| |
|
|
|
|
 |
Nieuws: |
 |
|
|
Pagina's: 1 [2]
|
 |
|
Auteur
|
Onderwerp: beveiliging Asterisk (gelezen 4392 keer)
|
|
|
landfiets
Newbie
 Offline
Berichten: 48
|
heeft iemand een voorbeeld van hoe een rule in IPtables te maken om een bepaald IP adres te blokken inclusief de commandos voor het saven en evt. restarten van IPtables?
|
|
|
|
|
Gelogd
|
|
|
|
husky
Moderator
Hero Member
Offline
Berichten: 1064
|
als je hier niet in thuis bent kun je het beste webmin gebruiken.
http://www.webmin.com/
|
|
|
|
|
Gelogd
|
|
|
|
landfiets
Newbie
Offline
Berichten: 48
|
Ik heb webmin erop maar hoe block ik daarin een bepaald IP adres. Misschien een beetje domme vraag maar ik wil niet iets fout doen waardoor mensen op mijn server opeens niet meer kunnen bellen.
|
|
|
|
|
Gelogd
|
|
|
|
muurman
Jr. Member
Offline
Berichten: 61
|
Is een firewall op de asterisk zelf wel een goed idee? Gaat voip verkeer niet mogelijk haperen doordat het netwerkverkeer door de firewall word bewaakt ?
|
|
|
|
|
Gelogd
|
|
|
|
voop-fellow
Administrator
Jr. Member
Offline
Berichten: 75
|
Naast andere zaken beveilig ik de server door met iptables port 22 af te sluiten als ik niet in hoef te loggen. Dit doe ik door een verborgen optie in mijn ivr met een System() aanroep om toegang mogelijk te maken en een verborgen optie om toegang onmogelijk te maken. Ik bel in, kies 4, voer mijn pincode in en de "ssh deur" komt beschikbaar. Bij een keus 5 verdwijnt de deur weer. Via mijn mail ontvang ik een bevestiging. Ik zet het userfield zodat ik in de cdr loggings terug kan vinden wanneer en door wie de opties gebruikt zijn zonder heel erg hard te moeten zoeken. Dit is natuurlijk heel simpel maar het voorkomt in ieder geval dat er eindeloos op de deur geklopt wordt zoals je terug kunt vinden in /var/log/auth.log . Je kunt dit met andere porten natuurlijk ook doen, bijvoorbeeld naar de port van de webinterface waarop je gui draait waarmee je Asterisk configureert. Het is een beetje safety by obscurity maar ik heb het idee dat het wel werkt.
exten => 4,1,Answer()
exten => 4,n,Authenticate(1234578)
exten => 4,n,System(/var/lib/asterisk/agi-bin/mail.sh "Port 22 opened by phonenumber ${CALLERID(num)} at GMT ${STRFTIME(${EPOCH},GMT,%H %M %S)} " "See header" info@mailadres.nl)
exten => 4,n,Set(CDR(userfield)=SSH_ACCESS_ON)
exten => 4,n,System(iptables -D INPUT -p tcp --dport 22 -j REJECT)
exten => 4,n,System(iptables -A INPUT -p tcp --dport 22 -j ACCEPT)
exten => 4,n,Playback(beep) $
exten => 4,n,Playback(beep) $
etten => 4,n,Playback(beep)
exten => 4,n,Hangup()
exten => 5,1,Answer()
exten => 5,n,Authenticate(12345678)
exten => 5,n,System(/var/lib/asterisk/agi-bin/mail.sh "Port 22 closed by phonenumber ${CALLERID(num)} at GMT ${STRFTIME(${EPOCH},GMT,%H %M %S)} " "See header" info@emailadres.nl)
exten => 5,n,Set(CDR(userfield)=SSH_ACCESS_OFF)
exten => 5,n,System(iptables -D INPUT -p tcp --dport 22 -j ACCEPT)
exten => 5,n,System(iptables -A INPUT -p tcp --dport 22 -j REJECT) ;
exten => 5,n,Playback(beep) $
exten => 5,n,Playback(beep) $
etten => 5,n,Playback(beep)
exten => 5,n, Hangup()
|
|
|
|
« Laatste verandering: augustus 14, 2009, 11:42:15 pm door voop-fellow »
|
Gelogd
|
|
|
|
|
|
t.joemrati
Newbie
Offline
Berichten: 24
|
om het beheer van de asterisk te beveiligen heb ik het volgende toegepast mischien hebben jullie er wat aan voorbeeld:
Beveiliging:
Als de Asterisk server in het core switch terecht komt kan iedereen in het netwerk de Asterisk server benaderen. Om dit te voorkomen zijn er een aantal beveiligings maatregelingen getroffen.
Host.deny
Het is mogelijk om netwerken te blokkeren die de Asterisk server proberen te beheren.
Eerst moet een configuratie bestand worden aangepast:
In cd /etc is er een bestand genaamd host.deny. Dit bestand kan geopend worden met het commando nano hosts.deny.
Hier in kan gezet worden welke netwerk het beheer van de Asterisk server niet mogen benaderen.
In dit context stel ik voor dat niemand de Asterisk server mag benaderen.
De regel die moet worden toegepast is ALL: ALL.
Vervolgens moeten de configuraties worden opgeslagen dit doen we door ctrl X te drukken en op Y.
Host.allow
In deze configuratie kunnen we instellen wie het beheer van de Asterisk server wel mag benaderen. Eerst moet een configuratie bestand worden aangepast:
In cd /etc is er een bestand genaamd host.allow. Dit bestand kan geopend worden met het commando nano hosts.allow.
In dit context stel ik voor dat vlan 715 de Asterisk mogen beheren.
De regel die moet worden toegepast is:
ALL: 192.168.15.0/255.255.255.0
Vervolgens moeten de configuraties worden opgeslagen dit doen we door Ctrl x te drukken en op Y.
Conclusie:
Door gebruik te maken van host.deny en host.allow is de beveiliging van de Asterisk server verhoogd en kunnen hosts buiten vlan 715 niet bij het beheer van de Asterisk server komen.
|
|
|
|
|
Gelogd
|
|
|
|
|
|
|
Pagina's: 1 [2]
|
|
|
|
|
|
