Синтаксические исправления asterisk

This commit is contained in:
Alexander Zhirov 2022-06-14 15:54:23 +03:00
parent 5acde57649
commit 33fc83b8d6
1 changed files with 15 additions and 15 deletions

View File

@ -4,11 +4,11 @@
О том, как защитить IP-АТС от несанкционированного доступа и дадим несколько простых советов, следуя которым, можно существенно повысить безопасность вашей телефонной станции. Примеры, которые будут приведены в данном разделе, относятся к IP-АТС на базе Asterisk, однако многие из них распространяются на все без исключения VoIP-АТС. О том, как защитить IP-АТС от несанкционированного доступа и дадим несколько простых советов, следуя которым, можно существенно повысить безопасность вашей телефонной станции. Примеры, которые будут приведены в данном разделе, относятся к IP-АТС на базе Asterisk, однако многие из них распространяются на все без исключения VoIP-АТС.
Для начала, давайте разберемся, чем же грозят “дыры” в безопасности и какие последствия грозят бизнесу, если злоумышленник получит доступ к IP-АТС. Для начала, давайте разберемся, чем же грозят "дыры" в безопасности и какие последствия грозят бизнесу, если злоумышленник получит доступ к IP-АТС.
## Угроза взлома ## Угроза взлома
В отличие от взлома персонального компьютера или почты, взлом АТС это бесплатные для взломщика звонки, за которые придется заплатить владельцу АТС. Известно немало случаев, когда хакеры тратили колоссальные суммы, проведя на взломанной АТС всего несколько часов. В отличие от взлома персонального компьютера или почты, взлом АТС - это бесплатные для взломщика звонки, за которые придется заплатить владельцу АТС. Известно немало случаев, когда хакеры тратили колоссальные суммы, проведя на взломанной АТС всего несколько часов.
Как правило, целями злоумышленников становятся IP-АТС, которые доступны из публичной сети. Используя различные SIP-сканнеры и исследуя системные уязвимости, они выбирают места для атаки. Дефолтные (default) пароли, открытые SIP-порты, неправильно управляемый firewall ​или его отсутствие - всё это может стать причиной несанкционированного доступа. Как правило, целями злоумышленников становятся IP-АТС, которые доступны из публичной сети. Используя различные SIP-сканнеры и исследуя системные уязвимости, они выбирают места для атаки. Дефолтные (default) пароли, открытые SIP-порты, неправильно управляемый firewall ​или его отсутствие - всё это может стать причиной несанкционированного доступа.
@ -16,10 +16,10 @@
## Простые шаги к повышению безопасности ## Простые шаги к повышению безопасности
1. Первое правило, которое необходимо соблюдать это не афишировать адрес своей IP-АТС и следить за тем, чтобы доступ к сети имели только авторизованные пользователи. Разумеется, это правило распространяется и на физический доступ к серверу, на котором установлена IP-АТС. 1. Первое правило, которое необходимо соблюдать - это не афишировать адрес своей IP-АТС и следить за тем, чтобы доступ к сети имели только авторизованные пользователи. Разумеется, это правило распространяется и на физический доступ к серверу, на котором установлена IP-АТС.
2. Второе и самое очевидное не использовать дефолтные (default) пароли, которые будет легко подобрать или угадать “1234”, “admin”, “password”, название компании и так далее. 2. Второе и самое очевидное - не использовать дефолтные (default) пароли, которые будет легко подобрать или угадать - "1234", "admin", "password", название компании и так далее.
Одной из самых распространённых ошибок, является создание внутренних номеров (Extension), у которых и номер и пароль совпадают. Вsip.confэто выглядит примерно так `sip.conf`: Одной из самых распространённых ошибок, является создание внутренних номеров (`Extension`), у которых и номер и пароль совпадают. В `sip.conf` ​это выглядит примерно так:
```sh ```sh
[101] [101]
@ -46,7 +46,7 @@ noload => chan_oss.so
``` ```
7. Чтобы усложнить работу всевозможным SIP-сканерам, необходимо в настройках `sip.conf` выставить следующее условие - `alwaysauthreject=yes`. Это будет препятствовать получению информации об использующихся внутренних номерах на вашей IP-АТС. 7. Чтобы усложнить работу всевозможным SIP-сканерам, необходимо в настройках `sip.conf` выставить следующее условие - `alwaysauthreject=yes`. Это будет препятствовать получению информации об использующихся внутренних номерах на вашей IP-АТС.
8. Рекомендуем создавать отдельные маршруты на звонки за рубеж (по сути, международное направление 810). Ставьте ограничения на звонки в таких маршрутах или закрывайте их PIN кодом, который могут знать только сотрудники вашей организации. 8. Рекомендуем создавать отдельные маршруты на звонки за рубеж (по сути, международное направление 810). Ставьте ограничения на звонки в таких маршрутах или закрывайте их PIN - кодом, который могут знать только сотрудники вашей организации.
## Какие порты открыть для Asterisk/FreePBX ## Какие порты открыть для Asterisk/FreePBX
@ -88,9 +88,9 @@ noload => chan_oss.so
## FreePBX - обнаружение слабых паролей ## FreePBX - обнаружение слабых паролей
Как известно, сильный пароль это очень важная составляющая безопасности любого актива, к которому, тем или иным образом можно получить доступ. Не даром все *best practices* начинаются с рекомендаций устанавливать сильный, устойчивый к взлому пароль. В данном разделе мы будем говорить о прописных истинах, поэтому её можно считать скорее «дружеским советом» для тех, кто только начинает своё знакомство с FreePBX. Как известно, сильный пароль - это очень важная составляющая безопасности любого актива, к которому, тем или иным образом можно получить доступ. Не даром все *best practices* начинаются с рекомендаций устанавливать сильный, устойчивый к взлому пароль. В данном разделе мы будем говорить о прописных истинах, поэтому её можно считать скорее «дружеским советом» для тех, кто только начинает своё знакомство с FreePBX.
Слабый пароль, неважно где это большой риск, который нельзя оставлять без внимания и следует немедленно устранить. Слабый пароль, неважно где - это большой риск, который нельзя оставлять без внимания и следует немедленно устранить.
### Обзор ### Обзор
@ -118,11 +118,11 @@ noload => chan_oss.so
![asterisk_29](img/asterisk_29.png) ![asterisk_29](img/asterisk_29.png)
Как только Вы настроите внутреннюю нумерацию, линии к провайдерам (транки), пользовательский доступ, не поленитесь, зайдите лишний раз в модуль `Weak Password Detectionи` если там будет уведомление о слабом пароле в системе незамедлительно смените его! Но помните, что сильный пароль это не гарантия безопасности, это всего лишь один из уровней, который должен применяться в комплексе с остальными мероприятиями по защите системы. Как только Вы настроите внутреннюю нумерацию, линии к провайдерам (транки), пользовательский доступ, не поленитесь, зайдите лишний раз в модуль `Weak Password Detectionи` если там будет уведомление о слабом пароле в системе - незамедлительно смените его! Но помните, что сильный пароль - это не гарантия безопасности, это всего лишь один из уровней, который должен применяться в комплексе с остальными мероприятиями по защите системы.
## Конфигурация Firewall в FreePBX ## Конфигурация Firewall в FreePBX
Рассмотрим модуль, который стал доступен во FreePBX только с версии 13 и который позволяет создать первичную низкоуровневую защиту нашей IP-АТС - Firewall. Нужно отметить, что попытки создать нечто подобное на ранних версиях FreePBX всё-таки были, но все они не увенчались успехом и заставляли пользователей так или иначе идти на компромиссы для сохранения доступности функционала IP-АТС. Модуль Firewall ​был разработан с глубоким пониманием существующих проблем и его основной целью является защита “​средней​”, или другими словами, типовой инсталляции при обязательном сохранении VoIP сервисов. Рассмотрим модуль, который стал доступен во FreePBX только с версии 13 и который позволяет создать первичную низкоуровневую защиту нашей IP-АТС - Firewall. Нужно отметить, что попытки создать нечто подобное на ранних версиях FreePBX всё-таки были, но все они не увенчались успехом и заставляли пользователей так или иначе идти на компромиссы для сохранения доступности функционала IP-АТС. Модуль Firewall ​был разработан с глубоким пониманием существующих проблем и его основной целью является защита "​средней​", или другими словами, типовой инсталляции при обязательном сохранении VoIP сервисов.
Данный модуль отслеживает и блокирует атаки, пропуская при этом разрешенный трафик, а также непрерывно контролирует конфигурацию системы, автоматически открывая и закрывая порты для необходимых транков. Данный модуль отслеживает и блокирует атаки, пропуская при этом разрешенный трафик, а также непрерывно контролирует конфигурацию системы, автоматически открывая и закрывая порты для необходимых транков.
@ -134,7 +134,7 @@ noload => chan_oss.so
Чтобы включить модуль, нажмите кнопку `Enable Firewall`. Обратите внимание, после включения модуля никакие правила еще не задействованы, их нужно настроить. Чтобы включить модуль, нажмите кнопку `Enable Firewall`. Обратите внимание, после включения модуля никакие правила еще не задействованы, их нужно настроить.
Первое о чём сообщает модуль, это то, что IP-адрес, под которым мы зашли на IP-АТС не является членом “зоны доверия” (Trusted Zone) и предлагает добавить его для исключения возможных блокировок: Первое о чём сообщает модуль, это то, что IP-адрес, под которым мы зашли на IP-АТС не является членом "зоны доверия" (Trusted Zone) и предлагает добавить его для исключения возможных блокировок:
![asterisk_31](img/asterisk_31.png) ![asterisk_31](img/asterisk_31.png)
@ -190,7 +190,7 @@ noload => chan_oss.so
### SSL и FreePBX ### SSL и FreePBX
Сертификат SSL позволяет вашему FreePBX иметь уникальную цифровую подпись, с помощью которой, каждый раз при обращении к интерфейсу будет создаваться защищенное соединение между web сервером и клиентским устройством. SSL сертификат включает в себя информацию о его владельце и открытый ключ. Выдачей SSL сертификатов занимается специальный центр сертификации (`Certification authority`), честность которого априори неоспорима. Сертификат SSL позволяет вашему FreePBX иметь уникальную цифровую подпись, с помощью которой, каждый раз при обращении к интерфейсу будет создаваться защищенное соединение между web - сервером и клиентским устройством. SSL сертификат включает в себя информацию о его владельце и открытый ключ. Выдачей SSL сертификатов занимается специальный центр сертификации (`Certification authority`), честность которого априори неоспорима.
Помимо этого, сертификат позволяет совершать звонки по защищенному транспортному протоколу TLS и шифровать голосовые потоки через SRTP. Помимо этого, сертификат позволяет совершать звонки по защищенному транспортному протоколу TLS и шифровать голосовые потоки через SRTP.
@ -244,7 +244,7 @@ ZXhhbXBsZS5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQDKvJYr==
### Бесплатный сертификат Lets Encrypt ### Бесплатный сертификат Lets Encrypt
Интерфейс FreePBX имеет встроенную возможность настройки бесплатного SSL сертификата с помощью сертификационного центра `Lets Encrypt`. Чтобы воспользоваться бесплатным сертификатом, у вашего сервера должно быть настроено доменное имя, и его оно должно резолвиться по его IPадресу. Интерфейс FreePBX имеет встроенную возможность настройки бесплатного SSL сертификата с помощью сертификационного центра `Lets Encrypt`. Чтобы воспользоваться бесплатным сертификатом, у вашего сервера должно быть настроено доменное имя, и его оно должно резолвиться по его IP-адресу.
Помимо этого, следующие хосты должны быть добавлены в разрешенные в настройках фаервола: Помимо этого, следующие хосты должны быть добавлены в разрешенные в настройках фаервола:
@ -345,7 +345,7 @@ PermitRootLogin no
### Где слушать ### Где слушать
По умолчанию SSH слушает подключения на всех доступных интерфейсах. Мы рекомендуем сменить порт по умолчанию и указать IPадрес, на котором необходимо ожидать подключения. Например, мы укажем порт `962` и IPадрес `192.168.11.24`: По умолчанию SSH слушает подключения на всех доступных интерфейсах. Мы рекомендуем сменить порт по умолчанию и указать IP-адрес, на котором необходимо ожидать подключения. Например, мы укажем порт `962` и IP-адрес `192.168.11.24`:
```sh ```sh
Port 962 Port 962
@ -363,7 +363,7 @@ PermitEmptyPasswords no
### Анализируйте логи ### Анализируйте логи
Установите логирование событий в режим `INFO` ​или `DEBUG` это позволит иметь расширенный контроль над системой: Установите логирование событий в режим `INFO` ​или `DEBUG` - это позволит иметь расширенный контроль над системой:
```sh ```sh
LogLevel INFO LogLevel INFO