Безопасность Asterisk
Re: Безопасность Asterisk
И я боюсь!
-
Nasturciya
- Сообщения: 54
- Зарегистрирован: 28 мар 2013, 12:18
Re: Безопасность Asterisk
Уважаемый ded! Спасибо, что указали на большущий промах с моей стороны касаемо порта, это я переписала. В данный момент машинка виртуальная, адрес выделят чуть позже.
Системного администратора пока не хотелось бы трогать.
PS. можно не бояться
Системного администратора пока не хотелось бы трогать.
PS. можно не бояться
Re: Безопасность Asterisk
Есть еще моменты, навскидку :
a) порт 80 открыт - это походу какая-то админка - тупой sniff собирает все пароли к ней с соответсвующими последствиями. Перейдите хоят бы на https, хотя если админка аля elastix/trixbox/freebpx - то можно даже не делать так как это все равно до спины
b) если h.323 (или что там висит) не используется, то 1720 лучше прикрыть
c) 22 порт требует минимальных настроек, которые в 99% дистрах не стоят по умолчанию: 1) не пускать с паролями 2) не пускать root'ом. Т.е. нужно заходить по DSA ключу, потом su с паролем.
d) астер сам по себе дырявый как его не защищай - это неустранимое и тяжелое наследие бестолкового управления digium комьюнити пишущей на С. Если была задача заморочится безопасностью, то имело бы смысл поставить перед ним какой-нить proxy (kamailio/opensips)
e) обычно включают защиту от tcp syn/flood аттак в iptables, то же относится к IP spoofing (параметр rp_filter=1)
a) порт 80 открыт - это походу какая-то админка - тупой sniff собирает все пароли к ней с соответсвующими последствиями. Перейдите хоят бы на https, хотя если админка аля elastix/trixbox/freebpx - то можно даже не делать так как это все равно до спины
b) если h.323 (или что там висит) не используется, то 1720 лучше прикрыть
c) 22 порт требует минимальных настроек, которые в 99% дистрах не стоят по умолчанию: 1) не пускать с паролями 2) не пускать root'ом. Т.е. нужно заходить по DSA ключу, потом su с паролем.
d) астер сам по себе дырявый как его не защищай - это неустранимое и тяжелое наследие бестолкового управления digium комьюнити пишущей на С. Если была задача заморочится безопасностью, то имело бы смысл поставить перед ним какой-нить proxy (kamailio/opensips)
e) обычно включают защиту от tcp syn/flood аттак в iptables, то же относится к IP spoofing (параметр rp_filter=1)
-
Nasturciya
- Сообщения: 54
- Зарегистрирован: 28 мар 2013, 12:18
Re: Безопасность Asterisk
Благодарю!
1) используется freepbx(
2) как раз таки h323 и пользуется..с avaya подключение
Все остальное.. буду стараться максимально его подзакрыть. и с белыми-черными списками подзаморочусь.
1) используется freepbx(
2) как раз таки h323 и пользуется..с avaya подключение
Все остальное.. буду стараться максимально его подзакрыть. и с белыми-черными списками подзаморочусь.
Re: Безопасность Asterisk
Видимо, он кофе варит? Вам бы поменяться....Nasturciya писал(а):Системного администратора пока не хотелось бы трогать.
Re: Безопасность Asterisk
22 порт сместить с дефолтного в какой-нибудь аля 43022, чтоб security лог не пачкали.
Re: Безопасность Asterisk
Vlad1983 писал(а):Код: Выделить всё
iptables -I INPUT -p udp -m udp --dport 10000:20000 -j ACCEPT
ходят слухи, что можно обойтись nf_conntrack_sip, сам, правда, не проверял.
Re: Безопасность Asterisk
А откуда я знаю, какой адрес мне выдаст wifi spot, например в отеле где-нибудь в Турции.Out писал(а):Смысл переносить порты? Может access list написать нормально, чтобы с левых адресов не то что не коннектились, но и не видели этот IP, не только порт 22.
Re: Безопасность Asterisk
Какой в пень сертификат.
Изначатьно: Отпуск, солнце, пивчело.
Эксепшн: Звонок, жопа, помаги,спасай.
Я не нашу татуировку с приватным ключем для ssh
Изначатьно: Отпуск, солнце, пивчело.
Эксепшн: Звонок, жопа, помаги,спасай.
Я не нашу татуировку с приватным ключем для ssh
