[AsteriskBrasil] Segurança, Iptable, ip valido no servidor, servidor na dmz...
Moisés Abrantes dos Santos
moises.abrantes em ig.com.br
Quarta Outubro 7 18:38:09 BRT 2009
Não sou nenhum especialista em asterisk e linux, pelo contrario estou
começando, trabalho quase 100% voltado para plataforma Microsoft e até
o momento não vejo ninguem preocupado com a segurança ou divulgando
informações relacionadas, talvez eu não esteja procurando de forma
correta.....
Não conheço nada de iptables
meus comentários aos colegas
01 "nenhuma iptables é pra boiola, mantendo o asterisk sempre
atualizado nao tem problema."
Problema não é só o asterisk, é o php (Frepabx,
monast,billing, senhas default no banco, no asterisk....), mysql,
portas do asterisk abertas... final do mês conta nas alturas e a
pergunta fica quem foi, você descobre que foi invadido, você paga a
conta, fala o que na empresa?
02 "Concordo com o Itamar, preocupe-se com backups, deixe apenas os
serviços necessários rodando neste linux bem atualizado, mude a porta
do ssh e, se possível não deixe acesso externo com apache com php e
mysql.
As vezes se perde 4 horas fazendo um super script de um packet filter
qualquer, quando se da conta que uma simples rotina de backup seria
mais fácil, no caso se uma invasão ou perda do host, uma instalação
básica e um restore funcional não levariam 1 hora para serem feitos."
Gostei, mudar a porta do ssh, bloquear acesso php e mysql
para ip externo, entendo isso como iptables para fazer de fomra
centralizada, esse é o caminho que imaginei, seria a minha segunda
pergunta essa como montar um script para iptables simples com regras
de:
Liberar apenas portas mysql, php, para rede iterna, no meu caso todos
os ramais estão internos, apenas os trunks na internet mas isso fica
pra depois
Quanto a restaurar backup em caso de invasão eu prefiro não comentar
já que isso é inadmissível no meu ponto de vista. (Sem brigas, apenas
um ponto de vista)
03 “O que vale é sensatez e experiência. Não vai ser uma simples regra
de iptables que vai salvar o servidor de ataques.”
Concordo, é provado que grande partes dos ataques tem
origem na rede interna e os outros são vulnerabilidades grandes, mas
não vamos facilitar né, não vejo o porque deixar o php 80/mysql 3306
respondendo para a internet e talvez outras portas que como não sei
nada não conheço.
04 “Nada irá salvar o servidor de ataques, mas é melhor deixar ele bem
protegido e dificultar o acesso do hacker do que largar o servidor com
as portas todas abertas pedindo para ser atacado e depois ter que
ficar correndo para ficar restaurando backup, pois o sistema foi
invadido enquanto você poderia estar trabalhando no desenvolvimento de
novas facilidades para o usuário e otimização do uso do seu hardware.
Lembrando também que por ter um acesso facilitado se o hacker conhecer
de asterisk ele pode "apenas" transformar o seu PBX IP em uma central
de encaminhamento de chamadas, onde seu sistema continuará funcionando
normalmente só que no final do mês você verá uma conta astronômica.
Moisés
Todos aqui utilizam o servidor asterisk direto na internet com IP
válido ou deixam atrás de um firewall na DMZ?
Utilizo os meus atrás de um firewall
Para os que publicam direto na internet, quais adaptações nas regras
do Iptable utilizam?
tem que liberar a porta 5060 TCP para o SIP e o range 10000:20000 UDP
para RTP para IAX somente a porta 4569 TCP -> Opção mais aconselhada
pois deixa o servidor menos vulnerável a ataques se quiser que a
sincronização de hora pode também liberar porta 123 protocolo UDP para
o NTP
Guilherme“
Atualmente meu ambiente também esta assim, no meu caso
todas as conexões de entradas ficam bloqueadas, libero apenas as
portas para conexão com meu provedor Voip, todos os ramais externos
tem origem atravez de conexão VPN, mas pensei em fazer um teste em
colocoar ele direto na Internet pois acredito que estou tendo
problemas com o controle de banda, muitas regras e o firewall que esta
realizando este serviço não esta aguentando, a idéia seria simplificar
o controle de banda e deixar o voip direto na Internet.
Bom vou estudar um pouco de iptables........
Caso alguem queira compartilhar algum script de iptable......
Abraços a todos.
Mais detalhes sobre a lista de discussão AsteriskBrasil