Warning: Non-static method vBSEO_Storage::path() should not be called statically in ..../vbseo/includes/functions_vbseo_pre.php on line 387

Warning: Non-static method vBSEO_Storage::path() should not be called statically in ..../vbseo/includes/functions_vbseo_pre.php on line 387

Warning: Non-static method vBSEO_Storage::path() should not be called statically in ..../vbseo/includes/functions_vbseo_seo.php on line 337

Warning: Non-static method vBSEO_Storage::path() should not be called statically in ..../vbseo/includes/functions_vbseo_seo.php on line 339

Warning: Non-static method vBSEO_Storage::path() should not be called statically in ..../vbseo/includes/functions_vbseo_seo.php on line 341

Warning: Non-static method vBSEO_Storage::path() should not be called statically in ..../vbseo/includes/functions_vbseo_seo.php on line 343
Внимание, участились хакерские атаки на Asterisk и др. IP-PBX
Показано с 1 по 3 из 3

Тема: Внимание, участились хакерские атаки на Asterisk и др. IP-PBX

  1. #1
    Guest

    Внимание, участились хакерские атаки на Asterisk и др. IP-PBX

    Возможно, кому-то данная информация поможет сохранить деньги и нервы…

    ------------------------------------------

    В последние месяцы участились случаи взломов корпоративных VoIP систем, работающих по SIP протоколу. Сумма нанесенных убытков в ряде случаев достигает $2000 и более.
    По всей видимости, работает группа злоумышленников использующих SIP сканер для определения корпоративных IP-АТС. Данный SIP сканер идентифицирует себя как User-Agent: friendly-scanner. Сканирование производится с различных IP-адресов, преимущественно европейских. После того, как IP-АТС вычислена, осуществляется подбор логина и пароля по словарю. Пробуются различные комбинации, например: admin admin, voip voip, asterisk asterisk и т.п. После того как логин и пароль удалось подобрать, злоумышленники пробуют осуществлять звонки с различными префиксами и без него. Если система пропускает через себя звонки, то на адрес корпоративной IP-АТС направляется VoIP трафик на дорогие направления, такие как Сомали, Лихтенштейн мобильные, Куба и т.п. Несанкционированное использование IP-АТС обычно осуществляется ночью или в выходные дни.

    Методы защиты

    1. Проведите ревизию всех логинов и паролей имеющихся на вашей IP-АТС. Лучше всего если логин и пароль состоит не менее чем из восьми знаков, и в них содержатся цифры и буквы. Также следует обратить внимание, что на старых версиях Asterisk есть служебный логин и пароль (asterisk, asterisk), который тоже может быть использован для получения несанкционированного доступа.

    2. Поскольку хакерские атаки, как правило, осуществляются в выходные дни или ночью, имеет смысл настроить корпоративную IP-АТС таким образом, чтобы она была доступна только в рабочее время.

    3. В связи с тем, что злоумышленники осуществляют звонки по дорогим и экзотическим направлениям, имеет смысл заблокировать направления, по которым ваши сотрудники наверняка звонить не будут.

    4. Позаботится о том, чтобы логины и пароли, используемые в корпоративной IP-АТС не стали доступны ненадежным сотрудникам или посторонним лицам.

    5. Если IP-АТС используется только для звонков абонентов, находящихся во внутренней сети предприятия, то имеет смысл заблокировать возможность входящих звонков из Интернета на корпоративную IP-АТС.

  2. #2
    Member
    Регистрация
    04.04.2008
    Адрес
    sip:541@sip.antisip.com
    Сообщений
    99
    Вес репутации
    10
    А я вот думаю, а что если:

    Создать в asterisk пользователя (можно даже не одного) с легко подбираемым логином и паролем из словаря и определить для него отдельный контекст, в котором любые вызовы на любые sip-id соединять на некий локальный автоответчик реализованный на том же asterisk.

    Т.е. сделать ловушку для любителей звонить за чужой счёт.

  3. #3
    Member
    Регистрация
    04.04.2008
    Адрес
    sip:541@sip.antisip.com
    Сообщений
    99
    Вес репутации
    10
    Скан аккаунтов и подбор пароля создаёт много запросов (флуд) что нагружает сервер с asterisk. В linux (и специальных дистрибутивах на базе linux, типа trixbox) это можно заблокировать файрволом iptables с модулем recent:

    iptables -A INPUT -p udp --dport 5060 -m recent --name sip --set
    iptables -A INPUT -p udp --dport 5060 -m recent --name sip --rcheck --seconds 30 --hitcount 30 -j DROP

    seconds и hitcount подкрутить по вкусу, так чтобы оно не банило нормальные соединения, но при этом надёжно затыкало флуд.

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •