Recherche


imprimer pdf Français
Tout ce qu'il faut savoir sur la sécurité avec Elastix

Introduction


Dans le domaine de la voix et de la téléphonie sur IP, on parle souvent de "Fraude" téléphonique. Le but étant de scanner une liste éventuelle d'extensions SIP enregistrées sur un serveur de téléphonie sur IP et d'en usurper l'identité en déchiffrant les mots de passe de chaque extension afin de pouvoir communiquer librement.

Cela à pour conséquence d'augmenter les coûts des communications et nécessite une recherche afin de cibler d'où vient l'attaque et identifier l'auteur.

Etant donnée que la voix sur IP est une technologie qui emprunte un seul et même support pour le transport de la signalisation et de la voix, cela engendre une plus grande considération de la sécurité.

A quoi ressemble une attaque SIP?


Quelques étapes

  1. Scanne des ports ouverts
  2. relevé des ports 5060 (SIP) scannés.
  3. Construction d'une base de donnée des adresses IP où les ports SIP 5060 sont ouverts.
  4. Tentative de connexion avec une extension et un mot de passe généré au hasard. Moins le mot de passe est long, plus il y aura de chance de se connecter à une extension.

Si vous vérifiez vos fichiers log Asterisk et que vous visualisez des messages similaires à ceci:



où encore:



cela signifie qu'on tente de s'introduire sur votre serveur.

Conseils


Au final,l'objectif consiste à se rapprocher d'une sécurité optimale pour éviter toute intrusion. Voici quelques conseils pour sécuriser votre serveur Elastix.

1. Limitez les adresses IP sources.



  • Pour cela, utilisez les règles "permit" et "deny" dans "device option" après avoir ajouté votre extension SIP. Cette option va vous permettre d'accepter uniquement une classe d'adresse IP où même une seule adresse IP et rejeter tout autre requêtes.

  • Il est également conseillé de changer le paramètre "type=friend" par "type=peer". Le paramètre par défaut rend l'extension plus vulnérable face aux attaques d'énumération d'extensions.



2. Ajouter les options "alwaysauthreject=yes" et "allowguest=no"



il est nécessaire d'ajouter les deux options suivantes dans le fichier de configuration etc/asterisk/sip_general_additional.conf

  • l'option alwaysauthreject est normalement déjà présente. Activée, elle permet de rejeter les requêtes d'authentification de type (Brute-force) sur des noms d'utilisateur existants.

  • l'option allowguest permet de rejeter complètement les appels dont les utilisateurs ne sont pas authentifiés.



3. Utilisez des mots de passe longs et complexes pour vos extensions SIP.



  • Tapez des symboles spéciaux, des chiffres et des combinaisons de lettres minuscules et majuscules. Les outils offrants la possibilité de casser des mots de passe sont nombreux et peuvent s'avérer efficaces.

4. Bloquez votre port AMI (5038) aux inconnus.



  • Utilisez les règles "permit" et "deny" dans le fichier /etc/asterisk/manager.conf pour réduire les connexions entrantes aux utilisateurs connus. Comme pour les extensions SIP, appliquez un mot de passe solide.



5. Différenciez vos noms d'utilisateurs de vos extensions SIP.



  • Il est conseillé de choisir un nom d'utilisateur SIP différent de l'extension.



6. N'acceptez jamais les appels anonymes.



Accédez aux paramètres généraux



  • Elastix permet d'ouvrir à tout le monde une voix d'accès pour les communications entrantes. Il est préférable de désactiver cette fonctionnalité.



7. Plages horaires pour les appels



  • Cette option permet de créer une plage horaire durant laquelle vous pouvez passer des appels. Lorsque la plage horaire est dépassée, il ne sera plus possible d'émettre des appels ou d'en recevoir sur votre serveur Elastix.

Dans un premier temps, on ajoute un groupe horaire ou l'on va définir la plage horaire, les jours de la semaine et les mois pour lesquels le serveur Elastix sera en mesure d'émettre et recevoir des appels.



Ensuite, on ajoute une condition horaire pour laquelle on choisi la destination de l'appel si l'horaire est respecté. Ici par exemple, on choisi le tunnel SIP comme destination pour les appels respectants l'intervalle horaire.



8. Sécurisez vos routes sortantes



  • Pour les appels sortants, il est possible de définir un mot de passe (Route Password).