Bonjour,
un fournisseur de trunk auquel je souhaite souscrire me demande de configurer asterisk avec allowguest=yes car les appels entrants peuvent provenir de 2 sous-réseaux différents complets /24.
Actuellement, asterisk est sécurisé avec un firewall qui n'autorise que nos clients et fournisseurs.
Je ne sais pas comment sécuriser asterisk de manière certaine.. Déjà empecher un contexte par défaut sur les appels entrants.
Mais quels sont les risques du allowguest=yes ?
Merci!
Bonjour,
allowguest=yes autorise n'importe quel appel entrant SIP sans authentification ou autre restriction, et le passe au contexte déclaré par défaut pour les appels SIP.
Il ne faut surtout pas utiliser un contexte existant ou autorisant les appels sortants, bien entendu !
Créez un contexte spécifique (façon "bac de sable") comme [GUEST_INBOUND] par exemple, et redirigez les appels vers le poste autorisé à les recevoir et les dispatcher, ou un IVR avec restriction vers les postes autorisés, ou toute autre fonction ou application désirée, mais sans risque de facturation non désirée (j'ai vu de nombreuses installations défaillante qui permettaient le routage vers l'extérieur sans plus de restriction).
Vérifiez bien, car une erreur peut coûter très très cher et très vite car de nombreux fouineurs scannent les IPBX laissés accessibles sur le NET pour y découvrir des failles de ce genre !
Cordialement,
Francois
Merci,
c'est bien plus clair dans mon esprit maintenant !
l'idée du bac à sable me semble la bonne effectivement.
je pense que l'idée de changer de fournisseur peut être aussi pas mal.... ca sent pas la sécurisation ni la compétence !!!
Cela me surprend.
Comme le dit F6HQZ
Cela n'a rien à voir avec la configuration du firewall qui lui base ses polices d'accès sur les adresses IP (ou éventuellement des FQDN), les protocoles et les ports.allowguest=yes autorise n'importe quel appel entrant SIP sans authentification ou autre restriction, et le passe au contexte déclaré par défaut pour les appels SIP.
A mon sens l'option allowguest ne devrait au grand jamais être mise sur yes.
Car cela autorise l'accès à Asterisk sans authentification.
Si votre SIP provider utilise par exemple un Cisco Call Manager v4.1 qui ne supporte pas l'authentification, cela pourrait expliquer leur demande, mais cela n'a rien à voir avec le fait que les appels peuvent provenir de différentes sources IP. D'ailleurs en tant que Provider professionel, ils devraient proposer l'usage d'un FQDN et avoir un proxy par lequel transite les flux SIP/RTP.
allowguest=yes c'est le début d'une grosse faille qui expose votre système à tous les pirates qui dès qu'un bug connu apparaîtra se jetteront sur l'opportunité de l'employer pour tirer leur épingle du jeu dans votre système.
Une fois le système ouvert, même avec un context restreint, vous êtes exposé aux "exploits de bug" sur SIP.
Un pirate peut balancer vraiment n'importe quoi dans une trame SIP, et ce n'est pas le context qui protègera votre système de ce genre "d'exploit".
Sur le net, les attaques pirates c'est sans arrêt dés qu'une machine est branchée sur Internet. J'en ai assez vécu pour dire qu'il faut partir du postulat que le Net une espèce de ruelle sombre infestée de vermines à l'affut.
Et plus les années passes, plus ça empire. D'ailleurs les budgets des gouvernements pour lutter contre la mafia du Net (Chine, Russie) sont tellement dérisoire qu'ils se concentrent sur les cas les plus graves.
Enfin bref j'arrête ici l'histoire.
Je serais vous je suivrais le conseil de Jean
je pense que l'idée de changer de fournisseur peut être aussi pas mal.... ca sent pas la sécurisation ni la compétence !!!
Règles de messages
Répondre avec citation