Seguridad en PBX

From VoIP.ms Wiki

[draft revision]

[quality revision]

Revision as of 18:00, 5 September 2011 (view source) George (Talk | contribs) (Created page with "Based on the broad view we have of thousands of customers, leads us to believe that most of the hacking cases for the purpose of placing unwanted calls, can be avoided my followi...") ← Older edit		Latest revision as of 21:40, 6 November 2020 (view source) RP (Talk | contribs)
(13 intermediate revisions not shown)
Line 1:		Line 1:
-	Based on the broad view we have of thousands of customers, leads us to believe that most of the hacking cases for the purpose of placing unwanted calls, can be avoided my following these suggestions:	+	{| class="wikitable"
		+	|+
		+	|-
		+	! Article in English !! Article en Français
		+	|-
		+	| [https://wiki.voip.ms/article/PBX_Security English] ||
		+	[https://wiki.voip.ms/article/S%C3%A9curit%C3%A9_PBX Français]
		+	|}
-	1) Use strong Passwords: We can't stress this one enough: Use strong passwords! One of the first actions many people do when after they install their PBX, is often to create a phone extension with an easy password. Avoid using short or weak extension passwords. Please remember to use passwords of at least 8 characters, including a mix of upper and lower case along with digits. Remember to change them periodically every 2-3 months at most.
-	2) Public Internet: Avoid leaving your PBX systems, ATA Adapters and IP Phones open to the internet. Do not use DMZ mode on your router and do not forward ports to your equipment, unless you absolutely know what you are doing. This is only needed on specific cases, and only leave it open to the internet if you have experience on how to properly manage security on equipment that is open to the internet.	+	Basándonos en la amplia perspectiva que tenemos de miles de clientes que tenemos en nuestro servicio, la mayoría de los casos de accesos no autorizados para hacer llamadas, pueden ser evitados siguiendo las siguientes sugerencias:
-	3) Asterisk Tweak: If you are using an Asterisk based PBX, add the following line to the sip.conf file under the [general] section and issue a reload
-	alwaysauthreject = yes
-	What this parameter does, is that it will always return an authentication error instead of a .404 not found:., even when the extension doesn't exist. This steps-up the difficulty for brute force scanners when they are attacking your PBX.	+	'''1)''' Utilice contraseñas seguras: No podemos enfatizarlo más: ¡Utilice contraseñas seguras! Una de las primeras acciones que hacen muchas personas después de instalar su PBX es a menudo crear una extensión de teléfono con una contraseña sencilla. Evite el uso de contraseñas de extensión corta o débil. Recuerde utilizar contraseñas de al menos 8 caracteres que incluya una combinación de mayúsculas y minúsculas junto con dígitos. Recuerde cambiarla periódicamente cada 2-3 meses como máximo.
-	4) Trixbox, PBX In a Flash and other web interface based PBX: Change the default password. Different flavors of PBX installs come with default administration passwords. Make sure to change the default passwords immediately after your installation and also make sure the web interface is not reachable from the internet.	+	'''2)''' Internet público: evite dejar sus sistemas PBX, adaptadores ATA y teléfonos IP abiertos a Internet. No use el modo DMZ en su enrutador y no reenvíe puertos a su equipo, a menos que sepa absolutamente lo que está haciendo. Esto solo es necesario en casos específicos y solo déjelo abierto a Internet si tiene experiencia sobre cómo administrar adecuadamente la seguridad en equipos que están abiertos a Internet.
-	5) PBX Dial Plan: Do you make international calls? If no, do not allow international calls to be placed from your PBX. In Asterisk, remove ._011.. Or .00_. . Never use ._... If you are only calling a few countries on a regular basis, enable these countries only. For example: The only country you're calling is UK? Only configure _01144. In your dialplan.	+	'''3)''' Confirme que tanto la contraseña de administrador como de invitado de su PBX se cambien a una contraseña fuerte, asegurándose de que no pueda acceder a su dispositivo usando las contraseñas predeterminadas que aparecen en su manual (por ejemplo, admin). Es muy importante que recuerde esta nueva contraseña en caso de que en el futuro necesite realizar más cambios en su configuración.
-	6) Use additional caution while travelling: Do you plan on using a soft phone at a random internet cafe? Make sure you remove your login details after using it, and uninstall the software if possible.	+	'''4)''' Ajuste de Asterisk: si está utilizando un PBX basado en Asterisk,  incluya la siguiente línea a su archivo de configuración sip.conf en la sección [general] y vuelva a cargar.
-	7) Asterisk and Fail2ban: As an additional step you can install an additional security tool such as fail2ban, which is a free brute force detection system, it scans the log files of your PBX and then takes action based on the entries of those logs.	+	alwaysauthreject = yes
-	(http://www.voip-info.org/wiki/view/Fail2Ban+%28with+iptables%29+And+Asterisk)	+
-	We also offer the optional service of installing fail2ban into your Asterisk PBX. A trained linux Asterisk professional can install it on your system for a one time fee of $150 USD.	+
-	8)  Have your PBX Equipment listen to a different port than 5060: If your PBX is open to the internet, you can drastically reduce scan / brute force attempts by using a different SIP Port for incoming connections.	+	Lo que hace este parámetro es que siempre devolverá un mensaje de error de autenticación en lugar de .404 not found:., aún cuando la extensión no exista. Esto hace más difícil que tenga éxito un ataque a su PBX usando escáneres de fuerza bruta.
-	9) Account restrictions: VoIP.ms offer new options that can help for the security, refer to Main Menu >> Account Settings >> select the tab "Account Restrictions" (https://www.voip.ms/m/settings.php). These settings define the restrictions the system will use when you place calls to either USA48, Canada or International Numbers. It is strongly suggested to use the restrictions by country, this tool will help you to avoid having calls to countries that you do not intend to reach at all.	+	'''5)''' Trixbox, PBX In a Flash y otros PBX basados en interfaz web: cambie la contraseña predeterminada. Diferentes versiones de PBX vienen con contraseñas de administración predeterminadas. Asegúrese de cambiar las contraseñas predeterminadas inmediatamente después de su instalación y también asegúrese de que la interfaz web no sea accesible desde Internet.
-	There are various other measures that you can perform to secure your VoIP equipment, however this article covers some of the most important aspects. The technology and the methods used by abusers keep evolving constantly. By meeting the recommendations on this article you will have a more secure PBX system.	+	'''6)''' Plan de marcado de PBX: ¿Realiza llamadas internacionales? De no realizarlas, no permita que se realicen llamadas internacionales desde su PBX. En Asterisk, elimine ._011 .. O .00_. . Nunca use ._... Si solo llama a algunos países de forma regular, habilite solo estos países. Por ejemplo: ¿El único país al que llama es Reino Unido? Configure solo _01144. En su plan de marcado.
		+
		+	'''7)''' Tenga precaución adicional al viajar: ¿Planea usar un softphone en un café internet al azar? Asegúrese de eliminar sus datos de inicio de sesión después de usarlo y desinstale el software si es posible.
		+
		+	'''8)''' Asterisk y Fail2ban: Como paso adicional, puede instalar una herramienta de seguridad adicional como fail2ban, la cual es gratis y sirve para detectar ataques de fuerza bruta a su sistema, escanea los archivos de registro de su PBX y luego toma medidas basadas en las entradas de esos registros. (http://www.voip-info.org/wiki/view/Fail2Ban+%28with+iptables%29+And+Asterisk).
		+
		+	'''9)''' Configure su PBX para escuchar en un puerto diferente al 5060/5061: Si su PBX está abierto a internet, puede reducir drásticamente los escaneos e intentos de ataque usando un puerto SIP diferente para conexiones entrantes.
		+
		+	'''10)''' Restricciones de la cuenta: VoIP.ms ofrece nuevas opciones que pueden ayudar con la seguridad, consulte Main Menu >> Account Settings >> seleccione la pestaña "Account Restrictions"  (https://www.voip.ms/m/settings.php). Estos ajustes definen las restricciones que utilizará el sistema cuando realice llamadas a números de USA48, Canadá o internacionales. Se recomienda fuertemente utilizar las restricciones por país, esta herramienta le ayudará a evitar llamadas a países que no requiera llamar nunca.
		+
		+	Hay varias medidas que puede tomar para asegurar su equipo VoIP; sin embargo, este artículo solamente cubre algunos de los aspectos más importantes. . La tecnología y métodos utilizados por personas malintencionadas siguen evolucionando constantemente. Al cumplir con las recomendaciones de este artículo, tendrá un sistema PBX más seguro.
		+
		+
		+	'''Para usuarios de FreePBX'''
		+
		+	Se ha descubierto una vulnerabilidad crítica que puede afectar entre las versiones 13.0.12 y 13.0.26  de FreePBX. Un atacante remoto no autenticado puede ejecutar comandos de shell como usuario de Asterisk de cualquier máquina FreePBX con ‘Grabaciones’. Esto se ha corregido en Grabaciones 13.0.27. Puede leer más sobre esta vulnerabilidad, incluido cómo solucionarlo aquí: http://wiki.freepbx.org/display/FOP/2016-08-09+CVE+Remote+Command+Execution+with+Privileged+Escalation
		+
		+
		+	Category: Guides

---

Latest revision as of 21:40, 6 November 2020

Article in English	Article en Français
English	Français

Basándonos en la amplia perspectiva que tenemos de miles de clientes que tenemos en nuestro servicio, la mayoría de los casos de accesos no autorizados para hacer llamadas, pueden ser evitados siguiendo las siguientes sugerencias:

1) Utilice contraseñas seguras: No podemos enfatizarlo más: ¡Utilice contraseñas seguras! Una de las primeras acciones que hacen muchas personas después de instalar su PBX es a menudo crear una extensión de teléfono con una contraseña sencilla. Evite el uso de contraseñas de extensión corta o débil. Recuerde utilizar contraseñas de al menos 8 caracteres que incluya una combinación de mayúsculas y minúsculas junto con dígitos. Recuerde cambiarla periódicamente cada 2-3 meses como máximo.

2) Internet público: evite dejar sus sistemas PBX, adaptadores ATA y teléfonos IP abiertos a Internet. No use el modo DMZ en su enrutador y no reenvíe puertos a su equipo, a menos que sepa absolutamente lo que está haciendo. Esto solo es necesario en casos específicos y solo déjelo abierto a Internet si tiene experiencia sobre cómo administrar adecuadamente la seguridad en equipos que están abiertos a Internet.

3) Confirme que tanto la contraseña de administrador como de invitado de su PBX se cambien a una contraseña fuerte, asegurándose de que no pueda acceder a su dispositivo usando las contraseñas predeterminadas que aparecen en su manual (por ejemplo, admin). Es muy importante que recuerde esta nueva contraseña en caso de que en el futuro necesite realizar más cambios en su configuración.

4) Ajuste de Asterisk: si está utilizando un PBX basado en Asterisk, incluya la siguiente línea a su archivo de configuración sip.conf en la sección [general] y vuelva a cargar.

alwaysauthreject = yes

Lo que hace este parámetro es que siempre devolverá un mensaje de error de autenticación en lugar de .404 not found:., aún cuando la extensión no exista. Esto hace más difícil que tenga éxito un ataque a su PBX usando escáneres de fuerza bruta.

5) Trixbox, PBX In a Flash y otros PBX basados en interfaz web: cambie la contraseña predeterminada. Diferentes versiones de PBX vienen con contraseñas de administración predeterminadas. Asegúrese de cambiar las contraseñas predeterminadas inmediatamente después de su instalación y también asegúrese de que la interfaz web no sea accesible desde Internet.

6) Plan de marcado de PBX: ¿Realiza llamadas internacionales? De no realizarlas, no permita que se realicen llamadas internacionales desde su PBX. En Asterisk, elimine ._011 .. O .00_. . Nunca use ._... Si solo llama a algunos países de forma regular, habilite solo estos países. Por ejemplo: ¿El único país al que llama es Reino Unido? Configure solo _01144. En su plan de marcado.

7) Tenga precaución adicional al viajar: ¿Planea usar un softphone en un café internet al azar? Asegúrese de eliminar sus datos de inicio de sesión después de usarlo y desinstale el software si es posible.

8) Asterisk y Fail2ban: Como paso adicional, puede instalar una herramienta de seguridad adicional como fail2ban, la cual es gratis y sirve para detectar ataques de fuerza bruta a su sistema, escanea los archivos de registro de su PBX y luego toma medidas basadas en las entradas de esos registros. (http://www.voip-info.org/wiki/view/Fail2Ban+%28with+iptables%29+And+Asterisk).

9) Configure su PBX para escuchar en un puerto diferente al 5060/5061: Si su PBX está abierto a internet, puede reducir drásticamente los escaneos e intentos de ataque usando un puerto SIP diferente para conexiones entrantes.

10) Restricciones de la cuenta: VoIP.ms ofrece nuevas opciones que pueden ayudar con la seguridad, consulte Main Menu >> Account Settings >> seleccione la pestaña "Account Restrictions" (https://www.voip.ms/m/settings.php). Estos ajustes definen las restricciones que utilizará el sistema cuando realice llamadas a números de USA48, Canadá o internacionales. Se recomienda fuertemente utilizar las restricciones por país, esta herramienta le ayudará a evitar llamadas a países que no requiera llamar nunca.

Hay varias medidas que puede tomar para asegurar su equipo VoIP; sin embargo, este artículo solamente cubre algunos de los aspectos más importantes. . La tecnología y métodos utilizados por personas malintencionadas siguen evolucionando constantemente. Al cumplir con las recomendaciones de este artículo, tendrá un sistema PBX más seguro.

Para usuarios de FreePBX

Se ha descubierto una vulnerabilidad crítica que puede afectar entre las versiones 13.0.12 y 13.0.26 de FreePBX. Un atacante remoto no autenticado puede ejecutar comandos de shell como usuario de Asterisk de cualquier máquina FreePBX con ‘Grabaciones’. Esto se ha corregido en Grabaciones 13.0.27. Puede leer más sobre esta vulnerabilidad, incluido cómo solucionarlo aquí: http://wiki.freepbx.org/display/FOP/2016-08-09+CVE+Remote+Command+Execution+with+Privileged+Escalation

Category: Guides