- parte prima
Dato che ci sono sempre piu' attacchi e tentativi di connessione abusiva ai centralini Voip che sono esposti su Internet, tentativi che in alcuni casi possono andare a buon fine con conseguenze economicamente sgradevoli, occorre porre la massima attenzione alla protezione e alla sicurezza del centralino e dei servizi da esso erogati.
Ecco qui di seguito le regole e le configurazioni per dormire sonni tranquilli e sereni
Nota: ovviamente trattero' in specifico della sicurezza del centralino Asterisk con pannello di controllo FreePBX come da mie guide, ma molte delle regole/configurazioni qui riportate vanno benissimo per Asterisk nudo e crudo e/o altri centralini voip.
1) Regole da adottare (vedere il paragrafo seguente per il dettaglio delle relative configurazioni):
- ovunque usare passwords complesse che contengano sia numeri, sia lettere maiuscole e minuscole (nota: non utilizzare il carattere @ perche' da problemi con FreePBX!)
- usare numeri interni con almeno tre cifre (es. 221), meglio se con quattro (es. 2352)
- ove possibile limitare l'accesso dei clients (numeri interni) legandoli a indirizzi IP statici e/o dns dinamici (es mioip.dyndns.org) o a classi di indirizzi di rete locale LAN (192.168.1.0/24).
- se non ci serve avere clients esterni alla nostra rete (es. smartphones o uffici remoti) non aprire nessuna porta sul router, il centralino funziona anche senza porte aperte, sono solo i clients esterni che devono avere le porte aperte per collegarsi.
- usare regole di firewall (iptables) direttamente sul centralino per bloccare le classi di indirizzi IP estere da cui provengono la maggior parte degli attacchi: Cina e paesi limitrofi, America Latina, Paesi Arabi, Palestina e Israele, Russia, Romania, Francia (provider OVH).
- usare regole di firewall (iptables) per bloccare direttamente sul centralino gli accessi alla porta SIP (5060 UDP) e consentire l'accesso solo a chi conosce determinati parametri (vedi paragrafo seguente).
- disabilitare l'accesso da internet al manager di Asterisk (solo accesso locale diretto sul server)
- disabilitare completamente il FOP di FreePBX (Flash Operator Panel)
- cambiare la porta di default per il pannello di controllo web di FreePBX (http tcp-80) o quando possibile, non esporlo del tutto su Internet
- cambiare la porta di default del servizio ssh (tcp-22) e impedire l'accesso al servizio all'utente root, se non serve avere un accesso remoto al centralino per eventuali manutenzioni da internet, disabilitare completamente il servizio ssh.
- separare le rotte in uscita per tipologia di chiamata, creando rotte con password per le chiamate piu' costose, ad esempio verso i cellulari (3.), la solita voce di asterisk ci chiedera' di inserire la password quando componiamo numeri che iniziano per 3.
- creare rotte di uscita fittizie, cioe' senza destinazione, per le numerazioni pericolose che vogliamo vietare, come quelle ai satellitari (0087. 0088.), quelle internazionali (00.), quelle a valore aggiunto (892. 899.) e cosi' via, se qualcuno comporra' un numero con prefisso vietato otterra' il segnale di occupato.
- disabilitare le chiamate SIP anonime in ingresso
- usare sempre il parametro "alwaysauthreject=yes" nel sip.conf
- controllare regolarmente il log di Asterisk dal pannello di controllo di FreePBX
Come vedete solo regole abbastanza semplici, non servono complicate VPN, Firewall esterni o altro per rendere un centralino sicuro, bastano queste qui elencate
Segue parte due ...
Rispondi quotando