Comments 10
Я бы ещё добавил alwaysauthreject=yes в sip.conf. Это предотвратит возможный перебор существующих пользователей.
+1
>15 000 рублей
Известны случаи и на 2-3 млн попадали организации.
раз, два, три
И такие количество таких атак будет только увеличиваться. Судя по тому какое недавно пришло письмо интересное, такими взломами уже и «пионеры» интересуются:
«здравствуйте
пишите софт под заказ?
комплект для скана сети на sip-оборудование, парсер логов которые получаться после сканирования (отсеивает мусор и оставляет только PBX-станции), сканер отпарсенных логов на открытый 80 порт (сканирует почищенные логи на открытый Web-доступ к станции), один сканер (ищет станции по другому принципу — доступность для перебора паролей), парсер для обработки станций для подбора паролей, список диапазонов ip для всех стран мира, python (интерпретатор языка програмирования на котором написан сканер — нужен для запуска сканера) „
Мы конечно отказались, но ведь найдется тот кто напишет.
Известны случаи и на 2-3 млн попадали организации.
раз, два, три
И такие количество таких атак будет только увеличиваться. Судя по тому какое недавно пришло письмо интересное, такими взломами уже и «пионеры» интересуются:
«здравствуйте
пишите софт под заказ?
комплект для скана сети на sip-оборудование, парсер логов которые получаться после сканирования (отсеивает мусор и оставляет только PBX-станции), сканер отпарсенных логов на открытый 80 порт (сканирует почищенные логи на открытый Web-доступ к станции), один сканер (ищет станции по другому принципу — доступность для перебора паролей), парсер для обработки станций для подбора паролей, список диапазонов ip для всех стран мира, python (интерпретатор языка програмирования на котором написан сканер — нужен для запуска сканера) „
Мы конечно отказались, но ведь найдется тот кто напишет.
0
На фрилансе найдутся такие спецы)
0
А я просто разрешил трафик только к провайдеру телефонии, и телефонам, всё остальное Дроп. После ваших процедур вы всё равно не будете уверены что в сип стеке астериска не найдут дыру.
0
Это всё очень интересно. У меня защитную роль играет fail2ban и пара настроек в самом asterisk. Надо будет попробовать еще и с iptables заморочиться.
А никто не задавался вопросом, почему вдруг усилился интерес к PBX серверам?
А никто не задавался вопросом, почему вдруг усилился интерес к PBX серверам?
+1
Потому что за 1 день хакеры «зарабатывают» больше 100 тысяч долларов с одного абонента.
«Истец требовал взыскать с ответчика стоимость около 90 тысяч минут звонков по всему миру — 3 млн 425 тыс. рублей. В суде представитель истца сообщил, что с номера абонента в один из дней было совершено около 10 тысяч соединений. Звонили в Египет, на Кубу, Гаити и т.д. Общая продолжительность разговоров составила около 90 тысяч минут.»
То что Ростелеком не смог взыскать это все ерунда, хакеры свое уже получили.
«Истец требовал взыскать с ответчика стоимость около 90 тысяч минут звонков по всему миру — 3 млн 425 тыс. рублей. В суде представитель истца сообщил, что с номера абонента в один из дней было совершено около 10 тысяч соединений. Звонили в Египет, на Кубу, Гаити и т.д. Общая продолжительность разговоров составила около 90 тысяч минут.»
То что Ростелеком не смог взыскать это все ерунда, хакеры свое уже получили.
0
Недавно присутствовал на экспертизе, НПО «попало» на сумму порядка 12000$ по вине сисадмина, неприменившего acl правила на интерфейсе циски. В итоге сип порт открыт, веб открыт, по сипу без аутентификации за три дня шли звонки на десяток стран: латвию, эстонию, гвинею и т.д.
0
Я бы все эти пункты заменил на пару:
1. на уровне файрволов: запретить ВСЁ кроме того откуда приходит трафик.
2. межгород подключить в режиме предоплаты (с запретом ухода в минус) международку отключить на уровне оператора.
3. в локалке вынести весь VoIp траффик в отдельный vlan.
всё это относится к офисной телефонии.
1. на уровне файрволов: запретить ВСЁ кроме того откуда приходит трафик.
2. межгород подключить в режиме предоплаты (с запретом ухода в минус) международку отключить на уровне оператора.
3. в локалке вынести весь VoIp траффик в отдельный vlan.
всё это относится к офисной телефонии.
0
Sign up to leave a comment.
9 правил, как защитить свой Asterisk!