[rlug] asterisk şi filtrare
Wappy
wappy at zonanetwork.ro
Thu Dec 21 16:51:04 EET 2017
salut,
ca sa nu-ti mai raspunda la invite-uri oricine poti seta in sip.conf:
allowguest=no
https://www.voip-info.org/wiki/view/Asterisk+security
2017-12-12 10:26 GMT+02:00 Mihai Badici <mihai at badici.ro>:
>
>
> On 12/12/2017 10:07 AM, wolfy at prolinux.ro wrote:
> > On December 12, 2017 8:18:29 AM GMT+02:00, Mihai Badici
> > <mihai at badici.ro> wrote:
> > >Salut,
> > >
> > >Am pus undeva un Asterisk cu freePBX şi am conectat la ea un telefon de
> > >la mine de acasă ( nu mai aveam telefon fix de 10 ani! :) )
> > >
> > >Din când în când, amicii care scanează fără încetare reuşesc să facă să
> > >sune telefonul aiurea.
> > >
> > >M-am tot uitat la log-uri şi cel puţin impresia mea e că se întâmplă
> > >aşa: atacatorul trimite invite-uri la întâmplare, telefonul meu
> > >răspunde
> > >cu IP-ul după care deschide o sesiune directă pe IP-ul de acasă. Deci
> > >una din variantele pe care le pot aplica este ca acasă să blochez din
> > >firewall pachetele care nu vin de la PABX-ul meu.
> > Corect. Fa-o. Vezi daca vers de firmware pe care o ai pe tel e recenta
> > si daca ai in ea posibilitatea de a face tunele (Openvpn).. Daca ai,
> > configureaza-l astfel incit sa nu mai fie expus pe net direct si sa se
> > lege la PBX prin vpn.
> > Eu am de aproape 6 ani un freePBX cu citeva sute de tel Yealink pt
> > colegi si citeva polycom pt conferinte. Regulile pe care le-am aplicat
> > sint:
> >
> > Regula nr 1: nu lasa deschis accesul spre PBX decit catre cine chiar
> > are voie sa il acceseze. Daca poti sa ii pui in fata si un snort, do it
> > Regula nr 2: nu lasa telefoanele sa comunice decit cu centrala ta
> > Regula nr 3: pt telefoanele din sedii cu care nu exista deja tunele
> > site-2-site, telefonul are tunel Openvpn cu freePBX direct din telefon.
>
> Da, o să fac asta, dar problema pe care o am este că ( poate nu înţeleg
> eu mecanismul) nu mi se pare ok ca scanner-ul să poată trimite INVITE-ul
> direct, fără să fie autentificat ( practic poate afla de la ce IP mă
> conectez eu fără să fie autentificat?)
>
> > > Am pus eu un fail2ban acolo,
> > FreePBXul meu a venit cu fail2ban inclus... dar tot am blocat din
> > firewall accesul catre el.
> E o instalare de debian cu freepbx instalat manual. Dar există în
> fail2ban regex-uri pentru asterisk
> > E fff mare pt ca baietii incearca sa gaseasca tel/centrale neprotejate
> > iar apoi vorbesc ei pe banii tai.
>
> Cunosc cazuri :) dar situaţia de faţă mi se pare că e diferită ( pare
> oarecum un efect colateral pentru că în afară de deranj nu prea are efect)
>
>
>
>
>
>
>
> _______________________________________________
> RLUG mailing list
> RLUG at lists.lug.ro
> http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro
>
More information about the RLUG
mailing list