Asterisk 安全防護網

1.Firewall Port Mapping:

• 是否要在防火牆開啟埠號?如果不是則封鎖,如果是則放行.
• 一般會用的埠號為 IAX 協定的 4569 和 SIP 協定的 5060.
• 如果在 Asterisk 主機 bindport 的預設值 4569 或 5060 有改變,在防火牆開啟的埠號也要跟著改變.
   

2.Firewall Whitelist:

• 過濾上一層防火牆放行的對象是否在所允許的白名單之內?如果不是則封鎖,如果是則放行.
• 要先擬定所允許的白名單並列入IPtables規則.
• 白名單是指 Client 端與 Voip Service Provider 之固定 IP.
• 理論上來說,黑客應該到此就被止步了,經我自己實測已成功阻擋.
• PIAF 官方對於 Firewall Whitelist 在其論壇有提出做法,原先提出的 Firewall Blacklist 不再使用.

http://www.pbxinaflash.com/forum/sho...ead.php?t=8735
 

3.The SunshineNetworks Knock:

• 過濾上一層白名單放行的對象是否取得 The SunshineNetworks Knock 認證? 如果不是則封鎖,如果是則放行.
• 要先擬定 The SunshineNetworks Knock 所需認證並列入 IPtables 規則.
• The SunshineNetworks Knock 所需認證指的是在 Asterisk 分機 Display Name 的特殊設定值,詳如所附網址.
• 理論上來說,經白名單過濾後,黑客已被阻擋, The SunshineNetworks Knock 似無必要配置,但配置何妨,可多一分保障,況且它有別於白名單只適用於有固定 IP Client 端使用者時配置之缺點,它適用於有浮動 IP Client 端使用者時之配置,是 Firewall Whitelist 之最佳替代方案.
• 理論上來說,任何人包括白名單在內到此均須經 The SunshineNetworks Knock 認證,否則將被止步,經我自己實測已成功阻擋.

http://www.sunshinenetworks.com.au/h...rks-knock.html
 

4.Fail2ban:

• 過濾上一層 The SunshineNetworks Knock 放行的對象是否取得 Asterisk 主機認證,如果不是則封鎖,如果是則繼續放行.
• Asterisk 主機認證主要指的是分機號碼,密碼和允許的來源 IP.
• Fail2ban 會將超過所允許錯誤次數的來源 IP 封鎖(關入監獄).
• 在流程圖上沒有將 OSSEC 與 Fail2ban 並列的原因是經我測試後 Fail2ban 比較有效率,不會讓人失望,希望只是我的錯誤認知.

http://www.voip-info.org/wiki/view/F...9+And+Asterisk
 

5.Asterisk Server:

• Asterisk 主機本身的所有安全設定是否完備?如分機密碼強度,允許的來源IP等等.
• 有關 Asterisk 的安全設定,站長 alang 有很詳細的說明,請參閱 設置 Asterisk 的安全性 (security).