Questa guida fa riferimento al port della versione di Asterisk 1.2.18,
testata sul sistema operativo OpenBSD 4.1
Indice
- Perchè
- Installazione, patching ed aggiornamento di OpenBSD
- Compilazione ed installazione di Asterisk
- Avvio di Asterisk al boot
- Prima esecuzione di Asterisk
- Riavvio e verifica
- Rafforzare il sistema agendo sui flags dei files
- Conclusioni
Perchè
La home page di OpenBSD recita orgogliosamente, in rosso:
“Solo due vulnerabilità remote nell’installazione di default, in più di 10 anni!“
- Dal punto di vista della sicurezza, dati alla mano, OpenBSD risulta essere la scelta migliore nel caso di una installazione lasciata a se stessa, cioè senza gli aggiornamenti da parte di un’amministratore di sistema o di un security manager
- Il Team di verifica della sicurezza di OpenBSD, composto tra le sei e le dodici persone, cerca e corregge costantemente bugs che minacciano la sicurezza del sistema.
Come spiegato qui, questo Team non è in grado di verificare la sicurezza di ogni port, che sono 4215, ma si sforzano comunque di mantenerne elevata la qualità.
Infatti, la versione di Asterisk presente nei ports di OpenBSD, è la 1.2.18 (al 19 Maggio 2007) cioè l’ultima rilasciata dal mainstream ufficiale, ed i files di configurazione di esempio di default sono stati ridotti per dare meno vantaggio all’attacker - Nonostante la verifica dei sorgenti di Asterisk non possa essere paragonata a quella del sistema base di OpenBSD, è possibile ridurre i danni di un’eventuale violazione del sistema, agendo sui flags dei files, come si vedrà più in fondo a questa guida
Installazione, patching ed aggiornamento di OpenBSD
Si veda questa ottima guida per l’installazione di OpenBSD.
Questa, scritta dallo stesso autore e presente sullo stesso sito, per il patching di OpenBSD.
Ed infine questa, scritta dallo stesso autore e presente sullo stesso sito, per l’aggiornamento di OpenBSD
Compilazione ed installazione di Asterisk
- Cambiare la directory corrente in quella del port di Asterisk, come utente root, col comando:
cd /usr/ports/telephony/asterisk - Compilare ed installare Asterisk col comando:
make install clean
Al termine dell’installazione verranno copiati i files di configurazione di esempio, che si troveranno in /etc/asterisk
Avvio di Asterisk al boot
Se si desidera l’avvio automatico di Asterisk all’avvio del sistema, modificare col proprio editor di testo preferito la parte centrale del file /etc/rc.local aggiungendo:
if [ -x /usr/local/sbin/asterisk ]; then
echo -n ' asterisk'; /usr/local/sbin/asterisk
fi
per ottenere un risultato come questo
Prima esecuzione di Asterisk
Come utente root, da qualsiasi cartella del sistema, digitare il comando:
asterisk -vvvc
al termine dei controlli dei moduli di Asterisk, dovreste leggere a video qualcosa tipo:
Asterisk Ready.
*CLI>
questa è l’interfaccia a riga di comando di Asterisk, per uscire digitare il comando:
stop now
Riavvio e verifica
Riavviare il sistema col comando:
reboot
al termine del riavvio, è possibile verificare l’esecuzione di Asterisk accedendo alla sua interfaccia di amministrazione; col comando:
asterisk -r
ed è possibile uscirne col comando:
exit
Rafforzare il sistema agendo sui flags dei files
Come spiegato qui, OpenBSD offre la possibilità, per esempio, di bloccare un file in modo che si possa solo aggiungere contenuto al suo interno, ma anche che non possa essere cancellato nè modificato, neanche dall’utente root.
Oppure di bloccarne totalmente il permesso di modifica, di spostamento e di cancellazione.
Di seguito alcuni suggerimenti:
- Per rendere possibile solo l’aggiunta di contenuto (l’append) ai files di log di Asterisk, modificare col proprio editor di testo preferito la parte centrale del file /etc/rc.securelevel, aggiungendo:
chflags sappnd /var/log/asterisk/cdr-csv/Master.csv
chflags sappnd /var/log/asterisk/messages
chflags sappnd /var/log/asterisk/event_log
chflags sappnd /var/log/asterisk/queue_log
In questo modo le tracce di un’eventuale abuso di Asterisk non potranno essere eliminate dai suoi logs - Per rendere impossibile la modifica del file eseguibile principale di Asterisk, i suoi files di configurazione, i suoi messaggi vocali ed i suoi moduli, modificare col proprio editor di testo preferito la parte centrale del file /etc/rc.securelevel, aggiungendo:
chflags schg /usr/local/sbin/asterisk
chflags -R schg /etc/asterisk
chflags -R schg /usr/local/share/asterisk
chflags -R schg /usr/local/lib/asterisk/modules
In questo modo non sarà possibile installarvi un’eventuale backdoor o spyware
Qui un’esempio del file /etc/rc.securelevel
Conclusioni
La convergenza delle soluzioni di telecomunicazione su rete IP, sia essa scritta, voce o video, porta alla creazione, parallela, di nuovi scenari di attacco e di difesa.
È bene valutare l’importanza delle telecomunicazioni nella propria realtà, privata ed aziendale, e scegliere gli strumenti che meglio forniscono il compromesso desiderato tra l’immediata usabilità e la rigidità delle autenticazioni.
Il VoIP in generale, Asterisk in particolare ed OpenBSD nello specifico, possono facilmente eguagliare il livello di sicurezza presente nella telefonia tradizionale.
Utilizzare OpenBSD può scoraggiare un malintenzionato, che trovandoselo di fronte si dirà:
“ah … OpenBSD … iniziamo bene …“
|
|
Questa guida è disponibile anche in Inglese |
 |
|
