Синтаксические исправления asterisk
This commit is contained in:
parent
5acde57649
commit
33fc83b8d6
|
@ -4,11 +4,11 @@
|
||||||
|
|
||||||
О том, как защитить IP-АТС от несанкционированного доступа и дадим несколько простых советов, следуя которым, можно существенно повысить безопасность вашей телефонной станции. Примеры, которые будут приведены в данном разделе, относятся к IP-АТС на базе Asterisk, однако многие из них распространяются на все без исключения VoIP-АТС.
|
О том, как защитить IP-АТС от несанкционированного доступа и дадим несколько простых советов, следуя которым, можно существенно повысить безопасность вашей телефонной станции. Примеры, которые будут приведены в данном разделе, относятся к IP-АТС на базе Asterisk, однако многие из них распространяются на все без исключения VoIP-АТС.
|
||||||
|
|
||||||
Для начала, давайте разберемся, чем же грозят “дыры” в безопасности и какие последствия грозят бизнесу, если злоумышленник получит доступ к IP-АТС.
|
Для начала, давайте разберемся, чем же грозят "дыры" в безопасности и какие последствия грозят бизнесу, если злоумышленник получит доступ к IP-АТС.
|
||||||
|
|
||||||
## Угроза взлома
|
## Угроза взлома
|
||||||
|
|
||||||
В отличие от взлома персонального компьютера или почты, взлом АТС – это бесплатные для взломщика звонки, за которые придется заплатить владельцу АТС. Известно немало случаев, когда хакеры тратили колоссальные суммы, проведя на взломанной АТС всего несколько часов.
|
В отличие от взлома персонального компьютера или почты, взлом АТС - это бесплатные для взломщика звонки, за которые придется заплатить владельцу АТС. Известно немало случаев, когда хакеры тратили колоссальные суммы, проведя на взломанной АТС всего несколько часов.
|
||||||
|
|
||||||
Как правило, целями злоумышленников становятся IP-АТС, которые доступны из публичной сети. Используя различные SIP-сканнеры и исследуя системные уязвимости, они выбирают места для атаки. Дефолтные (default) пароли, открытые SIP-порты, неправильно управляемый firewall или его отсутствие - всё это может стать причиной несанкционированного доступа.
|
Как правило, целями злоумышленников становятся IP-АТС, которые доступны из публичной сети. Используя различные SIP-сканнеры и исследуя системные уязвимости, они выбирают места для атаки. Дефолтные (default) пароли, открытые SIP-порты, неправильно управляемый firewall или его отсутствие - всё это может стать причиной несанкционированного доступа.
|
||||||
|
|
||||||
|
@ -16,10 +16,10 @@
|
||||||
|
|
||||||
## Простые шаги к повышению безопасности
|
## Простые шаги к повышению безопасности
|
||||||
|
|
||||||
1. Первое правило, которое необходимо соблюдать – это не афишировать адрес своей IP-АТС и следить за тем, чтобы доступ к сети имели только авторизованные пользователи. Разумеется, это правило распространяется и на физический доступ к серверу, на котором установлена IP-АТС.
|
1. Первое правило, которое необходимо соблюдать - это не афишировать адрес своей IP-АТС и следить за тем, чтобы доступ к сети имели только авторизованные пользователи. Разумеется, это правило распространяется и на физический доступ к серверу, на котором установлена IP-АТС.
|
||||||
2. Второе и самое очевидное – не использовать дефолтные (default) пароли, которые будет легко подобрать или угадать – “1234”, “admin”, “password”, название компании и так далее.
|
2. Второе и самое очевидное - не использовать дефолтные (default) пароли, которые будет легко подобрать или угадать - "1234", "admin", "password", название компании и так далее.
|
||||||
|
|
||||||
Одной из самых распространённых ошибок, является создание внутренних номеров (Extension), у которых и номер и пароль совпадают. Вsip.confэто выглядит примерно так `sip.conf`:
|
Одной из самых распространённых ошибок, является создание внутренних номеров (`Extension`), у которых и номер и пароль совпадают. В `sip.conf` это выглядит примерно так:
|
||||||
|
|
||||||
```sh
|
```sh
|
||||||
[101]
|
[101]
|
||||||
|
@ -46,7 +46,7 @@ noload => chan_oss.so
|
||||||
```
|
```
|
||||||
|
|
||||||
7. Чтобы усложнить работу всевозможным SIP-сканерам, необходимо в настройках `sip.conf` выставить следующее условие - `alwaysauthreject=yes`. Это будет препятствовать получению информации об использующихся внутренних номерах на вашей IP-АТС.
|
7. Чтобы усложнить работу всевозможным SIP-сканерам, необходимо в настройках `sip.conf` выставить следующее условие - `alwaysauthreject=yes`. Это будет препятствовать получению информации об использующихся внутренних номерах на вашей IP-АТС.
|
||||||
8. Рекомендуем создавать отдельные маршруты на звонки за рубеж (по сути, международное направление 810). Ставьте ограничения на звонки в таких маршрутах или закрывайте их PIN – кодом, который могут знать только сотрудники вашей организации.
|
8. Рекомендуем создавать отдельные маршруты на звонки за рубеж (по сути, международное направление 810). Ставьте ограничения на звонки в таких маршрутах или закрывайте их PIN - кодом, который могут знать только сотрудники вашей организации.
|
||||||
|
|
||||||
## Какие порты открыть для Asterisk/FreePBX
|
## Какие порты открыть для Asterisk/FreePBX
|
||||||
|
|
||||||
|
@ -88,9 +88,9 @@ noload => chan_oss.so
|
||||||
|
|
||||||
## FreePBX - обнаружение слабых паролей
|
## FreePBX - обнаружение слабых паролей
|
||||||
|
|
||||||
Как известно, сильный пароль – это очень важная составляющая безопасности любого актива, к которому, тем или иным образом можно получить доступ. Не даром все *best practices* начинаются с рекомендаций устанавливать сильный, устойчивый к взлому пароль. В данном разделе мы будем говорить о прописных истинах, поэтому её можно считать скорее «дружеским советом» для тех, кто только начинает своё знакомство с FreePBX.
|
Как известно, сильный пароль - это очень важная составляющая безопасности любого актива, к которому, тем или иным образом можно получить доступ. Не даром все *best practices* начинаются с рекомендаций устанавливать сильный, устойчивый к взлому пароль. В данном разделе мы будем говорить о прописных истинах, поэтому её можно считать скорее «дружеским советом» для тех, кто только начинает своё знакомство с FreePBX.
|
||||||
|
|
||||||
Слабый пароль, неважно где – это большой риск, который нельзя оставлять без внимания и следует немедленно устранить.
|
Слабый пароль, неважно где - это большой риск, который нельзя оставлять без внимания и следует немедленно устранить.
|
||||||
|
|
||||||
### Обзор
|
### Обзор
|
||||||
|
|
||||||
|
@ -118,11 +118,11 @@ noload => chan_oss.so
|
||||||
|
|
||||||
![asterisk_29](img/asterisk_29.png)
|
![asterisk_29](img/asterisk_29.png)
|
||||||
|
|
||||||
Как только Вы настроите внутреннюю нумерацию, линии к провайдерам (транки), пользовательский доступ, не поленитесь, зайдите лишний раз в модуль `Weak Password Detectionи` если там будет уведомление о слабом пароле в системе – незамедлительно смените его! Но помните, что сильный пароль – это не гарантия безопасности, это всего лишь один из уровней, который должен применяться в комплексе с остальными мероприятиями по защите системы.
|
Как только Вы настроите внутреннюю нумерацию, линии к провайдерам (транки), пользовательский доступ, не поленитесь, зайдите лишний раз в модуль `Weak Password Detectionи` если там будет уведомление о слабом пароле в системе - незамедлительно смените его! Но помните, что сильный пароль - это не гарантия безопасности, это всего лишь один из уровней, который должен применяться в комплексе с остальными мероприятиями по защите системы.
|
||||||
|
|
||||||
## Конфигурация Firewall в FreePBX
|
## Конфигурация Firewall в FreePBX
|
||||||
|
|
||||||
Рассмотрим модуль, который стал доступен во FreePBX только с версии 13 и который позволяет создать первичную низкоуровневую защиту нашей IP-АТС - Firewall. Нужно отметить, что попытки создать нечто подобное на ранних версиях FreePBX всё-таки были, но все они не увенчались успехом и заставляли пользователей так или иначе идти на компромиссы для сохранения доступности функционала IP-АТС. Модуль Firewall был разработан с глубоким пониманием существующих проблем и его основной целью является защита “средней”, или другими словами, типовой инсталляции при обязательном сохранении VoIP сервисов.
|
Рассмотрим модуль, который стал доступен во FreePBX только с версии 13 и который позволяет создать первичную низкоуровневую защиту нашей IP-АТС - Firewall. Нужно отметить, что попытки создать нечто подобное на ранних версиях FreePBX всё-таки были, но все они не увенчались успехом и заставляли пользователей так или иначе идти на компромиссы для сохранения доступности функционала IP-АТС. Модуль Firewall был разработан с глубоким пониманием существующих проблем и его основной целью является защита "средней", или другими словами, типовой инсталляции при обязательном сохранении VoIP сервисов.
|
||||||
|
|
||||||
Данный модуль отслеживает и блокирует атаки, пропуская при этом разрешенный трафик, а также непрерывно контролирует конфигурацию системы, автоматически открывая и закрывая порты для необходимых транков.
|
Данный модуль отслеживает и блокирует атаки, пропуская при этом разрешенный трафик, а также непрерывно контролирует конфигурацию системы, автоматически открывая и закрывая порты для необходимых транков.
|
||||||
|
|
||||||
|
@ -134,7 +134,7 @@ noload => chan_oss.so
|
||||||
|
|
||||||
Чтобы включить модуль, нажмите кнопку `Enable Firewall`. Обратите внимание, после включения модуля никакие правила еще не задействованы, их нужно настроить.
|
Чтобы включить модуль, нажмите кнопку `Enable Firewall`. Обратите внимание, после включения модуля никакие правила еще не задействованы, их нужно настроить.
|
||||||
|
|
||||||
Первое о чём сообщает модуль, это то, что IP-адрес, под которым мы зашли на IP-АТС не является членом “зоны доверия” (Trusted Zone) и предлагает добавить его для исключения возможных блокировок:
|
Первое о чём сообщает модуль, это то, что IP-адрес, под которым мы зашли на IP-АТС не является членом "зоны доверия" (Trusted Zone) и предлагает добавить его для исключения возможных блокировок:
|
||||||
|
|
||||||
![asterisk_31](img/asterisk_31.png)
|
![asterisk_31](img/asterisk_31.png)
|
||||||
|
|
||||||
|
@ -190,7 +190,7 @@ noload => chan_oss.so
|
||||||
|
|
||||||
### SSL и FreePBX
|
### SSL и FreePBX
|
||||||
|
|
||||||
Сертификат SSL позволяет вашему FreePBX иметь уникальную цифровую подпись, с помощью которой, каждый раз при обращении к интерфейсу будет создаваться защищенное соединение между web – сервером и клиентским устройством. SSL сертификат включает в себя информацию о его владельце и открытый ключ. Выдачей SSL сертификатов занимается специальный центр сертификации (`Certification authority`), честность которого априори неоспорима.
|
Сертификат SSL позволяет вашему FreePBX иметь уникальную цифровую подпись, с помощью которой, каждый раз при обращении к интерфейсу будет создаваться защищенное соединение между web - сервером и клиентским устройством. SSL сертификат включает в себя информацию о его владельце и открытый ключ. Выдачей SSL сертификатов занимается специальный центр сертификации (`Certification authority`), честность которого априори неоспорима.
|
||||||
|
|
||||||
Помимо этого, сертификат позволяет совершать звонки по защищенному транспортному протоколу TLS и шифровать голосовые потоки через SRTP.
|
Помимо этого, сертификат позволяет совершать звонки по защищенному транспортному протоколу TLS и шифровать голосовые потоки через SRTP.
|
||||||
|
|
||||||
|
@ -244,7 +244,7 @@ ZXhhbXBsZS5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQDKvJYr==
|
||||||
|
|
||||||
### Бесплатный сертификат Let’s Encrypt
|
### Бесплатный сертификат Let’s Encrypt
|
||||||
|
|
||||||
Интерфейс FreePBX имеет встроенную возможность настройки бесплатного SSL сертификата с помощью сертификационного центра `Let’s Encrypt`. Чтобы воспользоваться бесплатным сертификатом, у вашего сервера должно быть настроено доменное имя, и его оно должно резолвиться по его IP–адресу.
|
Интерфейс FreePBX имеет встроенную возможность настройки бесплатного SSL сертификата с помощью сертификационного центра `Let’s Encrypt`. Чтобы воспользоваться бесплатным сертификатом, у вашего сервера должно быть настроено доменное имя, и его оно должно резолвиться по его IP-адресу.
|
||||||
|
|
||||||
Помимо этого, следующие хосты должны быть добавлены в разрешенные в настройках фаервола:
|
Помимо этого, следующие хосты должны быть добавлены в разрешенные в настройках фаервола:
|
||||||
|
|
||||||
|
@ -345,7 +345,7 @@ PermitRootLogin no
|
||||||
|
|
||||||
### Где слушать
|
### Где слушать
|
||||||
|
|
||||||
По умолчанию SSH слушает подключения на всех доступных интерфейсах. Мы рекомендуем сменить порт по умолчанию и указать IP–адрес, на котором необходимо ожидать подключения. Например, мы укажем порт `962` и IP–адрес `192.168.11.24`:
|
По умолчанию SSH слушает подключения на всех доступных интерфейсах. Мы рекомендуем сменить порт по умолчанию и указать IP-адрес, на котором необходимо ожидать подключения. Например, мы укажем порт `962` и IP-адрес `192.168.11.24`:
|
||||||
|
|
||||||
```sh
|
```sh
|
||||||
Port 962
|
Port 962
|
||||||
|
@ -363,7 +363,7 @@ PermitEmptyPasswords no
|
||||||
|
|
||||||
### Анализируйте логи
|
### Анализируйте логи
|
||||||
|
|
||||||
Установите логирование событий в режим `INFO` или `DEBUG` – это позволит иметь расширенный контроль над системой:
|
Установите логирование событий в режим `INFO` или `DEBUG` - это позволит иметь расширенный контроль над системой:
|
||||||
|
|
||||||
```sh
|
```sh
|
||||||
LogLevel INFO
|
LogLevel INFO
|
||||||
|
|
Loading…
Reference in New Issue