Возможно, кому-то данная информация поможет сохранить деньги и нервы…
------------------------------------------
В последние месяцы участились случаи взломов корпоративных VoIP систем, работающих по SIP протоколу. Сумма нанесенных убытков в ряде случаев достигает $2000 и более.
По всей видимости, работает группа злоумышленников использующих SIP сканер для определения корпоративных IP-АТС. Данный SIP сканер идентифицирует себя как User-Agent: friendly-scanner. Сканирование производится с различных IP-адресов, преимущественно европейских. После того, как IP-АТС вычислена, осуществляется подбор логина и пароля по словарю. Пробуются различные комбинации, например: admin admin, voip voip, asterisk asterisk и т.п. После того как логин и пароль удалось подобрать, злоумышленники пробуют осуществлять звонки с различными префиксами и без него. Если система пропускает через себя звонки, то на адрес корпоративной IP-АТС направляется VoIP трафик на дорогие направления, такие как Сомали, Лихтенштейн мобильные, Куба и т.п. Несанкционированное использование IP-АТС обычно осуществляется ночью или в выходные дни.
Методы защиты
1. Проведите ревизию всех логинов и паролей имеющихся на вашей IP-АТС. Лучше всего если логин и пароль состоит не менее чем из восьми знаков, и в них содержатся цифры и буквы. Также следует обратить внимание, что на старых версиях Asterisk есть служебный логин и пароль (asterisk, asterisk), который тоже может быть использован для получения несанкционированного доступа.
2. Поскольку хакерские атаки, как правило, осуществляются в выходные дни или ночью, имеет смысл настроить корпоративную IP-АТС таким образом, чтобы она была доступна только в рабочее время.
3. В связи с тем, что злоумышленники осуществляют звонки по дорогим и экзотическим направлениям, имеет смысл заблокировать направления, по которым ваши сотрудники наверняка звонить не будут.
4. Позаботится о том, чтобы логины и пароли, используемые в корпоративной IP-АТС не стали доступны ненадежным сотрудникам или посторонним лицам.
5. Если IP-АТС используется только для звонков абонентов, находящихся во внутренней сети предприятия, то имеет смысл заблокировать возможность входящих звонков из Интернета на корпоративную IP-АТС.
Создать в asterisk пользователя (можно даже не одного) с легко подбираемым логином и паролем из словаря и определить для него отдельный контекст, в котором любые вызовы на любые sip-id соединять на некий локальный автоответчик реализованный на том же asterisk.
Т.е. сделать ловушку для любителей звонить за чужой счёт.
Скан аккаунтов и подбор пароля создаёт много запросов (флуд) что нагружает сервер с asterisk. В linux (и специальных дистрибутивах на базе linux, типа trixbox) это можно заблокировать файрволом iptables с модулем recent:
iptables -A INPUT -p udp --dport 5060 -m recent --name sip --set
iptables -A INPUT -p udp --dport 5060 -m recent --name sip --rcheck --seconds 30 --hitcount 30 -j DROP
seconds и hitcount подкрутить по вкусу, так чтобы оно не банило нормальные соединения, но при этом надёжно затыкало флуд.
Следующая тема Предыдущая тема
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете голосовать в опросах
Правовая информация: Содержание этого сайта не проверено компанией Skype. Наименование Skype, Skype логотип, "S" логотип и связанные с ними знаки и логотипы принадлежат компании Skype Limited
Disclaimer: The content of this site has not been verified by Skype. Skype, the Skype logo, the “s” logo and associated marks and logos belong to Skype Limited
При полной или частичной перепечатке текстовых материалов в Интернете гиперссылка на www.skypeclub.ruобязательна.