freepbx security

[atux_null]

γεια σε όλους. τρέχω asterisk 11.18 με freepbx 2.11 πάνω σε ένα linux vps (ubuntu) με public IP (έστω 1.2.3.4). όλα μου δουλεύουν όπως θέλω και ήρθε η ώρα να βάλω το μηχάνημα από test σε παραγωγή. πρώτα όμως πρέπει να το προστατέψω. οι ενέργειες που έχω κάνει είναι:
-αλλαγή της default port sip_bind_port από 5060 σε 46760
-αλλαγή της default port ssh από 22 σε 46722
-έχω κόψει την πόρτα 80 να μην είναι προσβάσιμη από public IP και να είναι μόνο από private 172.16.x.y όταν μπαίνω στο vps με openvpn. το κάνω με iptables

Για τους χρήστες που είναι με στατική ΙΡ ή με δυνατότητα vpn τους έχω μέσα από openvpn. το θέμα είναι ότι έχω μερικά εσωτερικά που δεν υπάρχει δυνατότητα για vpn και θα χτυπάνε απευθείας την public IP. οπότε θέλω να περιορίσω λίγο επιθέσεις, ταυτόχρονα connections, scans, ... πχ αν κάποιος κάνει πάνω από 2 λάθη στους κωδικούς στις ssh συνδέσεις μέσα σε 30sec τότε να γίνει ban για μια ημέρα. αν κάποιος κάνει scan να γίνει ban για 3 ημέρες.

θα ήθελα τα φώτα σας παρακαλώ για να χτίσω σωστά τα iptables, μιας και δεν το έχω και πολύ.

[_alx_]

Για τους χρήστες που είναι με dynamic μπορείς να κάνεις κάτι τέτοιο

Για ban μετά από fails θες το fail2ban αλλά με προσοχή γιατί μπορεί να κλειδώσεις κάποιο valid χρήστη.

Επίσης μπορεί να έχεις κόψει την 80 αλλά θα πρέπει να κάνεις το ίδιο και για την 443.

Αν θες μπορείς να αλλάξεις τις πόρτες του rtp από 10000 εως 20000 σε κάτι άλλο.

Για το ssh θα σου πρότεινα να κόψεις τελείως το remote login του root χρήστη, να ενεργοποιήσεις το key authentication, να φτιάξεις έναν δεύτερο απλό χρήστη και να συνδέεσαι με keys.
Μετά από εκεί θα κάνεις su - root για να μπορείς να δουλέψεις.

Αν ακολουθήσεις το προηγούμενο link, σου φτιάχνει τα iptables έτσι ώστε να κάνει block τους πάντες εκτός από αυτούς που θες.
Δεν θα πρέπει να ξεχάσεις και την ip του παρόχου σου ώστε να δουλεύει το sip trunk.
Αυτό είναι το μόνο μειονέκτημα. Αν αλλάξει ip ο server του παρόχου τότε με το χέρι θα πρέπει να το διορθώσεις.