Normalmente como usuarios siempre nos preocupamos por aplicar distintas medidas de seguridad en nuestra central IP PBX, que pueden ir desde instalar un Firewall o definir contraseñas fuertes para los enlaces SIP con distintos dispositivos, pasando por otras muchas que se nos puedan ocurrir. Sin embargo, ¿qué sucede con las terminales SIP o los Gateways SIP?. Si nos atacan y ese ataque tiene como objetivo la PBX, posiblemente, gracias a nuestras medidas de seguridad, podamos repelerlo. Pero, ¿y si el ataque se dirige directamente a un Gateway SIP?...
Un ataque exitoso sobre una terminal SIP puede hacer que ésta realice llamadas a través de la PBX en la que está registrada de forma legítima desde el punto de vista de la PBX. Un ataque exitoso sobre un Gateway SIP puede hacer que se realicen llamadas a través de las líneas que éste tiene conectadas sin que la central se entere de nada.
En el caso del HT503, si queremos implementar seguridad a las llamadas salientes para asegurarnos que solamente haremos caso a los INVITE SIP que nos envíe la PBX con la cual esté registrado, tenemos una serie de parámetros que comento a continuación y que es importante que configuremos para evitarnos disgustos. Todos están dentro de la sección FXO PORT:
Parámetro: Validate incoming SIP message
Valor por Defecto: No.
Valor Recomendado: Yes.
Explicación: Si se tiene seleccionado Yes, todos los mensajes SIP entrantes serán validados de forma estricta según el RFC de SIP. Si el mensaje SIP no pasa la validación, será descartado.
Parámetro: Check SIP User ID for incoming INVITE
Valor por Defecto: No.
Valor Recomendado: Yes.
Explicación: Comprobar el SIP User ID que viene en la línea Request URI del paquete SIP. Si no coincide con el que tiene configurado el HT503, el mensaje se rechaza. Si este parámetro se activa, puede que el dispositivo no realice llamadas fácilmente (por ejemplo, no procesará INVITES sin el SIP User ID correcto).
Parámetro: Authenticate incoming INVITE
Valor por Defecto: No.
Valor Recomendado: Yes.
Explicación: Si está seleccionado Yes, forzará a que los INVITES deban ser autenticados con 401 Unauthorized usando el Authenticate ID y la Password SIP, de la misma forma en la que se procede con las peticiones REGISTER.
Parámetro: Allow Incoming SIP Messages from SIP Proxy Only
Valor por Defecto: No.
Valor Recomendado: Yes.
Explicación: Si está selecionado Yes, comprueba que los mensajes SIP provengan del SIP Proxy. Si no provienen del SIP Proxy, se rechazan.