Anonymous sip calls in Elastix 2.2.0

Published by

jroliva

noviembre 29, 2011

Hace unos meses se lanzo la flamante nueva versión de Elastix , la 2.2.0 , donde se anunciaban , todo un conjunto de mejoras ,no solo a nivel de administración , si no también a nivel de seguridad.

No lo pensé mucho y actualice la pbx , y después de usarla aproximadamente 1 semana , no me puedo quejar , puedo comprobar que esta nueva versión es muy estable , ya que la 2.0.x no me había dejado muy buena sensación en ese sentido.

Desde ya, la mayor novedad es el uso de Asterisk 1.8.7.0 , y la muy renovada interfase de usuario , que ahora viene con una pestaña «Security» en donde se puede configurar fácilmente la apertura y cerrado de puertos, lo cua les muy importante.

Después de afinarlo y darle alguna seguridad básica a ssh , decidí que los mas duros críticos en la red , para validar la seguridad de las IP PBX , me hagan el favor, estoy hablando de mis amigos de Europa del este , japon , etc.etc. A estas alturas pienso que nos andamos siguiendo los pasos 😀 , es por ello que no configure fail2ban ni sipcheck para revisar logs.

Después de unos días , como esperaba tenia un incidente , que a continuación detallo :

1.- PRIMERA EVIDENCIA – REPORTES
El domingo pasado , revisando los reportes , me pareció raro , ver este tipo de registro:

Donde la información detalla , llamadas desde el canal «SIP/62.146.72.141-0000002a» con destino a la estension «s» respondida y con duración de 13s. lo cual me alarmo un poco,

2.- SEGUNDA EVIDENCIA – LOGS

Luego de ir a los logs, y revirarlo , pude encontrar lo siguiente :

A) Primer registro

Numero llamado : 00442032987303
Destino : Gran Bretaña
Tipo de llamada : llamada en modalidad anónima
Respuesta a nivel de software : la llamada es respondida y fuerza espera (wait) de 2 segundos y luego el canal se corta.

B) Segundo registro

Numero llamado : 001442032987303
Destino : EEUU
Tipo de llamada : llamada en modalidad anónima
Respuesta a nivel de software : la llamada es respondida y reproduce el audio «ss-noservice» y luego el canal se cierra.

C) Tercer registro

Numero llamado : 900442032987306
Destino : Gran Bretaña
Tipo de llamada : llamada en modalidad anónima
Respuesta a nivel de software : la llamada es respondida y fuerza espera (wait) de 2 segundos, luego reproduce el audio «ss-noservice»

3.- ANALISIS DEL DIALPLAN

Los registros mostrados en el punto 2 , muestra que todos los intentos , son procesados por el contexto «from-sip-external» , realizando una revisión al «extensions.conf» encontramos dicho contexto.

Observaciones:

– Al inicio del conexto, existe unos comentarios que se puede traducir «Si esto realmente intenta lo que se quiere hacer , Sabemos que existe quejas en Asterisk al respecto de esto, pero sabemos los que estamos haciendo, esto es correcto»

– El dialplan del contexto en general lo que hace es evaluar el origen de la llamada, comprueba que es una llamada sin autentificar , y reproduce los audios no-service y los tonos congestions

4.- CONCLUSIONES

– Mejoras en el desarrollo , Es claro que estos arreglos , muestran el gran esfuerzo del equipo de Elastix , en tener un producto, cada vez con menos vectores, a nivel de seguridad, y el trabajo en conjunto con los desarrolladores de Freepbx,

– Vector cubierto , Cabe señalar que el vector esta ahí, Cabe señalar que el vector esta hay , mas halla de que tenga la opción «Allow Anonymous sip calls» con el valor «no» , es decir es posible realizar este tipo de intentos, sin embargo , no cumple su objetivo , lo cua les muy importante y que no sucedía en versiones anteriores, que es finalmente efectuar llamadas salientes.

– El candado, Por el contrario los atacantes , se encuentran con lo que se podría llamar «un candado a nivel dialplan» , esto me hace recordar algo que están llamando «anonymatron» usado para llamadas entrantes de ofertas.

Vamos a ver, que otras cosas iremos encontrando en el tiempo, para los que estamos del lado de la seguridad, desde ya espero que les sirva la información y felicitaciones al equipo de Elastix por darnos esta nueva versión,

21 respuestas a “Anonymous sip calls in Elastix 2.2.0”

CamiloG

noviembre 30, 2011

A ver si entendí. Esto lo que significa es que aunque en el peor de los casos lograran ingresar a mi servidor, al intentar hacer llamadas anónimas, siempre se van a encontrar con el audio del sistema “ss-noservice” y luego el canal se cerrará tumbando la llamada?

Responder
jroliva

noviembre 30, 2011

Hola

Eso es correcto !!! , pero puntualizar que en este tipo de incidente específicamente , no es que «entren al servidor», acuérdate que van al diseño de protocolo sip propiamente, y para eso en esta nueva versión tenemos la herramienta firewall, que han incorporado , donde podemos configurar quien podrá «escuchar» el puerto SIP.

Debido a esto, me parece , que el uso del nuevo firewall , amerita un nuevo post 😀

Gracias por leer el blog
Saludos
Juan Oliva

Responder
RodrigoM

noviembre 30, 2011

Excelente articulo Juan, muy interesante.
Saludos

Responder
Andres Gregori

noviembre 30, 2011

buen articulo Juan!

ya soy seguidor de este blog!

Responder
Ludwig Ramirez

diciembre 5, 2011

Excelente Post Juan y en espera del nuevo!

Responder
Juan Felipe Mora

enero 31, 2012

Juan, por favor me indicas como puedo corregir el problema que la llamadas entrantes se corten a los 20 segundo despues de esta establecidas.

Responder
1. Juan Felipe Mora
  
  febrero 20, 2012
  
  Juan, Estoy en espera a tu respuesta.
  
  Gracias.
  
  Responder
jroliva

febrero 21, 2012

Juan Felipe
Como entenderás necesito mas información sobre tu problema, ya que lo que indicas es muy genérico.

De primera mano necesitaría saber, las llamadas salientes por donde salen, trunk sip o PSTN ,
– Si es por trunk sip, que codec usas, con cuanto ancho de banda cuentas , cantidad de llamadas simultaneas.
– Si es por PSTN , que tipo de linea troncal , análoga o digital , tipo de tarjeta.

Todas las llamadas se cortan ? , solo algunas ?

Saludos
Juan Oliva

Responder
Camilo Gonzalez

febrero 21, 2012

Juan Felipe, Respetuosamente considero que este no es el espacio para resolver ese tipo de dudas técnicas pues es un espacio de opinión, concertación y/o disertación respetuosa.

Por otra parte, esa reclamación tuya me parece desafiante por lo que te digo que nadie está en la obligación de responder a las preguntas de los demás. Porqué no buscas en los foros de Elastix?

Responder
Mario Cervantes

octubre 23, 2012

Buenos dias, me estoy iniciando en este mundo de Elastix y agradezco mucho al Sr. Oliva por su valiosa informacion.
Referente al Sr.Juan Felipe, creo que su problema es con el software que esta usando, yo estoy usando eyebeam y le tuve que configurar el tipo de servicio de internet que estoy usando para que no me cortara las llamadas salientes en los primeros 30 segundos de la llamada. Espero le sirva la informacion.
Saludos.

Responder
JJ

agosto 15, 2013

Otro detalle BIEN IMPORTANTE:

Si dejan expuesto su server a Internet, SOLO DEJEN LOS PUERTOS EXTRICTAMENTE NECESARIOS…porque supe de gente que les atacaron por HTTPS (Puerto 443) y podrían hacer llamadas internacionales explotando elementos PHP (admin/config.php).

CIERREN puertos 443

Responder
flakomen

octubre 25, 2013

Hola jroliva

Soy nuevo en el tema y me sucedio lo mismo, debo preocuparme? la troncal que aparece es una ip publica y no la troncal que usamos para realizar llamadas, por otro lado me gustaria saber como puedo solucionar este inconveniente, ya que son varios miles de los registros que tengo.

Saludos y admiro tu trabajo!

Responder
Eleonora Formica

abril 2, 2014

Io conozco un servicio tòtalmente libre para descubrir todas las llamadas anònimas! Se llama Whooming

Responder
egb

febrero 12, 2015

Tengo un problrma al realizar una llamada de un softphone de elastix a un call manager de cisco la llamada se corta a los 10 segundos y no hay audio.

Alguien sabe algo al respecto

Responder
egb

febrero 12, 2015

Tengo un problema al realizar una llamada de un softphone de elastix a un call manager de cisco la llamada se corta a los 10 segundos y no hay audio.
En sentido contrario no hay problema

Alguien sabe algo al respecto. Gracias

Responder
jhasmani

junio 3, 2016

Buenos días soy nuevo con este tema del elastix quisiera que por favor me orienten tengo 8 lineas análogas y quiero direccionar de la siguiente manera.:
Linea 1 interno 101 Linea 2 interno 102 Linea 3 interno 103 Linea 4 interno 104,105, 106, 107 Linea 5 interno 108,109, 110, 111 Linea 6 interno 112,113, 114, 115 Linea 7 interno 116,117, 118, 119 Linea 8 interno 120,121, 122, 123

Responder
jroliva

junio 4, 2016

Hola jhasmani

Tienes que usar la opción «DIDs Canal DAHDI» y en rutar por canal a los anexos que indicas.

Saludos
Juan Oliva.

Responder
1. jhasmani
  
  junio 4, 2016
  
  por favor podrías detallarme un poco mas soy nuevo en el tema
  
  Responder
Jorge Luis Fray Pelaez Gomez

enero 9, 2018

Buena tarde,

Quisiera lograr comprender, que significan en si la «s» en la llamada destino. En tema de reportes de llamadas, esto me involucra una incógnita. Espero puedas apoyarme en brindarme un concepto respecto a ese punto. Muchas gracias.

Luis Peláez

Responder
1. jroliva
  
  enero 10, 2018
  
  Hola
  La «s» es una extensión reservada del dialplan definida por asterisk , significa «start» y solo puede ser invocado directamente al ingresar a un contexto.
  Espero te sirva
  Saludos
  Juan Oliva
  
  Responder
  1. Jorge Luis Fray Pelaez Gomez
    
    enero 12, 2018
    
    Muchas gracias estimado Juan.
    
    Eso significa que no hay forma de retirarla o si la hay?. Lastimosamente en los reportes que hago, aparecen muchas de esas «s», lo cual me impide saber a quien se realizó la llamada (el probable número de destino). De antemano agradecido por tu respuesta.
    
    Luis Peláez

Replica a Jorge Luis Fray Pelaez Gomez Cancelar la respuesta

Juan Oliva

Consultor en Ciberseguridad con mas de 17 años de experiencia en el campo, muy involucrado en proyectos de Ethical Hacking, análisis y explotación de vulnerabilidades en infraestructura, aplicaciones web, APIs y Móviles, pruebas de ingeniería social y revisión de código.

Juan Oliva