salut, ca sa nu-ti mai raspunda la invite-uri oricine poti seta in sip.conf:
allowguest=no https://www.voip-info.org/wiki/view/Asterisk+security 2017-12-12 10:26 GMT+02:00 Mihai Badici <[email protected]>: > > > On 12/12/2017 10:07 AM, [email protected] wrote: > > On December 12, 2017 8:18:29 AM GMT+02:00, Mihai Badici > > <[email protected]> wrote: > > >Salut, > > > > > >Am pus undeva un Asterisk cu freePBX şi am conectat la ea un telefon de > > >la mine de acasă ( nu mai aveam telefon fix de 10 ani! :) ) > > > > > >Din când în când, amicii care scanează fără încetare reuşesc să facă să > > >sune telefonul aiurea. > > > > > >M-am tot uitat la log-uri şi cel puţin impresia mea e că se întâmplă > > >aşa: atacatorul trimite invite-uri la întâmplare, telefonul meu > > >răspunde > > >cu IP-ul după care deschide o sesiune directă pe IP-ul de acasă. Deci > > >una din variantele pe care le pot aplica este ca acasă să blochez din > > >firewall pachetele care nu vin de la PABX-ul meu. > > Corect. Fa-o. Vezi daca vers de firmware pe care o ai pe tel e recenta > > si daca ai in ea posibilitatea de a face tunele (Openvpn).. Daca ai, > > configureaza-l astfel incit sa nu mai fie expus pe net direct si sa se > > lege la PBX prin vpn. > > Eu am de aproape 6 ani un freePBX cu citeva sute de tel Yealink pt > > colegi si citeva polycom pt conferinte. Regulile pe care le-am aplicat > > sint: > > > > Regula nr 1: nu lasa deschis accesul spre PBX decit catre cine chiar > > are voie sa il acceseze. Daca poti sa ii pui in fata si un snort, do it > > Regula nr 2: nu lasa telefoanele sa comunice decit cu centrala ta > > Regula nr 3: pt telefoanele din sedii cu care nu exista deja tunele > > site-2-site, telefonul are tunel Openvpn cu freePBX direct din telefon. > > Da, o să fac asta, dar problema pe care o am este că ( poate nu înţeleg > eu mecanismul) nu mi se pare ok ca scanner-ul să poată trimite INVITE-ul > direct, fără să fie autentificat ( practic poate afla de la ce IP mă > conectez eu fără să fie autentificat?) > > > > Am pus eu un fail2ban acolo, > > FreePBXul meu a venit cu fail2ban inclus... dar tot am blocat din > > firewall accesul catre el. > E o instalare de debian cu freepbx instalat manual. Dar există în > fail2ban regex-uri pentru asterisk > > E fff mare pt ca baietii incearca sa gaseasca tel/centrale neprotejate > > iar apoi vorbesc ei pe banii tai. > > Cunosc cazuri :) dar situaţia de faţă mi se pare că e diferită ( pare > oarecum un efect colateral pentru că în afară de deranj nu prea are efect) > > > > > > > > _______________________________________________ > RLUG mailing list > [email protected] > http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro > _______________________________________________ RLUG mailing list [email protected] http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro
