[AsteriskBrasil] Segurança, Iptable, ip valido no servidor, servidor na dmz...

Moisés Abrantes dos Santos moises.abrantes em ig.com.br
Quinta Outubro 8 09:02:04 BRT 2009 

é vou manter meu asterisk por ora atras de um firewall....


2009/10/7 Rodrigo Graeff <delphusbsd em gmail.com>:
>
> On Oct 7, 2009, at 6:38 PM, Moisés Abrantes dos Santos wrote:
>
> Não sou nenhum especialista em asterisk e linux, pelo contrario estou
> começando, trabalho quase 100% voltado para plataforma Microsoft e até
> o momento não vejo ninguem preocupado com a segurança ou divulgando
> informações relacionadas, talvez eu não esteja procurando de forma
> correta.....
> Não conheço nada de iptables
> meus comentários aos colegas
>
> 01 "nenhuma iptables é pra boiola, mantendo o asterisk sempre
> atualizado nao tem problema."
>
>           Problema não é só o asterisk, é o php (Frepabx,
> monast,billing, senhas default no banco, no asterisk....), mysql,
> portas do asterisk abertas... final do mês conta nas alturas e a
> pergunta fica quem foi, você descobre que foi invadido, você paga a
> conta, fala o que na empresa?
>
>
>
>
> 02 "Concordo com o Itamar, preocupe-se com backups, deixe apenas os
> serviços necessários rodando neste linux bem atualizado, mude a porta
> do ssh e, se possível não deixe acesso externo com apache com php e
> mysql.
> As vezes se perde 4 horas fazendo um super script de um packet filter
> qualquer, quando se da conta que uma simples rotina de backup seria
> mais fácil, no caso se uma invasão ou perda do host, uma instalação
> básica e um restore funcional não levariam 1 hora para serem feitos."
>
>         Gostei, mudar a porta do ssh, bloquear acesso php e mysql
> para ip externo, entendo isso como iptables para fazer de fomra
> centralizada, esse é o caminho que imaginei, seria a minha segunda
> pergunta essa como montar um script para iptables simples com regras
> de:
> Liberar apenas portas mysql, php, para rede iterna, no meu caso todos
> os ramais estão internos, apenas os trunks na internet mas isso fica
> pra depois
> Quanto a restaurar backup em caso de invasão eu prefiro não comentar
> já que isso é inadmissível no meu ponto de vista. (Sem brigas, apenas
> um ponto de vista)
>
>
> Inadmisssível meu amigo, porém não impossível, e se um dia vier a acontecer
> contigo, espero que tenhas backup :)
> Quando a bloquear portas externas, todos estes caras (apache mysql etc)
> possuem opções de listen e bind ipaddress, basta usar apenas os ips locais,
> pronto. Nao precisa de packet filters. Ou se preferir pode usar o
> /etc/hosts.deny também sem problemas.
> Agora se tiveres tempo a perder, estude iptables (pois ele vai mudar de
> novo, pra outro, quem sabe com uma sintaxe mais humana e mais decente). E la
> vem outro packet filter da família linux que todo o ano muda. Foi ipfwadm,
> depois ipchains, agora iptables, e vem outro... Haja vontade.  Não pretendo
> causar polêmica, mas se não for fazer uso de placas E1, considere usar um
> sistema mais robusto e mais seguro, um FreeBSD da vida e ai sim, com um pf
> para ajudar-lo, se realmente se fizer necessário.
> [ ]s
>
>
> _______________________________________________
> http://www.voipmania.com.br
> Telefone IP sem fio Gigaset A580IP por 6 x R$59,90.
> Promoção por tempo limitado!
> Acesse agora http://promo.voipmania.com.br
>
> _______________________________________________
> Lista de discussões AsteriskBrasil.org
> AsteriskBrasil em listas.asteriskbrasil.org
> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
>

Mais detalhes sobre a lista de discussão AsteriskBrasil