[AsteriskBrasil] Segurança, Iptable, ip valido no servidor, servidor na dmz...

Rodrigo Graeff delphusbsd em gmail.com
Quarta Outubro 7 18:06:42 BRT 2009 

On Wed, 2009-10-07 at 17:45 -0300, Guilherme wrote:
> Nada irá salvar o servidor de ataques, mas é melhor deixar ele bem protegido 
> e dificultar o acesso do hacker do que largar o servidor com as portas todas 
> abertas pedindo para ser atacado e depois ter que ficar correndo para ficar 
> restaurando backup, pois o sistema foi invadido enquanto você poderia estar 
> trabalhando no desenvolvimento de novas facilidades para o usuário e 
> otimização do uso do seu hardware.
> 

Adquira uma solução de firewall então, packet filters ajudam a protejer
mas não são ferramentas confiáveis para exercer tal função. Se o sistema
for comprometido e você tiver um backup, tudo fica BEM mais fácil.

> Lembrando também que por ter um acesso facilitado se o hacker conhecer de 
> asterisk ele pode "apenas" transformar o seu PBX IP em uma central de 
> encaminhamento de chamadas, onde seu sistema continuará funcionando 
> normalmente só que no final do mês você verá uma conta astronômica.
> 

Por isso comentei que o que vale é experiência e sensatez. Se o sistema
não tiver serviços desnecessários rodando externamente e o acesso a
shell deste sistema for limitado, as chances de dar problema são
mínimas. Não seria um packet filter que iria diminuir. Lembrando que
para "dropar" um pacote, o packet filter deverá recebê-lo, neste caso,
se houver uma vulnerabilidade de kernel ou no packet filter, o pacote
irá ser recebido da mesma forma.

> 
> Moisés
> Todos aqui utilizam o servidor asterisk direto na internet com IP válido ou 
> deixam atrás de um firewall na DMZ?
> Utilizo os meus atrás de um firewall

Não gosto da performance do asterisk abaixo de nat, uso os meus em uma
máquina virtual ou não porém sempre reservada com serviços de banco de
dados e web direcionados a outro via túnel ssh ou com openvpn.

> 
> Para os que publicam direto na internet, quais adaptações nas regras do 
> Iptable utilizam?
> tem que liberar a porta 5060 TCP para o SIP e o range 10000:20000 UDP para 
> RTP
> para IAX somente a porta 4569 TCP -> Opção mais aconselhada pois deixa o 
> servidor menos vulnerável a ataques
> se quiser que a sincronização de hora pode também liberar porta 123 
> protocolo UDP para o NTP
> 

Em teoria, funcionaria simplesmente liberando trafego nas portas:

5060:5061 tcp e udp -> sip
4469 udp -> iax2
5063 udp -> iax1 (por medida de compatibilidade)
10000:20000 udp -> para tráfego rtp (segundo asterisk/rtp.conf)

E no sip.conf usar a opcao externip=xxx.xxx.xxx.xxx onde seria o
endereço IP de saída do seu asterisk após o firewall.

Lembrando que: políticas de packet filter ajudam mas não são garantem,
se voce não manja, melhor ajustar o linux para disponibilizar menos
serviços possíveis, fazer bom uso do arquivo /etc/hosts.deny, criar uma
boa rotina de backup, confiável.



> Guilherme
> ----- Original Message ----- 
> From: "Rodrigo Graeff" <delphusbsd em gmail.com>
> To: <asteriskbrasil em listas.asteriskbrasil.org>
> Sent: Wednesday, October 07, 2009 5:23 PM
> Subject: Re: [AsteriskBrasil] Segurança, Iptable, ip valido no servidor, 
> servidor na dmz...
> 
> 
> >O que vale é sensatez e experiência. Não vai ser uma simples regra de
> > iptables que vai salvar o servidor de ataques.
> >
> >
> > On Wed, 2009-10-07 at 17:15 -0300, Leonardo Cavalcanti wrote:
> >> È cada erro no sistema, voce restaura o backup, porque talvez ele tenha
> >> sofrido algum ataque.
> >>
> >>
> >> ---- Original Message ----- 
> >> From: "Rodrigo Graeff" <delphusbsd em gmail.com>
> >> To: <asteriskbrasil em listas.asteriskbrasil.org>
> >> Sent: Wednesday, October 07, 2009 5:04 PM
> >> Subject: Re: [AsteriskBrasil] Segurança, Iptable, ip valido no servidor,
> >> servidor na dmz...
> >>
> >>
> >> > Concordo com o Itamar, preocupe-se com backups, deixe apenas os 
> >> > serviços
> >> > necessários rodando neste linux bem atualizado, mude a porta do ssh e,
> >> > se possível não deixe acesso externo com apache com php e mysql.
> >> >
> >> > As vezes se perde 4 horas fazendo um super script de um packet filter
> >> > qualquer, quando se da conta que uma simples rotina de backup seria 
> >> > mais
> >> > fácil, no caso se uma invasão ou perda do host, uma instalação básica e
> >> > um restore funcional não levariam 1 hora para serem feitos.
> >> >
> >> > [ ]s
> >> >
> >> > On Wed, 2009-10-07 at 16:28 -0300, Itamar Reis Peixoto wrote:
> >> >> nenhuma
> >> >>
> >> >> iptables é pra boiola, mantendo o asterisk sempre atualizado nao tem
> >> >> problema.
> >> >>
> >> >>
> >> >>
> >> >> 2009/10/7 Moisés Abrantes dos Santos <moises.abrantes em ig.com.br>:
> >> >> > Estou com uma curiosidade:
> >> >> >
> >> >> > Todos aqui utilizam o servidor asterisk direto na internet com IP
> >> >> > válido ou
> >> >> > deixam atrás de um firewall na DMZ?
> >> >> >
> >> >> > Para os que publicam direto na internet, quais adaptações nas regras 
> >> >> > do
> >> >> > Iptable utilizam?
> >> >>
> >> >>
> >> >>
> >> > -- 
> >> > --
> >> >
> >> > Rodrigo Graeff
> >> > ICQ: 9636816
> >> > http://www.delphus.org
> >> >
> >> >
> >> > _______________________________________________
> >> > http://www.voipmania.com.br
> >> > Telefone IP sem fio Gigaset A580IP por 6 x R$59,90.
> >> > Promoção por tempo limitado!
> >> > Acesse agora http://promo.voipmania.com.br
> >> >
> >> > _______________________________________________
> >> > Lista de discussões AsteriskBrasil.org
> >> > AsteriskBrasil em listas.asteriskbrasil.org
> >> > http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
> >> >
> >>
> >>
> >>
> >> _______________________________________________
> >> http://www.voipmania.com.br
> >> Telefone IP sem fio Gigaset A580IP por 6 x R$59,90.
> >> Promoção por tempo limitado!
> >> Acesse agora http://promo.voipmania.com.br
> >>
> >> _______________________________________________
> >> Lista de discussões AsteriskBrasil.org
> >> AsteriskBrasil em listas.asteriskbrasil.org
> >> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
> > -- 
> > --
> >
> > Rodrigo Graeff
> > ICQ: 9636816
> > http://www.delphus.org
> >
> >
> > _______________________________________________
> > http://www.voipmania.com.br
> > Telefone IP sem fio Gigaset A580IP por 6 x R$59,90.
> > Promoção por tempo limitado!
> > Acesse agora http://promo.voipmania.com.br
> >
> > _______________________________________________
> > Lista de discussões AsteriskBrasil.org
> > AsteriskBrasil em listas.asteriskbrasil.org
> > http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
> > 
> 
> 
> 
> _______________________________________________
> http://www.voipmania.com.br
> Telefone IP sem fio Gigaset A580IP por 6 x R$59,90. 
> Promoção por tempo limitado!
> Acesse agora http://promo.voipmania.com.br
> 
> _______________________________________________
> Lista de discussões AsteriskBrasil.org
> AsteriskBrasil em listas.asteriskbrasil.org
> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
-- 
--

Rodrigo Graeff
ICQ: 9636816
http://www.delphus.org

Mais detalhes sobre a lista de discussão AsteriskBrasil