Asterisk e Segurança

Procedimentos básicos de segurança de instalações VOIP asterisk

1 – Não aceitar pedidos de autenticação SIP de todos os endereços IP.

No ficheiro sip.conf usar as linhas as linhas abaixo para permitir que apenas sejam aceites autenticação nas extensões a partir de um conjunto limitado de endereços IP.

permit=
deny=

Mesmo se aceitar chamadas “qualquer lugar” (via [default]) não permite que usem recursos autenticados.

2 – Inserir a linha “alwaysauthreject=yes” no ficheiro sip.conf

3 – Usar password fortes para as extensões SIP

4 – Bloquear as portas do gestor AMI (AMI manager)

5 – Apenas permitir uma ou duas chamadas simultâneas  por extensão SIP

6 – Use nomes diferentes para os utilizadores SIP e para as extensões

7 – Assegure que o contexto [default] context é seguro

No ficheiro sip.conf insira a linha

[general]
allowguest=no

8 – Usar o fail2ban incluindo a opção recidive

9 – Configurar a firewall para bloquear por string

iptables -I INPUT -p udp –dport 5060 -m string –to 70 –algo bm –string ‘sipvicious’ -j DROP

iptables -I INPUT -p udp –dport 5060 -m string –to 70 –algo bm –string ‘friendly-scanner’ -j DROP

iptables -I INPUT -p udp –dport 5060 -m string –to 70 –algo bm –string ‘sip-scan’ -j DROP

iptables -I INPUT -p udp –dport 5060 -m string –to 70 –algo bm –string ‘sundayddr’ -j DROP

iptables -I INPUT -p udp –dport 5060 -m string –to 70 –algo bm –string ‘sipsak’ -j DROP

iptables -I INPUT -p udp –dport 5060 -m string –to 70 –algo bm –string ‘sipcli’ -j DROP

iptables -I INPUT -p udp –dport 5060 -m string –to 70 –algo bm –string ‘iWar’ -j DROP

iptables -I INPUT -p udp –dport 5060 -m string –to 70 –algo bm –string ‘VaxSIPUserAgent’ -j DROP

10 – Configurar a firewall para bloquear por uso excessivo

iptables -I INPUT -p udp -m udp –dport 5060 -m string –string “REGISTER sip:” –algo bm -m recent –set –name VOIP –rsource

iptables -I INPUT -p udp -m udp –dport 5060 -m string –string “REGISTER sip:” –algo bm -m recent –update –seconds 60 –hitcount 12 –rttl –name VOIP –rsource -j DROP

iptables -I INPUT -p udp -m udp –dport 5060 -m string –string “INVITE sip:” –algo bm -m recent –set –name VOIPINV –rsource

iptables -I INPUT -p udp -m udp –dport 5060 -m string –string “INVITE sip:” –algo bm -m recent –update –seconds 60 –hitcount 12 –rttl –name VOIPINV –rsource -j DROP