • Si el peer no se encuentra ? Permitimos el “allow](https://reader033.fdocuments.co/reader033/viewer/2022060905/60a049b8f5d565330331c284/html5/thumbnails/20.jpg)
B-STDX 8000
autocreatepeer
• La opción autocreatepeer permite, si puesta en Yes (sí) a cualquier SIP UA (User Agent) a registrarse en su PBX Asterik como peer . Esta configuración peer estará basada en las opciones globales. El nombre del peer se basará en el usuario del contacto: El campo
Confidencial
© 2010 Callmyway NY S.A. Todos los derechos reserva dos
peer se basará en el usuario del contacto: El campo del header del URL
Este es un riesgo de seguridad muy alto si usted no cuenta con buen control de acceso a su servidor.
![Page 21: 116 11 Seguridad en Asterisk [Modo de compatibilidad] · 2020. 12. 27. · de cualquier otro modo, verifica el md5 + allow/deny. • Si el peer no se encuentra ? Permitimos el “allow](https://reader033.fdocuments.co/reader033/viewer/2022060905/60a049b8f5d565330331c284/html5/thumbnails/21.jpg)
B-STDX 8000
Pedantic
• La opcion por defecto para pedantic=no
• Si se habilita (yes), podría permitir un “denial of service” o DOS al enviar una gran cantidadde invites, causandomuchos(y lentos) DNS
Confidencial
© 2010 Callmyway NY S.A. Todos los derechos reserva dos
de invites, causandomuchos(y lentos) DNS lookups.
![Page 22: 116 11 Seguridad en Asterisk [Modo de compatibilidad] · 2020. 12. 27. · de cualquier otro modo, verifica el md5 + allow/deny. • Si el peer no se encuentra ? Permitimos el “allow](https://reader033.fdocuments.co/reader033/viewer/2022060905/60a049b8f5d565330331c284/html5/thumbnails/22.jpg)
B-STDX 8000
Ámbito (Realm)
• Realm=Asterisk; Ámbito de la autenticaciónimplicita;
Por defecto “Asterisk“;
Los ambitos(realms) deberíanser globalmente
Confidencial
© 2010 Callmyway NY S.A. Todos los derechos reserva dos
Los ambitos(realms) deberíanser globalmenteúnicos de acuerdo a la especificación RFC 3261;
Establezca este según su nombre único de servidor o dominio.
![Page 23: 116 11 Seguridad en Asterisk [Modo de compatibilidad] · 2020. 12. 27. · de cualquier otro modo, verifica el md5 + allow/deny. • Si el peer no se encuentra ? Permitimos el “allow](https://reader033.fdocuments.co/reader033/viewer/2022060905/60a049b8f5d565330331c284/html5/thumbnails/23.jpg)
B-STDX 8000
¿Como se realizala autenticación?
• Se busca en el FROM del header SIP por el username:
-> busque en sip.conf por un type=user con el usuarioSi lo encuentra -> verifique el md5Si no lo encuentra:
-> busque el sip.conf por un type=peer con el usuario-> busque el sip.confpor una IP (registrada) donde la solicitud viene de:
Confidencial
© 2010 Callmyway NY S.A. Todos los derechos reserva dos
-> busque el sip.confpor una IP (registrada) donde la solicitud viene de:if insecure=very, no se realizan más verificacionesif insecure=port, si desea autenticarlos, aún en el caso que se encuentren llamadando de un puerto diferente del que se han registrado. (Se utiliza para NAT TRAVERSAL en donde no se utiliza el mismo puerto todo el tiempo).de cualquier otro modo, verifica el md5 + allow/deny.
• Si el peer no se encuentra ? Permitimos el “allow guest access” (allowguest=true ?)• SI? OK, el allow se envia al contexto por defecto, si NO, se rechaza.
![Page 24: 116 11 Seguridad en Asterisk [Modo de compatibilidad] · 2020. 12. 27. · de cualquier otro modo, verifica el md5 + allow/deny. • Si el peer no se encuentra ? Permitimos el “allow](https://reader033.fdocuments.co/reader033/viewer/2022060905/60a049b8f5d565330331c284/html5/thumbnails/24.jpg)
B-STDX 8000
Secret vsmd5secret
• Con SIP todos los passwords son encriptadosbajo el md5 al enviarse los paquetes, pero se almacenan en un archivo plano en sip.conf(estoaplicaparaAsterisk)
Confidencial
© 2010 Callmyway NY S.A. Todos los derechos reserva dos
(estoaplicaparaAsterisk)
• [user]
• Secret=blabla
![Page 25: 116 11 Seguridad en Asterisk [Modo de compatibilidad] · 2020. 12. 27. · de cualquier otro modo, verifica el md5 + allow/deny. • Si el peer no se encuentra ? Permitimos el “allow](https://reader033.fdocuments.co/reader033/viewer/2022060905/60a049b8f5d565330331c284/html5/thumbnails/25.jpg)
B-STDX 8000
Secret vsmd5secret
• echo - n "<user>:<realm>:<secret>" | md5sum
• Ejemplo:
echo -n "user:asterisk:blabla" | md5sum
e1b588233e4bc8645cc0da24d8cb848d
Confidencial
© 2010 Callmyway NY S.A. Todos los derechos reserva dos
e1b588233e4bc8645cc0da24d8cb848d
[user]md5secret=e1b588233e4bc8645cc0da24d8cb848d
![Page 26: 116 11 Seguridad en Asterisk [Modo de compatibilidad] · 2020. 12. 27. · de cualquier otro modo, verifica el md5 + allow/deny. • Si el peer no se encuentra ? Permitimos el “allow](https://reader033.fdocuments.co/reader033/viewer/2022060905/60a049b8f5d565330331c284/html5/thumbnails/26.jpg)
B-STDX 8000
Username= vs [username]• [username] es para autenticar un cliente que se
esta conectando al asterisk.
Username=… esparaquesuservidorAsterikse
Confidencial
© 2010 Callmyway NY S.A. Todos los derechos reserva dos
Username=… esparaquesuservidorAsterikse autentique a otro servidor SIP.
![Page 27: 116 11 Seguridad en Asterisk [Modo de compatibilidad] · 2020. 12. 27. · de cualquier otro modo, verifica el md5 + allow/deny. • Si el peer no se encuentra ? Permitimos el “allow](https://reader033.fdocuments.co/reader033/viewer/2022060905/60a049b8f5d565330331c284/html5/thumbnails/27.jpg)
B-STDX 8000
Iax.conf
• auth=texto,md5,rsa
• Logica de autenticación de usuarios
• Context por defecto
Confidencial
© 2010 Callmyway NY S.A. Todos los derechos reserva dos
• [username] vs username=
• Permit, deny, mask
• Bindport, bindhost, bindip
• User vs peer vs friend
![Page 28: 116 11 Seguridad en Asterisk [Modo de compatibilidad] · 2020. 12. 27. · de cualquier otro modo, verifica el md5 + allow/deny. • Si el peer no se encuentra ? Permitimos el “allow](https://reader033.fdocuments.co/reader033/viewer/2022060905/60a049b8f5d565330331c284/html5/thumbnails/28.jpg)
B-STDX 8000
iax.conf - auth
• Plaintext: las claves con enviadas en textoplano
• Md5: encrypta la clave (password) utilizandomd5
Confidencial
© 2010 Callmyway NY S.A. Todos los derechos reserva dos
md5
• RSA: utiliza una llave pública
• AES: utiliza una llave privada.
![Page 29: 116 11 Seguridad en Asterisk [Modo de compatibilidad] · 2020. 12. 27. · de cualquier otro modo, verifica el md5 + allow/deny. • Si el peer no se encuentra ? Permitimos el “allow](https://reader033.fdocuments.co/reader033/viewer/2022060905/60a049b8f5d565330331c284/html5/thumbnails/29.jpg)
B-STDX 8000
User vs Peer vs friend
• USER: solo puede aceptar llamadas• PEER: solo puede realizar llamadas• FRIEND: puede realizar ambas
[user1]
Confidencial
© 2010 Callmyway NY S.A. Todos los derechos reserva dos
[user1]type=user[user1]type=peer
Es permitido!!!
![Page 30: 116 11 Seguridad en Asterisk [Modo de compatibilidad] · 2020. 12. 27. · de cualquier otro modo, verifica el md5 + allow/deny. • Si el peer no se encuentra ? Permitimos el “allow](https://reader033.fdocuments.co/reader033/viewer/2022060905/60a049b8f5d565330331c284/html5/thumbnails/30.jpg)
B-STDX 8000
Como se realizala autenticación?• En iax2: (encabezado-cvs!!)
Pseudocodigo:Viene un usuario ?
-> sí -> comparelo contra los usuarios en iax.conf, iniciando de abajo hacia arriba.encontro el usuario ?
-> sí : esta en el IP in allowed / disallowed list ?si –> encontró el password ?
si -> el contexto requerido calza con una linea del contexto?
Confidencial
© 2010 Callmyway NY S.A. Todos los derechos reserva dos
-> si -> viene un password ?-> si : Asterisk buscara de abajo hacia arriba por un usuario con esa clave,
-> si el contexto calza o no hay contexto especificado y el host se encuentra en el “allowed list” (allow / deny) entonces la llamada es aceptada.
-> no: Asterisk buscará de abajo hacia arriba por algun usuario sin clave.-> si el contexto calza o no hay contexto especificado y el host se encuentra en el “allowed lists” (allow / deny) entonces la llamada es aceptada.
![Page 31: 116 11 Seguridad en Asterisk [Modo de compatibilidad] · 2020. 12. 27. · de cualquier otro modo, verifica el md5 + allow/deny. • Si el peer no se encuentra ? Permitimos el “allow](https://reader033.fdocuments.co/reader033/viewer/2022060905/60a049b8f5d565330331c284/html5/thumbnails/31.jpg)
B-STDX 8000
Confidencial
© 2010 Callmyway NY S.A. Todos los derechos reserva dos
![Page 32: 116 11 Seguridad en Asterisk [Modo de compatibilidad] · 2020. 12. 27. · de cualquier otro modo, verifica el md5 + allow/deny. • Si el peer no se encuentra ? Permitimos el “allow](https://reader033.fdocuments.co/reader033/viewer/2022060905/60a049b8f5d565330331c284/html5/thumbnails/32.jpg)
B-STDX 8000• Agregue cuando menos una entrada en iax.conf sin clave para forzar los “nosecret” a un contexto especifico.
• Si ustedutiliza tiemporeal (realtime), no
Confidencial
© 2010 Callmyway NY S.A. Todos los derechos reserva dos
• Si ustedutiliza tiemporeal (realtime), no utilice ningun usuario sin password y sin permit/deny.
![Page 33: 116 11 Seguridad en Asterisk [Modo de compatibilidad] · 2020. 12. 27. · de cualquier otro modo, verifica el md5 + allow/deny. • Si el peer no se encuentra ? Permitimos el “allow](https://reader033.fdocuments.co/reader033/viewer/2022060905/60a049b8f5d565330331c284/html5/thumbnails/33.jpg)
B-STDX 8000
Manager.conf
[general]enabled = yesport = 5038bindaddr = 0.0.0.0
[zoa]
Confidencial
© 2010 Callmyway NY S.A. Todos los derechos reserva dos
[zoa]secret = blabladeny=0.0.0.0/0.0.0.permit=221.17.246.77/255.255.255.0permit=127.0.0.1/255.255.255.0read = system,call,log,verbose,command,agent,userwrite = system,call,log,verbose,command,agent,user
![Page 34: 116 11 Seguridad en Asterisk [Modo de compatibilidad] · 2020. 12. 27. · de cualquier otro modo, verifica el md5 + allow/deny. • Si el peer no se encuentra ? Permitimos el “allow](https://reader033.fdocuments.co/reader033/viewer/2022060905/60a049b8f5d565330331c284/html5/thumbnails/34.jpg)
B-STDX 8000
Manager.conf
• No se utiliza encripcion, hasta la clave se almacena en texto plano.
• No lo habiliteen unaIP pública.
Confidencial
© 2010 Callmyway NY S.A. Todos los derechos reserva dos
• No lo habiliteen unaIP pública.• Puede utilizarhttp://www.stunnel.org/• Vigile con programas de administración con
acceso directo al interface del administrados.• Limite los privilegios por usuario
(especialmente los del sistema!!!).
![Page 35: 116 11 Seguridad en Asterisk [Modo de compatibilidad] · 2020. 12. 27. · de cualquier otro modo, verifica el md5 + allow/deny. • Si el peer no se encuentra ? Permitimos el “allow](https://reader033.fdocuments.co/reader033/viewer/2022060905/60a049b8f5d565330331c284/html5/thumbnails/35.jpg)
B-STDX 8000
SeguridadAsterisk
• Asterisk: Configuracion descuidada
• Endureciendo Asterisk
• Protección de Privacidad
Confidencial
© 2010 Callmyway NY S.A. Todos los derechos reserva dos
![Page 36: 116 11 Seguridad en Asterisk [Modo de compatibilidad] · 2020. 12. 27. · de cualquier otro modo, verifica el md5 + allow/deny. • Si el peer no se encuentra ? Permitimos el “allow](https://reader033.fdocuments.co/reader033/viewer/2022060905/60a049b8f5d565330331c284/html5/thumbnails/36.jpg)
B-STDX 8000
EndureciendoAsterisk• Asterisk no como un “root user”• Instale Asterisk en CHROOT• Instale Asterisk en una CARCEL (in a JAIL)• Instale Asterisk con permisos limitados de lectura y escritura
(read / write)• ZAPTEL kernel modules
Confidencial
© 2010 Callmyway NY S.A. Todos los derechos reserva dos
• ZAPTEL kernel modules• Asterisk firewalling / shaping / NAT• Tty9• Linux hardening• Remote logging• Tripwire• Limite los procesos de sistema que corren en el servidor
![Page 37: 116 11 Seguridad en Asterisk [Modo de compatibilidad] · 2020. 12. 27. · de cualquier otro modo, verifica el md5 + allow/deny. • Si el peer no se encuentra ? Permitimos el “allow](https://reader033.fdocuments.co/reader033/viewer/2022060905/60a049b8f5d565330331c284/html5/thumbnails/37.jpg)
B-STDX 8000
Asterisk como no root (root user)NOTA: Si no esta seguro de los resultados de los siguientes comandos,
consultar a algún técnico antes de ejecutarlos.adduser --system --home /var/lib/asterisk --no-create-home Asterisk chown -r asterisk:asterisk /var/lib/asterisk chown -r asterisk:asterisk /var/log/asterisk chown -r asterisk:asterisk /var/run/asterisk chown -r asterisk:asterisk /var/spool/asterisk chown -r asterisk:asterisk /dev/zap chown -r root:asterisk /etc/asterisk
Confidencial
© 2010 Callmyway NY S.A. Todos los derechos reserva dos
chmod -r u=rwX,g=rX,o= /var/lib/asterisk chmod -r u=rwX,g=rX,o= /var/log/asterisk chmod -r u=rwX,g=rX,o= /var/run/asterisk chmod -r u=rwX,g=rX,o= /var/spool/asterisk chmod -r u=rwX,g=rX,o= /dev/zap chmod -r u=rwX,g=rX,o= /etc/asterisk chown asterisk /dev/tty9 su asterisk -c /usr/sbin/safe_asterisk or Asterisk -U asterisk -G asterisk
![Page 38: 116 11 Seguridad en Asterisk [Modo de compatibilidad] · 2020. 12. 27. · de cualquier otro modo, verifica el md5 + allow/deny. • Si el peer no se encuentra ? Permitimos el “allow](https://reader033.fdocuments.co/reader033/viewer/2022060905/60a049b8f5d565330331c284/html5/thumbnails/38.jpg)
B-STDX 8000• Instale Asterisk sin permisos de escritura parasus archivos de configuración (config) y quecorra como un “non root”
Asterisk con permisos limitados de escritura y lectura(read / write permissions)
Confidencial
© 2010 Callmyway NY S.A. Todos los derechos reserva dos
• En el indeseado caso que alguien ingrese a travez de su Asterik, su dial plan es vulnerable mediante el CLI o el administrador.
![Page 39: 116 11 Seguridad en Asterisk [Modo de compatibilidad] · 2020. 12. 27. · de cualquier otro modo, verifica el md5 + allow/deny. • Si el peer no se encuentra ? Permitimos el “allow](https://reader033.fdocuments.co/reader033/viewer/2022060905/60a049b8f5d565330331c284/html5/thumbnails/39.jpg)
B-STDX 8000
Asterisk en chroot
• Cambiar el directorio visibles a asterisk a otro que no sea la raiz, ejemplo: /foo/bar
• Es de poca utilidad si asterisk corre como root y perl o gcc se encuentran disponibles.
Confidencial
© 2010 Callmyway NY S.A. Todos los derechos reserva dos
y perl o gcc se encuentran disponibles.
![Page 40: 116 11 Seguridad en Asterisk [Modo de compatibilidad] · 2020. 12. 27. · de cualquier otro modo, verifica el md5 + allow/deny. • Si el peer no se encuentra ? Permitimos el “allow](https://reader033.fdocuments.co/reader033/viewer/2022060905/60a049b8f5d565330331c284/html5/thumbnails/40.jpg)
B-STDX 8000
Asterisk en unacarcel
• Cambios en el directorio raiz (root) visibles a Asterik.
• Limite a una lista los
Confidencial
© 2010 Callmyway NY S.A. Todos los derechos reserva dos
• Limite a una lista los comandos / programas que cualquier usuario ene esta carcel pude ejecutar.
• Expanción de chroot.
![Page 41: 116 11 Seguridad en Asterisk [Modo de compatibilidad] · 2020. 12. 27. · de cualquier otro modo, verifica el md5 + allow/deny. • Si el peer no se encuentra ? Permitimos el “allow](https://reader033.fdocuments.co/reader033/viewer/2022060905/60a049b8f5d565330331c284/html5/thumbnails/41.jpg)
B-STDX 8000
MódulosZaptel kernel
• Zaptel es únicamente un módulo, no se puede poner en el kernel.
• A los hackers le gusta esconderse en un módulo, hacer “backdor” en algun módulo, compilarlo,
Confidencial
© 2010 Callmyway NY S.A. Todos los derechos reserva dos
hacer “backdor” en algun módulo, compilarlo, cargarlo en memoria y remueve cualquier trazo del mismo en el disco.
• Uster puede realizar una verificación md5de los módulos Zapatel en el kernel.
![Page 42: 116 11 Seguridad en Asterisk [Modo de compatibilidad] · 2020. 12. 27. · de cualquier otro modo, verifica el md5 + allow/deny. • Si el peer no se encuentra ? Permitimos el “allow](https://reader033.fdocuments.co/reader033/viewer/2022060905/60a049b8f5d565330331c284/html5/thumbnails/42.jpg)
B-STDX 8000
Firewalling / shaping / NAT
• Bloquee todos excepto los puertos que realmente necesita. (5060, 4569, …)
• Los puetos RTP tambien (en rtp.conf)
Confidencial
© 2010 Callmyway NY S.A. Todos los derechos reserva dos
• Los puetos RTP tambien (en rtp.conf)
Nota: No esta mal verificar si su ISP bloquea el rango de puerto en el rango definido en RTP.conf
![Page 43: 116 11 Seguridad en Asterisk [Modo de compatibilidad] · 2020. 12. 27. · de cualquier otro modo, verifica el md5 + allow/deny. • Si el peer no se encuentra ? Permitimos el “allow](https://reader033.fdocuments.co/reader033/viewer/2022060905/60a049b8f5d565330331c284/html5/thumbnails/43.jpg)
B-STDX 8000
Limite el accesoa tty9
• safe_asterisk abre una consola en tty9.
Esta no requiere una clave y provee acceso “root” a cualquiera que por ahí pase.
Confidencial
© 2010 Callmyway NY S.A. Todos los derechos reserva dos
“root” a cualquiera que por ahí pase.
(al utilizar el commando !command en el CLI (Command line interface)).
• Remueva el comando, o no utilice “safe_asterisk”
![Page 44: 116 11 Seguridad en Asterisk [Modo de compatibilidad] · 2020. 12. 27. · de cualquier otro modo, verifica el md5 + allow/deny. • Si el peer no se encuentra ? Permitimos el “allow](https://reader033.fdocuments.co/reader033/viewer/2022060905/60a049b8f5d565330331c284/html5/thumbnails/44.jpg)
B-STDX 8000
EndureciendoLinux
• GRsec (2.6.x)
• Openwall (2.4.x)
• Remueva todo lo que no necesita.
Confidencial
© 2010 Callmyway NY S.A. Todos los derechos reserva dos
![Page 45: 116 11 Seguridad en Asterisk [Modo de compatibilidad] · 2020. 12. 27. · de cualquier otro modo, verifica el md5 + allow/deny. • Si el peer no se encuentra ? Permitimos el “allow](https://reader033.fdocuments.co/reader033/viewer/2022060905/60a049b8f5d565330331c284/html5/thumbnails/45.jpg)
B-STDX 8000
AccesoRemoto
• Remote syslog
• Instale todos los “log files” en un servidorremoto.
Confidencial
© 2010 Callmyway NY S.A. Todos los derechos reserva dos
![Page 46: 116 11 Seguridad en Asterisk [Modo de compatibilidad] · 2020. 12. 27. · de cualquier otro modo, verifica el md5 + allow/deny. • Si el peer no se encuentra ? Permitimos el “allow](https://reader033.fdocuments.co/reader033/viewer/2022060905/60a049b8f5d565330331c284/html5/thumbnails/46.jpg)
B-STDX 8000
Tripwire
• Realiza comprobaciones de todos los archivosimportantes en el servidor y verifica porcambios que usted no realizó.
Confidencial
© 2010 Callmyway NY S.A. Todos los derechos reserva dos
![Page 47: 116 11 Seguridad en Asterisk [Modo de compatibilidad] · 2020. 12. 27. · de cualquier otro modo, verifica el md5 + allow/deny. • Si el peer no se encuentra ? Permitimos el “allow](https://reader033.fdocuments.co/reader033/viewer/2022060905/60a049b8f5d565330331c284/html5/thumbnails/47.jpg)
B-STDX 8000
Limite los procesosdel servidor
• Un servidor Asterisk debe de ser únicamente:
- OS + ASTERISK.
- Sin Base de datos
Confidencial
© 2010 Callmyway NY S.A. Todos los derechos reserva dos
- Sin Base de datos
- Sin APACHE
- Sin PHP
(Si realmente los necesita y no cuenta con suficientesservidores, no lo instale en una IP pública e instale un Firewall!!!)
![Page 48: 116 11 Seguridad en Asterisk [Modo de compatibilidad] · 2020. 12. 27. · de cualquier otro modo, verifica el md5 + allow/deny. • Si el peer no se encuentra ? Permitimos el “allow](https://reader033.fdocuments.co/reader033/viewer/2022060905/60a049b8f5d565330331c284/html5/thumbnails/48.jpg)
B-STDX 8000
SeguridadAsterisk
• Asterisk: Configuracion descuidada
• Endureciendo Asterisk
• Protección de Privacidad
Confidencial
© 2010 Callmyway NY S.A. Todos los derechos reserva dos
![Page 49: 116 11 Seguridad en Asterisk [Modo de compatibilidad] · 2020. 12. 27. · de cualquier otro modo, verifica el md5 + allow/deny. • Si el peer no se encuentra ? Permitimos el “allow](https://reader033.fdocuments.co/reader033/viewer/2022060905/60a049b8f5d565330331c284/html5/thumbnails/49.jpg)
B-STDX 8000
Privacidaden Asterisk
• Encrypción
• Monitoreo
• Falsificación de CallerID
Confidencial
© 2010 Callmyway NY S.A. Todos los derechos reserva dos
• CallingPRES
![Page 50: 116 11 Seguridad en Asterisk [Modo de compatibilidad] · 2020. 12. 27. · de cualquier otro modo, verifica el md5 + allow/deny. • Si el peer no se encuentra ? Permitimos el “allow](https://reader033.fdocuments.co/reader033/viewer/2022060905/60a049b8f5d565330331c284/html5/thumbnails/50.jpg)
B-STDX 8000
Encripciónde llamadas- SIP
• SRTP -> método para encriptar paquetes de voz.
• TLS -> método para encriptar paquetes de señalización.
Confidencial
© 2010 Callmyway NY S.A. Todos los derechos reserva dos
señalización.
�Ambos no se encuentran soportados porasterisk.
![Page 51: 116 11 Seguridad en Asterisk [Modo de compatibilidad] · 2020. 12. 27. · de cualquier otro modo, verifica el md5 + allow/deny. • Si el peer no se encuentra ? Permitimos el “allow](https://reader033.fdocuments.co/reader033/viewer/2022060905/60a049b8f5d565330331c284/html5/thumbnails/51.jpg)
B-STDX 8000
Encripciónde llamadas – SoluciónGeneral
• Envíe sus paquetes mediante un VPN o un tunel.
• Utilice únicamentetunelesUDP paraevitar
Confidencial
© 2010 Callmyway NY S.A. Todos los derechos reserva dos
• Utilice únicamentetunelesUDP paraevitarretrasos.
Se conoce que trabajen:
�IPSEC, VTUN, OPENVPN.
![Page 52: 116 11 Seguridad en Asterisk [Modo de compatibilidad] · 2020. 12. 27. · de cualquier otro modo, verifica el md5 + allow/deny. • Si el peer no se encuentra ? Permitimos el “allow](https://reader033.fdocuments.co/reader033/viewer/2022060905/60a049b8f5d565330331c284/html5/thumbnails/52.jpg)
B-STDX 8000
Encripciónde llamadas–Soluciónmediantetunnel
�Ventaja, la encripción es cara en recursos de CPU y solo se puede realizar en una maquinapoderosay dedicada.
Confidencial
© 2010 Callmyway NY S.A. Todos los derechos reserva dos
poderosay dedicada.
� Desventaja: no trabaja en “hardphones” o ATA’s sin agregar un servidor adicionaldelante de ellos.