Hace unos meses se lanzo la flamante nueva versión de Elastix , la 2.2.0 , donde se anunciaban , todo un conjunto de mejoras ,no solo a nivel de administración , si no también a nivel de seguridad.
No lo pensé mucho y actualice la pbx , y después de usarla aproximadamente 1 semana , no me puedo quejar , puedo comprobar que esta nueva versión es muy estable , ya que la 2.0.x no me había dejado muy buena sensación en ese sentido.
Desde ya, la mayor novedad es el uso de Asterisk 1.8.7.0 , y la muy renovada interfase de usuario , que ahora viene con una pestaña «Security» en donde se puede configurar fácilmente la apertura y cerrado de puertos, lo cua les muy importante.
Después de afinarlo y darle alguna seguridad básica a ssh , decidí que los mas duros críticos en la red , para validar la seguridad de las IP PBX , me hagan el favor, estoy hablando de mis amigos de Europa del este , japon , etc.etc. A estas alturas pienso que nos andamos siguiendo los pasos 😀 , es por ello que no configure fail2ban ni sipcheck para revisar logs.
Después de unos días , como esperaba tenia un incidente , que a continuación detallo :
1.- PRIMERA EVIDENCIA – REPORTES
El domingo pasado , revisando los reportes , me pareció raro , ver este tipo de registro:
Donde la información detalla , llamadas desde el canal «SIP/62.146.72.141-0000002a» con destino a la estension «s» respondida y con duración de 13s. lo cual me alarmo un poco,
2.- SEGUNDA EVIDENCIA – LOGS
Luego de ir a los logs, y revirarlo , pude encontrar lo siguiente :
A) Primer registro
Numero llamado : 00442032987303
Destino : Gran Bretaña
Tipo de llamada : llamada en modalidad anónima
Respuesta a nivel de software : la llamada es respondida y fuerza espera (wait) de 2 segundos y luego el canal se corta.
B) Segundo registro
Numero llamado : 001442032987303
Destino : EEUU
Tipo de llamada : llamada en modalidad anónima
Respuesta a nivel de software : la llamada es respondida y reproduce el audio «ss-noservice» y luego el canal se cierra.
C) Tercer registro
Numero llamado : 900442032987306
Destino : Gran Bretaña
Tipo de llamada : llamada en modalidad anónima
Respuesta a nivel de software : la llamada es respondida y fuerza espera (wait) de 2 segundos, luego reproduce el audio «ss-noservice»
3.- ANALISIS DEL DIALPLAN
Los registros mostrados en el punto 2 , muestra que todos los intentos , son procesados por el contexto «from-sip-external» , realizando una revisión al «extensions.conf» encontramos dicho contexto.
Observaciones:
– Al inicio del conexto, existe unos comentarios que se puede traducir «Si esto realmente intenta lo que se quiere hacer , Sabemos que existe quejas en Asterisk al respecto de esto, pero sabemos los que estamos haciendo, esto es correcto»
– El dialplan del contexto en general lo que hace es evaluar el origen de la llamada, comprueba que es una llamada sin autentificar , y reproduce los audios no-service y los tonos congestions
4.- CONCLUSIONES
– Mejoras en el desarrollo , Es claro que estos arreglos , muestran el gran esfuerzo del equipo de Elastix , en tener un producto, cada vez con menos vectores, a nivel de seguridad, y el trabajo en conjunto con los desarrolladores de Freepbx,
– Vector cubierto , Cabe señalar que el vector esta ahí, Cabe señalar que el vector esta hay , mas halla de que tenga la opción «Allow Anonymous sip calls» con el valor «no» , es decir es posible realizar este tipo de intentos, sin embargo , no cumple su objetivo , lo cua les muy importante y que no sucedía en versiones anteriores, que es finalmente efectuar llamadas salientes.
– El candado, Por el contrario los atacantes , se encuentran con lo que se podría llamar «un candado a nivel dialplan» , esto me hace recordar algo que están llamando «anonymatron» usado para llamadas entrantes de ofertas.
Vamos a ver, que otras cosas iremos encontrando en el tiempo, para los que estamos del lado de la seguridad, desde ya espero que les sirva la información y felicitaciones al equipo de Elastix por darnos esta nueva versión,
Juan Oliva 
Replica a RodrigoM Cancelar la respuesta