|
Taille: 201
Commentaire:
|
Taille: 2578
Commentaire:
|
| Texte supprimé. | Texte ajouté. |
| Ligne 3: | Ligne 3: |
| = Amélioration sécurité : Veiller à ce que notre infrastructure de te téléphonie ne soit utilisé que par nos usagers = | = Amélioration sécurité : Rendre la ToIP accessible uniquement à nos usagers = |
| Ligne 7: | Ligne 7: |
| * TruongTungLam : * RTR, RTL : Adaptation des systèmes locaux == Objectifs == * fermer les accès SIP externes par défaut * filter les accès IAX en fonction des adresses IP de nos serveurs * Limiter les appels vers le RTP à nos téléphones locaux == Rappels des ports VoIP utilisé == * 5060 UDP : SIP registration, utilisé pour l'enregistrement destelephones * 4569 UDP : IAX2 registration, utilisé entre serveurs asterisk * 61001 - 62000 UDP : Trafic voix RTP == Action corrective N°1 == * Mettre en place des règles de filtrage au niveau du firewall avec les objectifs suivants : * Autoriser le trafic interserveur IAX uniquement entre les serveurs VoIP de l'Agence se trouvant * Réfuser tout traffic SIP et RTP ne provenant pas de notre réseau local == Fichiers et scripts à utiiser == * script python de generation des regles : [[attachment:voip-gen-iptables]] * Fichiers contenant la liste des serveurs : [[attachment:liste-des-serveurs]] /!\ NB : Certains resolutions d'adresses echouent pour quelques domaines . Il faudra donc revoir la config dns de ces serveurs; Soit ces serveurs n'existent plus , ou il y a un soucis avec la config * voip.ifi.auf.org * voip.hcmv.vn.auf.org * voip.la.auf.org * ifemaurice.no-ip.org * voip.cf.auf.org * voip.soa.cm.auf.org * voip.cg.auf.org * voip.cd.auf.org == Utilisation des fichiers == 1. Sauvegarder le fichier liste_serveurs dans le dossier /etc/voip préalablement crée sur votre serveur 2. Modifier les variables definies dans le script python 3. Executer le script python et rediriger la sortie standard (stdout) vers un fichier regles, que vous allez rendre executable 4. Une fois le fichier de regles generés, vous n'aura plus qu'a l'executer sur votre serveur de filtrage == Action corrective N°2 == * Configuration des restrictions au niveau du fichier de configuration des comptes SIP. Dans la section general du fichier '''/etc/asterisk/auf/sip-general.local''' on pourra ajouter le réseau que nous autorisons ; {{{ [general] ................. ................. ................. ;on interdit d'abord l'accès SIP à tous deny=0.0.0.0/0.0.0.0 ;on autorise enfin notre réseau local uniquement permit=10.196.1.0/255.255.255.0 ................. ................. }}} * NB : Il est possible d'avoir plusieurs lignes permit |
Sommaire
Amélioration sécurité : Rendre la ToIP accessible uniquement à nos usagers
Ressources
MassambaGaye : pilotage
- RTR, RTL : Adaptation des systèmes locaux
Objectifs
- fermer les accès SIP externes par défaut
- filter les accès IAX en fonction des adresses IP de nos serveurs
- Limiter les appels vers le RTP à nos téléphones locaux
Rappels des ports VoIP utilisé
- 5060 UDP : SIP registration, utilisé pour l'enregistrement destelephones
- 4569 UDP : IAX2 registration, utilisé entre serveurs asterisk
- 61001 - 62000 UDP : Trafic voix RTP
Action corrective N°1
- Mettre en place des règles de filtrage au niveau du firewall avec les objectifs suivants :
- Autoriser le trafic interserveur IAX uniquement entre les serveurs VoIP de l'Agence se trouvant
- Réfuser tout traffic SIP et RTP ne provenant pas de notre réseau local
Fichiers et scripts à utiiser
script python de generation des regles : voip-gen-iptables
Fichiers contenant la liste des serveurs : liste-des-serveurs
![/!\](/static/gugiel/img/alert.png "/!\")
NB : Certains resolutions d'adresses echouent pour quelques domaines . Il faudra donc revoir la config dns de ces serveurs; Soit ces serveurs n'existent plus , ou il y a un soucis avec la config - voip.ifi.auf.org
- voip.hcmv.vn.auf.org
- voip.la.auf.org
- ifemaurice.no-ip.org
- voip.cf.auf.org
- voip.soa.cm.auf.org
- voip.cg.auf.org
- voip.cd.auf.org
Utilisation des fichiers
- Sauvegarder le fichier liste_serveurs dans le dossier /etc/voip préalablement crée sur votre serveur
- Modifier les variables definies dans le script python
- Executer le script python et rediriger la sortie standard (stdout) vers un fichier regles, que vous allez rendre executable
- Une fois le fichier de regles generés, vous n'aura plus qu'a l'executer sur votre serveur de filtrage
Action corrective N°2
Configuration des restrictions au niveau du fichier de configuration des comptes SIP. Dans la section general du fichier /etc/asterisk/auf/sip-general.local on pourra ajouter le réseau que nous autorisons ;
[general] ................. ................. ................. ;on interdit d'abord l'accès SIP à tous deny=0.0.0.0/0.0.0.0 ;on autorise enfin notre réseau local uniquement permit=10.196.1.0/255.255.255.0 ................. .................
- NB : Il est possible d'avoir plusieurs lignes permit