Вообще-то виноват бородатый Одмин. Должен был анально огородить IP-PBX от кетайцких кулхацкеров. У меня 2 оператора, оба работают на постоянных IP и требуют того же от клиентов. Соответственно стоящий в офисе Asterisk виден в сети только с IP этих операторов и больше никак. Кроме того в dial plan набор международного номера не предусмотрен в принципе. Такой звонок просто не пройдет. Чтобы его совершить, нужно знать "ритуальный танец с бубнами". Ну и ежедневный просмотр логов, конечно. Но это уже паранойя.
У Астериска есть уязвимости на нескольких уровнях, через которые можно получить к нему доступ. Получив к нему доступ делаем следующее: 1) в extensions_custom.conf включаем до-файл где прописываем нужные маршруты на Premium номера и в других файлах прописываем транки куда надо. 2) пишем скрипты которые будут удалять из логов звонки на эти номера а также из биллинга 3) пишем скрипт которые из логов уже самого Linux-а будет удалять следы чтоб на вашей системе вообще кто либо побывал... 4) лъём на вас траффик с другого Астериска
Re: Не поможет!ru_newsreaderJune 2 2013, 11:53:57 UTC
Чтобы править конфы нужно удаленный доступ получить к серверу. А если он за роутером и не расшарен? Еще раз повторяю - у меня в сеть расшарен только порт 5060 и только для IP провайдеров. Нету способа такую защиту обойти.
а разве нет SSH чтоб по удаленке его контролировать? а разве если сломают ваших партнеров по VoIP траффику, то от ихнего IP тоже никак не залезтб по SSH?
может также письмецо с вирусом прийти тому кто админит этот Астериск... и дальше вирус сделает свое грязное дело.
вообщем я думаю, что есть свои угрозы. просто надо решить от каких ситуаций надо прикрыться и сделать все грамотно.
Если у вас уже все на 100%(как вам кажется) все закрыто, то я только порадуюсь за вас.
Аналогично - в сторону SIP провайдера серый IP (провайдер Ростелеком). В клиентскую сторону реальный IP, до которого весь трафик фильтруется отовсюду, кроме 100% проверенной подсети и внутренней сети компании и кроме ICMP. SSH и падавно только для двух разрешенных хостов на нестандартный порт.
Кроме того в dial plan набор международного номера не предусмотрен в принципе. Такой звонок просто не пройдет. Чтобы его совершить, нужно знать "ритуальный танец с бубнами".
Ну и ежедневный просмотр логов, конечно. Но это уже паранойя.
Reply
Reply
Reply
Reply
У Астериска есть уязвимости на нескольких уровнях, через которые можно получить к нему доступ.
Получив к нему доступ делаем следующее:
1) в extensions_custom.conf включаем до-файл где прописываем нужные маршруты на Premium номера и в других файлах прописываем транки куда надо.
2) пишем скрипты которые будут удалять из логов звонки на эти номера а также из биллинга
3) пишем скрипт которые из логов уже самого Linux-а будет удалять следы чтоб на вашей системе вообще кто либо побывал...
4) лъём на вас траффик с другого Астериска
Дьявол кроется в мелочах! - Не забывайте это.
Reply
Reply
Еще раз повторяю - у меня в сеть расшарен только порт 5060 и только для IP провайдеров.
Нету способа такую защиту обойти.
Reply
а разве если сломают ваших партнеров по VoIP траффику, то от ихнего IP тоже никак не залезтб по SSH?
может также письмецо с вирусом прийти тому кто админит этот Астериск... и дальше вирус сделает свое грязное дело.
вообщем я думаю, что есть свои угрозы. просто надо решить от каких ситуаций надо прикрыться и сделать все грамотно.
Если у вас уже все на 100%(как вам кажется) все закрыто, то я только порадуюсь за вас.
Reply
Reply
Reply
>SSH и падавно только для двух разрешенных хостов на нестандартный порт.
В принципе достаточно сложный пароль и защиту от брутфорса на firewall
Reply
Leave a comment