Страница 2 из 3
Re: Безопасность Asterisk
Добавлено: 17 апр 2013, 12:48
ded
И я боюсь!
Re: Безопасность Asterisk
Добавлено: 17 апр 2013, 12:54
Nasturciya
Уважаемый ded! Спасибо, что указали на большущий промах с моей стороны касаемо порта, это я переписала. В данный момент машинка виртуальная, адрес выделят чуть позже.
Системного администратора пока не хотелось бы трогать.
PS. можно не бояться
Re: Безопасность Asterisk
Добавлено: 17 апр 2013, 13:06
Sfinx
Есть еще моменты, навскидку :
a) порт 80 открыт - это походу какая-то админка - тупой sniff собирает все пароли к ней с соответсвующими последствиями. Перейдите хоят бы на https, хотя если админка аля elastix/trixbox/freebpx - то можно даже не делать так как это все равно до спины
b) если h.323 (или что там висит) не используется, то 1720 лучше прикрыть
c) 22 порт требует минимальных настроек, которые в 99% дистрах не стоят по умолчанию: 1) не пускать с паролями 2) не пускать root'ом. Т.е. нужно заходить по DSA ключу, потом su с паролем.
d) астер сам по себе дырявый как его не защищай - это неустранимое и тяжелое наследие бестолкового управления digium комьюнити пишущей на С. Если была задача заморочится безопасностью, то имело бы смысл поставить перед ним какой-нить proxy (kamailio/opensips)
e) обычно включают защиту от tcp syn/flood аттак в iptables, то же относится к IP spoofing (параметр rp_filter=1)
Re: Безопасность Asterisk
Добавлено: 17 апр 2013, 13:12
Nasturciya
Благодарю!
1) используется freepbx(
2) как раз таки h323 и пользуется..с avaya подключение
Все остальное.. буду стараться максимально его подзакрыть. и с белыми-черными списками подзаморочусь.
Re: Безопасность Asterisk
Добавлено: 17 апр 2013, 13:41
ded
Nasturciya писал(а):Системного администратора пока не хотелось бы трогать.
Видимо, он кофе варит? Вам бы поменяться....
Re: Безопасность Asterisk
Добавлено: 17 апр 2013, 15:56
ys1797
22 порт сместить с дефолтного в какой-нибудь аля 43022, чтоб security лог не пачкали.
Re: Безопасность Asterisk
Добавлено: 18 апр 2013, 08:30
jugatsu
Vlad1983 писал(а):Код: Выделить всё
iptables -I INPUT -p udp -m udp --dport 10000:20000 -j ACCEPT
ходят слухи, что можно обойтись nf_conntrack_sip, сам, правда, не проверял.
Re: Безопасность Asterisk
Добавлено: 18 апр 2013, 10:07
Vlad1983
может быть и можно, но какой в этом смысл?
Re: Безопасность Asterisk
Добавлено: 18 апр 2013, 13:43
ys1797
Out писал(а):Смысл переносить порты? Может access list написать нормально, чтобы с левых адресов не то что не коннектились, но и не видели этот IP, не только порт 22.
А откуда я знаю, какой адрес мне выдаст wifi spot, например в отеле где-нибудь в Турции.
Re: Безопасность Asterisk
Добавлено: 18 апр 2013, 21:56
ys1797
Какой в пень сертификат.
Изначатьно: Отпуск, солнце, пивчело.
Эксепшн: Звонок, жопа, помаги,спасай.
Я не нашу татуировку с приватным ключем для ssh
