Skip to content

Anonymous sip calls in Elastix 2.2.0

noviembre 29, 2011

Hace unos meses se lanzo la flamante nueva versión  de Elastix , la 2.2.0 , donde se anunciaban , todo un conjunto de mejoras ,no solo a nivel de administración , si no también a nivel de seguridad.

No lo pensé mucho y actualice la pbx , y después de usarla aproximadamente 1 semana , no me puedo quejar , puedo comprobar que esta nueva versión es muy estable , ya que  la 2.0.x no me había dejado muy buena sensación en ese sentido.

Desde ya, la mayor novedad es el uso de Asterisk 1.8.7.0 , y la muy renovada interfase de usuario , que ahora viene con una pestaña “Security” en donde se puede configurar fácilmente la apertura y cerrado de puertos, lo cua les muy importante.

Después de afinarlo y darle alguna seguridad básica a ssh , decidí que los mas duros críticos en la red , para validar la seguridad de las IP PBX , me hagan el favor, estoy hablando de mis amigos de Europa del este , japon , etc.etc. A estas alturas pienso que nos andamos siguiendo los pasos :D , es por ello que no configure  fail2ban ni sipcheck para revisar logs.

Después de unos días , como esperaba tenia un incidente , que a continuación detallo :

1.- PRIMERA EVIDENCIA – REPORTES
El domingo pasado , revisando los reportes , me pareció raro , ver este tipo de registro:

Donde la información detalla , llamadas desde el canal “SIP/62.146.72.141-0000002a”  con destino a la estension “s”  respondida y con duración de 13s. lo cual me alarmo un poco,

2.- SEGUNDA EVIDENCIA – LOGS

Luego de ir a los logs, y revirarlo , pude encontrar lo siguiente :

A) Primer registro

Numero llamado : 00442032987303
Destino : Gran Bretaña
Tipo de llamada : llamada en modalidad anónima
Respuesta a nivel de software : la llamada es respondida y fuerza espera (wait) de 2 segundos y luego el canal se corta.

B) Segundo  registro

Numero llamado : 001442032987303
Destino : EEUU
Tipo de llamada : llamada en modalidad anónima
Respuesta a nivel de software : la llamada es respondida y reproduce el audio “ss-noservice” y luego el canal se cierra.

C) Tercer  registro

Numero llamado : 900442032987306
Destino : Gran Bretaña
Tipo de llamada : llamada en modalidad anónima
Respuesta a nivel de software : la llamada es respondida y fuerza espera (wait) de 2 segundos, luego reproduce el audio “ss-noservice”

3.- ANALISIS DEL DIALPLAN

Los registros mostrados en el punto 2 , muestra que todos los intentos , son procesados por el contexto “from-sip-external”  , realizando una revisión al “extensions.conf” encontramos dicho contexto.

Observaciones:

- Al inicio del conexto, existe unos comentarios que se puede traducir “Si esto realmente intenta lo que se quiere hacer , Sabemos que existe quejas en Asterisk al respecto de esto, pero sabemos los que estamos haciendo, esto es correcto”

- El dialplan del contexto en general lo que hace es evaluar el origen de la llamada, comprueba que es una llamada sin autentificar , y reproduce los audios no-service y los tonos congestions

4.- CONCLUSIONES

- Mejoras en el desarrollo , Es claro que estos arreglos ,  muestran el gran esfuerzo del equipo de Elastix , en tener un producto, cada vez con menos vectores, a nivel de seguridad,  y el trabajo en conjunto con los desarrolladores de Freepbx,

-  Vector cubierto , Cabe señalar que el vector esta ahí, Cabe señalar que el vector esta hay , mas halla de que tenga la opción “Allow Anonymous sip calls” con el valor “no” , es decir es posible realizar este tipo de intentos, sin embargo , no cumple su objetivo , lo cua les muy importante y que no sucedía en versiones anteriores, que es finalmente efectuar llamadas salientes.

- El candado, Por el contrario los atacantes , se encuentran con lo que se podría llamar “un candado a nivel dialplan” , esto me hace recordar algo que están llamando “anonymatron” usado para llamadas entrantes de ofertas.

Vamos a ver, que otras cosas iremos encontrando en el tiempo, para los que estamos del lado de la seguridad, desde ya espero que les sirva la información y felicitaciones al equipo de Elastix por darnos esta nueva versión,


About these ads

From → Asterisk, Hacking

13 comentarios
  1. A ver si entendí. Esto lo que significa es que aunque en el peor de los casos lograran ingresar a mi servidor, al intentar hacer llamadas anónimas, siempre se van a encontrar con el audio del sistema “ss-noservice” y luego el canal se cerrará tumbando la llamada?

  2. Hola

    Eso es correcto !!! , pero puntualizar que en este tipo de incidente específicamente , no es que “entren al servidor”, acuérdate que van al diseño de protocolo sip propiamente, y para eso en esta nueva versión tenemos la herramienta firewall, que han incorporado , donde podemos configurar quien podrá “escuchar” el puerto SIP.

    Debido a esto, me parece , que el uso del nuevo firewall , amerita un nuevo post :D

    Gracias por leer el blog
    Saludos
    Juan Oliva

  3. Excelente articulo Juan, muy interesante.
    Saludos

  4. Andres Gregori permalink

    buen articulo Juan!

    ya soy seguidor de este blog!

  5. Excelente Post Juan y en espera del nuevo!

  6. Juan Felipe Mora permalink

    Juan, por favor me indicas como puedo corregir el problema que la llamadas entrantes se corten a los 20 segundo despues de esta establecidas.

  7. Juan Felipe
    Como entenderás necesito mas información sobre tu problema, ya que lo que indicas es muy genérico.

    De primera mano necesitaría saber, las llamadas salientes por donde salen, trunk sip o PSTN ,
    – Si es por trunk sip, que codec usas, con cuanto ancho de banda cuentas , cantidad de llamadas simultaneas.
    – Si es por PSTN , que tipo de linea troncal , análoga o digital , tipo de tarjeta.

    Todas las llamadas se cortan ? , solo algunas ?

    Saludos
    Juan Oliva

  8. Camilo Gonzalez permalink

    Juan Felipe, Respetuosamente considero que este no es el espacio para resolver ese tipo de dudas técnicas pues es un espacio de opinión, concertación y/o disertación respetuosa.

    Por otra parte, esa reclamación tuya me parece desafiante por lo que te digo que nadie está en la obligación de responder a las preguntas de los demás. Porqué no buscas en los foros de Elastix?

  9. Mario Cervantes permalink

    Buenos dias, me estoy iniciando en este mundo de Elastix y agradezco mucho al Sr. Oliva por su valiosa informacion.
    Referente al Sr.Juan Felipe, creo que su problema es con el software que esta usando, yo estoy usando eyebeam y le tuve que configurar el tipo de servicio de internet que estoy usando para que no me cortara las llamadas salientes en los primeros 30 segundos de la llamada. Espero le sirva la informacion.
    Saludos.

  10. Otro detalle BIEN IMPORTANTE:

    Si dejan expuesto su server a Internet, SOLO DEJEN LOS PUERTOS EXTRICTAMENTE NECESARIOS…porque supe de gente que les atacaron por HTTPS (Puerto 443) y podrían hacer llamadas internacionales explotando elementos PHP (admin/config.php).

    CIERREN puertos 443

  11. flakomen permalink

    Hola jroliva

    Soy nuevo en el tema y me sucedio lo mismo, debo preocuparme? la troncal que aparece es una ip publica y no la troncal que usamos para realizar llamadas, por otro lado me gustaria saber como puedo solucionar este inconveniente, ya que son varios miles de los registros que tengo.

    Saludos y admiro tu trabajo!

  12. Io conozco un servicio tòtalmente libre para descubrir todas las llamadas anònimas! Se llama Whooming

Deja un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 98 seguidores

%d personas les gusta esto: