В чем смысл попытки взлома Инвайтами ?

[Ferrum]

А тут какая уязвимость, как обходят данные параметры ?

[Ferrum]

Я имею ввиду deny/permit

[Vlad1983]

типичная ошибка настроить какой-нить шлюз внутри локальной сети на звонки без авторизации (см. insecure)
пир примерно будет таким

Код: выделить все

[phone10]
type=peer
host=192.168.0.10
password=pohren-kakoj
context=out
insecure=port,invite
deny=0.0.0.0/0.0.0.0
permit=192.168.0.10/32


из контекста out есть выход наружу
как итог, смогут позвонить наружу, просто подставив в UDP src ip 192.168.0.10 (и не важно что они ответов получать не будут)
перебирают с 192.168.0.0/16 и 10.0.0.0/8

[Ferrum]

типичная ошибка настроить какой-нить шлюз внутри локальной сети на звонки без авторизации (см. insecure)
пир примерно будет таким

Как я понимаю аналогичная проблема будет на пире с регой по айпи.

Код: выделить все

[OPERATOR-SVIAZI]
host=X.X.X.X
dtmfmode=rfc2833
type=peer
nat=no
disallow=all
allow=alaw
canreinvite=no
qualify=yes
context=in
deny=0.0.0.0/0.0.0.0
permit=X.X.X.X/32

Но это из области совсем паранойи, любой пир с регистрацией эту проблему нивелирует, так как злоумышленник не получит noncе, соответственно не сможет корректно захешироать пароль, даже при его наличии

[sasa]

Идеального софта не существует
за то могут быть еще CVE

[Ferrum]

Кстати а есть ли известная уязвимость при открытых на мир RTP портах ? 10000-20000 UDP
Есть старая АТС 1.8.17 приходится держать эти порты открытыми, так как некоторые операторы любят менять сервер для RTP трафика без предварительного информирования, молча поменяли и все.......

[Zavr2008]

Да, CVE по RTP в Asterisk есть, но беда в том что 1.8 ветка уже EOL, никто не знает эта CVE для 13.xx и 16.xx релевантна для 1.8 или нет.
Именно по этой причине и стоит мигрировать, чтобы быть в актуальном состоянии.

Например
https://nvd.nist.gov/vuln/detail/CVE-2019-15639
http://downloads.asterisk.org/pub/security/AST-2017-005.html
Есть и еще.

[Ferrum]

Ясна спасибо, что держит, крайне стабильная работа, в свое время на нее очень много чего завязано в бд, притом винегрет с диалпланами в mysql и pgsql которые в свое время заскриптованы, понятно что нужно все приводить в соответствие....,

[Zavr2008]

Как вариант перед Астером поставить Kamailio и там уже рулить безопасностью внешки.

[Ferrum]

Спасибо думаю так и сделаем, внешка с доступом в мир на 15 Астере, исключительно с TLS, но там только входящие звонки через приложение, доступ в диалплане строго до оператора....