Использование встроенной безопасности IssabelPBX

Описание: в данной статье будет рассказано какие возможности предоставляет новый интерфейс администрирования АТС от «Elastix» для настройки безопасности и защиты.

Как уже упоминалось ранее в статье на обзор отличительных особенностей IssabelPBX (подробнее по ссылке: http://voxlink.ru/kb/asterisk-installation/Issabel-PBX/), производители попытались максимально вместить настройки в web-интерфейс и не допустить администратора к работе с консолью.

Перейдём к рассмотрению возможностей обезопасить АТС. Для них отведена отдельная колонка в главном меню:

Рассмотрим все содержащиеся в неё пункты.

Firewall Rules

Аналог привычного всем ipables или firewall-cmd (centos 7). Имеет нативный графический интерфейс следующего вида:

Для примера в него уже добавлено множество правил. Отсюда можно их как редактировать, так и добавлять, удалять, а так же отключать или включать весь файервол.

Отличительные особенности правил:

Input — помечается зелёной стрелкой слева — на право. Output — фиолетовой справа — на лево. Разрешающее или запрещающее правила задаются зелёным или красным «светофорчиком».

Аналогичные, но менее нативные правила с помощью консоли выглядели бы так:

CLI> iptables -L -nv

Следующий, второй по важности пункт: проброс портов. Здесь за него отвечает отдельная вкладка  с названием

Define ports

Примечательно, что в отличие от большинства дистрибутивов на основе asterisk — Issabel предоставляет множество популярных портов «из коробки» открытыми. Ими пользуются как устройства телефонии так и множество других сервисов и приложений, которые можно отметить на скрине.

CLI> iptables -L -nv

Более глубокий уровень защиты, но не менее важный — защиту от перебора портов — осуществляет следующий раздел:

Port knocking Interfaces

Позволяет закрыть от сканирования портов каждый отдельный интерфес. На данной АТС активирован на обоих интерфейсах.

Так же, для доступности перебора портов есть авторизация. Она находится на строку ниже и назвывается:

Port knocking users

Следующий большой раздел так же относится к привычному всем пользователям Unix-систем приложению: fail2ban.

Здесь нам доступны настройки количества попыток авторизации на важные сервисы, период бана, белый лист и статус активности:

File2ban / Admin

Для сравнения в консоли выглядит следующим образом:

CLI> iptables -L -nv

В следующей вкладке содержатся «заключённые». Список ip по тем или иным причинам которым запрещён доступ к внутренним сервисам АТС.

Banned IP

Отсюда можно исключать, но, к сожалению не добавлять ip.

Следующий пункт скорее информационный, нежели защитный. Здесь проводится аудит безопасности станции и выдаются замечания по уязвимым местам.

Audit

Фрагментом аудирования является и следующая вкладка. Она целиком выделена для проверки надёжности паролей внутренних номеров.

Week Keys

Последний имеющий отношение к безопасности раздел, практически полностью аналогичен таковому во FreePBX. Основной момент здесь: разрешение или запрет гостевых, неавторизованных вызовов.

Advanced settings