Вы не авторизованы

Вы можете читать сообщения. Если вы хотите создать новую тему или присоединиться к обсуждению, пройдите процедуру регистрации или авторизуйтесь.

Поиск  Правила  Войти
Форум » Особенности настройки телефонных систем (АТС) » Askozia
Сообщения 1 - 15 из 16
 Начало | Пред. | 1 2 | След. | Конец
RSS
Правильное написание правил "deny=......", правила прописаны, а попытки взлома продолжаются.
 
#1
0
17.02.2013 23:04:52
Вопрос в следующем:
Прописал правила, в расширенных настройках (для SIP и IAX), для запрета доступа с определенных IP, но попытки "пролома" продолжаются (судя по логам). В разных местах, на форумах по Asterisk, пишут по-разному - на одних написано так: deny=диапазон IP адресов (т.е. примерно так deny=91.121.64.0/91.121.127.255), в других форумах пишут deny= IP/маска подсети (т.е. deny=91.217.178.0/24).
Пробовал прописывать и так, и так... но по логам,уже после написания правил, вижу следующее:
Feb 17 12:10:16 asterisk[1705]: NOTICE[1728]: chan_sip.c:23665 in handle_request_invite: Call from '' (91.217.178.194:5060) to extension '00442033552776' rejected because extension not found in context 'public-direct-dial'.
Feb 17 12:10:16 asterisk[1705]: NOTICE[1728]: chan_sip.c:23665 in handle_request_invite: Call from '' (91.217.178.194:5060) to extension '000442033552817' rejected because extension not found in context 'public-direct-dial'.
Feb 17 12:10:16 asterisk[1705]: NOTICE[1728]: chan_sip.c:23665 in handle_request_invite: Call from '' (91.217.178.194:5060) to extension '011442033552534' rejected because extension not found in context 'public-direct-dial'.
Feb 17 12:10:16 asterisk[1705]: NOTICE[1728]: chan_sip.c:23665 in handle_request_invite: Call from '' (91.217.178.194:5060) to extension '900442033552673' rejected because extension not found in context 'public-direct-dial'.
И.Т.Д. даже после перезагрузки.
Я не так пишу правила? Или не там их прописываю?
И ещё...
Предлагаю создать на форуме "блэк лист" IPадресов для всех пользователей Askozia.(Естественно с приложением кусков логов, чтобы не пострадали нормальные люди). Так как, по практике, "ломают" в основном с одних и тех же адресов (Палестина, Сектор Газа, и, конечно, Китай) Готов выложить кучку таких IPшников.
 
 
 
#2
0
18.02.2013 00:36:59
По уму бы встроить какой-нибудь механизм типа fail2ban, который будет отлавливать попытки брутфорса. Без него АТС в интернет интерфесом вообще выставлять стремно. Никакие файлы с IP не помогут. Не понятно почему разработчик пропустил этот момент. Ведь это весьма ощутимая угроза безопасности.
 
 
 
#3
0
18.02.2013 00:48:43
Дело в том, что АТС находится за NAT. Т.е. не совсем напрямую в интернет смотрит.А как встроить в Askozia fail2ban не совсем понимаю.... Видимо придется поднимать проксу перед АТСкой...
 
 
 
#4
0
18.02.2013 09:38:27
А обратно ограничить не пробовали? Т.е. запретить все и разрешить доступ только с определенных ИП. Я у себя на микротике так и выставил. Правда IAX соединения нет и пользователи не авторизуются с непонятных ИП. А у вас просто указан днат 5060 с внешнего ип с любых адресов, кроме тех кто в блэклисте, я так понял?
 
 
 
#5
0
18.02.2013 10:44:42
Цитата
Artem пишет:
Дело в том, что АТС находится за NAT. Т.е. не совсем напрямую в интернет смотрит.
А какая разница? Если проброшены порты для SIP и RTP, если клиенты могут работать с разных IP адресов и для них нет возможности правило в файрволе задать, то по-любому сохраняется возможность подбора пароля.

Цитата
А как встроить в Askozia fail2ban не совсем понимаю....
Без усилий разработчика никак. Просто этот механизм защиты уже является своего рода правилом хорошего тона, если не сказать стандартом де-факто практически для всех дистрибутивов. А вот разработчики Askozia почему-то его игнорируют. Тем более, что fail2ban и iptables не такие уж ресурсоемкие приложения, чтобы ими жертвовать ради общей производительности системы.
 
 
 
#6
0
18.02.2013 13:30:32
Цитата
А вот разработчики Askozia почему-то его игнорируют.
На чем основаны выводы?

Askozia может работать с Humbug.
Компания Humbug Labs предоставляет систему Телекоммуникационной аналитики и детектирования взлома.
 
 
 
#7
0
18.02.2013 13:46:59
Выводы основаны на том, что механизма противодействия брутфорсу в Askozia нет. Не блокируются IP-адреса, с которых ведется подбор пароля.
А Humbug - вещь, конечно, интересная, но как-бы не бесплатная. С моим трафиком в около 1000 звонков в день надо 45$ в месяц платить им.
В бесплатной версии, к тому же, только базовая аналитика, а предупреждений о взломе даже нету (во всяком случае, так на сайте у них в выборе тарифа написано).

A fail2ban ничего не стоит и накладных расходов минимум. А действует очень даже эффективно.

Так что умышленное игнорирование встроенных средств защиты, а вместо этого рекомендация использования Humbug для безопасности, больше напоминает навязывание дополнительных услуг с целью "дополнительного отъема денег у населения".
Изменено: poison361 - 18.02.2013 13:53:55
 
 
 
#8
0
18.02.2013 15:57:35
Керио оператор
хоть и корявая PBX
но  втроенная фитча удобная  
http://www.kerio.com/sites/default/files/sip-security.jpg

SECURITY Password Guessing Protection Kerio Operator will block an IP after a specified number of login attempts, thus protecting your system from misuse. It’s quick enough to prevent unauthorized persons from gaining access to your phone system and taking control over it.

Anomalous Behavior Detection Based on a typical behavior pattern, the administrator can define the number of phone calls per time period to a location, typical call duration etc. to detect non-standard behavior. When detected, Kerio Operator alerts the administrator and/or stops the PBX to allow diagnosis and time to fix the situation, thus protecting your company from losing money from unauthorized use.
 
 
 
#9
0
18.02.2013 16:16:16
Цитата
Алексей Портнов пишет:
Askozia может работать с Humbug .
Компания Humbug Labs предоставляет систему Телекоммуникационной аналитики и детектирования взлома.
Вопрос не об аналитике и детектировании взлома!!!!
Я и так прекрасно вижу попытки взлома! Разве кусок лога, представленного выше, не говорит о попытке взлома???
Вопрос в том, как защитить АТС от этих попыток?

Вариант с пропиской только разрешенных IPшников не подходит, по причине частого перемещения многих абонентов.
Если Askozia - это Asterisk, то почему не отрабатывают правила "deny=..." ?!?!
 
 
 
#10
0
18.02.2013 16:45:27
Предложение, о создании "блэк листа", осталось незамеченным?
Мне кажется, что у многих пользователей есть подобные списки IPшников упырей... или это бестолковая идея по причине невозможности отработки "deny"?
 
 
 
#11
0
18.02.2013 17:51:16
Artem,  что даст список запаленых IP? Они меняются, прокси никто не отменял, опять же IP подделывается.

Где Вы ставите эти правила? Их можно задать глобально для SIP, можно через специальные поля описания пира, можно через ручную установку параметров пира. Я делал в специальных полях пира в разделе "Дополнительно" -> "Активировать IP фильтр для SIP трафика." Так правила срабатывают.


const_55,  вот и я говорю, что это правила хорошего тона. Ибо подбор паролей для SIP очень злободневная тема. Да и не только для SIP. fail2ban - это первая утилита, которую я ставлю на сервер после установки Linux. И механизма бана IP при попытках перебора паролей очень не хватает в Askozia.


Алексей Портнов,  может зададите по праву старшего брата вопрос разработчика почему они не интегрируют систему защиты от брутфорса? Ведь правилами allow/deny вопрос этот не решить. В большинстве случаев IP у пользователей динамические.
 
 
 
#12
0
18.02.2013 20:36:06
Цитата
poison361 пишет:
Я делал в специальных полях пира в разделе "Дополнительно" -> "Активировать IP фильтр для SIP трафика." Так правила срабатывают.
Я прописываю правила в "Расширенные"-> SIP (или IAX) -> Дополнительные параметры (и там уже больше 30 диапазонов IP адресов)
Активирование фильтра SIP трафика для пиров - как туда воткнуть больше одного диапазона IP-упырей не разобрался, а делать разрешение на один диапазон IP-друзей тоже не подходит... много абонентов перемещаются по шарику и частенько сменяются IPшники...


Если я правильно понимаю... Надо ставить доп железку перед АТСкой с проксой или некий firewall. Может есть у кого опыт подобных цепочек? Есть вот такой аппарат - Cisco Pix 501. Подскажите, господа изготовители и гуру, Есть смысл заморачиваться с подключением АТС через данный firewall?  
 
 
 
#13
0
18.02.2013 23:05:48
Я попробую задать вопрос Askozia Team по поводу того, будет ли в будущей версии поддержка активной фильтрации.
Как я вижу причины на текущий момент следующие. Fail2Ban - это активный анализатор логов, и он может создавать серьезную нагрузку на слабопроцессорную систему, а Askozia в первую очередь позиционируется как встроенная система. Таже Alix платформа загибаться будет, от анализа неструкрутрированного лога. Далее fail2ban устанавливает правила для iptables, а в Askozia нет никакого firewall встроенного.
Я думаю что этого всего нет именно по той причине, что очень сложно сделать такой механизм простым и управляемым.

Что советуем
1. Не использовать стандартные порты SIP протокола, подменяем или на Askozia или на NAT маршрутизаторе.
2. Использовать предоплатных провайдеров, чтобы нельзя было уйти в минуса
3. Ограничить возможность исходящих звонков по ненужным направлениям, например оставляем только Россию.
4. Запретить для всех SIP пиров не требующих внешних подключений диапазон адресов локальной сетью.
5. Для внешних пользователей использовать VPN соединения, тот же Iphone это умеет без проблем.
6. Для внешних пользователей использовать стойкие к брутфорсу пароли. Например так: Dagrat92$%^Zhiharka#$$%@%  
Думаю этого будет достаточно чтобы не боятся взлома. По-моему опыту уже 1 пункт отбивает 90% попыток взлома.
В качестве Firewall я использую простую штуку, похожую на Askozia, по сути ее родоночальника систему monowall.
 
 
 
#14
0
19.02.2013 11:22:13
Николай Бекетов,
Цитата
Fail2Ban - это активный анализатор логов, и он может создавать серьезную нагрузку на слабопроцессорную систему
Вероятность есть, но ведь анализируется один единственный лог Asterisk. Сейчас это по определению невозможно, ибо уровень логирования для Asterisk в 0 выставлен. Т.е. он вообще молчит и в лог ничего не пишет. iptables я бы тоже сильно ресурсоемким приложением не назвал. Хотя, для 500 МГц все может быть.

Кстати, в АТС от Grandstream интересно сделано, чтобы большие объемы не хранить на встроенной памяти (диск там подключить нельзя встроенный). Там каждые полчаса лог, записи разговоров и конфиг выливается на расшаренную папку и удаляется из внутренней памяти.
Цитата
очень сложно сделать такой механизм простым и управляемым.
Да ладно, на самом деле это пару строк в конфигурационном файле fail2ban. А для пользователя это включить/выключить, количество неудачных попыток, за какой период. Этого вполне достаточно. Ну и простейший механизм очистки забаненых адресов.
Цитата
Не использовать стандартные порты SIP протокола, подменяем или на Askozia или на NAT маршрутизаторе.
Это не приемлемо, если мы хотим использовать анонимные звонки и SIP-адреса типа vova@domain.ru. Так же далеко не все провайдеры предоставляют сервисы на нестандартных портах или позволяют соединяться через VPN.

Понятно, что идеальной АТС не найти, но все же безопасностью не стоит пренебрегать.

И вообще некоторые моменты мне вообще не понятны в организации дистрибутива. PHP ведь все равно установлен, так почему бы не включить в него библиотеку работы с SQLite? Сейчас для формирования нормальной отчетности приходится такими костылями пользоваться, что просто жуть. Я раз в 30 минут сливаю файл базы данных по http на другой сервер и только там его анализирую и строю нужные мне отчеты. А ведь можно было все это делать и прямо на АТС. Естественно, платформу ALIX я использовать буду для этого, прекрасно понимая ее ограниченность в ресурсах. Но интересно было бы узнать статистику, какой процент пользователей использует АТС на слабомощных платформах, а какой на обычных полноценных машинах. Ведь по цене выходит ALIX дороже тех же платформ на Atom. Разве что энергии меньше берет.

Прошу прощения за оффтопик в конце. Просто дистрибутив действительно нравится, но вот такие ограничения очень портят все прелести продукта.
Изменено: poison361 - 19.02.2013 11:24:34
 
 
 
#15
0
19.02.2013 14:55:23
Цитата
Николай Бекетов пишет:
Fail2Ban - это активный анализатор логов, и он может создавать серьезную нагрузку на слабопроцессорную систему, а Askozia в первую очередь позиционируется как встроенная система.
Это очень(!) хорошо, что Askozia такая малопрожорливая! А главное проста в настройке, как собственно и позиционируется.
Но потери из-за упырей, могут трижды перекрыть всю экономию на ресурсах.


Цитата
poison361 пишет:
Понятно, что идеальной АТС не найти, но все же безопасностью не стоит пренебрегать.
Цитата
poison361 пишет:
интересно было бы узнать статистику, какой процент пользователей использует АТС на слабомощных платформах, а какой на обычных полноценных машинах.
...или создать "заплатку-обновление" устанавливаемую по желанию, если позволяют ресурсы? при нынешней высокой конкуренции среди АТС - это просто обязано добавить рейтинг Askozia (ИМХО).  
 
 
 
Сообщения 1 - 15 из 16
 Начало | Пред. | 1 2 | След. | Конец
Читают тему (гостей: 1)