Asterisk – Sicurezza [nona parte]
Ci sono degli accorgimenti molto importanti affinché il nostro PBX non venga utilizzato per fare qualche migliaio di € di telefonate a scrocco! Negli ultimi due anni infatti sono stati migliaia i Soft PBX sfruttati per fini illeciti come descritto anche in questo articolo. Di seguito cercheremo di illustrare le principali cose da fare…
– allowguest (sip.conf)
Il file di configurazione sip.conf che si ottiene dopo l’installazione del sistema contiene la direttiva “allowguest” che di default (complimenti a quelli della digium 😐 ) permette di fare le chiamate senza autenticazione (quindi inventando direttamente lo username…). Questo può avviene quando si utilizza unicamente il contesto di default. Settare quindi il parametro allowguest=no.
– i contesti (sip.conf, extension.conf e chan_dahdi.conf)
E’ importante capire come funzionano i contesti di ingresso e di uscita e fare in modo che siano assolutamente isolati tra loro. La cosa fondamentale è che in un contesto di ingresso delle chiamate non ci sia la possibilità di farne in uscita. Verificare quindi che il contesto di default sia sicuro e non permettere agli utenti non autenticati (nel caso ci sia allowguest=yes) di raggiungere contesti in cui sono permesse chiamate a pagamento.
– alwaysauthreject (sip.conf)
Impostando alwaysauthreject = yes quando qualcuno cerca di connettersi a un interno esistente sbagliando la password non verrà comunicata se l’interno esiste o no e la risposta sarà la stessa usata per un interno inesistente.
– password
Utilizzare password complesse per le utenze SIP. E’ sempre consigliabile usare un mix di simboli, numeri, lettere maiuscole e lettere minuscole.
– limit-call
Impostare su ciascuna utenza SIP il numero massimo di chiamate contemporanee che l’utente può fare (se non ci sono particolari esigenze si può impostare limit-call=1)
Read more…
Recent Comments