セキュリティを改善するための7つのステップAsteriska

SIP端末​​に対する攻撃の数が大幅に増加した理由を疑問に思った方がいたら、答えは「幼稚ないたずら」です。 過去数か月で、アスタリスクやSIP端末​​を簡単に攻撃する新しいソフトウェアの数が大幅に増えました。 SIPデバイスを検出し、有効な内線番号をスキャンして、それらのパスワードを見つけようとする、簡単にアクセスできるネットワークスキャナーが多数あります。



これで、ステップバイステップで、SIPホストのセキュリティに関連する問題のほとんどをすぐに解決できます。



画像



VoIPコミュニティはAsteriskベースのソリューションと動的保護システムの統合に関心があるようです(コミュニティのブラックリストはフォーラムで熱く議論されています)が、これはVoIPインフラストラクチャを保護するための新しいプログラムやソリューションを期待する必要があるという意味ではありません。 ますます多くの攻撃からアスタリスクサーバーを保護するための対策を講じることができます! 保護の方法と手段はすでに存在します-それらを適用するだけで、あなたは夜により多くの夜寝ます!



最初のステップ

すべてのIPアドレスからのSIPネットワークからの認証要求を受け入れないでください。 これを行うには、sip.conf構成ファイルの「permit =」および「deny =」オプションを使用して、各SIPユーザーのIPアドレスの正しいサブセットを許可します。 「誰」から着信コールを受信した場合でも([デフォルト]セクションのオプション)、これらのユーザーが認証を必要とするアイテムにアクセスすることを許可しないでください。



第二段階

sip.confでオプション「alwaysauthreject = yes」を常に設定します。 このオプションはAsetriskバージョン1.2で最初に導入されましたが、今日までデフォルト値は「no」です。 オプションを「yes」に設定すると、不正なユーザー名と無効なパスワードの両方に対する不正な認証が拒否され、攻撃者がブルートフォース攻撃を使用して既存の拡張子を検出できなくなります。



第三段階

SIPオブジェクトには強力なパスワードを使用します。 この手順は、おそらくSIPネットワークを保護する上で最も重要です。 パスワード選択の手段がどれだけ高度でインテリジェントであるかを見れば、そのような些細な難読化を簡単にバイパスできる現代のプロセッサーを理解できます。 文字、数字、大文字と小文字を使用し、パスワードを12文字以上にしてください!



第4ステップ

アスタリスク管理インターフェイス(AMI)のポートをブロックします。 manager.conf構成ファイルで、「permit =」および「deny =」行を使用して、信頼できるホストのみの管理インターフェースへの着信接続を絞り込みます。 強力なパスワードフェーズの場合と同様に、少なくとも12文字の長さの複雑なパスワードを作成します。



第5ステップ

ごちそうの同時通話数を2セッションに制限します(通話制限オプション)! そのため、すでに正しいユーザー名とパスワードを取得している詐欺師の行動を制限します。 正当なユーザーがパスワードを秘密にし、電話のSIPケースに直接パスワードを書き留めないようにしてください。 それが起こる!



第六ステップ

ユーザー名が拡張子と異なることを確認してください。 たとえば、「1234」などの内線番号は、「1234」という同じ名前のユーザー名に対応できますが、ユーザーのネットワークカードのMACアドレスまたはユーザーが対応する内線番号とmd5アドオンの組み合わせに一致するSIPユーザー名を作成することをお勧めします。 これは、シェルコマンドラインから直接次のように実行できます。



md5 -s ThePassword5000



第7ステップ

[デフォルト]コンテキストが安全であることを確認してください。 認証されたユーザーが有料通話を発信できるコンテキストを入力できないようにしてください! 限られた数の呼び出しのみが[default]コンテキストを通過することを許可します(GROUP関数をカウンターとして使用できます)。 sip.confファイルの[general]セクションでオプション「allowguest = no」を設定することにより、すべての認証されていない呼び出しを拒否します(そのような呼び出しをまったく行わない場合)。 そして、[デフォルト]にエントリを1つだけ残しておくことをお勧めします-ハングアップ。



おわりに

上記の7つの基本的な保護手順により、ほとんどのAsteriskインストールを保護できますが、さらに複雑な手順もあります。 たとえば、fail2banユーティリティを使用すると、サーバーで確立された登録試行の制限を超えた後、最終的なSIPデバイスへのサーバーリソースの使用を禁止(「禁止」)できます。 これは、VoIPシステムにとって非常に必要で便利なセットアップです。



スキャン、ハッキング、およびパスワード推測ユーティリティがGUIインターフェースを介してどのように機能するかの例を見ることに興味がある場合は、このビデオクリップを見ることができます。







基本的な保護方法を使用すると、ブルートフォース方式、つまり辞書の平凡な列挙を使用して、基本的な攻撃からSIPインフラストラクチャを保護できます。 ほとんどの攻撃者は、ネットワークインフラストラクチャに侵入する強力なツールを備えた無能な人々です。 彼らにとって、これらはSIPインフラストラクチャのセキュリティに十分な注意を払っていない人々にとっては簡単なお金のツールです。 アスタリスクには、サーバーに対する最も明らかな攻撃を防ぐための組み込みツールがいくつかありますが、最も効果的な保護方法は、依然として複雑なユーザーパスワードと不明なシステムユーザー名です。



DigiumのJohn Toddの記事の翻訳。



MyAsteriskチームが情報を収集および準備しました



All Articles