نمایش نتایج: از شماره 1 تا 6 از مجموع 6
سپاس ها 8سپاس
  • 6 توسط omid_mohagerani
  • 2 توسط omid_mohagerani

موضوع: تنظیم IPTables برای بالا بردن ضریب امنیت سرور تلفنی Asterisk

  
  1. #1
    نام حقيقي: امید مهاجرانی

    عضو عادی
    تاریخ عضویت
    Dec 2005
    محل سکونت
    Tehran
    نوشته
    782
    سپاسگزاری شده
    725
    سپاسگزاری کرده
    79

    تنظیم IPTables برای بالا بردن ضریب امنیت سرور تلفنی Asterisk

    وقتی از Asterisk به عنوان سوییچ نرم افزاری (SoftSwitch ) برای انتقال ترافیک VoiceOverIP سازمان استفاده می کنید و هزینه زیادی برای ترافیک داخلی و بین الملل پرداخت می کنید ، امنیت Asterisk بیشتر اهمیت پیدا می کند . همیشه هکر هایی در سازمان یا بیرون آن وجود دارند که به دنبال Asterisk های ناامنی هستند که بتوانند به آن نفوذ کرده و در کمتر از چند دقیقه یک صورت حساب میلیونی به شما هدیه بدهند .
    در اینجا نمی خواهیم مکانیزم های امنیتی ممکن و موجود را برای امن کردن یک سرور در شبکه بیان کنیم بلکه به طور خاص نکاتی در استفاده از فایروال پیش فرض لینوکس به عنوان اولین مرحله از چرخه تامین امنیت این سرویس را بررسی می کنیم .

    مسدود کردن دسترسی به سرور برای همه بجز کاربران معتبر:
    اگز از Asterisk فقط برای سرویس دهی به کاربران سازمان خودتان ، یک رنجه آی پی یا شبکه استفاده می کنید و نیازی به دسترسی به سرور توسط تمامی کاربران ( مثلا برای ارائه یک سرویس تلفن بین الملل عمومی ) ندارید اولین گام مسدود کردن تمامی ترافیک عبوری برای تمامی کاربران است . این مرحله را به صورت Locally برروی سرور Asterisk انجام دهید چون ارتباط خود شما نیز قطع خواهد شد .
    iptables -P INPUT DROP
    اکنون تمامی ترافیک ورودی به سرور شما مسدود شده است . در این مرحله به آی پی ، رنجه آی پی یا شبکه ای که می خواهیم با سرور ما تبادل ترافیک داشته باشند را اجازه دسترسی می دهیم . به عنوان مثال:
    iptables -I INPUT -s 173.194.32.104 -j ACCEPT
    یا برای یک رنجه شبکه :
    iptables -I INPUT -i eth1 -s 192.168.1.0/24 -j ACCEPT
    از دستور بالا زمانی که شما چندین کارت شبکه دارید و شبکه مورد اعتماد شما به یکی از کارت شبکه ها متصل است نیز می توانید استفاده کنید .

    مسدود کردن دسترسی به اتصال های SIP :
    برای مسدود کردن دسترسی یک آی پی به پورت SIP :
    iptables -A INPUT -p TCP -s 192.168.16.1 --dport 5060 -j DROP
    اگر از علامت تعجب قبل از آدرس آی پی استفاده کنید دسترسی تمامی آی پی به پورت SIP بجز آی پی مورد نظر مسدود خواهد شد .
    iptables -A INPUT -p TCP -s ! 192.168.16.1 --dport 5060 -j DROP
    البته مسدود کردن دسترسی به یک پورت خاص برای یک آی پی مطمئنا روش مناسبی برای جلوگیری از نفوذ نخواهد بود و دسترسی به صورت کامل باید مسدود شود .

    DROP در برابر REJECT
    نکته ای که باید در مسدود کردن دسترسی ها در IPtables مورد توجه قرار بدهیم DROP کردن پکت ها و نه REJECT کردن آنها است
    در واقع استفاده از REJECT ، هکر را از اینکه پکت های او REJECT شده مطلع می کند و در پویش توپولوژی شبکه کمک خواهد کرد .

    امید مهاجرانی
    Omid dot mohajerani at gmail dot com
    Notes On Computer Networks




    موضوعات مشابه:
    ویرایش توسط omid_mohagerani : 2010-06-25 در ساعت 12:35 PM
    SADEGH65، M-r-r، th95 و 3 نفر دیگر سپاسگزاری کرده‌اند.

  2. #2
    نام حقيقي: بهراد اسلامی فر

    عضو عادی شناسه تصویری tolstoy
    تاریخ عضویت
    Nov 2005
    محل سکونت
    اصفهان
    نوشته
    250
    سپاسگزاری شده
    255
    سپاسگزاری کرده
    32
    نوشته های وبلاگ
    6
    # SIP on UDP port 5060. Other SIP servers may need TCP port 5060 as well
    iptables -A INPUT -p udp -m udp --dport 5060 -j ACCEPT

    # IAX2- the IAX protocol
    iptables -A INPUT -p udp -m udp --dport 4569 -j ACCEPT

    # IAX - most have switched to IAX v2, or ought to
    iptables -A INPUT -p udp -m udp --dport 5036 -j ACCEPT

    # RTP - the media stream
    iptables -A INPUT -p udp -m udp --dport 10000:20000 -j ACCEPT

    # MGCP - if you use media gateway control protocol in your configuration
    iptables -A INPUT -p udp -m udp --dport 2727 -j ACCEPT

    من این رو در آدرس زیر پیدا کردم .
    http://www.voip-info.org/wiki/view/A...firewall+rules
    ولی با RTP مشکل داره و به محض برداشتن گوشی مکالمه قطع می شه و در حال حاضر مجبور شدم کلا udp را باز کنم . اگه در مورد rtp تجربه ای دارید خوشحال می شم مطرح کنید.



  3. #3
    نام حقيقي: امید مهاجرانی

    عضو عادی
    تاریخ عضویت
    Dec 2005
    محل سکونت
    Tehran
    نوشته
    782
    سپاسگزاری شده
    725
    سپاسگزاری کرده
    79
    جناب اقای اسلامی فر این پست را مطالعه بفرمایید به شما در زمینه تنظیمات RTP در Asterisk کمک خواهد کرد Notes On Computer Networks - SIP vs. NAT - ???? ????? Asterisk ???? ?? ???? ??? ???? ??? ?? ???? ?? ????
    ولی به نظر من مشکله شما از تنظیمات RTP یا IPtables نیست . معمولا صدای یک طرفه یا عدم عبور صدا دلیل در مشکل داشتن در تنظیمات RTP و NAT هستش ولی من قبلا در Join کردن Asterisk با Gateway های Cisco به این مشکل که زنگ منتقل می شد ولی به محض برداشتن گوشی تماس قطع می شد برخوردم که مشکل از تنظیمات کدک تماس بود نه NAT یا RTP

    موفق باشید .


    ویرایش توسط omid_mohagerani : 2010-07-10 در ساعت 10:42 AM
    tolstoy و aliafzalan سپاسگزاری کرده‌اند.

  4. #4
    نام حقيقي: بهراد اسلامی فر

    عضو عادی شناسه تصویری tolstoy
    تاریخ عضویت
    Nov 2005
    محل سکونت
    اصفهان
    نوشته
    250
    سپاسگزاری شده
    255
    سپاسگزاری کرده
    32
    نوشته های وبلاگ
    6
    مرسی لینک خوبی بود.
    ولی من فکر می کنم مال فایروال بود چون حالا که باز گزاشتم دیگه کاربرا چیزی گزارش نکردند.
    باید برای rtp رنج پورت مشخص تعیین کنم این رو هم تست می کنم ببینم چی می شه



  5. #5
    نام حقيقي: Ali Afzalan

    مدیر بخش Cisco شناسه تصویری aliafzalan
    تاریخ عضویت
    Apr 2009
    محل سکونت
    Tehran
    نوشته
    2,086
    سپاسگزاری شده
    2557
    سپاسگزاری کرده
    2059
    سلام
    من هم قبلاً همین مشکل را داشتم و همونطوری که آقایی مهاجرانی گفتند به خاطر متفاوت بودن codec بود. (معمولاً متفاوت بودن codec باعث میشه که به محض برداشتن گوشی ارتباط قطع بشه)
    ولی خب ظاهرا شما با باز کردن فایروال مشکلتون حل شده، برای RTP هم پورتهای UDP بین 16384-32767 را باز کنید.



  6. #6
    نام حقيقي: بهراد اسلامی فر

    عضو عادی شناسه تصویری tolstoy
    تاریخ عضویت
    Nov 2005
    محل سکونت
    اصفهان
    نوشته
    250
    سپاسگزاری شده
    255
    سپاسگزاری کرده
    32
    نوشته های وبلاگ
    6
    من مشکلم دائمی نبود و فقط گهگاهی پیش می یومد و معلوم بود فقط وقتی پورت نسبت داده شده خارج از رنج تعریفی من می شد این اتفاق می افتاد
    من از ۱۰۰۰۰ تا ۲۰۰۰۰ تعریف کرده بودم و کار می کرد ولی خوب، گویا بعضی موقع ها خارج از این رنج نسبت داده می شد.



کلمات کلیدی در جستجوها:

تنظیمات iptables

تنظیمات iptable

باز کردن پورت sip

باز کردن پورت 5060 در کارت شبکه

iptables تنظيم

باز کردن پورت 5060

تنظیم iptables

تنظیم asterisk با cisco gatewayسرور تلفنیامنیت استریسکتنظیم ip table شماره پو رت امنیت voip http://forum.persiannetworks.com/f99/t36299.htmlعلت یکطرفه شدن پورت sip امنیت در استریسکasterix تنظيماتعبور صدا در استریسک تنظیمات iptablesباز کردن پورت rtp iptablesiptable هاتنظیم voip برای صدای یکطرفه Ip Table امن کردنیک طرفه بودن صدا asteriskبالا بردن امنیت کلاینت ها در شبکهسرویس تلفن بین الملل گامip table

برچسب برای این موضوع

مجوز های ارسال و ویرایش

  • شما نمی توانید موضوع جدید ارسال کنید
  • شما نمی توانید به پست ها پاسخ دهید
  • شما نمی توانید فایل پیوست ضمیمه کنید
  • شما نمی توانید پست های خود را ویرایش کنید
  •