Recentemente podemos notar um grande crescimento de ataques contra plataformas de IP PBX, principalmente tentando explorar senhas fracas de usuários SIP. Podemos utilizar diversas ferramentas no Asterisk para bloquear esses tipos de ataques.
As pontos principais a serem considerados são:
- Não aceite conexões SIP vindas de qualquer endereço IP. Utilize as opções "permit=" e "deny=" para restringir o acesso apenas a endereços IP que você confia;
- Utilize a opção "alwaysauthreject=yes" dentro da seção [general] do seu sip.conf. Esta opção fará que o Asterisk responda a requisições de usuários válidos com credenciais invalidas da mesma maneira que ele faz para usuários inválidos;
- Utilize senhas complexas para os seus terminais IP, muitos dos ataques utilizam de força bruta para conseguir uma credencial SIP válida. Por isto é interessante se utilizar senha complexas com números, simbolos, letras maisculas e minisculas para evitar assim a susceptibilidade a ataques de força bruta contra senhas fracas;
- Restrinja o acesso ao manager. É uma ferramenta muito poderosa que pode permitir a criação de aplicações bastante sofisticadas envolvendo o Asterisk, devido a toda a sua flexibilidade o mesmo permite a execução de diversas modificações no Asterisk. Portanto é interessante se restringir o acesso ao manager a partir de endereços IPs conhecidos e além disso utilizar senhas complexas para os usuários do manager;
- É muito comum se utilizar como usuário SIP o número do ramal, entretanto tal prática é desaconselhável pois, permite ao atacante facilmente descobrir os seus usuários SIP e com isso já tem meio caminho andado;
- Limite o número de ligações simultâneas permitidas para cada usuário, pois em caso de um ataque bem sucedido o estrago será limitado;
- Cuidado com os seus contextos, não permite ligações para números tarifáveis a partir de qualquer contexto. Limite esse tipo de ligações a contextos que não são acesíveis externamente;
Os pontos acima lidam com os princípais problemas relacionados ao SIP em uma instalação típica de Asterisk, como vimos temos diversas ferramentas disponíveis para tornar o Asterisk mais seguro, desde ferramentas técnicas, configurar o sip.conf corretamente, até ferramentas admnistrativas uso de usuários e senhas complexos. Seguir os pontos acima pode levar você a ter noites de sono mais tranquilas.
Este artigo foi baseado no artigo encontrado em: http://blogs.digium.com/2009/03/28/sip-security/
