Archives de Categoría: seguridad

Configuración de parámetros de seguridad en un HT503 de Grandstream

Logo GrandstreamA la hora de afrontar una instalación de una nueva PBX SIP para un cliente, nos preocupamos sobre que elementos, además de la propia centralita necesitará. Estos elementos van desde terminales SIP, a Gateways de lineas analógicas, Gateways RDSI y otros dispositivos. Una vez que está todo funcionando, nos planteamos el tema de la seguridad. En este momento, todos miramos al mismo sitio: la PBX. Nos preocupamos por aplicar correctamente distintas medidas de seguridad en la centralita, que pueden ir desde instalar un Firewall en la máquina hasta configurar contraseñas fuertes para los enlaces SIP con distintos dispositivos, pasando por otras muchas que se nos puedan ocurrir.

Efectivamente, podemos tener una centralita a prueba de bombas, pero ¿ qué sucede con los terminales SIP o los Gateways SIP ?. Si nos atacan y ese ataque tiene como objetivo la PBX, posiblemente, gracias a nuestras medidas de seguridad, podamos repelerlo. Pero, ¿ y si el ataque se dirige directamente a un Gateway SIP ?. Supongamos que tenemos un Grandstream HT503, en el cual tenemos conectada una línea analógica. Si nos atacan directamente al HT503 y ese ataque tiene éxito, posiblemente puedan usar de forma fraudulenta nuestra línea analógica.

Los ataques a los dispositivos SIP, tales como terminales SIP o Gateways SIP están muy presentes en el día a día. Un ataque exitoso sobre un terminal SIP puede hacer que éste realice llamadas a través de la PBX en la que está registrado de forma legítima desde el punto de vista de la PBX. Un ataque exitoso sobre un Gateway SIP puede hacer que se realicen llamadas a través de las líneas que éste tiene conectadas sin que la centralita se entere de nada.

En el caso que nos ocupa, el HT503, una vez que lo tenemos configurado (solemos configurar lo básico) queda operativo desde el punto de vista de que ya puede hacer y recibir llamadas por su línea analógica. Pero es que además, si se le envía un INVITE SIP (petición para realizar una llamada) el HT503 tramitará sin más ese INVITE SIP, haciendo una llamada por la línea analógica, así sin más. ¿ Es un defecto ?. La respuesta es que NO. En principio, un Gateway debe ser lo más flexible posible a la hora de hacer o recibir llamadas.

En el caso del HT503, si queremos securizar las llamadas salientes para asegurarnos que solamente haremos caso a los INVITE SIP que nos envíe la PBX con la cual esté registrado, tenemos una serie de parámetros que comento a continuación y que es importante que configuremos para evitarnos disgustos. Todos están dentro de la sección FXO PORT:

Parámetro: Validate incoming SIP message
Valor por Defecto: No.
Valor Recomendado: Yes.
Explicación: Si se tiene a Yes, todos los mensajes SIP entrantes serán validados de forma estricta según el RFC de SIP. Si el mensaje SIP no pasa la validación, será descartado.

Parámetro: Check SIP User ID for incoming INVITE
Valor por Defecto: No.
Valor Recomendado: Yes.
Explicación: Comprobar el SIP User ID que viene en la línea Request URI del paquete SIP. Si no coincide con el que tiene configurado el HT503, el mensaje se rechaza. Si este parámetro se activa, puede que el dispositivo no realice llamadas fácilmente (por ejemplo, no procesará INVITES sin el SIP User ID correcto).

Parámetro: Authenticate incoming INVITE
Valor por Defecto: No.
Valor Recomendado: Yes.
Explicación: Si está a Yes, forzará a que los INVITES deban ser autenticados con 401 Unauthorized usando el  Authenticate ID y la  Password SIP, de la misma forma en la que se procede con las peticiones REGISTER.

Parámetro: Allow Incoming SIP Messages from SIP Proxy Only
Valor por Defecto: No.
Valor Recomendado: Yes.
Explicación: Si está a Yes, comprueba que los mensajes SIP provengan del SIP Proxy. Si no provienen del SIP Proxy, se rechazan.

Existen otras formas de añadir seguridad sobre los Gateways y terminales SIP. En el caso del HT503, tenemos el parámetro Dial Plan en el cual podemos configurar que llamadas permitimos hacer y que llamadas no permitimos. Si por ejemplo, por una línea analógica solo nos interesa numeración nacional, quizás nos interese poner un Dial Plan que contenga solamente la regla [6-9]xxxxxxxx

Categorías Analógicos, Gateways, Grandstream, seguridad, sip.