Hola gente, tengo un elastix en producción con 4 líneas IP. En dos días se disparó el flujo de llamadas dejando un saldo negativo de 290 euros. El caso es que no veo ninguna manipulación indebida en el servidor (o no se como verlo correctamente). El servidor esta funcionando ya hace mas de un año sin problemas y las contraseñas son todas muy potentes.
A ver quien me puede ayudar a encontrar el problema.
Muchas gracias!

Hola amigo

Te tocaria verificar los logs de salida que genera el trunk que te esta cargando ese saldo, ahi algunas vulnerabilidades para asterisk, una de ellas es que no debes de permitir llamadas anonimas, si esta activado el permitir por ahi puede venir el problema, otro es que tengas las contraseñas por default del elastix y por ahi tambien pueden atacar si tienes los puertos abierto.

Saludos

Hola, gracias por responder. La verdad es que es curioso, porque aparentemente han capturado el password de autenticación de una de las extensiones que están en red local. Se ve claramente como las llamadas se generan en las tres extensiones locales, que aunque tienen una contraseña potente las tres son iguales. Dispongo de dos extensiones externas fuera de la oficina pero con claves diferentes y ahí no se generó ningún tráfico. El resto de la configuración esta correcta y no parece vulnerada, aunque ya no fío nada.
Las llamadas anónimas están desactivadas y las contraseñas por default están todas cambiadas desde el primer minuto de funcionamiento.
De todas maneras no comprendo como pudieron capturar un password de extensión que esta dentro de la red local. Alguna idea al respecto?

Saludos,

Hasta el momento solo he tenido intentos desde Ips de china. Yo utilizo iptraf para monitorear el trafico regularmente, y meto en una lista negra(blackhole) del firewall las ips con varios intentos fallidos de registrarse en mi servidor. Si es posible identifica las ips de donde regularmante se conectan tus extensiones remotas, de esta forma puedes sospechar de otras ip que generen trafico por el puerto 5060.

Hola xalexr, este programa lo tienes instalados directamente en Elastix?

Lo tengo instalado en mi servidor proxy-firewall, por el que salgo a internet que es un centos. En el servidor proxy es donde tengo el NAT para las extensiones remotas.

Aqui te dejo un link interesante para aumentar la seguridad en elastix. Basicamente de protege de robots y ataques de diccionario. Pienso instalarlo en mi elastix proximamente. Prueba y me comentas.

Saludos.

blogs.elastix.org/es/2010/01/14/instalacion-de-fail2ban/

Buenos dias.

Utilizar de un firewall y F2B.
Utilizar solamente los puertos SIP y RTP
Cambiar el puerto de SSH es nativa 22
No permita que la conexión root con SSH.
Cambie las contraseñas habituales
Utilizar deny, permit.
Utilizar contraseñas complejas para cada extensión de SIP y no 1234.
Internationnal Prohibir el acceso, o poner un código de acceso.

Sorry, it's google translator

amistades

Gracias por las respuestas gente. Al final cambié a la versión 2.0.3 de Elastix. Antes tenía la 1.6. También voy a seguir la guía de seguridad que hay en el blog. Además voy instalar fail2ban que me comenta xalexr.
Con el tema de los passwords soy un poco trastornado porque las claves que pongo son largas y sin sentido alguno.
Recientemente en la oficina han cambiado la línea del ADSL y ahora es de fibra óptica con una descarga de 50MB y 2MB de subida. Y este problema surgió un mes después del cambio, supongo que será una golosina para el tráfico.

Bueno, dicho esto ya comentaré como va la nueva instalación.

Muchas gracias,

También deberías proteger asterisk -> elajonjoli.org/contenido/fail2ban-en-asterisk-o-elastix