Onderwerp: SIP proxy how-to ?

Beste WHT'ers,

Ik ben momenteel op zoek naar een klare
uitleg om volgende setup te realiseren :

Klant PBX -> Internet -> SIP Proxy -> Internet -> Provider PBX

Het is de bedoeling dat enkel oproepen naar
bepaalde landen doorgelaten en ge-proxy-ed
worden naar de provider toe.

De provider en klant PBX mogen enkel het SIP
proxy IP adres zien, kan dit trouwens of valt de
proxy zowieso weg eens de sessie op is ?

Hoe moeilijk is dit te realiseren met Elastix bvb ?

Waarom gebruik maken van een proxy, dat komt de kwaliteit en security niet echt ten goede. Wat betreft je vraag over het bellen naar bepaalde landen, dit kan je via dial rules regelen dat bepaalde landen doorgezonden worden naar de trunk(s) en andere bvb naar een interne recording dat dit land niet toegestaan is.

Wat betreft elastix, daar was ik vroeger ook grote voorstander van maar na 3 gehackte centrale's de laatste tijd niet meer. Elastix loopt nogal achter kwa asterisk updates en andere updates. Daarom ben ik nu deze centrale's aan het vervangen door centos5.5 met de asterisk/digium repo's zodat asterisk teminste up to date is. In de repo's van asterisk/digium kan je trouwens ook asterisk-gui en freepbx vinden. Tenzei je natuurlijk gebruik maakt van de andere dingen in elastix zoals email/crm/... zou ik je aanraden hier ook eens naar te kijken.

Wij werken al jarenlang met Elastix centrales voor onze klanten naar alle tevredenheid.
Een gewone Asterisk is niet meer of minder veiliger dan bijv een Trixbox of Elastix.

Meestal heeft dit toch te maken met zwakke wachtwoorden en / of alle poorten die openstaan op de centrale.

Van de meeste Elastix centrales die wij voor onze klanten beheren hebben we alle poorten dichtgegooit.
Alleen de klant of wij hebben toegang tot de centrale en tot nu toe nog geen gekke dingen meegemaakt.

Voor de klant die vanaf verschillende IP adressen zijn centrale wil benaderen, hebben we nog een aparte
beveiliging ingebouwd om hackers buiten de deur te houden.

Asterisk kan bijna iedereen op een server zetten, maar het beveiligen ervan is toch een apart hoofdstuk.

Oorspronkelijk geplaatst door The-BosS

Waarom gebruik maken van een proxy, dat komt de kwaliteit en security niet echt ten goede. Wat betreft je vraag over het bellen naar bepaalde landen, dit kan je via dial rules regelen dat bepaalde landen doorgezonden worden naar de trunk(s) en andere bvb naar een interne recording dat dit land niet toegestaan is.

Wat betreft elastix, daar was ik vroeger ook grote voorstander van maar na 3 gehackte centrale's de laatste tijd niet meer. Elastix loopt nogal achter kwa asterisk updates en andere updates. Daarom ben ik nu deze centrale's aan het vervangen door centos5.5 met de asterisk/digium repo's zodat asterisk teminste up to date is. In de repo's van asterisk/digium kan je trouwens ook asterisk-gui en freepbx vinden. Tenzei je natuurlijk gebruik maakt van de andere dingen in elastix zoals email/crm/... zou ik je aanraden hier ook eens naar te kijken.

Oorspronkelijk geplaatst door Callsheep

Wij werken al jarenlang met Elastix centrales voor onze klanten naar alle tevredenheid.
Een gewone Asterisk is niet meer of minder veiliger dan bijv een Trixbox of Elastix.

Meestal heeft dit toch te maken met zwakke wachtwoorden en / of alle poorten die openstaan op de centrale.

Van de meeste Elastix centrales die wij voor onze klanten beheren hebben we alle poorten dichtgegooit.
Alleen de klant of wij hebben toegang tot de centrale en tot nu toe nog geen gekke dingen meegemaakt.

Voor de klant die vanaf verschillende IP adressen zijn centrale wil benaderen, hebben we nog een aparte
beveiliging ingebouwd om hackers buiten de deur te houden.

Asterisk kan bijna iedereen op een server zetten, maar het beveiligen ervan is toch een apart hoofdstuk.

Laat ik stellen dat Elastix heel veel achterloopt met patches van asterisk zelf, iets wat je niet hebt met de eigen compiles of de digium repo's. De hacks waar ik het over heb zijn exploits in asterisk op de sip/iax poorten. En deze moet je nu jammer genoeg wel open zetten als je klanten hebt die van buitenaf connecteren (bvb sipclient op gsm, sip programma op laptop, meerdere locaties). Heeft dus niks met firewall beveiliging etc te zien maar zuiver met het feit dat elastix zijn repo's niet update en dat exploits er in blijven zitten. Dus je mag dan nog zoveel yum update etc doen als je wilt als de repo's niet up-to-date zijn heeft het weining zin.

@Dennis

Zolang je Asterisk-server vanaf Timboektoe of weet ik waar te benaderen is zal je
altijd beveiligingslekken blijven houden.

Bij Elastix speelt ook nog eens mee dat de Mysql-server een standaard wachtwoord
van Elastix heeft. Als deze Mysql-poort ook nog eens van buitenaf is te benaderen
dan is het een koud kunstje om de hele zaak te hacken.

Daarom hebben wij al deze (niet VoiP gerelateerde) poorten dichtstaan.
Verder hebben we afgelopen week 24 miljoen Nederlandse IP adressen in onze firewalls
gezet. Alle verbindingsverzoeken buiten Nederland worden daardoor niet meer toegestaan.
Hierdoor is het aantal hackpogingen vanuit het buitenland teruggebracht tot 0.

@avanmessen

Verbinding maken via een aparte proxy kan ik je ten sterkste afraden. Om eerlijk te zijn
zie ik daar ook niet echt een meerwaarde in. Je creeert hierdoor alleen maar aparte
beveiligingsgaten.

Als je niet wil dat mensen naar bepaalde landen kunnen bellen, dan kun je dat het beste
in de outboundroute instellen. Desgewenst kun je er ook nog een wachtwoord instellen
die ze moeten ingeven voordat de verbinding tot stand komt.

Oorspronkelijk geplaatst door Callsheep

@Dennis

Zolang je Asterisk-server vanaf Timboektoe of weet ik waar te benaderen is zal je
altijd beveiligingslekken blijven houden.

Bij Elastix speelt ook nog eens mee dat de Mysql-server een standaard wachtwoord
van Elastix heeft. Als deze Mysql-poort ook nog eens van buitenaf is te benaderen
dan is het een koud kunstje om de hele zaak te hacken.

Daarom hebben wij al deze (niet VoiP gerelateerde) poorten dichtstaan.
Verder hebben we afgelopen week 24 miljoen Nederlandse IP adressen in onze firewalls
gezet. Alle verbindingsverzoeken buiten Nederland worden daardoor niet meer toegestaan.
Hierdoor is het aantal hackpogingen vanuit het buitenland teruggebracht tot 0.

De hacks/exploits waren afkomstig van binnen Belgie dus dan heb je ook weinig aan je firewall, zoals bij mij het geval was. Ik heb zelf een sterk vermoeden aan het ip's dat in de log stonden het van één of ander botnet afkostig was die de exploit uitvoerde. En eens de hackers eex proxy hebben draaien die geen restricties heeft tja dan kan je de gevolgen wel raden.

Oplossing is nu dat bij 2 klanten dat het via vpn tunnels loopt zodat gsm's en laptops via deze weg kunnen connecteren, naast het andere voordeel dat ze nog veiliger surfen op hotspots. Maar die oplossing kun je ook alleen maar als enkel werknemers binnen het bedrijf gebruik maken van de pbx.