Jak zabezepečit asterisk na veřejné ip adrese

Diskuze kolem nastavení a problémů s VoIP ústřednou Asterisk.
Zamčeno
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8146
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Jak zabezepečit asterisk na veřejné ip adrese

Příspěvek od xsouku04 »

Nějaké typy jsou též zde: http://forum.odorik.cz/viewtopic.php?f= ... 732#p22732

Provozovat asterisk na veřejné adrese považuji za nebezpečné. Bohužel málo kdo má tu odvahu to otevřeně přiznat.
Řešení typu fail2ban jsou jen nešikovné a částečná řešení.
Probírají to třeba zde. http://forums.digium.com/viewtopic.php?t=78988 Tam je fail2ban právem nazýván falešným pocitem bezpečnosti.

Asterisk běžící na veřejné ip adrese se stává cílem útoku prakticky denně. Zjevně se útočníkům daří občas nějaký ten asterisk nebo jiné sip zařízení prolomit, jinak by to nedělali !!!

Pracujeme nyní na řešení, které by mohlo sipové pakety před asteriskem analyzovat a pustit jen pokud jsou neškodné. Zasahovat do zdrojového kódu asterisku je totiž hrozný humus, kterému je dobré se vyhnout.

Zatím nezbývá, že se spoléhat na polovičatá řešení jako fail2ban,
blokování ip adres s kterých je možné se přihlásit podle země může být dobrý způsob jak eliminovat většinu útočníků. http://www.cyberciti.biz/faq/block-enti ... -iptables/.
Překvapivě hodně účinné může být si změnit SIP port z 5060 na nějaký hodně obskurní třeba 61534. Útočník pak obvykle ani nezjistí, že na vaší ip adrese běží něco se SIP a útok vůbec nezačne. Další výhoda je, že se tím vyhnete případným potížím se SIP ALG.

Dobré je se zamyslet, jestli vůbec veřejnou adresu potřebujete. Pokud občas potřebujete volat ze širého internetu, můžete se na váš asterisk dostat pomocí registrace na sip.odorik.cz. Do firmy můžete udělat VPN.

Update: Řešení kde před Asterisk umístíme proxy, které analyzuje sip pakety a zajišťuje tak plně bezpečnost máme hotové a odzkoušené. V asterisku se pak nastaví outbound proxy aby odchozí hovory na přihlášená sip zařízení byla nejdříve odeslána na daný proxy. Časem je možná zavedeme i jako možnost na 4smart. Je to totiž jediný spolehlivý způsob jak se kompetentně bránit před stále častějšími útoky. Při nasazení proxy není nutná žádná změna u koncových uživatelů a minimální změna na asterisku.
Pro uživatele 4smart zatím doporučuji si nastavit, aby váš asterisk poslouchal na jiném portu než 5060 nejlépe nějakém hodně podivné portu, který pravděpodobně útočníka nenapadne skenovat. Předpokládám, že se tak vyhnete 99% nahodilým útokům. V jednoduchosti je totiž síla.
Update2:
Máte-li FreePBX, pozor aby útočník nevyužil chybu na webu. Snadno by pak podle webu mohl zjistit, že na daném stroji běží freePBX a oskenovat všechny porty. Je proto dobré přístup na web zabezpečit ještě dalším způsobem, nespoléhat se na standardní autentizaci, kde může být útočníkem známá chyba.

Máte-li asterisk na neveřejné adrese, je to velmi dobrá věc. Zbývá ještě ověřit za jakým typem NATu asterisk je. Existují totiž i velmi nebezpečné typy NATu, které z hlediska bezpečnosti téměř jako by nebyly. Typ NATu zjistíte pomocí příkazu:

Kód: Vybrat vše

stunc stunserver.org
STUN client version 0.96
Primary: Indepndent Mapping, Port Dependent Filter, preserves ports, no hairpin   
Return value is 0x000017
více viz zde: http://forum.odorik.cz/viewtopic.php?f= ... stun#p6292
luky
Příspěvky: 635
Registrován: sob 24. bře 2012 20:56:12

Re: Jak zabezepečit asterisk na veřejné ip adrese

Příspěvek od luky »

Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8146
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: Jak zabezepečit asterisk na veřejné ip adrese

Příspěvek od xsouku04 »

Díky za odkaz, všimnul jsem si jej až nyní, když jsem tomuto útoku založil vlastní vlákno.
http://forum.odorik.cz/viewtopic.php?f=10&t=1094
jeep18
Příspěvky: 24
Registrován: čtv 09. srp 2012 15:47:55

Re: Jak zabezepečit asterisk na veřejné ip adrese

Příspěvek od jeep18 »

Dobry den,

Viete mi poradit ako zmenim SIP port na elastixu? Dakujem
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8146
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: Jak zabezepečit asterisk na veřejné ip adrese

Příspěvek od xsouku04 »

jeep18 píše:Dobry den,

Viete mi poradit ako zmenim SIP port na elastixu? Dakujem
do google jsem zadal elastix change sip port.
A vyjelo spousty čtení. Např. tohle http://forums.whirlpool.net.au/archive/1586890
Zamčeno