Segurança Melhorada com Fail2Ban

Asterisk  para Raspberry Pi


Segurança Melhorada com Fail2Ban


Documentação

Conteúdo - Configuração Básica


1. Próximas etapas após o download da imagem

2. Determinar hostname / IP address

3. Configuração básica  

4. Configuração de e-mail

5. Alterando palavras-passe

6. Mais documentação


Conteúdo - Tópicos Avançados


1. Gateway de fax
2. Segurança: HowTo para Asterisk e Fail2Ban
3. Executando RasPBX sem conexão à Internet
4. Gateway VoIP GSM com Chan_dongle
5. Considerações de Segurança
6. Faça backup do seu sistema
7. Executando o RasPBX a partir de um disco rígido externo USB ou Thumb Drive


 Configuração Básica


  1. Próximas etapas após o download da imagem


Instruções sobre como escrever a imagem transferida para o seu cartão podem ser encontradas aqui:


http://elinux.org/RPi_Easy_SD_Card_Setup


A imagem está apenas utilizando 4GB do seu cartão, mesmo que você tenha comprado um maior. Em um cartão maior, você pode disponibilizar mais espaço disponível para sua partição raiz executando no console do RPi inicializado:

raspi-config


Selecione a opção expand_rootfs.

(Redimensionar com raspi-config não funcionou com as imagens de 2015, mas está bem novamente desde 2016.)

Se você prefere fazer isso manualmente, uma das maneiras mais fáceis é usar GParted no Linux. Detalhes podem ser encontrados aqui:

http://elinux.org/RPi_Resize_Flash_Partitions#Manually_resizing_the_SD_card_using_a_GUI_on_Linux


  1. Determinar hostname / IP address


Uma vez que seu RPi é inicializado, você precisa saber que é hostname ou endereço IP para login ssh ou para abrir a GUI da web. Em computadores com Windows, basta usar o nome de host raspbx para acessar seu RPi.

SSH login:

ssh root@raspbx

GUI da Web:

http://raspbx

No Macintosh, use raspbx.local em vez disso:

ssh root@raspbx.local

GUI da Web:

http://raspbx.local

Caso isso não seja bem-sucedido, você pode verificar a lista de clientes DHCP do seu roteador e procurar o IP associado ao nome raspbx.

Se isso ainda não funcionar, você sempre pode apenas conectar um monitor HDMI e teclado USB, faça login no console com o usuário root, senha raspberry e execute o comando:

ifconfig


  1. Configuração básica


Depois que o seu RPi foi iniciado com êxito, faça o login no console ou pelo ssh com o usuário root e a senha raspberry. Siga estas etapas para concluir a configuração inicial:

Crie novas chaves de host ssh para ter chaves individuais para cada configuração

regen-hostkeys

Após esta etapa, o cliente ssh avisará sobre uma chave de host alterada no seu próximo ssh connect. escolha o seu fuso horário:

configure-timezone

Configurar configurações de localidade:

dpkg-reconfigure locales

Configurar as definições do teclado (não é necessário quando se trabalha apenas com o ssh):

dpkg-reconfigure keyboard-configuration


          4. Configuração de e-mail


A entrega de e-mail do seu RPi é necessária se você planeja enviar mensagens de voz aos usuários por e-mail. Email já funciona na configuração padrão usando Exim4 como MTA. Por padrão, o Exim está configurado para enviar diretamente e-mails para os hosts MX do destinatário. No entanto, isso é desencorajado, já que muitos provedores de e-mail classificam e-mails provenientes de endereços IP dinâmicos como spam. Para evitar isso, você precisa definir um smarthost. A menos que você tenha um servidor SMTP aberto em sua rede que pode ser usado como smarthost sem autenticação, você precisará especificar credenciais de autenticação SMTP também. É basicamente possível usar quase qualquer freemailer disponível publicamente como smarthost com o RPi. Tem nome de usuário e senha, bem como SMTP hostname (às vezes também conhecido como servidor de correio de saída) da conta de e-mail que você vai usar pronto. Executar no console:

dpkg-reconfigure exim4-config

Na primeira página de configuração, selecione "mail enviado pelo smarthost; Recebidos via SMTP ou fetchmail ". Nas páginas seguintes basta manter os valores predefinidos premindo enter, até chegar à página que começa com "Por favor, introduza o endereço IP ou host de um servidor de correio ...". Aqui, digite o nome de host SMTP do seu provedor de e-mail. Novamente, mantenha os valores padrão nas páginas restantes.Em seguida, edite o arquivo passwd.client executando:

nano /etc/exim4/passwd.client

Adicione suas credenciais na parte inferior deste arquivo no seguinte formato:

SMTP_HOSTNAME: USERNAME: PASSWORD

Na maioria dos casos, o nome do host SMTP usado neste arquivo é idêntico ao nome do host usado como smarthost antes. Se o e-mail não funcionar, especifique a pesquisa inversa do endereço IP do host SMTP do seu provedor de e-mail aqui. No Google Mail, defina-o como * .google.com

Alguns provedores de e-mail também exigem que você use endereços de remetente idênticos a um dos endereços de e-mail públicos de sua conta. Neste caso, edite:

nano /etc/email-addresses

Na parte inferior deste arquivo, adicione:

root: your_email@someisp.com

asterisk: your_email@someisp.com

Isso configura o endereço do remetente de todos os emails enviados para your_email@someisp.com.

Finalmente, para ativar sua execução de configuração:

update-exim4.conf

Você pode testar sua configuração de e-mail com este comando:

send_test_email your_email@someisp.com

Um e-mail de teste deve chegar à sua caixa de entrada em breve.


           5. Alterando senhas


Depois de concluir a instalação básica, você pode querer alterar as seguintes senhas importantes para manter sua configuração segura. Enquanto o seu sistema estiver em execução com um endereço IP privado atrás de um roteador com todas as portas fechadas, essas senhas só afetarão as pessoas que tentam fazer o login dentro de sua rede, já que ninguém pode efetuar login de fora.

Altere a senha para SSH ou login do console com:

passwd

Para alterar o login do FreePBX, selecione Admin - Administradores no FreePBX. No lado direito da página abaixo Adicionar Usuário selecione admin. A senha pode ser alterada aqui.

Há mais duas senhas que devem ser alteradas. No FreePBX abra Configurações - Configurações avançadas. Localize o campo Asterisk Manager Password e altere esta senha. Na mesma página, procure User Portal Admin Password e altere a senha para o login do administrador do ARI também.


            6. Mais documentação

Mais documentação sobre como trabalhar com a GUI FreePBX pode ser encontrada aqui:

http://www.freepbx.org/support/documentation

http://wiki.freepbx.org/

 

Tópicos Avançados

1. Gateway de fax

O suporte de gateway de fax em RasPBX é fornecido pelo HylaFAX, um recurso opcional que precisa ser instalado manualmente chamando:

install-fax


Este comando é adicionado com a atualização # 5, consulte a página de downloads para obter detalhes. Certifique-se de que você está executando o raspbx-upgrade e o seu sistema está atualizado, caso contrário este comando não estará disponível.

Após a conclusão da instalação, você pode configurar uma extensão de fax à sua escolha. Isso também pode ser ignorado e feito mais tarde chamando:

add-fax-extension

Isso está configurando HylaFAX, Iaxmodem e FreePBX. Uma extensão adicional é adicionada ao FreePBX que pode ser usado como destino de entrada para o seu fax DID. Os faxes para esta extensão serão enviados por e-mail para o endereço especificado durante a extensão de extensão de fax adicional.

É possível ter tantas extensões de fax como exigido chamando add-fax-extensão várias vezes. Cada extensão pode me mapeado para um endereço de e-mail diferente, tendo assim várias máquinas de fax virtual com diferentes destinatários.

Para enviar faxes, qualquer cliente HylaFAX como Winprint HylaFAX ou qualquer outro pode ser usado. Uma lista completa pode ser encontrada aqui:

http://www.hylafax.org/content/Desktop_Client_Software

O usuário padrão para se conectar ao HylaFAX é root com senha vazia.


2. Segurança: Como para Asterisk e Fail2Ban

Fail2Ban pode ser instalado facilmente chamando:

install-fail2ban

Este instalador inclui todas as etapas descritas pelo how-to da RazvanTurtureanu para instalar o Fail2Ban com o Asterisk no RasPBX. Leia o tutorial completo no fórum. A última seção outras dicas de segurança dá uma boa visão geral sobre a segurança em geral, não se esqueça de ler isso mesmo se você não decidir instalar Fail2Ban.


3. Executando RasPBX sem conexão à Internet

Se a conexão com a Internet não está continuamente presente ou não está presente, podem aparecer 2 problemas que impedem a chamada entre extensões:


  1. No system boot, a hora actual é obtida através do NTP. Asterisk só começa depois que o tempo foi definido corretamente, para evitar problemas que foram vistos em conexão com um grande salto de tempo no sistema. Se o Asterisk for iniciado com tempo errado primeiro e o horário for ajustado corretamente mais tarde, as chamadas de áudio podem ser seriamente distorcidas. Assim, os scripts de inicialização só iniciam o Asterisk após o tempo ter sido definido, e em configurações sem conexão à Internet, o Asterisk não será iniciado por padrão. Para superar isso, instale fake-hwclock:

apt-get install fake-hwclock

Ele economiza o tempo de desligamento e o carrega novamente durante a reinicialização.

Atualização: Dnsmasq é instalado e configurado como descrito abaixo com atualização # 10. As etapas abaixo não são necessárias se todas as atualizações mais recentes estiverem instaladas.


  1. Asterisk entra em problemas quando as pesquisas de DNS falham, deixando um sistema instável. Isso pode ser corrigido através da instalação do dnsmasq:

apt-get install dnsmasq

configure:

cd / etc

mv resolv.conf resolv.conf.dnsmasq

edit /etc/dnsmasq.conf, altere esta seção

# Mude esta linha se você quiser dns para obter seus servidores upstream de

# Em algum outro lugar que /etc/resolv.conf

resolv-file =/etc/resolv.conf.dnsmasq

Em seguida, crie /etc/resolv.conf com o conteúdo:

nameserver 127.0.0.1

Em seguida, recarregue:

/etc/init.d/dnsmasq restart

 


Para baixar esse tutorial em PDF clique no link abaixo:

https://www.lojamundi.com.br/download/seguranca-melhorada-com-fail2ban.pdf




Posted in: Gateway Voip

ENTRE EM CONTATO COM A LOJAMUNDI.

Assine nossa Newsletter! É gratuito!

Cadastre seu nome e email para receber novidades e materiais gratuitos da Lojamundi.