Anonymous sip calls in Elastix 2.2.0
Hace unos meses se lanzo la flamante nueva versión de Elastix , la 2.2.0 , donde se anunciaban , todo un conjunto de mejoras ,no solo a nivel de administración , si no también a nivel de seguridad.
No lo pensé mucho y actualice la pbx , y después de usarla aproximadamente 1 semana , no me puedo quejar , puedo comprobar que esta nueva versión es muy estable , ya que la 2.0.x no me había dejado muy buena sensación en ese sentido.
Desde ya, la mayor novedad es el uso de Asterisk 1.8.7.0 , y la muy renovada interfase de usuario , que ahora viene con una pestaña «Security» en donde se puede configurar fácilmente la apertura y cerrado de puertos, lo cua les muy importante.
Después de afinarlo y darle alguna seguridad básica a ssh , decidí que los mas duros críticos en la red , para validar la seguridad de las IP PBX , me hagan el favor, estoy hablando de mis amigos de Europa del este , japon , etc.etc. A estas alturas pienso que nos andamos siguiendo los pasos 😀 , es por ello que no configure fail2ban ni sipcheck para revisar logs.
Después de unos días , como esperaba tenia un incidente , que a continuación detallo :
1.- PRIMERA EVIDENCIA – REPORTES
El domingo pasado , revisando los reportes , me pareció raro , ver este tipo de registro:
Donde la información detalla , llamadas desde el canal «SIP/62.146.72.141-0000002a» con destino a la estension «s» respondida y con duración de 13s. lo cual me alarmo un poco,
2.- SEGUNDA EVIDENCIA – LOGS
Luego de ir a los logs, y revirarlo , pude encontrar lo siguiente :
A) Primer registro
Numero llamado : 00442032987303
Destino : Gran Bretaña
Tipo de llamada : llamada en modalidad anónima
Respuesta a nivel de software : la llamada es respondida y fuerza espera (wait) de 2 segundos y luego el canal se corta.
B) Segundo registro
Numero llamado : 001442032987303
Destino : EEUU
Tipo de llamada : llamada en modalidad anónima
Respuesta a nivel de software : la llamada es respondida y reproduce el audio «ss-noservice» y luego el canal se cierra.
C) Tercer registro
Numero llamado : 900442032987306
Destino : Gran Bretaña
Tipo de llamada : llamada en modalidad anónima
Respuesta a nivel de software : la llamada es respondida y fuerza espera (wait) de 2 segundos, luego reproduce el audio «ss-noservice»
3.- ANALISIS DEL DIALPLAN
Los registros mostrados en el punto 2 , muestra que todos los intentos , son procesados por el contexto «from-sip-external» , realizando una revisión al «extensions.conf» encontramos dicho contexto.
Observaciones:
– Al inicio del conexto, existe unos comentarios que se puede traducir «Si esto realmente intenta lo que se quiere hacer , Sabemos que existe quejas en Asterisk al respecto de esto, pero sabemos los que estamos haciendo, esto es correcto»
– El dialplan del contexto en general lo que hace es evaluar el origen de la llamada, comprueba que es una llamada sin autentificar , y reproduce los audios no-service y los tonos congestions
4.- CONCLUSIONES
– Mejoras en el desarrollo , Es claro que estos arreglos , muestran el gran esfuerzo del equipo de Elastix , en tener un producto, cada vez con menos vectores, a nivel de seguridad, y el trabajo en conjunto con los desarrolladores de Freepbx,
– Vector cubierto , Cabe señalar que el vector esta ahí, Cabe señalar que el vector esta hay , mas halla de que tenga la opción «Allow Anonymous sip calls» con el valor «no» , es decir es posible realizar este tipo de intentos, sin embargo , no cumple su objetivo , lo cua les muy importante y que no sucedía en versiones anteriores, que es finalmente efectuar llamadas salientes.
– El candado, Por el contrario los atacantes , se encuentran con lo que se podría llamar «un candado a nivel dialplan» , esto me hace recordar algo que están llamando «anonymatron» usado para llamadas entrantes de ofertas.
Vamos a ver, que otras cosas iremos encontrando en el tiempo, para los que estamos del lado de la seguridad, desde ya espero que les sirva la información y felicitaciones al equipo de Elastix por darnos esta nueva versión,
Juan Oliva 
A ver si entendí. Esto lo que significa es que aunque en el peor de los casos lograran ingresar a mi servidor, al intentar hacer llamadas anónimas, siempre se van a encontrar con el audio del sistema “ss-noservice” y luego el canal se cerrará tumbando la llamada?
Hola
Eso es correcto !!! , pero puntualizar que en este tipo de incidente específicamente , no es que «entren al servidor», acuérdate que van al diseño de protocolo sip propiamente, y para eso en esta nueva versión tenemos la herramienta firewall, que han incorporado , donde podemos configurar quien podrá «escuchar» el puerto SIP.
Debido a esto, me parece , que el uso del nuevo firewall , amerita un nuevo post 😀
Gracias por leer el blog
Saludos
Juan Oliva
Excelente articulo Juan, muy interesante.
Saludos
buen articulo Juan!
ya soy seguidor de este blog!
Excelente Post Juan y en espera del nuevo!
Juan, por favor me indicas como puedo corregir el problema que la llamadas entrantes se corten a los 20 segundo despues de esta establecidas.
Juan, Estoy en espera a tu respuesta.
Gracias.
Juan Felipe
Como entenderás necesito mas información sobre tu problema, ya que lo que indicas es muy genérico.
De primera mano necesitaría saber, las llamadas salientes por donde salen, trunk sip o PSTN ,
– Si es por trunk sip, que codec usas, con cuanto ancho de banda cuentas , cantidad de llamadas simultaneas.
– Si es por PSTN , que tipo de linea troncal , análoga o digital , tipo de tarjeta.
Todas las llamadas se cortan ? , solo algunas ?
Saludos
Juan Oliva
Juan Felipe, Respetuosamente considero que este no es el espacio para resolver ese tipo de dudas técnicas pues es un espacio de opinión, concertación y/o disertación respetuosa.
Por otra parte, esa reclamación tuya me parece desafiante por lo que te digo que nadie está en la obligación de responder a las preguntas de los demás. Porqué no buscas en los foros de Elastix?
Buenos dias, me estoy iniciando en este mundo de Elastix y agradezco mucho al Sr. Oliva por su valiosa informacion.
Referente al Sr.Juan Felipe, creo que su problema es con el software que esta usando, yo estoy usando eyebeam y le tuve que configurar el tipo de servicio de internet que estoy usando para que no me cortara las llamadas salientes en los primeros 30 segundos de la llamada. Espero le sirva la informacion.
Saludos.
Otro detalle BIEN IMPORTANTE:
Si dejan expuesto su server a Internet, SOLO DEJEN LOS PUERTOS EXTRICTAMENTE NECESARIOS…porque supe de gente que les atacaron por HTTPS (Puerto 443) y podrían hacer llamadas internacionales explotando elementos PHP (admin/config.php).
CIERREN puertos 443
Hola jroliva
Soy nuevo en el tema y me sucedio lo mismo, debo preocuparme? la troncal que aparece es una ip publica y no la troncal que usamos para realizar llamadas, por otro lado me gustaria saber como puedo solucionar este inconveniente, ya que son varios miles de los registros que tengo.
Saludos y admiro tu trabajo!
Io conozco un servicio tòtalmente libre para descubrir todas las llamadas anònimas! Se llama Whooming
Tengo un problrma al realizar una llamada de un softphone de elastix a un call manager de cisco la llamada se corta a los 10 segundos y no hay audio.
Alguien sabe algo al respecto
Tengo un problema al realizar una llamada de un softphone de elastix a un call manager de cisco la llamada se corta a los 10 segundos y no hay audio.
En sentido contrario no hay problema
Alguien sabe algo al respecto. Gracias
Buenos días soy nuevo con este tema del elastix quisiera que por favor me orienten tengo 8 lineas análogas y quiero direccionar de la siguiente manera.:
Linea 1 interno 101 Linea 2 interno 102 Linea 3 interno 103 Linea 4 interno 104,105, 106, 107 Linea 5 interno 108,109, 110, 111 Linea 6 interno 112,113, 114, 115 Linea 7 interno 116,117, 118, 119 Linea 8 interno 120,121, 122, 123
Hola jhasmani
Tienes que usar la opción «DIDs Canal DAHDI» y en rutar por canal a los anexos que indicas.
Saludos
Juan Oliva.
por favor podrías detallarme un poco mas soy nuevo en el tema
Buena tarde,
Quisiera lograr comprender, que significan en si la «s» en la llamada destino. En tema de reportes de llamadas, esto me involucra una incógnita. Espero puedas apoyarme en brindarme un concepto respecto a ese punto. Muchas gracias.
Luis Peláez
Hola
La «s» es una extensión reservada del dialplan definida por asterisk , significa «start» y solo puede ser invocado directamente al ingresar a un contexto.
Espero te sirva
Saludos
Juan Oliva
Muchas gracias estimado Juan.
Eso significa que no hay forma de retirarla o si la hay?. Lastimosamente en los reportes que hago, aparecen muchas de esas «s», lo cual me impide saber a quien se realizó la llamada (el probable número de destino). De antemano agradecido por tu respuesta.
Luis Peláez