<div dir="ltr">Judson,<div><br></div><div>A grande questão é que você tem vários serviços disponíveis para a internet e precisa proteger todos. Por exemplo, você falou que vai utilizar o elastix, ok? No elastix você tem:</div><div><br></div><div>- Email ( smtp, pop3, imap... )</div><div>- Servidor WEB Apache e diversas aplicações web </div><div>- Serviço de acesso remoto via SSH</div><div>- FOP</div><div><br></div><div>Você não pode bloquear tudo caso contrário nem você acessa de fora a sua central. Então ai onde deve entrar a sua política de acesso externo ao equipamento. Vou exemplificar aqui, de forma bastante simplificada:</div><div><br></div><div>Primeiro ponto: Desativar os recursos não essenciais ao seu serviço. Exemplo, não vai hospedar email? Desative tudo, SMTP, pop3, imap, etc... Não vai usar o IM? Desative o openfire.</div><div><br></div><div>Segundo ponto: Filtrar ou criar barreira para os acessos administrativos. Você realmente precisa acessar a console do Elastix de fora da sua rede? Limite os acessos, deixe o acesso ao apache apenas a partir de dentro da sua rede. Quanto ao SSH, eu acho importante deixar liberado, mas:</div><div>-- Altere a porta padrão do serviço, mude a porta 22 algo tipo 22022</div><div>-- Não permita login remoto do usuário root direto</div><div>-- Crie um usuario de administração no Linux, garanta privilégios com SUDO e só permita o login desse usuário a máquina</div><div>-- Desative autenticação por senha, só permita logar SSH com autenticação via certificado</div><div><br></div><div>Terceiro ponto: O seu asterisk vai estar aberto para o mundo a não ser que você filtre por regiões ou não permita ramais externos. Mas se não for o caso, você precisar de ramais externos, você precisa trabalhar a segurança das senhas. Nesse ponto entra o Fail2ban, que é justamente o seu auxiliio para bloquear os camaradas tentando quebrar suas senhas, mas em ataques de força bruta distribuidos, não ajuda muito. :)</div><div><br></div><div>Mas o mais importante é entender que, mesmo depois de adotar tudo o que você considera como necessário para ter uma boa segurança, você precisa ACOMPANHAR, sempre.</div><div><br></div><div>Abraços!</div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">2016-02-17 18:32 GMT-03:00 Judson Júnior <span dir="ltr"><<a href="mailto:judson.jcj@gmail.com" target="_blank">judson.jcj@gmail.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div><div><div><div><div>Senhores,<br><br></div>Gostaria de colocar um pouco (ou melhor, bastante) de segurança nas minhas instalações Asterisk. Escolhi usar o Elastix 2.5.0.<br></div><br></div>Tendo isso em mente, penso no Fail2Ban + iptables como primeiro passo, mas não parar aí. Já li que a segurança dessa dupla sobre o Asterisk não é muito boa.<br><br></div>Para onde deve mirar? Será o caso de Session Border Controller com OpenSIPs ou Blox?<br><br></div>Para um Asterisk que vai ter um tronco SIP com alguma operadora com número remoto, remais instalados em Smartfones acessando meu Asterisk, o que vocês recomendam?<br><br></div><div>Por enquanto não é o objetivo usar SRTP. Quero me limitar à evitar invasão do PABX e ligações não autorizadas.<br></div><div><br></div>Obrigado.<br><div><div><div><br><br></div></div></div></div>
<br>_______________________________________________<br>
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1<br>
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7<br>
Intercomunicador e acesso remoto via rede IP e telefones IP<br>
Conheça todo o portfólio em <a href="http://www.Khomp.com" rel="noreferrer" target="_blank">www.Khomp.com</a><br>
_______________________________________________<br>
Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature"><div dir="ltr"><br>Alejandro Flores<div>
Office: 81 4062-9805<br>
Mobile: 81 8186-9432<br><a href="http://www.triforsec.com.br/" target="_blank">http://www.triforsec.com.br/</a><br>
<a href="http://www.dialtelecom.com.br/" target="_blank">http://www.dialtelecom.com.br/</a></div></div></div>
</div>