Inicio > Asterisk, Hacking > Anonymous sip calls in Elastix 2.2.0

Anonymous sip calls in Elastix 2.2.0

Hace unos meses se lanzo la flamante nueva versión  de Elastix , la 2.2.0 , donde se anunciaban , todo un conjunto de mejoras ,no solo a nivel de administración , si no también a nivel de seguridad.

No lo pensé mucho y actualice la pbx , y después de usarla aproximadamente 1 semana , no me puedo quejar , puedo comprobar que esta nueva versión es muy estable , ya que  la 2.0.x no me había dejado muy buena sensación en ese sentido.

Desde ya, la mayor novedad es el uso de Asterisk 1.8.7.0 , y la muy renovada interfase de usuario , que ahora viene con una pestaña “Security” en donde se puede configurar fácilmente la apertura y cerrado de puertos, lo cua les muy importante.

Después de afinarlo y darle alguna seguridad básica a ssh , decidí que los mas duros críticos en la red , para validar la seguridad de las IP PBX , me hagan el favor, estoy hablando de mis amigos de Europa del este , japon , etc.etc. A estas alturas pienso que nos andamos siguiendo los pasos 😀 , es por ello que no configure  fail2ban ni sipcheck para revisar logs.

Después de unos días , como esperaba tenia un incidente , que a continuación detallo :

1.- PRIMERA EVIDENCIA – REPORTES
El domingo pasado , revisando los reportes , me pareció raro , ver este tipo de registro:

Donde la información detalla , llamadas desde el canal “SIP/62.146.72.141-0000002a”  con destino a la estension “s”  respondida y con duración de 13s. lo cual me alarmo un poco,

2.- SEGUNDA EVIDENCIA – LOGS

Luego de ir a los logs, y revirarlo , pude encontrar lo siguiente :

A) Primer registro

Numero llamado : 00442032987303
Destino : Gran Bretaña
Tipo de llamada : llamada en modalidad anónima
Respuesta a nivel de software : la llamada es respondida y fuerza espera (wait) de 2 segundos y luego el canal se corta.

B) Segundo  registro

Numero llamado : 001442032987303
Destino : EEUU
Tipo de llamada : llamada en modalidad anónima
Respuesta a nivel de software : la llamada es respondida y reproduce el audio “ss-noservice” y luego el canal se cierra.

C) Tercer  registro

Numero llamado : 900442032987306
Destino : Gran Bretaña
Tipo de llamada : llamada en modalidad anónima
Respuesta a nivel de software : la llamada es respondida y fuerza espera (wait) de 2 segundos, luego reproduce el audio “ss-noservice”

3.- ANALISIS DEL DIALPLAN

Los registros mostrados en el punto 2 , muestra que todos los intentos , son procesados por el contexto “from-sip-external”  , realizando una revisión al “extensions.conf” encontramos dicho contexto.

Observaciones:

– Al inicio del conexto, existe unos comentarios que se puede traducir “Si esto realmente intenta lo que se quiere hacer , Sabemos que existe quejas en Asterisk al respecto de esto, pero sabemos los que estamos haciendo, esto es correcto”

– El dialplan del contexto en general lo que hace es evaluar el origen de la llamada, comprueba que es una llamada sin autentificar , y reproduce los audios no-service y los tonos congestions

4.- CONCLUSIONES

– Mejoras en el desarrollo , Es claro que estos arreglos ,  muestran el gran esfuerzo del equipo de Elastix , en tener un producto, cada vez con menos vectores, a nivel de seguridad,  y el trabajo en conjunto con los desarrolladores de Freepbx,

–  Vector cubierto , Cabe señalar que el vector esta ahí, Cabe señalar que el vector esta hay , mas halla de que tenga la opción “Allow Anonymous sip calls” con el valor “no” , es decir es posible realizar este tipo de intentos, sin embargo , no cumple su objetivo , lo cua les muy importante y que no sucedía en versiones anteriores, que es finalmente efectuar llamadas salientes.

– El candado, Por el contrario los atacantes , se encuentran con lo que se podría llamar “un candado a nivel dialplan” , esto me hace recordar algo que están llamando “anonymatron” usado para llamadas entrantes de ofertas.

Vamos a ver, que otras cosas iremos encontrando en el tiempo, para los que estamos del lado de la seguridad, desde ya espero que les sirva la información y felicitaciones al equipo de Elastix por darnos esta nueva versión,


Anuncios
Categorías:Asterisk, Hacking
  1. noviembre 30, 2011 de 6:49 pm

    A ver si entendí. Esto lo que significa es que aunque en el peor de los casos lograran ingresar a mi servidor, al intentar hacer llamadas anónimas, siempre se van a encontrar con el audio del sistema “ss-noservice” y luego el canal se cerrará tumbando la llamada?

  2. noviembre 30, 2011 de 6:58 pm

    Hola

    Eso es correcto !!! , pero puntualizar que en este tipo de incidente específicamente , no es que “entren al servidor”, acuérdate que van al diseño de protocolo sip propiamente, y para eso en esta nueva versión tenemos la herramienta firewall, que han incorporado , donde podemos configurar quien podrá “escuchar” el puerto SIP.

    Debido a esto, me parece , que el uso del nuevo firewall , amerita un nuevo post 😀

    Gracias por leer el blog
    Saludos
    Juan Oliva

  3. noviembre 30, 2011 de 8:59 pm

    Excelente articulo Juan, muy interesante.
    Saludos

  4. Andres Gregori
    noviembre 30, 2011 de 9:12 pm

    buen articulo Juan!

    ya soy seguidor de este blog!

  5. diciembre 5, 2011 de 3:56 am

    Excelente Post Juan y en espera del nuevo!

  6. Juan Felipe Mora
    enero 31, 2012 de 10:46 pm

    Juan, por favor me indicas como puedo corregir el problema que la llamadas entrantes se corten a los 20 segundo despues de esta establecidas.

    • Juan Felipe Mora
      febrero 20, 2012 de 3:43 pm

      Juan, Estoy en espera a tu respuesta.

      Gracias.

  7. febrero 21, 2012 de 1:25 pm

    Juan Felipe
    Como entenderás necesito mas información sobre tu problema, ya que lo que indicas es muy genérico.

    De primera mano necesitaría saber, las llamadas salientes por donde salen, trunk sip o PSTN ,
    – Si es por trunk sip, que codec usas, con cuanto ancho de banda cuentas , cantidad de llamadas simultaneas.
    – Si es por PSTN , que tipo de linea troncal , análoga o digital , tipo de tarjeta.

    Todas las llamadas se cortan ? , solo algunas ?

    Saludos
    Juan Oliva

  8. Camilo Gonzalez
    febrero 21, 2012 de 2:55 pm

    Juan Felipe, Respetuosamente considero que este no es el espacio para resolver ese tipo de dudas técnicas pues es un espacio de opinión, concertación y/o disertación respetuosa.

    Por otra parte, esa reclamación tuya me parece desafiante por lo que te digo que nadie está en la obligación de responder a las preguntas de los demás. Porqué no buscas en los foros de Elastix?

  9. Mario Cervantes
    octubre 23, 2012 de 4:15 pm

    Buenos dias, me estoy iniciando en este mundo de Elastix y agradezco mucho al Sr. Oliva por su valiosa informacion.
    Referente al Sr.Juan Felipe, creo que su problema es con el software que esta usando, yo estoy usando eyebeam y le tuve que configurar el tipo de servicio de internet que estoy usando para que no me cortara las llamadas salientes en los primeros 30 segundos de la llamada. Espero le sirva la informacion.
    Saludos.

  10. JJ
    agosto 15, 2013 de 5:33 pm

    Otro detalle BIEN IMPORTANTE:

    Si dejan expuesto su server a Internet, SOLO DEJEN LOS PUERTOS EXTRICTAMENTE NECESARIOS…porque supe de gente que les atacaron por HTTPS (Puerto 443) y podrían hacer llamadas internacionales explotando elementos PHP (admin/config.php).

    CIERREN puertos 443

  11. flakomen
    octubre 25, 2013 de 9:36 pm

    Hola jroliva

    Soy nuevo en el tema y me sucedio lo mismo, debo preocuparme? la troncal que aparece es una ip publica y no la troncal que usamos para realizar llamadas, por otro lado me gustaria saber como puedo solucionar este inconveniente, ya que son varios miles de los registros que tengo.

    Saludos y admiro tu trabajo!

  12. abril 2, 2014 de 2:54 pm

    Io conozco un servicio tòtalmente libre para descubrir todas las llamadas anònimas! Se llama Whooming

  13. egb
    febrero 12, 2015 de 12:02 am

    Tengo un problrma al realizar una llamada de un softphone de elastix a un call manager de cisco la llamada se corta a los 10 segundos y no hay audio.

    Alguien sabe algo al respecto

  14. egb
    febrero 12, 2015 de 12:33 am

    Tengo un problema al realizar una llamada de un softphone de elastix a un call manager de cisco la llamada se corta a los 10 segundos y no hay audio.
    En sentido contrario no hay problema

    Alguien sabe algo al respecto. Gracias

  15. jhasmani
    junio 3, 2016 de 4:58 pm

    Buenos días soy nuevo con este tema del elastix quisiera que por favor me orienten tengo 8 lineas análogas y quiero direccionar de la siguiente manera.:
    Linea 1 interno 101 Linea 2 interno 102 Linea 3 interno 103 Linea 4 interno 104,105, 106, 107 Linea 5 interno 108,109, 110, 111 Linea 6 interno 112,113, 114, 115 Linea 7 interno 116,117, 118, 119 Linea 8 interno 120,121, 122, 123

  16. junio 4, 2016 de 12:40 am

    Hola jhasmani

    Tienes que usar la opción “DIDs Canal DAHDI” y en rutar por canal a los anexos que indicas.

    Saludos
    Juan Oliva.

    • jhasmani
      junio 4, 2016 de 3:12 pm

      por favor podrías detallarme un poco mas soy nuevo en el tema

  17. Jorge Luis Fray Pelaez Gomez
    enero 9, 2018 de 6:09 pm

    Buena tarde,

    Quisiera lograr comprender, que significan en si la “s” en la llamada destino. En tema de reportes de llamadas, esto me involucra una incógnita. Espero puedas apoyarme en brindarme un concepto respecto a ese punto. Muchas gracias.

    Luis Peláez

    • enero 10, 2018 de 9:10 pm

      Hola
      La “s” es una extensión reservada del dialplan definida por asterisk , significa “start” y solo puede ser invocado directamente al ingresar a un contexto.
      Espero te sirva
      Saludos
      Juan Oliva

      • Jorge Luis Fray Pelaez Gomez
        enero 12, 2018 de 4:35 pm

        Muchas gracias estimado Juan.

        Eso significa que no hay forma de retirarla o si la hay?. Lastimosamente en los reportes que hago, aparecen muchas de esas “s”, lo cual me impide saber a quien se realizó la llamada (el probable número de destino). De antemano agradecido por tu respuesta.

        Luis Peláez

  1. No trackbacks yet.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

A %d blogueros les gusta esto: