Курсы по использованию Asterisk

IP-телефония — технология будущего. Обучитесь работе с IP-АТС Asterisk для того чтобы внедрить и профессионально использовать при решении коммуникационных задач.

Работайте с Asterisk профессионально!

Многоуровневая защита IP-АТС Asterisk

Телефонные станции очень часто становятся объектами хакерских атак. Узнайте, каким образом необходимо строить многоуровневую защиту для Вашей IP-АТС.

Не оставьте хакерам шансов. Защитите свой Asterisk от атак.

Используйте Веб-Интерфейс для удобства настройки

Панель управление FreePBX позволяет легко и удобно управлять всей системой. Научитесь эффективно использовать FreePBX для решения своих задач.

Управление станцией и статистика в окне браузера.

Научитесь работать с Asterisk из консоли

Для понимания работы с Asterisk необходимо уметь настраивать его вручную с конфигурационными файлами и командной строкой CLI Asterisk.

Научитесь «тонкой» настройке Asterisk

Цель курсов - максимум практики.

Обучение нацелено на практическую работу с IP-оборудованием: платы потоков E1, VoIP-телефонные аппараты, голосовые шлюзы FXS и прочее.

Обучение на реальном оборудовании — залог успеха.

Защита Asterisk от перебора паролей SIP и SIP DoS

База знаний Настройка Asterisk

Доступ к хосту по протоколу SIP не всегда можно ограничить определенным набором IP-адресов. Например, если к Asterisk нужно подключить клиент с динамическим IP-адресом, то в правилах iptables придется разрешить SIP с любых IP-адресов, и станция станет уязвима к подбору SIP-паролей. Подбор SIP-паролей занимает ресурсы АТС, так что это может стать для Asterisk еще и DoS-атакой. Ниже приведен ряд мер, которые позволят предотвратить успешный подбор SIP-пароля, а так же понизят затраты ресурсов АТС.

1. Настройка Asterisk
2. Правила iptables
3. Настройка fail2ban

 

Настройки Asterisk


Некоторые настройки протокола SIP мешают подбору паролей:

alwaysauthreject=yes

следует установить в sip.conf, после этого, на REGISTER с несуществующим номером Asterisk станет отвечать «401 Unathorized» вместо «404 Not Found», и взломщик не сможет определить, какие номера заведены на АТС.

deny=0.0.0.0/0.0.0.0
permit=<подсеть_из_которой_можно_подключаться>

с помощью этих настроек можно ограничить диапазон IP-адресов, с которых Asterisk будет принимать SIP-трафик для конкретного номера.

secret=<пароль>

если использовать пароли длиной 15 и более символов, состоящие из прописных букв, строчных букв и цифр, их подбор займет много лет.

 

Правила iptables


Следующие правила iptables логируют SIP-пакеты и банят IP-адрес на 1 час если с него пришло более 4-х SIP-пакетов за 30 секунд.

iptables -N BLACKLIST
iptables -A BLACKLIST -m recent --set --name blacklist
iptables -A BLACKLIST -j DROP

iptables -N SIP
iptables -A SIP -m recent --rcheck --name blacklist --seconds 3600 --hitcount 1 -j DROP
iptables -A SIP -m recent --set --name sip
iptables -A SIP -m recent --update --seconds 30 --hitcount 5 --name sip -m limit --limit 5 -j LOG --log-prefix=SIP_BRUTEFORCE_
iptables -A SIP -m recent --update --seconds 30 --hitcount 5 --name sip -j BLACKLIST
iptables -A SIP -j ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p udp --dport 5060 -j SIP

Сбрасывайте весь ipv6 трафик, если он Вам не нужен.

ip6tables -P INPUT DROP

 

Настройка fail2ban


Фильтры логов Asterisk входят в стандартный набор фильтров fail2ban. Настройки из /etc/fail2ban/jail.conf:

[DEFAULT]
ignoreip = 127.0.0.1
bantime = 3600
findtime = 600
backend = auto
[asterisk-iptables]
enabled = true
filter  = asterisk
action  = iptables-allports[name=SIP, protocol=all]
sendmail-whois[name=SIP, dest=your@email]
logpath = /var/log/fail2ban.log
maxretry = 5

Банит IP-адрес на 1 час и отправляет его whois-информацию на почту, если в течение 10-ти минут в логах Asterisk будет обнаружено более 5-ти неудачных попыток вызова/регистрации/входа. Считаются SIP, IAX2 и даже AMI.

asterisk, sip, настройка, трафик, limit