Телефония Asterisk с нуля. Текстовая инструкция
Усиливаем безопасность Asterisk. 17 шагов которые сохранят Ваши деньги
Download 1.04 Mb. Pdf ko'rish
|
Телефония Asterisk с нуля. Текстовая инструкция
|
7. Усиливаем безопасность Asterisk. 17 шагов которые сохранят Ваши деньги.
В настоящее время атак, а главное, успешных взломов IP-АТС Asterisk немыслимое множество. Как правило, взламывают российские Asterisk из других стран и начинаю совершать международные звонки. Сейчас это очень распространенно. После таких взломов, организациям приходят счета на десятки и даже сотни тысяч рублей. Бывали убытки и на миллионы. Причем жертвой может стать как и крупная организация (что не факт), так и маленькая. В основном это мелкие организации, где безопасности Asterisk оказывается минимальное внимание. Сисадмин думает - "это может случиться с кем угодно, но только не со мной. Взлом? Какой взлом, господи, о чем вы говорите?" Но на самом деле пока вы читаете эти строки, тысячи людей по всему миру сидят и сканируют интернет в поисках очередной жертвы. Получив доступ к Asterisk, они могут cажать целые организации на ваш аккаунт и совершать международные звонки за ваши деньги. Вот типичный алгоритм взлома: 1. Злоумышленник сканирует интернет на наличие систем с открытым портом 5060 2. Злоумышленник, найдя такую систему (Asterisk), начинает искать имеющиеся sip клиенты, к которым можно подключиться. Он снова и снова посылает запрос, а сервер снова и снова отвечает, что такого sip клиента нет, пока в конце концов не придет ответ о том, что такой sip клиент существует. В итоге, злоумышленник получает список вида: [1000][1001][1002] - это sip клиенты 3. Затем, злоумышленник запускает "брутофорс" - программа подбора пароля к этим sip клиентам © Никоноров М.Ю, 2014 62 4. Найдя пароль, злоумышленник запускает у себя на компьютере софтфон и регистрирует его по полученным данным - внешнему ip адресу (который он нашел сканируя открытые 5060 порты, логин (который такой же, как и номер найденного им sip-клиента) и пароль, который он подобрал в результате брутофорса. 5. Злоумышленнику более ничего не мешает совершать международные звонки. Причин такому легкому взлому злоумышленниками несколько: 1. Asterisk по определенным причинам имеет выделенный IP адрес и смотрит в интернет (например этот сервер Asterisk так же является и сервером раздающим интернет, так, что "провод с интернетом и выделенным белым IP" вставлен прямо в этот сервер). При этом, на сервере с Asterisk не настроен фаерволл, и этот Asterisk повернут в сеть с распростертыми объятиями. 2. На ssh и sip назначены дефолтные порты 3. Используются простые пароли для sip клиентов 4. Не включена функция защиты от перебора существующих sip клиентов 5. Не реализованная функция защиты на уровне Dial плана 6. Не реализована функция доступа только из локальной сети 7. По ssh разрешен доступ root пользователя 8. В linux не отключены не нужные службы с дырами 9. Используется система с PBX-интерфейсом, например Elastix, которая имеет дополнительные уязвимости. 10. На уровне SIP провайдера разрешены международные звонки (когда они не нужны) 11. На уровне SIP провайдера не реализована функция лимитирования (звони сколько хочешь, но в конце месяца получишь счет) © YouTube канал DarkMaycal Sysadmins, 2014 63 Тот Asterisk, который мы сейчас сделали - он как котенок среди акул. У него нет никакой защиты и его очень легко могут взломать. Но мы исправим эту ситуацию. Итак, наша ситуация - наш сервер Asterisk смотрит в интернет и имеет выделенный (белый) ip адрес. Если мы сейчас запустим софтфон X-lite где-нибудь в Африке, в качестве ip адреса укажем наш выделенный ip адрес Asterisk и введем логин и пароль - мы зарегистрируем софтфон точно так же, как если бы он находился внутри нашей локальной сети. Это не допустимо! Download 1.04 Mb. Do'stlaringiz bilan baham: 
|