salut à tous.
j'ai un souci avec mon serveur asterisk qui vient d'etre piraté. jai pris un compte chez un fournisseur voip pour router les appels externes.j'arrivais a joindre des numeros externes.le souci est que j'ai pas decroché les appels pendants mes tests alors que tout mon credit a été consommé.après quelques fouilles dans les cdr d'asterisk j'ai retrouvé des appels d'utilisateurs inconnus vers des destinations inconnues.
je viens demander de l'aide pour securiser mon serveur et aussi des astuces a adopter.

merci.

Bonjour

Il faudrait voir dans les logs pour voir d'ou viennent les appels ( quels sont les l'ip qui se sont connectées, comment ils sont rentrés: ssh, manager asterisk, enregistrement SIP )

Il faut voir quels ratés il y a pu avoir au niveau de la sécurité tels

- absence de firewall
- Mot de passe facile sur des numéros de poste
- mot de passe par défaut pour le manager

S'agissait il d'un asterisk standalone ou d'une distribution tel elastix ou xivio avec une interface web supplémentaire ?

il y a plusieurs topic sur la sécurité qui explique toutes les étapes a réaliser pour sécuriser son asterisk.
Regarde si tu retrouve avec une recherche :)

On a abordé maintes fois le sujet mais il faut etre vraiment paranoiaque, les serveurs asterisk sont particulierement ciblés en ce moment d'ou l'importance de maitriser la securité en general de Linux. Avec ton ip externe, ton serveur ne doit pas etre detectable comme un serveur asterisk. Ca limite deja fortement les attaques.
Rien ne doit transpirer sur le net. C'est souvent possible pour un serveur asterisk isolé et interne a l'usage d'une société.
Le firewall est donc super important. whitelist, port knocking entre autre.
Avec juste ton ip, un attaquant ne doit avoir aucune "prise".
Avec ton ip et tes identifiants ( brute force, vol ) , un attaquant ne doit pas meme dans ce cas pouvoir faire d'appels. Peu de personne utilise les allow/deny de la config asterisk...

Dernier point, meme si ton asterisk est beton, l'operateur que tu utilises doit avoir aussi une securité beton. Un hacker avec tes identifiants operateurs sip n'a pas besoin d'acceder a ton serveur pour faire des appels...La protection par white list ip cote operateur est utile. J'ai pu le constater recemment...Tu dois aussi surveiller l'activité sur le compte avec les outils que te donne ton opérateur.

Un monitoring des appels vers l'etranger et aussi toujours utile pour reagir au plus vite dans le cas ou le serveur est compromis.
Si cela est possible, demande a l'operateur de limiter les possibilités d'appels vers des pays exotiques si tu sais que tu n'en a pas besoin régulièrement.

Avec tout ca, tu limites fortement les risques ou les consequences.
Cheers!
Francois.

Merci à tous pour les différents conseils. je suis à fond dans mes recherches pour sécuriser mon serveur.

Bonjour,


La protection par white list ip cote operateur est utile. J'ai pu le constater recemment...

Tu peux en dire plus :hello:

Merci

Bonjour,



Tu peux en dire plus :hello:

Merci
Meme avec un asterisk non compromis et aussi sécurisé soit il, si les identifiants du compte sip operateur le sont, ca peut faire mal et la securité de ton asterisk ne pourra pas empécher qu'on effectue des appels avec le compte de l'operateur. Certains operateurs permettent de limiter à certaines ips l'enregistrement ( white list ) ou les destinations ou le plafond autorisé. Ca limite le risque.
Comme beaucoup accede à une interface d'admin asterisk à partir d'une machine autre, la compromission de cette machine peut expliquer le vol des identifiants sip par exemple.
Cheers !
Francois.

Hello,

Utilise des mots de passes forts (chiffres, majuscules, caractères spéciaux) et ferme ton port 5060 de l'extérieur.

J'ai eu la même chose il y a peu de temps...

Have fun! :)

Bonjour,

Oui le couple login/mot de passe doit contenir des caractères spéciaux afin d'éviter le type d'attaque par dictionnaire.

Cependant dans mon cas je suis en train de reproduire le mode Centrex... Je ne peux donc pas fermer le port 5060.

Le serveur est sur internet
=> pour le trunk opérateur SIP
=> accessible aux téléphones via une connexion ADSL/SDSL

Ne pas fermer le port 5060 ne veut pas dire aucun filtrage.


Pour les utilisateurs en ip fixe, c'est facile, on n'ouvre que sur une seule IP.
Pour les utilisateurs en ip dynamique j'ai ouvert des plages entières utilisés par les FAI de mes utilisateurs. Ce n'est pas parfait, mais j'évite probablement plus de 99% des robots qui scannent les IP pour trouver du SIP: Non seulement ils ont rarement des IP françaises et les rares ip française que je vois dans mes logs sont liés à serveurs dédiés ( en général debibox )

Effectivement tu as raison tanguyd !

Je suis plus ou moins dans la même démarche... mais les adresses IP dynamique c'est un peux compliqué à tenir !! Cette solution n'est pas viable quand tu as des personnes qui change leur abonnement mobile et qui cherche à connecter leur compte SIP par exemple...

Et pour les IPv6 cela risque d'être trop trop long à tenir comme liste sur le firewall

Effectivement mes utilisateurs sont tous sur des lignes adsl fixes dans les locaux de leurs entreprises respectives et ne changeraient pas d'abonnement sans nous prévenir.

L'importance du filtrage est moindre en ipv6. Les plages IP sont si larges que la probabilité qu'un bot trouve ton adresse lors d'un scan est assez faible.

Effectivement mes utilisateurs sont tous sur des lignes adsl fixes dans les locaux de leurs entreprises respectives et ne changeraient pas d'abonnement sans nous prévenir.

Oui c'est plus facile avec des IP fixes... Même si cela reste fastidieux à tenir :heink:

Je ne sais pas de mon côté encore quelle méthode instaurer :mouais:


L'importance du filtrage est moindre en ipv6. Les plages IP sont si larges que la probabilité qu'un bot trouve ton adresse lors d'un scan est assez faible.
On commence à trouver des /64 pour chaque abonnés, soit environ 18 millions d'IPv6 pour le même abonné... C'est sur que le bot va passer pas mal de range avant de trouver quelque chose qui réponde...
M'enfin c'est t'on jamais :confused:

outre le message dans ma signature, un truc qui me démange (hormis les suites d'un p... de chikungunya), c'est de mettre le patch geo sur iptables - mais ca fait recompiler le kernel, et c'est bcp de boulot et pas de upgrades faciles

Il y a la recompilation du kernel, mais aussi le temps de traitement par le firewall pour vérifier si l'IP match ou pas avec la liste... Sur des petites configuration cela risque de surcharger la machine.

Pas évidement de trouver le bon compromis !

Bonsoir à tous,

grâce à vos différents conseils et astuces j'ai pu régler mon soucis de sécurité
.malgré tout je continue toujours d'améliorer les choses.
Grand merci à vous.