Asterisk安全性討論

電腦超人

剛剛角色兄說到他的NAS Asterisk Server掛掉...可能是log太大...
我便想起我的IP01早陣子經常掛掉的原因也好像是log過大而導致整個系統掛了...

早幾天角色兄跟我說我的IP01又掛了...我便查了一下log...
裡面看到除了一大堆connection error(是某trunk經常不能連上產生出來的)外...
還看到了有外邊的人企圖登入我的IP01...
而且採用的方式好像更是由0000開始...不斷的+1去嘗試登入...

其實我們一直在討論如何建立asterisk...但好像不太提安全性...
其實Asterisk的安全性也是重要的一環...我覺得重要程度可能比起討論穩定性及如何建立更重要...
因為大家建立Asterisk後...基本上也會連上PSTN...
若被成功盜用來撥電話的話...損失便大了...(尤其被人撥打IDD後...)
我在日本的VoIP論壇看到有人的asterisk被外人成功登入...更撥出了十四萬Yen的IDD(約港幣一萬一千多/台幣四萬七左右)...

另外...攻擊的源頭很多時可能會是國外的(例如中國/美國...等等...)
要控告或追討跟本是不可能的事...
所以這個問題是不容忽視...

在日本...他們建議在sip.conf中加上allowguest=no
我現在的方法是在dialplan中著手...只allow某些撥號方式的calling rule...
例如設定好香港本地電話[23569]xxxxxxx
其餘的撥號方式便不行...
(例如設定為[0-9]x. 是很方便啦...但會令黑客成功撥打IDD而導致損失...)

大家還有相類似經驗嗎?請提出來討論一下吧~

bubblestar

呢個security 問題一直是很多人關注的課題，其實於Asterisk / SIP 裡使用 Encryption，已於數年前開始了。

The Zfone Project - Asterisk PBX Support

Zfone software 配合大家本身的Sip Client 也可以當成 secure voip phone 使用。

另外，大家可以看看兩部 iPhone 如何進行 Encrypted Call.  據說在其他平台上，例如 NOKIA E72 一樣可以。  
Encrypted Call on iPhone using Cellcrypt Mobile

更多例子，可以往這裡看，有很多Youtube 片子讓大家參考的。http://www.1913intel.com/2009/07/12/encryption-for-voip-calls/

角色

我估计要encryption才能解决，不过我们很少这样做。

角色

雯雯

問題雯雯又有問題問, 如果只是將IAX port set port forward, client也是用IAX的話, 安全性如何?

ckleea

請留意 alang 網頁的安全指引

角色

当然可以。

角色

雯雯

可否在Asterisk設定允許撥打某些字頭開頭的電話號碼, 其他字頭開頭的電話號碼需要先通過密碼認證才可以撥出?

bubblestar

Thanks for additional information and remind.  I will pay attention to these areas when doing GUI and APL combination.

ckleea

There are several more options we discussed in the afternoon.

1. use web for central administration. I use SSL-VPN if possible. Now my router allows me to do so.
2. disable remote access via SSH and FTP to the IP0x box. It is dangerous. Also change the default root password to some other you like
3. GUI for asterisk is only for status review and very simple function. We have to find out the right combination. Perhaps disable administrative rights from internet connection unless you can do so in 4 below
4. you may need to limit the IP allowed to connect but only apply to fixed IP.

bubblestar

Good idea!

I used to run my Asterisk either via APL or GUI.  Your suggested way of running it via a mixed mode seems more efficient and effective when we need to administer our server.

Will persue in this direction.

ckleea

To me, I use GUI to check if asterisk is running and to create user over the web. Dial plan and other functions are done via APL.
But GUI gives me an idea when I am far away from home where I can't use SSH.

bubblestar

可能大家已經知道，但我卻一直都沒有發現，慒然不知。 原來 Asterisk GUI 的 User Extention 密碼是有限制的，只能用英文大小寫及數字組合，並不能加入符號；而在APL自行編寫就沒有此限制了。 怪不得一直不能接通，一改用安全性較低而沒有符號密碼時，即刻能把內線接通。

看來ASTERISK 的 GUI 要改善一下呢方面的保安漏洞了。

還有一樣，就是進入GUI首頁時的密碼也不能設定符號，否則也不能進入。真有些奇怪，人家其它的ROUTER，SWITCH都是行GUI，都可以容許加入符號作密碼，它仲係咁落後。

bubblestar

樣子好有當年大牛龜水壺電話的味道。  超平啦!!!

天線就是右邊很粗的東西，有機會幫你留意一下。 早一兩個月去筲基灣東大街，見到一間買電子器材及零件鋪頭，見到有衛星電話賣，相信是給漁民出海用，也有天線賣，嗰度近漁港避風塘嘛。

點解你地個個部IP01都有問題嘅??  我部就無咩事幹，不過我都打算換switchfin firmware，因為好似好玩D穩定D。 呢部機的原創者的那位澳洲DAVID ROWE說，呢粒CPU在embedded 類別之中算是強勁者之一，所以專登用它作開發的，不要浪費啊!

至於Asterisk 1.8，也是我目標呢!  等下星期有空再攪。

ckleea

回復 21# 電腦超人

你的IP01 hang 機，用ATCOM firmware？

用 Asterisk 1.8 都唔錯，暫時有嘅問題:
1. GUI not working well especially with IE8
2. CLI console 怪怪地
3. 冇 iLBC codec
4. 未識用 fax

電腦超人

嘩! 衛星電話超人兄都有一部，真係超人的電話喎  好似都要幾千大元以上一部呢。

至於DP 要咁多限制，如 ...
bubblestar 發表於 2010-11-4 21:41

我手頭上的只可用GSM網絡(左邊的)...要配上衛星天線(右邊的)才可用到衛星電話功能(右邊的)...

PS:當年其士店有少量賣...好像六百多還是八百多元吧...當年是用第一份Part-time的人工去買的...

嗯~Dialplan我是放在IP01裡啦...
不過最近常常掛掉...現在索性將時間放在建一台asterisk好了...
(嗯~乾脆用1.8好了~)