В чем смысл попытки взлома Инвайтами ?
Re: В чем смысл попытки взлома Инвайтами ?
Можете в настройках пира указать insecure=port,invite и готово)
Как только джентельмены из Сомали наткнутся на существующий у вас пир, смогут звонить куда угодно (в рамках диаплана)
Как только джентельмены из Сомали наткнутся на существующий у вас пир, смогут звонить куда угодно (в рамках диаплана)
Re: В чем смысл попытки взлома Инвайтами ?
Друзья все правильно пишите, протестировав на тестовом стенде, я нашел особенности где даже без опции insecure хватает странных форточек, притом сильно зависит от версии, притом более высокая и новая не факт что нормальная.
Единственно что реально защищало это deny/permit
Из этого сделал вывод:
Любую запись с статичным хостом защищаем deny/permit
С динамичным по возможности тоже. (локалка к примеру)
Если такой возможности нет, меняем порт, ставим различные ловушки на тот же 5060, чтоб всех недругов сразу в бан.
Если АТС используется в офисе, закрываем все лишнее фаерволом, у многих сисадминов видел такую странную вещь, АТС внутри сети за NAT но порт 5060 проброшен, на вопрос зачем, ответ, чтоб внешний провайдер лучше работал, притом сами просто зарегистрированы у него ......
Единственно что реально защищало это deny/permit
Из этого сделал вывод:
Любую запись с статичным хостом защищаем deny/permit
С динамичным по возможности тоже. (локалка к примеру)
Если такой возможности нет, меняем порт, ставим различные ловушки на тот же 5060, чтоб всех недругов сразу в бан.
Если АТС используется в офисе, закрываем все лишнее фаерволом, у многих сисадминов видел такую странную вещь, АТС внутри сети за NAT но порт 5060 проброшен, на вопрос зачем, ответ, чтоб внешний провайдер лучше работал, притом сами просто зарегистрированы у него ......
Последний раз редактировалось Ferrum 21 дек 2021, 09:28, всего редактировалось 3 раза.
Re: В чем смысл попытки взлома Инвайтами ?
Паранойя в нашем деле это конечно хорошо и вещь необходимая, но по факту, если вам не нужна международка, то все решается диалпланом. Это конечно же не руководство к действию и свою АТС надо держать в тепле и подальше от всяких 
Но за последние лет 5 фриланса столько насмотрелся "настроенных" АТС доставшихся в наследие от "коллег", что просто глаза разбегаются насколько все открыто, сколько не то что переборов учеток, а уже вызовов с различными префиксами... но если нет МН, то похрен) Никто не будет по России сливать трафик.
Но за последние лет 5 фриланса столько насмотрелся "настроенных" АТС доставшихся в наследие от "коллег", что просто глаза разбегаются насколько все открыто, сколько не то что переборов учеток, а уже вызовов с различными префиксами... но если нет МН, то похрен) Никто не будет по России сливать трафик.
Re: В чем смысл попытки взлома Инвайтами ?
Знаете что меня больше всего ввело в ступор в старых версиях asterisk
Вот к примеру Пир на оператора с статическим хостом
Но стоит на него позвонить с указанием в поле from этого пира
вызов проскочит с любого IP, если убрать deny/permit, всегда думал что статический пир принимает сигнализацию только с своего указанного хоста, но оказалось я ошибался, никаких insecure нет....
Вот к примеру Пир на оператора с статическим хостом
Код: Выделить всё
[OPERATOR]
host=88.88.88.88
dtmfmode=rfc2833
type=friend
nat=no
disallow=all
allow=ulaw
canreinvite=no
qualify=yes
context=in
deny=0.0.0.0/0.0.0.0
permit=88.88.88.88/255.255.255.255
Код: Выделить всё
From: <sip:OPERATOR@
Re: В чем смысл попытки взлома Инвайтами ?
Нужно понимать отличие type=friend от type=peer.
Если host=статический, type=peer, обычно как раз insecure=port,invite. Тогда он будет просто игнорировать все попытки авторизации по паролям.
Также понимать что опасен как раз host=dynamic - именно такие пиры и ищут сканеры.
По защите - все методы хороши - и ловля левых UserAgent, перенос 5060 выше и организация ловушки на 5060 на том же микротике (или даже если подсеть белая - целый IP в ловушку перед нужным), fail2ban, списки белые, серые и черные L7 в Микротике, закрытие ACL в Астере, выдача SIP на вход только для нужных IP итп. Это зависит от конкретной задачи и ситуации.
Если host=статический, type=peer, обычно как раз insecure=port,invite. Тогда он будет просто игнорировать все попытки авторизации по паролям.
Также понимать что опасен как раз host=dynamic - именно такие пиры и ищут сканеры.
По защите - все методы хороши - и ловля левых UserAgent, перенос 5060 выше и организация ловушки на 5060 на том же микротике (или даже если подсеть белая - целый IP в ловушку перед нужным), fail2ban, списки белые, серые и черные L7 в Микротике, закрытие ACL в Астере, выдача SIP на вход только для нужных IP итп. Это зависит от конкретной задачи и ситуации.
Российские E1 шлюзы Alvis. Модернизация УПАТС с E1,Подключение к ИС "Антифрод" E1 PRI/SS#7 УВР Телестор, Грифин и др..
Re: В чем смысл попытки взлома Инвайтами ?
Узнал я про курсы от https://voxlink.ru 45т если заочно 7 дней, 35т 5 дней очно для жителей Москвы, думал коллегу записать, не дешево конечно.....
Re: В чем смысл попытки взлома Инвайтами ?
с type=peer тоже нужно быть аккуратней, ибо при включеном UDP могут подставить любой IP и проломиться по insecure=port,invite
ЛС: @rostel
Re: В чем смысл попытки взлома Инвайтами ?
Из этого можно сделать вывод что даже при статическом хосте добавляем deny/permit, хуже от них не будет, а проломится уже не выйдет.
Re: В чем смысл попытки взлома Инвайтами ?
не совсем
deny/permit тоже не спасет
авторизация крайне желательна, по этому insecure на type=peer использовать только для входящих к вам, верней с контекстами из которых нет выходов наружу
deny/permit тоже не спасет
авторизация крайне желательна, по этому insecure на type=peer использовать только для входящих к вам, верней с контекстами из которых нет выходов наружу
ЛС: @rostel
