Você está na página 1de 16

Elastix e Redes

Guia de Segurana
Primeira reviso - Janeiro de 2011

Bob Fryer

Elastix e Rede
Guia de Segurana
Autor
Organizao
Data
Reviso
Nvel
Data para Reviso
Refere-se a
Licena
Contribuintes

Bob Fryer
Azul Pacotes (ACT, Austrlia)
09/01/2011
1.0
Iniciante / Intermedirio / Avanado
30/03/2011 ou Elastix 2,04 Lanamento
Elastix 2.0 - e algumas verses anteriores
GNU / FDL

Introduo
Segurana um tema muito amplo e com razo. Trata-se de um tema muito subjectivo, bem como, e em certa
grau um assunto que nunca ter um fim definitivo. por isso que geralmente rejeitam qualquer livro
que pretende ser um guia definitivo para Segurana. Ele um ser vivo assunto constante, com melhorias,
mudanas, retraes e at mesmo mudanas de pensamento e direo a cada ano.

Tambm no h como assunto de segurana que mexe com as emoes, especialmente quando as declaraes
so
fez como todo mundo tem suas prprias opinies e idias.
A segurana tambm no vai ser corrigido por um dispositivo que corrige tudo. um conjunto de ferramentas, apoiada
por meio de procedimentos e, finalmente, apoiada pela reviso e acompanhamento diligente.
A segurana apenas to bom quanto o elo mais fraco da cadeia, por isso que este guia abrange rede como
bem, mas no importa o quo bem voc seguir este guia, implementar as suas medidas, siga os procedimentos, ele
sempre vai ser desfeito por algo muito bsico, algo que voc nunca considerado um
emisso ou um elo na cadeia de segurana.

Este documento no um guia definitivo sobre Segurana. Eu no vou nem prometer-lhe que, seguindo esta
orientar que o seu sistema Elastix no ser cortado. Somente voc pode continuar a trabalhar do lado de c
coisas, aprender mais sobre a segurana, a implementao de novas medidas, como voc se sente necessrio.
Da mesma forma, a segurana o quanto voc quer faz-lo. Voc pode ser capaz de proteger o seu sistema para cobrir
70% do seu sistema utilizando ferramentas / produtos que voc tem e no mais de hardware, voc pode ser capaz de
cobrir 95% do seu sistema com algumas centenas de dlares, mas para chegar a esse 99% +, poderia custar-lhe
milhares de dlares, e voc ainda pode ter que 1% de chance de que algum fica completamente.

Este guia ir fornecer-lhe uma introduo sobre ferramentas e tcnicas que voc pode implementar para cobrir
que 70% a 95%. Este guia ir descrever algumas das tcnicas mais comuns que esses intrusos usam
bem como dicas e truques para diminuir a possibilidade de um intruso far uma intruso bem sucedida no
seu sistema.

Ao implementar a segurana Eu pessoalmente trabalho com base em quatro camadas, que geralmente vm
at o bsico

Firewall
A maioria das pessoas sabe o que quero dizer aqui, ea medida de segurana primeiro precisa existir no
permetro de sua rede. Eu no tenho nenhum problema com ele existentes em seu sistema Elastix,
especialmente
como IPTables Linux corretamente implementado provavelmente considerado como um dos melhores
firewall
implementaes, na verdade, muitos produtos appliance de firewall, tanto comerciais e Open
Fonte baseiam-se em um Kernel Linux com o iptables. No entanto, como regra geral, sempre melhor
se o firewall principal separado do produto que voc est protegendo. J a pensar nisso,
no iria preferir que voc tem uma certa distncia sobre o produto que algum est tentando
corte (neste caso, o firewall) e o produto que voc est protegendo. Ele acrescenta que a camada extra.

Autenticao
Muito simples, mas muitas vezes muito pouco pensamento vai para ele. O nmero de sistemas que eu vejo
em lugar
onde o implementador usou senhas simples, em muitos casos, a senha a
mesmo que o nmero de extenso. O uso de uma senha numrica tambm to ruim. Ele
No demorou muito para um "script kiddie" para executar um "adivinho senha" em seu sistema,
especialmente onde a senha todos os nmeros.

Autenticao tambm vem para baixo a criptografia da senha, se for possvel.


Ofuscao
Big prazo para quase nada, mas descreve bem o que estamos tentando fazer. Basicamente, isso significa
"De fazer as coisas no clara".

Isto tem uma aplicao muito bem sucedido no mundo da segurana. Por que deixar claro para possvel
intrusos, dando-lhes um roteiro. Se um possvel intruso encontra tudo colocado para fora antes
eles, eles vo us-lo, e o mesmo que esses "Script Kiddies", eles esperam que tudo
ser como eles esperavam, razo pela qual esses scripts ter sucesso razovel.

Alterar o sistema de padres no vai parar os bons ataques de intruso, mas vai
definitivamente tornar mais difcil para todos os outros para atacar seu sistema. A menos que tenham uma
investida
interesse no alvo pretendido, eles normalmente se afastam de seu sistema e procurar
um alvo mais fcil, especialmente se o sistema um script automatizado.
Monitoramento
No Firewall 100% infalvel, nenhuma rede 100% esttico (no alterado), e os atacantes so
tentando novas medidas todos os dias. Voc no pode configurar um firewall e esquecer. Monitoramento
constante
do seu Firewall ou Intrusion registros necessrio.

Neste guia, voc vai descobrir que muitas das tcnicas e idias implementar estes ou todos juntos
ou atravs de uma variedade de implementaes.
Como eu mencionei antes, apenas implementar essas idias no vai, de repente, tornar as coisas seguras. Ele
tambm um caso de monitorar seu sistema em uma base regular, investigando o que voc v. Muitos
sistemas que so "cortado" em geral no so monitorizadas, e se tinham monitorizado numa constante
base, eles teriam pego o problema antes que ele se mudou para um ataque desenvolvido.

Script Kiddies (Refiro-me a eles como Kiddie Scripts)


Nome bobo - na verdade o nome desmente a possibilidade caro do que pode ocorrer no sistema.
Geralmente so hackers wannabe, mas estende-se muito mais do que isso. Muitas vezes a sua
informao de que o ganho distribudo em torno de seus grupos, s vezes usando o canal de IRC,
para que outros possam usar as informaes ou us-lo para ganhar ainda mais o acesso ao seu sistema.
Mas esses scripts so geralmente de natureza genrica, correndo ao longo de centenas de sistemas que
procuram
por um caminho dentro

Segurana - A big beat up?

Voc pode estar se perguntando se isso tudo uma grande batida para cima, no vale a pena o tempo. Voc pode ter
problemas
saber se esses scripts e hacks so reais. D uma olhada neste vdeo
http://enablesecurity.com/products/enablesecurity-voippack-sipautohack-demo/ .
Esta uma ferramenta grfica que eles esto usando, mas mostra claramente como essas ferramentas so simples ea
rapidez com que
pode determinar uma configurao de senha simples.
Agora voc provavelmente est pensando, bem, eu posso rastrear o endereo que veio e process-los
e receber meu dinheiro de volta.
Enquanto ns estamos olhando para uma ferramenta GUI no vdeo a partir de uma empresa que fabrica ferramentas
que voc pode usar para
proteger o seu sistema, o resto do mundo hacker escreveu suas prprias ferramentas. Estas ferramentas so mais
rpidos
e, provavelmente, ainda mais astuto do que o que esta empresa tem escrito, que incluem a palavra aleatria
geradores, geradores de nmeros, utilizando padres comuns, e incluir a procura por exploits conhecidos.
Esses caras so mesmo mais esperto do que isso, eles no executar essas ferramentas a partir de seus prprios
sistemas, eles usam
outros sistemas cortado para realizar os exames, por outras palavras, eles descobriram os sistemas que so menos
garantir que o seu, implementada seu kit de ferramentas de Hacking nele e deix-lo correr. O mesmo quando usam
suas contas para fazer chamadas, eles usam outros sistemas para encaminhar as chamadas atravs de seu sistema.
Voc pode estar pensando que eles no podem fazer que muitas chamadas no seu sistema, mas o que realmente
ocorrendo que eles esto vendendo as suas chamadas (basicamente conhecido como Toll Fraud). Isto pode ser feito
ligando
cartes que as pessoas legitimamente comprar (em particular em pases que no so eficazes para remover esta
tipo de problema), e quando tocar o nmero especial antes de fazer uma chamada, ele est tocando uma hackeada
VoIP PBX que pode se conectar a at 40 outros sistemas PBX hackeados, e tenta cada um at que ele tem
um tronco que funciona (por exemplo, um ou dois podem j no estar disponvel como seus donos tinham encontrado
atacou). Para o chamado cliente de carto, eles simplesmente notar uma demora mais tempo do que o normal, o que
no raro com chamadas internacionais.

Ainda no acredito que os sistemas Elastix esto no radar, olhe para a lista de recursos no VoIPPack neste
pgina http://enablesecurity.com/products/voippack/
Apontar isto no para levar propositadamente um furto em Ativar Segurana, eles s produzir produtos que
permitem que voc como proprietrio de um sistema para verificar o quo bom a sua segurana. No entanto, mostra
que este um
ameaa real.
Apenas para o registro, eu tenho nenhuma associao com Habilitao Segurana ou suas afiliadas, nem eu possuo
nenhum dos
seus produtos. Eu us-los como um exemplo, como eles tm um vdeo muito bom sobre a forma como este tipo de
ataques
pode ocorrer.

Os princpios

Antes de continuar a progredir ... permite cobrir alguns erros bsicos que muitos usurios fazem (eu tenho
fizeram tambm). Estes so os itens que podem melhorar imediatamente a segurana de seu sistema, e
devem ser os primeiros itens que enfrentar.
Senhas ou segredos
Senhas ou segredos, como so chamados no mundo VoIP, uma das maiores melhorias voc
pode fazer. Um dos maiores problemas que muitos usurios fazem colocar senhas simples no
sistema, enquanto eles esto testando, mas o sistema acaba passando de testes para a produo sem a
reviso de segurana. , em parte, devido natureza do produto, onde o teste tem de ser feito na
linhas de transporte reais, e uma vez que este teste for concludo, muitos preferem seguir em frente devido
presso da empresa para obt-lo dentro

A primeira coisa para colocar no lugar, e isso pode at mesmo feito se o sistema est em produo, razovel
senhas / segredos sobre cada extenso SIP voc implementou. Numa estimativa, mais de 70% de
sistemas implementados precisam de comunicao SIP com o mundo exterior, por isso absolutamente necessrio
para implementar esta medida, pois uma das maneiras mais simples que os invasores podem invadir seu sistema.

Essas senhas precisam ser de uma qualidade razovel, como um guia a seguir deve ser usado
Senhas

Adequao

201<Basicamente intil - uma das primeiras senhas que tentam


94932<Ainda pobre - Script Kiddies usar um gerador de nmeros de rolamento e tente novamente
holiday2<Pobres - Script Kiddies usar um banco de dados de palavras comuns e adicionar nmeros
H883ksd3<Bom - uma mistura de caracteres e nmeros superiores e inferiores
h17kdi2993FDl29p23e2 <Grande - provavelmente esta ea anterior seria adequado

Pode ser doloroso usar essas senhas, especialmente o ltimo, mas usar uma planilha ou h
algumas aplicaes de senhas aleatrias por a que so tambm um banco de dados segurando essas senhas
para voc e permite que voc adicione um comentrio sobre o que eles serviam.
Acredite em mim, muito melhor do que ter que explicar para o chefe por cinco mil dlares americanos no valor de
chamadas tm sido
feito pelo seu sistema no fim de semana. E este no apenas um possvel, isso acontece, eu tenho
testemunhado em vrias ocasies, quando solicitado a olhar para outros sistemas povos.
Eu falo sobre essas Script Kiddies e sondando o seu sistema para uma abertura. possvel para eles
enviar para o seu sistema de mais de 40 pedidos de autenticao por segundo, possivelmente muito mais com mltipla
mquinas, ento basta um simples nmero ou palavra comum no to duro de roer e que a maioria da
tempo, voc est totalmente inconsciente, de modo que o ataque pode durar dias antes que voc pode obter o vento
dele. Se voc
ter tempo para pensar sobre isso, mais de uma semana, eles podem tentar 400.000 combinaes. No impossvel
para
los para fazer um palpite correto, especialmente se voc tiver usado senhas fracas ou senhas com base em
Palavras inglesas.

No apenas a possibilidade de ser cortado, mas tambm o possvel impacto em seu sistema Elastix
e sua rede. Eu vi roteadores que no tm sido capazes de lidar com a voracidade do
atacar e ao gerente de rede, parece que quer seu / sua Internet ou roteador falhou. Ele
reboots his / her roteador, ele funciona por 20 minutos e acontece tudo de novo. Da mesma forma, quase faz
VoIP troncos inteis como a comunicao to quebrado, ou a perda de pacotes faz parecer que
esttico est na linha.

At agora temos falado sobre senhas, e na maioria dos casos se aplicam extenso
senhas / segredos, no entanto, essa mesma regra precisa para aplicar a seus troncos ou a sua voz
Provider (VSP) ou mesmo outros dispositivos SIP como ATA ou de Gateways GSM. Enquanto em Elastix eles
parecem ser tratados como diferentes dispositivos, mas para Asterisk eles so apenas um outro dispositivo SIP e
Da mesma forma para o intruso, outro canal SIP em que podem ter acesso ao seu sistema.

Seu VSP s pode fornec-lo com um nmero como um nome de login, e um nmero como uma senha, e
ser honesto, isso um pouco mais seguro do que um simples de trs dgitos do nmero de extenso de fcil
adivinhao
e um nmero curto como uma senha, mas como qualquer coisa, veja se o seu VSP tem uma maneira de mudar o
senha para algo um pouco mais substancial. No se desespere se voc no pode, temos outras medidas
podemos colocar no lugar, mas como eu mencionei antes, os mais camadas, o que mais difcil.

Desligue Permitir SIP Annimo


Desligue-o!!
A menos que voc precisar de funcionalidade ENUM, que a maioria no, voc no precisa Permitir annimo SIP
ligado. A maioria das empresas nunca ouviu falar de ENUM (o que geralmente significa que no h
procura por ele), pelo menos at que se torne fcil de se registar e mesmo assim dundi parece ter um
melhor forma de implementar este tipo de servio, diminuindo as implicaes de segurana.

Annimo SIP no um enorme buraco em seu sistema, mas se voc pode pensar nisso, basicamente um poo de
areia
que algum pode ligar para longe procurando ou tentando sair vulnerabilidades. Por que voc quer fazer
isso?? De fato, para qualquer cliente, peo um cliente a assinar um documento afirmando que eles entendem o
implicaes dessa opo de segurana, antes de lig-lo.
O pior que os usurios ativar isso acreditando que uma soluo mgica para sua conexo VSP que era
no at que eles fizeram. Ele no fixar qualquer coisa, exceto abrir a porta da frente para permitir que qualquer pessoa
a andar
em que tambm inclua o VSP. especialmente irritante quando voc v os usurios (no apenas os usurios do
Elastix)
proclamando-o como a correo para muitas questes, especialmente a conexo a qualquer VSP ou de dispositivos
que
deseja
conectar
ao dos
seu manuais
sistema. de dispositivo para produtos que os usurios desejam se conectar, ter muito
Para
sersejusto,
alguns
simples
configuraes como exemplos. A questo que muitas pessoas seguem estes exemplos (que geralmente
so exemplos de arquivos de configurao do Asterisk puro), e achar que ligar PERMITEM SIP ANONYMOUS
a nica maneira de faz-lo funcionar. O vale para algumas das configuraes VSP tambm. Eles no empregam
qualquer
autenticao (ou autenticao IP do host mesmo simples) e, como tal, a nica maneira de obter a

trabalho de conexo novamente lig-lo. Uma regra simples que nem todos do VSP so criados iguais. Eu
pessoalmente se recusam a usar qualquer VSP que no suporta uma camada bsica de autenticao.
O mesmo vale para os dispositivos, se ele no suporta um mtodo de autenticao forte Eu no vou us-lo.
No entanto, o que disse, mais do VSP e dispositivos podem empregar um mtodo de autenticao forte, mas voc pode
tem que aprender a utilizar este mtodo e escrever uma configurao SIP adequado. Isso pode significar que voc
tem que fazer alguma depurao SIP para ver o que o dispositivo est a enviar de modo que voc pode fornecer o
respostas corretas, especialmente quando voc implementar a autenticao. Isto pode soar como um trabalho rduo,
e para o novato que , mas realmente compreender as implicaes de seu sistema de segurana ir realizar
lo em bom lugar.

Agora, tendo dito isso, tenha cuidado, especialmente em sistemas de produo com apenas virar essa opo de volta
fora, especialmente se voc no fosse a pessoa que implementou este sistema Elastix em primeiro lugar.
Muitos tm acabado de fazer esta opo e descobriu que vrias horas depois, eles no poderiam fazer mveis
chamadas ou pior ainda no estavam recebendo telefonemas que chegam porque eles no perceberam a VSP ou
dispositivo
no foi devidamente autenticados e estava usando este PERMITEM SIP annonymous para contornar o
questo. melhor fazer essa alterao aps as horas normais, reinicie o sistema e realizar uma gama completa
de testes, incluindo reiniciar outros dispositivos SIP.

No instale produtos adicionais em seu sistema Elastix a menos que voc realmente tem que
Um dos maiores problemas que vejo com os sistemas Elastix o desrespeito pela segurana atravs da
implementao de
produtos no sistema Elastix que comprometem a segurana, ou at mesmo se no o prprio produto, ento
o produto permite que o usurio para comprometer a segurana sem saber.
Eu vim atravs de um sistema de Elastix em que o proprietrio do sistema tinha decidido usar o Elastix Servidor
como um servidor de FTP tambm. Algum FTP instalado e configurado. O que eles fizeram foi algum usou
um exploit conhecido de que o servidor FTP para se dar acesso root ao sistema como um todo. No s
eles conseguiram acesso root, mas instalou um kit de ferramentas de hackers no sistema. Naturalmente, isso passou
muitos meses procura de outros sistemas de PBX para corte, reportando a um canal de IRC com qualquer
sistema que hackeado com todos os detalhes. Entretanto, a confiabilidade de seu PBX sofreu e como
fez a sua conexo com a internet (e que cobrada para o excesso de Internet). Sua resposta provedores de TI
era para desligar o sistema de PBX IP por 5 minutos e volte a ligar. Ele deu-lhes um alvio para alguns
horas, talvez um ou dois dias, mas fora ele passou novamente. Esses kits no so estpidos eles tambm tm um sono
funo, que activa numa base regular, que pode tambm incluir quando reconhece o
mudanas no ambiente (por exemplo, reiniciar ou desligar a cabo)

Instalando o Webmin uma outra questo. um pacote to poderosa que requer direitos para o sistema.
A Internet coberto com as questes relacionadas com hacks que ocorrem no Webmin, e do Webmin
crdito muitos deles no aparecem claramente bem sucedida, no entanto, o produto em si permite que o
usurio inexperiente para fazer alteraes no sistema, sem considerar a segurana em curso
implicaes ou compreender. Alguns dizem que instal-lo para comear o trabalho de correio, ou
implementar firewall iptable. Se voc precisa este produto para executar essas tarefas, ento eu fortemente
recomendamos que voc tomar o tempo para aprender como realizar isso no nvel de configurao.

Use o Permit / Negar opes no FreePBX FreePBX / no incorporadas.

Como voc pode ver, voc tem a capacidade de adicionar a faixa de endereos IP que voc vai permitir que os
telefones
para conectar. A linha NEGAR como ele definido acima no permite todos os endereos (clssico negar tudo, ento
permitem
especfica). A linha de licena est definido para permitir que apenas um dispositivo SIP na rede local para conectarse a este
O mesmo vale para o acesso interface de gerenciamento Asterisk (AMI), que definido pelo Asterisk
extenso.
Gerente de API em FreePBX (ferramentas). S permitir que os endereos que voc precisa para acessar a interface
AMI,
usando a mesma licena / Negar opes.

Que cobre alguns dos princpios bsicos que voc pode implementar quase imediatamente e ir fornecer uma
maior nvel de segurana que voc tinha anteriormente. Eles no envolvem um elevado nvel de habilidade para
implementar, eles no envolvem voc ter que instalar nenhum software adicional, e eles realisticamente
deve ter muito pouco tempo para implementar.

Vamos agora avanar para algumas das formas mais avanadas de aumentar a sua segurana

Medidas de segurana avanadas


Permetro Firewall / Router
Primeiro de tudo, deixe-me ser muito claro, nem todos os roteadores / firewalls so criados iguais. O nmero de
pessoas
que tm boas intenes de criao de um sistema Elastix Firewalled, mas terminando de abrir a sua
router / firewall para obter seu sistema Elastix a trabalhar de forma confivel. E isso acontece dessa forma porque a
sua
Sistema "testado" entrou em produo, e um ou dois dias mais tarde (s vezes no mesmo dia), comeou
caindo chamadas ou pior ainda no receber chamadas em determinados momentos do dia. Isto geralmente atribuda
para ser forado a configurao de Port Forwarding (NAT esttico). Se voc no tem certeza do que quero dizer, eu
posso
Recomendamos que voc leia a seo no final deste documento intitulado "Um guia simples para SIP e
interao com Firewall / Routers "
O que isso significa no entanto, para tornar o sistema confivel, que voc est abrindo as portas para
basicamente, qualquer um para tentar se conectar ao seu sistema. Especialmente porque SIP geralmente definido
como um nico
nmero da porta (5060), todos esses Script Kiddies precisa fazer investigar afastado em seu Router, encontrar a
porta
5060 aberta, e eles sondar para os prximos dias, geralmente sem o seu conhecimento.
Geralmente para o seu sistema Elastix, quando voc est tendo problemas com NAT, nos fruns, eles
recomendo para encaminhar 5060-5084 (SIP - UDP) e 10000-20000 (RTP - UDP). No entanto, voc s precisa
de transmitir a 5060 para SIP, se voc estiver usando um sistema Elastix (mesmo para vrias conversas). A RTP
portos 10000-20000 so necessrios uma vez que estes so utilizados como padro por distribuies baseadas em
Asterisk. Estes
podem ser limitados com base em quantas chamadas simultneas que voc espera, e voc pode fazer alteraes em
um dos
os arquivos de configurao do Asterisk para a RTP, mas srio, voc tem que abrir pelo menos alguns, ento por que
no
deix-lo no padro esperado pelo Asterisk, e se concentrar em outras medidas de segurana.
Essas outras medidas de segurana esto utilizando a funo de firewall do seu roteador / firewall. NAT por
em si no um verdadeiro firewall, mas ele pode acabar realizando muitas das mesmas funes. Geralmente NAT
por si s no tem filtragem de pacotes, ele verifica o cabealho para ver qual porta ele exige, e se a regra NAT
no local, ele encaminha-lo para o endereo fornecido na regra. Mais bom router / firewall
fornecer redirecionamento de portas (NAT) e tambm um Firewall tambm. Um bom firewall ir permitir que voc
bloqueie ou
passar pacotes com base no nmero de porta, endereo de destino, endereo de origem e que tipo IP
(TCP / UDP), e, geralmente, em ambos os sentidos (entrada e sada)
Com um Firewall / Router que fornece capacidade de firewall adequada, significa que, embora tenhamos
abriu as portas necessrias para SIP e RTP, podemos restringi-los para que eles aborda
comunicar. Agora, isso requer um pouco de pesquisa no site da sua VSP, ou, eventualmente, um e-mail para
seu VSP para descobrir os endereos pblicos que o seu VSP usa para seus servidores SIP. No basta assumir
que o que voc est conectado o endereo SIP Server que voc precisa. Use um pouco de bom da VSP
vrios servidores de redundncia, e pode estar usando um round robin DNS para equilibrar a carga.

Com esses endereos, agora voc pode usar o seu firewall para permitir que apenas SIP e RTP para vir daqueles
endereos nesses portos particulares. Para qualquer outra pessoa tentando acessar essas portas, eles vo ver o
portas fechadas, o que exatamente o que queremos.
Portanto, tome o tempo com o seu roteador / firewall e aprender a utilizar a funo de firewall. Se o seu
router / firewall no tem essa capacidade de firewall, em seguida, olhar para investir em uma melhor router /
firewall.

Eu recomendaria usar um firewall de permetro. Faz sentido claro para no permitir que o mesmo
atacante dentro da sua rede para dar-lhes todas as oportunidades. Alm disso, com uma boa mudana
prticas no lugar, voc pode fazer o que quiser dentro da sua rede, sabendo que o firewall de permetro
est em vigor e inalteradas, protegendo-o em todos os momentos.

Alternativamente, se voc no pode implementar um firewall de permetro, aguarde Elastix 2.04 que tem uma
GUI
Firewall baseado baseado em IPTABLES construdas em que sero abordados brevemente na prxima seo.
Elastix Firewall (Isto , em Elastix 2.04 que atualmente Beta, no momento da escrita)
A partir de Elastix 2,04, Elastix tem uma interface grfica baseada em IP Tables Firewall. Muitos produtos comerciais de
firewall confiar
nas Tabelas IP como base de seu firewall, e os desenvolvedores fizeram um timo trabalho de execuo
um firewall IP Tables com uma vista muito agradvel Web Based GUI.
Pessoalmente, eu prefiro usar um permetro baseado Firewall dedicado como a primeira linha de defesa, mas se voc
no tem essa capacidade, ento o firewall embutido Elastix em 2,04 a prxima melhor coisa. Ou se voc
quiser, use um firewall baseado em permetro, bem como o firewall Elastix, acrescenta que a camada extra de
segurana
que eu sempre recomendo.
Abaixo est um screenshot da GUI Firewall que est em Elastix 2.04. Os desenvolvedores Elastix fizeram
fcil atravs da implementao de um conjunto padro de regras que ativam quando voc ativar o firewall. Abrange
todas as regras de comunicao necessrios para os produtos atualmente includos no Elastix. Basta estar consciente
que tem alguns bugs GUI e no h uma regra que faltava para permitir atualizaes YUM e Freepbx, mas isso
porque em Beta. Mas quando ele liberado to estvel, uma ferramenta fantstica de usar.

Adicionando uma nova regra simples, de acordo com a tela abaixo, e para qualquer um que sabe como
implementar regras iptable, eles vo encontrar esta extremamente fcil de seguir.

Se voc no pode esperar para o produto Firewall Elastix, ento voc pode implementar essa mesma segurana
usando
IPTABLES no prompt de comando do Linux e configurar manualmente os arquivos de configurao. Para tentar
transformar esse guia em um guia de implementao IPTables est alm do escopo deste documento, mas em
o Elastix fruns, voc vai encontrar vrios posts sobre como implementar IPTables manualmente, bem como
centenas de guias sobre a melhor forma de aplicar as regras do iptables.
Fail2ban
Fail2ban uma ferramenta muito original que tenta identificar Brute Force e script kiddie quebrar-in
tentativas e, em seguida, aplicar as regras automaticamente para bloquear essas tentativas. Isso tudo ocorre
automaticamente e fica sem a sua interveno.
Na verdade, cumpre um papel de tanto bloqueio ativa e monitoramento dessas tentativas de ataque.
Com fail2ban, que monitora o nmero de falhas de autenticao de um endereo IP particular. Se no
tentativas de autenticao corresponde ao nmero definido como parte da configurao do fail2ban, ento ele
bloqueia
que o endereo IP por um tempo pr-definido. Isso geralmente faz com que essas Script Kiddies procurar outro
sistema para tentar invadir. Da mesma forma estes ataques de dicionrio significa que eles s conseguem
tentar trs login / senhas a cada 10 minutos, em vez de 40-50 por segundo em um sistema sem
Fail2ban. As chances de algum adivinhar com sucesso o seu login e senhas em seu sistema
so muito reduzidos.
Fail2ban trabalha em conjunto com o iptables, ento voc precisa para configurar suas IPTables primeiro. Elastix
tambm
introduo de um Web Based GUI para fail2ban muito pouco para complementar os seus IPTables GUI, mas ainda
no est em verso beta, mas eu suspeito que no vai demorar muito. Novamente, os fruns tm informaes sobre a
implementao desta
manualmente, se voc no pode esperar.

Outras medidas de segurana

Alterando a porta padro para SSH


Uma das reas mais comuns alvo de ataque so os sistemas Elastix com a porta 22 expostos ao
mundo. Alguns vo sentar e perguntar por que voc faria uma coisa dessas, outros acham que eles no podem
fazer
sem ele, para acesso remoto. Pessoalmente, eu no iria deix-la aberta, mas se voc realmente tem que, em
seguida,
alterar o nmero de porta padro.
Isso uma coisa relativamente simples de fazer e no exemplo abaixo eu estou mudando a porta SSH para 6222

Adicionar uma linha no arquivo / Etc / ssh / sshd_config:


Porto 6222
Atualizar sshd por
servio sshd recarga
Esta vontade agora mudou a porta de 6222 para SSH, e enquanto isso no infalvel, ele implementa
uma das camadas que falei chamada ofuscao, por no fornecer os atacantes com um roteiro.
Mudar o cenrio que eles esto esperando, e reduzir as chances de ser atacado.

Utilizando VPN quando possvel, especialmente para telefones remotas


Mais e mais Firewall / roteadores tm a capacidade de agir como um Endpoints VPN. O que isto significa
que voc pode implementar uma VPN segura entre a sua rede (onde est situado PBX) eo
Rede na outra extremidade (em que o telefone remoto est localizado).
Alternativamente, voc pode implementar o OpenVPN no seu sistema Elastix e selecione Yeastar T28 telefones
como seus telefones remotos que tm um cliente OpenVPN construdo para eles. O que isto significa que voc
pode selecionar qualquer porta em seu roteador / firewall para a VPN para se concretizar diante. Isto tem a vantagem
em
que voc tem que preocupar-se pouco sobre a infra-estrutura no terminal remoto, sabendo que voc pode prconfigurar um telefone e deixe-os a instalar.
Pode soar como um pouco de trabalho, mas se trata de quo srio voc sobre como proteger seu
Sistema Elastix de ataque.

Monitoramento

Para muitos usurios do Elastix, uma vez que eles implementaram a sua firewall ou outras medidas de segurana, eles
sentar-se acreditar em tudo coberto. Eles poderiam ter gasto um acompanhamento dia para garantir que nenhum
erros foram feitos, mas depois disso, no ter um pensamento at que algo d errado, ou
parece estar acontecendo de errado, ou que tiveram uma tarde preguiosa e decidi dar uma olhada.

Como sistemas de backup, voc no pode simplesmente assumir que a cpia de segurana est funcionando,
apenas para descobrir quando voc
mais precisa, que os backups no foram trabalhar por vrias semanas. O monitoramento de sua
Elastix PBX to importante
Voc precisa definir um procedimento regular para verificar os logs para monitorar esses possveis ataques. Ele no vai
leva muito tempo, mas voc precisa faz-lo regularmente.
Um dos arquivos de log que voc precisa rever em uma base regular encontrado em
/ Var / log / secure

O exemplo acima mostra algum tentando invadir o sistema via SSH. Voc pode ver o
nomes de usurios que eles esto tentando, e neste caso eles esto tentando nomes de usurios comuns que usam
no
Sistemas Unix / Linux.
Voc vai encontrar os logs arquivados nomeados secure.1, secure.2 e assim por diante. Se o seu sistema est sob
pesado
ataque de uma dessas Script Kiddies, ento voc pode achar que esses arquivos arquivados podem conter
ataque tenta apenas de um dia.
Outro arquivo verificar regularmente
/ Var / log / audit / audit.log
Isso mostra os sucessos e fracassos de login. Este basicamente o sistema de auditoria Linux. Voc est
principalmente
procura de falhas de login incomuns que lhe dar uma idia de que o sistema est sob ataque.

Anexo 1 - Um guia simples para SIP e interao com Firewall / Routers


Para muitos usurios, a sua primeira necessidade de compreender plenamente Network Address Translation (NAT)
em seu
Firewall / router tem sido forada pelo uso de SIP pelo seu sistema de Elastix. A razo pela qual eles precisam
para compreend-lo porque ele provavelmente a primeira aplicao, onde, na maioria dos casos, o padro
NAT criados dinamicamente nem sempre funciona. NAT dinamicamente criado o lugar onde o seu router
entende que voc tenha iniciado uma conversa de dentro de sua prpria rede, eo router,
durante um tempo predeterminado abre a porta para o exterior, para permitir que o trfego de volta a partir de que
endereo que iniciou a conversa com.
A razo pela qual SIP via Network Address Translation (NAT) no devido ao fato de que a telefonia IP
(Utilizando SIP) no s usar uma nica porta como muitas aplicaes. Na verdade, uma de duas vias
negociao, onde dentro dessa negociao (protocolo SIP), eles decidem que as portas vo
transmitir a conversa de udio (RTP) em. Para a grande maioria dos roteadores / firewalls, elas no
inspecionar os pacotes SIP e, portanto, no abrir as portas dinamicamente.

A outra grande razo para o fracasso de SIP utilizando NAT devido s Sesses NAT em colapso devido
a falta de trfego SIP quando a conversa est ocorrendo. Este tempo pr-determinado pode variar desde
roteador para roteador, ele pode variar se o seu roteador difcil definir com esse tempo limite, ou voc tem um
cenrio
em quanto tempo a sesso NAT dura aps o trnsito parou (por exemplo, roteadores Cisco). Quantos
fruns voc leu em que algum diz que sua chamada cai aps 3 minutos, ou a sua chamada cai aps
10 minutos. Isso normalmente se resume ao router ter desmoronado o NAT criado dinamicamente
sesso. Por que fechar esta sesso? Geralmente porque no h mais trfego foi recebido ou
caminho na porta SIP, o que pode acontecer, como agora todo o trfego est em Porto RTP e s muito
ocasionalmente um pacote SIP pode ser gerado a partir do sistema ou (Elastix ou seu VSP). A maioria
conexes usar um PING / PONG Keepalive, que gera trfego SIP que mantm a sesso NAT
vivo, mas no todos.

geralmente (mas nem sempre), estes combinao de condies que causam estas desistncias. Assim, para
esses modems, precisamos implementar Port Forwarding (NAT esttico) para dizer ao router para onde
redirecionar essas conversas para.