База знаний

www. IT-Mehanika .ru --  журнал доброго админа

Памятка по безопасности Астериск.

В этой статье я попытался сделать кратенькую напоминалку для админа, ставящего астериск.

После установки и предварительной настройки Астериска, не спешите выпускать его наружу. Откройте CLI Asterisk набрав 'asterisk -r '. Наберите команду 'sip show settings', это даст возможность увидеть правильно ли Астериск понял, что вы написали в основных конфигах. Помните, если вы НЕ ЗАДАЛИ ЗНАЧЕНИЕ в конфиге, это не значит что его нет и  оно такое как надо.  Первоначально обращаем внимание в секции Global Settings на параметры :

 ----------------

AutoCreate Peer: No

Allow unknown access: No

Always auth rejects: Yes

Это как температура больного, дает основные показатели :)

Если не так и просто для очистки совести смотри параметры в sip.conf секция [general]


 Жестко запрещаем сусликам-партизанам гостевые звонки. Некоторые SIP-устройства (такие, как Cisco Call Manager v4.1) не поддерживают аутентификацию, поэтому они не смогут устанавливать соединения, если задано allowguest=no. Но оставлять гостевой доступ опасно.

allowguest = no

 Далее параметр Autocreatepeer. Он позволяет, если установлен в значение Yes, любым SIP клиентам зарегистрироваться на Вашем сервере Asterisk в качестве пира. Настройки для этого клиента будут установлены из глобальной секции файла конфигурации. Имя пира будет определено, исходя из пользовательской части URL заголовка "Contact:". Эта возможность, если включена, создает большую проблему с безопасностью Вашего сервера, если Вы не контролируете доступ к нему другими средствами (жесткий файрволл).

autocreatepeer = no

 Обязательно прописываем свои домены и внешний адрес. При этом запрещаем автосоздание доменов. Если этого не делать, то Asterisk будет добавлять имя локального хоста и локальные IP-адреса в список доменов и считать эти домены обслуживаемыми.

domain = <внутренний IP>, <Внешний IP>

externip = <Внешний IP>

autodomain = no

 Жестко укажите локальные сети с которых возможен доступ и те сети которые являются локальными для Астериска. Это позволит работать без проблем с сетями завязанными VPN-туннелями. Так же избавит от проникновения со стороны «домашних» провайдерских сетей. Пример :

Сети которые Астериск считает локальными :

localnet = 192.168.41.0/255.255.255.0

localnet = 192.168.11.0/255.255.255.0

localnet = 192.168.10.0/255.255.255.0

localnet = 192.168.12.0/255.255.255.0


Разрешить регистрацию по умолчанию только из той сети где живет Астериск

Deny = 0.0.0.0/0.0.0.0

Permit = 192.168.41.0/255.255.255.0


Остальным в секциях прописывать конкретную сеть, где они живут :

[1099]

fullname = pupkin-ne-suslik

...

Deny = 0.0.0.0/0.0.0.0

Permit = 192.168.12.0/255.255.255.0


Соответственно пользователь pupkin-ne-suslik, сможет зарегистрироваться только из сети 192.168.12.0. Если даже по кто-то и украл или подсмотрел пароль, то он не войдет снаружи или из другой подсети компании.

Также рекомендую к установке что-то для начала вроде fail2ban. Результат — Суслики попадают в капкан. Штуки по 4 в час.

 С Уважением
Блинов Владимир

Комментарии   

0 #3 mrbublik 21.06.2013 11:00
И еще. Если не хотите лишиться денег сразу оптом, пока закройте выход наружу ))))
0 #2 mrbublik 21.06.2013 10:58
сразу вопрос - а с сипнет соединение точка-точка или ваш сервер регистрируется ? а в нат что прописано? а ... если есть желание свяжитесь со мной по скайпу ( blinus-first ) , попробую помочь. оч много нюансов. Если срабатывает только через gusest это значит, что астериск отрабатывает приход ЛЮБОГО звонка. С тем же успехом я отправив на ваш астер INVITE с запросом @ буду обработан дефаулным входящим правилом exten => s,1,.... , а при указании конкретного внутреннего номера я сразу ,без паролей, позвоню на него. Asterisk создаст под меня некий анонимный пир.
0 #1 Владимир Котиков 20.06.2013 22:54
Здравствуйте. Хотел задать вопрос про опцию allowguest. Дело в том, что на тестовой машине при установке этой опции в no перестают приходить входящие звонки через SIP-транк от sipnet на внутренних клиентов. Астериск и софтфоны находятся в локальной сети, за NAT, звонить пытаюсь с другого аккаунта от sipnet с реального IP адреса. Казалось бы, при этом регистрация на астериске, которую этот параметр запрещает, не нужна, однако же звонки не идут. Как только разрешаю гостей, звонки начинают проходить. Подскажите, почему так происходит.

You have no rights to post comments