FreePBX 14 - настройка безопасности

27 November 2019

В этой статье мы разберем, наверно основной модуль – System Firewall. Безопасность прежде всего, поэтому мы расскажем как настроить Firewall в FreePBX 14. Данный модуль выполняет низкоуровневую защиту Вашей IP-АТС. Данный модуль контролирует сетевой трафик, который позволяет разрешать или запрещать IP-адреса, порты и конфигурацию системы.

Во-первых, следует выполнить проверку установки модуля System Firewall. Для этого переходим в меню: Admin → Module Admin. Если модуль System Firewall не обнаружен, его следует установить.

Firewall в FreePBX 14

Main

Переключаемся на настройки: Connectivity → Firewall

Если откроется следующее окно, нажимаем Enable:

Наш Firewall был включен на стадии установки FreePBX 14, поэтому наше окно настройки может отличаться от вашего.

Системный брандмауэр – это полностью интегрированный брандмауэр, который постоянно отслеживает удаленные подключения. Он разрешает или запрещает подключения к этому серверу и автоматически разрешает доступ с разрешенных хостов.

Это делается с помощью небольшого процесса, который выполняется на сервере УАТС и автоматически обновляет правила брандмауэра на основе текущей конфигурации внешней линии (транка) и расширения УАТС.

RESPONSIVE FIREWALL

Включение настроек на данной вкладке отключаются блокировку любых попыток подключения.

В случае успешной попытки регистрации, удаленный узел будет добавляться в ‘Known Good‘ (“доверительная зона”). Доверительная зона дополнительно разрешает доступ к UCP панели, если она включена.

Если входящие попытки подключения недействительны (INVALID), трафик на этом сервере будет отброшен на короткий период времени. Атакующий источник (хост) блокируется на 24 часа, если попытки аутентификации продолжаются без успеха.

Когда fail2ban включен и настроен на этом сервере, fail2ban будет отправлять вам уведомления по электронной почте, когда это произойдет.

Обратите внимание, что если вы явно предоставили “внешним” соединениям доступ к протоколу, эта фильтрация и ограничение скорости не будут использоваться. Это используется только тогда, когда входящее соединение обычно блокируется.

INTERFACES

Все интерфейсы должны быть назначены Default Zone (зоне по умолчанию). Любой трафик, полученный этим интерфейсом, если он не переопределен в сетях, будет иметь доступ к сервисам, доступным для этой зоны.

Внимание! Большинство интерфейсов должны быть настроены на Internet (Default Internet) интернет.

Trusted (доверенный) – это интерфейс, который не использует фильтрацию поступающего трафика. Недавно обнаруженные интерфейсы устанавливаются в эту зону, чтобы их можно было правильно настроить без вмешательства в существующий трафик.

На данной вкладке необходимо указать какой интерфейс у вас смотрит в Интернет, а какой в локальную сеть. У нас виртуальная машина (ВМ) с одним сетевым интерфейсом, который служит для внешних подключений (транков) с провайдером и для подключений IP-телефонов из локальной сети.

NETWORKS

Более точная настройка сетевых интерфейсов. В нашем случае (когда один сетевой интерфейс это более актуально).

На рисунке ниже используется подсеть 192.168.90.0/24, для которой разрешены любые подключения. Данная подсеть не попадает под правила файервола. Подсеть 10.0.3.0/24 (или 10.0.3.0/255.255.255.0) является локальной. Например, из неё могут подключатся телефоны, шлюзы.

Services

Более детально эти политики настраиваются на вкладке Services.

Службы, назначенные зонам, доступны для соединений, соответствующих этим зонам.

Обратите внимание, что параметр ‘Reject’ (отклонить) явно блокирует эту службу полностью и может быть переопределен только доступом из доверенной зоны. Это функционально эквивалентно отключению доступа из всех зон, если вы не используете дополнительный плагин брандмауэра.

EXTRA SERVICES

Расширенные настройки доступа различных служб. В целях безопасности следует отключить явно неиспользуемые и ограничить от доступа из сети Интернет.

CUSTOM SERVICES

На этой вкладке можно определить пользовательские службы. Пожалуйста, убедитесь, что вы случайно не выставляете автоматически настроенную службу, используя тот же порт и протокол.

BLACKLIST

Этот черный список запрещает IP адреса или подсети в принудительном порядке. Если вы включите ‘Responsive Firewall’, то ваши сигнальные порты будут доступны для интернета и могут быть атакованы.

Обратите внимание, что изменения в брандмауэре вступают в силу немедленно.

Advanced

ZONE INFORMATION

Каждый сетевой интерфейс вашего сервера должен быть сопоставлен с зоной. Обратите внимание, что по умолчанию все интерфейсы сопоставляются с доверенными (доверенные сети не фильтруются вообще, поэтому брандмауэр для любого трафика, поступающего на этот интерфейс отключен). Зоны, которые вы можете использовать:

  • Internet (Интернет) – этот интерфейс получает трафик из интернета. Принимаются только выбранные входящие соединения.
  • Local (Локальный) – для использования во внутренних сетях.
  • Other (Другой) – для использования в доверенных внешних сетях или других известных сетях (таких как DMZ или OpenVPN-сеть).
  • Reject (Запрещенная) – все входящие сетевые пакеты отклоняются. Обратите внимание, что эта зона по-прежнему принимает трафик RTP. При этом другие порты не прослушиваются.
  • Trusted (Доверенная) – разрешение всех сетевых подключений. На этом интерфейсе брандмауэр не выполняется.

PORT/SERVICE MAP

На этой странице отображаются обнаруженные порты и диапазоны портов для всех известных служб.

PRECONFIGURED

На этой вкладке возможно добавить предварительно настроенный (обнаруженный) набор сетей в доверенную зону (Trusted Zone). После добавления выбранных параметров их можно при необходимости настроить на вкладке Connectivity → Firewall → Networks.

ADVANCED SETTINGS

Расширенные настройки, связанные с обслуживанием системы.

Safe Mode – безопасный режим. Дает возможность восстановиться после случайной неправильной настройки. При этом брандмауэр отключается если сервер перезагружался два раза подряд.

Custom Firewall Rules – импорт пользовательских правил iptables после запуска брандмауэра.

Файлы /etc/firewall-4.rules и /etc/firewall-6.rules (для правил IPv4 и IPv6) должны принадлежать пользователю root. Правила брандмауэра (iptables) не могут изменяться другими пользователями. Каждая строка в файле будет задана в качестве параметра для ‘iptables’ или ‘ ip6tables, соответственно.

Это позволяет опытным пользователям настраивать брандмауэр в соответствии с их спецификациями. Не включайте эту настройку, если вы не знаете для чего она.

Reject Packets – эта настройка брандмауэра, которая решает, что делать с пакетом, если он не разрешен в системе.

Включение Reject Packets отправляет явный ответ другой машине. После чего сообщает об административной блокировке. Если параметр отключен, пакет автоматически отбрасывается, не давая злоумышленнику никаких указаний на то, что трафик перехвачен.

Отправляя пакет reject, злоумышленник понимает, что он обнаружил сервер. При отбрасывании пакета злоумышленнику не отправляется никакого ответа, и он может перейти к другой цели.

Обычно эта опция должна быть отключена, только если вы не отлаживаете сетевое подключение.

Мы рассказали как настраивать Firewall в FreePBX 14! Будем рады вашим комментариям и замечаниям.