Przedstawiamy przykładową konfigurację popularnej centralki Asterisk na potrzeby korzystania z usług telefonii internetowej ExtraVoIP.pl.
Zawarte tu przykłady konfiguracji zastosować można także we wszystkich popularnych klonach i odmianach Asteriska oraz w systemach bazujących na nim, np. Trixbox, Elastix, AsteriskNOW, CallWeaver.
Przykładowa zawartość pliku sip.conf
Pierwszy wpis musi być zawarty w sekcji [global] pliku sip.conf, np. można go umieścić bezpośrednio pod tekstem [global]:
[global]
register => twoj_login:[email protected]/przychodzace
(dalej reszta pliku...)
Dalsze wpisy należy umieścić na końcu pliku sip.conf:
[extravoip]
type=peer
fromuser=twoj_login
username=twoj_login
secret=twoje_haslo
fromdomain=sip.extravoip.pl
context=extravoip
host=sip.extravoip.pl
port=5060
outboundproxy=sip.extravoip.pl
outboundproxyport=5060
insecure=invite
canreinvite=no
dtmfmode=rfc2833
nat=no
disallow=all
allow=alaw
allow=ulaw
allow=g729
rtptimeout=60
dtmfmode=RFC2833
[user_wewn_1]
context=extravoip
type=friend
username=user_wewn_1
secret=haslo_usera_wewn_asteriska
host=dynamic
nat=yes
allow=all
Przykładowe ustawienia extensions.conf
[default]
exten => _.,1,Hangup
[extravoip]
exten => t,1,Hangup
exten => h,1,Hangup
exten => _X.,2,Dial(sip/${EXTEN}@extravoip)
exten => przychodzace,1,Dial(SIP/user_wewn_1,45,Tt)
Komentarz: peer extravoip na potrzeby komunikacji z serwerem ExtraVoIP.pl, to do niego kierujemy połączenia wychodzące i przychodzące z poziomu extensions.conf i funkcji Dial(). Wpis user_wewn_1 to przykladowe konto na które należy zalogować do asteriska swój softphone lub bramkę VoIP.
Asterisk za NAT
Jeżeli Asterisk znajduje się za routerem z funkcją NAT (jeżeli serwer na którym działa Asterisk nie ma rutowalnego, publicznego adresu IP), to należy zmienić linię nat=no na nat=yes.
Następnie w sekcji general należy ustawić:
[general]
# przydatne przy Asterisk-ach na niepublicznych adresach iIP (za NATem):
defaultexpiry=60
# adres i maska sieci lokalnej, użyj danych twojej sieci:
localnet=192.168.1.0/255.255.255.0
# adres publiczny routera, za którym jest Asterisk (podaj swój!)
externip=123.234.123.234
Uwaga na hakerów!
Systemy operte o Asterisk są jednym z najczęstszych celów ataków hakerskich. Przełamanie zabezpieczeń źle zabezpieczonego systemu może prowadzić do całkowitego "wyczyszczenia" konta ze środków. Domyślna konfiguracja Asteriska nie jest bezpieczna, w miarę możliwości o bezpieczeństwo systemu powinien zadbać zawodowy administrator.
Należy przestrzegać podstawowych zasad bezpieczeństwa:
- W konfiguracji Asteriska wyłącz wszystkie usługi, udogodnienia i rozszerzenia które nie są używane lub których działania nie rozumiesz
- Umieść serwer z Asterisk za routerem/firewallem. Konfiguracja dostępu powinna domyślnie zabraniać jakichkolwiek połączeń z Internetu. Na liście wykluczeń należy umieścić tylko uprawnione adresy (np. adresy naszych serwerów, dostępne w Panelu Klienta po zalogowaniu
- Jeżeli to możliwe, użyj niestandardowego portu SIP (dowolny nie używany port UDP). Automatyczne oprogramowanie hakerów przeszukuje sieć łącząc się z portem 5060 UDP, zmiana tego portu zmniejsza ryzyko wykrycia przez skaner. Pamiętaj, że po zmianie portu musisz skonfigurować wszystkie urządzenia logujące się do asteriska, żeby korzystały z tego alternatywnego portu zamiast domyślnego 5060.
- Jeżeli Asterisk nie jest używany poza godzinami pracy firmy - należy skonfigurować na firewallu blokadę czasową. Większość ataków zdarza się w weekendy i w nocy
- Zablokuj dostęp do SSH spoza sieci lokalnej
- Zablokuj dostęp do SSH użytkownika root
- Jeżeli to możliwe, zmnień port używany przez usługę SSH
- NIGDY nie stosuj haseł domyślnych i domyślnych konfiguracji. Przeszperaj całą konfigurację maszyny w celu zmiany haseł domyślnych wszystkich usług
- Dobre hasło powinno zawierać małe i duże litery oraz cyfry i mieć długość minimum 8 znaków
- Zainstaluj i skonfiguruj oprogramowanie fail2ban - automat wykrywający i blokujący próby ataków siłowych i DoS. Zastosuj fail2ban do wszystkich usług udostępnianych w Internecie. Instrukcja konfiguracji dla Asteriska dostępna jest pod adresem http://www.voip-info.org/wiki/view/Fail2Ban+(with+iptables)+And+Asterisk
- Zadbaj o częstą aktualizację do najnowszych wersji oprogramowania i systemu