احتمالا تا به حال به بسیاری از افراد برخورده اید که سیستم های تلفنی آستریسکی آنها هک شده است و مجبور به پرداخت میلیون ها تومان به مخابرات شده اند و یا حتی شاید خودتان قربانی این حملات بوده اید، یک سرور ویپ همانند هر سرور دیگری نیاز به امن شدن دارد با این تفاوت که سرور های ویپ با توجه به ارزش بسیار بالای ترافیک تلفنی بین الملل دارای جذابیت بسیار زیادی برای هکر ها هستند.

بسیاری از هک های سیستم های تلفنی توسط روبات ها صورت می گیرند و آنها با سیستم های کد بار کاملا آشنا هستند، در صورتی که سیستم آستریسک خود را بر روی اینترنت قرار بدهید نیازی به بد شانسی برای هک نیست ! قطعا در یک بازه زمانی هک خواهید شد، پس فراموش نکنید سرور تلفنی خود را هرگز به اینترنت بدون محافظ و درنظر گرفتن نکات ایمنی متصل نکنید.

علاوه بر زیان بسیار مالی که خواهید کرد، این تلفن ها ممکن است شما یا شرکت شما را نیز بواسطه تماس هایی که گرفته می شود، در گیر موارد امنیتی، پلیسی کند که متاسفانه این اتفاق بسیار زیاد رخ می دهد فقط به این خاطر که نصب این سیستم ها توسط افراد غیر حرفه ای صورت می پذیرد.

اگر خود، متخصص الستیکس هستید حتما موارد و نکات زیر را در نظر بگیرید و اگر به عنوان یک کارفرما و یا علاقه مند این مطلب را میخوانید هرگز راه اندازی سیستم تلفنی خود را به اشخاص یا شرکت های غیر تخصصی ویپ نسپارید و حتما در مورد امنیت سرور جویا شوید.

نکاتی در رابطه با راه اندازی سیستم امنیتی Asterisk

اما نکات کلیدی زیر که می بایست همه این موارد را بر روی سرور آستریسکی خود از قبیل الستیکس (Elastix)، واک(Vaak)، ایزو آستریسک (AsteriskNow) و یا فری پی بی اکس (Freepbx) اعمال نمایید از این قرار است:

نکته اول: استفاده از IPTables لینوکس برای ایزو آستریسک AsteriskNow

اگر از ایزو asterisk استفاده کنید به طور حتم روی لینوکس هستید ! فایروال لینوکس که به نام IPTables شناخته می شود بر روی اکثر لینوکس ها به صورت پیش فرض وجود دارد، وظیفه این سرویس حیاتی بستن پورت های شبکه برای همه آی پی های بیرونی و یا دسترسی دادن فقط به یک گروه آی پی خاص است، اگر الستیکس دارید منوی security درواقع همین IPTables لینوکس است پس کار شما برای تغییر rule ها ساده است، اما اگر ایزو های دیگر را دارید با نصب برنامه webmin کار با این سرویس را به صورت گرافیکی انجام دهید و اگر لینوکس کار حرفه ای هستید می توانید با کامند برای IPTables قانون بنویسید.

نکته مهم این است که بدانید چه پورت هایی را سیستم شما نیاز دارد تا از کار نیافتد.

الزامی:

– پروتکل SIP: پورت ۵۰۶۰ بر روی tcp و udp- پروتکل RTP: پورت ۱۰۰۰۰ تا ۲۰۰۰۰ بر روی udp
– پروتکل IAX2: پورت ۴۵۶۹ بر روی udp

اختیاری:

– دسترسی محیط وب: پورت ۴۴۳ بر روی tcp
– دسترسی SSH: پورت ۲۲ بر روی tcp

نکته دوم: تغییر پورتهای شبکه رایج

پورت های برنامه های معروف را تغییر دهید، این کار می تواند تا حد بسیاری شما را از دست سیستم های هک اتوماتیک خلاص کند، از پورت های معروف و مورد استفاده می توانید به موارد زیر اشاره کرد.

– http:80
– ssl:443
– ssh:22

فراموش نکنید وقتی آنها را تغییر می دهید بهتر است یک پورت ۴ رقمی و غیر آشنا انتخاب کنید، مثلا پورت ۲۲ را به ۲۲۲۲ تغییر ندهید !

 نکته سوم: استفاده از NAT

NAT دوست شماست ! از آن حتما استفاده کنید، یعنی سرور خود را برای دسترسی به اینترنت، پشت NAT قرار دهید یا به عبارتی دسترسی از روی اینترنت به سرور شما مستقیم نباشد و از یک واسط استفاده شود، البته فراموش نکتید وقتی سرور پشت NAT قرار می گیرد باید مراقب ملاحظات پروتکل SIP نیز باشید.

نکته چهارم: استفاده از Fail2Ban

برنامه Fail2Ban برای جلوگیری از هک کاربر و رمز یک سیستم بواسطه تست صحیح و خطا تولید شده است، با سرویس ها و برنامه های مختلفی کار می کند، لاگ آنها را خوانده و در صورتی که ببینید کسی در حال سعی برای یافتن رمز یک کاربر است آی پی آدرس فرد را تا مدت زمان دلخواه شما بواسطه IPTables مسدود می کنید. در دل این برنامه الگوریتم خواندن لاگ های asterisk 11 نیز وجود دارد و نیاز زیادی به تغییرات نیست، Fail2Ban خیال شما را از این بابت راحت می کند.

نکته پنجم: اجازه ندهید داخلی شما از روی هر آی پی آدرسی رجیستر شود

اگر در آستریسک (الستیکس، فری پی بی اکس) یک داخلی بسازید، یکی از پارامتر های آن permit و دیگری deny است، که می توانید یک آی پی خاص و یا یک محدوده آدرس تعیین نمایید تا فقط در صورتی که داخلی از روی این آی پی ها درخواست رجیستر شدن ارسال کرد آستریسک مجوز آن را بدهد.

با این کار اگر داخلی و رمز آن به سرقت برود دیگر کسی از آی پی آدرس های غیر مجاز، نمی تواند با آن داخلی رجیستر شود، فرمت وارد کردن آی پی آدرس ها به شکل زیر است:

permit=<ipaddress>/<network mask>

deny=<ipaddress>/<network mask