Comments 23
Советы полезные
Один нюанс — это нельзя считать воровством, и нельзя считать несанкционированным доступом — если штатные настройки оборудования позволяют доступ извне, то это санкционированный доступ :)
Один нюанс — это нельзя считать воровством, и нельзя считать несанкционированным доступом — если штатные настройки оборудования позволяют доступ извне, то это санкционированный доступ :)
С чего это вдруг? Потерпевший никак, тем более в явном виде, не давал согласия на использование своего оборудования лицами, которые через него совершали звонки. ИМХО под неправомерный доступ к компьютерной информации и мошенничество вполне себе попадает, есть причинение имущественного ущерба. С тем же успехом так же можно отмазываться, что это не я взломал Пентагон, а воспользовавшись штатными средствами с их особенностями зашел в их сеть, кнопки- то мне никто не запрещал нажимать, а больше я ничего не делал.
Он давал, посредством конфигурации своего оборудования, согласно публичному стандарту :)
Вы ведь не подписывали никаких соглашений, прежде чем обратиться на 80й порт ресурса habrahabr.net?)
Вы ведь не подписывали никаких соглашений, прежде чем обратиться на 80й порт ресурса habrahabr.net?)
Лично у меня habrahabr.net по 80 порту не открывается, зато открывается habrahabr.ru :)
При регистрации я соглашался на правила использования ресурсом, адрес я получил из открытых источников, ущерба никакого не наносил. А в том случае не думаю, что хозяин сервиса развешивал объявления или публиковал статьи для раскрутки по поисковикам с адресом своего ресурса. Плюс кто пользовался телефонией через него не мог не понимать, что звонить в Никарагуа или еще куда явно не может быть бесплатным развлечением, и что он свои счета вешает на кого- то другого.
Расскажу про одну разводку, которую практиковали в свое время некоторые «пострадавшие», когда модемный доступ был еще на пике популярности и многие сидели на 95 и 98 форточках. Гражданин «пострадавший» на 95 или 98 расшаривал диск С: и сидел в инете с дорогой карточки на много-много часов. «Хулхацкер» сканил диапазон ИП провайдера на наличие расшаренных ресурсов, заходил на комп к «пострадавшему», тянул оттуда *.pwl файлы, легко из них выдергивал логин пароль, телефон пула известен, т.к. «жертва» из диапазона определенного провайдера. «Хулхацкер», неимоверно довольный свой крутизной сидит какое- то время на «халявном инете», а через какое- то время к нему приходят дяди их отделения К, забирают комп, на допросе выясняется, что «пострадавший» периодически не мог зайти в Интернет, да и карточка как-то быстро закончилась. Взяв лог доступов у провайдера «пострадавший» подал заявление в отдел К, ну а дальше уже все известно. «Кулхацкеру» вешалось сразу несколько статей, и учитывая, что все док-ва обычно на винчестере легко находятся, то дело практически готово. Понятно, что до суда доводить дело не хочется(в особенностям родителям «кулхацкера»), они догавариваются с «пострадавшим», платят ему N денег, а он пишет заявление, что к такому-то «кулхацкеру» претензий не имеет. Учитывая распространение мануалов во «взлому» в сети тогда, легкостью добывания чужих аккаунтов и наличия у «потерпевшего» дорогой карточки на много-много часов, на момент подачи заявления через аккаунт «пострадавшего» как правило сидело уже несколько «кулхацкеров», так что прибыль «пострадавшего» в итоге оказывалась очень даже неплохой.
При регистрации я соглашался на правила использования ресурсом, адрес я получил из открытых источников, ущерба никакого не наносил. А в том случае не думаю, что хозяин сервиса развешивал объявления или публиковал статьи для раскрутки по поисковикам с адресом своего ресурса. Плюс кто пользовался телефонией через него не мог не понимать, что звонить в Никарагуа или еще куда явно не может быть бесплатным развлечением, и что он свои счета вешает на кого- то другого.
Расскажу про одну разводку, которую практиковали в свое время некоторые «пострадавшие», когда модемный доступ был еще на пике популярности и многие сидели на 95 и 98 форточках. Гражданин «пострадавший» на 95 или 98 расшаривал диск С: и сидел в инете с дорогой карточки на много-много часов. «Хулхацкер» сканил диапазон ИП провайдера на наличие расшаренных ресурсов, заходил на комп к «пострадавшему», тянул оттуда *.pwl файлы, легко из них выдергивал логин пароль, телефон пула известен, т.к. «жертва» из диапазона определенного провайдера. «Хулхацкер», неимоверно довольный свой крутизной сидит какое- то время на «халявном инете», а через какое- то время к нему приходят дяди их отделения К, забирают комп, на допросе выясняется, что «пострадавший» периодически не мог зайти в Интернет, да и карточка как-то быстро закончилась. Взяв лог доступов у провайдера «пострадавший» подал заявление в отдел К, ну а дальше уже все известно. «Кулхацкеру» вешалось сразу несколько статей, и учитывая, что все док-ва обычно на винчестере легко находятся, то дело практически готово. Понятно, что до суда доводить дело не хочется(в особенностям родителям «кулхацкера»), они догавариваются с «пострадавшим», платят ему N денег, а он пишет заявление, что к такому-то «кулхацкеру» претензий не имеет. Учитывая распространение мануалов во «взлому» в сети тогда, легкостью добывания чужих аккаунтов и наличия у «потерпевшего» дорогой карточки на много-много часов, на момент подачи заявления через аккаунт «пострадавшего» как правило сидело уже несколько «кулхацкеров», так что прибыль «пострадавшего» в итоге оказывалась очень даже неплохой.
А электричество? А хостинг? А плата за канал? Еще как наносили :) Ваш запрос ускорил диски!
«Ущерб» — очень интересный вопрос, да. Вот скайп звонит в Никарагуа по смешной цене, а то и вовсе бесплатно. Почему кто-то начинающий не мог предоставлять доступ бесплатно, для раскрутки?
Можно попробовать за уши притянуть мошенничество. Но НСД, и пр. компьютерных преступлений притянуть не получится.
Разводка хорошая, мне даже как-то не жалко «жертву» )
«Ущерб» — очень интересный вопрос, да. Вот скайп звонит в Никарагуа по смешной цене, а то и вовсе бесплатно. Почему кто-то начинающий не мог предоставлять доступ бесплатно, для раскрутки?
Можно попробовать за уши притянуть мошенничество. Но НСД, и пр. компьютерных преступлений притянуть не получится.
Разводка хорошая, мне даже как-то не жалко «жертву» )
А электричество? А хостинг? А плата за канал? Еще как наносили :) Ваш запрос ускорил диски!
«Ущерб» — очень интересный вопрос, да. Вот скайп звонит в Никарагуа по смешной цене, а то и вовсе бесплатно. Почему кто-то начинающий не мог предоставлять доступ бесплатно, для раскрутки?
Можно попробовать за уши притянуть мошенничество. Но НСД, и пр. компьютерных преступлений притянуть не получится.
Разводка хорошая, мне даже как-то не жалко «жертву» )
«Ущерб» — очень интересный вопрос, да. Вот скайп звонит в Никарагуа по смешной цене, а то и вовсе бесплатно. Почему кто-то начинающий не мог предоставлять доступ бесплатно, для раскрутки?
Можно попробовать за уши притянуть мошенничество. Но НСД, и пр. компьютерных преступлений притянуть не получится.
Разводка хорошая, мне даже как-то не жалко «жертву» )
т.е. если Вы идете по улице и видите как стоит автомобиль с открытой дверью, то это означает, что на нем можно покататься, причем это не будет являться несанкционированным доступом?? думаю будет очень больно доказывать это владельцу данного авто :) Это сарказм, но думаю что по сабжу безопаснее использовать VPN и не высовывать астериск наружу
Так я так и не понял, проблема была в астериске или в Voip шлюзах? Я так понимаю если у меня в диалплане экстеншены прописаны только для звонков по шаблону +38X. то кроме Украины оно никуда не вырвется? Или есть способ?
К сожалению и я так полагал. Звонки пошли в обход астериска, прямо через шлюз. Что бы позвонить через шлюз, достаточно знать его IP и все.
Нужно:
1. Запретить международные звонки у оператора (самое важное)
2. Подключить стороннего VoIP для международных (так дешевле и в минус не вгонят, даже при взломе)
3. Запретить на шлюзе выход на международную связь — что бы и не пытались.
4. В asterisk отключить входящие гостевые соединения.
5. В asterisk закрыть подключения к порту AMI
6. Настройке fail2ban для исключение перебора паролей.
7. Настройке файрвол для блокирования подключений к asterisk, только от разрешенных IP.
Нужно:
1. Запретить международные звонки у оператора (самое важное)
2. Подключить стороннего VoIP для международных (так дешевле и в минус не вгонят, даже при взломе)
3. Запретить на шлюзе выход на международную связь — что бы и не пытались.
4. В asterisk отключить входящие гостевые соединения.
5. В asterisk закрыть подключения к порту AMI
6. Настройке fail2ban для исключение перебора паролей.
7. Настройке файрвол для блокирования подключений к asterisk, только от разрешенных IP.
IMHO тут совет не «мониторьте» это и так само собой. Правильный совет хотите нормальный VoIP используйте нормальное оборудование поддающееся нормальной настройке: Cisco, Linksys, Adpac если уж совсем глухо. На деньги ушедшие на оплату счетов как раз можно было приобрести нормальное оборудование.
В статье как раз и про Linksys написано.
Дочитайте до конца.
Дочитайте до конца.
Не будем про linksys, вот про длинк описанный в статье. Может все же RTFM и настраивать настраивать и еще раз настраивать? :)
ftp.dlink.ru/pub/VoIP/DVG-6004S/Data_sh/DVG-6004S_A1_Manual.pdf
страница 41 Caller Filter
This function is used at allow or deny SIP Invite from the Proxy list ONLY.
ftp.dlink.ru/pub/VoIP/DVG-6004S/Data_sh/DVG-6004S_A1_Manual.pdf
страница 41 Caller Filter
This function is used at allow or deny SIP Invite from the Proxy list ONLY.
В последнее время я заметил нестабильность некоторых систем построенных на астериске. У меня всё запрещено давно, но некоторые клиенты работают где попало и прикрыть порт не выходит иногда, в общем рылся рылся я в системе пока не остали дамп на ночь и порезавши на куски по 500 метров не начал смотреть, в общем бомбят экспплоитами сип стека астериска, тот регулярно падал, нашли же, и разработали тулзы для генерации пакетов. Дальше не прошли, всё закрыто, но факт есть факт, поумнели в последнее время, китайцы всё брутфорсят а эти из румынии и *той* зоны уже бьют повыше. Я перехожу на фрисвич, астериск уже слишком популярный.
Войп-сервер не должен быть виден снаружи, это делает его гарантированно недоступным для атаки на подбор паролей или на использование уязвимостей. Связь с другими серверами должна обеспечиваться посредством VPN, которая объединяет локальные сети разных офисов. Ну и за троянами внутри тоже стоит присматривать, дабы не шастали совсем уж свободно. Уже несколько лет вполне безбедно работает подобная конфигурация на asterisk (обновленный до 1.6), маршрутизация на DUNDi, подсети объединены через центральный впн-сервер на OpenVPN.
Можно просто Cisco 8xx серии, поднимаем IP-IP тунель в него заворачиваем VoIP. Не нужно лишнее железо для openvpn.
назовите хоть одного сип-провайдера, который даст открыть к себе туннель?
да, если на астериске только внутренняя телефония и FXO/PRI транк, тогда спрятать его за фаервол — мысль хорошая, а если подключение через SIP-trunk?
да, если на астериске только внутренняя телефония и FXO/PRI транк, тогда спрятать его за фаервол — мысль хорошая, а если подключение через SIP-trunk?
Ещё добавлю что VoIP надо выносить в отдельный влан, чтобы защитить еще и от внутренних врагов.
B Linksys есть параметры, которые называются
Make Call Without Reg:
Ans Call Without Reg:
Постaвьте оба параметра на NO
В DLink есть аналогичные параметры (сейчас нет под рукой девайса)
Make Call Without Reg:
Ans Call Without Reg:
Постaвьте оба параметра на NO
В DLink есть аналогичные параметры (сейчас нет под рукой девайса)
Пару раз попадали в подобные ситуации, в первом случае 15K$, во втором 5K$. В общем нужен мозг и не позволять диллетантам настраивать VoIP, если не хотите попасть на деньги.
На шлюзах Grandstream параметры Check SIP User ID for incoming INVITE и Allow Incoming SIP Messages
from SIP Proxy Only тоже по умолчанию выставлены в No.
from SIP Proxy Only тоже по умолчанию выставлены в No.
>Шлюзы Dlink, Linksys по умолчанию принимают Invite на порту 5060 и любой «гость» можно инициировать звонок, для этого нужен обычный IP телефон…
Ерунда какая-то!!! Криво шлюзы настроили.
Ерунда какая-то!!! Криво шлюзы настроили.
Sign up to leave a comment.
Asterisk VoIP — как отбиться от хакеров или «ляпы» в настройке шлюзов