© Никоноров М.Ю, 2014 
100 
б) Выключим samba из автозагрузки:
chkconfig smb off 
7.17 Дополнительная защита 
а) Звоним провайдеру и просим, чтобы он запретил международные звонки (если они нам не нужны)
б) Звоним провайдеру и просим, чтобы он ограничил максимальную стоимость звонков в месяц 
(установил лимит) ну например в 10000 р. Тогда никто не сможет наговорить на миллионы рублей. 
в) Если вам нужен частый УДАЛЕННЫЙ доступ через putty к Asterisk, то лучше будет устанавливать 
защищенное VPN соединение.
г) Не забываем сделать нормальные пароли к веб-интерфейсам аппаратных телефонов (если Вы их 
используете). В некоторых моделях можно поменять http порт. Смена http порта с 80 на любой другой 
значительно усложнит задачу злоумышленникам попасть на веб-интерфейс конкретного телефона.
7.18 Итоги обеспечения безопасности 
Таким образом мы значительно повысили безопасность нашего Asterisk сервера. Никто не может 
приконнектить свой сипфон или же просто подключиться к нашему астериску как-либо (через Apache, 
putty, samba и т.п) если он находится вне нашей локальной сети и тем более не знает порта. Никто не 
знает наши порты - мы их все поменяли. Никто не сможет нас просканировать - мы поставили защиту от 
сканирования. Никто не сможет совершить DOS или DDOS атаку - его ip сразу заблокируют, а админ 
сразу узнает об этом. Никто не сможет подключиться к putty не имея сертификата, никто не сможет 
совершить международный звонок без ведома админа (ему приходит e-mail), у нас установлены 
сложнейшие пароли к sip-клиентам, никто не сможет подобрать пароли к sip-клиентам поскольку 
Asterisk больше не сообщает о том, правильный пароль или нет, есть ли такой sip клиент (номер) или 
нет. Никто не сможет назвонить на сотни тысяч рублей, поскольку мы поставили ограничение (лимит) 
на уровне провайдера. 
Никто не сможет гарантировать Вам сто процентную защиту от взлома, однако, чтобы взломать нашу 
систему потребуется очень высокая квалификация взломщиков и большие деньги.

© YouTube канал DarkMaycal Sysadmins, 2014 
101 
Статьи: 
http://habrahabr.ru/post/188440/ - главная статья по обеспечению безопасности Asterisk 
http://www.it-kub.ru/home/35-articles/54-bezopasnostasterisk.html - изменяем порт ssh, создаем нового 
пользователя ssh, запрещаем root'у подключаться через ssh, а так же устанавливаем дополнительный 
компонент управления iptables с возможностью ведения логов 
http://www.pbxware.ru/blog/2011/06/7/sem-shagov-po-uluchsheniyu-bezopasnosti-asteriska/ - Семь шагов 
по улучшению безопасности Астериска 
http://nagg.ru/2011/03/vzlom-i-zashhita-vashego-servera-asterisk/ - методика взлома asterisk с помощью 
linux программы sipvicious, статья 1 
http://www.pvsm.ru/vzlom/8418 - методика взлома asterisk с помощью linux программы sipvicious, статья 
2 
http://vimeo.com/2524735 - программа для взлома SIP c GUI интерфейсом 
http://linuxru.org/linux/56 - команды iptables для дополнительной защиты от сканирования портов 
http://habrahabr.ru/company/myasterisk/blog/130325/ - настройка пропускной способности SIP (защита 
от большого количества трафика, т.н DDOS атаки) 
http://ru.wikipedia.org/wiki/Loopback - о lo интерфейсе в Linux 
http://www.randstuff.ru/password/ - хороший генератор паролей 
http://www.fail2ban.org/wiki/index.php/Asterisk - настройка Asterisk + fail2ban 1 
http://habrahabr.ru/post/194356/ настройка Asterisk + fail2ban 2 
http://putty.org.ru/articles/fail2ban-ssh.html - настройка Asterisk + fail2ban 3 
https://www.digitalocean.com/community/articles/how-to-protect-ssh-with-fail2ban-on-centos-6 - 
подключение репозитория для загрузки fail2ban 
http://www.fail2ban.org/wiki/index.php/MANUAL_0_8 - как составить шаблон для fail2ban (в конце файла) 
http://www.lissyara.su/articles/freebsd/security/fail2ban/ - команда fail2ban-regex (проверить работу 
шаблона по поиску совпадений в лог-файле) 
http://nmap.org/man/ru/man-port-scanning-techniques.html - Различные приемы сканирования портов 
http://nmap.org/man/ru/man-port-scanning-basics.html - Основы сканирования портов 
http://www.howtoforge.com/xtables-addons-on-centos-6-and-iptables-geoip-filtering - установка xtables-
addons
http://vds-admin.ru/ssh/ssh-autentifikatsiya-po-klyucham-ispolzovanie-programm-ssh-keygen-i-ssh-agent - 
сертификация ssh 
http://habrahabr.ru/post/188440/ - сертификация ssh 2 

© Никоноров М.Ю, 2014 
102 

Download 1.04 Mb.

Do'stlaringiz bilan baham: