Перейти к публикации
p2self

Риск Потери Учетных Данных Sip И Как Его Нивелировать

Рекомендованные сообщения

Как понимаю, пароль при регистрации СИП телефона шифруется по MD5, что не гарантирует его от взлома/подбора при прослушивании траффика. Хорошо что он не связан с учетной записью на сайте.

 

Для СИП номеров существует ограничение по ИП адресу, что должно помочь при утечке пароля. Как понимаю, ограничивать можно только при наличии статического адреса. К сожалению, для номеров виртуальной АТС такого нет.

 

Вопрос-предложение

1. планируется ли сделать ограничение по ИП для номеров виртуальной АТС?

2. можно ли вводить ограничение не по ИП, а по ДНС записи? Это поможет в случае динамического ИП и настройки динамического ДНС

 

Может кто подскажет еще способы увеличения безопасности.

Поделиться сообщением


Ссылка на сообщение

1. Меняйте пароль раз в месяц.

2. На самом деле это головная боль Задарма. У них очень много клиентов, так что, опыт есть.

Поделиться сообщением


Ссылка на сообщение

1. Меняйте пароль раз в месяц.

 

 

чтобы слить все деньги, думаю, хватит и нескольких часов - так что это не спасет. Думаю, что для вскрытия пароля злоумышленнику (если он сможет прослушать траффик) потребуются тоже часы, а не недели. 

 

 

2. На самом деле это головная боль Задарма. У них очень много клиентов, так что, опыт есть.

 

 чьи деньги на счету, того и головная боль, к сожалению :((

хотелось бы динамического списка доступа.

Поделиться сообщением


Ссылка на сообщение

 

Как понимаю, пароль при регистрации СИП телефона шифруется по MD5, что не гарантирует его от взлома/подбора при прослушивании траффика.

 

С точки зрения безопасности деталей описывать не планируем.

Могу только сказать что вы ошибаетесь.

Если считаете что это не так, попробуйте прослушать трафик с Zadarma и "подобрать" по нему SIP пароль.

Поделиться сообщением


Ссылка на сообщение

 

 Как понимаю, пароль при регистрации СИП телефона шифруется по MD5, что не гарантирует его от взлома/подбора при прослушивании траффика.

 С точки зрения безопасности деталей описывать не планируем.Могу только сказать что вы ошибаетесь.Если считаете что это не так, попробуйте прослушать трафик с Zadarma и "подобрать" по нему SIP пароль.
Спасибо, слегка успокоили.А на счет возможности установления ограничения доступа с динамического ип адреса не планируете?

Поделиться сообщением


Ссылка на сообщение

 

А на счет возможности установления ограничения доступа с динамического ип адреса не планируете?

 

Это как? :) "Пускать только с адреса который не знаю какой, то есть со всех." Тогда это и сейчас есть :)

Поделиться сообщением


Ссылка на сообщение

 

 А на счет возможности установления ограничения доступа с динамического ип адреса не планируете?

 Это как? :) "Пускать только с адреса который не знаю какой, то есть со всех." Тогда это и сейчас есть :)
В случае динамического ИП у клиента и настройки им динамического ДНС, а также возможности вводить ограничение в личном кабинете не по ИП, а по ДНС записи. Дополнительно, правда, придется эти списки доступа пересоздавать ( скажем раз в час) на основе текущего значения ДНС записи клиента.

Поделиться сообщением


Ссылка на сообщение

Офигеть.

Это значит так. Клиент меняет IP адрес (сам не знает когда и как часто - динамика).

Пусть время жизни NS сервера 1 час (но встречается так, что "по пути" NS сервера все равно кешируют записи на сутки, раньше встречалось и на трое суток).

То есть, максимум час, в среднем полчаса, клиент остается без связи? ))))))))))))))))))))))

Ради безопасности? )))))))

Не говоря уже о том, что нужно создавать NS сервер на стороне Задарма, который будет часто и грамотно опрашивать ...

 

Использование CNAME записей вместо А и АААА записей имеет место быть в "больших" системах. Но только для статики! Да и на EDGE все равно задаются строго IP адреса, совместно с именем. Но имя вносят по одной причине - проверка сертификатов. Все. ))))))))))))))))

 

В случае с динамикой есть только один путь - шифрование. Все. у Задарма в планах реализовать VPN, когда - как обычно не сообщают. Но подключения без авторизации с постоянного IP реализовали. Фильтрация по IP есть давно. Возможно сделают авторизацию сертификатом.

Поделиться сообщением


Ссылка на сообщение

Уровня и алгоритмов безопасности которые уже есть в протоколе SIP более чем достаточно, о чем я выше уже написал.

Если-бы хоть раз в протоколе SIP была обнаружена проблема безопасности, об этом узнали-бы наши администраторы, но подобного никогда не было.

 

Так что не нужно изобретать велосипед :)

Если хотите защититься, не показывайте в мир свои устройства/программы с SIP (если у вас не NAT то как минимум закрыть все возможные порты для всех кроме наших серверов).

В 99% случаев что мы видели, взламывают не до конца настроенное оборудование/программы у клиентов и звонят прямо через них (не качественная настройка либо дырки в прошивках/программах). Так что ограничение по IP тут вообще никак не поможет.

Поделиться сообщением


Ссылка на сообщение

Уровня и алгоритмов безопасности которые уже есть в протоколе SIP более чем достаточно, о чем я выше уже написал.Если-бы хоть раз в протоколе SIP была обнаружена проблема безопасности, об этом узнали-бы наши администраторы, но подобного никогда не было. .

Конечно у меня нет подобного опыта. Я опираюсь на чужие исследования, скажем https://habrahabr.ru/company/pt/blog/212839/Ну на свой негативный опыт работы с одним из провайдеров ип телефонии - мой аккаунт был взломан.Небольшой вопрос - если есть в ЛК ограничение по ип, то нельзя будет только зовить или принимать звонки тоже? Изменено пользователем p2self

Поделиться сообщением


Ссылка на сообщение

Офигеть.Это значит так. Клиент меняет IP адрес (сам не знает когда и как часто - динамика).Пусть время жизни NS сервера 1 час (но встречается так, что "по пути" NS сервера все равно кешируют записи на сутки, раньше встречалось и на трое суток).То есть, максимум час, в среднем полчаса, клиент остается без связи? ))))))))))))))))))))))Ради безопасности? )))))))Не говоря уже о том, что нужно создавать NS сервер на стороне Задарма, который будет часто и грамотно опрашивать ... Использование CNAME записей вместо А и АААА записей имеет место быть в "больших" системах. Но только для статики! Да и на EDGE все равно задаются строго IP адреса, совместно с именем. Но имя вносят по одной причине - проверка сертификатов. Все. )))))))))))))))) В случае с динамикой есть только один путь - шифрование. Все. у Задарма в планах реализовать VPN, когда - как обычно не сообщают. Но подключения без авторизации с постоянного IP реализовали. Фильтрация по IP есть давно. Возможно сделают авторизацию сертификатом.

Самый вероятный вариант применения случай, когда провайдер дает дин. Ип и меняет его не чаще раза в день ( в большинстве случаев вообще не меняет, лишь при долговременном разрыве соединения).Но все равно адрес динамический и его удобнее вбить в интерфейс Задарма как днс.

Поделиться сообщением


Ссылка на сообщение

Ограничение по IP действует только для исходящих звонков.

(В Задарма не все очевидно иногда, но наведите мышку на вопросик, прочитайте что написано внимательно возле пунка меню или справа. Там все необходимые вещи обычно описаны точно.)

 

В свое время проводил тесты. Ставил свой SIP шлюз и наблюдал как и как быстро его сломают. Так что опыт есть :)

 

К сожалению, Вы не очень хорошо разбираетесь в том, как работают NS сервера. У Задарма очень много клиентов. И они по всему земному шарику. И решения они делают такие, чтобы годились для всех. К слову сказать, в России проводные провайдеры меняют адреса в динамике очень редко (раз в неделю / месяц). А беспроводные - очень часто (еще и от соты зависит, а статика у них обычно дорогая).

 

К слову сказать, тут на форуме про взлом аккаунта ни разу не встречал. А негатив обычно сразу выливают. А вот о том, что кабинет или связь заблокировали - встречается. Так что можно судить о некоторых параметрах, по которым строится безопасность в Задарма (и аккаунт блокируется). Но они не все. И в одну тему их вам никто не напишет. Ни открыто, ни закрыто. Ну и провайдер же не дурак, или вы думаете, что в плане безопасности SIP у них нет специалистов? :) Клиентов то много.

 

P.S. В последнее время из взлома SIP встречаю только вариант "шифровальщик". Поработал шифровальщик на компьютере, пароли лежали в текстовом файле прямо на рабочем столе. Все социальные аккаунты, SIP - взломаны. Поэтому все просто - пароль от личного кабинета - запоминайте. А от SIP аккаунтов не записывайте, настроили устройство - и забыли (он по умолчанию не показывается). Нужно перенастроить - получите новый пароль. Если нет постоянных IP адресов, то особо не парьтесь. Если есть - то можно повысить безопасность, ограничив исходящие звонки.

Поделиться сообщением


Ссылка на сообщение

Единственное, что можно предложить сделать Задарма в эту тему, это для параноиков добавить функцию смены IP адресов доступа в API.

Тогда клиент сам может написать приложение, которое при смене IP адреса на стороне клиента (а приложение это может делать как угодно часто, и перерыв в связи будет секундным, и незаметным (так как сама смена может привести к сбою)), сменит его и на стороне Задарма.

 

Не уверен что функция уж очень востребованная будет, но вот для балансировщиков (на случай отказа) при авторизации по IP (это, немножко другое, но если делать, то сразу) может работать для переключения и будет полезно.

Поделиться сообщением


Ссылка на сообщение

 

Конечно у меня нет подобного опыта. Я опираюсь на чужие исследования, скажем https://habrahabr.ru...pt/blog/212839/

 

Увы автор исследования ошибается. Может он и нашел провайдера с самой примитивной схемой авторизации, но это вовсе не значит что в SIP нет более безопасных схем.

Так что можете слушать свой трафик и пытаться из него достать пароли :)

 

 

Но все равно адрес динамический и его удобнее вбить в интерфейс Задарма как днс.

 

Извините но буду не многословен, это бредовая идея, про то как работает днс также почитайте :) А лучше также попробуйте.

 

 

P.S. В последнее время из взлома SIP встречаю только вариант "шифровальщик". Поработал шифровальщик на компьютере, пароли лежали в текстовом файле прямо на рабочем столе.

 

Такое я спишу на оставшийся 1%. И также напомню что пароль от ЛК обычно мало чем поможет так как паролей от SIP там нет :)

 

Увы, автор темы меня не слушает (хотя я уже писал что в 99% случае взламывают именно ПО клиента и ограничение по IP вообще не помогает).

Чтобы не флудить и не повторяться в очередной раз тему закрываю.

 

Если автор что-то сам сможет взломать - пожалуйста может писать на форум либо даже обращаться за премией. Правда если читать такие статьи то это все равно невозможно :) А фантазий в данной теме думаю более чем достаточно.

Также напомню что проект Zadarma не делает индиуидуальных решений, все делается тогда когда это полезно всем. (для бесполезной защиты на уровне паранойи значит мы делать ничего не планируем).

Поделиться сообщением


Ссылка на сообщение
Гость
Эта тема закрыта для публикации сообщений.

×
×
  • Создать...