Перейти к публикации
p2self

Настройки безопасности

Рекомендованные сообщения

Проясните, плз, как правильно настроить телефонию с точки зрения безопасности.

 

как понимаю есть список серверов https://ss.zadarma.com/mysip/, с которых можно (и нужно для прохождения входящих) разрешать доступ на порт 5060.

Но для АТС этого списка (по крайней мере для меня) оказалось недостаточно - пришлось добавить pbx.zadarma.com.

 

у "обычных" аккаунтов есть возвожность привязки к ИП адресу, а у АТС-ных? Только ограничение на звонки наружу?

 

Заодно подскажите, м.б. имеет смысл прописать в устройствах, поддерживающих указание резервного sip сервера, его адрес?

Поделиться сообщением


Ссылка на сообщение

Для АТС не нужно разрешать весь этот список, достаточно разрешить только PBX, либо ats (если вы на другом сервере АТС).

 

Ограничение по ip адресам пока в АТС нет т.к. в нем может использоваться много разных адресов, но в будущем добавим.

 

Для "хитрого" ограничения звонков наружу можете указать свой префикс для исходящих звонков (например все звонки в мир только через 222).

Поделиться сообщением


Ссылка на сообщение

А в чём вообще смысл "ограничения по IP"?

 

Я же не знаю, какой IP будет у моего SIP-клиента в зимбабве. Как тогда им пользоваться?

Поделиться сообщением


Ссылка на сообщение

А в чём вообще смысл "ограничения по IP"?

 

Я же не знаю, какой IP будет у моего SIP-клиента в зимбабве. Как тогда им пользоваться?

Для вас нет.

А если телефоны (стационарные SIP) используются в офисе или в определенных местах? А если это сотрудники, которым нужно пароль передавать открытым путем? Или это сотрудники, и нет желания давать доступ к телефонии ниоткуда, кроме офиса, но пароль выдать нужно?

Причин миллион и маленькая тележка.

 

ЗЫ: Но есть "вариант" и для вас. Если Вы используете VPN и всегда подключаетесь к "офисным" услугам через него, то ограничение по IP тоже может быть полезным.

Изменено пользователем Clevelus

Поделиться сообщением


Ссылка на сообщение

Для АТС не нужно разрешать весь этот список, достаточно разрешить только PBX, либо ats (если вы на другом сервере АТС).

у меня прописан pbx, а ats это альтернативный сервер? его можно указать как резервный?

 

Ограничение по ip адресам пока в АТС нет т.к. в нем может использоваться много разных адресов, но в будущем добавим.

почему такие отличия, пользователям АТС подстраховка на случай кражи пароля не нужна?

Поделиться сообщением


Ссылка на сообщение

все таки хотелось бы услышать ответ/совет -

1.как бороться с кражей/сниффингом/подбором паролей?

2.имеет смысл прописать в устройствах, поддерживающих указание резервного sip сервера, его адрес. И какой?

Поделиться сообщением


Ссылка на сообщение

1. со своей стороны мы боремся с попытками подбора паролей и рядом других популярных атак, успешных подборов клиентских паролей ни разу замечено не было. Остается бороться только с клиентской стороны.

2. для АТС нет. В АТС имеются внутренние настройки и маршруты которые не перейдут между серверами. Для работы без АТС достаточно включить DNS SRV для резервирования.

Поделиться сообщением


Ссылка на сообщение

1. со своей стороны мы боремся с попытками подбора паролей и рядом других популярных атак, успешных подборов клиентских паролей ни разу замечено не было. Остается бороться только с клиентской стороны.

2. для АТС нет. В АТС имеются внутренние настройки и маршруты которые не перейдут между серверами. Для работы без АТС достаточно включить DNS SRV для резервирования.

так какой бестпрактиш для клиентов???

1. не коннектится с фришных вайфаев, где велика вероятность сниффинга, к аккаунтам, где много на счету

2. ...

3. ...

.

Поделиться сообщением


Ссылка на сообщение

не коннектится с фришных вайфаев, где велика вероятность сниффинга, к аккаунтам, где много на счету

Используйте VPN везде, это наиболее безопасно.

Поделиться сообщением


Ссылка на сообщение

насколько опасно иметь открытый 5060, проброшенный на телефон?

Поделиться сообщением


Ссылка на сообщение

насколько опасно иметь открытый 5060, проброшенный на телефон?

Зависит от телефона.

Эксперименты показывают, что хакеры находят открытый порт SIP за 1 неделю - пару месяцев. После чего начинают "ломать".

 

Узнайте в поддержке Задарма их IP адреса, и открывайте порт только для этих адресов.

 

Замечание: нет необходимости для телефона держать порт принудительно открытым. Связь устанавливает сам телефон и он сам может ее поддерживать, а маршрутизаторы это "понимают".

Поделиться сообщением


Ссылка на сообщение

Зависит от телефона.

Эксперименты показывают, что хакеры находят открытый порт SIP за 1 неделю - пару месяцев. После чего начинают "ломать".

 

Узнайте в поддержке Задарма их IP адреса, и открывайте порт только для этих адресов.

 

Замечание: нет необходимости для телефона держать порт принудительно открытым. Связь устанавливает сам телефон и он сам может ее поддерживать, а маршрутизаторы это "понимают".

к сожалению, моему нужен прямой проброс порта.

доступ я оставил открытым тлько со списка на сайте + pbx для АТС. Есть еще сервер ats.zadarma, он нужен?

 

и, в теории, можно ли сломать клиентское устройство (не астериск)?

Поделиться сообщением


Ссылка на сообщение

к сожалению, моему нужен прямой проброс порта.

доступ я оставил открытым тлько со списка на сайте + pbx для АТС. Есть еще сервер ats.zadarma, он нужен?

Если подключаетесь к SIP, то актуальный список IP можно узнать в поддержке (он есть и в личном кабинете, но в поддержке актуальнее)

 

Если подключаетесь к АТС, то Вам уже ответили. Нужен только PBX, но на всякий случай нужен и ATS, так как туда могут перекинуть внезапно.

 

и, в теории, можно ли сломать клиентское устройство (не астериск)?

Легко. Особенно если не следить за новыми прошивками устройства и не обновлять его сразу же, после выхода новой прошивки.

Поделиться сообщением


Ссылка на сообщение

Узнайте в поддержке Задарма их IP адреса, и открывайте порт только для этих адресов.

Список серверов есть в личном кабинете, если работать с атс он не нужен, достаточно АТС и все.

 

доступ я оставил открытым тлько со списка на сайте + pbx для АТС. Есть еще сервер ats.zadarma, он нужен?

Нужен либо один либо другой. Два одновременно не нужно. В скором будущем будет единый IP адрес и для pbx и для ats, информация об этом будет в новостях.

 

и, в теории, можно ли сломать клиентское устройство (не астериск)?

Конечно. Кривая прошивка, простой пароль, пароль веб админки, гостевой вход (если расширенные функции).

Поделиться сообщением


Ссылка на сообщение

Легко. Особенно если не следить за новыми прошивками устройства и не обновлять его сразу же, после выхода новой прошивки.

Конечно. Кривая прошивка, простой пароль, пароль веб админки, гостевой вход (если расширенные функции).

имеется ввиду, что снаружи открыт только 5060 и устройство только инициирует соединение, а не принимает его.

 

Список серверов есть в личном кабинете, если работать с атс он не нужен, достаточно АТС и все.

 

Нужен либо один либо другой. Два одновременно не нужно. В скором будущем будет единый IP адрес и для pbx и для ats, информация об этом будет в новостях.

а почему его (ats) не забить в резевный? Изменено пользователем p2self

Поделиться сообщением


Ссылка на сообщение

имеется ввиду, что снаружи открыт только 5060 и устройство только инициирует соединение, а не принимает его.

Если вы сами разрабатывали прошивку, и гарантируете, что устройство нельзя взломать по этому порту - то можете ничего не предпринимать. По факту же есть много различных видов атак и способов взлома. Да и вообще, обнаружив по этому адресу открытый порт 5060 будут ломать все, что на этом адресе, чтобы добраться до денег на аккаунте.

 

а почему его (ats) не забить в резевный?

Если есть такая возможность - забейте. Перенос с pbx на ats должен быть с предупреждением, но всякое бывает. Если добавить и этот адрес - хуже не будет, он все равно принадлежит Задарма. Если возможности нет, то сильно переживать не стоит.

Поделиться сообщением


Ссылка на сообщение

а почему его (ats) не забить в резевный?

Потому что НЕ будет работать.

 

имеется ввиду, что снаружи открыт только 5060 и устройство только инициирует соединение, а не принимает его.

Если нужны исходящие и простые входящие соединения то наружу не надо выставлять ничего. Работаете через NAT и не мучайтесь (и в нат не надо только ничего хитрого настраивать, больше шансов глюки получить).

Поделиться сообщением


Ссылка на сообщение

Потому что НЕ будет работать.

жаль, но что поделаешь

 

Если нужны исходящие и простые входящие соединения то наружу не надо выставлять ничего. Работаете через NAT и не мучайтесь (и в нат не надо только ничего хитрого настраивать, больше шансов глюки получить).

к сожалению мой старый телефон не хочет работать без проброса на него 5060 на роутере

 

еще вопрос, как понимаю, пароль к вам идет открытым текстом? нет планов по переходу на шифрованное соединение хотя бы для СИПа (в идеале и голоса)?

Поделиться сообщением


Ссылка на сообщение

Если вы сами разрабатывали прошивку, и гарантируете, что устройство нельзя взломать по этому порту - то можете ничего не предпринимать. По факту же есть много различных видов атак и способов взлома. Да и вообще, обнаружив по этому адресу открытый порт 5060 будут ломать все, что на этом адресе, чтобы добраться до денег на аккаунте.

я спросил, думая, что м.б. вы сталкивались с !реальными! примерами, т.к столкнулся с кражей пароля (у др. оператора).

Сам я не могу придумать ничего, кроме сниффинга. Но м.б. есть способ заставить клиентское ус-во коннектится (->посылать пароль) к серверу хакера?

Поделиться сообщением


Ссылка на сообщение

>>успешных подборов клиентских паролей ни разу замечено не было<<

Было. Мы просели тысяч на 40 рублей, в прошлом году. Городская линия подключена к сип-роутеру, взломщики вышли на межгород и звонили по африканским и арабским странам с городского телефона. Позвонила служба безопасности ростелекома, после чего мы закрыли выход на межгород с этой линии.

Поделиться сообщением


Ссылка на сообщение

>>успешных подборов клиентских паролей ни разу замечено не было

Было.

Я писал про успешный подбор паролей на сервере Zadarma. На сервере стоит несколько уровней систем защиты и естественно он не дает подбирать пароли.

И конечно если вы выставили в мир роутер то на самом роутере пароль могли подобрать, или прошивку сломать, о чем выше и пишем. Были массовые случаи с роутерами популярной фирмы d-...k (угадайте сами :) ) в их прошивке была дырка и через их городсую линию названивали регулярно.

И такие случаи не единичны, потому читайте все рекомендации по безопасности выше.

Поделиться сообщением


Ссылка на сообщение

Я бы не стал делать упор на d...k, просто чем больше железок у фирмы, и чем они дешевле, тем больше их ломают. А если цель сломать, то все равно сломают. Плата за популярность.

Ломали даже L...s (который от C...o), но там довольно оперативно патчи выходят, в случае проблем. Но и стоят они подороже, в связи с чем менее массовые, да и пользователи пограмотнее ...

Поделиться сообщением


Ссылка на сообщение

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас

×
×
  • Создать...