Data: 09:56 28.07.2018

Există multe povești pe Internet despre hack-uri cu asterisc și pedepse ulterioare din partea operatorului. Undeva a fost o poveste despre o companie mică din Australia care a reușit să zboare cu 15.000-20.000 de dolari. Nu cred că cineva vrea să fie în această situație. Este mult mai bine, fără a aștepta probleme, să luați un set de măsuri care vor reduce semnificativ numărul de opțiuni de hacking și vor minimiza pericolul.

Port non-standard în loc de 5060

Dacă există o posibilitate tehnică - ÎNTOTDEAUNA schimbați portul standard 5060 cu oricare altul. Cu cât este mai diferit de standard, cu atât mai bine. Atacatorii îți vor găsi foarte repede asteriscul prin simpla scanare a porturilor dintr-o serie de adrese. Acest lucru se va întâmpla foarte repede - primele încercări de a ghici o parolă au fost descoperite în mine deja la 3 zile după ce asteriscul a fost introdus pe Internet.
Portul este configurat în fișierul sip.conf din secțiunea:

bindport=5060 => bindport=5172

După astfel de acțiuni, numărul de culegători va scădea la aproape zero.

Configurarea unui firewall

Interzicem conectarea la portul Asterisk din exterior - acest lucru va opri capacitatea de a ghici parole. Cu toate acestea, unii furnizori de telefonie SIP nu funcționează dacă nu pot ajunge ei înșiși la portul dvs. 5060 - în acest caz, trebuie să permiteți accesul la acest port de pe serverul acestui furnizor. Așa că într-o zi m-am gândit câteva zile de ce nu există nicio conexiune cu Beeline, apoi le-am deschis accesul IP la portul meu 5060 și a apărut conexiunea.

Opriți apelurile pentru oaspeți

Dacă nu aveți nevoie să primiți apeluri fără înregistrare, asigurați-vă că dezactivați următoarea opțiune în sip.conf:
allowguest=da => allowguest=nu ; Permiteți sau respingeți apelurile invitaților (implicit este da)

Dezactivați alerta de parolă

Aproape toată lumea are conturi asterisc precum 100, 200, 700 etc. În mod implicit, asteriscul dă o eroare de parolă incorectă pentru un cont existent și alta pentru un cont inexistent. Cu ajutorul special software de ghicire a parolelor, un atacator poate sorta rapid toate numerele scurte și poate ghici parolele numai pentru conturile existente care au răspuns „parolă greșită”. Pentru a preveni acest lucru, schimbăm opțiunea din sip.conf:
alwaysauthreject = nu => alwaysauthreject = da
După o astfel de setare, asteriscul va da aceeași revenire pentru orice autorizare incorectă.

Folosim parole complexe pentru conturi

Orice parolă poate fi ghicită, singura întrebare este timpul. Deoarece dispozitivele SIP sunt configurate o dată și pentru o lungă perioadă de timp, nu vă zgâriați cu parolele complexe. Pentru mine, folosesc parole lungi cu combinații de litere mari și mici + numere ca aceasta: secret=f64GCD74ssdZ42

Ștergeți ÎNTOTDEAUNA toate parolele care se potrivesc cu datele de conectare. Acestea sunt primele parole folosite pentru parole.

Folosirea deny/permit pentru conturi

Moment obligatoriu! Specificați următoarele rânduri pentru toate conturile care nu implică o conexiune de la Internet:

Respinge=0.0.0.0/0.0.0.0 permis=10.1.1.1/24 permis=10.1.2.1/24

Unde 10.1.1.1,10.1.2.1 sunt intervalele de adrese locale de la care se va face conexiunea. Conexiunile de la alte adrese nu vor fi acceptate prin asterisc.

Setarea unei limite de apeluri

Limită apel=1

Nu utilizați extensia implicită în mod inutil

Nu avem nevoie de el. Tot ce ar trebui să fie implicit:

Exten => _X.,1,Hangup

Nu facem o singură regulă universală pentru toate apelurile

Spune nu regulilor formularului:

Exten => _X.,1,Dial(SIP/$(EXTEN)@operator)

Notăm clar toate combinațiile necesare de numere transmise operatorului. Dacă nu este nevoie să folosiți comunicarea internațională - nu descrieți deloc regulile pentru aceasta. Aproape toate cazurile de hacking sunt folosite pentru apeluri în străinătate.

;Emergency Services exten => _0X,1, Dial(SIP/$(EXTEN)@operator) exten => _0X,n, Hangup ;Moscow exten => _8495XXXXXXX,1, Dial(SIP/$(EXTEN)@operator) exten => _8495XXXXXXX,n, Hangup exten => _8499XXXXXXX,1, Dial(SIP/$(EXTEN)@operator) exten => _8499XXXXXXX,n, Hangup exten => _XXXXXXX,1, Dial(SIP/$(EXTEN)@operator ) exten => _XXXXXXX,n, Hangup

Acum, de foarte multe ori, cineva trebuie să se confrunte cu diferite tipuri de atacuri Asteriscși analogi. Setările incorecte și ignorarea regulilor simple implică pierderi financiare pentru o întreprindere care utilizează PBX Asterisk.

În acest articol, ne vom uita la mecanismele inițiale de securitate Asteriscul 13 după instalare și nu va lua în considerare mecanismele de securitate Linux. Iată câteva reguli care vă vor ajuta să vă păstrați sistemul în siguranță:

1. Parole și autentificări rezistente la piratare pe toate dispozitivele din rețea (Asterisk, telefoane IP, gateway-uri VoIP).

Parolele pentru conturile SIP, administratori, manageri Asterisk și pe dispozitivele din rețea trebuie să conțină cel puțin 13 caractere (litere, cifre, caractere speciale, schimbarea majusculelor). Nu utilizați autentificări în sistem, cum ar fi admin, administrator, administrator etc.

2. Configurarea SIP corectă în Asterisk - sip.conf.

3. Folosim un port IAX non-standard.

4. Asterisk trebuie rulat ca alt utilizator (nu root). Cum se face acest lucru este scris în articol.

5. Setați adresele IP sau rețelele permise pentru extensiile SIP.

6. Setați limita apelurilor simultane.

7. Configurați reguli diferite de rutare de ieșire pentru fiecare utilizator.

Este necesar să eliminați toate rutele utilizate în mod implicit și să vă atribuiți propriile rute cu o distincție în funcție de contexte:

• Seturi locale
• Apeluri locale
• Apeluri de zonă
• Apeluri la distanță lungă
• Apeluri internaționale

8. Folosiți IPtables

9. Utilizați Fail2Ban

10. Afișăm toate dispozitivele telefonice într-un VLAN voce separat. Aici este necesar să-i tensionați pe cei din rețea.

11. Acordăm o atenție deosebită direcției internaționale 8-10.

Setăm doar direcțiile utilizate în organizație și le adăugăm (extindem) după cum este necesar. De asemenea, facem o notificare prin e-mail dacă un utilizator sau un atacator a folosit o destinație internațională necunoscută și setăm o limită pentru fiecare conexiune și pentru numărul simultan de apeluri. O soluție gata făcută pentru protejarea direcției 8-10 este descrisă în articol.

12. Dezactivați canalele și serviciile neutilizate.

13. Restricționați accesul de la distanță la IP-PBX utilizând Firewall.

Dacă intenționați să oferiți acces la distanță pentru angajații autorizați, cel mai bine este să îl organizați folosind un server VPN (de exemplu, Open VPN).

Acum, de foarte multe ori trebuie să se confrunte cu diferite tipuri de atacuri asupra Asterisk și analogilor săi. Configurarea incorectă și ignorarea regulilor simple implică pierderi financiare pentru o întreprindere care utilizează Asterisk PBX.

În acest articol, ne vom uita la mecanismele de securitate inițiale ale Asterisk 13 după instalare și nu vom acoperi mecanismele de securitate Linux. Iată câteva reguli care vă vor ajuta să vă păstrați sistemul în siguranță:

1. Parole și autentificări rezistente la piratare pe toate dispozitivele din rețea (Asterisk, telefoane IP, gateway-uri VoIP).

Parolele pentru conturile SIP, administratori, manageri Asterisk și pe dispozitivele din rețea trebuie să conțină cel puțin 13 caractere (litere, cifre, caractere speciale, schimbarea majusculelor). Nu utilizați login-uri în sistem, cum ar fi admin, administrator, manager etc.

2. Configurarea SIP corectă în Asterisk - sip.conf.

Pentru a vă proteja împotriva scanerelor, ar trebui să schimbați portul SIP standard, să dezactivați apelurile și înregistrările pentru oaspeți, seturile de suprapunere, să vă abonați la informațiile despre starea canalului etc. O descriere completă a parametrilor generali sip.conf este descrisă în articol. Mai jos este sip.conf pe care l-am configurat pentru serverul Asterisk cu comentarii:

Context=default ;Atribuiți un context neutilizat pentru apelurile efectuate în mod prestabilit allowguest=no ;Permiteți conexiunile pentru invitați (fără autentificare) match_auth_username=no ;Nu permiteți utilizarea câmpului „nume utilizator” în loc de „de la” allowoverlap=no ;Dezactivați o singură cifră dialing;allowtransfer= nu ;Interziceți utilizarea domeniului de redirecționare=CUCM11.5(1)SU3 ;Utilizați numele de domeniu al serverului (ascunzând Asterisk) ;domainsasrealm=no ;recordonfeature=automixmon bindport=9050 ;Schimbați portul SIP de semnalizare udpbindaddr=0. .0.0 ;Adresă UDP prin -default tcpenable=yes ;Activați suportul TCP (poate aveți Avaya) tcpbindaddr=0.0.0.0 ;Adresa TCP implicită;tlsenable=no ;tlsbindaddr=0.0.0.0 ;tcpauthtimeout; =tcpauthtimeout = 10.00thlimit; = true ; websocket_write_timeout = 100 transport=udp ;Transport implicit srvlookup=yes ;Permite apeluri DNS;pedantic=yes ;tos_sip=cs3 ;tos_audio=ef ;tos_video=af41 ;tos_text=af41 ;cos_cossip_video=3=; 4 ;co s_text=3 ;maxexpiry=3600 ;minexpiry=60 ;defaulttexpiry=120 ;submaxexpiry=3600 ;subminexpiry=60 ;mwiexpiry=3600 ;maxforwards=70 qualifyfreq=60 ;Setați gazda a doua verificare a disponibilității;0gap=calificare1; ;keepalive=60 ;notifymimetype=text/plain ;buggymwi=no ;mwi_from=asterisc ;vmexten=voicemail ;preferred_codec_only=yes disallow=all ;Dezactivați toate codecurile allow=alaw ;Allow Alaw allow=ulaw ;Autoframing Ulawyes ;Autoframing mohinterpret=default ;mohsuggest=default ;parkinglot=plaza language=ru ;Faceți limba rusă în sistem implicit tonezone=ru ;Definiți tonezone global în Ru relaxdtmf=yes ;Activați recunoașterea semnalelor DTMF prost recunoscute;trustrpid = no ; sendrpid = yes rpid_update=yes ;Notificare imediată a serverului opus despre modificările stării liniei;trust_id_outbound = no ;prematuremedia=no ;progressinband=no callerid=CUCM11.5(1)SU3 ;Dacă nu avem CallerID setat undeva, faceți it character useragent=Cisco -SIPGateway/IOS-12.x ;A în ka Ca PBX, avem Cisco-SIPGateway ;promiscredir = no ;usereqphone = no dtmfmode=rfc2833 ;Setați tonul pentru apăsarea butoanelor de pe telefon;compactheaders = yes videosupport=yes ;Activați suportul pentru apeluri video;textsupport=no maxcallbitrate=2048 ;Rata de biți maximă a apelurilor video authfailureevents=yes ;Setați starea Peer dacă nu se poate conecta=respins alwaysauthreject=yes ;Dacă cererea de autentificare a fost respinsă, atunci răspunsul NU va spune că utilizatorul a fost introdus incorect, protecția enumerarii numelui de utilizator auth_options_requests =yes ;Solicită autorizare la trimiterea OPTION și INVITE ;accept_outofcall_message = nu ;outofcall_message_context = mesaje auth_message_requests=yes ;Activați autentificarea cererii MESAJ ;g726nonstandard = yes ;outbound_message=proxy.proxy. = da ;dynamic_exclude_tactden = yes =0. 0.0.0/0.0.0.0 ;contactpermit=172.16.0.0/255.255.0.0 ;contactacl=named_acl_example ;rtp_engine=asterisc ;regcontext=sipregistrations regextenonqualify=da regcontext ; legacy_useroption_parsing=da ;send_diversion=nu ;shrinkcallerid=da ;use_q850_reason = nu ;refer_addheaders=da autocreatepeer=nu ;Dezactivați înregistrarea UAC fără autentificare t1min=200 ;întârziere minimă de la gazdă la 5; 32000 rtptimeout= 600 ;Anulează apelul dacă nu există activitate de flux media RTP după 600 de secunde rtpholdtimeout=300 ;Anulează apelul dacă nu există activitate de flux media RTP în modul de așteptare după 300 de secunde;rtpkeepalive= ;session-timers=originate; session-expires=600 ;session-minse=90 ;session-refresher=uac ;sipdebug = yes ;recordhistory=yes ;dumphistory=yes ;allowsubscribe=nu ;subscribecontext = implicit ;notifyringing = nu ;notifyhold = yes ;notifyhold = yes ;notifyhold = yes =da ;Activați contoarele la apeluri t38pt_udptl=yes ;Activare suport pentru T.38 cu corectarea erorilor FEC faxdetect=yes ;Activare CNG și detecție T.38 nat=auto_force_rport,auto_comedia ;Găsim Nat automat și date media pe portul de la care Asterisk le-a primit și nu ceea ce a fost primit în SDP ;media_address = 172.16.42.1 ;subscribe_network_change_event = yes ;icesupport = yes directmedia=no ;Trafic RTP direct direct între egali, ocolind Asterisk ;directrtpsetup=yes ;directmediadeny=0.0.0.0/0 ;directmediadeny=0.0.0.0/0 ;1directmedia=. /16 ;directmediaacl=acl_example ;ignoresdpversion=yes sdpsession=Apel SIP ;Schimbați numele sesiunii SDP sdpowner=CiscoSystemsSIP-GW-UserAgent ;Schimbați câmpurile utilizatorului în șirul proprietarului SDP ;encryption=nu ;encryption=yeavp_tagle;sdp_80; ;rtcachefriends= da ;rtsavesysname=da ;rtupdate=da ;rtautoclear=da ;ignoreregexpire=da ;domain=customer.com,customer-context ;allowexternaldomains=nu ;allowexternaldomains=nu ;fromdomain. da ;Activați utilizarea jbforce = nu jbmaxsize=200 ;Setați dimensiunea maximă a bufferului RTP la 200ms;jbresyncthreshold = 1000 ;jbimpl = fix ;jbtargetextra = 40 ;jblog = nu

3. Folosim un port IAX non-standard.

Pentru asta în dosar /etc/asterisk/iax.conf in sectiune modifica parametrul bindport=4569 pe parametru bindport=9069

4. Asterisk trebuie rulat ca alt utilizator (nu root). Cum se face acest lucru este scris în.

5. Setați adresele IP sau rețelele permise pentru extensiile SIP.

6. Setați limita apelurilor simultane.

7. Configurați reguli diferite de rutare de ieșire pentru fiecare utilizator.

Este necesar să eliminați toate rutele utilizate în mod implicit și să vă atribuiți propriile rute cu o distincție în funcție de contexte:

• Seturi locale
• Apeluri locale
• Apeluri de zonă
• Apeluri la distanță lungă
• Apeluri internaționale

O listă completă a codurilor ABC, DEF poate fi luată din resursa oficială a Rossvyaz.
Pentru ruta implicită faceți

Exten => _X.,1,Hangup()

8.

9.

10. Afișăm toate dispozitivele telefonice într-un VLAN voce separat. Aici este necesar să-i tensionați pe cei din rețea.

11. Acordăm o atenție deosebită direcției internaționale 8-10.

Setăm doar direcțiile utilizate în organizație și le adăugăm (extindem) după cum este necesar. De asemenea, facem o notificare prin e-mail dacă un utilizator sau un atacator a folosit o destinație internațională necunoscută și setăm o limită pentru fiecare conexiune și pentru numărul simultan de apeluri. O soluție gata făcută pentru protejarea direcției 8-10 este descrisă în articol.

12. Dezactivați canalele și serviciile neutilizate.

De exemplu, dacă nu utilizați protocolul MGCP sau Skinny, dezactivați aceste module din fișier /etc/asterisk/modules.conf:

noload => pbx_gtkconsole.so noload => chan_alsa.so noload => chan_console.so noload => res_ari.so noload => chan_dahdi.so noload => codec_dahdi.so noload => res_ari_device_states.so noload => res_ari_applications.so noload = > res_ari_channels.so noload => res_ari_events.so noload => res_ari_playbacks.so noload => res_ari_endpoints.so noload => res_ari_recordings.so noload => res_ari_bridges.so noload => res_ari_asterisk.so noload => res_ari_sounds.so noload => res_ari_sounds.so noload .so noload => cdr_mysql.so noload => res_phoneprov.so noload => cdr_odbc.so noload => cdr_pgsql.so ;====================== = ==== ; PBX -- noload => pbx_ael.so ; Canale -- noload => chan_mgcp.so noload => chan_skinny.so noload => chan_unistim.so noload => chan_pjsip.so noload => chan_modem.so noload => chan_modem_aopen.so noload => chan_modem_bestdata.so noload => chan_modem_i4l. deci noload => chan_alsa.so noload => chan_oss.so ; Codec-uri -- noload => codec_lpc10.so ; Formate -- noload => format_au.so noload => format_gsm.so noload => format_h263.so noload => format_ilbc.so noload => format_jpeg.so ; Aplicații -- noload => app_image.so noload => app_zapateller.so noload => app_zapbarge.so noload => app_zapscan.so noload => res_config_ldap.so

13. Restricționați accesul de la distanță la IP-PBX utilizând Firewall.

Dacă intenționați să oferiți acces la distanță pentru angajații autorizați, cel mai bine este să îl organizați folosind un server VPN (de exemplu, Open VPN).

14. Setați drepturi limitate la directoare.

Orice utilizare a materialelor site-ului este posibilă numai cu permisiunea autorului și cu indicarea obligatorie a sursei.

Telefonia poate fi ieftină
si functionala!

ITCUBE oferă o gamă largă de servicii pentru instalarea, integrarea și configurarea telefoniei IP

Serviciile IT pot fi de înaltă calitate!

chmod 755 install_apf_bfd.sh

./install_apf_bfd.sh

Configurația APF este în /etc/apf/conf.apf

Pentru a începe editarea unui fișier, utilizați următoarea comandă:

nano /etc/apf/conf.ap f

Am setat IFACE_IN și IFACE_OUT pentru interfața de rețea orientată spre Internet. Pentru interfața de rețea care caută în rețeaua locală, setați IFACE_TRUSTED.

SET_TRIM="0"

APF are capacitatea de a suporta QoS. Pentru SIP și IAX, trebuie să setați următoarele:

TOS _8="21,20,80,4569,5060,10000_20000"

Dacă schimbați portul SSH, trebuie să editați fișierul conf.apf pentru a se potrivi cu acest nou port.

HELPER_SSH_PORT="2222"

Asigurați-vă că înlocuiți 2222 cu numărul de port corect pe care alegeți să gestionați SSH.

Filtrarea traficului de intrare este folosită pentru a deschide porturi pentru acces; TCP și UDP au setări separate. Pentru Asterisk (Trixbox), următoarele porturi trebuie să fie deschise; iar TCP și UDP sunt listate. Dacă nu utilizați TFTP, atunci nu deschideți portul 69. Nu uitați să schimbați portul SSH. În caz contrar, nu veți putea accesa; aici folosim portul 2222 din ultimul nostru exemplu. Nu am inclus porturile IAX în această configurare. Există o modalitate simplă de a vă asigura că numai anumite gazde pot folosi IAX, despre care vom trata mai târziu. Acest lucru este util dacă utilizați IAX pentru a afișa trunchiuri interoffice care sunt invizibile pentru lumea exterioară.

IG_TCP_CPORTS="2222,69,80,5060,6600,10000_20000"
IG_UDP_CPORTS="69,5060,10000_20000"

Nu folosesc filtrarea de ieșire, așa că nu este tratată în acest articol. Este setat la EGF="0", dezactivat implicit.

Pentru a vedea o listă de opțiuni de linie de comandă, rulați apf fără niciun semnalizare.

#apf
apf(3402): (glob) jurnalul de stare nu a fost găsit, creat
APF versiunea 9.6< This email address is being protected from spambots. You need JavaScript enabled to view it. >
Drepturi de autor (C) 1999-2007, R-fx Networks< This email address is being protected from spambots. You need JavaScript enabled to view it. >
Drepturi de autor (C) 2007, Ryan MacDonald< This email address is being protected from spambots. You need JavaScript enabled to view it. >
Acest program poate fi redistribuit liber în conformitate cu termenii GNU GPL
utilizarea /usr/local/sbin/apf
-s|--start .........................încarcă toate regulile firewall
-r|--restart ........................ opriți (încărcați) și reîncărcați regulile firewall
-f|--stop........ ............. stop (stop) toate regulile firewall
-l|--list .........................listează toate regulile firewall
-t|--status ........................ scoate jurnalul de stare firewall
-e|--refresh ....................... reîmprospăta și rezolvă numele dns în încredere
reguli
-a HOST CMT|--allow HOST COMMENT ... adaugă gazdă (IP/FQDN) la
allow_hosts.rules și încărcați imediat o nouă regulă în firewall
-d HOST CMT|--deny HOST COMMENT .... adaugă gazdă (IP/FQDN) la
deny_hosts.rules și încărcați imediat o nouă regulă în firewall
-u|--remove HOST ...................elimină gazda din
*_hosts.rules și eliminați imediat regula din firewall
-o|--ovars ........................ scoate toate opțiunile de configurare

Pentru a porni APF folosim următoarele comenzi:

# apf -s
apf(3445): (glob) activarea paravanului de protecție
apf(3489): (glob) determinat (IFACE_IN) eth0 are adresa 192.168.1.31
apf(3489): (glob) determinat (IFACE_OUT) eth0 are adresa 192.168.1.31
apf(3489): (glob) se încarcă preroute.rules http://r-fx.ca/downloads/reserved http://feeds.dshield.org/top10-2.txt
http://www.spamhaus.org/drop/drop.lasso
apf(3489): (sdrop) analizează drop.lasso în /etc/apf/sdrop_hosts.rules
apf(3489): (sdrop) se încarcă sdrop_hosts.rules
apf(3489): (glob) se încarcă porturi comune de drop
...........decupate pentru acest document.........
apf(3489): (glob) scadere implicită (intrare) intrare
apf(3445): (glob) firewall inițializat
apf(3445): (glob) !!MODUL DE DEZVOLTARE ACTIVAT!! - firewall-ul se va spăla
la fiecare 5 minute.

Putem vedea că APF funcționează, descarcând unele reguli de pe dshield.org și spamhaus.org. Acum să testăm conectarea la serverul Asterisk (Trixbox) prin SSH pentru a ne asigura că ați configurat totul corect. Dacă nu vă puteți conecta, trebuie să așteptați 5 minute și apoi APF va elibera blocul. Odată ce sunteți sigur că puteți accesa SSH, putem schimba DEVEL_MODE = "1" în DEVEL_MODE = "0" în conf.apf și repornim APF. APF va porni și nu va emite un avertisment că este în DEVELOPMETN_MODE.

APF: reglaj suplimentar

Acesta nu este sfârșitul configurării dacă doriți să vă conectați serverele Asterisk (Trixbox) prin IAX. Pentru a face acest lucru, va trebui să adăugați porturile IAX la conf.apf. Această opțiune va funcționa cu IP-uri statice sau DynDNS. Comanda apf -a permite accesul la o anumită adresă IP. Acest lucru va permite la nivel global gazdei să se conecteze la Asterisk (Trixbox), ocolind regulile firewall-ului.

apf -a 192.168.1.216

Acest lucru va permite sistemului 192.168.1.216 să se conecteze la orice port de pe serverul cu firewall, ocolind astfel regulile firewall. Dacă rulați APF pe ambele Asterisk (Trixbox), asigurați-vă că faceți același lucru pe cealaltă gazdă folosind adresa IP corectă.

APF permite, de asemenea, administratorului de sistem să blocheze o gazdă sau o întreagă subrețea. Acest lucru este util dacă vedeți pe cineva care încearcă să se conecteze la computer prin FTP, Telnet, SSH și așa mai departe. Pentru a bloca o anumită gazdă, utilizați următoarele: asigurați-vă că utilizați adresa IP pe care doriți să o blocați.

apf -d 192.168.1.216

Pentru a bloca o subrețea completă (CIDR):

apf -d 202.86.128.0/24

APF nu acceptă QoS pentru pachetele UDP. Numai TCP. Există o modalitate ușoară de a remedia acest lucru. /etc/apf/internals are un fișier functions.apf. Trebuie să edităm acest fișier manual. Există mai multe locuri în care trebuie să adăugăm o singură linie. Căutăm secțiunea TOS_ din fișierul functions.apf. Va arăta astfel:

Această linie suplimentară trebuie făcută pentru toți biții TOS pe care îi utilizați.

BFD

Detectarea forței brute (atac de dicționar) este utilizată pentru a urmări încercările de conectare neautorizate.

Fișierul de configurare pentru BFD se află în /usr/local/bfd și se numește conf.bfd. Acest fișier, ca și pentru APF, conține multe comentarii. Ne vom uita doar la câteva dintre opțiunile de personalizare.

Prima variabilă de configurare la care ne vom uita este TRIG; acesta este numărul de încercări eșuate înainte ca atacatorul să fie blocat. Valoarea implicită este 15. Rețineți că acesta este numărul de încercări nu de la un singur cont, ci de la o adresă IP. Deci, dacă 15 încercări de conectare nereușite provin de la o adresă IP folosind conturi diferite, aceasta va fi în continuare blocată.

BFD are o caracteristică frumoasă - trimite e-mailuri atunci când este detectată o forță brută. Pentru a activa această opțiune, setați EMAIL_ALERTS la 1; nu uitați să specificați adresa la care doriți să primiți notificări - EMAIL_ADRESS.

BFD este rulat de cron la fiecare 3 minute și se află în /etc/cron.d.

Puteți obține o listă de adrese IP interzise folosind comanda:

Pentru a porni BFD utilizați următoarea comandă:

bfd -s

rezumat

Aceasta completează analiza de securitate Asterisk (Trixbox).

Acest articol acoperă doar principiile de bază ale protecției Asterisk (Trixbox). Desigur, construirea de sisteme VoIP sigure nu se limitează la asta.

Articolul original poate fi găsit la link

După cum știți, asterisc este o aplicație (server) pentru telefonie IP. Adică permite clienților conectați la acesta să se sune între ei și cu lumea exterioară, folosind (printre altele) linii telefonice. Acest lucru prezintă următoarele riscuri:

1. clienții sunt identificați prin autentificare/parolă și (de obicei) prin adresa IP. În același timp, este posibil să ridicați o parolă (mai devreme sau mai târziu, în funcție de complexitatea acesteia, dar în orice caz este posibil), și de foarte multe ori restricțiile privind adresele IP sunt departe de a fi atât de stricte pe cât ne-am dori (în mod ideal, fiecare client ar trebui să aibă propria sa adresă IP unică)
2. apeluri primite de pe Internet (de exemplu, de la alte servere asterisk). Cu aceste conexiuni, totul este mai complicat, deoarece asteriscul (în configurația de bază) nu prevede afișarea adreselor IP de la care se realizează conexiunea.

Programul fail2ban, împreună cu un firewall (de exemplu, iptables) și un asterisc configurat corespunzător (care afișează informații complete în jurnale, inclusiv adresele IP ale clienților și ale altor servere), poate bloca efectiv încercările de conectare și ghicirea parolei.

Înainte de a începe configurarea, trebuie să instalați iptables și fail2ban. De asemenea, iptables trebuie să fie deja configurat (și să permită conexiunile cu asterisc) înainte ca fail2ban să poată fi configurat! Puteți citi cum să configurați iptables aici: Configurarea iptables pentru ca asterisk să funcționeze. De asemenea, puteți instala fail2ban înainte de a instala asterisk în sine, caz în care (cel puțin teoretic) cele mai recente versiuni de asterisk detectează fail2ban instalat și îl configurează automat în timpul procesului de instalare. In orice caz:

1. Problema securității telefoniei IP nu este întotdeauna luată în considerare înainte de instalarea asterisk. Adică, cel mai probabil, doriți să instalați fail2ban pe un sistem cu un asterisc deja instalat (și configurat).
2. Nu în toate cazurile, auto-config funcționează deloc, cu atât mai puțin pentru a funcționa corect (și începe să blochezi toate atacurile împotriva asteriscului).

Configurarea înregistrării cu asterisc

În primul rând, este logic să configurați înregistrarea cu asterisc, astfel încât informațiile să înceapă imediat să fie colectate în formatul și forma de care avem nevoie. Pentru a face acest lucru, în directorul de configurare a asteriscului (în mod implicit este /etc/asterisk) găsiți fișierul logger.conf și efectuați următoarele modificări: uncomment (eliminați punctul și virgulă de la începutul liniei):

Dataformat=%F %T ; Format de dată ISO 8601

Acest lucru este necesar pentru ca asteriscul să scrie data în jurnale în formatul corect:
an-lună-zi ore:minute:secunde

Începând cu versiunea 10 a asterisk, puteți activa Cadrul de securitate Asterisk. Pentru a face acest lucru, în fișierul logger.conf, găsiți și decomentați (sau adăugați) linia:

securitate => securitate

Această linie din partea stângă a săgeții indică numele fișierului în care vor fi salvate evenimentele, iar în partea dreaptă nivelurile (tipurile de evenimente) care vor fi salvate. În acest exemplu, evenimentele legate de nivelul de securitate (și numai ele) vor fi salvate într-un fișier numit securitate în folderul jurnal asterisc.
Desigur, după efectuarea modificărilor, este necesar ca asteriscul să recitească configurația. Pentru a face acest lucru, puteți fie reîncărca serviciul asterisk, fie doar configurația jurnalului (reîncărcarea loggerului din CLI asterisk).

După aceea, un fișier numit securitate. Nu uitați să configurați rotația jurnalelor pentru acest fișier (la fel ca și pentru alte jurnale cu asterisc)!

Configurarea regulilor de filtrare

Acum trebuie să creăm un filtru care va extrage evenimente potențial periculoase din fluxul general de mesaje al asteriscului (nume de utilizator/parolă incorecte, încercare de conectare de la o adresă IP neautorizată etc., etc.). În același timp, trebuie nu numai să detectăm astfel de evenimente potențial periculoase, ci și să izolăm de acolo adresa IP de la care a fost efectuată acțiunea. Adică nu căutăm doar anumite linii în fișierele de evenimente asterisc, ci stabilim reguli de filtrare.
Regulile de filtrare pot fi scrise în fișierul /etc/fail2ban/filter.d/asterisk.conf. Iată o mostră a conținutului acestui fișier:

# Fișierul de configurare Fail2Ban # # # $Revision: $250 # # Citiți prefixele comune. Dacă sunt disponibile personalizări -- citiți-le din # common.local #before = common.conf #_daemon = asterisc # Opțiune: failregex # Note.: regex pentru a se potrivi cu mesajele de eșec de parolă din fișierul jurnal. Gazda # trebuie să fie potrivită de un grup numit „gazdă”. Eticheta „ ” # poate fi folosită pentru potrivirea IP/nume de gazdă standard și este doar un alias pentru # (?:::f(4,6):)?(?P \S+) # Valori: TEXT # # Asterisk 1.8 folosește Gazdă:Format port care este reflectat aici failregex = NOTIFICARE.* .*: Înregistrarea de la „.*” a eșuat pentru „ :.*” - Parolă greșită NOTIFICARE.* .*: Înregistrarea de la „.*” a eșuat pentru „ :.*” " - Nu s-a găsit niciun peer care se potrivește NOTIFICARE.* .*: Înregistrarea de la „.*” a eșuat pentru „ :.*” - Numele de utilizator/numele de autentificare nepotrivire NOTIFICARE.* .*: Înregistrarea de la „.*” a eșuat pentru „ :.*” - Dispozitivul nu se potrivește cu ACL NOTICE.* .*: Înregistrarea de la „.*” a eșuat pentru „ :.*” - Nu este un domeniu local NOTIFICARE.* .*: Înregistrarea de la „.*” a eșuat pentru „ :.*” - Peer nu trebuie să înregistreze NOTIFICARE.* .*: Înregistrarea de la „.*” a eșuat pentru „ :.*” - Eroare ACL (permis/refuz) NOTIFICARE.* .*: Înregistrarea de la „.*” a eșuat pentru „ ” - Parolă greșită NOTIFICARE.* .*: Înregistrarea de la „.*” a eșuat pentru „ ” - Nu s-a găsit niciun peer care se potrivește NOTIFICARE.* .*: Înregistrarea de la „.*” a eșuat pentru „ ” - Numele de utilizator/numele de autentificare nepotrivire NOTĂ E.* .**: Înregistrarea de la „.*” a eșuat pentru „ ” - Dispozitivul nu se potrivește cu ACL NOTICE.* .*: Înregistrarea de la „.*” a eșuat pentru „ ” - Nu este un domeniu local NOTIFICARE.* .*: Înregistrare de la „.*” a eșuat pentru „ „ - Peer nu trebuie să înregistreze NOTIFICARE.* .*: Înregistrarea de la „.*” a eșuat pentru „ „ - Eroare ACL (permis/refuz) NOTIFICARE.* .*: Înregistrare de la „\ „.*\”.*” a eșuat pentru „ :.*” - Nu s-a găsit niciun peer care se potrivește NOTIFICARE.* .*: Înregistrarea de la „\”.*\".*” a eșuat pentru „ :.*” - Parolă greșită NOTIFICARE. * .*: Nicio înregistrare pentru peer „.*” \(de la \) NOTIFICARE.* .*: Gazda nu a reușit autentificarea MD5 pentru „.*” (.*) NOTIFICARE.* .*: Nu s-a putut autentifica utilizatorul .*@ . * NOTIFICARE.* nu s-a putut autentifica ca „.*”$ NOTIFICARE.* .*: Se trimite respingere a autentificarii false pentru dispozitiv .*\<.>

În versiune și anterioare, sunt folosite șiruri de caractere precum avi deasupra șirului, deoarece, începând cu versiunea, informațiile au apărut în jurnalele despre numărul portului, care nu este prezentă în varianta de mai sus, ia în considerare atât versiunile vechi, cât și cele noi. , deci nu trebuie să schimbați nimic în el

Pentru versiuni și versiuni superioare, dacă ați activat sau activat înregistrarea în jurnal, nu uitați să setați reguli de filtrare pentru aceste jurnale

Regulile de filtrare pot fi scrise într-un fișier. Iată o mostră a conținutului acestui fișier

Configurarea izolatoarelor pt

Acum trebuie să creăm descrieri ale așa-numiților izolatori pentru ca aceștia să ne lege filtrele pentru a explica în ce fișiere trebuie căutate aceste linii și apoi ce să facem

Pentru a face acest lucru, deschideți fișierul

1. Asigurați-vă că nu există sau nu sunt incluse alte reguli legate de Pentru acest an, este suficient să faceți o căutare pe fișier după nume fără ghilimele verificări pentru a vă asigura că dacă astfel de reguli există pentru fiecare dintre ele, proprietatea este setată
2. Dacă versiunea este mai mică sau nu doriți să utilizați jurnale, folosirea jurnalelor este foarte recomandată, atunci va trebui să creați o singură regulă, altfel va trebui să creați reguli

Regula nr.

Această regulă trebuie creată pentru toate versiunile. Puteți crea o nouă regulă sau puteți modifica oricare dintre cele existente, dar ați dezactivat noua regulă deoarece, în exemplul nostru, va fi folosită împreună cu va fi apelată și va fi aplicată fișierului în în care sunt salvate toate tipurile principale de evenimente asterisc.

настраиваемизоляторыдляосновныхсобытийправиловключенофильтркоторымбудетпользоватьсяправилоназываетсяназваниефильтраэтоимяфайлавкаталогеккакомуфайлулогамастерискаприменятьфильтрдляпоискапотенциальноопасныхсобытийколичествопотенциальноопасныхсобытийнайденныхфильтромдлясрабатываниядействиянакакойпериодвременивсекундахприменятьдействиезакакойпериодвременивсекундахискатьвпотенциальноопасныесобытиячтоделатьеслифильтробнаружилатакузапериодсекундвлогахобнаруженопотенциальноопасныхдействийсодногоадресаблокируемвсепортыдляэтогоипосылаемписьмодлясписокадресовподсетейдлякоторыхвсепотенциальноопасныесобытияигнорируются

Regula nr.

Această regulă va funcționa numai dacă versiunea este sau mai târziu, iar dacă înregistrarea în jurnal este activată, vezi mai sus. De asemenea, puteți crea o nouă regulă sau modifica oricare dintre cele existente care sunt dezactivate.

настраиваемизоляторыдлясобытийбезопасностиправиловключенофильтркоторымбудетпользоватьсяправилоназываетсяназваниефильтраэтоимяфайлавкаталогеккакомуфайлулогамастерискаприменятьфильтрдляпоискапотенциальноопасныхсобытийколичествопотенциальноопасныхсобытийнайденныхфильтромдлясрабатываниядействиянакакойпериодвременивсекундахприменятьдействиезакакойпериодвременивсекундахискатьвпотенциальноопасныесобытиячтоделатьеслифильтробнаружилатакузапериодсекундвлогахобнаруженопотенциальноопасныхдействийсодногоадресаблокируемвсепортыдляэтогоипосылаемписьмодлясписокадресовподсетейдлякоторыхвсепотенциальноопасныесобытияигнорируются

lansa

Acum trebuie să porniți sau să reporniți și dacă este necesar, de exemplu, nu a fost încă pornit

Pentru a-l rula, trebuie să îl rulați mai întâi, executați următoarea comandă

Pentru a reporni, executați următoarea comandă

Pentru a verifica dacă a fost lansat cu succes și că regulile au fost încărcate, executați următoarea comandă

iar dacă există o a doua regulă

Pentru a afișa lista de reguli, executați următoarea comandă

În cazul în care tocmai ați instalat sau nu uitați să vă asigurați că acestea sunt configurate pentru a porni automat la pornirea sistemului

Verificarea muncii

Principalul lucru în procesul de verificare este să aveți un alt computer sau acces local la server la îndemână, astfel încât, în cazul în care adresa dvs. este blocată, puteți să vă conectați și să eliminați această blocare

Este necesar să verificați funcționarea legăturii, deoarece chiar dacă ați configurat sau copiat totul corect, pot exista multe combinații de evenimente în urma cărora încuietorile pe care le-ați configurat nu vor funcționa

Secvența de acțiuni pentru a verifica funcționarea legăturii

1. Asigurați-vă că aveți startup-uri configurate la pornirea computerului
2. Dacă ați configurat reguli pentru acesta, vă recomandăm insistent să testați funcționarea fiecăruia dintre ele în mod individual. Pentru a face acest lucru, dezactivați una dintre reguli, de exemplu
3. reporniți computerele, verificați asta
1. serviciile rulează
2. una dintre reguli este activată, iar cealaltă este dezactivată

   În acest caz, pentru regula dezactivată, va apărea un mesaj

   și pentru un mesaj inclus al formularului

4. Porniți clientul fără serverul însuși de pe alt computer și specificați date incorecte pentru autorizare. Adresa de conectare trebuie să fie adresa serverului. Încercați să vă conectați o dată sau mai multe. Numărul de autorizații după care adresa este blocată este specificat în parametru pentru fiecare regulă separat.
5. Dacă ați pornit clientul pe același computer pe care l-ați conectat la server și dacă acesta a fost configurat corect, atunci adresa dvs. este blocată și nu vă puteți conecta la server de pe acest computer, verificați acest lucru, conectați-vă la alt computer sau local și continuați executarea comenzile
6. Rulați Commandview

   pentru regula activată și asigurați-vă că adresa la care s-a conectat clientul se află în lista blocate

7. Acum, prin analogie cu acțiunile din paragraf, deblocați a doua regulă, de exemplu, și blocați prima
8. Urmați pașii din punct în punct doar în loc să reporniți computerul, ceea ce puteți face și este suficient pentru a reporni serviciul.După aceea, adresa computerului pe care ați pornit clientul va fi imediat deblocată.
9. După ce ați testat ambele reguli separat, nu uitați să vă asigurați că le activați atât pentru parametrul, cât și pentru parametrul. După aceea, desigur, nu uitați să reîncărcați serviciul
10. Iar ultimul punct, dacă ați completat sau punctele anterioare sunt suficient de rapide pentru câteva minute, atunci s-ar putea părea că după activarea ambelor reguli, la următoarea repornire, veți fi din nou blocat de adresa clientului care a fost lansat
    Atenție

managementul regulilor

Dezactivați temporar blocarea adreselor

Pentru a face acest lucru, trebuie să utilizați serviciul. În primul rând, vom afișa o listă de reguli pe consolă și apoi le vom selecta pe cele necesare pentru a le elimina din interdicție.

Pentru a vizualiza o listă de reguli, introduceți comanda

Veți vedea un mesaj ca acesta

Suntem interesați să scoatem din interdicție adresa care, după cum vedem, se află în lanțul de reguli sub numele tastam comanda

În cazul executării cu succes a comenzii, nu vor apărea mesaje și dacă acum rulăm comanda din nou

vom vedea că adresa a dispărut din blocare, deși rămâne în blocare.În același timp, ne putem conecta din nou la server

Dezactivează definitiv blocarea adreselor

Pentru a nu bloca o anumită adresă sau mai multe adrese, indiferent de câte încercări nereușite de a ghici parola și alte acțiuni ilegale au comis sau este necesar să se facă setări suplimentare în fișier

Fiecare regulă de fișier poate conține un parametru care specifică o listă de adrese care sunt incluse în lista albă pentru această regulă. Deoarece pot exista două reguli, rețineți că a dvs. trebuie să fie scrisă în ambele reguli

Parametrul are următoarea formă

Adică, puteți prescrie atât subrețele, cât și adrese individuale în acest caz, lista albă cade și

Deblocarea adresei care a fost testată

În timpul verificării corectitudinii setărilor, rulați în mod repetat clientul pentru a testa activitatea de blocare a atacurilor viitoare pe Internet și, în cursul lucrărilor ulterioare, este posibil să fie necesar să efectuați acțiuni din când în când, consecințele care se poate bloca din lateral.

Există modalități de a rezolva această problemă

1. Introduceți adresa în regulile din listă Dar uneori poate să nu fie de dorit, de exemplu, să efectuați testarea periodică a muncii
2. ОбычновремяэтодлительностьинтервалавсекундахзакотороесобытиеатакаподборпаролядолжноповторитьсяразпослечегобанвступитвсилунамногоменьшечемэтовремябанавсекундахпоистечениикоторогоадресудаляетсяизсписказаблокированныхНапримервыставляетсявминутачасЛибочасаденьилидажебольшеИтакдалееПоэтомуимеетсмыслсделатьпаузудлительностьюнеменеечемсмоментапоследнеготестированияизабаниванияВашегоадресапослечегоперезагрузитьсервисПриперезагрузкесервисавсеблокировкианнулируютсяОднакоприпоследующейзагрузкелогианализируютсясноваиесливлогахвтечениебылонеудачныхпопытокподключениясодногоэтотбудетсновазабаненсразупослезапуска

Testarea configurației

Puteți verifica cum va fi aplicat filtrul unuia sau altuia jurnal. Pentru a face acest lucru, puteți rula comanda

Unde este acest exemplu de fișier de cale cu jurnalele care vor fi filtrate ca filtrul însuși care conține fragmentele mesajului de eroare care ar trebui să fie în jurnal pentru a interzice adresele atacatorilor

Și, în sfârșit, în loc să reporniți cu, puteți rula următoarea comandă

Link-uri către surse

Materialele sunt preluate în special de pe site-ul oficial al expresiei regulate, iar regulile pentru asterisc sunt preluate din secțiune