Jak zabezepečit asterisk na veřejné ip adrese

Diskuze kolem nastavení a problémů s VoIP ústřednou Asterisk.

Jak zabezepečit asterisk na veřejné ip adrese

Příspěvekod xsouku04 » úte 15. kvě 2012 10:23:12

Nějaké typy jsou též zde: viewtopic.php?f=7&t=2799&p=22732#p22732

Provozovat asterisk na veřejné adrese považuji za nebezpečné. Bohužel málo kdo má tu odvahu to otevřeně přiznat.
Řešení typu fail2ban jsou jen nešikovné a částečná řešení.
Probírají to třeba zde. http://forums.digium.com/viewtopic.php?t=78988 Tam je fail2ban právem nazýván falešným pocitem bezpečnosti.

Asterisk běžící na veřejné ip adrese se stává cílem útoku prakticky denně. Zjevně se útočníkům daří občas nějaký ten asterisk nebo jiné sip zařízení prolomit, jinak by to nedělali !!!

Pracujeme nyní na řešení, které by mohlo sipové pakety před asteriskem analyzovat a pustit jen pokud jsou neškodné. Zasahovat do zdrojového kódu asterisku je totiž hrozný humus, kterému je dobré se vyhnout.

Zatím nezbývá, že se spoléhat na polovičatá řešení jako fail2ban,
blokování ip adres s kterých je možné se přihlásit podle země může být dobrý způsob jak eliminovat američany a jiný cizince s dolary v očích. http://www.cyberciti.biz/faq/block-enti ... -iptables/.
Překvapivě hodně účinné může být si změnit SIP port z 5060 na nějaký hodně obskurní třeba 61534. Útočník pak obvykle ani nezjistí, že na vaší ip adrese běží něco se SIP a útok vůbec nezačne. Další výhoda je, že se tím vyhnete případným potížím se SIP ALG.

Dobré je se zamyslet, jestli vůbec veřejnou adresu potřebujete. Pokud občas potřebujete volat ze širého internetu, můžete se na váš asterisk dostat pomocí registrace na sip.odorik.cz. Do firmy můžete udělat VPN.

Update: Řešení kde před Asterisk umístíme proxy, které analyzuje sip pakety a zajišťuje tak plně bezpečnost máme hotové a odzkoušené. V asterisku se pak nastaví outbound proxy aby odchozí hovory na přihlášená sip zařízení byla nejdříve odeslána na daný proxy. Časem je možná zavedeme i jako možnost na 4smart. Je to totiž jediný spolehlivý způsob jak se kompetentně bránit před stále častějšími útoky. Při nasazení proxy není nutná žádná změna u koncových uživatelů a minimální změna na asterisku.
Pro uživatele 4smart zatím doporučuji si nastavit, aby váš asterisk poslouchal na jiném portu než 5060 nejlépe nějakém hodně podivné portu, který pravděpodobně útočníka nenapadne skenovat. Předpokládám, že se tak vyhnete 99% nahodilým útokům. V jednoduchosti je totiž síla.
Update2:
Máte-li FreePBX, pozor aby útočník nevyužil chybu na webu. Snadno by pak podle webu mohl zjistit, že na daném stroji běží freePBX a oskenovat všechny porty. Je proto dobré přístup na web zabezpečit ještě dalším způsobem, nespoléhat se na standardní autentizaci, kde může být útočníkem známá chyba.

Máte-li asterisk na neveřejné adrese, je to velmi dobrá věc. Zbývá ještě ověřit za jakým typem NATu asterisk je. Existují totiž i velmi nebezpečné typy NATu, které z hlediska bezpečnosti téměř jako by nebyly. Typ NATu zjistíte pomocí příkazu:
Kód: Vybrat vše
stunc stunserver.org
STUN client version 0.96
Primary: Indepndent Mapping, Port Dependent Filter, preserves ports, no hairpin   
Return value is 0x000017

více viz zde: viewtopic.php?f=7&t=937&p=6292&hilit=stun#p6292
Uživatelský avatar
xsouku04
Administrátor
 
Příspěvky: 6858
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno

Re: Jak zabezepečit asterisk na veřejné ip adrese

Příspěvekod luky » pát 16. lis 2012 12:45:17

luky
 
Příspěvky: 635
Registrován: sob 24. bře 2012 21:56:12

Re: Jak zabezepečit asterisk na veřejné ip adrese

Příspěvekod xsouku04 » pon 19. lis 2012 13:42:18



Díky za odkaz, všimnul jsem si jej až nyní, když jsem tomuto útoku založil vlastní vlákno.
viewtopic.php?f=10&t=1094
Uživatelský avatar
xsouku04
Administrátor
 
Příspěvky: 6858
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno

Re: Jak zabezepečit asterisk na veřejné ip adrese

Příspěvekod jeep18 » ned 12. led 2014 14:32:32

Dobry den,

Viete mi poradit ako zmenim SIP port na elastixu? Dakujem
jeep18
 
Příspěvky: 24
Registrován: čtv 09. srp 2012 15:47:55

Re: Jak zabezepečit asterisk na veřejné ip adrese

Příspěvekod xsouku04 » ned 12. led 2014 15:39:55

jeep18 píše:Dobry den,

Viete mi poradit ako zmenim SIP port na elastixu? Dakujem


do google jsem zadal elastix change sip port.
A vyjelo spousty čtení. Např. tohle http://forums.whirlpool.net.au/archive/1586890
Uživatelský avatar
xsouku04
Administrátor
 
Příspěvky: 6858
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno


Zpět na Asterisk

Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 1 návštěvník