Недавно начал осваивать IP телефонию
В целом все вроде как понятно… но когда начинаешь использовать на практике оказывается все не так просто…
Я решил использовать для телефонии сборку на базе всем известного Asterisk под названием TrixBox.
Почему ??? На первый взгляд показалось что так легче …. но не все так хорошо… но об этом как ни будь в другой раз.
В итоге как новичок я принялся создавать транки, формировать маршрутизацию и так далее… в пылу азарта я упустил одну важную вещь… о которой и хочу поговорить…

Безопасность!!!!!

Оказалось что получить доступ к TrixBox довольно таки просто.

А именно:

Не желательно выставлять Сервер непосредственно в мир… Лучше прятать его в частной сети… но если нет такой возможности или все никак не удается заставить телефонию работать через NAT нужно плотно закрыватся…
Для надежности закройте все коммуникационные порты (Web,HTTPS, SSH, Telnet и так далее)

Так же при работе с любым провайдером вам предоставляется IP адрес сервера провайдера. Запретите хождение UDP пакетов из любого источника и укажите адрес провайдера как исключение!!! Для чего !?!?!?! для того что бы уложить сервер достаточно сгенерить большое количество UDP запросов. Понятное дело что они все будут отвергнуты… но процедура отброса заключается в том что запрос нужно обработать и принять решение о том что соединение является не санкционированным!!! А если учесть что сгенерить 20 000 запросов в минуту не так уж сложно, имеем сервис астериска на первом месте хит парада под названием – «top»
Для того что бы настроить маршрутизацию и правила набора не обязательно быть пользователем MAINT … Можно спокойно зайти под wwwadmin и получить полный доступ…

Для устранения потенциальной дыры в системе безопасности, необходимо удалить пользователя

и/или

Так же желательно сменить пароли

в

/etc/asterisk/manager.conf
/etc/amportal.conf

В первом меняем пароль admin

Во втором меняем три пароля (стандартно это amp109 и amp111):

После этого нужно поменять пароль root’а MySQL:

Пароль по умолчанию для root’а — passw0rd
И заменяем введённый пароль в файлах

Далее меняем пароль для пользователя asteriskuser (на тот, который мы указали ранее в параметре AMPDBPASS):

1) mysql -u root -p
2) Вводим ранее поменянный пароль
3) SET PASSWORD FOR 'asteriskuser'@'localhost' = PASSWORD('younewpassword');

После этого рестартуем TrixBox:

amportal restart

Ну и для обеспечения работы CDR записей меняем пароли в файлах:

 

Если кто то считает что все эти меры избыточны то пожалуйста поэкспериментируйте :)
Из опыта знаю что дружелюбные ребята которых называют Хакерами постоянно сканируют сеть на предмет открытых систем.

После нахождения подобной системы нужно выяснить что это за система… допустим по характерным признака эти парни понимают что это TrixBox дальше начинается перебор всех тех дыр которые описаны выше. Если же это не даст результата нужно сделать так что бы Вы сами начали проводить какие ни будь манипуляции, изменения которые могут привести к открытию или появлению дыр. ДА нужно попробовать ушатать сервер, направив на него массу запросов… Новички как правило не сразу обращают внимание на неимоверное количество запросов и начинают откатывать последние настройки и безопасности в том числе…
Так же Можно не сканировать сеть на предмет появления на IP адресах признаков систем с IP телефонией … можно просто иметь знакомого работающего у провайдера… бывает и такое, хотя провайдера борются с этим так как это сильно бьет по их имиджу.
В целом не защищенная система становится механизмом для звонков за границу в течении одного – трех дней.
Описание возможно сыровато изложено но Суть по-моему ясна!!!
Часть материалов взята с:

http://malinsky.ru/%d0%b1%d0%b5%d0%b7%d0%be%d0%bf%d0%b0%d1%81%d0%bd%d1%8b%d0%b9-trixbox/

http://asteriskblog.ru/2011/05/17/trixbox-ce-ne-zadokumentirovannoe-web-administriro/