نکات مهم برای امنیت استریسک
در دنیای ارتباطات مبتنی بر IP، سیستمهای تلفنی مانند استریسک (Asterisk) ستون فقرات کسبوکارها هستند. اما همانطور که اتصال به اینترنت مزایای فراوانی دارد، پنجرهای رو به خطرات امنیتی نیز باز میکند. هک شدن یک مرکز تماس ویپ میتواند کابوسی از دست رفتن اطلاعات، سوءاستفاده مالی (مانند تماسهای بینالمللی پرهزینه) و اختلال در کسبوکار باشد.
۱۲ گام عملی برای ایمنسازی زیرساخت استریسک شما
امنیت استریسک یک فرآیند مداوم است، نه یک تنظیمات یکباره. با اجرای مراحل زیر، امنیت سیستم خود را به شکل چشمگیری ارتقا دهید:
۱. استحکام بخشیدن با فایروال لینوکس (IPTables)
فایروال، اولین و مهمترین خط دفاعی شماست. IPTables ابزار قدرتمند فایروال در قلب لینوکس است.
برای کاربران الستیکس (Elastix): بخش Security در محیط گرافیکی الستیکس، در واقع رابط کاربری آسانی برای مدیریت همین IPTables است.
بعد از فعالسازی فایروال، پورت های مربوط به VOIP را می بایست باز کنید.
پورتهای ضروری برای باز شدن (در صورت نیاز به دسترسی بیرونی):
| پروتکل | پورت | نوع دسترسی | توصیه امنیتی |
|---|---|---|---|
| SIP (سیگنالینگ) | 5060 (TCP/UDP) | خارجی/داخلی | با فایروال محدود شود. |
| IAX2 | 4569 (UDP) | خارجی/داخلی | در صورت عدم استفاده، مسدود شود. |
| RTP (صدا) | 10000-20000 (UDP) | خارجی/داخلی | بازه پورت صوتی، فقط برای ترافیک مجاز. |
| SSH (مدیریت ریموت) | 22 (TCP) | فقط مدیریتی | پورت تغییر یابد و دسترسی محدود شود. |
| HTTPS (مدیریت وب) | 443 (TCP) | فقط مدیریتی | دسترسی باید کاملاً محدود شود. |
۲. مبهمسازی از طریق تغییر پورتهای پیشفرض
رباتهای هکر اغلب با اسکن پورتهای استاندارد شروع به کار میکنند. با تغییر این پورتها، شما یک لایه امنیتی “به سختی دیده شدن” ایجاد میکنید.
پورتهایی که باید تغییر دهید: 80 (HTTP)، 443 (HTTPS)، 22 (SSH)، و 5060 (SIP).
۳. استفاده استراتژیک از NAT (Network Address Translation)
NAT به سرور شما اجازه میدهد تا پشت یک آدرس IP عمومی قرار گیرد و دسترسی مستقیم از اینترنت به هسته سرور شما مسدود شود.
- مزیت: این کار دسترسی مستقیم هکرها به پورتهای داخلی سرور شما را دشوارتر میکند.
- احتیاط: هنگامی که استریسک پشت NAT قرار میگیرد، باید تنظیمات SIP (مانند
externipوlocalnetدر sip.conf) را به دقت پیکربندی کنید تا مشکلاتی مانند قطعی صدا یا عدم برقراری تماس رخ ندهد.
۴. پایش مداوم: چک کردن لاگهای امنیتی
مانیتورینگ فعال: لاگهای امنیتی Asterisk
بیتوجهی به لاگهای امنیتی در سیستمهای VoIP، مانند رانندگی بدون نگاه کردن به آینه عقب است. تلاشهای نفوذ در این گزارشها ثبت میشوند.
فعالسازی لاگهای امنیتی در Elastix:
فایل زیر را ویرایش کنید:
/etc/asterisk/logger_logfiles_custom.conf
خط زیر را به آن اضافه نمایید:
security => security
security در مسیر /var/log/asterisk ایجاد میشود که تمام تلاشهای رجیستر ناموفق و نفوذ را ثبت میکند.۵. خودکارسازی دفاع با Fail2Ban
Fail2Ban یک ابزار حیاتی است که به صورت هوشمند با حملات Brute-Force مقابله میکند.
نحوه عملکرد: اگر Fail2Ban تشخیص دهد که یک IP خاص چندین بار سعی در ورود به داخلیها یا پنل مدیریتی شما با رمزهای اشتباه کرده است، آن IP را موقتاً (یا دائمی) از طریق IPTables مسدود میکند. این کار از حدس زدن رمز عبور توسط رباتها جلوگیری میکند.
۶. محافظت سختگیرانه از مسیر خروجی (Outbound Route)
Outbound Route دروازه خروج تماسهای شما به شبکه تلفن عمومی (PSTN) است و جایی است که بیشترین سوءاستفادههای مالی از آن رخ میدهد.
اقدامات ضروری:
- رمزنگاری/احراز هویت: مطمئن شوید برای استفاده از مسیر خروجی، احراز هویت قوی (رمز عبور) لازم است.
- محدودیت دسترسی: تعیین کنید کدام داخلیها اجازه استفاده از این مسیر را دارند.
- محدودیت زمانی (Time Conditions): اگر کسبوکار شما ساعت کاری مشخصی دارد، دسترسی به خروجی را خارج از آن ساعات محدود کنید.
۷. تعیین سقف مکالمات همزمان (Concurrent Calls)
برای جلوگیری از سوءاستفاده و همچنین تضمین کیفیت سرویس (QoS) برای کاربران مجاز، هر داخلی نباید بتواند تعداد نامحدودی تماس همزمان برقرار کند.
راهکار: در تنظیمات هر داخلی (Extension)، پارامتر Max\_Calls را تنظیم کنید تا مصرف منابع کنترل شده و از استفاده بیش از حد جلوگیری شود.
۸. انتخاب رمزهای عبور مستحکم و غیرقابل پیشبینی
این نکته بدیهی اما اغلب نادیده گرفتهشده، اهمیت فوقالعادهای دارد.
قانون: از رمزهای عبور طولانی، شامل حروف بزرگ و کوچک، اعداد و کاراکترهای خاص برای داخلیها، مدیران و مهمتر از همه SSH و پورتالهای مدیریتی استفاده کنید. از رمزهای ساده و تکراری جداً پرهیز کنید.
۹. محدودسازی دسترسی رجیستر داخلیها بر اساس IP
اجازه ندهید داخلی شما از هر نقطهای در جهان رجیستر شود، مگر اینکه آن نقطه مورد اعتماد شما باشد.
sip.conf یا تنظیمات مربوطه در PBX Manager)، پارامتر host یا permit را تنظیم کنید. اگر کاربری در دفتر مرکزی کار میکند، فقط IP آن دفتر را برای رجیستر شدن داخلی مجاز کنید. حتی اگر کسی رمز شما را داشته باشد، بدون دسترسی به آن IP، نمیتواند از داخلی شما استفاده کند.۱۰. فایروال سختافزاری (Firewall Appliance)
در کنار IPTables نرمافزاری، استفاده از یک فایروال سختافزاری قدرتمند در لایه ورودی شبکه سازمان، یک لایه امنیتی بسیار قویتر و مدیریتشدهتر را فراهم میکند. این کار نیازمند تخصص امنیت شبکه است.
۱۱. رمزنگاری ارتباطات با TLS و SRTP (امنیت لایه انتقال)
حتی اگر کسی به سیگنالینگ (تنظیمات تماس) یا خود تماس دسترسی پیدا کند، نباید بتواند محتوای آن را بشنود.
- TLS: برای رمزنگاری سیگنالینگ SIP استفاده میشود تا تبادل اطلاعات بین تلفن و سرور امن شود.
- SRTP: برای رمزنگاری واقعی جریان صوتی (مدیا) استفاده میشود تا از شنود مکالمات جلوگیری شود.
فعالسازی SRTP: در تنظیمات داخلیها (مثلاً sip.conf با تنظیم encryption=yes یا استفاده از گزینههای امنیتی مناسب در تنظیمات مدیریتی)، این قابلیت را فعال کنید.
۱۲. بهروزرسانی منظم هسته و ماژولها (Patch Management)
هیچ سیستمی بدون نگهداری مداوم امن نخواهد بود. بزرگترین حفرههای امنیتی معمولاً در نسخههای قدیمی نرمافزار وجود دارند که وصلههای (Patch) امنیتی برای آنها منتشر شده است.
- بررسی منظم: حداقل ماهانه، وبسایت رسمی استریسک یا منابع معتبر جامعه (Community) را برای یافتن نسخههای جدید یا وصلههای امنیتی بررسی کنید.
- آپدیت نرمافزار اصلی: هسته استریسک (Asterisk Core) و تمام ماژولهای استفاده شده (مانند DAHDI، ODBC، و کتابخانههای مرتبط) را به آخرین نسخه پایدار بهروز نگه دارید.
- اجتناب از نسخههای آزمایشی (Beta): در محیط عملیاتی (Production)، همیشه از نسخههای پایدار (Stable) استفاده کنید، مگر اینکه دلیل فنی قوی برای استفاده از نسخه جدید داشته باشید و آمادگی لازم برای رفع مشکلات احتمالی را داشته باشید.
دیدگاه خود را بنویسید