1) Não aceitar solicitações de autenticação SIP de todos os endereços IP. Use a as linhas "permit=" e "Deny=" no sip.conf para liberar apenas um subconjunto razoável de enderessos IP para alcançar cada extensão listada ou usuário no seu arquivo sip.conf. Mesmo se você aceitar chamadas de entrada de "Qualquer lugar" (por [padrão]), não deixe que esses usuários acessam elementos autenticados!
2) Defina "alwaysauthreject = yes" no arquivo sip.conf. Esta opção vem desde a versão 1.2, que por padrão é "no", que permite o vazamento de informações de extensão.
Defina ela para "yes" para rejeitar pedidos de más autenticações de usernames válidos com a mesma informações como rejeição com nomes inválidos, negando a atacantes remotos a capacidade de detectar por força bruta e advinhando extensões existentes.
3) Use senhas fortes para conexões SIP. Este é provavelmente o passo mais importante que você pode tomar. Não basta concatenar duas palavras juntas e com o sufixo "1"! - Você já viu o grau de sofisticação dos instrumentos para advinhar as senhas, se visse, você entenderia que uma simples combinação de palavras não é um impedimento para uma pequena CPU moderna. Use símbolos, números e uma mistura de letras maiúsculas e minúsculas pelo menos 12 dígitos.
4) Bloqueie suas portas de gerenciamento de AMI. Use "permit=" e "deny=" nas linhas do manager.conf para reduzir as conexões de entrada para hosts conhecidos apenas. Use senhas fortes aqui, novamente, pelo menos 12 caracteres com uma mistura complexa de símbolos, números e letras.
5) Permita que apenas uma ou duas chamadas SIP ao mesmo tempo por canal, sempre que possível. Na pior das hipóteses,
limitar sua exposição à fraude é uma coisa sensata a fazer. Isso também limita a sua exposição. Veja neste Link uma matéria de nome "Sete etapas para melhorar a segurança com o Asterisk SIP | Digium - A Companhia Asterisk ... Página 1 de 2" (EM INGLÊS).
Os usuários detentores de senhas do sistema, perdem o controle, porque escrevem sua senha em locais como no próprio telefone, eu já vi isso.
6) Faça o seu nome de usuário SIP diferente de suas extensões. Embora seja conveniente ter a extensão "1234 para o ramal SIP 1234 que também é usuário SIP 1234", mas não faça isso, pode ser um alvo de invasores descobrirem os nomes de autenticação SIP. Use o endereço MAC do dispositivo,ou algum tipo de combinação de uma frase + extensão hash MD5 (exemplo: de um shell prompt, tente "md5-s ThePassword5000$¨###)
7) Certifique-se de seu contexto padrão é seguro. Não permita que os chamadores não autenticados, cheguem a qualquer contextos que permitem chamadas. Permita que apenas um número limitado de chamadas ativas, através de seu contexto default (usar o "grupo de funções", como um contador.) Proiba as chamadas não autenticadas totalmente (se você não quer que eles), definindo "allowguest = no" na parte [general] do sip.conf.
Estes sete princípios protegem a maioria das pessoas, mas certamente há outros passos que você pode tomar que são mais complexos.
Aqui está uma receita "fail2ban" que poderia permitir que você proiba endpoints com base no volume de requisições.
Em resumo: medidas básicas de segurança irá protegê-lo contra a grande maioria dos bruteforce baseados em SIP ataques.
A maioria dos agressores SIP são tolos com ferramentas - eles são oportunistas, que vêem uma maneira fácil de enganar pessoas que não têm considerado os custos dos métodos inseguros. O Asterisk tem alguns métodos para evitar os ataques mais óbvios de sucesso ao nível da rede, mas o método mais eficaz de protecção são as questões administrativas da senha, robustez e username.
Nenhum comentário:
Postar um comentário
Pessoal, Bem vindos!
Comentem a vontade, só cuidado com as palavras, pois se usarem de ofenças, terei que moderar os comentários.
Abraços!!!