Asegurar un Servidor CentOS

Asegurar un Servidor CentOS

 

Si su centralita es accesible desde internet, debe tomar una serie de medidas de seguridad para evitar que gente malintencionada pueda hacer un uso fraudulento de la misma. A continuación vamos a dar algunas recomendaciones generales a la hora de hacer mas segura nuestra centralita telefónica.

  • Cambiar todos las passwords que traigan por defecto las aplicaciones que instale.
  • Conocer perfectamente el sistema operativo.
  • Estar al día con las actualizaciones, vulnerabilidades y soluciones.
  • Observar los logs del sistema.
  • Evitar utilizar puertos estándares.
  • Asegurar SSH en su sistema.
  • Utilizar Firewall.
  • Utilizar herramientas como fail2ban para evitar escaneos y ataques DoS.

 

ASTERISK

 

  • No aceptar solicitudes de autenticación SIP desde cualquier dirección IP. Utilizar las líneas “permit=” y “deny=” de sip.conf para sólo permitir un subconjunto razonable de direcciones IP alcanzar cada usuario/extensión listado en el archivo sip.conf. Aún aceptando llamadas entrantes desde “anywhere” (via [default]) no se debe permitir a esos usuarios alcanzar elementos autenticados..
  • Estblecer el valor de la entrada “alwaysauthreject=yes” en el archivo sip.conf. Estableciendo este valor en “yes” se rechazarán los pedidos de autenticación fallidos utilizando nombres de extensiones válidas con la misma información de un rechazo de usuario inexistente. De esta forma no facilitamos la tarea al atacante para detectar nombres de extensiones existentes utilizando técnicas de “fuerza bruta”.
  • Utilizar claves SEGURAS para las entidades SIP. Usar símbolos, números, una mezcla de letras minúsculas y mayúsculas y al menos 12 caracteres de largo.
  • Bloquear los puertos del Asterisk Manager Interface. Usar “permit=” y “deny=” en manager.conf para limitar las conexiones entrantes sólo a hosts conocidos.
  • Permitir sólo una o dos llamadas por vez por entidades SIP cuando sea posible.
  • Asegurarse que el contexto [default] sea seguro. No permitir que llamadores no autenticados alcancen contextos que les permitan llamar. Permitir sólo una cantidad limitada de llamadas activas pasen por el contexto default (utilizar la función “GROUP” como contador). Prohibir totalmente las llamadas no autenticadas (si es que así lo queremos) estableciendo “allowguest=no” en la parte [general] de sip.conf.