Безопасность Asterisk

Nasturciya · Сообщение **Nasturciya** » 17 апр 2013, 10:57

Добрый день!

После настройки соединения Asterisk-Avaya возникла необходимость в организации безопасности. Внутренние настройки * уже сделаны, fail2ban установлен, но вот с пакетом iptables возникли несколько вопросов.

1. при включении iptables соединение не происходит, если посмотреть
# iptables -L -nvx --line-numbers
то видим следующее

Код: Выделить всё

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num      pkts      bytes target     prot opt in     out     source               destination
1       14662  1509594 fail2ban-ASTERISK  all  --  *      *       0.0.0.0/0            0.0.0.0/0
2        1129    81800 fail2ban-SSH  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22
3       14766  1520607 RH-Firewall-1-INPUT  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num      pkts      bytes target     prot opt in     out     source               destination
1           0        0 RH-Firewall-1-INPUT  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT 1283 packets, 335718 bytes)
num      pkts      bytes target     prot opt in     out     source               destination

Chain RH-Firewall-1-INPUT (2 references)
num      pkts      bytes target     prot opt in     out     source               destination
1           6      300 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
2           0        0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 255
3           0        0 ACCEPT     esp  --  *      *       0.0.0.0/0            0.0.0.0/0
4           0        0 ACCEPT     ah   --  *      *       0.0.0.0/0            0.0.0.0/0
5         686   122846 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:631
6        1150    83056 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22
7          17     3374 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
8           0        0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
9       12907  1311031 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

Chain fail2ban-ASTERISK (1 references)
num      pkts      bytes target     prot opt in     out     source               destination
1       14662  1509594 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain fail2ban-SSH (1 references)
num      pkts      bytes target     prot opt in     out     source               destination
1        1129    81800 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0

Но, если зайти в /etc/sysconfig/iptables никаких правил для asterisk нет (или возможно, я не там смотрю)
Каким образом, вообще, происходит настройка правил iptables? Необходимо ли очищать дефолтные таблички изначально?
как я понимаю, то необходимо прописать следующее (в правильном ключе мысль идет?):

Код: Выделить всё

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 1720 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 5060 -j ACCEPT
iptables -A INPUT -j REJECT --reject-with icmp-host-prohibited

Vlad1983 · Сообщение **Vlad1983** » 17 апр 2013, 11:01

https://ru.wikibooks.org/wiki/Iptables

awsswa · Сообщение **awsswa** » 17 апр 2013, 11:01

вводите те настройки что вы привели в командной строке
потом проверяете их наличие
iptable -L -vn
потом делаете запись
service iptables save

зы и 5060 точно TCP ?

Nasturciya · Сообщение **Nasturciya** » 17 апр 2013, 11:34

Код: Выделить всё

[root@asterisk sysconfig]# iptables -L -vn
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
69784 7292K fail2ban-ASTERISK  all  --  *      *       0.0.0.0/0            0.0.0.0/0
 2707  203K fail2ban-SSH  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22
69888 7303K RH-Firewall-1-INPUT  all  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     all  --  eth0   *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:1720
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:5060
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 RH-Firewall-1-INPUT  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT 3682 packets, 678K bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain RH-Firewall-1-INPUT (2 references)
 pkts bytes target     prot opt in     out     source               destination
    8   400 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
   10   904 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 255
    0     0 ACCEPT     esp  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     ah   --  *      *       0.0.0.0/0            0.0.0.0/0
 3398  609K ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:631
 2728  204K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22
   19  3668 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
63725 6485K REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

Chain fail2ban-ASTERISK (1 references)
 pkts bytes target     prot opt in     out     source               destination
69784 7292K RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain fail2ban-SSH (1 references)
 pkts bytes target     prot opt in     out     source               destination
 2707  203K RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0

все применились правила, но канал не работает
Получается, что правила применяются к RH-Firewall, а к fail2ban применяется действие return

Vlad1983 · Сообщение **Vlad1983** » 17 апр 2013, 11:43

Код: Выделить всё

iptables -I INPUT -p udp -m udp --dport 10000:20000 -j ACCEPT

Nasturciya · Сообщение **Nasturciya** » 17 апр 2013, 11:49

Большое спасибо! Совсем забыла про это правило!
Исходящие со * пошли)

Nasturciya · Сообщение **Nasturciya** » 17 апр 2013, 11:59

Все, проблема со звонками решена, просто необходимо было дописать само назначение.
Вопрос в следующем, с такими правилами защитила ли я свой канал от нежелательных пользователей?

Код: Выделить всё

Table: filter
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination
1    fail2ban-ASTERISK  all  --  0.0.0.0/0            0.0.0.0/0
2    fail2ban-SSH  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22
3    ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpts:10000:20000
4    fail2ban-ASTERISK  all  --  0.0.0.0/0            0.0.0.0/0
5    fail2ban-SSH  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22
6    RH-Firewall-1-INPUT  all  --  0.0.0.0/0            0.0.0.0/0
7    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
8    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
9    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
10   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22
11   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80
12   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:1720
13   ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:5060
14   REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination
1    RH-Firewall-1-INPUT  all  --  0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination
1    ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpts:10000:20000

Chain RH-Firewall-1-INPUT (2 references)
num  target     prot opt source               destination
1    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
2    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 255
3    ACCEPT     esp  --  0.0.0.0/0            0.0.0.0/0
4    ACCEPT     ah   --  0.0.0.0/0            0.0.0.0/0
5    ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:631
6    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22
7    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
8    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
9    REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

Chain fail2ban-ASTERISK (2 references)
num  target     prot opt source               destination
1    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80
2    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22
3    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:1720
4    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpts:10000:20000
5    RETURN     all  --  0.0.0.0/0            0.0.0.0/0
6    RETURN     all  --  0.0.0.0/0            0.0.0.0/0

mik-mak · Сообщение **mik-mak** » 17 апр 2013, 12:01

Nasturciya писал(а):..как я понимаю, то необходимо прописать следующее (в правильном ключе мысль идет?):
Код: Выделить всё
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 1720 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 5060 -j ACCEPT
iptables -A INPUT -j REJECT --reject-with icmp-host-prohibited

Нужно еще rtp порты пропустить, те, что в файле /etc/asterisk/rtp.conf написаны..

ЗЫ.. Упс, уже сделано.. Пардоньте

)

ded · Сообщение **ded** » 17 апр 2013, 12:03

Если машина на реальном ИП адресе, и порт 5060 открыт для 0.0.0.0/0
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:5060
то какая же это защита? Дайте свой ИП адрес, и хакеры вам будут пытаться пихать SIP вызовы массовым образом, никакой fail-2-ban не поможет. Да и сканеры сами 5060 найдут.
Есть представление о том что такое "white list"?
Лучше бы это делал ваш системный администратор.

Vlad1983 · Сообщение **Vlad1983** » 17 апр 2013, 12:29

боюсь что Nasturciya и есть системный администратор

Безопасность Asterisk

Безопасность Asterisk

Re: Безопасность Asterisk

Re: Безопасность Asterisk

Re: Безопасность Asterisk

Re: Безопасность Asterisk

Re: Безопасность Asterisk

Re: Безопасность Asterisk

Re: Безопасность Asterisk

Re: Безопасность Asterisk

Re: Безопасность Asterisk