Хотелось бы услышать рекомендации по поводу организации безопасности астериска. Конкретнее как следить за попытками входа, как защитися от взлома, какие параметры отвечают за безопасность или отсутствие каких настроек может создать потенциальную дыру, безопасен ли дефолтный астериск, как защититься от "звонков в африку".
Заранее благодарен.
1)попыткы подбора пароля - выставить сложные пароли на софтфоны, fail2ban
2) если снаружи не регистрируються - закрыть снаружи все кроме провадера.
3) logwatch
самая лучшая защита - не ложить много денек на счет.
"поменять номер SIP порта на другой какой" - бугага защита))
" в диалплане для PSTN линии закрыть выход на другие страны" - спасает только при наводнении.
zzuz ( 2013-03-03 12:22:57 +0400 )редактировать99% систем ломается автоматизированными скриптами. Есть конструктивыне дополнения? пишите. скриптов с названием "бугага" неимеем.
meral ( 2013-03-03 16:51:37 +0400 )редактироватьЕсть куча мероприятий по безопасности астериск и многие можно нагуглить, но! Есть два, на мой взгляд, самых главных:
1. Сложные пароли и запрет гостевых вызовов.
2. Нужно понимать и правильно конфигурировать соответствия вызовов к контекстам, чтоб не получалось, что вызов экстеншена, который не должен вызываться в контексте - а вдруг вызывается или из-за инклюда или из-за того, что peer приходит не в тот контекст.
Соблюдая эти два простых правила можно избавиться от 90% проблем.
alwaysauthreject=yes в sip.conf
это усложнит подбор пароля
И в завершение ко всему - Session Border Controller на основе iptables.
Block DDoS attack on SIP Server
уменьшит в разы нагрузку на астериск, провоцируемую ботами-брутфорсерами.
alwaysauthreject=yes allowguest=no
call-limit=2
Ну и все забыли про такие параметры как permit/deny в которых можно указать подсеть.
Конечно ручками при создании каждого сип пользователя добавлять подсеть неудобно, но
с учётом того что веб интерфейс триксбокса редактируется не сложно, в теории можно его поправить что бы он сразу при создании extension добавлял туда подсеть с которой с этим экстеншеном можно работать. Это конечно если у вас не голый астериск
Самое радикальное и верное, ИМХО, защитить Астер через OpenSIPS. В этом случае внешние юзеры на нем регятца, там и защита, там и RAIDUS. Минус пожалуй - настраивать сложнее, нет горячо любимых Триксов =)
Еще есть польза от мероприятий, которые проводятся "на глаз":
- настроить SNMP + MRTG и смотреть картину занятия одновременных каналов (хотя бы раза три в неделю).
- Обязательно к этому же mrtg прикрутить количество ошибок и предупреждений в messages-логе и его так же просматривать хотя бы раз в неделю
Применял кто либо snort для анализа и защиты?
Последнее время получал ну очень много сообщений от fail2ban о попытках подбора пароля. То ли где-то занесли мой IP в какой-то список, то ли дети всей планеты играют в одну и ту же игру. Короче, здесь взял идею, а здесь список сетей по странам. Добавил к своим правилам iptables проверку на страны где есть мои клиенты - RETURN в основную рутину, а все остальное LOG и DROP. log растет не по часам а по минутам ;-))
Даже если только россия, то нефиговый список получается. Интересно, как микротик его пережует...
switch ( 2013-03-03 21:18:41 +0400 )редактироватьНу да, у меня получается 1058 строк, но это на выделенном сервере. А на Mikrotike, я думаю будет работать без проблем. Так как проверка пакетов происходит только если статус NEW, потом все RELATED и ESTABLISHED не проверяются, думаю у вас так настроен firewall ;-)).
alphil ( 2013-03-04 15:41:54 +0400 )редактироватьПросто админить не очень удобно будет, полагаю. Хотя в винбоксе удобные средства фильтрации имеются...
switch ( 2013-03-04 15:45:45 +0400 )редактироватьЗадан: 2011-04-12 23:33:19 +0400
Просмотрен: 2,958 раз
Обновлен: Nov 15 '13
Проект компании "АТС Дизайн"
Asterisk® и Digium® являются зарегистрированными торговыми марками компании
Digium, Inc., США.
IP АТС Asterisk распространяется под лицензией
GNU GPL.