Hola aqui dejo un post resumen de un comunicado de Digium acerca de algunos tips ha tener en cuenta con respecto a la seguridad en SIP, link:
- No aceptar SIP autentication request desde cualquier dirección: usar permit y deny en el sip.conf para permitir solo el pool de IP’s que sepamos que van a intentar registrarse. Poner allowguest=no, en el sip.conf.
- Poner alwaysauthreject=yes en el sip.conf: Esta opción esta por defecto en “no”, lo que va a permitir fugas de información de extensiones. Poniendolo en “yes” vamos a denegar las bad authentication requests en usernames validos, denegando así a los atacantes remotos la habilidad de dtectar extensiones con ataques de fuerza bruta.
- Usar passwords fuertes: Usar símbolos, números, y mezclar con letras mayúsculas y miniscúlas, por lo menos que sean passwords de 12 dígitos de largo.
- Bloquear los puertos del AMI manager: Usar las líneas “permit=” y “deny=” en el manager.conf para reducir la cantidad de petición de conexiones sabiendo unicamente el host. Usar passwords fuertes, usar símbolos, números, y mezclar con letras mayúsculas y miniscúlas, por lo menos que sean passwords de 12 dígitos de largo.
- Permitir solo una o dos llamadas a la vez para usuarios SIP: usar la expresión call-limit=2.
- Crear los usuarios SIP diferentes de las extensiones: usar la dirección MAC de la tarjeta de red, o alguna combinación de una frase común + el hash de la extensión en MD5 (ejemplo: escribimos en el shell, “md5 -s elpassword2550″ 2550 sería la extensión?).
- Asegurarse que el contexto [default] es seguro: No permitir que llamantes no autenticados puedan llegar a algun contexto que permita realizar llamadas. Prohibir llamadas sin auntenticación permanentemente poniendo “allowguest=no” en la sección [general] del sip.conf.
Tags: asterisk seguridad, libro, seguridad sip, sip