Seguridad en Instalaciones VOIP

Consejos básicos de Seguridad en instalaciones VoIP

El presente documento recoge unas cuantas normas elementales que se aconseja tener en cuenta a la hora de realizar la instalación de servicios de voz sobre IP (VoIP). El caso general que se describe consta de una centralita virtual equipada con Asterisk que se instala en casa del cliente y que realiza y recibe las llamadas mediante un TrunKSip.

Configuración de red y cortafuegos

Un cortafuegos bien configurado ayudará a tener controladas las direcciones IP de registro en la centralita, así como servirá para prevenir ataques (DoS, por ejemplo).

Con el objeto de ocultar la topología de la red interna, se recomienda asignar direcciones IP locales a los equipos con asterisk y hacer los NAT necesarios.

Como en cualquier equipo expuesto a internet, la solución más eficaz es cerrar el cortafuegos, dejando solo abiertos los puertos imprescindibles, restringidos a las direcciones IP internas necesarias.

  • En caso de que todos los terminales de la centralita estén ubicados en la propia oficina, se aconseja cerrar todo excepto los puertos necesarios contra la dirección IP del TrunKSip.
  • Si hay terminales móviles que se conectan desde España, se sugiere limitar el acceso a sólo direcciones IP de España1.
  • Si hay terminales móviles por todo el mundo, el consejo es limitar la apertura en la medida de lo posible tanto por tiempo como por ubicación geográfica.
  • Instalar aplicaciones tipo IDS/IPS que adviertan de posibles ataques, y apli-quen automáticamente reglas en los cortafuegos si fuera necesario.
  • Fail2ban es una aplicación que analiza logs de asterisk y puede aplicar reglas en Iptables local en caso de cumplirse ciertas condiciones.
  • PortSentry realiza trabajos de monitorización de puertos. Los puertos 5060, 5061 o 4569 UDP, por ejemplo, merecen ser vigilados.
  • Aplicar en la propia configuración de asterisk todas las recomendaciones de seguridad y configuración.
  • Utilizar contraseñas seguras en todos los niveles de acceso.

Se pueden consultar los rangos de cualquier país en http://www.countryipblocks.net/

Asterisk

Mas consideraciones de seguridad

Como complemento a los consejos de aplicación en el cortafuegos, ofrecemos unas reglas que conviene tener en cuenta en la configuración de las centralitas Asterisk.

Estar al día de actualizaciones de asterisk y del sistema operativo instalado.

Revisión constante de los logs del sistema (comprobando los accesos y los in-tentos de ataques).

Consultar habitualmente sitios de internet, foros o listas de usuarios de asterisk donde se avise, se discuta y se den soluciones a agujeros en la seguridad, vul-nerabilidades y otros problemas detectados en la comunidad de usuarios2.

Una herramienta para generación automática de contraseñas, con indicación del nivel de seguridad de las mismas, se puede encontrar en http://password.es/.

Consejos específicos configuración asterisk.

  • Utilizar contraseñas complicadas (números letras, mayúsculas, guiones…) y nunca tener usuarios con el mismo “secret” y el mismo “login”.
  • Configurar redes en las que confían para el registro utilizando las opciones “permit=” y “deny=” en sip.conf.
  • Ajustar al mínimo necesario la cantidad de llamadas simultáneas que pueda hacer cada usuario configurado.
  • Dejar la regla “allowguest” en “no” para evitar que se puedan hacer llamadas no autenticadas. Por defecto suele aparecer “allowguest=yes”.
  • Configurar para cada usuario el “realm”, “defaultuser” y el parámetro “se-cret”.
  • Utilizar lo mínimo posible los contextos por defecto para configurar la salida de llamadas. Cada usuario dado de alta en el sip.conf que tenga su contexto pa-ra poder hacer sus propias llamadas salientes.
  • Acotar al máximo los rangos de números a los que pueda llamar cada usuario. Evitar siempre reglas como esta “exten => . (DIAL…” y utilizar reglas más específicas “exten => _91XXXXXXX(DIAL…”.
  • Establecer el valor de la entrada “alwaysauthreject=yes” en el archivo sip.conf. Por defecto está en “no”. Así se rechazarán los pedidos de autenticación fallidos utilizando nombres de extensiones válidas con la misma información de un rechazo de usuario inexistente.

 

FOROS DE INTERÉS SOBRE VoIP 

https://bandaancha.eu/foros/telefonia-voip

https://www.adslzone.net/foro/voz-ip.66/