Przykładowa zawartość pliku sip.conf

[extravoip]
type=friend
host=sip.extravoip.pl
fromdomain=sip.extravoip.pl
fromuser=twoj_login
username=twoj_login
secret=twoje_haslo
qualify=yes
canreinvite=no
dtmfmode=rfc2833
nat=no
disallow=all
allow=ulaw
allow=alaw
allow=g729
rtptimeout=60
dtmfmode=RFC2833
register => twoj_login:twoje_haslo@sip.extravoip.pl
	

Asterisk za NAT

Jeżeli Asterisk znajduje się za routerem z funkcją NAT (jeżeli serwer na którym działa Asterisk nie ma rutowalnego, publicznego adresu IP), to należy zmienić linię nat=no na nat=yes. Następnie w sekcji general należy ustawić:

[general]
defaultexpiry=60	przydatne przy Asterisk-ach na niepublicznych adresach iIP (za NATem)
localnet=192.168.1.0/255.255.255.0	adres i maska sieci lokalnej, użyj danych twojej sieci
externip=123.234.123.234	adres publiczny routera, za którym jest Asterisk	

Uwaga na hakerów!

Systemy operte o Asterisk są jednym z najczęstszych celów ataków hakerskich. Przełamanie zabezpieczeń źle zabezpieczonego systemu może prowadzić do całkowitego "wyczyszczenia" konta ze środków. Domyślna konfiguracja Asteriska nie jest bezpieczna, w miarę możliwości o bezpieczeństwo systemu powinien zadbać zawodowy administrator.

Należy przestrzegać podstawowych zasad bezpieczeństwa:

• W konfiguracji Asteriska wyłącz wszystkie usługi, udogodnienia i rozszerzenia które nie są używane lub których działania nie rozumiesz
• Umieść serwer z Asterisk za routerem/firewallem. Konfiguracja dostępu powinna domyślnie zabraniać jakichkolwiek połączeń z Internetu. Na liście wykluczeń należy umieścić tylko uprawnione adresy (np. adresy naszych serwerów, dostępne w Panelu Klienta po zalogowaniu
• Jeżeli to możliwe, użyj niestandardowego portu SIP (dowolny nie używany port UDP). Automatyczne oprogramowanie hakerów przeszukuje sieć łącząc się z portem 5060 UDP, zmiana tego portu zmniejsza ryzyko wykrycia przez skaner
• Jeżeli Asterisk nie jest używany poza godzinami pracy firmy - należy skonfigurować na firewallu blokadę czasową. Większość ataków zdarza się w weekendy i w nocy
• Zablokuj dostęp do SSH spoza sieci lokalnej
• Zablokuj dostęp do SSH użytkownika root
• Jeżeli to możliwe, zmnień port używany przez usługę SSH
• NIGDY nie stosuj haseł domyślnych i domyślnych konfiguracji. Przeszperaj całą konfigurację maszyny w celu zmiany haseł domyślnych wszystkich usług
• Dobre hasło powinno zawierać małe i duże litery oraz cyfry i mieć długość minimum 8 znaków
• Zainstaluj i skonfiguruj oprogramowanie fail2ban - automat wykrywający i blokujący próby ataków siłowych i DoS. Zastosuj fail2ban do wszystkich usług udostępnianych w Internecie. Instrukcja konfiguracji dla Asteriska dostępna jest pod adresem http://www.voip-info.org/wiki/view/Fail2Ban+(with+iptables)+And+Asterisk
• Zadbaj o częstą aktualizację do najnowszych wersji oprogramowania i systemu