اطلاعیه

بستن
No announcement yet.

آموزش امنیت در سرورهای ویپ استریسک و الستیکس

بستن
X
 
  • فیلتر کردن
  • زمان
  • نمایش
Clear All
پست های جدید

    آموزش امنیت در سرورهای ویپ استریسک و الستیکس

    سلام به همه دوستان عزیز
    با توجه به حملات اخیری که هکرهای چینی و اسراییلی روی سرورهای ویپ ایران داشتن و تونستن از این ناحیه خسارات سنگینی مالی رو به بعضی از سرورهای موجود در ایران وارد کنند وظیفه خودم دونستم که یه مقاله هر چند خیلی جامع نیست رو راجع به این موضوع بنویسم و از طریق رسانه های مختلف هم به اطلاع کلیه دوستان و سروران عزیز هم برسونم بلکه جلوی ضرر وزیان رو قبل از اینکه اتفاق بدی بیوفته بگیرن و به درخواست بعضی از دوستان این مقاله رو آماده کردم و توی این تاپیک قصد دارم روش های امن کردن سرورهای ویپ استریسک و الستیکس رو بگم که اگر سرور ویپی روی اینترنت گذاشتین خیلی مراقب باشند و تنظیمات امنیتی رو به خوبی انجام بدن و خیلی هم سخت گیر باشند در رابطه با این موضوع. مواردی که میگم کلی هست و اکثراین مواردآموزش هاش در انجمن وجود داره و اونایی هم که آموزش هاش نیست سعی میکنم در اولین فرصت ممکن آموزش هاشون رو درست کنم.
    اینم بگم روش هایی فوق تا حدودی جلوی نفوذ هکرها رو میگیره و باید همیشه این نکته رو مد نظر بگیرین که امنیت هیچ گاه صد درصد نیست پس ما روش هایی که میگیم سعی میکنیم کار نفوذ هکر به سرور رو سخت کنیم و جلوی خسارت ها رو بگیریم.

    قوانین تاپیک :
    1 - لطفا مشکلات و سوالاتتون رو توی این تاپیک بیان نکنید و برای پرسیدن سوالات خود اقدام به ایجاد یک تاپیک دیگر نمایید.
    2 - تاپیک رو باز میزارم که اگر موردی از موارد زیر جا مونده مثلا نکته آموزشی یا ترفند خاصی که به امنیت سرورهای ویپ کمک میکنه و بنده نگفتم یا نمیدونم دوستان لطف کنند در ادامه همین تاپیک بفرمایید که به مرور زمان یه تاپیک جامع امنیت سرورهای ویپ درست بشه.

    مواردی که برای امن کردن سرورهای ویپ لینوکسی در نظر گرفت:

    1 – ست نکردن ip public روی سرور به صورت مستقیم و استفاده از فایروال برای گذاشتن سرور پشت NAT
    بعضا مشاهده شده است که بعضی ادمین های شبکه ip public شبکه خود را به صورت مستقیم روی سرور set کرده به طوری که سرور از بیرون و از طریق همان ip public در دسترس باشد. این کار اشتباه میباشد و اگر احتیاجی هست که تماس اینترنتی راه اندازی شود باید ip public در فایروال، روی ip local مرکز تماس فوروارد شود. (در اینجا چون سرور ما دسترسی اینترنت ندارد احتیاجی به این کار نیست)

    2 – عوض کردن پورت های دیفالت در سرورهای لینوکسی
    پورت های دیفالتی که خیلی با آن سر رو کار داریم مثل پورت ssh عوض شود و به پورت دیگری تغییر یابد. اگر مرکز تماس داری کنترل پنل تحت وب (مثل الستیکس یا استریسک نو) میباشد پیشنهاد میشود پورت های http و https هم به دلخواه عوض شود.

    3 – محدود کردن دسترسی ها روی فایروال
    دسترسی به نقاط حیاتی سرور (مانند پورت هایی که خیلی با آن سرو کار داریم) روی فایروال فقط به ip سیستم ادمین های شبکه محدود شود. و پورت های که استفاده نمیشود را روی فایروال ببندیم. اگر در شرکتی از چندین رنج ip استفاده میشود در صورتی که فقط یک رنج خاصی از ip جهت ریجیسترکردن داخلی ها روی مرکز تماس ریجیستر میشوند ما بقی رنج ip ها روی فایروال جهت بستن دسترسی به سرور بسته شود.

    4 – استفاده از پسوردهای طولانی برای داخلی های مرکز تماس
    داخلی های مرکز تماس باید دارای پسورد بالا 10-12 رقمی و بدون اینکه معنی خاصی داشته باشد باید باشد.

    5 – بستن یوزر root جهت لاگین کردن به سرور
    بستن دسترسی مستقیم لاگین کردن یوزر root به سرور و استفاده از sudo جهت سوییچ کردن به یوزر root سرور (این کار بیشتر برای سرورهای که تحت اینترنت هستند و مثل سرور سایت ها یا وب سرورها جهت جلوگیری از حملات SIP Registration Scan attack، Dictionary attack، Brute Force میباشد در اینجا به دلیل اینکه در مراحل بالاتر دسترسی به سرور محدود شده پیشنهاد نمیشود)

    6 – لاگین کردن به سرور با استفاده از کلید
    درست کردن کلید های نرم افزاری در لینوکس جهت استفاده ادمین ها برای لاگین کردن به سرور (این کار بیشتر برای سرورهای تحت اینترنت میباشد که ادمین آن سرور ها جهت انجام تنظیمات مرتب به سرور وصل شده انجام میشود که در ان یک کلید نرم افزاری در سرور ساخته و به یوزر root اختصاص داده میشود و همان کلید هم به ادمین داده میشود که موقعی که خواست لاگین کنه کلیدی از ادمین درخواست میشود که در صورتی که کلید رو نداشته باشه نمیتونه به سرور لاگین کنه که برای سرور اینجا به دلیل اینکه دسترسی ها در فایروال محدود شده پیشنهاد نمیشود)

    7 – بستن پورت sip در isp
    گاهی اوقات نیاز هست که مرکز تماس حتما به اینترنت متصل باشد و برای جلوگیری از انتقال تماس تحت اینترنت پیشنهاد میشود که پورت sip روی سرویس اینترنت ما در isp بسته شود. (به دلیل اینکه مرکز تماس به اینترنت دسترسی ندارد احتیاجی به انجام این کار نمیباشد)

    8 – بستن ip کشورهایی غیر از ایران
    اگر به هر دلیلی تماس اینترنتی راه اندازی کردید حتما در فایروال ip کشورهای مختلف از جمله چین و اسراییل و بقیه کشورها هم بسته شود و فقط دسترسی داخل ایران باز باشد. و در صورتی هم که مجبور بودید با کشوری تماس تحت اینترنت برقرار کنید ip اون کشور رو توی فایروال باز کنید و مابقی کشورها بسته باشد. البته راه اصولی و امن برای راه اندازی تماس اینترنتی استفاده از vpn میباشد. (در اینجا چون مرکز تماس به اینترنت دسترسی ندارد نیازی به انجام این کار نیست)

    9 – بستن دوصفر یا محدود کردن آن روی مرکز تماس
    اگر تماس بین اللمل ندارید حتما دوصفر را از مخابرات بسته شود و در صورتی که دوصفر احتیاج هست آن را روی داخلی هایی که احتیاج به تماس بین اللمل دارن محدود کنیم و همچنین میتوانیم در ساعات غیر اداری هم این دسترسی به طور کامل برای تمام داخلی ها بسته شود. (با مخابرات هم میتوان هماهنگ کرد و برای تماس های بین اللمل سقف گذاشت که در صورتی که مبلغ تماس های بین الملل یک خطی از یک اندازه ای بالاتر رفت مخابرات به شما هشدار دهد)

    10 - اگر از الستیکس به عنوان مرکز تماس استفاده میکنید گزینه allow anonymouse sip رو از قسمت unembeded free pbx غیر فعال کنید.

    11 - اگر از استریسک استفاده میکنید گزینه allow guest در استریسک را روی NO قرار بدین.

    12 - در ترانک هایی که روی سرور برای تماس های ورودی و خروجی تعریف میکنید گزینه insecure رو برابر با NO قرار بدهید.

    13 - اگر از گیت وی های ویپ به جای کارت های تلفنی استفاده میکنید حتما برای اونها هم موارد گفته شده رعایت شود.

    14 – در صورتی که داخلی ها روی ip phone ریجیستر شده اند حتما پسورد دیفالت یوزر admin و یوزر user عوض شود و همچنین پورت دیفالت کنترل پنل ip phone ها هم عوض شود.

    15 – غیر فعال کردن ماژول pbx_spool
    در سیستم استریسک، باید ماژول pbx_spool را در صورتی که از آن استفاده نمی شود، غیر فعال کرد. این ماژول امکان شماره گیری لیستی از شماره تلفن ها را فراهم می کند که ابزاری بسیار مناسب برای نفوذگران می باشد.

    16 - حذف برخی اطلاعات از بدنه پیام های ارسالی
    پیام های مربوط به پروتکل های SIP در بدنه ی خود اطلاعاتی دارند که برخی از آن ها می تواند اطلاعات مورد نیاز نفوذگران را در اختیارشان قرار دهد؛ در نتیجه توصیه می گردد تا این اطلاعات با مقادیر بی اهمیت جایگزین گردند. در حالت کلی، باید از انتشار هر گونه اطلاعاتی که ساختار و توپولوژی شبکه VoIP را نمایان می کند، جلوگیری گردد که اصطلاحا گفته می شود باید Topology hiding صورت گیرد.
    به عنوان مثال در بدنه پیام های پروتکل SIP فیلدی به نام ":Server"وجود دارد که در سیستم های تلفنی به صورت پیش فرض حاوی برند و مدل دستگاه و یا نرم افزار می باشد؛ و از این طریق نفوذگر تشخیص می دهد که با چه سیستمی و چه نسخه و یا چه مدلی مواجه است.

    17 - امنیت ویپ ناشناس
    برخی از بدافزار ها با یافتن سیستم تلفنی شروع به ارسال درخواست های SIP به آن کرده و سعی می کنند با بررسی الگوهای مختلف، راه نفوذ به سیستم را بیابند. با رد این درخواست ها می توان از اینگونه حملات جلوگیری کرد.
    علاوه بر این در سیستم های تلفنی نباید برای اشتباه بودن رمزعبور و یا عدم وجود نام کاربر، Response code های مختص به آن ها را ارسال کرد؛ این کار باعث می گردد تا نفوذگر با آگاهی بیشتری درخواست های خود را ارسال نماید. به عنوان مثال در صورتی که نفوذگر با یک نام کاربری و رمز عبور فرضی درخواست های خود را به سیستم ارسال نماید، در صورتی که سیستم Response code مربوط به عدم وجود کاربری را در پاسخ ارسال نماید، نفوذگر متوجه می شود که باید یک نام کاربری دیگر را امتحان کند. اما در صورتی که سیستم تلفنی تنها در پاسخ خود عدم صحت در اطلاعات مورد نیاز جهت احراز هویت را ارسال نماید، نفوذگر نمی داند نام کاربری اشتباه است و یا رمز عبور. این کار نفوذگر را به چالش خواهد کشید. (این مشکل را خودم از تنظیمات استریسک برطرف خواهم کرد)

    18 – راه اندازی TLS
    راه حل عملی به منظور امن کردن پروتکل SIP استفاده ازtransport layer security (TLS) یا لایه امن ارتباطی میباشد. استفاده از پروتکل SIP به صورت امن مکانیزم امنیتی است که با SIP RFC 3261 تعریف شده و برای ارسال پیام های SIP از کانال رمزنگاری شده TLS استفاده مینماید.

    19 – استفاده از ابزارهای مانیتورینگ ویپ
    استفاده از ابزارهای مانیتورینگ ویپ باعث میشود که در صورتی که حجم تماس ها از یه حدی بالاتر رفت به صورت آلارم به ما اطلاع دهد. که در این میان میتوان به نرم افزار قدرتمند زبیکس و ویپ مانیتور اشاره کرد. این نرم افزارها علاوه بر اینکه امنیت سرور را کاهش نداده بلکه باعث بالا رفتن امنیت مرکز تماس هم میشود.
    فایروال خود لینوکس خیلی قویه حتما برای پایین اوردن هزینه ها کار کردن با فایروال های لینوکسی رو یاد بگیرین. یکسری از موارد ریز دیگه هم هست که اونا رو هم سعی میکنم به مرور زمان توی همین تاپیک آپدیت کنم.

    اکثر موارد گفته شده آموزش هاش داخل انجمن میباشد و با کمی جستجو به اونها دسترسی پیدا خواهید کرد. بخش امنیت سرورهای لینوکسی هم توسط دوست عزیزم یوزر server sec به روز شده و کلی مطالب و مقالات آموزشی داخل بخش گذاشته شده. آموزش های دیگر هم میتونید از بخش های مربوطه به راحتی به دست بیارین.
    لینک بخش امنیت سرورهای لینوکسی : http://linux-zone.org/forums/forum340.html

    این مقاله هم پیشنهاد میشود مطالعه کنید : http://linux-zone.org/forums/thread1704.html

    امیدوارم با رعایت این نکات دیگه شاهد هک شدن سرورهای ویپ دوستان و سروران عزیز در ایران نباشیم.
    برای بزرگتر شدن عکس روی آن کلیک کنید

نام:	firewall2.jpg
نمایش ها:	1
اندازه:	7.4 KB
شناسه:	17741
    موفق و موید باشید
    محمد هابیلی
    آخرین ویرایش توسط Habili; در تاریخ/ساعت 01-16-2016, 12:20 PM.

درباره انجمن منطقه لینوکسی ها

انجمن منطقه لینوکسی ها با هدف ارتقاء سطح علمی کاربران در سطح جهانی و همچنین کمک به بالا بردن سطح علمی عمومی در زمینه های تخصصی فوق پایه گذاری شده است. انجمن منطقه لینوکسی ها از طریق کارشناسان و متخصصان پاسخگوی سوالات گوناگون کاربران مبتدی یا پیشرفته میباشد تا حد امکان تلاش شده که محیطی متنوع و کاربر پسند و به دور از هرگونه حاشیه جهت فعالیت کاربران در این انجمن ایجاد شود. لذا ما به صورت مستمر برای پیشرفت کمی و کیفی محتوی و اطلاعات انجمنمان میکوشیم که این برای ما ارزشمند و حائز اهمیت است. کلیه حقوق،اطلاعات و مقالات در این انجمن متعلق به سایت منطقه لینوکسی ها میباشد، و هرگونه نسخه برداری بدون ذکر منبع مورد پیگرد قانونی خواهد شد.

شبکه های اجتماعی

ایمیل مدیریت

Habili@linux-zone.org

در حال انجام ...
X