Ключевые настройки безопасности для Asterisk

Добрый день, друзья, коллеги и наши подписчики. Сегодня мы покажем Вам основные принципы защиты Вашей АТС от взлома.

1. Использование стандартного порта для протоколов связи. В большинстве случаев используется протокол sip, который работает по стандартному порту 5060. Что необходимо сделать – изменить порт на любой другой (конечно без фанатизма, и не забываем про диапазон портов 10000-20000, используемый АТС), к примеру 5194. Не забудьте указать этот порт в настройках Вашего телефона или софтфона.
2. Запрещаем звонки без регистрации (гостевые вызовы)
Правим файл sip.conf: allowguest=yes => allowguest=no.
3. При подборе пароля, АТС выдает разные ответы при существующем внутреннем номере и нет. Решаем следующим образом – правим sip.conf: alwaysauthreject = yes
4. Настраиваем фаерволл (пример настройки, более 4-х запросов за 30 секунд, ip адрес будет забанен на 1 час), перед этим залогинтесь под root:
iptables -N BLACKLIST
iptables -A BLACKLIST -m recent –set –name blacklist
iptables -A BLACKLIST -j DROP

iptables -N SIP
iptables -A SIP -m recent –rcheck –name blacklist –seconds 3600 –hitcount 1 -j DROP
iptables -A SIP -m recent –set –name sip
iptables -A SIP -m recent –update –seconds 30 –hitcount 5 –name sip -m limit –limit 5 -j LOG –log-prefix=SIP_BRUTEFORCE_
iptables -A SIP -m recent –update –seconds 30 –hitcount 5 –name sip -j BLACKLIST
iptables -A SIP -j ACCEPT

iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p udp –dport 5060 -j SIP
Также запретим ipv6 запросы
ip6tables -P INPUT DROP
5. Не используйте пароли, совпадающие с номером пользователя. Генератор пароля – наше все)

Это были основные рекомендации по настройке безопасности для АТС на базе Asterisk. Попытки взломать Вашу АТС будут всегда, от этого не уйти. И только от Вас зависит, получится ли это у злоумышленников или нет!

Наши специалисты всегда проконсультируют Вас по любым вопросам, связанным с ip-телефонией! Будем рады Вас слышать!

admin

Оставить отклик

Ваш адрес эл.почты не будет опубликован.