Seguridad Elastix

México, DF a 18 de abril de 2011

Estimado Erick,

En base a lo trabajado el pasado 18/abril/2011 sobre el servidor Elastix de Keptos, les reporto que se efectuaron las

siguientes tareas:

1. Se aplicaron reglas de firewall que impidan el acceso administrativo desde el exterior, esto es:

a. Cierre de puertos TCP 22 (SSH) y 443 (HTTPS)

b. Solo el segmento 172.16.0.0/24 puede acceder a realizar labores administrativas

2. Se aplicaron políticas de ACL en Asterisk para impedir el registro de extensiones desde el exterior

a. Solo el segmento 172.16.0.0/24 puede registrarse para hacer llamadas

b. Esto puede manipularse con los campos permit/deny del cuadro de extensiones en FreePBX

3. Se dejó habilitada la futura posibilidad de brindar soporte remoto

a. Segmentos habilitados para esto: 64.151.124.84/32 y 10.200.0.0/23

4. Se instaló Fail2Ban y se configuró para proteger contra ataques de fuerza bruta en SIP y SSH

a. Notificaciones se envían correctamente a noc@keptos.com

5. Se implementó un sistema de alertas via correo electrónico que notifica llamadas salientes por Telmex hacia

destinos que cumplan con los siguientes prefijos:

a. 045 – Celulares LDN

b. 00 – Llamadas internacionales

c. 01900 – Llamadas a números de cobro 01900

d. Las alertas se envían a noc@keptos.com

También como parte del plan de seguridad, se sugieren fuertemente las siguientes acciones:

1. Actualización de versión de Elastix a la 1.6.2

2. Cambio de contraseñas de todos los dispositivos SIP que existan en el sistema, dado que pueden estar

comprometidas.

3. Cambio de los prefijos de marcación para salida de llamadas. Se recomienda ampliamente sustituir los prefijos

de salida por contraseñas únicas por usuario, de manera que las salidas sean como en un conmutador

convencional (9 + destino), pero dependiendo de la extensión que origine las llamadas se pidan contraseñas

para salir a cada destino.

Como detalle adicional (y que no estaba contemplado dentro del plan de trabajo original), se configuraron los

canceladores de eco con lo que mejoró la calidad de las llamadas.

Por favor, permíteme saber si puedo apoyarte con algo más.

Atentamente,

Ing. Christian Cabrera R.

  1. Deja un comentario

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: