Elastix безопасность.
Как уже писал ранее в других темах потихоньку запускаем asterisk (elastix 2.3). Пока подключили только 2 SIP транка один местный от Ростелекома, другой sipnet для межгорода.
Настроил 3 тестовых экстеншена...
В общем перед самым новым годом глянул и
увидел в исходящих звонки которых не совершал... Причем последний был вообще сделан тогда когда мой компьютер был включен и на нем был зарегистрирован мой SIP (101) телефон (3CX). Спасло видимо то что в своё время закрыли межгород у Ростелекома и кривой диалплан. Точнее он для нас правильный, но видимо тот кто пытался позвонить как-то по другому думал... Пытались позвонить в Египет насколько я понял 810201113343712 и ломали вроде бы так оттуда же....
Вот лог как началось:
Dec 29 19:16:37 NOTICE [2978] chan_sip.c: Registration from '' failed for '197.195.40.91:6810' - Wrong password
Dec 29 19:16:42 VERBOSE [2978] netsock2.c: == Using SIP RTP TOS bits 184
Dec 29 19:16:42 VERBOSE [2978] netsock2.c: == Using SIP RTP CoS mark 5
Dec 29 19:16:42 VERBOSE [4368] pbx.c: -- Executing [201113343712@from-internal:1] ResetCDR("SIP/101-00000005", "") in new stack
Но суть не в этом.
Для меня честно говоря стало открытием что по-умолчанию из вне можно регистрироваться на сервере... Я обычно привык к тому что ставишь любой файрвол он тебе по-умолчанию всё закрывает, а ты уже потом открываешь что тебе нужно... Все пошаговые мануалы что читал, единственное что было сказано - это запретите анонимные звонки (ну или может быть я плохо читал и не то...). В общем насколько я понял ввиду того что на период теста я ставил простейшие пароли на экстеншены, то его попросту подобрали... Хотя я на тот момент ставя такие пароли - думал что изнутри меня всё равно никто не будет ломать...
В общем сейчас, закрася седые волосы, хочу прояснить для себя следующее:
1) получается что по-умолчанию зарегистрироваться можно как снаружи, так и изнутри... т.е. тут только блокировать по IP?
2) читал много рекомендаций по поводу установки asterisk за firewall, тут немного есть недопонимание, т.к. фактически порт 5060 проброшен на asterisk, то получается что наш основной роутер с firewall здесь никак не участвует, надо поднимать на самом asterisk?
3) очень большим непониманием стало то что по-умолчанию встроенный firewall отключен, вполне допускаю что его отключили для того чтобы сначала можно было всё настроить, а уже потом разбираться из-за него ли не работает... можно ли его использовать или лучше поставить что-то другое?
4) прошу пояснить по логам - это целый кусок, т.е. ничего не выкинуто - видно что была неудачная авторизация (причем всего одна), а дальше уже пошли звонки, это что? подчистили лог или что?
P.S. пишу больше для новичков таких как я - чтобы не были столь самоуверенными...
и не лениться http://www.voipsa.org/Resources/tools.php
залезте в шкуру хакера и попробуйте сами взломать свой сервер
даже если не взломаете - откроете для себя много нового
а общие рекомендации - учите матчасть (много уже писали на том же форуме, повторяться не хочется), в гугле практически все находится, если знаешь что ищешь.
запретите все некриптованные звонки, настройте криптование, разрешите только с шифрованием. поставьте IDS (круговая оборона) даже если нет конекта в дикий инет, иногда ломают местные ботаны прямо из локалки.
ну и поставье отдельно логер и собирайте все логи с серверов и анализируйте и периодически просматривайте логи (это важная часть работы любого админа). позже настроете чтобо оно само вас оповещало по заданным событиям (астериск вам в руки!) и тд и тп.
_________________
Успехов!