Страница 1 из 1
Авторизация по имени
Добавлено: 12 янв 2011, 07:52
Stroitelev
На главной странице сайта есть статья о безопасности астериска, интересует следующий фрагмент:
Делайте SIP usernames отличными от внутренних номеров. Обычно внутренний номер “1234″ соответствует SIP пиру “1234″, который имеет аналогично SIP user “1234″, это лёгкая цель для хакеров в попытке угадать аутентифицированые SIP names. Используйте МАС адреса устройств или другие комбинации известных фраз + MD5 хэширование внутреннего номера (например исполните команду “md5 -s ThePassword5000″)
Я так понимаю, что при этом авторизация должна проходить по username а не по extension, но у меня так не проходит, настраиваю через веб форму trixbox'а, поле "Display Name" и "SIP usernames" эквивалентно?
Если авторизация не должна проходить по имени пользователя, а по экстеншену, то каким образом одинаковое имя и экстеншен может помочь злоумышленнику?
P.S. С Астериском до недавнего времени не сталкивался, если что-то не так просьба поправить.
Re: Авторизация по имени
Добавлено: 12 янв 2011, 10:34
zepps
В Asterisk - телефонный номер и его SIP|IAX2|SCCP|H.323-экстеншн - два абстракта, которые могут быть связаны между собой, а может - и нет.
Зачастую ошибкой инсталляторов IP-PBX является то, что на экстеншн указывается пароль равный самому значению экстеншена. Хакером такая станция пробивается в доли секунд, после чего станция начинает продувать через себя голосовой трафик в страны третьего мира. За счет компании, где эта станция стоит, разумеется!
Re: Авторизация по имени
Добавлено: 12 янв 2011, 10:43
ded
Этот совет не очень подходит для freePBX дистрибутивов, где почти все настройки пишутся в конфиг автоматически из вэб интрерфейса. Поля "Display Name" и "SIP alias" - это не usernames.
В простом примере эта мысль выглядит так:
Код: Выделить всё
sip.conf:
[John]
host=dynamic
type=friend
secret=johnpass
[Masha]
host=dynamic
type=friend
secret=mashapass
extensions.conf:
exten => 100,1,Dial(SIP/John)
exten => 101,1,Dial(SIP/Masha)
откуда понятно, что юзеры John и Masha регистрируют свои ИП телефоны как John с паролем johnpass и Masha с паролем mashapass (а не 100 с паролем johnpass или 101 с паролем johnpass). Потому что сканеры стандартно простукивают попытками регистрировать именно 100, 101, 102 и так далее. Имена они как бы тоже могут по файлу паролей брутфорсить, но это уже будет не оправданно дольше.
Re: Авторизация по имени
Добавлено: 12 янв 2011, 12:50
Stroitelev
Спасибо, кое-что уже проясняется, но вопрос остается открытым как тогда поступить обладателям freePBX дистрибутивов?
Или данный совет тут уже не применим?
У меня в конфиге прописано:
Код: Выделить всё
[ХХХХХХХ] - Номер телефона (при добавлении нового sip устройства я указываю экстеншен в виде телефонного номера и именно этот номер попадает
в конфиг).
Получается необходимо в поле экстеншен указывать имя пользователя?
А для связи имени с номером как-то (freePBX дистрибутив не позволяет вручную править конфиги) править extensions.conf
приводя к такому виду:
exten => XXXXXXX,1,Dial(SIP/Name)?
deny=0.0.0.0/0.0.0.0
type=friend
secret=qwerty - здесь указываю пароль
qualify=yes
port=5060
pickupgroup=
permit=0.0.0.0/0.0.0.0
nat=yes
mailbox=ХХХХХХХ@device
host=dynamic
dtmfmode=rfc2833
dial=SIP/ХХХХХХХ
context=from-internal
canreinvite=no
callgroup=
callerid=device <ХХХХХХХ>
accountcode=
call-limit=50 - Здесь хотелось бы поставить "1", но через веб форму этот параметр не могу изменить (не могу найти или его просто нет), если менять вручную в конфиге при малейшем изменении через веб форму любого параметра, данное значение сбрасывается в исходное положение т.е. становиться "50".
Re: Авторизация по имени
Добавлено: 12 янв 2011, 13:13
ded
1) Видимо этот пункт не очень стыкуется с идеологией freePBX
2) freePBX дистрибутив позволяет вручную править конфиги. Для этого есть extensions_custom.conf
call-limit=50 - Здесь хотелось бы поставить "1", но через веб форму этот параметр не могу изменить (не могу найти или его просто нет), если менять вручную в конфиге при малейшем изменении через веб форму любого параметра, данное значение сбрасывается в исходное положение т.е. становиться "50".
Тут два пути: использовать такой новый-новый модуль SIP settings, где многие ручные вещи можно проставлять через вэб интерфейс этого модуля, и/или изучить что такое шаблон для пира и как его применять.