securisation d'une installation asterisk

[grocanar]

Bonjour

Je suis en train de mettre en place une plateforme asterisk.
je m'interroge sur la mise en place d'un niveau de securité correct surtout que cette plateforme devra etre accessible de partout sur internet avec des softphones ou des smartphones mais egalement en interne par des hardphones.

- quelles solutions avez vous mis en place au niveau d'asterisk?

Il y a des choses que je pourrais imposer et pas d'autres.

- Est ce qu'il existe un moyen simple de crypter l'authentification SIP sans forcement crypter le contenu voix?

merci d'avance pour toutes reponses

[Ricou76]

Salut,

En fait, le gros souci va résider dans le nomadisme... Donc, pas possible de faire du filtrage par IP source avec IPtables, ni même avec les syntaxes "contactdeny=0.0.0.0/0.0.0.0" + "contactpermit" par la suite.

En connaissance de cause, il va être nécessaire d'ajouter en Fail2Ban sur ton IPBX, et surtout un IPtables bien renseigné pour limiter l'accès aux seuls services ToIP.

Aussi, j'ai pris l'habitude de faire un "module unload" de certains modules de mon Asterisk, dans le fichier module.conf :
; Nettoyage Asterisk
noload => chan_skinny.so
noload => chan_iax2.so
noload => chan_mgcp.so
noload => chan_unistim.so
noload => pbx_dundi.so

Comme ca, je n'ai que le 5060 qui ecoute.


Après, je ne peux t'en dire plus sur le SIP TLS, ni même sur le SRTP... Pas testé !


Edit : Ah oui, et petite astuce : evite les noms d'utilisateur composés uniquement de chiffres, mais complexifie les un peu plus, avec un nom dedans par exemple. Les Brute Forces se basent généralement sur des tentatives par dictionnaire avec des identifiants allant de 1 à 9999.

[jean]

salut

fail2ban impératif...
ce thread aussi: http://www.asterisk-france.net/showthread.php?t=8021
et ce post: http://forums.digium.com/viewtopic.p...=76654#p152470

si tu as la main sur les clients, changer le port 5060 par un autre de ton choix limite énormément les attaques de robots... mais absolument pas les attaques de personnes te visant personnellement.

si tu as des $$$, il existe des firewall dédiés, qui font de l'analyse de protocoles, et peuvent détecter des tentatives d'intrusion sip.

pour la sécurisation, le TLS sécurise le SIP, indépendamment du flux RTP. C'est un peu de travail à mettre en oeuvre, mais surtout, il faut t'assurer que tes clients supportent ce protocole. mais c'est une très bonne solution !

have fun...

[kmta]

Salut,

Pour la mise en place du cryptage des paquets de signalisation SIP, regarde ce post : http://www.asterisk-france.org/showt...Trixbox-et-TLS

Je l'ai fait hier et le cryptage SSL sur mon serveur Trixbox 2.8 avec Astérisk 1.6 fonctionne. Je pense que sa pourra t'aider.

[fastm3]

Vous avez oublié le vpn surtout pour le nomadisme.
J'avais fait un tuto la:
http://www.asterisk-france.org/conte...n-de-vpn-pptpd

1- Sur les installs asterisks, sur le port 5060 ou celui choisi, seuls les ips du fournisseurs sip, du subnet local et du vpn sont autorisées par iptables.
2- Utilisation du champs permit et autorisation du subnet correspondant: local et/ou vpn mais uniquement pour les nomades pour une 2eme protection.

En fait, aucune ip "qui n'est pas en white list" ne peut se connecter meme si elle connaissait le user/pass sip. Et meme avec un acces vpn, il faudrait connaitre le user/pass.
On combine ca avec un fail2ban, un changement de port et on commence a diminuer serieusement les possibilités de hack.

La solution est facile a mettre en place sur un pc ou un iphone nomade car ils supportent en natif le vpn.

Vu les prix des forfaits fixe illimité sur portable et les difficultés d'avoir un hotspot wifi de qualité ou internet tout simplement quand on est nomade, l'interet me semble neanmoins de plus en plus limité . C'est tellement plus simple en tout lieu d'appeler le standard en gsm et d'acceder alors aux service de l'ipbx.

Fastm3.

[celya]

1 - utiliser des comptes SIP avec des chiffres et des lettres (C'est pas un jeu de mot, on est pas vendredi)
2 - Utiliser pwgen pour la génération des password
3 - Utiliser un FW qui sait reconnaitre les attaches par dictionnaire et les black-list (Pfsense c'est bien, sinon failtoban)
4 - Bloquer les scans de port

Ca sa devait déjouer 99.99 des attaques.