Sommaire
Amélioration sécurité : Rendre la ToIP accessible uniquement à nos usagers
Ressources
MassambaGaye : pilotage
- RTR, RTL : Adaptation des systèmes locaux
Objectifs
- fermer les accès SIP externes par défaut
- filter les accès IAX en fonction des adresses IP de nos serveurs
- Limiter les appels vers le RTP à nos téléphones locaux
Rappels des ports VoIP utilisé
- 5060 UDP : SIP registration, utilisé pour l'enregistrement destelephones
- 4569 UDP : IAX2 registration, utilisé entre serveurs asterisk
- 61001 - 62000 UDP : Trafic voix RTP
Action corrective N°1
- Mettre en place des règles de filtrage au niveau du firewall avec les objectifs suivants :
- Autoriser le trafic interserveur IAX uniquement entre les serveurs VoIP de l'Agence se trouvant
- Réfuser tout traffic SIP et RTP ne provenant pas de notre réseau local
Fichiers et scripts à utiiser
script python de generation des regles : voip-gen-iptables
Fichiers contenant la liste des serveurs : liste-des-serveurs
![/!\](/static/gugiel/img/alert.png "/!\")
NB : Certains resolutions d'adresses echouent pour quelques domaines . Il faudra donc revoir la config dns de ces serveurs; Soit ces serveurs n'existent plus , ou il y a un soucis avec la config - voip.ifi.auf.org
- voip.hcmv.vn.auf.org
- voip.la.auf.org
- ifemaurice.no-ip.org
- voip.cf.auf.org
- voip.soa.cm.auf.org
- voip.cg.auf.org
- voip.cd.auf.org
Utilisation des fichiers
- Sauvegarder le fichier liste_serveurs dans le dossier /etc/voip préalablement crée sur votre serveur
- Modifier les variables definies dans le script python
- Executer le script python et rediriger la sortie standard (stdout) vers un fichier regles, que vous allez rendre executable
- Une fois le fichier de regles generés, vous n'aura plus qu'a l'executer sur votre serveur de filtrage
Action corrective N°2
Configuration des restrictions au niveau du fichier de configuration des comptes SIP. Dans la section general du fichier /etc/asterisk/auf/sip-general.local on pourra ajouter le réseau que nous autorisons ;
[general] ................. ................. ................. ;on interdit d'abord l'accès SIP à tous deny=0.0.0.0/0.0.0.0 ;on autorise enfin notre réseau local uniquement permit=10.196.1.0/255.255.255.0 ................. .................
- NB : Il est possible d'avoir plusieurs lignes permit