Asterisk gegen Hacker oder Hackangriffe absichern
In diesem HowTo möchte ich gerne einpaar wichtige Punkte niederschreiben, die ich für jede Asterisk-Installation zwingend empfehle!
1. Schritt: Sichere Passwörter
z.B in der sip.conf
secret=§ip_pAsswD.23
Digium empfiehlt, dass SIP Benutzername sich der Extensions unterscheiden!
2. Schritt: permit/deny Regeln setzen
Jeder registrierbare Eintrag in der sip.conf kann per permit/deny eingeschränkt werden, ein Beispiel :
[intern1]
defaultuser=10
secret=##einStarkesPasswort$$
call-limit=3
contactdeny=0.0.0.0/0.0.0.0
contactpermit=10.0.0.0/255.255.0.0
contactdeny besagt – ALLES blocken
contactpermit besagt – ausser IP Bereich 10.0.0.x und Subnet 255.255.0.0
call-limit beschränkt die maximalen Anrufe auf 3 – Hacker versuchen meisten viele Anrufe gleichzeitig abzusetzen
3.Schritt: Allgemeine SIP Konfiguration
Diese Einträge gehören in den Kopf [general] in der sip.conf
[general]
alwaysauthreject=yes ; Wir lassen abgewiesene User nicht wissen DAS es diesen User mit falschem Pwd auch wirklich gibt..!
allowguest=no ; Wir verbieten "Guest" Registrationen, also ohne definierte Anmeldedaten unsererseits.
4. Schritt: Default-Sicherheit für extensions.conf
Der default Kontext sollte u.a. folgendes beinhalten:
[default]
; Wer hier landet ist entweder schlecht konfiguriert oder hat keine "Rechte"
exten => _X.,1,Answer ()
exten => _X.,2,Verbose(D E F A U L T ==> ${CALLERID(num)} kam um ${STRFTIME(${EPOCH},,%Y%m%d-%H%M%S)} in DEFAULT an als er versuchte die Nummer ${EXTEN} anzurufen.)
exten => _X.,3,Playback(/dein/weg/zum/benutzerdefinierten/sprachdir/keine_wahlregel)
exten => _X.,4,Hangup
5. Schritt
Absicherung mit Fail2Ban, dazu im nächsten Artikel mehr!
[via]
In: Asterisk · Schlagworte: Asterisk, Debian, Fail2Ban, Hacker-Angriffe, Sicherheit, vServer
am 7. Januar 2012 um 23:41
Permalink
[...] Asterisk gegen Hackerangriffe absichern [...]