Judson, A grande questão é que você tem vários serviços disponíveis para a internet e precisa proteger todos. Por exemplo, você falou que vai utilizar o elastix, ok? No elastix você tem:
- Email ( smtp, pop3, imap... ) - Servidor WEB Apache e diversas aplicações web - Serviço de acesso remoto via SSH - FOP Você não pode bloquear tudo caso contrário nem você acessa de fora a sua central. Então ai onde deve entrar a sua política de acesso externo ao equipamento. Vou exemplificar aqui, de forma bastante simplificada: Primeiro ponto: Desativar os recursos não essenciais ao seu serviço. Exemplo, não vai hospedar email? Desative tudo, SMTP, pop3, imap, etc... Não vai usar o IM? Desative o openfire. Segundo ponto: Filtrar ou criar barreira para os acessos administrativos. Você realmente precisa acessar a console do Elastix de fora da sua rede? Limite os acessos, deixe o acesso ao apache apenas a partir de dentro da sua rede. Quanto ao SSH, eu acho importante deixar liberado, mas: -- Altere a porta padrão do serviço, mude a porta 22 algo tipo 22022 -- Não permita login remoto do usuário root direto -- Crie um usuario de administração no Linux, garanta privilégios com SUDO e só permita o login desse usuário a máquina -- Desative autenticação por senha, só permita logar SSH com autenticação via certificado Terceiro ponto: O seu asterisk vai estar aberto para o mundo a não ser que você filtre por regiões ou não permita ramais externos. Mas se não for o caso, você precisar de ramais externos, você precisa trabalhar a segurança das senhas. Nesse ponto entra o Fail2ban, que é justamente o seu auxiliio para bloquear os camaradas tentando quebrar suas senhas, mas em ataques de força bruta distribuidos, não ajuda muito. :) Mas o mais importante é entender que, mesmo depois de adotar tudo o que você considera como necessário para ter uma boa segurança, você precisa ACOMPANHAR, sempre. Abraços! 2016-02-17 18:32 GMT-03:00 Judson Júnior <[email protected]>: > Senhores, > > Gostaria de colocar um pouco (ou melhor, bastante) de segurança nas minhas > instalações Asterisk. Escolhi usar o Elastix 2.5.0. > > Tendo isso em mente, penso no Fail2Ban + iptables como primeiro passo, mas > não parar aí. Já li que a segurança dessa dupla sobre o Asterisk não é > muito boa. > > Para onde deve mirar? Será o caso de Session Border Controller com > OpenSIPs ou Blox? > > Para um Asterisk que vai ter um tronco SIP com alguma operadora com número > remoto, remais instalados em Smartfones acessando meu Asterisk, o que vocês > recomendam? > > Por enquanto não é o objetivo usar SRTP. Quero me limitar à evitar invasão > do PABX e ligações não autorizadas. > > Obrigado. > > > > _______________________________________________ > KHOMP: completa linha de placas externas FXO, FXS, GSM e E1 > Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7 > Intercomunicador e acesso remoto via rede IP e telefones IP > Conheça todo o portfólio em www.Khomp.com > _______________________________________________ > Para remover seu email desta lista, basta enviar um email em branco para > [email protected] > -- Alejandro Flores Office: 81 4062-9805 Mobile: 81 8186-9432 http://www.triforsec.com.br/ http://www.dialtelecom.com.br/
_______________________________________________ KHOMP: completa linha de placas externas FXO, FXS, GSM e E1 Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7 Intercomunicador e acesso remoto via rede IP e telefones IP Conheça todo o portfólio em www.Khomp.com _______________________________________________ Para remover seu email desta lista, basta enviar um email em branco para [email protected]
