Перейти к публикации

Настройки безопасности


Рекомендованные сообщения

Проясните, плз, как правильно настроить телефонию с точки зрения безопасности.

 

как понимаю есть список серверов https://ss.zadarma.com/mysip/, с которых можно (и нужно для прохождения входящих) разрешать доступ на порт 5060.

Но для АТС этого списка (по крайней мере для меня) оказалось недостаточно - пришлось добавить pbx.zadarma.com.

 

у "обычных" аккаунтов есть возвожность привязки к ИП адресу, а у АТС-ных? Только ограничение на звонки наружу?

 

Заодно подскажите, м.б. имеет смысл прописать в устройствах, поддерживающих указание резервного sip сервера, его адрес?

Ссылка на комментарий

Для АТС не нужно разрешать весь этот список, достаточно разрешить только PBX, либо ats (если вы на другом сервере АТС).

 

Ограничение по ip адресам пока в АТС нет т.к. в нем может использоваться много разных адресов, но в будущем добавим.

 

Для "хитрого" ограничения звонков наружу можете указать свой префикс для исходящих звонков (например все звонки в мир только через 222).

Ссылка на комментарий

А в чём вообще смысл "ограничения по IP"?

 

Я же не знаю, какой IP будет у моего SIP-клиента в зимбабве. Как тогда им пользоваться?

Для вас нет.

А если телефоны (стационарные SIP) используются в офисе или в определенных местах? А если это сотрудники, которым нужно пароль передавать открытым путем? Или это сотрудники, и нет желания давать доступ к телефонии ниоткуда, кроме офиса, но пароль выдать нужно?

Причин миллион и маленькая тележка.

 

ЗЫ: Но есть "вариант" и для вас. Если Вы используете VPN и всегда подключаетесь к "офисным" услугам через него, то ограничение по IP тоже может быть полезным.

Изменено пользователем Clevelus
Ссылка на комментарий

Для АТС не нужно разрешать весь этот список, достаточно разрешить только PBX, либо ats (если вы на другом сервере АТС).

у меня прописан pbx, а ats это альтернативный сервер? его можно указать как резервный?

 

Ограничение по ip адресам пока в АТС нет т.к. в нем может использоваться много разных адресов, но в будущем добавим.

почему такие отличия, пользователям АТС подстраховка на случай кражи пароля не нужна?
Ссылка на комментарий

все таки хотелось бы услышать ответ/совет -

1.как бороться с кражей/сниффингом/подбором паролей?

2.имеет смысл прописать в устройствах, поддерживающих указание резервного sip сервера, его адрес. И какой?

Ссылка на комментарий

1. со своей стороны мы боремся с попытками подбора паролей и рядом других популярных атак, успешных подборов клиентских паролей ни разу замечено не было. Остается бороться только с клиентской стороны.

2. для АТС нет. В АТС имеются внутренние настройки и маршруты которые не перейдут между серверами. Для работы без АТС достаточно включить DNS SRV для резервирования.

Ссылка на комментарий

1. со своей стороны мы боремся с попытками подбора паролей и рядом других популярных атак, успешных подборов клиентских паролей ни разу замечено не было. Остается бороться только с клиентской стороны.

2. для АТС нет. В АТС имеются внутренние настройки и маршруты которые не перейдут между серверами. Для работы без АТС достаточно включить DNS SRV для резервирования.

так какой бестпрактиш для клиентов???

1. не коннектится с фришных вайфаев, где велика вероятность сниффинга, к аккаунтам, где много на счету

2. ...

3. ...

.

Ссылка на комментарий

насколько опасно иметь открытый 5060, проброшенный на телефон?

Зависит от телефона.

Эксперименты показывают, что хакеры находят открытый порт SIP за 1 неделю - пару месяцев. После чего начинают "ломать".

 

Узнайте в поддержке Задарма их IP адреса, и открывайте порт только для этих адресов.

 

Замечание: нет необходимости для телефона держать порт принудительно открытым. Связь устанавливает сам телефон и он сам может ее поддерживать, а маршрутизаторы это "понимают".

Ссылка на комментарий

Зависит от телефона.

Эксперименты показывают, что хакеры находят открытый порт SIP за 1 неделю - пару месяцев. После чего начинают "ломать".

 

Узнайте в поддержке Задарма их IP адреса, и открывайте порт только для этих адресов.

 

Замечание: нет необходимости для телефона держать порт принудительно открытым. Связь устанавливает сам телефон и он сам может ее поддерживать, а маршрутизаторы это "понимают".

к сожалению, моему нужен прямой проброс порта.

доступ я оставил открытым тлько со списка на сайте + pbx для АТС. Есть еще сервер ats.zadarma, он нужен?

 

и, в теории, можно ли сломать клиентское устройство (не астериск)?

Ссылка на комментарий

к сожалению, моему нужен прямой проброс порта.

доступ я оставил открытым тлько со списка на сайте + pbx для АТС. Есть еще сервер ats.zadarma, он нужен?

Если подключаетесь к SIP, то актуальный список IP можно узнать в поддержке (он есть и в личном кабинете, но в поддержке актуальнее)

 

Если подключаетесь к АТС, то Вам уже ответили. Нужен только PBX, но на всякий случай нужен и ATS, так как туда могут перекинуть внезапно.

 

и, в теории, можно ли сломать клиентское устройство (не астериск)?

Легко. Особенно если не следить за новыми прошивками устройства и не обновлять его сразу же, после выхода новой прошивки.
Ссылка на комментарий

Узнайте в поддержке Задарма их IP адреса, и открывайте порт только для этих адресов.

Список серверов есть в личном кабинете, если работать с атс он не нужен, достаточно АТС и все.

 

доступ я оставил открытым тлько со списка на сайте + pbx для АТС. Есть еще сервер ats.zadarma, он нужен?

Нужен либо один либо другой. Два одновременно не нужно. В скором будущем будет единый IP адрес и для pbx и для ats, информация об этом будет в новостях.

 

и, в теории, можно ли сломать клиентское устройство (не астериск)?

Конечно. Кривая прошивка, простой пароль, пароль веб админки, гостевой вход (если расширенные функции).
Ссылка на комментарий

Легко. Особенно если не следить за новыми прошивками устройства и не обновлять его сразу же, после выхода новой прошивки.

Конечно. Кривая прошивка, простой пароль, пароль веб админки, гостевой вход (если расширенные функции).

имеется ввиду, что снаружи открыт только 5060 и устройство только инициирует соединение, а не принимает его.

 

Список серверов есть в личном кабинете, если работать с атс он не нужен, достаточно АТС и все.

 

Нужен либо один либо другой. Два одновременно не нужно. В скором будущем будет единый IP адрес и для pbx и для ats, информация об этом будет в новостях.

а почему его (ats) не забить в резевный? Изменено пользователем p2self
Ссылка на комментарий

имеется ввиду, что снаружи открыт только 5060 и устройство только инициирует соединение, а не принимает его.

Если вы сами разрабатывали прошивку, и гарантируете, что устройство нельзя взломать по этому порту - то можете ничего не предпринимать. По факту же есть много различных видов атак и способов взлома. Да и вообще, обнаружив по этому адресу открытый порт 5060 будут ломать все, что на этом адресе, чтобы добраться до денег на аккаунте.

 

а почему его (ats) не забить в резевный?

Если есть такая возможность - забейте. Перенос с pbx на ats должен быть с предупреждением, но всякое бывает. Если добавить и этот адрес - хуже не будет, он все равно принадлежит Задарма. Если возможности нет, то сильно переживать не стоит.
Ссылка на комментарий

а почему его (ats) не забить в резевный?

Потому что НЕ будет работать.

 

имеется ввиду, что снаружи открыт только 5060 и устройство только инициирует соединение, а не принимает его.

Если нужны исходящие и простые входящие соединения то наружу не надо выставлять ничего. Работаете через NAT и не мучайтесь (и в нат не надо только ничего хитрого настраивать, больше шансов глюки получить).
Ссылка на комментарий

Потому что НЕ будет работать.

жаль, но что поделаешь

 

Если нужны исходящие и простые входящие соединения то наружу не надо выставлять ничего. Работаете через NAT и не мучайтесь (и в нат не надо только ничего хитрого настраивать, больше шансов глюки получить).

к сожалению мой старый телефон не хочет работать без проброса на него 5060 на роутере

 

еще вопрос, как понимаю, пароль к вам идет открытым текстом? нет планов по переходу на шифрованное соединение хотя бы для СИПа (в идеале и голоса)?

Ссылка на комментарий

Если вы сами разрабатывали прошивку, и гарантируете, что устройство нельзя взломать по этому порту - то можете ничего не предпринимать. По факту же есть много различных видов атак и способов взлома. Да и вообще, обнаружив по этому адресу открытый порт 5060 будут ломать все, что на этом адресе, чтобы добраться до денег на аккаунте.

я спросил, думая, что м.б. вы сталкивались с !реальными! примерами, т.к столкнулся с кражей пароля (у др. оператора).

Сам я не могу придумать ничего, кроме сниффинга. Но м.б. есть способ заставить клиентское ус-во коннектится (->посылать пароль) к серверу хакера?

Ссылка на комментарий

>>успешных подборов клиентских паролей ни разу замечено не было<<

Было. Мы просели тысяч на 40 рублей, в прошлом году. Городская линия подключена к сип-роутеру, взломщики вышли на межгород и звонили по африканским и арабским странам с городского телефона. Позвонила служба безопасности ростелекома, после чего мы закрыли выход на межгород с этой линии.

Ссылка на комментарий

>>успешных подборов клиентских паролей ни разу замечено не было

Было.

Я писал про успешный подбор паролей на сервере Zadarma. На сервере стоит несколько уровней систем защиты и естественно он не дает подбирать пароли.

И конечно если вы выставили в мир роутер то на самом роутере пароль могли подобрать, или прошивку сломать, о чем выше и пишем. Были массовые случаи с роутерами популярной фирмы d-...k (угадайте сами :) ) в их прошивке была дырка и через их городсую линию названивали регулярно.

И такие случаи не единичны, потому читайте все рекомендации по безопасности выше.

Ссылка на комментарий

Я бы не стал делать упор на d...k, просто чем больше железок у фирмы, и чем они дешевле, тем больше их ломают. А если цель сломать, то все равно сломают. Плата за популярность.

Ломали даже L...s (который от C...o), но там довольно оперативно патчи выходят, в случае проблем. Но и стоят они подороже, в связи с чем менее массовые, да и пользователи пограмотнее ...

Ссылка на комментарий

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас
×
×
  • Создать...