Eu bloqueei as portas 80, 9001, 9080. Quais outras portas devem ser bloqueadas para maximizar a segurança?
PS: É um servidor asterisco / PBX
Desculpe: New Systems Admin aqui :)
Obrigado!
Eu bloqueei as portas 80, 9001, 9080. Quais outras portas devem ser bloqueadas para maximizar a segurança?
PS: É um servidor asterisco / PBX
Desculpe: New Systems Admin aqui :)
Obrigado!
Respostas:
O melhor é bloquear todas as portas (iptables padrão para DROP) e abrir apenas o que você precisa (provavelmente a porta 5060, pelo menos para o servidor asterisco). Se você precisar administrar o asterisco de fora, a porta 80 precisará estar aberta se você administrá-lo a partir de um navegador da web ou a porta 22 se você usar ssh.
Atualizar:
Para o Asterisk, acho que você não precisa de outras portas abertas e nem tem certeza de que precisa do 5060 aberto. Se você receber apenas chamadas do seu provedor de voz (com um tronco), não será necessário abrir o 5060.
Você precisa abrir o 5060 se tiver extensões (ou outro PBX Voip) conectando-se à Internet, mas eu não recomendo isso, se você puder evitá-lo. Você pode usar uma VPN.
Tbh acho melhor usar asterisco na LAN (atrás de um roteador / servidor com NAT e firewall), sem conexão direta com a internet. Nesse caso, o servidor (ou roteador) da Internet precisa encaminhar o intervalo de portas RTP que você usa no asterisco (possivelmente 8000-10001) para o servidor asterisco. Você também precisa encaminhar a porta 5060 se receber novas conexões nele.
Obs: uma nova chamada recebida de um tronco (DID, por exemplo) não é uma nova conexão com o 5060 porque a conexão com seu provedor de voip usando o tronco é iniciada por asterisco, de modo que esteja no estado RELATED ou ESTABELECIDO para o firewall e já deve estar autorizado pelo firewall do roteador (caso contrário, você provavelmente não possui Internet na LAN).