Ir al contenido principal

 Extensiones Remotas Issabel PBX

Extensiones Remotas Issabel/Elastix


Usar extensiones Remotas En Issabel PBX no es complicado, pero si debemos de considerar varios puntos, para tener extensiones remotas con una buena calidad de voz y sin olvidarse de la seguridad.

La configuración es aplicable para instalaciones en servidores Elastix, solo que la configuración de Fail2Ban se debe de hacer manualmente desde la consola de Linux.


Internet 

No importa si es una extensión o varias a configurar siempre hay que tener en cuenta que si usamos el mismo enlace para navegar, los canales de voz perderán ante los protocolos de navegación como http, ftp etc. Por lo que tendremos una mala calidad en nuestras llamadas, por ejemplo voz entrecortada.

Nota: Algunos clientes en la PC hacen descargas de archivos tomando todo el ancho de banda disponible, afectando la calidad de voz.


Seguridad

Ante las experiencias que se vivieron con Elastix y VtigerCRM, muchos ya no intentaron publicar su PBX en Internet, el hackeo a sus PBX solo tomaba unos cuantos minutos, por lo que los recibos de sus Lineas telefónicas se incrementaron con altos costos en llamadas que nunca realizaron.

Actualmente Issabel PBX ya cuenta con el modulo de Fail2Ban incorporado en la administración web, la cual es fácil de manejar y suficiente para detener y bloquear a los atacantes.


Configuración.


Firewall/Router

Hacer un Nat forwarding  en el firewall para que las peticiones SIP y RTP se envíen al servidor Issabel PBX en este caso el servidor de ejemplo tiene la ip 192.168.0.253.

SIP: 5060(udp)

RTP:10000-30000 (udp)

Ejemplo: Rouer tp-link






NOTA: NO hacer una configuración DMZ, es la forma mas fácil de publicar un servidor y la menos recomendable por que el servidor queda expuesto en Internet con todos sus servicios y ahora ademas de cuidar los puertos que realmente necesitamos, se tiene uno que preocupar de servicios que no necesitan estar públicos en Internet.

Tampoco es recomendable publicar la administración web (443/tcp), Si hay la necesidad de administrar remotamente a Issabel PBX, es mejor configurar el servicio de VPN(OpenVPN).


Extensiones NAT

En el servidor Issabel PBX, asegurarse de que cada extensión remota tenga habilitado el NAT, de lo contrario se experimentaran problemas en el que se escuche la voz solo en una dirección, lo cual es desconcertante por que la llamada se logra enlazar, pero es imposible establecer una conversación.

Ir a PBX  Configuración PBX ==> Extensiones ==> Numero de Extensión ==> Habilitar Nat



Fail2BAN

Por default Fail2Ban ya viene preconfigurado para proteger los servicios que correen en Issabel PBX. Cada servicio se puede modificar para ajustarlo mejor a lo que necesitemos.

Por ejemplo en un Servidor Issabel PBX donde no hay muchos cambios se puede configurar  reglas mas agresivas.

    • Disminuir el numero de intentos al autenticarse.

    • Aumentar el tiempo de bloqueo.

El tiempo de bloqueo puede ser de una semana o mas, depende de los recursos del servidor, tampoco se puede tener listas negras muy largas porque consumirían recursos en exceso. 

Los ataques de diccionario nunca se detienen y una ip que ataque a diario es mejor tenerla   siempre bloqueada.

Ademas de que si se llegara a bloquear una IP valida de alguna extensión es muy fácil desbloquearla.

Ir a Seguridad  ==> Fail2Ban ==> Administrador 


Para editar los parámetros del servicio hacemos clic en Ver

Intentos Fallidos: Es el numero que permitirán a un usuario equivocarse al enviar su contraseña antes de ser bloqueado.

Tiempo de Bloqueo: Es importante no tener periodos muy cortos, los hacker usan cientos de direcciones IP, por lo que cada hora puede estar atacándo con una ip diferente del mismo hacker.

Lista Blanca:Agrega segmento de red o ip local para evitar ser bloqueado por Fail2Ban, también se puede  agregar ips remotas de las extensiones SIP, pero solo que cuenten con ips Publicas fijas, no se deben de agregar ips dinámicas. 

Ejemplo.

Tiempo de Bloqueo: 24 ==>  Bloqueo por un día a las ips que están atacando al PBX.

Lista Blanca: Agrego todo el segmento de mi red local (192.168.0.0/24)


IPS Bloqueadas

En ese modulo se puede revisar las ips que han sido bloqueadas por Fail2Ban, ademas de que permite  seleccionarlas para desbloquearlas en caso de que una IP sea valida y haya sido bloqueada por Fail2Ban.

Ir a Seguridad ==> Fail2Ban ==> Banned Ips




El protocolo SIP creo que es lo mas recomendable para usarse en la configuración de extensiones remotas, anteriormente probé usando IAX2 muchos lo recomendaban porque solo se necesitaba abrir un solo puerto en el firewall pero...

  • No hay muchos marcas de teléfonos fijos que manejen IAX2.
  • La mayoría de clientes por software solo manejan SIP.
  • Las conversaciones de IAX2 son obligadas a pasar por el servidor, requiriendo mas ancho de banda.



Comentarios

Publicar un comentario

Entradas populares de este blog

Let’s Encrypt certificados Gratis en Linux - SSL/TLS con certbot para APACHE, POSTFIX y DOVECOT.

Certificado SSL/TLS con Certbot APACHE, POSTFIX, y DOVECOT Let’s Encrypt nos permite obtener Certificados gratis con una duración aproximadamente de 3 meses, pero es muy fácil renovar, y si no hay cambios de dominios en nuestros servidores se puede automatizar con un simple cron. En esta ocasión se usara la herramienta certbot es un cliente ACME, el cual permite controlar y verificar los nombres de dominio, hay varios clientes ACME se pueden revisar en la pagina de  Let’s Encrypt   El cliente de certbot puede estar ya incluido en la distribucion Linux. Por ejemplo para instalarlo en OpenSuse Leap 15.1 # zypper install python3-certbot Si tienes problemas para instalar en tu distribución linux, puedes hacerlo vía snap, en la pagina de  certbot  hay varios tips de como instarlo y usarlo. APACHE (HTTPS 443) Generalmente ya se cuenta con servidor configurado con https apuntando con uno o mas dominios al servidor. Por lo que solo hay que correr certbot y el...
Publicar un comentario
Leer más

Configurar DynDNS desde la Consola en EdgeRouter Lite Ubiquiti

Configurar DynDNS desde la Consola en EdgeRouter Lite Ubiquiti Firmware 1.6 Configurar DynDNS no es nada complicado desde la interfaz Web del Router Ubiquiti. Ir a  Services ==> DNS ==>  Dynamic DNS ==>  Add New Seleccionar nuestra interface conectada a Internet, el servicio que usaremos(dyndns), hostname, usuario y contraseña. Sin embargo en versiones 1.6  EdgeOS firmware, había bugs que hacia que no funcionara correctamente la actualización de la IP publica en DynDNS, por lo que  es bueno saber como configurar DynDNS vía consola. Corregir Bug. Nos conectamos a la consola del Router Ubiquiti ssh ubnt@192.168.45.254 Editamos el script, para corregir  el problema de que no actualiza la ip IP publica en Dyndns. $ sudo -u root vi /opt/vyatta/sbin/vyatta-dynamic-dns.pl Comentar la siguiente linea, aproximadamente en la linea 107. # $output .= "use=if, if=$interface\n\n\n"; Y agregar la siguiente linea. $output .= "use=web, web=checkip.dynd...
Publicar un comentario
Leer más