Hace algún tiempo instalamos un asterisk como centralita de la oficina, con terminales linksys como extensiones, conectando la salida de terminacion a nuestra red VoIP y con extensiones externas, de modo que en casa todos tenemos la extension de la oficina duplicada .
Hasta ahí todo muy bonito.
El problema ha sido que un operador de Malasia, muy espabilado por su parte, ha encontrado la IP del Asterisk y se ha dedicado a forwardear tráfico con destino a Cuba hacia nuestra red a través del Asterisk, y como tenemos capacidad, ha enviado más de 23.000 minutos en una tarde.
¿Y como ha sido posible?
Pues simplemente enviando un INVITE con el número de destino, sin nisiquiera registrarse como extensión externa (donde tenemos claves) con un cero delante del número para que el dialing plan del asterisk lo entendiese y realizase la llamada.
Con esto no quiero decir que el Asterisk sea un mal producto, seguramente en la configuracion puede evitarse esto fácilmente, pero si os instalais una centralita VoIP teneis que observar una serie de puntos:
- No es una broma, si te meten tráfico tienes que pagarlo a tu proveedor, no es que te tiren un servidor, y tengas que reinstalarlo, es que te puede llegar una factura de teléfono de miles de Euros.
- Hay quien se dedica profesionalmente al pirateo de llamadas, como puedes imaginar, 23.000 minutos en una tarde no salen de un hacker llamando a su novia, eso implica tener infraestructura y clientes que te compren tráfico.
- Cuidado con quien os instala el Asterisk, puede ser que nuestro Asterisk estuviese desactualizado, pero un día fué la última versión y no es lo mismo montar un modelo encima de una mesa llena de cables y decir "hola, hola" de una oreja a la otra, que poner un sistema en produccion en Internet, lo que funciona en la mesa, puede tener un "regalito" dentro.
- Sed conscientes del problema, casi con esta de por si sola vale de mucho, si teneis presente el daño que se puede producir se pueden pensar en poner barreras.
Después de cerrar el acceso al Malayo de los c***nes, preparamos unas capturas para ver como lo hacía, y la verdad es impresionante, cuando cortábamos el acceso, practicamente dejaba de enviar paquetes y al abrirlo, empezaba de inmediatamente nuevo con los INVITES, el equipo que utiliza es un gatekeeper H.323 con un traductor a SIP, con lo que ya da una idea de hay quien se dedica a esto con todas sus ganas.
... Ya estais avisados ...
Al hilo de lo que se ha dicho por ahí, yo soy más partidario de titular: "Se aprovechan de una PBX mal configurada" (nada que ver con Asterisk)
Publicado por: antonio | 22/05/09 en 18:41
No se si será un bug o qué, pero es una putada :(, lo siento :(
Publicado por: Edu | 09/10/08 en 22:33
Por favor, esto no es un problema de Asterisk, en todo caso es algo que hay que cuidar cuando ponemos un IP PBX en Internet, de verdad nada que ver con Asterisk, cualquier otra PBX hubiera hecho lo mismo si está así configurada.
Publicado por: antonio | 22/09/08 en 10:58
Ya lo advertí hace tiempo en mi blog, concretamente en Mayo del año pasado en el artículo:
http://www.sinologic.net/2007-05/una-configuracion-incorrecta-puede-costarte-mucho-dinero/
Por cierto, te agradecería que si quieres utilizar el dibujo que hice, lo copies a tu web en lugar de enlazar. :)
Publicado por: Elio Rojano | 17/09/08 en 11:44
Sólo han tardado 6 meses en explotar una vulnerabilidad hecha pública y corregida hace meses.
Deberíais revisar vuestros sistemas...
http://www.juniper.net/security/auto/vulnerabilities/vuln28310.html
Publicado por: Juniper | 17/09/08 en 5:14
Davidp,
No creo que sea un bug del asterisk el permitir forwarding, el paquete que mandaban es correcto y bien formado, y seguro que en la configuracion del asterisk se puede evitar (tampoco puedo decirte si se habilita por defecto), lo que hago es avisar del peligro que existe ... ahí fuera, y los riesgos de tener una configuracion descuidada de la centralita VoIP, como la que teníamos nosotros.
Ahora no hay problema, hemos desactivado las extensiones externas y blindado el asterisk detrás del firewall.
Simplemente desde casa utilizamos una cuenta Peoplecall normal y corriente.
Publicado por: Herme Garcia | 16/09/08 en 21:02
Menuda broma....
Publicado por: Gandhi | 16/09/08 en 20:22
Yo tengo una centralita asterisk en casa montada en un viejo ordenador de mi red, con unas cuantas extensiones para hablar gratis con amigos y familiares. Le he configurado salida a través de vosotros (soy cliente vuestro), pero sólo mi extensión puede usar la salida a vuestra red (además de haberla configurado con una numeración "rara", tipo contraseña, que hay que marcar delante del número para poder tener salida).
¿Me estás diciendo que un hijo de p*** de estos podría conectar a mi asterisk sin registrar siquiera una de las extensiones y "cepillarse" el saldo que tengo en Peoplecall?
Publicado por: Jose Miguel | 16/09/08 en 18:29
Hombre, un poco sensacionalista el titular.
¿Sabemos ya si es problema de un bug de asterisk (de esa versión antigua que dices que había)? ¿o era por una mala configuración?
Publicado por: davidp | 16/09/08 en 17:09