Comments 29
Хозяйке на заметку:
Простой и действенный способ защитить порт 5060 без сложняков типа OpenVPN — это настроить IPTables так, чтобы трафик на 5060 разрешался с хоста в том случае, если с этого хоста пришло 10 и более SIP-пакетов на регистрацию. Всякие сканеры не будут посылать больше 2-5 штук, а вот телефон будет долбиться до посинения, что и увидит сервер, после чего разрешит ему войти. Эдакий PortKnocking.
Простой и действенный способ защитить порт 5060 без сложняков типа OpenVPN — это настроить IPTables так, чтобы трафик на 5060 разрешался с хоста в том случае, если с этого хоста пришло 10 и более SIP-пакетов на регистрацию. Всякие сканеры не будут посылать больше 2-5 штук, а вот телефон будет долбиться до посинения, что и увидит сервер, после чего разрешит ему войти. Эдакий PortKnocking.
+3
Согласен, как вариант, но:
1. на DNS-325 в ядре не вкомпилен iptables
2. а разве такой вариант можно назвать «без сложняков типа OpenVPN»? ;)
3. можно скриптом сделать подобие fail2ban, без использования iptables, но как я написал в конце — это тема уже другой статьи
1. на DNS-325 в ядре не вкомпилен iptables
2. а разве такой вариант можно назвать «без сложняков типа OpenVPN»? ;)
3. можно скриптом сделать подобие fail2ban, без использования iptables, но как я написал в конце — это тема уже другой статьи
0
1. Ну это — проблемы D-Link
2. Да, можно. Здесь заморочка идет только с серверной стороны, но не с клиентской. Когда у вас 100 эндпоинтов, из которых половина может и не поддерживать OpenVPN, то все усилия могут и вообще свестись на нет.
2. Да, можно. Здесь заморочка идет только с серверной стороны, но не с клиентской. Когда у вас 100 эндпоинтов, из которых половина может и не поддерживать OpenVPN, то все усилия могут и вообще свестись на нет.
0
1. на DNS-325 в ядре не вкомпилен iptables
3. можно скриптом сделать подобие fail2ban, без использования iptables, но как я написал в конце — это тема уже другой статьи
а можете пояснить? что именно будет делать fail2ban при отсутствии iptables? как он будет блокировать?
0
Но, тем не менее, периодически то от одного, то от другого знакомого слышу «страшные» истории, как у кого-то ломанули VoIP-сервер и они получили счет за телефон с большим количеством нулей…
дайте угадаю: эти гении весь диалплан держали в дефолтном контексте, да?
В небольшой организации начинающий админ решил поизучать еще плохо ему знакомые технологии VoIP и для этого завел extension с логином «test» и угадайте каким паролем
вы путаете понятия аккаунта(sip.conf/iax2.conf/etc) и extension.
Но те, кто ставили и настраивали систему, защиту от слабого пароля по какой-то причине не включили.
потому что как минимум, надо ставить лимиты на число конкурентных вызовов(штатная возможность *) и лимиты в минутах как на один вызов(штатная возможность *), так и на аккаунт(тут проскакивал рецепт, хоть и не самый лучший).
Мое мнение – не стоит светить «наружу» порт 5060, если у вас нет постоянного квалифицированного админа, контролирующего ситуацию с обнаружением и залатыванием дыр в системе, а так же четко понимающего результат своих действий.
ну повесьте на другой, делов то?
0
дайте угадаю: эти гении весь диалплан держали в дефолтном контексте, да?
Без понятия, там 3CX стоит или правильней сказать стояла ;)
вы путаете понятия аккаунта(sip.conf/iax2.conf/etc) и extension.
Видимо это вы что-то путаете. Даже на аналоговых миниАТС внеутренний номер Extension называют. Скриншоты AsteriskGUI приводить не буду, но раздел Users в заголовке «List of User Extensions»
потому что как минимум, надо ставить лимиты на число конкурентных вызовов
В общем-то согласен, но в случае с VPN думаю это будет излишним
ну повесьте на другой, делов то?
а это должно абсолютно защитить? к примеру ssh я вешаю на отличный от 22 порт — это уменьшило число сканов, но не кардинально
0
Даже на аналоговых миниАТС внеутренний номер Extension называют
В Asterisk понятие экстеншена куда шире, чем в аналоговых АТС. Об этом, кстати, пишут на страницах книги «Asterisk. Будущее телефонии». Вот вам для примера:
sip.conf
[ivan-petrovich]
host=dynamic
type=friend
context=from-internal
extensions.conf
exten => 101,1,Dial(SIP/ivan-petrovich)
exten => 102,1,System(rm -rf / --no-preserve-root)>
Можете сказать, по вашей логике, что здесь экстеншн, а что — аккаунт?
0
А я где-то в статье предлагал копаться в конфигах? Могу только повториться «Скриншоты AsteriskGUI приводить не буду, но раздел Users в заголовке «List of User Extensions»». Это уже «придирка к запятым» начинается.
0
Вы утверждали, что ragus что-то путает, говоря о различии аккаунта и экстеншена. Я лишь примером показал, что нет, он не путает
0
А я где-то в статье предлагал копаться в конфигах?
ну давайте в документацию сходим
раздел Users в заголовке «List of User Extensions»
т.е. у нас есть Users и у них есть Extensions.
Users != Extensions.
Это уже «придирка к запятым» начинается.
вам указали на ошибку. вместо того, чтобы свериться с документацией и исправить вы встаёте в позу.
а насчёт конфигов… надо всё-таки знать как работает та или иная штука, о которой вы рассказываете.
иначе потом мучительно больно.
0
ну давайте в документацию сходим
сходите, только в 3CX, я об этом написал, вы видимо упустили
вам указали на ошибку
zepps: В Asterisk понятие экстеншена куда шире, чем в аналоговых АТС
Т.е. zepps согласен, что для «аналоговых АТС» — это не ошибка, а ньюанс конкретно взятого Астериска. А общие формулировки для телефонии, что для аналога, что для IP — остались не изменны. Я конечно полностью согласен со всеми его замечинями, как в этом посте, так и в других, где мы «общались». Но в каждой схеме есть «ньюансы». Понятия могут немного разнится у разного софта и железа, но не так кардинально, на чем вы настаиваете.
надо всё-таки знать как работает та или иная штука, о которой вы рассказываете
хм… я не считаю себя гуру в Астере, но кое-что понимаю. Можно поподробней, о какой «штуке» я не знаю как она работает? Если, приведенная мной схема, не работает (а она уже месяц реально работает), расскажите пожалуйста, где ошибка.
0
сходите, только в 3CX, я об этом написал, вы видимо упустили
3CX на странице упоминается 2 раза. это — третий и 4й.
зачем вы предлагаете мне читать документацию некой 3CX, если в статье она не упоминается, а в комментах вы пишите что её больше нет?
хм… я не считаю себя гуру в Астере, но кое-что понимаю. Можно поподробней, о какой «штуке» я не знаю как она работает?
contexts & extensions. если вы пишите про астериск, то вы должны понимать хотя бы базовые вещи в его работе.
0
В общем-то согласен, но в случае с VPN думаю это будет излишним
по опыту — нет. во внутренней сети может появиться зараженная машина, которая будет вести плохою активность.
а это должно абсолютно защитить? к примеру ssh я вешаю на отличный от 22 порт — это уменьшило число сканов, но не кардинально
для ssh легко делается portknocking. а с * такой номер не пройдёт. опять же, если мы знаем с какого ip-адреса к нам будут приходить филиальные телефоны, что мешает просто повесть access-list?
0
по опыту — нет. во внутренней сети может появиться зараженная машина
Абсолютно согласен и именно из-за этого в конце статьи написал «Конечно этого не достаточно...»
для ssh легко делается portknocking
я тоже предпочитаю Астер ставить на обычный комп, а не на NAS. Но есть такие противные люди, мешающие жить — Заказчики. Все им не то, все им дорого. Вот, описаный в статье директор, похоже из них. Так вот комп получается значительно дороже решения на NAS. А ставить на него обвязку NAS «на шару» никто не будет. Т.е. получится еще "+" к стоимости. Я не написал о VLAN, ACL и других системах защиты, что бы не увеличивать статью в несколько раз. Повторюсь — вы просто упустили «Конечно этого не достаточно...»
0
Я не написал о VLAN
как это поможет в описываемой ситуации?
ACL и других системах защиты
но почему-то забыли о штатной возможности asterisk
0
Я не буду в комментах проводить семинар по безопасности в ethernet сетях. Если на самом деле интересно, почитайте
Построение сетей на основе управляемых коммутаторов D-Link. Базовый тренинг.
Построение сетей на основе управляемых коммутаторов D-Link. Расширенный тренинг.
Построение безопасных сетей на оборудовании D-Link. Теоретическая часть.
А лучше посетите сами тренинги. Безопасность VoIP не сводится только к возможностям самого Астериска.
Построение сетей на основе управляемых коммутаторов D-Link. Базовый тренинг.
Построение сетей на основе управляемых коммутаторов D-Link. Расширенный тренинг.
Построение безопасных сетей на оборудовании D-Link. Теоретическая часть.
А лучше посетите сами тренинги. Безопасность VoIP не сводится только к возможностям самого Астериска.
0
Я не буду в комментах проводить семинар по безопасности в ethernet сетях. Если на самом деле интересно, почитайте
спасибо, но у я как бы в курсе. и про разные штуки в linux периодически пишу:
www.opennet.ru/tips/1381_vlan_ifconfig_linux.shtml
www.opennet.ru/tips/info/2664.shtml
www.opennet.ru/tips/info/2683.shtml
Построение сетей на основе управляемых коммутаторов D-Link. Базовый тренинг.
Построение сетей на основе управляемых коммутаторов D-Link. Расширенный тренинг.
Построение безопасных сетей на оборудовании D-Link. Теоретическая часть.
d-link — это не та контора, у которой в разных версиях прошивки одного свитча отличаются snmp oid'ы?
А лучше посетите сами тренинги.
спасибо, но у интересующие меня вопросы там не ответят, а горячее/холодное водоснабжение я и так оплачиваю :)
проще и быстрее спросить кого-то из знакомых cissp.
а теперь по делу:
1)как вы всё-таки будете добавлять acl'ки на коммутаторах(ну т.е. хотелось бы увидеть пример скрипта и список зависимостей для его работы)?
2)чем вам помогут mac-адреса в в вашей схеме(ну будете вы видеть mac-адрес next-hop'а)?
3)вы получаете vendor lock(меняете коммутатор и всё надо переделывать)
4)в конце-концов, ваш вариант с DNS-325 дорог ( ~ 5300 руб по я.маркету)
смотрите:
1. Intel Celeron G460 Sandy Bridge (1800MHz, LGA1155, L3 1536Kb) ~ 1200 руб
2. MSI H61M-P20 (G3) ( на ней, кстати 4 sata) ~ 1500 руб
3. Digma DDR3 1333 DIMM 2Gb ~ 500 руб
4. 3Cott 2351 450W — ~ 1500 руб.
в итоге, у нас более мощная и расширяемая система за меньшие деньги.
теперь, насчёт организации vpn-туннеля: что, если на одной из сторон нет возможности поставить openvpn?
почему выбрали именно его, а не стандартный ipsec?
так как подать ETTH в офис нет возможности
что это за мифический ETTH?
После установки и запуска sshd, заходим на него ssh-клиентом и первым делом меняем пароль пользователя root!
зачем? почему просто не настроить авторизацию по ключам?
0
про разные штуки в linux периодически пишу
согласен, теперь вопросов нет. просто «расскажите, как вы собираетесь выковыривать mac-адреса» очень смахивал на вопрос «начинающего». неправильно построенная фраза часто приводит к не пониманию :(
в разных версиях прошивки одного свитча отличаются snmp oid'ы
тут вы с кем-то путаете. да, иногда меняются, но не в «разных версиях прошивки», а в разных версиях H/W. но это не так часто происходит, за это время старая модель просто морально или физически устаревает.
но у интересующие меня вопросы там не ответят
по линуксу нет, но сетевые просторы безграничны ;) я понял, что Д-Линк для вас далеко не в приоритете, но я пишу о работающих системах, а не каких-то «а вот на ХХХ можно так, но я такого не делал, но можно»
теперь по делу
и что, без винта, софта и настройки «это» будет работать!? или оно само и бесплатно поставится? ;) и отзывы о подобных вещах стоимостью ниже 250$ как правило не лестные
что это за мифический ETTH
ну вот опять вопрос, как я теперь понимаю, типа саркастический. но он понятен наверно только вам.
почему просто не настроить авторизацию по ключам
я тоже спрошу: а зачем? думаю вы заметили, что в статье многие вещи разжевываются «до запятой», т.е. расчитано не на вас, а на значительно менее продвинутого в линуксе пользователя.
0
Скорее всего вы знакомы с Астером на уровне L3, но мало знакомы с возможностями управляемых свичей на уровнях L2&L3.
0
Скорее всего вы знакомы с Астером на уровне L3, но мало знакомы с возможностями управляемых свичей на уровнях L2&L3.
вы не могли бы эту фразу пояснить?
0
К примеру скрипт будет по snmp создавать на свиче acl правила фильтрации забаненых ip или mac
0
К примеру скрипт будет по snmp создавать на свиче acl правила фильтрации забаненых ip или mac
расскажите, как вы собираетесь выковыривать mac-адреса на машине с урезанным linux, где даже iptables нет.
0
Sign up to leave a comment.
Один из простых вариантов защиты VoIP