یازده نکته طلایی برای امنیتasterisk آستریسک(قسمت۲)
یازده نکته طلایی برای امنیتasterisk آستریسک(قسمت۲)
در قسمت قبل توضیحاتی در خصوص امنیت آستریسک گفتیم و نکاتی را بیان کردیم حال به ادامه این مطلب میپردازیم.
نکته ششم: از Outbound های خود محافظت کنید.
می دانید Outbound ها در واقع راه های خروج از سیستم به سمت یک مخابرات و یا سرویس دهند های اینترنتی هستند، مقاصدی که برای ارسال تمای آنها هزینه زیادی پرداخت می کنید، در واقع بخش نگران کننده هک شدن سرور شما همین قسمت است، تمام تلاش را می کنیم تا یک هکر به مسیر های رو به بیرون سیستم تلفنی ما درسترسی پیدا نکند.
در یک سیستم آستریسکی بخصوص سیستم هایی که از Freepbx استفاده می کنند، شما در حین تعریف یک Outbound Route می توانید مواردی را درنظر بگیرید که کار یک هکر را سخت تر کند به عنوان مثال:
۱٫ برای Outbound Route های خود رمز بگذارید.
۲٫ Outbound Route های خود را فقط برای افراد محدودی قابل استفاده کنید، این کار بواسطه کاراکتر / در Dial Pattern نویسی امکان پذیر است.
۳٫ Outbound Route های خود را فقط برای یک بازه زمانی خاص فعال کنید، این امکان بواسطه Time Group آستریسک امکان پذیر است. نیازی نیست مسیر تماس های بین الملل (۰۰) شرکت شما در شب نیز که کسی در محل کار نیست فعال باشد!
نکته هفتم: استفاده رمز های عبور خاص
شما با همین نکته بسیار ساده جلوی بسیاری از هکر های Bot (اتوماتیک) را می گیرید، به همین سادگی، فقط هنگام تعریف رمز با دقت انتخاب کنید!
یک رمز قوی تا این لحظه یعنی سال ۲۰۱۵ یک کلمه ترکیبی از عدد، حروف (کوچک و بزرگ)، نشانه و با طول حداقل ۱۲ کاراکتر است، اگر فکر می کنید سخت است کافی است آن را با کلماتی بسازید که در ذهن شما می ماند و برای انتخاب رمز بعدی از همین الگوریتم استفاده نمایید، مثلا من می خواهم برای داخلی های asterisk خود رمز بگذارم.
داخلی ۱۱۰۱ رمز: GoRbEYeChAgH@!1101
داخلی ۱۱۰۲ رمز: GoRbEYeChAgH@!1102
داخلی ۱۱۰۳ رمز: GoRbEYeChAgH@!1103
می بینید، حفظ کردن همه رمز ها ساده است حتی اگر ۱۰۰۰ تا داخلی بسازم درحالی که رمز من بسیار پیچیده است.
نکته هشتم: تعداد مکالمات همزمان امکان پذیر را کاهش دهید.
در الستیکس ۲٫۵ یا بهتره بگویم روی آستریسک ۱۱ این امکان وجود دارد که شما به راحتی تعداد مکالماتی که یک داخلی به طور همزمان می تواند انجام دهد را محدود نمایید، شاید یک داخلی اگر روی یک گوشی ۴ خطه هم باشد باز به بیش از ۴ امکان تماس به بیرون در آن واحد نیاز نداشته باشد خود هنگام تعریف داخلی کافی است گزینه Outbound Concurrency Limit را با عدد دلخواه پر کنید.
همین طور در بحث ترانک های نیز می توانید در گزینه Maximum Channels تعداد مکالمات همزمان امکان پذیر روی ترانک را محدود کنید که این گزینه هم کمک می کند در صورتی که هک می شوید ضرر زیادی نکنید.
نکته نهم: لاگ های خود را همیشه بررسی کنید.
خوشبختانه روی آستریسک ۱۱ که الستیکس ۲٫۵ نیز از همین نسخه استفاده می کند، یک نوع لاگ برای امنیت Security در نظر گرفته شده است که در صورت بروز مشکلات امنیتی در آستریسک و لاگ فایل جزئیات آن با تگ Security درج می گردد.
خوب حتما می دانید مسیر لاگ های آستریسک در پوشه : /var/log/asterisk است.
اما نکته این جاست که این نوع لاگ به طور پیش فرض در الستیکس غیر فعال است و ما باید آن را فعال کنید، برای این منظور راه کار زیر را پیروی کنید:
۱٫ فایل /etc/asterisk/logger_logfiles_custom.conf را جهت ویرایش باز کنید (می توانید از Winscp استفاده کنید)
۲٫ خط زیر را به فایل اضافه نمایید.
security => security
۳٫ حال شما در پوشه /var/log/asterisk یک فایل جدید خواهید داشت به نام security که لاگ های امنیتی شما را نگهداری می کند.
نکته دهم: استفاده از فایر وال
همیشه سرور ویپ خود را پشت یک فایروال قوی و حرفه ای بگذارید، تمام نکات بالا را انجام دادیم اما یک فایروال خارج از سیستم می تواند امنیت ما را تضمین کند، این فایروال باید برای ترافیک ویپ، حملات ویپ و نکات مهم در این تکنولوژی تنظیم شود، پس علاوه بر فایروال به یک متخصص امنیت و آشنا به ویپ نیاز دارید تا این محصول را برای شما به درستی تنظیم کند.
نکته یازدهم: امن کردن مکالمه با TLS/SRTP
۱۰ نکته قبلی برای مقابله با هکر ها بود، کسانی که دنبال نفوذ به سیستم و دزدیدن ترافیک هستند، اما هنوز صحبت های شما قابل شنود است و حتی اطلاعات مکالمه ممکن است به راحتی در اختیار افراد قرار گیرد، خوب پروتکل SIP همانند HTTP کاملا آشکار (Clear) است، شما بر روی asterisk با امکان TLS پیام های کنترلی را رمز گزاری می کنید و همچنین با استفاده از SRTP پیام های صوتی یا همان صوت را رمز گزاری می کنید که دیگر کسی امکان شنود مکالمه را نیز نداشته باشد.
کار شما برای راه اندازی TLS کمی زیاد خواهد بود، می توانید با مقاله داخل wiki آستریسک این کار را انجام دهید، برای این مورد نیاز به Self Signed Certification است دقیقا مثل سایت های HTTPS.
اما راه اندازی SRTP راحت است، کافی است شما پس از ساخت داخلی دوباره وارد تنظیمات آن روی سرور بروید و گزینه Encryption را برابر Yes قرار دهید، البته از این لحظه به بعد IPPhone یا Softphone شما نیز باید با SRTP فعال شده اقدام به برقراری تماس کند.