Affichage des résultats 1 à 9 sur 9

Discussion: securisation d'une installation asterisk

Vue hybride

Message précédent Message précédent   Message suivant Message suivant
  1. #1
    Membre Junior
    Date d'inscription
    mars 2011
    Messages
    3
    Downloads
    1
    Uploads
    0

    securisation d'une installation asterisk

    Bonjour

    Je suis en train de mettre en place une plateforme asterisk.
    je m'interroge sur la mise en place d'un niveau de securité correct surtout que cette plateforme devra etre accessible de partout sur internet avec des softphones ou des smartphones mais egalement en interne par des hardphones.

    - quelles solutions avez vous mis en place au niveau d'asterisk?

    Il y a des choses que je pourrais imposer et pas d'autres.

    - Est ce qu'il existe un moyen simple de crypter l'authentification SIP sans forcement crypter le contenu voix?

    merci d'avance pour toutes reponses

  2. #2
    Membre Junior
    Date d'inscription
    décembre 2010
    Messages
    18
    Downloads
    0
    Uploads
    0
    Salut,

    En fait, le gros souci va résider dans le nomadisme... Donc, pas possible de faire du filtrage par IP source avec IPtables, ni même avec les syntaxes "contactdeny=0.0.0.0/0.0.0.0" + "contactpermit" par la suite.

    En connaissance de cause, il va être nécessaire d'ajouter en Fail2Ban sur ton IPBX, et surtout un IPtables bien renseigné pour limiter l'accès aux seuls services ToIP.

    Aussi, j'ai pris l'habitude de faire un "module unload" de certains modules de mon Asterisk, dans le fichier module.conf :
    ; Nettoyage Asterisk
    noload => chan_skinny.so
    noload => chan_iax2.so
    noload => chan_mgcp.so
    noload => chan_unistim.so
    noload => pbx_dundi.so

    Comme ca, je n'ai que le 5060 qui ecoute.


    Après, je ne peux t'en dire plus sur le SIP TLS, ni même sur le SRTP... Pas testé !


    Edit : Ah oui, et petite astuce : evite les noms d'utilisateur composés uniquement de chiffres, mais complexifie les un peu plus, avec un nom dedans par exemple. Les Brute Forces se basent généralement sur des tentatives par dictionnaire avec des identifiants allant de 1 à 9999.
    Dernière modification par Ricou76 ; 31/03/2011 à 00h15.

  3. #3
    Membre Senior
    Date d'inscription
    septembre 2010
    Localisation
    Where the sun shines
    Messages
    1 418
    Downloads
    0
    Uploads
    0
    salut

    fail2ban impératif...
    ce thread aussi: http://www.asterisk-france.net/showthread.php?t=8021
    et ce post: http://forums.digium.com/viewtopic.p...=76654#p152470

    si tu as la main sur les clients, changer le port 5060 par un autre de ton choix limite énormément les attaques de robots... mais absolument pas les attaques de personnes te visant personnellement.

    si tu as des $$$, il existe des firewall dédiés, qui font de l'analyse de protocoles, et peuvent détecter des tentatives d'intrusion sip.

    pour la sécurisation, le TLS sécurise le SIP, indépendamment du flux RTP. C'est un peu de travail à mettre en oeuvre, mais surtout, il faut t'assurer que tes clients supportent ce protocole. mais c'est une très bonne solution !

    have fun...

  4. #4
    Membre Junior
    Date d'inscription
    mars 2011
    Messages
    26
    Downloads
    0
    Uploads
    0
    Salut,

    Pour la mise en place du cryptage des paquets de signalisation SIP, regarde ce post : http://www.asterisk-france.org/showt...Trixbox-et-TLS

    Je l'ai fait hier et le cryptage SSL sur mon serveur Trixbox 2.8 avec Astérisk 1.6 fonctionne. Je pense que sa pourra t'aider.

  5. #5
    Asterisk Fan Avatar de fastm3
    Date d'inscription
    août 2010
    Localisation
    Corbeil Essonnes (91)
    Messages
    1 302
    Downloads
    1
    Uploads
    1
    Vous avez oublié le vpn surtout pour le nomadisme.
    J'avais fait un tuto la:
    http://www.asterisk-france.org/conte...n-de-vpn-pptpd

    1- Sur les installs asterisks, sur le port 5060 ou celui choisi, seuls les ips du fournisseurs sip, du subnet local et du vpn sont autorisées par iptables.
    2- Utilisation du champs permit et autorisation du subnet correspondant: local et/ou vpn mais uniquement pour les nomades pour une 2eme protection.

    En fait, aucune ip "qui n'est pas en white list" ne peut se connecter meme si elle connaissait le user/pass sip. Et meme avec un acces vpn, il faudrait connaitre le user/pass.
    On combine ca avec un fail2ban, un changement de port et on commence a diminuer serieusement les possibilités de hack.

    La solution est facile a mettre en place sur un pc ou un iphone nomade car ils supportent en natif le vpn.

    Vu les prix des forfaits fixe illimité sur portable et les difficultés d'avoir un hotspot wifi de qualité ou internet tout simplement quand on est nomade, l'interet me semble neanmoins de plus en plus limité . C'est tellement plus simple en tout lieu d'appeler le standard en gsm et d'acceder alors aux service de l'ipbx.

    Fastm3.

  6. #6
    Membre Association Avatar de celya
    Date d'inscription
    septembre 2010
    Messages
    135
    Downloads
    0
    Uploads
    0
    1 - utiliser des comptes SIP avec des chiffres et des lettres (C'est pas un jeu de mot, on est pas vendredi)
    2 - Utiliser pwgen pour la génération des password
    3 - Utiliser un FW qui sait reconnaitre les attaches par dictionnaire et les black-list (Pfsense c'est bien, sinon failtoban)
    4 - Bloquer les scans de port

    Ca sa devait déjouer 99.99 des attaques.
    CELYA : www.celya.fr
    ASTERISK SERVICE : www.asterisk-service.fr
    MAVISIOCONF : www.mavisioconf.fr
    ATERISK : www.aterisk.fr

Règles de messages

  • Vous ne pouvez pas créer de nouvelles discussions
  • Vous ne pouvez pas envoyer des réponses
  • Vous ne pouvez pas envoyer des pièces jointes
  • Vous ne pouvez pas modifier vos messages
  •