sipmarket Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Возможно, кому-то данная информация поможет сохранить деньги и нервы…     ------------------------------------------     В последние месяцы участились случаи взломов корпоративных VoIP систем, работающих по SIP протоколу. Сумма нанесенных убытков в ряде случаев достигает $2000 и более.   По всей видимости, работает группа злоумышленников использующих SIP сканер для определения корпоративных IP-АТС. Данный SIP сканер идентифицирует себя как User-Agent: friendly-scanner. Сканирование производится с различных IP-адресов, преимущественно европейских. После того, как IP-АТС вычислена, осуществляется подбор логина и пароля по словарю. Пробуются различные комбинации, например: admin admin, voip voip, asterisk asterisk и т.п. После того как логин и пароль удалось подобрать, злоумышленники пробуют осуществлять звонки с различными префиксами и без него. Если система пропускает через себя звонки, то на адрес корпоративной IP-АТС направляется VoIP трафик на дорогие направления, такие как Сомали, Лихтенштейн мобильные, Куба и т.п. Несанкционированное использование IP-АТС обычно осуществляется ночью или в выходные дни.     Методы защиты     1. Проведите ревизию всех логинов и паролей имеющихся на вашей IP-АТС. Лучше всего если логин и пароль состоит не менее чем из восьми знаков, и в них содержатся цифры и буквы. Также следует обратить внимание, что на старых версиях Asterisk есть служебный логин и пароль (asterisk, asterisk), который тоже может быть использован для получения несанкционированного доступа.     2. Поскольку хакерские атаки, как правило, осуществляются в выходные дни или ночью, имеет смысл настроить корпоративную IP-АТС таким образом, чтобы она была доступна только в рабочее время.     3. В связи с тем, что злоумышленники осуществляют звонки по дорогим и экзотическим направлениям, имеет смысл заблокировать направления, по которым ваши сотрудники наверняка звонить не будут.     4. Позаботится о том, чтобы логины и пароли, используемые в корпоративной IP-АТС не стали доступны ненадежным сотрудникам или посторонним лицам.     5. Если IP-АТС используется только для звонков абонентов, находящихся во внутренней сети предприятия, то имеет смысл заблокировать возможность входящих звонков из Интернета на корпоративную IP-АТС.     Источник- http://www.sipmarket.net/RU/news_text.aspx?id=56 Всего записей: 20 | Зарегистр. 02-12-2009 | Отправлено: 12:44 09-08-2010

attaattaatta Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору sipmarket Тот, кто оставляет дефолтные логин/пасс, сюда вряд ли вообще заходит =)   За информацию спасибо. ---------- Фрилансю Всего записей: 1118 | Зарегистр. 25-09-2007 | Отправлено: 16:36 09-08-2010 | Исправлено: attaattaatta, 16:36 09-08-2010

KvP Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Может кому интересно будет весьма простое решение для защиты от перебора паролей.   1.В имени учетной записи пользователей применим префикс, для примера возьмем такой "USER_XX" где XX внутренний номер абонента;   2.Просмотрев пакеты tcpdump можно увидеть, что в пакетах регистрации фигурирует наше имя пользователя:   15:37:57.071373 IP (tos 0x0, ttl 49, id 0, offset 0, flags [DF], proto UDP (17), length 617)     aa.aa.aaa.aa.1349 > bbb.bb.bbb.bbb.5060: [udp sum ok] SIP, length: 589     REGISTER sip:voip.server SIP/2.0     Via: SIP/2.0/UDP ccc.cc.c.ccc:5060;branch=z9hG4bK3c02c8ba1f55070d     From: "USER_XX" ;tag=8199d669-444820     To: "USER_XX"       Call-ID: D1B9-B713-46684816C979A76E49E0-001@SipHost     CSeq: 50842 REGISTER     Contact:       Expires:60     Max-Forwards:70     Authorization:Digest username="USER_XX",realm="voip.server",nonce="0194a9b1",uri="sip:voip.server",response="30575f22acbc2c8f25700c199a4e89d8",algorithm=MD5     User-Agent: dlink 12-3893-1735-0.10.56.1-DSA     Content-Length: 0     3.Добавляем в фаервол следующие правила:   # получив пакет в котором присутствует упоминание имени пользователя с префиксом USER_ устанавливаем разрешающий флаг для IP адреса откуда пришел пакет -A INPUT -p udp -m udp --dport 5060 -m string --string "username=\"USER_" --algo bm -m recent --name ASTER --set   # добавляем новую цепочку ASTERISK, куда будем отправлять пакеты с разрешенных IP адресов -N ASTERISK -A ASTERISK -m tcp -p tcp --dport 5060:5061 -j ACCEPT -A ASTERISK -m udp -p udp --dport 5060:5061 -j ACCEPT -A ASTERISK -m tcp -p tcp --sport 5060:5061 -j ACCEPT -A ASTERISK -m udp -p udp --sport 5060:5061 -j ACCEPT # этот диапазон портов взят из файла rtp.conf -A ASTERISK -m udp -p udp --dport 10000:20000 -j ACCEPT -A ASTERISK -m udp -p udp --sport 10000:20000 -j ACCEPT   # разрешаем подключаться к астериску с IP адресов помеченных ранее в течении часа (можно менять тайм аут на ваше усмотрение) -A INPUT  -m recent --name ASTER --rcheck --seconds 3600 -j ASTERISK     4. Если у вас много клиентских IP адресов, то вам придется увеличить размер таблицы xt_recent выполнив комманду >> modprobe -r xt_recent && modprobe xt_recent ip_list_tot=500 && modprobe xt_recent   или так >> echo "options xt_recent ip_list_tot=500" >> /etc/modprobe.d/local.conf           Идея состоит в том, что переборщики паролей не знают префикса наших учеток и мы отсеиваем всех кто не представился должным образом еще на входе. Правда могут быть затыки у пользователей в том, что они не с первого раза будут авторизоваться на сервере, но при нормальном времени перерегистрации   (у меня он везде 180 секунд) 3600 секунд должно хватить с избытком. Всего записей: 35 | Зарегистр. 02-01-2006 | Отправлено: 08:15 05-08-2020

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Внимание, участились хакерские атаки на Asterisk и др.IP-PBX

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование