Instalasi default saja tidak cukup mas, harus ada pengamanan berlapis sebelum benar2 launching di ip public. Saya rasa ini berlaku untuk semua server entah itu server VoIP, email, http, sebelum dilepas, harus kuat pengamanannya.
Dari topologi, saya pribadi menyukai topologi Asterisk di belakang firewall dan tidak tersambung ke ip public langsung. Biasanya saya menggunakan port forward (bukan Nat 1:1 lho ya). Port forward untuk SIP biasanya saya ganti dengan port lain, misal port SIP menjadi 9060, atau brapapun asal jangan 5060, karena pasti banyak scanner di luar sana. Untuk client SIP yang hendak register, gpp agak repot sedikit dengan menambahkan port di belakang setting sip server di softphone/ip phone.
Sedangkan untuk port RTP bisa apa adanya saja (biasanya 10000 - 20000, di port forward ke Asterisk server di LAN dengan port yang sama).
Jika, Asterisk server kepepet banget harus di pasang ip public maka di layer 3 & 4 , iptables WAJIB dinyalakan. Kalau mau baca2 silahkan ada di :
http://www.otakudang.org/?p=208
iptables bisa juga dilengkapi dengan fail2ban. Fail2ban ini akan membaca log Asterisk untuk melihat apakah ada indikasi fraud dengan bruteforce passsword ekstensi atau Asterisk Management Interface (AMI)? Saya ada contoh setting untuk Issabel, tapi saya yakin bisa diterapkan di semua Asterisk based PBX
http://www.otakudang.org/?p=632
port default SIP amat sangat direkomendasikan untuk diganti dari 5060 ke angka lain, minimal supaya tidak kena scan dulu.
Untuk Asterisk, biasanya saya akan mematikan semua call dari Guest di sip.conf/sip_custom.conf
allowguest=no
Lalu jika tidak banget2 butuh panggilan ke luar negeri, coba diakali dari dialplan supaya panggilan ke luar negeri tidak termasuk dalam dialplan. Biasanya banyak yang males nih, dialplan cuma dibuat seperti -> .X (titik dan huruf X) supaya bisa manggil ke mana saja. Di asterisk dialplan luar negeri biasanya diawali dengan 00, oleh karena itu jangan kasih kesempatan dialplan bisa mendial 00 dengan cara ditulis (misal):
XNXXZ.
artinya, jika user memanggil nomer dengan awalan 0, maka digit kedua (yang difilter dengan N), tidak akan bisa menerima 0 lagi karena:
X mewakili 0 -9
N mewaikili 2 - 9
Z mewakili 1 - 9
Atau jika astereisk bisa menerima tanda + (panggilan luar negeri biasanya juga diawali tanda + diikuti kode negara), bisa dilakukan filter dialplan dengan:
+|XNXXZ.
artinya semua awalan + akan dibuang apa pun yang terjadi.
Trus kalau mau buat panggilan ke luar negeri bagaimana? Langsung saja pake techprefix operator seperto 01017, 01018, atau 01022 tergantung operator. Biasanya mereka menyediakan tech prefix untuk panggilan ke luar negeri, dengan tujuan routing dan juga bisa mengurangi kemungkinan fraud dari dialplan.
Dan pengamanan terakhir adalah dengan setup billing. Dengan billing kita bisa membatasi penggunaan misal kita set paling banyak penggunaan 300 rb. Lebih dari itu panggilan langsung cut. Untuk setting billing sistem ini per distro sih. Briker mungkin sudah ada module nya. Bisa ditanyakan ke mas @asoka langsung atau tim briker lain.
Mungkin dari teman2 lain ada masukan silahkan ditambahkan.