Académique Documents
Professionnel Documents
Culture Documents
détaillée et organisée.
Avantages Inconvénients
-Cette méthode permet d’installer -Dépendant de l'upload des mises à jour
facilement et rapidement un serveur sur les repositories de l'OS
Asterisk fonctionnel et préparé
-Le maintient à jour est simplifié
1
Installation
Dans cette méthode, nous installerons Asterisk via le code source
Méthode disponible sur le site officiel.
sudo apt install libtool pkg-config subversion autoconf git build-essential wget
Source Install
Installation des dépendances nécessaires : compilateurs asterisk
et wget.
cd asterisk-*/
sudo ./contrib/scripts/get_mp3_source.sh
2
Installation
Méthode
./configure
3
Installation
Méthode
Configuration
A présent nous allons modifier les dossiers de configuration du
serveur pour réduire au maximum la surface d’attaque.
Réalisez une sauvegarde de «Back-up» puis ouvrez simplement les
fichiers dans votre éditeur de texte.
4
Configuration
DOSSIER useragent=<User Agent> :Permet d'obfusquer le modèle du PBX lors d'un scan de botnet, et
d'offrir une protection basique
alwaysauthreject=yes :Permet de réduire l'efficacité d'un scan de comptes SIP sur le PBX en
prétendant que chaque compte existe : les comptes invalides renvoient
une fausse demande de mot de passe impossible à compléter
SIP.CONF localnet=192.168.0.0/16 :Force l'interprétation des IP locales (RFC 1918) en addresses
non-routables à ne pas NATer
localnet=172.16.0.0/12 :Force l'interprétation des IP locales (RFC 1918) en addresses
non-routables à ne pas NATer
localnet=10.0.0.0/8 :Force l'interprétation des IP locales (RFC 1918) en addresses
[general] non-routables à ne pas NATer
localnet=127.0.0.0/8 :Empêche les adresses loopback d'être NATées hors du réseau local
externaddr=<IP> :Spécifie l'adresse du PBX dans le cadre d'une configuration NAT
indispensable pour communiquer avec l'extérieur, et obscurcit les IP
directes des terminaux en se plaçant comme proxy
auth=<login>#<mot de passe MD5>@<opérateur> :Stocke les identifiants au provider distant en tant que hash afin d'éviter
le vol de mot de passe par lecture de la configuration. A noter que les
hashs MD5 peuvent être facilement cassés, la protection est donc
minime
register = <Authentificateur fourni par l'opérateur>/<Extension dédiée aux appels extérieurs>
DOSSIER
CONSOLE=Console/dsp :Définit le moteur audio d'Asterisk, ici ALSA, interface directe vers le
kernel audio
IAXINFO :Protocole obsolète d'appairage PBX via le service Digium, ferme le
EXTENSIONS vecteur d'attaque
.CONF
TRUNK :Définit un trunk PABX sur lequel s'interfacer, obsolète car supplanté par
la VoIP et les IPBX
[Globals] TRUNKMSD :Définit un trunk PABX sur lequel s'interfacer, obsolète car supplanté par
la VoIP et les IPBX
5
DOSSIER
Pour le réactiver :
contact@diskyver.com