اهمیت امنیت استریسک و ایزابل
هک های سیستم های مختلف معمولا به وسیله ربات ها انجام می شود زیرا این ربات ها با سیستم های کد باز آشنایی کاملی دارند. اگر از برنامه امنیت استریسک و ایزابل را بر روی سیستم خود استفاده نمایید، می توانید مشکل هک شدن سیستم را به میزان قابل توجهی برطرف نمایید.
این نکته را در نظر داشته باشید که هر سیستمی قابلیت هک شدن دارد. از این رو پیش از اتصال به اینترنت، حتما از یک محافظ مناسب استفاده نمایید یا این که به نکات ایمنی توجه شایانی داشته باشید. این فرایند نه تنها ممکن است زیان مالی بسیاری برای شما به همراه داشته باشد، بلکه می تواند شرکت یا شما را با موارد امنیتی نیز مواجه سازد ،تنها به دلیل این مسئله که موارد امنیتی بر روی سیستم در نظر گرفته نشده است و این سیستم ها توسط افراد غیر حرفه ای نصب شده اند. در صورتی که خود متخصص الستیکس می باشید، بهتر است نکات زیر را در خصوص امنیت استریسک و امنیت ایزابل و الستیکس در نظر بگیرید.
در صورتی که یک کارفرما هستید، به هیچ عنوان راه اندازی سیستم تلفن ویپ خود را به شرکت ها و اشخاصی که در زمینه ویپ تخصص ندارند نسپارید. زیرا این مسئله می تواند مشکلات امنیتی برای شما به همراه داشته باشد.
امنیت استریسک
نکاتی در خصوص امنیت استریسک و ایزابل
مهمترین نکاتی که لازم است بدانید و بر روی سرور های استریسکی همچون فری پی بی اکس(Freepbx)، الستیکس(Elastix)، ایزو استریسک (AsteriskNow) و واک(Vaak) اعمال نمایید، عبارتند از: استفاده از IPTables لینوکس،استفاده از NAT،تغییر دادن پورت های شبکه رایج،استفاده از Fail2Ban،محافظت از Outbound ها،عدم رجیستر داخلی از روی هر ادرس آی پی،استفاده از رمز های عبور دشوار،بررسی نمودن همیشگی لاگ ها،کاهش تعداد مکالمات همزمان،استفاده از فایروال و امنیت استریسک بخشیدن به مکالمات با TLS/SRTP که در ادامه به تفصیل بخ بررسی هر یک از آنها خواهیم پرداخت:
استفاده از IPTables لینوکس در ویپ جهت تامین امنیت استریسک
در صورتی که از ایزو استریسکی استفاده نمایید، بی تردید سیستم شما بر روی لینوکس قرار گرفته است. فایروال های لینوکس، با نام IPTables شناخته می شوند و بر روی تمامی لینوکس ها به صورت پیش فرض قرار دارند. وظیفه این سیستم ها بستن پورت های شبکه برای ایجاد امنیت استریسک می باشد تا IP های بیرونی قادر به دسترسی به سیستم نداشته باشند. یا این که تنها به یک آی پی اجازه دسترسی به سیستم داده شود. در صورتی که از سیستم الستیکس برخوردار باشید، می توانید بر روی منوی security، سیستم لینوکس را مشاهده کنید.
با استفاده از این سیستم ها، تغییر رل ها آسان خواهد بود. اما در صورتی که ایزوهای دیگری داشته باشید، نیاز به نصب برنامه webmin خواهید داشت تا کار با این سرویس را به صورت گرافیکی انجام دهید. از سوی دیگر اگر لینوکس کار حرفه ای می باشید، قادر خواهید بود برای لینوکس خود قانون های خاصی بنویسید.
نکته مهمی که در خصوص این سیستم امنیت استریسک باید بدانید این است که، بدانید کدام یک از پورت ها نباید بر روی سیستم شما از کار افتند. از جمله پورت های اختیاری و الزامی باید به موارد زیر اشاره نماییم:
پورت های اختیاری:
- دسترسیSSH: پورت 22 بر روی tcp
- دسترسی محیط وب: پورت 443 بر روی tcp
پورت های الزامی:
- پروتکل IAX2: پورت 4569 بر روی udp
- پروتکل RTP: پورت 10000 تا 20000 بر روی udp
- پروتکل SIP: پورت 5060 بر روی tcp و udp
امنیت ایزابل
استفاده از NAT در استریسک جهت تامین امنیت استریسک
ان ای تی را باید دوست شما به شمار آوریم. بهتر است برای ایجاد امنیت استریسک از آن استفاده نمایید. اگر سرور های سیستم خود را در پس این سیستم قرار دهید، دسترسی از روی اینترنت بر روی سرور های سیستم شما به صورت مستقیم انجام نخواهد شد.
این سیستم در واقع حکم یک واسط را داشته و از سرور مراقبت می کند. البته این مسئله را نیز در نظر داشته باشید که برای استفاده از NAT، لازم است مراقب ملاحظات پروتکل سیپ نیز باشید.
تغییر دادن دوره ای پورت های شبکه رایج
پورت های برنامه های معروف بر روی سیستم را تغییر دهید. با تغییر پورت ها می توانید امنیت استریسک سیستم خود را تامین کنید و از دست هک اتوماتیک سیستم خود خلاص شوید. از جمله معروف ترین پورت ها باید به موارد زیر اشاره نماییم:
- ssh:22
- http:80
- ssl:443
این نکته را به خاطر داشته باشید که با تغییر دادن آنها، بهتر است پورت 4 رقمی غیر آشنا انتخاب نمایید. مثلا نباید پورت 22 را به به پورت 2222 تغییر دهید.
افزایش امنیت استریسک
استفاده از Fail2Ban در ویپ جهت تامین امنیت استریسک
برنامه Fail2Ban یکی از برنامه های عالی برای برقراری امنیت استریسک می باشد و از هک کاربر و رمز سیستم جلوگیری می نماید. این برنامه با استفاده از برنامه ها و سرویس های مختلفی کار می کند، و اگر ببیند شخصی قصد دارد رمز کاربر را بیابد، تا زمان دلخواه اقدام به تغییر آدرس آی پی فرد می نماید.
علاوه بر این نیز توسط سیستم IPTables آن را مسدود می نماید. این برنامه قابلیت خواندن الگوریتم های امنیت استریسک 11 را نیز دارد. از این رو نیازی نیست زیاد آن را تغییر داد. با استفاده از این برنامه می توانید با خیال راحت از سیستم متصل به اینترنت خود استفاده کنید.
جهت آشنایی کامل با نحوه راه اندازی Fail2Ban در ایزابل اینجا کلیک کنید.
محافظت از Outbound ها در ایزابل جهت تامین امنیت استریسک
Outbound ها راه های خروجی هستند که از یک سو به مخابرات، و از سوی دیگر به سرویس دهنده های اینترنتی متصل هستند. این مقصد ها نیاز به هزینه زیادی برای ارسال دارند. باید بگوییم خطرناک ترین قسمت سیستم های شما برای هک شدن، دقیقا همین بخش می باشد.
امنیت سیستم ویپ
لازم است برای برقراری امنیت استریسک سیستم، تلاش کنیم هکر به مسیر های رو به بیرون سیستم تلفن دسترسی نیابد. در سیستم های استریسکی که از Freepbx پشتیبانی می کنند، در حین تعریف Outbound Route باید به این مسئله توجه نمایید که اگر موارد زیرا را به کار ببرید، می توانید دسترسی هکر به سیستم را دشوار نمایید:
- رمزگذاری برای Outbound Route
- محدود نمودن دسترسی افراد به Outbound Routeها. این کار به وسیله کاراکتر در Dial Pattern نویسی میسر می شود.
- فعال کردن Outbound Route ها تنها برای یک بازه زمانی مشخص. این فرایند را می توانید توسط Time Group استریسک انجام دهید. برای امنیت استریسک بیشتر لازم نیست در شب که کسی در شرکت حضور ندارد، مسیر های تماس بین المللی را فعال نماید.
عدم رجیستر داخلی از روی هر آدرس IP در ایزابل جهت افزایش امنیت استریسک
اگر در امنیت استریسک یک داخلی ایجاد کنید، دارای پارامترهایی همچون permit و deny خواهد بود. که این پارامتر قادر است یک آی پی خاص یا محدوده آدرس مشخص تعیین کند. تا تنها زمانی که داخلی از روی این آدرس های آی پی درخواست رجیستر می کند، برنامه استریسک به آن اجازه دهد.
با این روند در صورت به سرقت رفتن رمز و داخلی، دیگر کسی قادر نخواهد بود از آدرس آی پی غیر مجاز استفاده کند. تا به داخلی درخواست رجیستری ارسال نماید. معمولا فرمت وارد کردن آدرس IP در استریسک به این صورت است:
deny=<ip address>/<network mask>
permit=<ip address>/<network mask>
راه های افزایش امنیت استریسک
استفاده از رمز های عبور دشوار جهت افزایش امنیت استریسک
یکی دیگر از نکاتی که باید در خصوص امنیت استریسک به آن توجه نمایید، استفاده از رمز عبور های دشوار است. شما تنها با این روش نیز می توانید به سادگی از دسترسی هکرها به سیستم خود به صورت اتوماتیک جلوگیری نمایید. این نکته را در نظر داشته باشید که در زمان تعریف رمز عبور، با تسلط و دقت بالایی این فرایند را انجام دهید.
قوی ترین رمز های عبور، در اصل رمز هایی هستند که ترکیبی از عدد، حروف کوچک و بزرگ و یک نشانه با کاراکترهایی بیش از 12 عدد است. اگر تصور می کنید که این رمز عبور برای شما دشوار است، بهتر است از کلماتی آن را بسازید که در ذهن شما باقی بماند. برای امنیت استریسک نیز بهتر است از این کاراکتر استفاده شود. همچون نمونه ها زیر:
داخلی 1101 رمز: ThIs ExTeNsIoN@!1101
داخلی 1102 رمز: ThIs ExTeNsIoN@!1102
داخلی 1103 رمز: ThIs ExTeNsIoN@!1103
به ذهن سپردن تمامی رمز ها کار دشواری نیست. می توانید بیش از 1000 داخلی با این رمز ها ساخته و آنها را در عین پیچیدگی به خاطر بسپارید.
امنیت استریسک بر روی ایزابل و الستیکس
بررسی مداوم لاگ های استریسک جهت افزایش امنیت استریسک
بر روی برنامه استریسک 11 که در اصل الستیکس 2.5 نیز از همین برنامه استفاده می کند، یک لاگ جهت امنیت استریسک وجود دارد که اگر مشکلی در امنیت این برنامه ایجاد شود، لاگ فایل جزئیات را در این سیستم امنیتی درج می نماید.
مسیر لاگ ها در استریسک در پوشه var/log/asterisk قرار دارد. اما نکته مهمی که در اینجا مطرح است، آن است که این لاگ به صورت پیش فرض بر روی سیستم های الستیکس غیر فعال می باشد. از این رو لازم است آنرا فعال نمایید. برای فعال کردن لاگ های استریسک بر روی ایزابل و الستیکس لازم است روند زیر را طی نمایید:
- فایل/etc/asterisk/logger_logfiles_custom.conf را برای ویرایش باز کنید. می توانید از Winscp نیز استفاده نمایید.
- خط security => security را به فایل اضافه کنید.
- اکنون شما در پوشه /var/log/asterisk با فایل جدیدی روبرو هستید، که نام امنیت استریسک را به خود اختصاص داده و در اصل از لاگ های امنیتی سیستم شما نگهداری می کند.
محدود کردن تعداد مکالمات همزمان در ایزابل و الستیکس
در سیستم الستیکس 2.5 یا استریسک 11، این قابلیت وجود دارد، که بتوان تعداد مکالمات داخلی را که به صورت همزمان انجام می شوند، محدود نمود. ممکن است یک داخلی که بر روی یک گوشی 4 خطه می باشد، نیازی به تماس به بیرون از آن واحد بیش از 4 امکان تماس نداشته باشد. می توانید در زمان تعریف داخلی، گزینه Outbound Concurrency Limit را با عدد مورد نظر خود پر کنید.
همانطور که در ترانک ها اشاره نمودیم، می توان با انتخاب گزینه Maximum Channels، تعداد مکالمات همزمان را به راحتی محدود نمود. این فرایند از ضرر زیاد در زمان هک شدن جلوگیری می نماید.
تامین امنیت سرورهای ویپ
استفاده از فایروال بر روی سرور ویپ جهت افزایش امنیت استریسک
بهتر است همیشه سرور های ویپ خود را در پشت یک فایروال قوی نگهداری نمایید. شما برای امنیت استریسک سیستم خود، تمامی نکات بالا را انجام داده اید. اما در صورتی که از یک Firewall در خارج از سیستم استفاده کنید، می توانید امنیت سیستم خود را تضمین نمایید.
این فایروال برای حملات ویپ، ترافیک ویپ و دیگر موارد تنظیم می شود. پس علاوه بر آنکه به یک فایروال نیاز خواهید داشت، به یک متخصص امنیت و آشنا به سیستم ویپ نیز احتیاج پیدا خواهید کرد. تا به خوبی این برنامه را بر روی سیستم شما تنظیم نماید.
امنیت بخشیدن به مکالمات با TLS و SRTP جهت افزایش امنیت استریسک
تمامی نکاتی که به انها اشاره نمودیم، برای مقابله با هکر ها، دزدیدن ترافیک و جلوگیری از نفوذ به سیستم مناسب می باشند. اما هنوز نکته ای باقی مانده است که باید در مورد این مطلبی بیان نماییم. زیرا سیستم های تلفن قابلیت شنود دارند و حتی ممکن است بسیاری از این اطلاعات به راحتی در اختیار دیگران قرار گیرد و ما باید جلوگیری از شنود تلفن ها در ایزابل را انجام دهیم.
برای ایجاد امنیت voip لازم است با امکان TLS، اقدام به رمز گذاری نمایید تا دیگر کسی قابلیت شنود مکالمات شما را نداشته باشد. برای راه اندازی این سیستم کار سختی را پیش رو خواهید داشت. از این رو لازم است در این زمینه اطلاعات بیشتری به دست آورید.
شما برای ایجاد امنیت استریسک نیاز به Self Signed Certification خواهید داشت. دقیقا همچون سایت های HTTPS. در حالی که راه اندازی SRTP بسیار ساده است. می توانید پس از ساخت داخلی، مجددا وارد بخش تنظیمات شوید، و از روی سرور به سراغ گزینه Encryption روید و آن را بر روی YES قرار دهید. اما از این پس لازم است برای برقراری تماس، IP Phone یا Softphoneشما با SRTP فعال شود.
دیدگاه خود را بنویسید