Как стать автором
Обновить

Комментарии 10

Я бы ещё добавил alwaysauthreject=yes в sip.conf. Это предотвратит возможный перебор существующих пользователей.
Да, согласен! После такой настройки, Asterisk будет отвечать одинаково для любых неверных авторизации «401 Unauthorized» и не сообщать подробностей
>15 000 рублей
Известны случаи и на 2-3 млн попадали организации.
раз, два, три
И такие количество таких атак будет только увеличиваться. Судя по тому какое недавно пришло письмо интересное, такими взломами уже и «пионеры» интересуются:

«здравствуйте
пишите софт под заказ?
комплект для скана сети на sip-оборудование, парсер логов которые получаться после сканирования (отсеивает мусор и оставляет только PBX-станции), сканер отпарсенных логов на открытый 80 порт (сканирует почищенные логи на открытый Web-доступ к станции), один сканер (ищет станции по другому принципу — доступность для перебора паролей), парсер для обработки станций для подбора паролей, список диапазонов ip для всех стран мира, python (интерпретатор языка програмирования на котором написан сканер — нужен для запуска сканера) „

Мы конечно отказались, но ведь найдется тот кто напишет.
А я просто разрешил трафик только к провайдеру телефонии, и телефонам, всё остальное Дроп. После ваших процедур вы всё равно не будете уверены что в сип стеке астериска не найдут дыру.
Это всё очень интересно. У меня защитную роль играет fail2ban и пара настроек в самом asterisk. Надо будет попробовать еще и с iptables заморочиться.

А никто не задавался вопросом, почему вдруг усилился интерес к PBX серверам?
Потому что за 1 день хакеры «зарабатывают» больше 100 тысяч долларов с одного абонента.
«Истец требовал взыскать с ответчика стоимость около 90 тысяч минут звонков по всему миру — 3 млн 425 тыс. рублей. В суде представитель истца сообщил, что с номера абонента в один из дней было совершено около 10 тысяч соединений. Звонили в Египет, на Кубу, Гаити и т.д. Общая продолжительность разговоров составила около 90 тысяч минут.»
То что Ростелеком не смог взыскать это все ерунда, хакеры свое уже получили.
Недавно присутствовал на экспертизе, НПО «попало» на сумму порядка 12000$ по вине сисадмина, неприменившего acl правила на интерфейсе циски. В итоге сип порт открыт, веб открыт, по сипу без аутентификации за три дня шли звонки на десяток стран: латвию, эстонию, гвинею и т.д.
И даже access-list не достаточно. Попробуйте прикрыть, а потом раза 3 подряд прогнать nmap например. Можете узнать много нового о своей циске. Если у вас маршрутизатор смотрит в интернет, то желательно обновить ios до 15.1 и прикрыться рефлективными листами. Или поставить на интернет Cisco ASA.
Я бы все эти пункты заменил на пару:
1. на уровне файрволов: запретить ВСЁ кроме того откуда приходит трафик.
2. межгород подключить в режиме предоплаты (с запретом ухода в минус) международку отключить на уровне оператора.
3. в локалке вынести весь VoIp траффик в отдельный vlan.

всё это относится к офисной телефонии.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий