|
Taille: 201
Commentaire:
|
← Version 19 à la date du 2016-11-24 15:55:37 ⇥
Taille: 3635
Commentaire:
|
| Texte supprimé. | Texte ajouté. |
| Ligne 3: | Ligne 3: |
| = Amélioration sécurité : Veiller à ce que notre infrastructure de te téléphonie ne soit utilisé que par nos usagers = | = Amélioration sécurité : Rendre la ToIP accessible uniquement à nos usagers = |
| Ligne 7: | Ligne 7: |
| * TruongTungLam : * RTR, RTL : Adaptation des systèmes locaux == Objectifs == * fermer les accès SIP externes par défaut * filter les accès IAX en fonction des adresses IP de nos serveurs * Limiter les appels vers le RTP à nos téléphones locaux == Rappels des ports VoIP utilisé == * 5060 UDP : SIP registration, utilisé pour l'enregistrement destelephones * 4569 UDP : IAX2 registration, utilisé entre serveurs asterisk * 61001 - 62000 UDP : Trafic voix RTP == Action corrective N°1 == * Mettre en place des règles de filtrage au niveau du firewall avec les objectifs suivants : * Autoriser le trafic interserveur IAX uniquement entre les serveurs VoIP de l'Agence se trouvant * Réfuser tout traffic SIP et RTP ne provenant pas de notre réseau local == Fichiers et scripts à utiiser == * script python de generation des regles : [[attachment:voip-gen-iptables]] * Fichiers contenant la liste des serveurs : [[attachment:liste-des-serveurs]] /!\ NB : Certains resolutions d'adresses echouent pour quelques domaines . Il faudra donc revoir la config dns de ces serveurs; Soit ces serveurs n'existent plus , ou il y a un soucis avec la config * voip.ifi.auf.org * voip.hcmv.vn.auf.org * voip.la.auf.org * ifemaurice.no-ip.org * voip.cf.auf.org * voip.soa.cm.auf.org * voip.cg.auf.org * voip.cd.auf.org == Utilisation des fichiers == * Creez le dossier /etc/voip et copiez y le fichier contenant la liste des serveurs {{{ mkdir -p /etc/voip wget --user-agent="Client-wget" -O /etc/voip/liste-des-serveurs "https://wiki.auf.org/wikiteki/Am%C3%A9liorationS%C3%A9curit%C3%A9Septembre2016/VoIP?action=AttachFile&do=get&target=liste-des-serveurs" }}} * Recuperer le script de génération du fichiers de regles iptables et le rendre executable {{{ wget --user-agent="Client-wget" -O /usr/local/bin/voip-gen-iptables "https://wiki.auf.org/wikiteki/Am%C3%A9liorationS%C3%A9curit%C3%A9Septembre2016/VoIP?action=AttachFile&do=get&target=voip-gen-iptables" chmod +x /usr/local/bin/voip-gen-iptables }}} * Modifier les variables definies dans le script python {{{ VOIP_LOCAL=" " # à changer par l'adresse IP de votre serveur de téléphonie INTERFACE_INTERNET=" " # A changer avec le nom de votre interface reliée à internet LOCAL_NET=" " # A changer avec votre Réseau local où se trouvent vos clients VoIP }}} * Executer le script python et rediriger la sortie standard (stdout) vers un fichier regles, que vous allez rendre executable {{{ /usr/local/bin/voip-gen-iptables>/usr/local/bin/regles chmod+x /usr/local/bin/regles }}} * Une fois le fichier de regles generés, vous n'aura plus qu'a l'executer sur votre serveur de filtrage et rendre persistant les règles même apres le redemarrage {{{ /usr/local/bin/regles iptables-save >/etc/network/fw }}} == Action corrective N°2 == * Configuration des restrictions au niveau du fichier de configuration des comptes SIP. Dans la section general du fichier '''/etc/asterisk/auf/sip-general.local''' on pourra ajouter le réseau que nous autorisons ; {{{ [general] ................. ................. ................. ;on interdit d'abord l'accès SIP à tous deny=0.0.0.0/0.0.0.0 ;on autorise enfin notre réseau local uniquement permit=10.196.1.0/255.255.255.0 ................. ................. }}} * NB : Il est possible d'avoir plusieurs lignes permit |
Sommaire
Amélioration sécurité : Rendre la ToIP accessible uniquement à nos usagers
Ressources
MassambaGaye : pilotage
- RTR, RTL : Adaptation des systèmes locaux
Objectifs
- fermer les accès SIP externes par défaut
- filter les accès IAX en fonction des adresses IP de nos serveurs
- Limiter les appels vers le RTP à nos téléphones locaux
Rappels des ports VoIP utilisé
- 5060 UDP : SIP registration, utilisé pour l'enregistrement destelephones
- 4569 UDP : IAX2 registration, utilisé entre serveurs asterisk
- 61001 - 62000 UDP : Trafic voix RTP
Action corrective N°1
- Mettre en place des règles de filtrage au niveau du firewall avec les objectifs suivants :
- Autoriser le trafic interserveur IAX uniquement entre les serveurs VoIP de l'Agence se trouvant
- Réfuser tout traffic SIP et RTP ne provenant pas de notre réseau local
Fichiers et scripts à utiiser
script python de generation des regles : voip-gen-iptables
Fichiers contenant la liste des serveurs : liste-des-serveurs
![/!\](/static/gugiel/img/alert.png "/!\")
NB : Certains resolutions d'adresses echouent pour quelques domaines . Il faudra donc revoir la config dns de ces serveurs; Soit ces serveurs n'existent plus , ou il y a un soucis avec la config - voip.ifi.auf.org
- voip.hcmv.vn.auf.org
- voip.la.auf.org
- ifemaurice.no-ip.org
- voip.cf.auf.org
- voip.soa.cm.auf.org
- voip.cg.auf.org
- voip.cd.auf.org
Utilisation des fichiers
- Creez le dossier /etc/voip et copiez y le fichier contenant la liste des serveurs
mkdir -p /etc/voip wget --user-agent="Client-wget" -O /etc/voip/liste-des-serveurs "https://wiki.auf.org/wikiteki/Am%C3%A9liorationS%C3%A9curit%C3%A9Septembre2016/VoIP?action=AttachFile&do=get&target=liste-des-serveurs"
- Recuperer le script de génération du fichiers de regles iptables et le rendre executable
wget --user-agent="Client-wget" -O /usr/local/bin/voip-gen-iptables "https://wiki.auf.org/wikiteki/Am%C3%A9liorationS%C3%A9curit%C3%A9Septembre2016/VoIP?action=AttachFile&do=get&target=voip-gen-iptables" chmod +x /usr/local/bin/voip-gen-iptables
- Modifier les variables definies dans le script python
VOIP_LOCAL=" " # à changer par l'adresse IP de votre serveur de téléphonie INTERFACE_INTERNET=" " # A changer avec le nom de votre interface reliée à internet LOCAL_NET=" " # A changer avec votre Réseau local où se trouvent vos clients VoIP
- Executer le script python et rediriger la sortie standard (stdout) vers un fichier regles, que vous allez rendre executable
/usr/local/bin/voip-gen-iptables>/usr/local/bin/regles chmod+x /usr/local/bin/regles
- Une fois le fichier de regles generés, vous n'aura plus qu'a l'executer sur votre serveur de filtrage et rendre persistant les règles même apres le redemarrage
/usr/local/bin/regles iptables-save >/etc/network/fw
Action corrective N°2
Configuration des restrictions au niveau du fichier de configuration des comptes SIP. Dans la section general du fichier /etc/asterisk/auf/sip-general.local on pourra ajouter le réseau que nous autorisons ;
[general] ................. ................. ................. ;on interdit d'abord l'accès SIP à tous deny=0.0.0.0/0.0.0.0 ;on autorise enfin notre réseau local uniquement permit=10.196.1.0/255.255.255.0 ................. .................
- NB : Il est possible d'avoir plusieurs lignes permit