Asterisk 的安全性
內容表格
- 1. Asterisk 安全設定
- 2. 重大安全威脅
- 3. 建議方案
- 4. 延伸閱讀
文章閱讀php
Asterisk 安全設定
如下是在設置 Asterisk 時,對於系統安全性強化的建議做法:html
- 不要允許任何 IP 位址來源的 SIP 認證要求
在 sip.conf 的 "permit=" 不要設為 0.0.0.0。
- 在 sip.conf 設定 "alwaysauthreject=yes", "allowguest=no"
這些參數能夠拒絕未認證的通話要求。
# asterisk -rx "sip show settings" | grep -i "always auth rejects"
# asterisk -rx "sip show settings" | grep -i "allow unknown access"
- 加強 SIP 密碼的強度
不要使用那些懶人密碼,好比 123四、abcd、與分機號碼相同等等。建議規則至少八碼,並且夾雜英文字及數字。
- 封鎖系統 AMI manager port
在 manager.conf 使用 "permit=" 及 "deny=" 限制沒必要要的連線,及增長密碼強度,至少要有 12 碼,並夾雜英文及數字。強烈建議不要允許外部網路連接。
- 允許一個 SIP 分機在同一時間只能有一個或兩個通話
這樣設置可下降有人利用分機做暴力,在 sip.conf 加上 call-limit=1 參數。
- 不要使分機名稱與分機號碼相同
分機號碼是註冊用的 ID,而分機的名稱較容易曝露在網路上,當兩者設定相同時,註冊 ID 就很容易被猜出來。
也可使用 MD5 密碼。
- 確保預設 context 是安全的
仔細檢查 /etc/asterisk/extensions.conf,若是系統有收到未經允許的來電時,會執行 [default] 的 dialplan。
在 FreePBX 請改爲 [from-sip-external],內容參考以下:
exten => _.,1,NoOp(Received incoming SIP connection from unknown peer to ${EXTEN})
exten => _.,n,Set(DID=${IF($["${EXTEN:1:2}"=""]?s:${EXTEN})})
exten => _.,n,Hangup
exten => h,1,Hangup
exten => i,1,Hangup
exten => t,1,Hangup
這個指令能夠查出預設 context
#asterisk -rx "sip show settings" | grep -i context
- 連線使用 type=peer 認證方式
無論是分機或與 provider 的連線,若環境條件予許下(全部連線都必須是固定IP),盡可能的所有都使用 peer 方式連線,對於 Asterisk 就能夠有更安全的保護。
FreePBX 的設定方式:
- 無論是在 Extension 或 Trunk,必須使用 type=peer 及 host=對方 IP;切勿使用 host=dynamic。
- 新增參數 allowguest=no 在 sip_general_custom.conf,檢查系統狀態:
#asterisk -rx "sip show settings" | grep -i "Allow unknown access"
-> 結果必須是 No
- 變更全部的預設密碼
這項主要是針對有裝 freePBX 或其餘 UI 的版本,包含有 Trixbox/PIAF/Elastix/AsteriskNow。
- 關閉 FOP 服務
這個服務會使內部的分機號輕易的暴露在公用網路上,並且若遭遇密碼暴力攻擊時,會形成系統超過負載。
編輯 /etc/amportal.conf,修改 FOPRUN=false
- 關閉 FreePBX 的 Allow Anonymous Inbound SIP Calls
開啟 FreePBX > Global Settings > Allow Anonymous Inbound SIP Calls,務必將此項設為 no。
- 修改 Asterisk 預設的識別 - useragent
安裝後的 Asterisk 都會有一個識別名稱為 Asterisk +版本號,其餘發行套件 Trixbox/PIAF/Elastix 也都會有固定的識別名稱,這個名稱很容易就能夠透過遠端網路來取得,建議修改爲與軟體無任何關係的名稱。
編輯 /etc/asterisk/sip_general_custom.conf
useragent=MyPBX
- 關閉 SIP 之外沒用到的模組
編輯 /etc/asterisk/modules.conf,加上如下的內容。(除了 SIP 服務,其餘所有關閉)
; Don't load skinny (tcp port 2000)
noload => chan_skinny.so
; Don't load MGCP (udp port 2727)
noload => chan_mgcp.so
; Don't load dundi (udp port 4520)
noload => pbx_dundi.so
; Don't load unistim (udp port 5000)
noload => chan_unistim.so
; Don't load ooh323 (tcp port 1720)
noload => chan_ooh323.so
; Don't load IAX2 (udp port 4569)
noload => chan_iax2.so
; Don't load LDAP
noload => res_config_ldap.so
重大安全威脅
建議方案
- [Digium] Seven Steps to Better SIP Security with Asterisk
- Automatically Block Failed SIP Peer Registrations
用 perl 開發的 script,以排程定時執行,過濾 Asterisk Logs 未註冊成功訊息的來源 IP 位址,以 iptables 阻擋。 - Fail2Ban - 用 Python 語言開發,以分析應用程式的日誌檔,符合關鍵字的用 iptables 修改防火牆規則。
- Fail2Ban (with iptables) And Asterisk
- fail2ban::Asterisk
- Install Fail2Ban on Elastix 1.6 - Securing Your trixbox Server
- OSSEC - 開放原始碼 主機入侵偵測系統,運做原理有日誌檔分析、檔案完整性檢查、安全政策監控、rootkit 偵測。
- OSSEC Module for FreePBX
- [OSSLab] OSSEC & FreePBX - CSF(ConfigServer Security & Firewall) - 這是用來保護/監視 Linux 主機的軟體,常被用在以 Linux 做 Hosting 的保護措施,操做介面能夠整合在 cPanel, DirectAdmin, Webmin。
- Asterisk 用 TLS 加密 SIP
- SIPS on Asterisk – SIP security with TLS
- [Digium] Secure Calling Tutorial
- [Digium] Asterisk SIP/TLS Transport
- Asterisk 用 SRTP 加密 RTP
- Asterisk sRTP installation and configuration
- HOW TO Add Secure RTP to Asterisk 1.8
- Asterisk sRTP with 1.8
- Asterisk-SRTP移植心得 - 系統安全檢測工具-sipvicios
- 官網:http://code.google.com/p/sipvicious/
- Hacking and securing your Asterisk server - IPTables
- FreePBX 官方建議
相關文章
- 1. Ubuntu 11.10安裝Asterisk 1.8和Asterisk GUI 2.01
- 2. asterisk安裝步驟
- 3. Asterisk 11 安裝筆記
- 4. centOS 5.5 下安裝asterisk
- 5. FreeSWITCH 與 Asterisk(譯)
- 6. 安裝Asterisk(三)驗證AsteriskNOW安裝
- 7. HTTPS的安全性
- 8. Java的安全性
- 9. JSP的安全性
- 10. ftp的安全性
- 更多相關文章...
- • ASP.NET MVC - 安全 - ASP.NET 教程
- • C# 不安全代碼 - C#教程
- • 互聯網組織的未來:剖析GitHub員工的任性之源
- • Composer 安裝與使用
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
歡迎關注本站公眾號,獲取更多信息
