[AsteriskBrasil] Segurança no Asterisk

Alejandro Flores alejandrorflores em gmail.com
Quinta Fevereiro 18 10:49:26 BRST 2016


Judson,

A grande questão é que você tem vários serviços disponíveis para a internet
e precisa proteger todos. Por exemplo, você falou que vai utilizar o
elastix, ok? No elastix você tem:

- Email ( smtp, pop3, imap... )
- Servidor WEB Apache e diversas aplicações web
- Serviço de acesso remoto via SSH
- FOP

Você não pode bloquear tudo caso contrário nem você acessa de fora a sua
central. Então ai onde deve entrar a sua política de acesso externo ao
equipamento. Vou exemplificar aqui, de forma bastante simplificada:

Primeiro ponto: Desativar os recursos não essenciais ao seu serviço.
Exemplo, não vai hospedar email? Desative tudo, SMTP, pop3, imap, etc...
Não vai usar o IM? Desative o openfire.

Segundo ponto: Filtrar ou criar barreira para os acessos administrativos.
Você realmente precisa acessar a console do Elastix de fora da sua rede?
Limite os acessos, deixe o acesso ao apache apenas a partir de dentro da
sua rede. Quanto ao SSH, eu acho importante deixar liberado, mas:
-- Altere a porta padrão do serviço, mude a porta 22 algo tipo 22022
-- Não permita login remoto do usuário root direto
-- Crie um usuario de administração no Linux, garanta privilégios com SUDO
e só permita o login desse usuário a máquina
-- Desative autenticação por senha, só permita logar SSH com autenticação
via certificado

Terceiro ponto: O seu asterisk vai estar aberto para o mundo a não ser que
você filtre por regiões ou não permita ramais externos. Mas se não for o
caso, você precisar de ramais externos, você precisa trabalhar a segurança
das senhas. Nesse ponto entra o Fail2ban, que é justamente o seu auxiliio
para bloquear os camaradas tentando quebrar suas senhas, mas em ataques de
força bruta distribuidos, não ajuda muito. :)

Mas o mais importante é entender que, mesmo depois de adotar tudo o que
você considera como necessário para ter uma boa segurança, você precisa
ACOMPANHAR, sempre.

Abraços!


2016-02-17 18:32 GMT-03:00 Judson Júnior <judson.jcj at gmail.com>:

> Senhores,
>
> Gostaria de colocar um pouco (ou melhor, bastante) de segurança nas minhas
> instalações Asterisk. Escolhi usar o Elastix 2.5.0.
>
> Tendo isso em mente, penso no Fail2Ban + iptables como primeiro passo, mas
> não parar aí. Já li que a segurança dessa dupla sobre o Asterisk não é
> muito boa.
>
> Para onde deve mirar? Será o caso de Session Border Controller com
> OpenSIPs ou Blox?
>
> Para um Asterisk que vai ter um tronco SIP com alguma operadora com número
> remoto, remais instalados em Smartfones acessando meu Asterisk, o que vocês
> recomendam?
>
> Por enquanto não é o objetivo usar SRTP. Quero me limitar à evitar invasão
> do PABX e ligações não autorizadas.
>
> Obrigado.
>
>
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7
> Intercomunicador e acesso remoto via rede IP e telefones IP
> Conheça todo o portfólio em www.Khomp.com
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe at listas.asteriskbrasil.org
>



-- 

Alejandro Flores
Office:  81 4062-9805
Mobile: 81 8186-9432
http://www.triforsec.com.br/
http://www.dialtelecom.com.br/
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20160218/4a19eb49/attachment.html>


Mais detalhes sobre a lista de discussão AsteriskBrasil