Sommaire
Amélioration sécurité : Rendre la ToIP accessible uniquement à nos usagers
Ressources
MassambaGaye : pilotage
- RTR, RTL : Adaptation des systèmes locaux
Objectifs
- fermer les accès SIP externes par défaut
- filter les accès IAX en fonction des adresses IP de nos serveurs
- Limiter les appels vers le RTP à nos téléphones locaux
Rappels des ports VoIP utilisé
- 5060 UDP : SIP registration, utilisé pour l'enregistrement destelephones
- 4569 UDP : IAX2 registration, utilisé entre serveurs asterisk
- 61001 - 62000 UDP : Trafic voix RTP
Action corrective N°1
- Mettre en place des règles de filtrage au niveau du firewall avec les objectifs suivants :
Autoriser le trafic interserveur IAX uniquement entre les serveurs VoIP de l'Agence se trouvant dans le fichier /usr/share/doc/asterisk-config-auf-connexions/liste-serveurs
- Réfuser tout traffic SIP et RTP ne provenant pas de notre réseau local
NB : Il faut d'abord sauvegarder le fichier contenant toutes adresses IP des serveurs VoIP de l'agence sous le nom liste-serveurs liste_serveurs
#!/bin/sh # adresse IP du serveur VoIP local : voip.sn.auf.org VOIP_LOCAL="213.154.65.75/32" # à changer par l'adresse de votre serveur local INTERFACE_INTERNET="sonatel" # A changer avec le nom de votre interface reliée à internet LOCAL_NET="10.196.1.0/24" # A changer avec votre Réseau local RPV PORT_IAX="4569" PORT_SIP_RTP="5060,61001:62000" ALL_PORT="4569,5060,61001:62000" fichier_serveurs=/etc/network/firewall/liste-serveurs ## Autorisation des serveur de VoIP de l'agence à communiquer ## avec notre serveur depuis l'exterieur seulement en IAX ## la liste des serveurs sera lu à partir du fichier /sbin/iptables -N VoIPForward while read server; do /sbin/iptables -A VoIPForward -d "$VOIP_LOCAL" -s "$server" -i "$INTERFACE_INTERNET" -p udp -m udp --dport "$PORT_IAX" -j ACCEPT; done <$fichier_serveurs ##### Autorisation des ports SIP et RTP seulement aux hôtes locaux ################## /sbin/iptables -A VoIPForward -d "$VOIP_LOCAL" -s "$LOCAL_NET" -p udp -m multiport --dports "$PORT_SIP_RTP" -j ACCEPT ### Fermeture de tout les ports SIP, IAX et RTP ############ /sbin/iptables -A VoIPForward -d "$VOIP_LOCAL" -p udp -m multiport --dports "$ALL_PORT" -j REJECT --reject-with icmp-port-unreachable # si ça ne concerne pas les serveurs VoIP, retour au niveau supérieur /sbin/iptables -A VoIPForward -j RETURN
Action corrective N°2
Configuration des restrictions au niveau du fichier de configuration des comptes SIP. Dans la section general du fichier /etc/asterisk/sip.conf on pourra ajouter le réseau que nous autorisons ;
[general] ................. ................. ................. ;on interdit d'abord l'accès SIP à tous deny=0.0.0.0/0.0.0.0 ;on autorise enfin notre réseau local uniquement permit=10.196.1.0/255.255.255.0 ................. .................
- NB : Il est possible d'avoir plusieurs lignes permit