Пожалуйста, войдите здесь. Часто задаваемые вопросы О нас
Задайте Ваш вопрос

Безопасность

7

Хотелось бы услышать рекомендации по поводу организации безопасности астериска. Конкретнее как следить за попытками входа, как защитися от взлома, какие параметры отвечают за безопасность или отсутствие каких настроек может создать потенциальную дыру, безопасен ли дефолтный астериск, как защититься от "звонков в африку".

Заранее благодарен.

удалить закрыть спам изменить тег редактировать

спросил 2011-04-12 23:33:19 +0400

godlike Gravatar godlike flag of Ukraine
814 92 24 62

обновил 2011-04-12 23:33:50 +0400

Comments

"звонков в африку" в африку дешево в Кубу вот это да :) alexcr ( 2011-04-14 14:28:41 +0400 )редактировать
тоже был опыт неприятных кубинских разговоров? um2010 ( 2011-04-14 19:57:38 +0400 )редактировать
угу , самое жестокое было когда астер по SIP с самсунгом работал, астер я прикрыл а вот самунг поломали и залили 2к баксов :) alexcr ( 2011-04-17 19:48:05 +0400 )редактировать
2 килозелени - это мелочь, известен случай со 100 К$ от это неприятно! um2010 ( 2011-04-17 21:01:05 +0400 )редактировать

10 Ответов

5

1)попыткы подбора пароля - выставить сложные пароли на софтфоны, fail2ban

2) если снаружи не регистрируються - закрыть снаружи все кроме провадера.

3) logwatch

самая лучшая защита - не ложить много денек на счет.

ссылка удалить спам редактировать

ответил 2011-04-13 04:15:53 +0400

meral Gravatar meral flag of Ukraine
23347 24 20 177
http://pro-sip.net/

обновил 2011-04-13 04:17:06 +0400

Comments

1
4) поменять номер SIP порта на другой какой. Zavr2008 ( 2011-04-13 16:39:32 +0400 )редактировать
5) в диалплане для PSTN линии закрыть выход на другие страны Zavr2008 ( 2011-04-13 16:40:29 +0400 )редактировать
Ну раз уж тут так активно раздают плюсы, держи =) . Твой вариант 2 очень простой и эффективный kasper ( 2011-04-15 11:12:30 +0400 )редактировать
1

"поменять номер SIP порта на другой какой" - бугага защита))

" в диалплане для PSTN линии закрыть выход на другие страны" - спасает только при наводнении.

zzuz ( 2013-03-03 12:22:57 +0400 )редактировать

99% систем ломается автоматизированными скриптами. Есть конструктивыне дополнения? пишите. скриптов с названием "бугага" неимеем.

meral ( 2013-03-03 16:51:37 +0400 )редактировать
3

Есть куча мероприятий по безопасности астериск и многие можно нагуглить, но! Есть два, на мой взгляд, самых главных:
1. Сложные пароли и запрет гостевых вызовов.
2. Нужно понимать и правильно конфигурировать соответствия вызовов к контекстам, чтоб не получалось, что вызов экстеншена, который не должен вызываться в контексте - а вдруг вызывается или из-за инклюда или из-за того, что peer приходит не в тот контекст.

Соблюдая эти два простых правила можно избавиться от 90% проблем.

ссылка удалить спам редактировать

ответил 2011-04-13 22:45:20 +0400

um2010 Gravatar um2010
2056 70 13 55
2

alwaysauthreject=yes в sip.conf
это усложнит подбор пароля

ссылка удалить спам редактировать

ответил 2011-04-13 14:05:19 +0400

erizo Gravatar erizo
71 10 3 11
http://www.telefant.ee/

обновил 2011-04-15 12:40:46 +0400

Comments

alwaysauthreject=yes :)))) Zavr2008 ( 2011-04-15 01:15:27 +0400 )редактировать
ну, всмысле да ))) erizo ( 2011-04-15 12:39:22 +0400 )редактировать
1

И в завершение ко всему - Session Border Controller на основе iptables.

Block DDoS attack on SIP Server

уменьшит в разы нагрузку на астериск, провоцируемую ботами-брутфорсерами.

ссылка удалить спам редактировать

ответил 2011-04-15 00:01:11 +0400

mistral Gravatar mistral flag of Ukraine
370 2 5 19

Comments

а не проще ли использовать готовые решения вроде fail2ban, заодно можно снять нагрузку с почтового клиента, ссх и тд. erizo ( 2011-04-15 12:44:12 +0400 )редактировать
выше тоже готовое решение. и fail2ban - пока пока проанализирует лог - 1000 запросов как минимум уже пройдет. И fail2ban - по сути - лишь анализатор логов + скрипт упправления IPTables, против DoS и мощного брута он неэффективен mistral ( 2011-04-15 14:18:54 +0400 )редактировать
ну не знаю как у вас, у меня больше 10 не проходило(лимит стоит 5 неудачных попыток) erizo ( 2011-04-15 14:38:33 +0400 )редактировать
против DDOS нет вообще ничего ефективного. ибо канал как правило забивает сразу. фильтруй не фильтруй. фейл2бан прекрасно справляется. то что по сылке можно использовать вместе с фейл2бан. но на некоторых машинах такой скрипт крайне ухудшает голос. в частности на ксен впс-ах meral ( 2011-04-15 21:16:25 +0400 )редактировать
насчет fail2ban - есть такое. на Атомах тоже наблюдается. Собака зарыта в sysctl, пока толком еще не разобрались где именно. mistral ( 2011-04-18 14:15:07 +0400 )редактировать
1

alwaysauthreject=yes allowguest=no

call-limit=2

ссылка удалить спам редактировать

ответил 2011-04-14 14:09:02 +0400

cvieri Gravatar cvieri
673 12 5 21
http://www.qcall.com.ua/

Comments

не ну коллимит 2 - это жесть! um2010 ( 2011-04-14 21:57:53 +0400 )редактировать
почему, один раз по молодости провтыкал, взломали екстеншн и через него звонили множество абонентов одновременно... теперь если и взломают - то укакаются больше 2-х звонить))) cvieri ( 2011-04-14 22:41:59 +0400 )редактировать
call-limit обсолитнули в 1.6, аккуратнее Zavr2008 ( 2011-04-17 17:31:16 +0400 )редактировать
простите, что сделали?) cvieri ( 2011-04-18 11:30:18 +0400 )редактировать
вроде как не работает, хотя у меня 1.8 и работает um2010 ( 2011-04-18 16:31:08 +0400 )редактировать
1

Ну и все забыли про такие параметры как permit/deny в которых можно указать подсеть.
Конечно ручками при создании каждого сип пользователя добавлять подсеть неудобно, но с учётом того что веб интерфейс триксбокса редактируется не сложно, в теории можно его поправить что бы он сразу при создании extension добавлял туда подсеть с которой с этим экстеншеном можно работать. Это конечно если у вас не голый астериск

ссылка удалить спам редактировать

ответил 2011-04-14 11:44:55 +0400

kasper Gravatar kasper
305 3 10

Comments

чтобы ручками каждого не править есть понятие "шаблоны" svoy ( 2011-04-14 16:57:47 +0400 )редактировать
deleted____ kasper ( 2011-04-14 17:44:49 +0400 )редактировать
0

Самое радикальное и верное, ИМХО, защитить Астер через OpenSIPS. В этом случае внешние юзеры на нем регятца, там и защита, там и RAIDUS. Минус пожалуй - настраивать сложнее, нет горячо любимых Триксов =)

ссылка удалить спам редактировать

ответил 2011-04-18 19:05:16 +0400

Zavr2008 Gravatar Zavr2008 flag of Russian Federation
2886 11 9 40
http://mh.otx.ru/

Comments

конечно конечно.а чего тогда не через хардвардный ддос протект? нафига эти сложности. тем более с радиусом. нечего оно не защищает по факту. meral ( 2011-04-18 21:33:34 +0400 )редактировать
радиус не защищает, но! если на астериске есть клиенты, которые раздолбайски относятся к хранению паролей, к примеру, то он не даст уйти сильно в минус этому самому клиенту, чтоб тот потом вместо выплаты дебиторки в 300 тонн, слил контору! Опять же если радиус прикручен к биллингу, то можно просто запретить звонки стоимостью более 20 рублей в минуту и т.д. Так что польза от радиуса есть! um2010 ( 2011-04-18 23:19:03 +0400 )редактировать
именно, про радиус как элемент системы написал, не как панацею.. Просто в OpenSIPs мне кажется более надежным по сравнению с астером при атаках из вне. Естественно при прямых руках! Опять же при ддос есть возможность кластеризации.. Т.е. астер конечно есть, но прикрыт снаружи проксёй. Zavr2008 ( 2011-04-19 00:08:24 +0400 )редактировать
от ддоса может спасти только лояльность и оперативность провайдера, остальное - это борьба с ветряными мельницами! um2010 ( 2011-04-19 01:10:19 +0400 )редактировать
в том числе. но самим тоже не стоит лапки поднимать.. Zavr2008 ( 2011-04-19 14:34:24 +0400 )редактировать
тут поднимай не поднимай, если на тебя сыпится 400% твоей полосы с десяти тысяч разных ip (да если даже одного) - хоть с бубном хоть со свечкой - все мимо! um2010 ( 2011-04-19 17:11:03 +0400 )редактировать
угу. и я о том же. от ДДОСА защиты нет никакой. от ДОСа прекрасно справляется елементарный fail2ban. meral ( 2011-04-20 14:52:30 +0400 )редактировать
0

Еще есть польза от мероприятий, которые проводятся "на глаз":

  1. настроить SNMP + MRTG и смотреть картину занятия одновременных каналов (хотя бы раза три в неделю).
  2. Обязательно к этому же mrtg прикрутить количество ошибок и предупреждений в messages-логе и его так же просматривать хотя бы раз в неделю
ссылка удалить спам редактировать

ответил 2011-04-17 15:24:03 +0400

um2010 Gravatar um2010
2056 70 13 55

обновил 2011-04-17 15:24:28 +0400

0

Применял кто либо snort для анализа и защиты?

ссылка удалить спам редактировать

ответил 2011-04-19 17:02:02 +0400

BoomBerbun Gravatar BoomBerbun
1 1

обновил 2011-04-19 17:03:11 +0400

Comments

применял, меня он забанил через два часа, приняв за злоумышленника! um2010 ( 2011-04-19 17:04:01 +0400 )редактировать
Хм, какие правила использовал, логи собственного бана остались, что делал с серваком, после чего попал в бан? BoomBerbun ( 2011-04-19 17:10:15 +0400 )редактировать
Было давно, точно не упомню всего, но забалил он меня по прикльной причине: попытка открыть url: http://server/admin.phpum2010 ( 2011-04-19 17:12:13 +0400 )редактировать
Ок, включю побольше правил,для теста. Кто конкретно правил snort для анализа и защиты asterixa очень нужно ваше мнение! Спасибо! BoomBerbun ( 2011-04-19 17:17:45 +0400 )редактировать
Ну вот стоило опубликоваться как понеслись подборы паролей)))) Чуваки сервер тестовый, вам х....что обломиться.Денег там 5$. BoomBerbun ( 2011-04-20 11:44:12 +0400 )редактировать
это не чуваки. это боты.. такшо скорее вам обломиться чем ботам... я снорт применял. главное иметь хотябы один адрес который сразу в белый список поставить. ибо он параноик. там надо пороги повытсавлять правильно. я просто написал простое правило на количество запросов в минуту с адреса. тсавил 20 кажися. из этого правила исключил порты 10000-20000(ртп). meral ( 2011-04-20 14:51:01 +0400 )редактировать
0

Последнее время получал ну очень много сообщений от fail2ban о попытках подбора пароля. То ли где-то занесли мой IP в какой-то список, то ли дети всей планеты играют в одну и ту же игру. Короче, здесь взял идею, а здесь список сетей по странам. Добавил к своим правилам iptables проверку на страны где есть мои клиенты - RETURN в основную рутину, а все остальное LOG и DROP. log растет не по часам а по минутам ;-))

ссылка удалить спам редактировать

ответил 2013-03-03 01:14:20 +0400

alphil Gravatar alphil flag of Spain
520 11 5 16
http://www.damal.es/

Comments

Даже если только россия, то нефиговый список получается. Интересно, как микротик его пережует...

switch ( 2013-03-03 21:18:41 +0400 )редактировать

Ну да, у меня получается 1058 строк, но это на выделенном сервере. А на Mikrotike, я думаю будет работать без проблем. Так как проверка пакетов происходит только если статус NEW, потом все RELATED и ESTABLISHED не проверяются, думаю у вас так настроен firewall ;-)).

alphil ( 2013-03-04 15:41:54 +0400 )редактировать

Просто админить не очень удобно будет, полагаю. Хотя в винбоксе удобные средства фильтрации имеются...

switch ( 2013-03-04 15:45:45 +0400 )редактировать

Ваш ответ

Please start posting your answer anonymously - your answer will be saved within the current session and published after you log in or create a new account. Please try to give a substantial answer, for discussions, please use comments and please do remember to vote (after you log in)!
[скрыть предварительный просмотр]

Закладки и информация

Добавить закладку
5 закладок

подписаться на rss ленту новостей

Статистика

Задан: 2011-04-12 23:33:19 +0400

Просмотрен: 2,958 раз

Обновлен: Nov 15 '13

Проект компании "АТС Дизайн"
Asterisk® и Digium® являются зарегистрированными торговыми марками компании Digium, Inc., США.
IP АТС Asterisk распространяется под лицензией GNU GPL.