Asterisk — es la centralita IP (PBX) demasiado valiosa para los piratas informáticos. Después de haber tenido acceso a su trunk, los piratas informáticos pueden realizar llamar a todo el mundo desde sus terminales.
En los últimos años, hemos visto docenas de casos de piratería informática, en su mayoría los casos terminan con una coste de miles de dólares por llamadas a todo el mundo. Todos estos casos son a consecuencia de la negligencia e incumplimiento de las normas simples de seguridad.
¿Cuál es el peligro del hackeo para la centralita IP?
En primer lugar, los hackers buscan oportunidades para realizar las llamadas sin pagar por ellas. El gran problema de la piratería digital- es bastante difícil de detectar. Existen varias maneras para detectar un hackeo: monitoreando constantemente el flujo de llamadas a la centralita IP en tiempo real o cuando la cuenta ya ha sido pirateada. Por lo general, los ataques ocurren fuera de los horarios laborales, fines de semana y festivos. El propietario de una PBX se dará cuenta que su sistema ha sido pirateado, después de unas horas o tal vez en unos días. Es decir que los atacantes aprovecharán ese tiempo para realizar llamadas, pero el propietario de una PBX es quién pagará finalmente las facturas .
Sin embargo, muchos proveedores tienen un sistema que analiza el tráfico del cliente y notifica las llamadas sospechosas, lo que permite bloquear rápidamente a los atacantes.
¿Qué podría causar un hackeo?
Habitualmente los hackers atacan la centralita IP con acceso desde una red pública.Errores típicos del usuario: contraseña demasiado simple, el puerto SIB abierto, firewall mal configurado y falta de protección proactiva.
¿Cómo protegerse?
Existen tres niveles de protección:
1. Protección de los dispositivos conectados. En primer lugar, debe cumplir reglas de acceso al enlace troncal SIP: ACL (Lista de control de acceso). Prácticamente, esta es una limitación de las direcciones IP para las cuales se permiten la recepción y transmisión de datos. Para configurar la SIP se deben establecer las reglas de permiso / denegación, por ejemplo:
2. Restricción de las reglas del acceso. Esta parte se trata de la configuración de un firewall, que restringe el acceso remoto a Asterisk. Es importante configurar las reglas de tal manera que limite el acceso a una PBX en todas las direcciones al máximo,es decir, actuar de acuerdo con la regla: prohíba todo, permita solo lo necesario. Es preferible que el tráfico solo pueda pasar por la dirección IP de la oficina y desde las direcciones IP de los operadores.
3. Defensa proactiva. En la distribución de Sangoma en FreePBX, ya está instalado un paquete con el programa Fail2Ban. En otros sistemas, se puede instalar desde repositorios. Sin embargo, las configuraciones básicas del programa son bastante moderadas pero para mayor seguridad es mejor ajustarlas.
La aplicación escanea los registros en el servidor PBX en línea y si se detecta intentos repetidos de introducción de la contraseña incorrectamente, se bloquean las direcciones desde las que se realizaron. Es importante tener en cuenta aquí que en el servidor de Asterisk, el registro tiene que ser configurado de modo que se mantenga el registro de seguridad.
Por ejemplo, puede establecer un límite de introducción de la contraseña hasta tres intentos. Esto significa que después del tercer intento de ingresar la contraseña incorrectamente, incluso si es el mismo propietario de una PBX la ingresa, el programa bloqueará la dirección IP desde la cual se realiza el inicio de sesión. Sin embargo, la aplicación le permite agregar excepciones a sus subredes.
El protocolo de bloqueo de dos fases puede reducir efectivamente el riesgo de piratería:
-
El sistema bloquea la dirección IP durante unas horas después de las tres intentos de introducción de la contraseña incorrecta;
-
Después el programa monitorea independientemente el registro, y si esta dirección IP se bloquea varias veces durante un tiempo, este IP será bloqueado por un período de tiempo establecido por el usuario.
Una vez más, cuantos menos intentos permitidos de introducción de una contraseña, menor es el riesgo.
Bonus
Si su empresa no utiliza llamadas de larga distancia y llamadas internacionales, rechace esta opción del lado del proveedor para no sufrir las grandes pérdidas en caso de un hackeo.
¿Qué hacer en caso de hackeo?
En primer lugar, debe llamar al operador e confirmar de qué dirección IP se realizaron las llamadas sospechosas. Si resulta que es la dirección IP desconocida, entonces solicite cambiar la contraseña.
Si no tiene el tiempo o la capacidad técnica para configurar la seguridad usted mismo, pida ayuda a los profesionales. Solicite el paquete de configuración y auditoría de seguridad de FreePBX, y nos encargaremos de toda la parte técnica.
