Jump to content

Настройки безопасности


Recommended Posts

Проясните, плз, как правильно настроить телефонию с точки зрения безопасности.

 

как понимаю есть список серверов https://ss.zadarma.com/mysip/, с которых можно (и нужно для прохождения входящих) разрешать доступ на порт 5060.

Но для АТС этого списка (по крайней мере для меня) оказалось недостаточно - пришлось добавить pbx.zadarma.com.

 

у "обычных" аккаунтов есть возвожность привязки к ИП адресу, а у АТС-ных? Только ограничение на звонки наружу?

 

Заодно подскажите, м.б. имеет смысл прописать в устройствах, поддерживающих указание резервного sip сервера, его адрес?

Link to comment

Для АТС не нужно разрешать весь этот список, достаточно разрешить только PBX, либо ats (если вы на другом сервере АТС).

 

Ограничение по ip адресам пока в АТС нет т.к. в нем может использоваться много разных адресов, но в будущем добавим.

 

Для "хитрого" ограничения звонков наружу можете указать свой префикс для исходящих звонков (например все звонки в мир только через 222).

Link to comment

А в чём вообще смысл "ограничения по IP"?

 

Я же не знаю, какой IP будет у моего SIP-клиента в зимбабве. Как тогда им пользоваться?

Link to comment

А в чём вообще смысл "ограничения по IP"?

 

Я же не знаю, какой IP будет у моего SIP-клиента в зимбабве. Как тогда им пользоваться?

Для вас нет.

А если телефоны (стационарные SIP) используются в офисе или в определенных местах? А если это сотрудники, которым нужно пароль передавать открытым путем? Или это сотрудники, и нет желания давать доступ к телефонии ниоткуда, кроме офиса, но пароль выдать нужно?

Причин миллион и маленькая тележка.

 

ЗЫ: Но есть "вариант" и для вас. Если Вы используете VPN и всегда подключаетесь к "офисным" услугам через него, то ограничение по IP тоже может быть полезным.

Edited by Clevelus
Link to comment

Для АТС не нужно разрешать весь этот список, достаточно разрешить только PBX, либо ats (если вы на другом сервере АТС).

у меня прописан pbx, а ats это альтернативный сервер? его можно указать как резервный?

 

Ограничение по ip адресам пока в АТС нет т.к. в нем может использоваться много разных адресов, но в будущем добавим.

почему такие отличия, пользователям АТС подстраховка на случай кражи пароля не нужна?
Link to comment

все таки хотелось бы услышать ответ/совет -

1.как бороться с кражей/сниффингом/подбором паролей?

2.имеет смысл прописать в устройствах, поддерживающих указание резервного sip сервера, его адрес. И какой?

Link to comment

1. со своей стороны мы боремся с попытками подбора паролей и рядом других популярных атак, успешных подборов клиентских паролей ни разу замечено не было. Остается бороться только с клиентской стороны.

2. для АТС нет. В АТС имеются внутренние настройки и маршруты которые не перейдут между серверами. Для работы без АТС достаточно включить DNS SRV для резервирования.

Link to comment

1. со своей стороны мы боремся с попытками подбора паролей и рядом других популярных атак, успешных подборов клиентских паролей ни разу замечено не было. Остается бороться только с клиентской стороны.

2. для АТС нет. В АТС имеются внутренние настройки и маршруты которые не перейдут между серверами. Для работы без АТС достаточно включить DNS SRV для резервирования.

так какой бестпрактиш для клиентов???

1. не коннектится с фришных вайфаев, где велика вероятность сниффинга, к аккаунтам, где много на счету

2. ...

3. ...

.

Link to comment

не коннектится с фришных вайфаев, где велика вероятность сниффинга, к аккаунтам, где много на счету

Используйте VPN везде, это наиболее безопасно.
Link to comment

насколько опасно иметь открытый 5060, проброшенный на телефон?

Зависит от телефона.

Эксперименты показывают, что хакеры находят открытый порт SIP за 1 неделю - пару месяцев. После чего начинают "ломать".

 

Узнайте в поддержке Задарма их IP адреса, и открывайте порт только для этих адресов.

 

Замечание: нет необходимости для телефона держать порт принудительно открытым. Связь устанавливает сам телефон и он сам может ее поддерживать, а маршрутизаторы это "понимают".

Link to comment

Зависит от телефона.

Эксперименты показывают, что хакеры находят открытый порт SIP за 1 неделю - пару месяцев. После чего начинают "ломать".

 

Узнайте в поддержке Задарма их IP адреса, и открывайте порт только для этих адресов.

 

Замечание: нет необходимости для телефона держать порт принудительно открытым. Связь устанавливает сам телефон и он сам может ее поддерживать, а маршрутизаторы это "понимают".

к сожалению, моему нужен прямой проброс порта.

доступ я оставил открытым тлько со списка на сайте + pbx для АТС. Есть еще сервер ats.zadarma, он нужен?

 

и, в теории, можно ли сломать клиентское устройство (не астериск)?

Link to comment

к сожалению, моему нужен прямой проброс порта.

доступ я оставил открытым тлько со списка на сайте + pbx для АТС. Есть еще сервер ats.zadarma, он нужен?

Если подключаетесь к SIP, то актуальный список IP можно узнать в поддержке (он есть и в личном кабинете, но в поддержке актуальнее)

 

Если подключаетесь к АТС, то Вам уже ответили. Нужен только PBX, но на всякий случай нужен и ATS, так как туда могут перекинуть внезапно.

 

и, в теории, можно ли сломать клиентское устройство (не астериск)?

Легко. Особенно если не следить за новыми прошивками устройства и не обновлять его сразу же, после выхода новой прошивки.
Link to comment

Узнайте в поддержке Задарма их IP адреса, и открывайте порт только для этих адресов.

Список серверов есть в личном кабинете, если работать с атс он не нужен, достаточно АТС и все.

 

доступ я оставил открытым тлько со списка на сайте + pbx для АТС. Есть еще сервер ats.zadarma, он нужен?

Нужен либо один либо другой. Два одновременно не нужно. В скором будущем будет единый IP адрес и для pbx и для ats, информация об этом будет в новостях.

 

и, в теории, можно ли сломать клиентское устройство (не астериск)?

Конечно. Кривая прошивка, простой пароль, пароль веб админки, гостевой вход (если расширенные функции).
Link to comment

Легко. Особенно если не следить за новыми прошивками устройства и не обновлять его сразу же, после выхода новой прошивки.

Конечно. Кривая прошивка, простой пароль, пароль веб админки, гостевой вход (если расширенные функции).

имеется ввиду, что снаружи открыт только 5060 и устройство только инициирует соединение, а не принимает его.

 

Список серверов есть в личном кабинете, если работать с атс он не нужен, достаточно АТС и все.

 

Нужен либо один либо другой. Два одновременно не нужно. В скором будущем будет единый IP адрес и для pbx и для ats, информация об этом будет в новостях.

а почему его (ats) не забить в резевный? Edited by p2self
Link to comment

имеется ввиду, что снаружи открыт только 5060 и устройство только инициирует соединение, а не принимает его.

Если вы сами разрабатывали прошивку, и гарантируете, что устройство нельзя взломать по этому порту - то можете ничего не предпринимать. По факту же есть много различных видов атак и способов взлома. Да и вообще, обнаружив по этому адресу открытый порт 5060 будут ломать все, что на этом адресе, чтобы добраться до денег на аккаунте.

 

а почему его (ats) не забить в резевный?

Если есть такая возможность - забейте. Перенос с pbx на ats должен быть с предупреждением, но всякое бывает. Если добавить и этот адрес - хуже не будет, он все равно принадлежит Задарма. Если возможности нет, то сильно переживать не стоит.
Link to comment

а почему его (ats) не забить в резевный?

Потому что НЕ будет работать.

 

имеется ввиду, что снаружи открыт только 5060 и устройство только инициирует соединение, а не принимает его.

Если нужны исходящие и простые входящие соединения то наружу не надо выставлять ничего. Работаете через NAT и не мучайтесь (и в нат не надо только ничего хитрого настраивать, больше шансов глюки получить).
Link to comment

Потому что НЕ будет работать.

жаль, но что поделаешь

 

Если нужны исходящие и простые входящие соединения то наружу не надо выставлять ничего. Работаете через NAT и не мучайтесь (и в нат не надо только ничего хитрого настраивать, больше шансов глюки получить).

к сожалению мой старый телефон не хочет работать без проброса на него 5060 на роутере

 

еще вопрос, как понимаю, пароль к вам идет открытым текстом? нет планов по переходу на шифрованное соединение хотя бы для СИПа (в идеале и голоса)?

Link to comment

Если вы сами разрабатывали прошивку, и гарантируете, что устройство нельзя взломать по этому порту - то можете ничего не предпринимать. По факту же есть много различных видов атак и способов взлома. Да и вообще, обнаружив по этому адресу открытый порт 5060 будут ломать все, что на этом адресе, чтобы добраться до денег на аккаунте.

я спросил, думая, что м.б. вы сталкивались с !реальными! примерами, т.к столкнулся с кражей пароля (у др. оператора).

Сам я не могу придумать ничего, кроме сниффинга. Но м.б. есть способ заставить клиентское ус-во коннектится (->посылать пароль) к серверу хакера?

Link to comment

>>успешных подборов клиентских паролей ни разу замечено не было<<

Было. Мы просели тысяч на 40 рублей, в прошлом году. Городская линия подключена к сип-роутеру, взломщики вышли на межгород и звонили по африканским и арабским странам с городского телефона. Позвонила служба безопасности ростелекома, после чего мы закрыли выход на межгород с этой линии.

Link to comment

>>успешных подборов клиентских паролей ни разу замечено не было

Было.

Я писал про успешный подбор паролей на сервере Zadarma. На сервере стоит несколько уровней систем защиты и естественно он не дает подбирать пароли.

И конечно если вы выставили в мир роутер то на самом роутере пароль могли подобрать, или прошивку сломать, о чем выше и пишем. Были массовые случаи с роутерами популярной фирмы d-...k (угадайте сами :) ) в их прошивке была дырка и через их городсую линию названивали регулярно.

И такие случаи не единичны, потому читайте все рекомендации по безопасности выше.

Link to comment

Я бы не стал делать упор на d...k, просто чем больше железок у фирмы, и чем они дешевле, тем больше их ломают. А если цель сломать, то все равно сломают. Плата за популярность.

Ломали даже L...s (который от C...o), но там довольно оперативно патчи выходят, в случае проблем. Но и стоят они подороже, в связи с чем менее массовые, да и пользователи пограмотнее ...

Link to comment

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Create New...