Налаштування Firewall у Elastix 4

ShareIT - поділися знаннями!

Онлайн генератор стійких паролів

Онлайн калькулятор підмереж

Калькулятор інсталяції IP - АТС Asterisk

Керівництво адміністратора FreePBX українською

Онлайн траблшутинг, що входять на Asterisk

Серверні рішення

FreePBX та Asterisk

Корпоративні мережі

Налаштування Firewall у Elastix 4

Розбираємось з безпекою

3 хвилини читання

Однією з основних завдань, з якою стикається адміністратор IP-АТС, є захист від зовнішніх вторгнень. Як правило, всі IP-АТС закриваються від зовнішньої мережі за коштамиNAT-ювання та порт-форвардингу, але навіть у цьому випадку, сервер може залишатися незахищеним від порт-сканерів, зокрема, відкритихSIP-портів 5060 та 5061.

У цій статті розглянемо механізми внутрішнього захисту IP-АТС Asterisk, доступні в web-інтерфейсіElastix 4. Інструменти, про які піде мова, отримали загальну назвуFirewall

Отже, для того, щоб потрапити в модуль, переходимо наступним шляхом:SecurityFirewall, перед нами відкривається доступний функціонал:

Firewall

Розглянемо кожну вкладку

Firewall Rules

Firewall

У цій вкладці налаштовуються правила, які дозволяють або забороняють проходження трафіку до IP-інтерфейсів вашої IP-АТС. За замовчуванням, Firewall вимкнений і перше, що необхідно зробити – активувати його, натиснувшиActivate Firewall. З цього моменту, Elastix Firewall, буде контролювати ваші IPTables і всі налаштування, які були зроблені вручну до цього – анулюються.

налаштування

Після активації Firewall перед нами відкриється нумерований список правил для всіх портів, які можевикористовувати Elastix, а також можливість додавання власного правила -Add Rule

Як приклад покажемо правило, що забороняє підключатися до нашої IP-АТС протоколом SIP з деякої підмережі. Допустимо ми в логах виявили надто часті запити з підмережі 31.54.0.0/24. Для того, щоб заблокувати доступ для цієї мережі, вибираємо правило №4 (SIP) та редагуємо його таким чином:

IP-АТС

Так само можна заблокувати, наприклад, протоколи, які ви не використовуєте (часто IAX, MGCP). Також буде корисно обмежити можливість доступу до web-інтерфейсу для всіх, крім адміністраторів Elastix за такими протоколами як HTTP(порт 80/8080/8088), HTTPS(порт 443), SSH(порт 22), Telnet (порт 23)

Define Ports

Firewall

У цій вкладці можна налаштувати номери портів, які можна застосувати в правилах. Наприклад, як правило, HTTP може використовувати два порти 80 і 8080, в інтерфейсі ми бачимо тільки порт 80. Додамо його, для цього натискаємоViewEditдодаємо запис 8080 і натискаємоSave. Можна додати лише один номер порту.

IP-АТС

Port Knocking Interfaces

IP-АТС

Ще один механізм захисту, що дозволяє отримувати доступ до вибраних інтерфейсів вашої IP-АТС лише після послідовності підключень до спеціальних портів. За замовчуванням порт, який ви хочете захистити, буде закритим, доки на нього не надійде послідовність пактів, яка змусить його відкритися.

Port Knocking Users

Ця вкладка дозволяє настроїти механізм Port-Knocking для певних користувачів та відповідних портів.