Защита Asterisk или кубинская эпидемия

[habl]

Что же Вы так страну обидели :-). С маленькой буквы ее…

[xn__p2a]

Ну если вы про прилагательные, образованные от имени страны, то правильно писать именно с маленькой буквы: кубинский, российский, украинский, белорусский, американский…

[hammerzeit_halt]

вы о чем? в тексте только одно прилагательное от Кубы — «Кубинская». Оно открывает предложение и написано с большой буквы.

[xn__p2a]

а ещё у топика есть заголовок и там слово «кубинская» было написано с большой буквы

[hammerzeit_halt]

окей :)
видимо я позже читал

[Nikitostik]

А если Астерис сидит за NATом, проблемма так же актуальна?

[bigfrogg]

1. Ищется в сети Asterisk сервер
Если коротко — зависит от настроек ната

[natuzzi]

Огромное спасибо за пост, к сожалению, мы успели от этого пострадать.

[UserAd]

На много пострадали?

[natuzzi]

Ощутимо, но все-таки повезло что на аккаунте оставалось не так много денег. Могло быть хуже.

[Zyava]

Можно все-таки Кубу с большой буквы написать? и «продиводействия» исправить.

[Rastler]

У меня на глазах был похожий пример, только с Cisco Call Manager Express, тот что на 28-ую серию ставиться, луди попали на 70000$…

[eevdokimov]

А есть технические подробности? Если есть, то можно огласить их и как в последствии проблема была решена?

[allarm]

Люди что, выставили наружу ccme?

[Arceny]

Странно, что биллинг допускает такой уход в минуса.

[UserAd]

Postpay биллинг для клиента который в месяц может и на 5000€ наговорить вполне позволяет такое.

[energycsdx]

то то Укртелеком еще в начале лета вроде, рассылал уведомления насчет астерисков подключенных к ним через PRI. Если в кратце то суть уведомления в том что если вам сломают астериск это ваши проблемы.

[UserAd]

На самом деле это довольно большая проблема со взломами Asterisk.
У некоторых VoIP провайдеров есть галочки в системах управления счетом для отключения экзотических стран, что я считаю очень правильным.

[Yur4eg]

Ноги большой проблемы растут из того, что некоторые ленятся поменять стандартный пароль админу, а так же заводят экстеншены с паролями 1234.

[danmiru]

> Это военная база
Хабраэффект выдержат?

[System32]

Пофиг, ракеты оттуда вроде еще во времена Хрущева увезли.

[Siorinex]

Ыть как непредусмотрительно! Ракеты — увезли, а автоответчик забрать забыли!

[EvilX]

Взламывают не только Астериск, но и вообще любые sip девайсы.
Первый раз столкнулся с этим в 2008-ом году. Что характено, адрес источника был в китае. Коллег нагнули тысяч на 15 баксов, пока заметили. Звонки пролетали через циску.

[FloppyFormator]

В нашей компании используется хитрый статистический фильтр, который анализирует трафик абонентов и классифицирует по признаку «санкционированный/несанкционированный». Процент ошибок, естественно, имеется, но этого достаточно, чтоб проверить что надо и если что, предупредить/отключить абонента. В свою очередь, абоненты страхуются от километровых счетов за звонки в Восточный Тимор, спутниковые направления и т. д.

[iscsi]

все что не разрешено, то запрещено
явно указывать кому можно allow udp from «table(таблица_доверенных)» to ${sip_gw_ip} 5060
создавать подобие PBR для исходящих, создавая для этого конструкции вида (в примере AEL):

context my_partner
{
includes { my_partner_settings; }
includes { my_partner_policy; }
}

использовать call-limit в разумных значениях
в транка для пиринга явно указывать host и port
использовать LCR в доступном Вам виде ( простейший { switch (..): case (..):… brake; default:… break; } )

для общего развития прочесть

[UserAd]

В некоторых случаях такой подход невозможен.

[Andrew_Lvov]

Кубинские хакеры — самые болтливые Хакеры в мире!

[Werebear]

Знакомая история, была у нас месяца 3 назад. Только не кубинцы звонили а из Румынии в Сомали. теперь на каждый sip у нас примерно такие строки.
deny=0.0.0.0/0.0.0.0
permit=172.16.0.0/255.240.0.0

[Siorinex]

О! А я искал, каким макаром в конфигах задаётся подсеть!
Отрубил на внутренних номерах все внешние подключения, а на внешнем — там логин такой, что задолбаются подбирать! ;)

[qmax]

deny/permit это конечно хорошо, если все абоненты со статическими IP.

[Siorinex]

А для внешних — в Диалплане предусмотреть ввод кода доступа, без которого диалплан крутится вообще без внешних связей!

[miga]

fail2ban спасет ОРД с помощью вот такого нехитрого конфига.
Обратите внимание, в logger.conf должно быть указано dateformat=%F %T

[BreathLess]

«Это военная база и там всегда отвечает автоответчик.»

А что отвечает?
«Здравствуйте, это кубинская военная база, если вы не империалистическая гадина, оставьте своё сообщение после сигнала?»

[xn__p2a]

"… а если вы всё же империалистическая гадина, то оставьте свои точные координаты, и наш ракетный дивизион свяжется с вами."

[a97]

Это номер на который ломятся все набегающие кубинцы…

[AusTiN]

«Viva la Cuba»? ))

[Siorinex]

Сенкс.
Меня это слабо касается, т.к. внешние контакты пока зарезал на уровне конфигов и портов на роутере: по факту у меня только исходящие звонки из внутренней сети возможны, и то только с телефонов…
Но всёравно учесть стоит: поставил ацесс-денай на SIP-контакты от DVG-7111S, что-бы кроме как с его родного порта в сети никто влезть на них не мог!

[Siorinex]

Хех… Сегодня начали пытаться вломиться…
По результативности — ноль, т.к. у меня не прописано почти ничего, а что прописано — имеет довольно жёсткие правила игры.
В итоге даже если прорвётся кто-то, то получит кукишь с маслом: СИП-клиенты у меня позвонить тупо никуда не могут!

[uranik]

Хоть друг другу могут?

[AusTiN]

> +53997970
а Скайп сказал «Недействительный номер» :(

[Kostyanych]

А хоть кому-нибудь там ответили? Я сейчас попробовал позвонить через своего VoIP провайдера. В ответ услышал 4 гудка и трубку положили. Попробовал два раза — одинаковый результат. Я так и не понял кто мне в трубку гудел — база или провайдер. :)

[k0ldbl00d]

Вы специально оставили номер военной базы, чтобы она подверглась хабраэффекту?

[Kostyanych]

Тут надо разобраться в терминологии. Я так понимаю что «эффект» — это результат действия пользователей. А действие — это что-то другое, например, «атака». То есть, на мой взгляд, правильнее говорить «База подверглась харбаатаке и понесла тяжелый хабраэффект.» :)))
P.S. Я не лингвист, точность терминологии не гарантирую. :)

[JukeBox]

В старой конторе у клиентов pbx поломали на 300т.р. по 150 тысяч на Кубу и Сомали. Говнюки.

[lehha]

Интересный проект в свете именно сканера — почесали в одном месте:
| SIP Device | User Agent | Fingerprint |
— | X:5060 | MERA MVTS3G v.4.0.1-51b | disabled |
| X:5060 | MEDIANT/v.5.60A.007.002 | disabled |
| X:5060 | Asterisk PBX 1.6.2.2 | disabled |
| X:5060 | Linksys/SPA2102-3.3.6 | disabled |
| X:5060 | Cisco ATA 186 v3.1.1 atasip (040629A) | disabled |

Последние 2 — адаптеры на линию, посередине астериск закрытый в iptables — так что молодцы.

[xpoison]

alwaysauthreject не помогает при -m INVITE?

[UserAd]

В моем случае показывается список несуществующих пиров, так-что можно сказать, что помогает.

[qmax]

ну и где в стиатье «защита Asterisk»?
alwaysauthreject и блокировка международных направлений?

P.S.
у нас из палестины звонили в африку на мобильные. в записях разговоров нихрена не разобрать.
ну и да, не было permit/deny и пароли были типа «123» — подбирали пару месяцев.

[qmax]

кстати, недавно запускал новый сервер.
открыл интерфейс в инет — и уже на следующий день попытки зарегаться.
этож ппц, там ботнеты чтоли весь инет сканируют?

[UserAd]

Да, это огромный бизнес.

[dedmazzay]

А есть еще какие-нибудь номера телефонов кубинских военных баз? :)