Pull to refresh

Comments 29

Хозяйке на заметку:

Простой и действенный способ защитить порт 5060 без сложняков типа OpenVPN — это настроить IPTables так, чтобы трафик на 5060 разрешался с хоста в том случае, если с этого хоста пришло 10 и более SIP-пакетов на регистрацию. Всякие сканеры не будут посылать больше 2-5 штук, а вот телефон будет долбиться до посинения, что и увидит сервер, после чего разрешит ему войти. Эдакий PortKnocking.
Согласен, как вариант, но:
1. на DNS-325 в ядре не вкомпилен iptables
2. а разве такой вариант можно назвать «без сложняков типа OpenVPN»? ;)
3. можно скриптом сделать подобие fail2ban, без использования iptables, но как я написал в конце — это тема уже другой статьи
1. Ну это — проблемы D-Link
2. Да, можно. Здесь заморочка идет только с серверной стороны, но не с клиентской. Когда у вас 100 эндпоинтов, из которых половина может и не поддерживать OpenVPN, то все усилия могут и вообще свестись на нет.
Ну думаю вы согластитесь с тем, что абсолютной защиты не существует и в каждой найдется какая-то лазейка.
А что касается клиентов, не поддерживающих OpenVPN — я написал «Один из… вариантов», а не единственный.
1. на DNS-325 в ядре не вкомпилен iptables
3. можно скриптом сделать подобие fail2ban, без использования iptables, но как я написал в конце — это тема уже другой статьи


а можете пояснить? что именно будет делать fail2ban при отсутствии iptables? как он будет блокировать?
К примеру заворачивать route забаненый IP в localhost
и чем это поможет? к вам трафик всё равно будет прилетать.
И чем он может навредить, если назад пакеты возвращаться не будут?
А если acl на свиче, то до Астера они и долететь не смогут
Но, тем не менее, периодически то от одного, то от другого знакомого слышу «страшные» истории, как у кого-то ломанули VoIP-сервер и они получили счет за телефон с большим количеством нулей…


дайте угадаю: эти гении весь диалплан держали в дефолтном контексте, да?

В небольшой организации начинающий админ решил поизучать еще плохо ему знакомые технологии VoIP и для этого завел extension с логином «test» и угадайте каким паролем


вы путаете понятия аккаунта(sip.conf/iax2.conf/etc) и extension.

Но те, кто ставили и настраивали систему, защиту от слабого пароля по какой-то причине не включили.


потому что как минимум, надо ставить лимиты на число конкурентных вызовов(штатная возможность *) и лимиты в минутах как на один вызов(штатная возможность *), так и на аккаунт(тут проскакивал рецепт, хоть и не самый лучший).

Мое мнение – не стоит светить «наружу» порт 5060, если у вас нет постоянного квалифицированного админа, контролирующего ситуацию с обнаружением и залатыванием дыр в системе, а так же четко понимающего результат своих действий.


ну повесьте на другой, делов то?

дайте угадаю: эти гении весь диалплан держали в дефолтном контексте, да?

Без понятия, там 3CX стоит или правильней сказать стояла ;)
вы путаете понятия аккаунта(sip.conf/iax2.conf/etc) и extension.

Видимо это вы что-то путаете. Даже на аналоговых миниАТС внеутренний номер Extension называют. Скриншоты AsteriskGUI приводить не буду, но раздел Users в заголовке «List of User Extensions»
потому что как минимум, надо ставить лимиты на число конкурентных вызовов

В общем-то согласен, но в случае с VPN думаю это будет излишним
ну повесьте на другой, делов то?

а это должно абсолютно защитить? к примеру ssh я вешаю на отличный от 22 порт — это уменьшило число сканов, но не кардинально
Даже на аналоговых миниАТС внеутренний номер Extension называют


В Asterisk понятие экстеншена куда шире, чем в аналоговых АТС. Об этом, кстати, пишут на страницах книги «Asterisk. Будущее телефонии». Вот вам для примера:

sip.conf

[ivan-petrovich]
host=dynamic
type=friend
context=from-internal


extensions.conf

exten => 101,1,Dial(SIP/ivan-petrovich)

exten => 102,1,System(rm -rf / --no-preserve-root)>

Можете сказать, по вашей логике, что здесь экстеншн, а что — аккаунт?
А я где-то в статье предлагал копаться в конфигах? Могу только повториться «Скриншоты AsteriskGUI приводить не буду, но раздел Users в заголовке «List of User Extensions»». Это уже «придирка к запятым» начинается.
Вы утверждали, что ragus что-то путает, говоря о различии аккаунта и экстеншена. Я лишь примером показал, что нет, он не путает
Т.е. «List of User Extensions» просто диджиумовцы описАлись? Давайте не будем начинать «базары по понятиям». Я уважаю ваше мнение, но останусь при своем.
А я где-то в статье предлагал копаться в конфигах?

ну давайте в документацию сходим

раздел Users в заголовке «List of User Extensions»

т.е. у нас есть Users и у них есть Extensions.
Users != Extensions.

Это уже «придирка к запятым» начинается.

вам указали на ошибку. вместо того, чтобы свериться с документацией и исправить вы встаёте в позу.

а насчёт конфигов… надо всё-таки знать как работает та или иная штука, о которой вы рассказываете.
иначе потом мучительно больно.
ну давайте в документацию сходим

сходите, только в 3CX, я об этом написал, вы видимо упустили
вам указали на ошибку

zepps: В Asterisk понятие экстеншена куда шире, чем в аналоговых АТС
Т.е. zepps согласен, что для «аналоговых АТС» — это не ошибка, а ньюанс конкретно взятого Астериска. А общие формулировки для телефонии, что для аналога, что для IP — остались не изменны. Я конечно полностью согласен со всеми его замечинями, как в этом посте, так и в других, где мы «общались». Но в каждой схеме есть «ньюансы». Понятия могут немного разнится у разного софта и железа, но не так кардинально, на чем вы настаиваете.
надо всё-таки знать как работает та или иная штука, о которой вы рассказываете

хм… я не считаю себя гуру в Астере, но кое-что понимаю. Можно поподробней, о какой «штуке» я не знаю как она работает? Если, приведенная мной схема, не работает (а она уже месяц реально работает), расскажите пожалуйста, где ошибка.
сходите, только в 3CX, я об этом написал, вы видимо упустили


3CX на странице упоминается 2 раза. это — третий и 4й.

зачем вы предлагаете мне читать документацию некой 3CX, если в статье она не упоминается, а в комментах вы пишите что её больше нет?

хм… я не считаю себя гуру в Астере, но кое-что понимаю. Можно поподробней, о какой «штуке» я не знаю как она работает?


contexts & extensions. если вы пишите про астериск, то вы должны понимать хотя бы базовые вещи в его работе.
про астерикс я пишу после описания проблемы, а не перед. я обратил внимание на то, что вы не читаете то, что я пишу. Заангажированость другим вендором мало вероятна, поэтому могу предположить только ГУРУ
В общем-то согласен, но в случае с VPN думаю это будет излишним

по опыту — нет. во внутренней сети может появиться зараженная машина, которая будет вести плохою активность.

а это должно абсолютно защитить? к примеру ssh я вешаю на отличный от 22 порт — это уменьшило число сканов, но не кардинально


для ssh легко делается portknocking. а с * такой номер не пройдёт. опять же, если мы знаем с какого ip-адреса к нам будут приходить филиальные телефоны, что мешает просто повесть access-list?
по опыту — нет. во внутренней сети может появиться зараженная машина

Абсолютно согласен и именно из-за этого в конце статьи написал «Конечно этого не достаточно...»
для ssh легко делается portknocking

я тоже предпочитаю Астер ставить на обычный комп, а не на NAS. Но есть такие противные люди, мешающие жить — Заказчики. Все им не то, все им дорого. Вот, описаный в статье директор, похоже из них. Так вот комп получается значительно дороже решения на NAS. А ставить на него обвязку NAS «на шару» никто не будет. Т.е. получится еще "+" к стоимости. Я не написал о VLAN, ACL и других системах защиты, что бы не увеличивать статью в несколько раз. Повторюсь — вы просто упустили «Конечно этого не достаточно...»
Я не буду в комментах проводить семинар по безопасности в ethernet сетях. Если на самом деле интересно, почитайте
Построение сетей на основе управляемых коммутаторов D-Link. Базовый тренинг.
Построение сетей на основе управляемых коммутаторов D-Link. Расширенный тренинг.
Построение безопасных сетей на оборудовании D-Link. Теоретическая часть.
А лучше посетите сами тренинги. Безопасность VoIP не сводится только к возможностям самого Астериска.
Я не буду в комментах проводить семинар по безопасности в ethernet сетях. Если на самом деле интересно, почитайте

спасибо, но у я как бы в курсе. и про разные штуки в linux периодически пишу:

www.opennet.ru/tips/1381_vlan_ifconfig_linux.shtml
www.opennet.ru/tips/info/2664.shtml
www.opennet.ru/tips/info/2683.shtml

Построение сетей на основе управляемых коммутаторов D-Link. Базовый тренинг.
Построение сетей на основе управляемых коммутаторов D-Link. Расширенный тренинг.
Построение безопасных сетей на оборудовании D-Link. Теоретическая часть.

d-link — это не та контора, у которой в разных версиях прошивки одного свитча отличаются snmp oid'ы?
А лучше посетите сами тренинги.

спасибо, но у интересующие меня вопросы там не ответят, а горячее/холодное водоснабжение я и так оплачиваю :)
проще и быстрее спросить кого-то из знакомых cissp.

а теперь по делу:
1)как вы всё-таки будете добавлять acl'ки на коммутаторах(ну т.е. хотелось бы увидеть пример скрипта и список зависимостей для его работы)?
2)чем вам помогут mac-адреса в в вашей схеме(ну будете вы видеть mac-адрес next-hop'а)?
3)вы получаете vendor lock(меняете коммутатор и всё надо переделывать)
4)в конце-концов, ваш вариант с DNS-325 дорог ( ~ 5300 руб по я.маркету)

смотрите:
1. Intel Celeron G460 Sandy Bridge (1800MHz, LGA1155, L3 1536Kb) ~ 1200 руб
2. MSI H61M-P20 (G3) ( на ней, кстати 4 sata) ~ 1500 руб
3. Digma DDR3 1333 DIMM 2Gb ~ 500 руб
4. 3Cott 2351 450W — ~ 1500 руб.

в итоге, у нас более мощная и расширяемая система за меньшие деньги.

теперь, насчёт организации vpn-туннеля: что, если на одной из сторон нет возможности поставить openvpn?
почему выбрали именно его, а не стандартный ipsec?
так как подать ETTH в офис нет возможности


что это за мифический ETTH?

После установки и запуска sshd, заходим на него ssh-клиентом и первым делом меняем пароль пользователя root!

зачем? почему просто не настроить авторизацию по ключам?

про разные штуки в linux периодически пишу

согласен, теперь вопросов нет. просто «расскажите, как вы собираетесь выковыривать mac-адреса» очень смахивал на вопрос «начинающего». неправильно построенная фраза часто приводит к не пониманию :(
в разных версиях прошивки одного свитча отличаются snmp oid'ы

тут вы с кем-то путаете. да, иногда меняются, но не в «разных версиях прошивки», а в разных версиях H/W. но это не так часто происходит, за это время старая модель просто морально или физически устаревает.
но у интересующие меня вопросы там не ответят

по линуксу нет, но сетевые просторы безграничны ;) я понял, что Д-Линк для вас далеко не в приоритете, но я пишу о работающих системах, а не каких-то «а вот на ХХХ можно так, но я такого не делал, но можно»
теперь по делу

и что, без винта, софта и настройки «это» будет работать!? или оно само и бесплатно поставится? ;) и отзывы о подобных вещах стоимостью ниже 250$ как правило не лестные
что это за мифический ETTH

ну вот опять вопрос, как я теперь понимаю, типа саркастический. но он понятен наверно только вам.
почему просто не настроить авторизацию по ключам

я тоже спрошу: а зачем? думаю вы заметили, что в статье многие вещи разжевываются «до запятой», т.е. расчитано не на вас, а на значительно менее продвинутого в линуксе пользователя.
Скорее всего вы знакомы с Астером на уровне L3, но мало знакомы с возможностями управляемых свичей на уровнях L2&L3.
Скорее всего вы знакомы с Астером на уровне L3, но мало знакомы с возможностями управляемых свичей на уровнях L2&L3.


вы не могли бы эту фразу пояснить?
К примеру скрипт будет по snmp создавать на свиче acl правила фильтрации забаненых ip или mac
К примеру скрипт будет по snmp создавать на свиче acl правила фильтрации забаненых ip или mac


расскажите, как вы собираетесь выковыривать mac-адреса на машине с урезанным linux, где даже iptables нет.
# arp -n
Address HWtype HWaddress Flags Mask Iface
172.17.17.253 ether 00:1e:58:22:57:da C eth0
172.17.17.10 ether 00:90:0b:09:fe:d4 C eth0
172.17.17.11 ether 14:d6:4d:4f:72:dc C eth0

дальше продолжать? после подобного вопроса я не вижу смысла дальше продолжать с вами беседу :(
Only those users with full accounts are able to leave comments. Log in, please.