A csillag védelme az illetéktelen csatlakozásoktól. Az Asterisk védelme a hackeléstől

Most nagyon gyakran kell megküzdenie a különféle típusú támadásokkal Csillagés analógjai. Rossz beállításés a tudatlanság egyszerű szabályok pénzügyi veszteséget okoz a használó vállalkozás számára PBX csillag.

Ebben a cikkben megvizsgáljuk a kezdeti biztonsági mechanizmusokat Csillag 13 telepítés után, és nem veszi figyelembe a Linux biztonsági mechanizmusait. Íme néhány szabály, amelyek segítenek megőrizni a rendszer biztonságát:

1. Hack-álló jelszavak és bejelentkezési adatok minden hálózati eszközön (Asterisk, IP telefonok, VoIP átjárók).

Jelszavak SIP-fiókokhoz, rendszergazdákhoz, Asterisk menedzserekhez és hálózati eszközök legalább 13 karakterből kell állnia (betűk, számok, speciális karakterek, kis- és nagybetűk). Ne használjon bejelentkezéseket a rendszerben, mint pl admin, adminisztrátor, menedzser stb.

2. Helyes SIP-konfiguráció az Asterisk-ben - sip.conf.

A szkennerek elleni védelem érdekében módosítsa a szabványos SIP-portot, tiltsa le a vendéghívásokat és -regisztrációkat, az átfedéseket, iratkozzon fel a csatorna állapotinformációira stb. Teljes leírás paramétereket általános sip.conf cikkben leírva. Az alábbiakban látható a sip.conf, amelyet az Asterisk szerverhez konfiguráltam megjegyzésekkel:
context=default ;Alapértelmezés szerint nem használt kontextus hozzárendelése a kimenő hívásokhoz allowguest=no ;Vendégkapcsolatok letiltása (hitelesítés nélkül) match_auth_username=no ;A "felhasználónév" mező használatának tiltása "from" helyett allowoverlap=no ;Egy számjegyű letiltása tárcsázás;allowtransfer= nem ;A továbbítási tartomány használatának letiltása=CUCM11.5(1)SU3 ;Használja a sajátunkat Domain név szerver (elrejti a csillagot) ;domainsasrealm=no ;recordonfeature=automixmon bindport=9050 ;SIP jelzési port módosítása udpbindaddr=0.0.0.0 ;Alapértelmezett UDP-cím tcpenable=yes ;TCP-támogatás engedélyezése (lehet, hogy van .dtdrcp Avaya).dtdr=0 TCP-cím;tlsenable=no ;tlsbindaddr=0.0.0.0 ;tcpauthtimeout = 30 ;tcpauthlimit = 100 ;websocket_enabled = true ;websocket_write_timeout_ = 100 =ef ;tos_video=af41 ;tos_text=af41 ;cos_sip=3 ;cos_audio=5 ;cos_video=4 ;cos_text=3 ;maxexpiry=3600 ;minexpiry=60 ;defaultexpiry= 120 ;sub35minery=6expiry;submax0x0expiry ;maxforwards=70 qualifyfreq=60 ;Állítsa be a gazdagép elérhetőségének ellenőrzését 60 másodpercre;qualifygap=100 ;qualifypeers=1 ;keepalive=60 ;notifymimetype=text/plain ;buggymwi=no ;mwi_from=asterisk=code_onredvmecxtenpreferly=viceesy =all ;Összes kodek letiltása enable=a törvény ;Allow Alaw allow=ulaw ;Allow Ulaw ;autoframing=yes ;mohinterpret=default ;mohsuggest=default ;parkinglot=plaza language=ru ;Orosz nyelv beállítása alapértelmezés szerint a rendszerben tonezone=ru ;Globális hangzóna meghatározása a Ru-ban relaxdtmf=yes ; A rosszul felismert DTMF jelek felismerésének engedélyezése;trustrpid = nem ;sendrpid = igen rpid_update=yes ;Azonnali értesítés a másik szervertől a vonal állapotának változásairól;trust_id_outbound = nem ;prematuremedia=no ;progressinband=no callerid=CUCM11.5(1)SU3 ;Ha valahol nincs beállítva a CallerID - szimbolikussá tesszük useragent=Cisco-SIPGateway/IOS-12.x ;PBX-ként pedig van Cisco-SIPGateway ;promiscredir = nincs ;usereqphone = nincs dtmfmode=rfc2833 ;Állítsa be a gombot nyomóhang a telefonkészleten;compactheaders = yes videosupport=yes ;Videohívás-támogatás engedélyezése;textsupport=no maxcallbitrate=2048 ;Maximális videohívás bitsebesség authfailureevents=yes ;Peer állapot beállítása, ha nem tud bejelentkezni=elutasítva mindigauthr eject=yes ;Ha a hitelesítési kérelmet elutasították, akkor a válasz NEM azt fogja mondani, hogy a felhasználót hibásan adták meg igen ;MESSAGE kérés hitelesítésének engedélyezése ;g726nonstandard = yes ;outboundproxy=proxy.provider.domain:8080 ;supportpath=yes ;rtsavepath=yes ;matchexternaddrlocally = yes ;dynamic_exclude_static = yes ;contactdeny=0. 0.0.0/0.0.0.0 ;contactpermit=172.16.0.0/255.255.0.0 ;contactacl=named_acl_example ;rtp_engine=asterisk ;regcontext=sipregistrations regextenonqualify=yes ;Ha a minőség engedélyezve van, a kiterjesztés engedélyezve van, és kihagyja a kiterjesztést regcontext; legacy_useroption_parsing=yes ;send_diversion=no 32000 rtptimeout= 600 ;Hívás megszakítása, ha 600 másodperc elteltével nincs RTP médiafolyam tevékenység rtpholdtimeout=300 ;A hívás megszakítása, ha 300 másodperc elteltével nincs RTP-médiafolyam tevékenység;rtpkeepalive= ;session-timers=originate; session-expires=600 ;session-minse=90 ;session-refresher=uac ;sipdebug = yes ;recordhistory=yes ;dumphistory=yes ;allowsubscribe=no ;subscribecontext = alapértelmezett ;notifyringing = no ;notifyhold = calleres =yes ;notifyhold = calleres =yes =yes ;Számlálók engedélyezése hívásokhoz t38pt_udptl=yes ;T.38 támogatásának engedélyezése FEC hibajavítással faxdetect=yes ;CNG és T.38 észlelés engedélyezése nat=auto_force_rport,auto_comedia ;Automatikusan megtaláljuk a Nat-ot és a médiaadatokat azon a porton, ahonnan az Asterisk kapta, és nem mi érkezett az SDP-ben ;media_address = 172.16.42.1 ;subscribe_network_change_event = yes ;icesupport = yes directmedia=no ;Közvetlen RTP-forgalom a társak között, megkerülve a csillagot ;directrtpsetup=yes ;directmediadeny=0.01.7directmedia1.0.0.0.0. /16 ;directmediaacl=acl_example ;ignoresdpversion=yes sdpsession=SIP hívás ;SDP-munkamenet nevének módosítása sdpowner=CiscoSystemsSIP-GW-UserAgent ;Felhasználói mezők módosítása az SDP tulajdonosi karakterláncában ;titkosítás_=esav=esa ;p8ce=esap ;rtcachefriends= yes ;rtsavesysname=yes ;rtupdate=yes ;rtautoclear=yes ;ignoreregexpire=yes ;domain=customer.com,customer-context ;allowexternaldomains=no ;allowexternaldomains=no ;fromjdomaines=endomainy_my_ igen ;Használat engedélyezése RTP puffer a késleltetés kompenzációjához;jbforce = nincs jbmaxsize=200 ;Beállítva maximális méret Puffer RTP 200 ms;jbresyncthreshold = 1000 ;jbimpl = rögzített ;jbtargetextra = 40 ;jblog = nem

3. Nem szabványos IAX portot használunk.

Ehhez a fájlban /etc/asterisk/iax.conf szakaszban módosítsa a paramétert bindport=4569 paraméterenként bindport=9069

4. Az Asterisk-et másik felhasználóként kell futtatni (nem root felhasználóként). A cikkben meg van írva, hogyan kell ezt megtenni.

5. Állítsa be az engedélyezett IP-címeket vagy hálózatokat a SIP-bővítmények számára.

megtagadás=0.0.0.0/0.0.0.0 ; Minden megtagadása engedély=10.0.0.0/255.0.0.0 ; Ismert engedély engedélyezése=172.20.0.0/255.255.0.0 ; Ismert engedély engedélyezése=192.168.0.0/16 ; Ismert engedélyezése

6. Állítsa be az egyidejű hívások korlátját.

call-limit=2 ;Állítsa be az értéket 2-re, hogy a felhasználó átutalást hajthasson végre

7. Állítson be különböző kimenő útválasztási szabályokat minden felhasználó számára.

El kell távolítani az összes alapértelmezés szerint használt útvonalat, és hozzá kell rendelni a sajátját, megkülönböztetve a kontextusokat:

Helyi készletek
Helyi hívások
Zóna hívások
Távolsági hívások
Nemzetközi hívások

Az ABC, DEF kódok teljes listája a Rossvyaz hivatalos forrásából származik.
Az alapértelmezett útvonalhoz tegye exten => _X.,1,Hangup()

8. IPtables használata

9. Használja a Fail2Ban-t

10. Minden telefonkészüléket külön Voice VLAN-ban jelenítünk meg. Itt meg kell erőltetni a hálózatépítőket.

11. Kiemelt figyelmet fordítunk a nemzetközi irány 8-10.

Csak a szervezetben használt irányokat állítjuk be, és szükség szerint kiegészítjük (bővítjük). E-mailben is értesítünk, ha egy felhasználó vagy egy támadó ismeretlen nemzetközi célállomást használt, és korlátozzuk az egyes kapcsolatokat és az egyidejű hívások számát. A cikkben egy kész megoldás található a 8-10 irány védelmére.

12. Tiltsa le a nem használt csatornákat és szolgáltatásokat.

Például, ha nem használja a protokollt MGCP vagy sovány, tiltsa le ezeket a modulokat a fájlban /etc/asterisk/modules.conf:
noload => pbx_gtkconsole.so noload => chan_alsa.so noload => chan_console.so noload => res_ari.so noload => chan_dahdi.so noload => codec_dahdi.so noload => res_ari_device_states.soari.soload > res_ari_channels.so noload => res_ari_events.so noload => res_ari_playbacks.so noload => res_ari_endpoints.so noload => res_ari_recordings.so noload => res_ari_bridges.so noload => res_ari_bridges.so noload => res_ari_events =>res_ari_aripso. .so noload => cdr_mysql.so noload => res_phoneprov.so noload => cdr_odbc.so noload => cdr_pgsql.so ;====================== = ==== ; PBX -- noload => pbx_ael.so ; Csatornák -- noload => chan_mgcp.so noload => chan_skinny.so noload => chan_unistim.so noload => chan_pjsip.so noload => chan_modem.so noload => chan_modem_aopen.so noload => chan_modem_chanlbest noloadi so noload => chan_alsa.so noload => chan_oss.so ; Kodekek -- noload => codec_lpc10.so ; Formátumok -- noload => format_au.so noload => format_gsm.so noload => format_h263.so noload => format_ilbc.so noload => format_jpeg.so ; Alkalmazások -- noload => app_image.so noload => app_zapateller.so noload => app_zapbarge.so noload => app_zapscan.so noload => res_config_ldap.so

13. Korlátozza a távoli hozzáférést az IP-PBX-hez a tűzfal segítségével.

Ha tervezi biztosítani távoli hozzáférés felhatalmazott alkalmazottak esetében a legjobb akkor megszervezni VPN segítség szerver (például Open VPN).

Most nagyon gyakran kell megküzdenie az Asterisk és analógjai elleni különféle támadásokkal. A helytelen konfiguráció és az egyszerű szabályok figyelmen kívül hagyása pénzügyi veszteségekkel jár az Asterisk PBX-t használó vállalkozás számára.

Ebben a cikkben megvizsgáljuk az Asterisk 13 kezdeti biztonsági mechanizmusait a telepítés után, és nem térünk ki a Linux biztonsági mechanizmusaira. Íme néhány szabály, amelyek segítenek megőrizni a rendszer biztonságát:

1. Hack-álló jelszavak és bejelentkezési adatok minden hálózati eszközön (Asterisk, IP telefonok, VoIP átjárók).

A SIP-fiókok, adminisztrátorok, az Asterisk-kezelők és a hálózati eszközök jelszavainak legalább 13 karakterből kell állniuk (betűk, számok, speciális karakterek, kis- és nagybetűk). Ne használjon bejelentkezéseket a rendszerben, például adminisztrátor, rendszergazda, menedzser stb.

2. Helyes SIP-konfiguráció az Asterisk-ben - sip.conf.

Context=default ;Alapértelmezés szerint nem használt kontextus hozzárendelése a kimenő hívásokhoz allowguest=no ;Vendégkapcsolatok letiltása (hitelesítés nélkül) match_auth_username=no ;A "felhasználónév" mező használatának tiltása "from" helyett allowoverlap=no ;Egy számjegyű letiltása tárcsázás;allowtransfer= nem ;A továbbítás tiltása realm=CUCM11.5(1)SU3 ;Használja a szerver domain nevét (elrejti a csillagot) ;domainsasrealm=no ;recordonfeature=automixmon bindport=9050 ;Módosítsa a jelzési SIP portot= udpbindaddr=0. .0.0 ;UDP-cím -alapértelmezett tcpenable=yes ;TCP-támogatás engedélyezése (talán van Avaya) tcpbindaddr=0.0.0.0 ;Alapértelmezett TCP-cím;tlsenable=no ;tlsbindaddr=0.0.0.0 ;tcpauthtimeout =bocpauthtimeoutc0ends10 = True 4 ;co s_text=3 ;maxexpiry=3600 ;minexpiry=60 ;defaultexpiry=120 ;submaxexpiry=3600 ;submineexpiry=60 ;mwiexpiry=3600 ;maxforwarders=70 ;keepalive=60 ;notifymimetype=text/plain ;buggymwi=no ;mwi_from=asterisk ;vmexten=hangposta ;preferred_codec_only=yes disallow=all ;Összes kodek letiltása allow=alaw ;Allow Alaw allow=ulawyes ;autoframing ;autoframing; mohinterpret=default ;mohsuggest=default ;parkinglot=plaza language=ru ;Az orosz nyelv beállítása alapértelmezettként a rendszerben tonezone=ru ;A globális hangzóna meghatározása a Ru-ban relaxdtmf=yes ;A rosszul felismert DTMF jelek felismerésének engedélyezése;trustrpid = nem ; sendrpid = igen rpid_update=yes ;Azonnali értesítés a másik szerverről a vonal állapotának változásairól;trust_id_outbound = no ;prematuremedia=no ;progressinband=no callerid=CUCM11.5(1)SU3 ;Ha valahol nincs beállítva a hívóazonosító, akkor it karakter useragent=Cisco -SIPGateway/IOS-12.x ;A in ka Alközpontként a Cisco-SIPGateway van ;promiscredir = nem ;usereqphone = nincs dtmfmode=rfc2833 ;A telefonkészülék gombjainak megnyomásának hangszínének beállítása;compactheaders = igen videosupport=yes ;Videohívás támogatás engedélyezése;textsupport=no maxcallbitrate ;Maximális videohívás bitsebesség authfailureevents=yes ;Állítsa be a Peer állapotot, ha nem tud bejelentkezni=elutasítva alwaysauthreject=yes ;Ha a hitelesítési kérelmet elutasították, akkor a válasz NEM azt fogja mondani, hogy a felhasználót rosszul adta meg, felhasználónév felsorolás védelme auth_options_requests =yes ;Engedélyezés szükséges az OPTION és az INVITE küldésekor ;accept_outofcall_message = no ;outofcall_message_context = üzenetek auth_message_requests=yes ;Hitelesítés kérésének engedélyezése MESSAGE ;g726nonstandard = igen = igen ;dynamic_exclude_tactden = igen =0. 0.0.0/0.0.0.0 ;contactpermit=172.16.0.0/255.255.0.0 ;contactacl=named_acl_example ;rtp_engine=asterisk ;regcontext=sipregistrations regextenonqualify=yes ;Ha a minőség engedélyezve van, a kiterjesztés engedélyezve van, és kihagyja a kiterjesztést regcontext; legacy_useroption_parsing=yes ;send_diversion=no 32000 rtptimeout= 600 ;Hívás megszakítása, ha 600 másodperc elteltével nincs RTP médiafolyam tevékenység rtpholdtimeout=300 ;A hívás megszakítása, ha 300 másodperc elteltével nincs RTP-médiafolyam tevékenység;rtpkeepalive= ;session-timers=originate; session-expires=600 ;session-minse=90 ;session-refresher=uac ;sipdebug = yes ;recordhistory=yes ;dumphistory=yes ;allowsubscribe=no ;subscribecontext = alapértelmezett ;notifyringing = no ;notifyhold = calleres =yes ;notifyhold = calleres =yes =yes ;Számlálók engedélyezése hívásokhoz t38pt_udptl=yes ;T.38 támogatásának engedélyezése FEC hibajavítással faxdetect=yes ;CNG és T.38 észlelés engedélyezése nat=auto_force_rport,auto_comedia ;Automatikusan megtaláljuk a Nat-ot és a médiaadatokat azon a porton, ahonnan az Asterisk kapta, és nem mi érkezett az SDP-ben ;media_address = 172.16.42.1 ;subscribe_network_change_event = yes ;icesupport = yes directmedia=no ;Közvetlen RTP-forgalom a társak között, megkerülve a csillagot ;directrtpsetup=yes ;directmediadeny=0.01.7directmedia1.0.0.0.0. /16 ;directmediaacl=acl_example ;ignoresdpversion=yes sdpsession=SIP hívás ;SDP-munkamenet nevének módosítása sdpowner=CiscoSystemsSIP-GW-UserAgent ;Felhasználói mezők módosítása az SDP tulajdonosi karakterláncában ;titkosítás_=esav=esa ;p8ce=esap ;rtcachefriends= yes ;rtsavesysname=yes ;rtupdate=yes ;rtautoclear=yes ;ignoreregexpire=yes ;domain=customer.com,customer-context ;allowexternaldomains=no ;allowexternaldomains=no ;fromjdomaines=endomainy_my_ igen ;Használat engedélyezése jbforce = nincs jbmaxsize=200 ;A maximális RTP pufferméret beállítása 200 ms-ra; jbresyncthreshold = 1000 ;jbimpl = rögzített ;jbtargetextra = 40 ;jblog = nem

3. Nem szabványos IAX portot használunk.

Ehhez a fájlban /etc/asterisk/iax.conf szakaszban módosítsa a paramétert bindport=4569 paraméterenként bindport=9069

4. Az Asterisk-et másik felhasználóként kell futtatni (nem root felhasználóként). Le van írva, hogyan kell ezt csinálni.

5. Állítsa be az engedélyezett IP-címeket vagy hálózatokat a SIP-bővítmények számára.

6. Állítsa be az egyidejű hívások korlátját.

call-limit=2 ;Állítsa be az értéket 2-re, hogy a felhasználó átutalást hajthasson végre

7. Állítson be különböző kimenő útválasztási szabályokat minden felhasználó számára.

El kell távolítani az összes alapértelmezés szerint használt útvonalat, és hozzá kell rendelni a sajátját, megkülönböztetve a kontextusokat:

Helyi készletek
Helyi hívások
Zóna hívások
Távolsági hívások
Nemzetközi hívások

Az ABC, DEF kódok teljes listája a Rossvyaz hivatalos forrásából származik.
Az alapértelmezett útvonalhoz tegye

Exten => _X.,1,Hangup()

8.

9. 10. Minden telefonkészüléket külön Voice VLAN-ban jelenítünk meg. Itt meg kell erőltetni a hálózatépítőket.

11. Kiemelt figyelmet fordítunk a nemzetközi irány 8-10.

12. Tiltsa le a nem használt csatornákat és szolgáltatásokat.

Például, ha nem MGCP vagy Skinny protokollt használ, tiltsa le ezeket a modulokat a fájlban /etc/asterisk/modules.conf:

noload => pbx_gtkconsole.so noload => chan_alsa.so noload => chan_console.so noload => res_ari.so noload => chan_dahdi.so noload => codec_dahdi.so noload => res_ari_device_states.soari.soload > res_ari_channels.so noload => res_ari_events.so noload => res_ari_playbacks.so noload => res_ari_endpoints.so noload => res_ari_recordings.so noload => res_ari_bridges.so noload => res_ari_bridges.so noload => res_ari_events =>res_ari_aripso. .so noload => cdr_mysql.so noload => res_phoneprov.so noload => cdr_odbc.so noload => cdr_pgsql.so ;====================== = ==== ; PBX -- noload => pbx_ael.so ; Csatornák -- noload => chan_mgcp.so noload => chan_skinny.so noload => chan_unistim.so noload => chan_pjsip.so noload => chan_modem.so noload => chan_modem_aopen.so noload => chan_modem_chanlbest noloadi so noload => chan_alsa.so noload => chan_oss.so ; Kodekek -- noload => codec_lpc10.so ; Formátumok -- noload => format_au.so noload => format_gsm.so noload => format_h263.so noload => format_ilbc.so noload => format_jpeg.so ; Alkalmazások -- noload => app_image.so noload => app_zapateller.so noload => app_zapbarge.so noload => app_zapscan.so noload => res_config_ldap.so

13. Korlátozza a távoli hozzáférést az IP-PBX-hez a tűzfal segítségével.

Ha azt tervezi, hogy távoli hozzáférést biztosít a jogosult alkalmazottak számára, a legjobb, ha ezt a segítségével szervezi meg VPN szerverek(pl. OpenVPN).

14. Állítson be korlátozott jogokat a könyvtárakhoz.

Az oldal anyagainak bármilyen felhasználása csak a szerző engedélyével és a forrás kötelező megjelölésével lehetséges.

Mai cikkünkben szó lesz arról, hogyan védhetjük meg az IP-PBX-et a jogosulatlan hozzáféréstől, és adunk néhány egyszerű tippet, amelyek betartásával jelentősen növelheti telefonközpontja biztonságát. Az ebben a cikkben közölt példák az Asterisk alapú IP alközpontokra vonatkoznak, de sok közülük kivétel nélkül minden VoIP PBX-re vonatkozik.

Először nézzük meg, milyen biztonsági „lyukak” fenyegetnek, és milyen következményekkel fenyegetnek egy vállalkozást, ha egy támadó hozzáfér egy IP alközponthoz.

A hackelés veszélye

Ellentétben a hackeléssel személyi számítógép vagy posta, az alközpont feltörése – ezek ingyenes hívások a hacker számára, amiért az alközpont tulajdonosának fizetnie kell. Sok olyan eset van, amikor a hackerek óriási összegeket költöttek el, mindössze néhány órát töltöttek egy feltört alközponton.

Általános szabály, hogy az IP-PBX-ek, amelyek elérhetők nyilvános hálózat. Különféle SIP szkennerek segítségével és a rendszer sebezhetőségeinek vizsgálatával választják ki a támadás helyeit. Az alapértelmezett jelszavak, a nyitott SIP portok, a rosszul kezelt vagy hiányzó tűzfal mind illetéktelen hozzáférést okozhatnak.

Szerencsére mindezek a sebezhetőségek teljesen ingyenesen kiküszöbölhetők.

Egyszerű lépések a biztonság javításához

Amint láthatja, az IP-PBX védelme a külső behatolásoktól nem olyan nehéz, a javasolt tippeket követve komolyan növelheti a rendszer biztonságát és megbízhatóságát.

A telefonálás olcsó lehet
és funkcionális!

Az ITCUBE szolgáltatások széles skáláját kínálja az IP-telefónia telepítéséhez, integrációjához és konfigurálásához

Az informatikai szolgáltatások minőségiek lehetnek!

chmod 755 install_apf_bfd.sh

./install_apf_bfd.sh

Az APF konfigurációja az /etc/apf/conf.apf fájlban található

A fájl szerkesztésének megkezdéséhez használja a következő parancsot:

nano /etc/apf/conf.ap f

Beállítjuk az IFACE_IN és IFACE_OUT bemeneteket az internet felé néző hálózati interfészhez. Egy hálózati interfészre nézve helyi hálózat, állítsa be: IFACE_TRUSTED.

SET_TRIM="0"

Az APF képes a QoS támogatására. SIP és IAX esetén a következőket kell beállítani:

TOS _8="21,20,80,4569,5060,10000_20000"

Ha módosítja az SSH-portot, szerkesztenie kell a conf.apf fájlt, hogy megfeleljen az új portnak.

HELPER_SSH_PORT="2222"

Ügyeljen arra, hogy a 2222-t a megfelelő portszámra cserélje, amelyen az SSH kezelését választotta.

A bejövő forgalom szűrése portok megnyitására szolgál hozzáférés céljából; A TCP-nek és az UDP-nek külön beállításai vannak. Asterisk (Trixbox) esetén a következő portoknak nyitva kell lenniük; valamint a TCP és az UDP listája. Ha nem használ TFTP-t, akkor ne nyissa meg a 69-es portot. Ne felejtse el megváltoztatni az SSH-portot. Ellenkező esetben nem fog tudni hozzáférni; itt a legutóbbi példánk 2222-es portját használjuk. Az IAX portokat nem vettük bele ebbe a beállításba. Eszik egyszerű módja győződjön meg arról, hogy csak bizonyos gazdagépek használhatják az IAX-et, amelyet később nyitunk meg. Ez akkor hasznos, ha az IAX-et használja a külvilág számára láthatatlan irodaközi fővonalak megjelenítésére.

IG_TCP_CPORTS="2222,69,80,5060,6600,10000_20000"
IG_UDP_CPORTS="69,5060,10000_20000"

Nem használok kimenő szűrést, ezért ez a cikk nem foglalkozik vele. EGF="0" értékre van állítva, alapértelmezés szerint le van tiltva.

A lehetőségek listájának megtekintéséhez parancs sor, futtassa az apf-t zászlók nélkül.

#apf
apf(3402): (glob) állapotnapló nem található, létrehozva
APF 9.6-os verzió< This email address is being protected from spambots. You need JavaScript enabled to view it. >
Szerzői jog (C) 1999-2007, R-fx Networks< This email address is being protected from spambots. You need JavaScript enabled to view it. >
Copyright (C) 2007, Ryan MacDonald< This email address is being protected from spambots. You need JavaScript enabled to view it. >
Ez a program szabadon terjeszthető a GNU GPL feltételei szerint
használat /usr/local/sbin/apf
-s|--start ......................... minden tűzfalszabály betöltése
-r|--újraindítás ........................ leállítás (öblítés) és a tűzfalszabályok újratöltése
-f|--stop........ ............. minden tűzfalszabály leállítása (kiürítése).
-l|--list ......................... felsorolja az összes tűzfalszabályt
-t|--status ........................ kimeneti tűzfal állapotnapló
-e|--refresh ....................... dns nevek frissítése és feloldása bizalmasan
szabályokat
-a HOST CMT|--engedélyezze a HOST MEGJEGYZÉSÉT ... host (IP/FQDN) hozzáadása
allow_hosts.rules, és azonnal töltse be az új szabályt a tűzfalba
-d HOST CMT|--megtagadás HOST COMMENT .... host (IP/FQDN) hozzáadása
deny_hosts.rules, és azonnal töltse be az új szabályt a tűzfalba
-u|--remove HOST ...................eltávolítja a gazdagépet innen
*_hosts.rules, és azonnal távolítsa el a szabályt a tűzfalról
-o|--ovars ........................ kiadja az összes konfigurációs opciót

Az APF indításához a következő parancsokat használjuk:

# apf -s
apf(3445): (glob) a tűzfal aktiválása
apf(3489): (glob) meghatározott (IFACE_IN) Az eth0 címe 192.168.1.31
apf(3489): (glob) meghatározott (IFACE_OUT) az eth0 címe 192.168.1.31
apf(3489): (glob) a preroute.rules betöltése http://r-fx.ca/downloads/reserved http://feeds.dshield.org/top10-2.txt
http://www.spamhaus.org/drop/drop.lasso
apf(3489): (sdrop) a drop.lasso elemzése az /etc/apf/sdrop_hosts.rules fájlba
apf(3489): (sdrop) az sdrop_hosts.rules betöltése
apf(3489): (glob) a közös drop portok betöltése
........... ehhez a dokumentumhoz vágva.........
apf(3489): (glob) alapértelmezett (ingress) input drop
apf(3445): (glob) tűzfal inicializálva
apf(3445): (glob) !!FEJLESZTÉSI MÓD ENGEDÉLYEZVE!! - a tűzfal kiürül
5 percenként.

Láthatjuk, hogy az APF működik, és néhány szabályt letöltött a dshield.org és a spamhaus.org oldalról. Most teszteljük az Asterisk (Trixbox) szerverre való bejelentkezést SSH-n keresztül, hogy megbizonyosodjunk arról, hogy mindent megfelelően konfiguráltunk. Ha nem tud csatlakozni, várjon 5 percet, majd az APF feloldja a blokkot. Ha megbizonyosodott arról, hogy be tudja kapcsolni az SSH-t, módosíthatja a DEVEL_MODE = "1" értéket DEVEL_MODE = "0" értékre a conf.apf fájlban, és újraindíthatjuk az APF-et. Az APF elindul, és nem ad ki figyelmeztetést, hogy DEVELOPMETN_MODE módban van.

APF: kiegészítő tuning

Ezzel még nem ért véget a beállítás, ha az Asterisk (Trixbox) szervereit IAX-on keresztül szeretné csatlakoztatni. Ehhez hozzá kell adnia az IAX portokat a conf.apf fájlhoz. Ez az opció statikus IP-címekkel vagy DynDNS-sel működik. Az apf -a parancs hozzáférést biztosít egy adott IP-címhez. Ez globálisan lehetővé teszi a gazdagép számára, hogy a tűzfalszabályok megkerülésével csatlakozzon az Asteriskhez (Trixbox).

apf -a 192.168.1.216

Ez lehetővé teszi a 192.168.1.216 rendszer számára, hogy a tűzfallal védett kiszolgáló bármely portjához csatlakozzon, megkerülve a tűzfalszabályokat. Ha mindkét Asterisken (Trixboxon) APF-et futtat, ügyeljen arra, hogy ugyanezt tegye a másik gazdagépen a megfelelő IP-cím használatával.

Az APF is lehetővé teszi rendszergazda blokkoljon egy gazdagépet vagy egy teljes alhálózatot. Ez akkor hasznos, ha valaki FTP-n, Telneten, SSH-n stb. próbál csatlakozni a gépéhez. Egy adott gazdagép blokkolásához használja a következőket: győződjön meg arról, hogy a blokkolni kívánt IP-címet használja.

apf -d 192.168.1.216

Egy teljes alhálózat (CIDR) blokkolása:

apf -d 202.86.128.0/24

Az APF nem támogatja a QoS-t az UDP-csomagokhoz. Csak TCP. Van ennek egy egyszerű módja. Az /etc/apf/internals fájlban van functions.apf fájl. Ezt a fájlt kézzel kell szerkesztenünk. Több helyen kell egyetlen sort hozzáadnunk. A functions.apf fájlban a TOS_ részt keressük. Így fog kinézni:

ha[! "$TOS_0" == "" ]; akkor
for i in `echo $TOS_0 | tr "," ""`; csináld
i=`visszhang $i | tr "_" ":"`
$IPT -t mangle -A PREROUTING -p tcp --sport $i -j TOS --set-tos 0
$IPT -t mangle -A PREROUTING -p udp --sport $i -j TOS --set-tos 0
Kész
fi

Ezt az extra sort az összes használt TOS bithez meg kell tenni.

BFD

A nyers erő észlelése (szótári támadás) a jogosulatlan bejelentkezési kísérletek felderítésére szolgál.

A BFD konfigurációs fájlja a /usr/local/bfd könyvtárban található, és a neve conf.bfd. Ez a fájl az APF-hez hasonlóan sok megjegyzést tartalmaz. Megnézünk néhány testreszabási lehetőséget.

Az első konfigurációs változó, amelyet megvizsgálunk, a TRIG; ez a sikertelen próbálkozások száma a támadó blokkolása előtt. Az alapértelmezett 15. Ne feledje, hogy ez nem egy fiókból, hanem egy IP-címről érkező próbálkozások száma. Tehát, ha 15 sikertelen bejelentkezési kísérlet érkezik 1 IP-címről különböző fiókok használatával, akkor is zárolva lesz.

A BFD-nek van egy jó funkciója - küldés e-maileket nyers erő észlelésekor. Az opció engedélyezéséhez állítsa a EMAIL_ALERTS 1-et; ne felejtse el megadni azt a címet, amelyre értesítéseket szeretne kapni – EMAIL_ADRESS.

A BFD-t a cron 3 percenként futtatja, és az /etc/cron.d könyvtárban található.

A tiltott IP-címek listáját a következő paranccsal kaphatja meg:

A BFD indításához használja a következő parancsot:

bfd -s

Összegzés

Ezzel befejeződik az Asterisk (Trixbox) biztonsági felülvizsgálata.

Ez a cikk csak az Asterisk (Trixbox) védelmének alapelveit tárgyalja. A biztonságos VoIP rendszerek építése természetesen nem korlátozódik erre.

Az eredeti cikk a linken található