Amélioration sécurité : Rendre la ToIP accessible uniquement à nos usagers

Ressources

• MassambaGaye : pilotage

• TruongTungLam :

• RTR, RTL : Adaptation des systèmes locaux

Objectifs

• fermer les accès SIP externes par défaut
• filter les accès IAX en fonction des adresses IP de nos serveurs
• Limiter les appels vers le RTP à nos téléphones locaux

Rappels des ports VoIP utilisé

• 5060 UDP : SIP registration, utilisé pour l'enregistrement destelephones
• 4569 UDP : IAX2 registration, utilisé entre serveurs asterisk
• 61001 - 62000 UDP : Trafic voix RTP

Action corrective N°1

• Mettre en place des règles de filtrage au niveau du firewall avec les objectifs suivants :
  • Autoriser le trafic interserveur IAX uniquement entre les serveurs VoIP de l'Agence se trouvant
  • Réfuser tout traffic SIP et RTP ne provenant pas de notre réseau local

Fichiers et scripts à utiiser

• script python de generation des regles : voip-gen-iptables

• Fichiers contenant la liste des serveurs : liste-des-serveurs

  NB : Certains resolutions d'adresses echouent pour quelques domaines . Il faudra donc revoir la config dns de ces serveurs; Soit ces serveurs n'existent plus , ou il y a un soucis avec la config

• voip.ifi.auf.org
• voip.hcmv.vn.auf.org
• voip.la.auf.org
• ifemaurice.no-ip.org
• voip.cf.auf.org
• voip.soa.cm.auf.org
• voip.cg.auf.org
• voip.cd.auf.org

Utilisation des fichiers

• Creez le dossier /etc/voip et copiez y le fichier contenant la liste des serveurs

mkdir -p /etc/voip
wget --user-agent="Client-wget" -O /etc/voip/liste-des-serveurs "https://wiki.auf.org/wikiteki/Am%C3%A9liorationS%C3%A9curit%C3%A9Septembre2016/VoIP?action=AttachFile&do=get&target=liste-des-serveurs"

• Recuperer le script de génération du fichiers de regles iptables et le rendre executable

wget --user-agent="Client-wget" -O /usr/local/bin/voip-gen-iptables "https://wiki.auf.org/wikiteki/Am%C3%A9liorationS%C3%A9curit%C3%A9Septembre2016/VoIP?action=AttachFile&do=get&target=voip-gen-iptables"
chmod +x /usr/local/bin/voip-gen-iptables 

• Modifier les variables definies dans le script python

VOIP_LOCAL=" " # à changer par l'adresse IP de votre serveur de téléphonie

INTERFACE_INTERNET=" " # A changer avec le nom de votre interface reliée à internet

LOCAL_NET=" "  # A changer avec votre Réseau local où se trouvent vos clients VoIP

• Executer le script python et rediriger la sortie standard (stdout) vers un fichier regles, que vous allez rendre executable

/usr/local/bin/voip-gen-iptables>/usr/local/bin/regles
chmod+x /usr/local/bin/regles

• Une fois le fichier de regles generés, vous n'aura plus qu'a l'executer sur votre serveur de filtrage et rendre persistant les règles même apres le redemarrage

/usr/local/bin/regles
iptables-save >/etc/network/fw

Action corrective N°2

• Configuration des restrictions au niveau du fichier de configuration des comptes SIP. Dans la section general du fichier /etc/asterisk/auf/sip-general.local on pourra ajouter le réseau que nous autorisons ;

[general]
.................
.................
.................
;on interdit d'abord l'accès SIP à tous 
deny=0.0.0.0/0.0.0.0            
;on autorise enfin notre réseau local uniquement
permit=10.196.1.0/255.255.255.0
.................
.................

• NB : Il est possible d'avoir plusieurs lignes permit