Yıldız işaretini yetkisiz bağlantılardan korumak. Yıldız işaretini korumak için fail2ban kurulumu. Tüm aramalar için tek bir evrensel kural koymuyoruz

Bildiğiniz gibi yıldız işareti IP telefonu için bir uygulamadır (sunucu). Yani, kendisine bağlı müşterilerin (diğer şeylerin yanı sıra) hatları kullanarak birbirlerini ve dış dünyayı aramalarına olanak tanır. telefon iletişimi. Bu, aşağıdaki riskleri doğurur:

  1. istemciler kullanıcı adı/şifre ve ayrıca (kural olarak) IP adresiyle tanımlanır. Aynı zamanda, bir şifre seçmek de mümkündür (karmaşıklığına bağlı olarak er ya da geç, ancak her durumda mümkündür) ve çoğu zaman IP adreslerindeki kısıtlamalar istediğimiz kadar katı olmaktan uzaktır ( ideal olarak her istemcinin kendi benzersiz IP adresine sahip olması gerekir)
  2. İnternetten gelen aramalar (örneğin diğer yıldız işaretli sunuculardan). Bu bağlantılarda her şey daha karmaşıktır, çünkü yıldız işareti (temel konfigürasyonda) bağlantının yapıldığı IP adreslerinin görüntülenmesini sağlamaz.

Fail2ban programı bir güvenlik duvarı (örneğin iptables) ve doğru yapılandırılmış yıldız işareti (günlüklerde görüntüleniyor) ile birlikte full bilgi istemcilerin ve diğer sunucuların IP adresleri dahil) bağlantı girişimlerini ve şifre tahminlerini etkili bir şekilde engellemenize olanak tanır.

Kuruluma başlamadan önce iptables ve fail2ban'ı kurmanız gerekir. Ek olarak, fail2ban'ı yapılandırmadan önce iptables'ın önceden yapılandırılmış olması (ve yıldız işaretli bağlantılara izin verilmesi) gerekir! İptables'ı nasıl yapılandıracağınızı buradan okuyabilirsiniz: iptables'ı yıldız işareti için ayarlama. Fail2ban'ı yıldız işaretinin kendisini kurmadan önce de kurabilirsiniz; bu durumda (en azından teoride) kurulum işlemi sırasında en son sürümler Yıldız işareti, kurulu fail2ban'ı algılar ve otomatik olarak yapılandırır. Fakat:

  1. Yıldız işareti takılmadan önce IP telefon güvenliği konusu her zaman dikkate alınmaz. Yani, büyük olasılıkla, yıldız işaretinin zaten kurulu (ve yapılandırılmış) olduğu bir sisteme fail2ban'ı kurmak isteyeceksiniz.
  2. Otomatik yapılandırma, bırakın düzgün çalışmayı (ve yıldız işaretine yönelik tüm saldırıları engellemeye başlamayı) her durumda hiçbir şekilde çalışmayacaktır.

Yıldız işareti günlüğünü ayarlama

Her şeyden önce, bilgilerin ihtiyacımız olan formatta ve biçimde hemen toplanmaya başlanması için yıldız işareti günlüğünü ayarlamak mantıklıdır. Bunu yapmak için, yıldız işareti yapılandırma dizininde (varsayılan olarak /etc/asterisk), logger.conf dosyasını bulun ve dosyada aşağıdaki değişiklikleri yapın: açıklamayı kaldır (satırın başındaki noktalı virgülü kaldırın):

Tarih formatı=%F %T ; ISO 8601 tarih formatı

Yıldız işaretinin günlüklerdeki tarihi doğru biçimde yazması için bu gereklidir:
yıl-ay-gün saat:dakika:saniye

Yıldız işaretinin 10. sürümünden itibaren Yıldız İşareti Güvenlik Çerçevesini etkinleştirebilirsiniz. Bunu yapmak için logger.conf dosyasında şu satırı bulun ve açıklamasını kaldırın (veya ekleyin):

Güvenlik => güvenlik

Bu satır, okun sol tarafında olayların kaydedileceği dosyanın adını, sağ tarafta ise kaydedilecek seviyeleri (olay türlerini) belirtir. İÇİNDE bu örnekte güvenlik düzeyiyle ilgili olaylar (ve yalnızca bunlar), yıldız işareti günlük klasöründeki güvenlik adlı bir dosyaya kaydedilecektir.
Elbette değişiklik yaptıktan sonra yıldız işaretinin konfigürasyonu yeniden okuması gerekir. Bunu yapmak için yıldız işareti hizmetini veya yalnızca günlük yapılandırmasını (yıldız işareti CLI'den günlükçüyü yeniden yükleyebilirsiniz) yeniden yükleyebilirsiniz.

Bundan sonra, yıldız işareti günlük klasöründe güvenlik adlı bir dosya görünecektir (varsayılan olarak /var/log/asterisk). Bu dosya için günlük rotasyonunu ayarlamayı unutmayın (diğer yıldız günlükleriyle aynı)!

Filtreleme kurallarını ayarlama

Şimdi, genel yıldız işareti mesaj akışından potansiyel olarak tehlikeli olayları (yanlış kullanıcı adı/şifre, yetkisiz bir IP adresinden oturum açma girişimi vb.) çıkaracak bir filtre oluşturmamız gerekiyor. Aynı zamanda, yalnızca bu tür potansiyel olarak tehlikeli olayları tespit etmemiz değil, aynı zamanda eylemin gerçekleştirildiği IP adresini de oradan izole etmemiz gerekiyor. Yani, yıldız işareti olay dosyalarında yalnızca belirli satırları aramıyoruz, aynı zamanda filtreleme kuralları da belirliyoruz.
Filtreleme kuralları /etc/fail2ban/filter.d/asterisk.conf dosyasına yazılabilir. İşte bu dosyanın içeriğinin bir örneği:

# Fail2Ban yapılandırma dosyası # # # $Revizyon: 250 $ # # Yaygın önekleri okuyun. Herhangi bir özelleştirme mevcutsa - bunları şu adresten okuyun: # common.local #before = common.conf #_daemon = yıldız işareti # Seçenek: failregex # Notlar.: günlük dosyasındaki şifre hatası mesajlarıyla eşleştirmek için regex. # Ana Bilgisayar, "Ana Bilgisayar" adlı bir grupla eşleştirilmelidir. " " etiketi, standart IP/ana bilgisayar adı eşleşmesi için kullanılabilir ve yalnızca # (?:::f(4,6):)?(?P \S+) için bir takma addır # Değerler: TEXT # # Asterisk 1.8'in kullanımları Burada yansıtılan Ana Bilgisayar: Bağlantı noktası formatı failregex = NOTICE.* .*: ".*" kaynağından kayıt " :.*" için başarısız oldu - Yanlış şifre NOTICE.* .*: ".*" kaynağından kayıt " :.* için başarısız oldu " - Eşleşen eş bulunamadı BİLDİRİM.* .*: ".*" kaynağından kayıt " :.*" için başarısız oldu - Kullanıcı adı/kimlik adı uyuşmazlığı BİLDİRİM.* .*: ".*" kaynağından kayıt " :.*" için başarısız oldu - Cihaz ACL ile eşleşmiyor NOTICE.* .*: ".*" adresinden kayıt " :.*" için başarısız oldu - Yerel bir alan adı değil NOTICE.* .*: ".*" adresinden kayıt " :.*" için başarısız oldu - Eşin NOTICE.* .*: ".*" kaynağından kayıt " :.*" için başarısız oldu - ACL hatası (izin/reddet) NOTICE.* .*: ".*" kaynağından kayıt " " için başarısız oldu - Yanlış şifre NOTICE.* .*: ".*" adresinden kayıt " " için başarısız oldu - Eşleşen eş bulunamadı BİLDİRİM.* .*: ".*" adresinden kayıt " " için başarısız oldu - Kullanıcı adı/kimlik adı uyuşmazlığı NOTICE.* .* : ".*" adresinden kayıt " " için başarısız oldu - Cihaz ACL ile eşleşmiyor BİLDİRİM.* .*: ".*" adresinden kayıt " " için başarısız oldu - Yerel bir etki alanı değil BİLDİRİM.* .*: ".*" adresinden kayıt " " için başarısız - Eşin NOTICE'i kaydetmesi gerekmiyor.* .*: ".*" kaynağından kayıt " " için başarısız oldu - ACL hatası (izin/reddet) NOTICE.* .*: "\".*\" kaynağından kayıt " :.*" için .*" başarısız oldu - Eşleşen eş bulunamadı NOTICE.* .*: "\".*\".*" kaydı " :.*" için başarısız oldu - Yanlış şifre NOTICE.* .*: Hayır ".*" eş için kayıt \(\'dan) NOTICE.* .*: Ana bilgisayar, ".*" (.*) NOTICE.* için MD5 kimlik doğrulamasında başarısız oldu.* .*: Kullanıcının kimliği doğrulanamadı .*@ .* NOTICE.* başarısız oldu ".*"$ NOTICE.* .*: olarak kimlik doğrulaması yapmak için: Cihaz için sahte kimlik doğrulama reddi gönderiliyor.*\<.>

En eski sürümler, yukarıdaki satırlara benzer satırlar kullanır çünkü sürümden başlayarak, günlüklerde yukarıdaki sürümde olmayan bağlantı noktası numarası hakkında bilgi vardı, eski ve yeni sürümlerle aynı şeyi hesaba katar, böylece herhangi bir şeyi değiştirmenize gerek kalmaz. BT

Sürümler ve üzeri için, eğer günlüğe kaydetmeyi etkinleştirdiyseniz bu günlükler için filtreleme kuralları belirtmeyi unutmayın.

Filtreleme kuralları bir dosyaya yazılabilir. İşte bu dosyanın içeriğinin bir örneği.

İzolatörlerin ayarlanması

Şimdi sözde izolatörlerin açıklamalarını oluşturmamız gerekiyor, böylece filtrelerimizi bağlayarak bu satırların hangi dosyalarda aranması gerektiğini ve sonra ne yapılacağını açıklayabiliriz.

Bunu yapmak için dosyayı açın

  1. Bununla ilişkili başka bir kural olmadığından emin olun, dosyayı tırnak işaretleri olmadan isme göre arayın ve her biri için bu tür kurallar varsa özelliğin ayarlandığından emin olun.
  2. Sürüm daha küçükse veya günlükleri kullanmak istemiyorsanız, günlüklerin kullanılması kesinlikle önerilmez, o zaman yalnızca bir kural oluşturmanız gerekir, aksi takdirde kurallar oluşturmanız gerekecektir.

Kural No.

Bu kural tüm sürümler için oluşturulmalıdır. Yeni bir kural oluşturabilir veya mevcut olanlardan herhangi birini değiştirebilirsiniz, ancak devre dışı bırakılır. Örneğimizde ile birlikte kullanıldığı için yeni kural çağrılacak ve dosyaya uygulanacaktır. Yıldız işareti Varsayılan olarak bu ana günlük dosyası çağrılır, ancak örneğin bu, Itaksamrule dosyasındaki VASSM settingsasterisk dosyasında görünen bir dosya olacaktır.

kuralların ana olayları için izolatörler yapılandır etkinleştirilir kullanılacak filtreye filtrenin adı denir bu dizindeki dosyanın adı hangi günlük ana dosyasının uygulanacağı filtrenin uygulanacağı potansiyel olarak tehlikeli olayları aramak için numara eylemin tetiklenmesi için filtre tarafından bulunan potansiyel olarak tehlikeli olayların sayısı saniye cinsinden hangi süre boyunca uygulanacağı eylemin saniye cinsinden hangi süre boyunca uygulanacağı potansiyel olarak tehlikeli olayları aramak için filtre bir saldırı tespit ederse ne yapılması gerektiği günlüklerde saniye cinsinden algılanan süre tek bir adresten gelen potansiyel olarak tehlikeli eylemler bunun için tüm bağlantı noktalarını engelleriz ve tüm potansiyel olarak tehlikeli olayların göz ardı edildiği alt ağ adreslerinin bir listesi için bir mektup göndeririz

Kural No.

Bu kural yalnızca sürüm daha yeniyse ve ayrıca yukarıda günlüğe kaydetme etkinleştirilmişse çalışır. Ayrıca yeni bir kural oluşturabilir veya devre dışı bırakılmış herhangi bir mevcut kuralı değiştirebilirsiniz. Örneğimizde ile birlikte kullanıldığı için yeni kural çağrılacaktır. ve bu kural, günlük dizinindeki dosyayı analiz etmek için kullanacaktır.

güvenlik olayları için izolatörleri yapılandırmak kurallar etkinleştirildi kullanılacak filtreye filtre adı denir dizindeki bu dosya adı hangi günlük ana dosyasının uygulanacağı filtrenin potansiyel olarak tehlikeli olayları aramak için tetiklenecek filtre tarafından bulunan potansiyel olarak tehlikeli olayların sayısı eylem saniye cinsinden hangi süre boyunca uygulanır eylem saniye cinsinden ne kadar süre boyunca potansiyel olarak tehlikeli olayları aramak için filtre bir saldırı tespit ederse ne yapılmalı günlüklerde saniye cinsinden süre tek bir adresten gelen potansiyel olarak tehlikeli eylemler tespit edildi tüm bağlantı noktalarını engelleriz bunun için ve potansiyel olarak tehlikeli tüm olayların göz ardı edildiği alt ağ adreslerinin listesi için bir mektup gönderin

Öğle yemeği

Şimdi başlatmanız veya yeniden başlatmanız gerekiyor ve gerekirse, örneğin henüz başlatılmadı

Çalıştırmak için önce çalıştırmanız gerekir, aşağıdaki komutu çalıştırın

Yeniden başlatmak için aşağıdaki komutu çalıştırın

Başarılı bir şekilde başlatıldığını ve kuralın yüklendiğini kontrol etmek için aşağıdaki komutu çalıştırın.

ve eğer ikinci bir kural varsa

Kuralların listesini görüntülemek için aşağıdaki komutu çalıştırın

Eğer yeni kurulum yaptıysanız, sistemi başlattığınızda otomatik olarak başlayacak şekilde yapılandırıldığından emin olmayı unutmayın.

İşin kontrol edilmesi

Doğrulama işlemi sırasında asıl önemli olan, elinizde başka bir bilgisayarın veya sunucuya yerel erişimin bulunmasıdır, böylece adresinizin engellenmesi durumunda bağlanıp bu engellemeyi kaldırabilirsiniz.

Bağlantının çalışmasını kontrol etmek gerekir, çünkü her şeyi doğru şekilde yapılandırmış veya kopyalamış olsanız bile, birçok olay kombinasyonunun kurduğunuz kilitlerin çalışmamasına neden olması mümkündür.

Bağlantının çalışmasını kontrol etmeye yönelik eylemlerin sırası

  1. Bilgisayarınızın başlangıçta başlayacak şekilde ayarlandığından emin olun.
  2. Kuralları yapılandırdıysanız, her birinin çalışmasını ayrı ayrı kontrol etmenizi kesinlikle öneririz. Bunu yapmak için, örneğin kurallardan birini devre dışı bırakın.
  3. bilgisayarınızı yeniden başlatın kontrol edin
    1. hizmetler çalışıyor
    2. bir kural açık, diğeri kapalı

      Bu durumda devre dışı bırakılan kural için bir mesaj görünecektir

      ve formun içerdiği mesaj için

  4. İstemciyi sunucunun kendisinden, başka bir bilgisayardan başlattığınızdan ve yetkilendirme için yanlış veri belirttiğinizden emin olun. Bağlantı adresi, bir kez oturum açmayı deneyin veya adresin engelleneceği maksimum yetkilendirme sayısı belirtilmelidir. Her kural için ayrı parametre. Test istemcisi olarak komut satırından çalışan bir program kullanabilirsiniz.
  5. İstemciyi sunucuya bağlandığınız bilgisayarda başlattıysanız ve ayarlar doğru yapılandırılmışsa, adresiniz şu anda engellenmişse ve bu bilgisayardaki sunucuya bağlanamıyorsanız, Başka bir bilgisayara veya yerel olarak bağlan seçeneğini işaretleyip devam edin. komutları yürütmek
  6. Komutu şöyle çalıştırın

    etkin kural için ve istemcinin bağlandığı adresin engellenenler listesinde olduğundan emin olun

  7. Şimdi, paragraftaki eylemlere benzer şekilde, örneğin ikinci kuralın kilidini açın ve ilkini engelleyin.
  8. Sadece hizmeti yeniden başlatarak da yapabileceğiniz bilgisayarı yeniden başlatmak yerine yalnızca paragraftaki adımları izleyin. Bundan sonra, başlattığınız bilgisayarın adresi saniyeler içinde istemcinin kilidini açacak ve ardından hizmeti yeniden başlatacaktır.
  9. Her iki kuralın çalışmasını ayrı ayrı kontrol ettikten sonra hem parametre için hem de parametre için etkinleştirmeyi unutmayın. Bundan sonra tabi ki servisi yeniden başlatmayı unutmayın.
  10. Ve son nokta, önceki noktaları birkaç dakika içinde yeterince hızlı bir şekilde tamamladıysanız, her iki kuralı da etkinleştirdikten sonra, sonraki yeniden başlatmanın sizi istemciyi başlattığınız adresten tekrar engelleyeceği ortaya çıkabilir.
    Dikkat olmak

Kural yönetimi

Adres engellemeyi geçici olarak devre dışı bırakma

Bunu yapmak için hizmeti kullanmanız gerekir. Öncelikle konsolda bir kural listesi görüntüleyeceğiz, ardından bunları yasaktan kaldırmak için ihtiyacınız olanı seçeceğiz.

Kuralların listesini görüntülemek için komutu girin

Aşağıdaki gibi bir mesaj göreceksiniz

Gördüğümüz gibi Dial a command adı verilen kurallar zincirinde yer alan adresi yasaktan kaldırmakla ilgileniyoruz

Komut başarılı bir şekilde yürütülürse hiçbir mesaj görüntülenmez ve şimdi komutu tekrar çalıştırırsak

daha sonra adresin bloke olmaktan çıktığını görüyoruz, ancak aynı zamanda sunucuya tekrar bağlanabiliyoruz.

Adres engellemeyi kalıcı olarak devre dışı bırakın

Belirli bir adresi veya birkaç adresi engellememek için, şifreyi tahmin etmek için kaç başarısız girişimde bulunulduğuna ve gerçekleştirilen diğer yasa dışı eylemlere bakılmaksızın, dosyada ek ayarlar yapılması gerekir.

Her dosya kuralı, bu kural için beyaz listede yer alan adreslerin listesini belirten bir parametre içerebilir. İki kural olabileceğinden, lütfen her iki kuralda da belirtilmeniz gerektiğini unutmayın.

Parametre aşağıdaki forma sahiptir

Yani, bu durumda bireysel adresleri alt ağlar olarak kaydedebilir ve beyaz listeye girebilirsiniz.

Testin yapıldığı adresin engellemesini kaldırma

Ayarların doğruluğunu kontrol ederken, İnternet'te gelecekteki saldırıları engelleme çalışmasını test etmek için istemciyi tekrar tekrar çalıştıracaksınız ve sonraki çalışma sürecinde, zaman zaman sonuçları üzerinde eylemler gerçekleştirmeniz de gerekebilir. en az bir gün, en az bir yıl boyunca dışarıdan engellemeler olabilir.

Bu sorunu çözmenin yolları var

  1. Adresi listedeki kurallara ekleyin, ancak bazen örneğin işin periyodik testlerinin yapılması istenmeyebilir.
  2. Tipik olarak süre, şifre tahmin saldırısı olayının bir kez tekrarlanması gereken aralığın saniye cinsinden süresidir; bundan sonra yasak, adresin engellenenler listesinden kaldırıldığı saniye cinsinden bu yasaklama süresinden çok daha kısa sürede etkili olur. adresinizi yasaklamak ve ardından hizmeti yeniden başlatmak. Hizmet yeniden başlatıldığında tüm engellemeler iptal edilir. Ancak sonraki yüklemelerde, başarısız bağlantı denemeleri sırasında günlükler boşaltılırsa, günlükler yeniden analiz edilir. öğle yemeği

Yapılandırma testi

Filtrenin şu veya bu kişiye nasıl uygulanacağını kontrol edebilirsiniz. Bunu yapmak için komutu çalıştırabilirsiniz.

Saldırgan adreslerini yasaklamak için günlükte bulunması gereken hata mesajlarının parçalarını içeren filtrenin kendisini ve filtrelenecek günlükleri içeren bu örnek yol dosyası nerede?

Son olarak, yeniden başlatmak yerine aşağıdaki komutu çalıştırabilirsiniz.

Kaynaklara bağlantılar

Özellikle regexp'in resmi web sitesinden alınan materyaller ve bölümden alınan yıldız işareti kuralları

Telefon ucuz olabilir
ve işlevsel!

IT KUB şirketi IP telefonunun kurulumu, entegrasyonu ve konfigürasyonu için geniş bir hizmet yelpazesi sunmaktadır.

BT hizmetleri yüksek kalitede olabilir!

chmod 755 install_apf_bfd.sh

./install_apf_bfd.sh

APF yapılandırması /etc/apf/conf.apf dosyasında bulunur

Dosyayı düzenlemeye başlamak için aşağıdaki komutu kullanın:

nano /etc/apf/conf.ap F

İnternete bakan ağ arayüzü için IFACE_IN ve IFACE_OUT'u ayarlayın. Bir ağ arayüzüne bakan için yerel ağ, IFACE_TRUSTED'ı ayarlayın.

SET_TRIM = "0"

APF, QoS'yi destekleme yeteneğine sahiptir. SIP ve IAX için aşağıdakiler kurulmalıdır:

Hizmet Şartları _8="21,20,80,4569,5060,10000_20000"

Eğer değiştiysen SSH bağlantı noktası, conf.apf dosyasını bu yeni bağlantı noktasıyla eşleşecek şekilde düzenlemeniz gerekir.

HELPER_SSH_PORT = "2222"

2222'yi, SSH'yi çalıştırmayı seçtiğiniz doğru bağlantı noktası numarasıyla değiştirdiğinizden emin olun.

Bağlantı noktalarını erişime açmak için gelen filtreleme kullanılır; TCP ve UDP'nin ayrı ayarları vardır. Asterisk (Trixbox) için aşağıdaki portların açık olması gerekmektedir; hem TCP hem de UDP listelenir. Eğer TFTP kullanmıyorsanız 69 numaralı portu açmayın. SSH portunu değiştirmeyi unutmayın. Aksi takdirde erişim sağlayamazsınız; burada son örneğimizdeki 2222 numaralı bağlantı noktasını kullanıyoruz. Bu kuruluma IAX bağlantı noktalarını dahil etmedik. Yalnızca belirli ana bilgisayarların IAX'i kullanabilmesini sağlamanın kolay bir yolu var; bunu daha sonra ele alacağız. Dış dünya tarafından görülemeyen istasyonlar arası ana hatları kurmak için IAX kullanıyorsanız bu kullanışlıdır.

IG_TCP_CPORTS = "2222,69,80,5060,6600,10000_20000"
IG_UDP_CPORTS = "69,5060,10000_20000"

Giden filtreleme kullanmıyorum, bu nedenle bu makalede ele alınmıyor. EGF="0" olarak ayarlanmıştır ve varsayılan olarak devre dışıdır.

Seçeneklerin listesini görmek için Komut satırı, apf'yi bayraklar olmadan çalıştırın.

#apf
apf(3402): (glob) durum günlüğü bulunamadı, oluşturuldu
APF sürüm 9.6< This email address is being protected from spambots. You need JavaScript enabled to view it. >
Telif Hakkı (C) 1999-2007, R-fx Ağları< This email address is being protected from spambots. You need JavaScript enabled to view it. >
Telif Hakkı (C) 2007, Ryan MacDonald< This email address is being protected from spambots. You need JavaScript enabled to view it. >
Bu program GNU GPL koşulları altında serbestçe yeniden dağıtılabilir.
kullanım /usr/local/sbin/apf
-s|--start ................................ tüm güvenlik duvarı kurallarını yükle
-r|--restart ...................... durdur (temizle) ve güvenlik duvarı kurallarını yeniden yükle
-f|--stop...... ................. tüm güvenlik duvarı kurallarını durdurun (temizleyin)
-l|--list ................................... tüm güvenlik duvarı kurallarını listele
-t|--status .................... çıkış güvenlik duvarı durum günlüğü
-e|--refresh ................................... yenileyin ve dns adlarını güvenle çözümleyin
tüzük
-a HOST CMT|--HOST COMMENT'a izin ver ... ana makineyi (IP/FQDN) ekle
Allow_hosts.rules ve yeni kuralı hemen güvenlik duvarına yükleyin
-d HOST CMT|--HOST YORUMUNU reddet .... ana makineyi (IP/FQDN) ekle
Denk_hosts.rules ve yeni kuralı hemen güvenlik duvarına yükleyin
-u|--HOST'u kaldır ................... ana makineyi kaldır
*_hosts.rules ve kuralı güvenlik duvarından hemen kaldırın
-o|--ovars ................................ tüm yapılandırma seçeneklerinin çıktısını alır

APF'yi başlatmak için aşağıdaki komutları kullanırız:

# apf -s
apf(3445): (glob) güvenlik duvarını etkinleştiriyor
apf(3489): (glob) belirlendi (IFACE_IN) eth0'ın adresi 192.168.1.31
apf(3489): (glob) belirlendi (IFACE_OUT) eth0'ın adresi 192.168.1.31
apf(3489): (glob) preroute.rules yükleniyor http://r-fx.ca/downloads/reserved http://feeds.dshield.org/top10-2.txt
http://www.spamhaus.org/drop/drop.lasso
apf(3489): (sdrop) drop.lasso'yu /etc/apf/sdrop_hosts.rules dosyasına ayrıştırıyor
apf(3489): (sdrop) sdrop_hosts.rules yükleniyor
apf(3489): (glob) ortak bırakma bağlantı noktalarını yüklüyor
..........bu belge için kırpılmış........
apf(3489): (glob) varsayılan (giriş) giriş düşüşü
apf(3445): (glob) güvenlik duvarı başlatıldı
apf(3445): (glob) !!GELİŞTİRME MODU ETKİN!! - güvenlik duvarı temizlenecek
her 5 dakikada bir.

APF'nin başladığını, dshield.org ve spamhaus.org'dan birkaç kural indirdiğini görebiliriz. Şimdi her şeyi doğru yapılandırdığınızdan emin olmak için Asterisk (Trixbox) sunucusuna SSH aracılığıyla giriş yapmayı test edelim. Bağlanamıyorsanız 5 dakika beklemeniz gerekir, ardından APF engellemeyi kaldıracaktır. SSH üzerinden giriş yapabildiğinizden emin olduktan sonra conf.apf DEVEL_MODE = "1" değerini DEVEL_MODE = "0" olarak değiştirip APF'yi yeniden başlatabiliriz. APF başlayacak ve DEVELOPMETN_MODE modunda olduğuna dair bir uyarı vermeyecek.

APF: ek ayar

Yıldız işareti (Trixbox) sunucularınızı IAX üzerinden bağlamak istiyorsanız kurulum burada bitmiyor. Bunu yapmak için conf.apf dosyasına IAX bağlantı noktaları eklemeniz gerekecektir. Bu seçenek statik IP adresleri veya DynDNS ile çalışacaktır. apf -a komutu belirli bir IP adresine erişime izin verir. Bu, genel olarak ana bilgisayarın güvenlik duvarı kurallarını atlayarak Yıldız işaretine (Trixbox) bağlanmasına izin verecektir.

apf -a 192.168.1.216

Bu, 192.168.1.216 sisteminin güvenlik duvarı kurallarını atlayarak güvenlik duvarlı sunucudaki herhangi bir bağlantı noktasına bağlanmasına izin verecektir. APF'yi her iki Yıldız İşaretinde (Trixbox) çalıştırıyorsanız, doğru IP adresini kullanarak diğer ana bilgisayarda da aynı şeyi yaptığınızdan emin olun.

APF ayrıca izin verir sistem yöneticisi bir ana bilgisayarı veya bir alt ağın tamamını engelleyin. Birisinin makinenize FTP, Telnet, SSH vb. yoluyla bağlanmaya çalıştığını görürseniz bu kullanışlıdır. Belirli bir ana bilgisayarı engellemek için aşağıdakileri kullanın: engellemek istediğiniz IP adresini kullandığınızdan emin olun.

apf -d 192.168.1.216

Bir alt ağın tamamını (CIDR) engellemek için:

apf -d 202.86.128.0/24

APF, UDP paketleri için QoS'yi desteklemez. Yalnızca TCP. Bunu düzeltmenin kolay bir yolu var. /etc/apf/internals dosyasında bir function.apf dosyası var. Bu dosyayı manuel olarak düzenlememiz gerekiyor. Tek satır eklememiz gereken birkaç yer var. Function.apf dosyasında TOS_ bölümünü arıyoruz. Bunun gibi görünecek:

eğer [! "$TOS_0" == "" ]; Daha sonra
i için `echo $TOS_0 | tr "," " "`; Yapmak
i=`echo $i | tr "_" ":"`
$IPT -t mangle -A ÖN YÖNLENDİRME -p tcp --sport $i -j TOS --set-tos 0
$IPT -t mangle -A ÖN YÖNLENDİRME -p udp --sport $i -j TOS --set-tos 0
Tamamlandı
fi

Bu ekstra satırın kullandığınız tüm TOS bitleri için yapılması gerekir.

B.F.D.

Yetkisiz giriş denemelerini tespit etmek için kaba kuvvet (sözlük saldırısı) tespiti kullanılır.

BFD'nin yapılandırma dosyası /usr/local/bfd konumunda bulunur ve conf.bfd olarak adlandırılır. Bu dosya, APF dosyası gibi birçok yorum içerir. Sadece birkaç ayara bakacağız.

İnceleyeceğimiz ilk konfigürasyon değişkeni TRIG'dir; bu, saldırganın engellenmesinden önceki başarısız denemelerin sayısıdır. Varsayılan değer 15'tir. Bunun tek hesaptan değil, tek IP adresinden yapılan deneme sayısı olduğunu unutmayın. Yani, farklı hesaplar kullanılarak 1 IP adresinden 15 başarısız giriş denemesi yapılırsa yine de engellenecektir.

BFD'nin iyi bir özelliği var - gönder e-postalar kaba kuvvet tespit edildiğinde. Bu seçeneği etkinleştirmek için EMAIL_ALERTS'i 1 olarak ayarlayın; Bildirim almak istediğiniz adresi EMAIL_ADRESS olarak belirtmeyi unutmayın.

BFD her 3 dakikada bir cron tarafından başlatılır ve /etc/cron.d dosyasında bulunur.

Aşağıdaki komutu kullanarak yasaklı IP adreslerinin bir listesini alabilirsiniz:

BFD'yi başlatmak için aşağıdaki komutu kullanın:

bfd -s

Özet

Bu, Yıldız İşareti (Trixbox) güvenliğine ilişkin incelememizi tamamlıyor.

Bu makalede yalnızca Yıldız İşareti (Trixbox) korumasının temel ilkeleri anlatılmaktadır. Güvenli VoIP sistemleri kurmak elbette bununla sınırlı değil.

Yazının orjinalini linkten okuyabilirsiniz

Günümüzde yıldız işaretine ve analoglara yönelik çeşitli saldırı türleriyle sıklıkla uğraşmak zorundayız. Yanlış yapılandırma ve basit kuralların bilinmemesi, PBX Yıldız İşareti kullanan bir kuruluş için mali kayıplara yol açar.

Bu yazımızda Asterisk 13'ün kurulum sonrası ilk güvenlik mekanizmalarına bakacağız ve mekanizmalara değinmeyeceğiz. Linux güvenliği. Aşağıda sisteminizin güvenliğini sağlamaya yardımcı olacak bir dizi kuralı açıklayacağız:

1. Tüm ağ cihazlarında (Yıldız işareti, IP telefonlar, VoIP ağ geçitleri) hacklenmeye karşı dayanıklı şifreler ve oturum açma bilgileri.

SIP hesapları, yöneticiler, Yıldız işareti yöneticileri ve ağ cihazlarının şifreleri en az 13 karakterden oluşmalıdır (harfler, sayılar, özel karakterler, büyük/küçük harf değişimi). Sistemde yönetici, yönetici, yönetici vb. oturum açma bilgilerini kullanmayın.

2. Yıldız işaretinde doğru SIP yapılandırması – sip.conf.

Tarayıcılara karşı koruma sağlamak için standart SIP bağlantı noktasını değiştirmeli, misafir çağrılarını ve kayıtlarını yasaklamalı, çakışmalı aramayı, kanal durum bilgilerine aboneliği vb. yapmalısınız. Tam tanım genel sip.conf parametreleri makalede açıklanmıştır. Aşağıda yıldız işareti sunucusu için yorumlarıyla birlikte yapılandırdığım sip.conf dosyası bulunmaktadır:

Context=default ;Giden aramalar için varsayılan olarak kullanılmayan bir bağlam atayın Allowguest=no ;Konuk (kimlik doğrulama olmadan) bağlantılarını yasakla match_auth_username=no ;"Kimden" yerine "kullanıcı adı" alanının kullanımını yasakla Allowoverlap=no ;Tek haneli sayıları yasakla çevirme;allowtransfer= hayır ;İletme alanının kullanımını yasaklıyoruz=CUCM11.5(1)SU3 ;Kendi alanımızı kullanıyoruz Alan adı sunucu (bu Yıldız işaretini gizledik) ;domainsasrealm=no ;recordonfeature=automixmonbindport=9050 ;SIP sinyal bağlantı noktasını değiştirin udpbindaddr=0.0.0.0 ;Varsayılan UDP adresi tcpenable=yes ;Etkinleştir TCP desteği (Avaya'nız olması durumunda) tcpbindaddr=0.0.0.0 ;Varsayılan TCP adresi;tlsenable=no ;tlsbindaddr=0.0.0.0 ;tcpauthtimeout = 30 ;tcpauthlimit = 100 ;websocket_enabled = true ;websocket_write_timeout = 100 taşıma=udp ; -default ile taşıma srvlookup=yes ;DNS adlarına yapılan çağrılara izin ver;pedantic=yes ;tos_sip=cs3 ;tos_audio=ef ;tos_video=af41 ;tos_text=af41 ;cos_sip=3 ;cos_audio=5 ;cos_video=4 ;cos_text=3 ; maxexpiry=3600 ; minexpiry=60 ;defaultexpiry=120 ;submaxexpiry=3600 ;subminexpiry=60 ;mwiexpiry=3600 ;maxforwards=70 Qualifyfreq=60 ;Ana bilgisayar kullanılabilirliği kontrolünü 60 saniyeye ayarlayın;qualifygap=100 ;qualifypeers=1 ;keepalive=60 ;notifymimetype= text/plain ;buggymwi=no ;mwi_from=asterisk ;vmexten=voicemail ;preferred_codec_only=yes disallow=all ;Tüm codec bileşenlerine izin verme izin ver=alaw ;Allow Alaw izin ver=ulaw ;Ulaw'a izin ver ;autoframing=yes ;mohinterpret=default ; ;parkinglot=plaza language=ru ;Sistemde Rusça dilini varsayılan olarak yap tonezone=ru ;Ru'da genel ton bölgesini belirleyin Relaxdtmf=yes ;Zayıf tanınan DTMF sinyallerinin tanınmasını etkinleştirin;trustrpid = hayır ;sendrpid = yes rpid_update=yes ; Gelen sunucunun hat durumundaki değişiklikler hakkında anında bildirimi; Trust_id_outbound = no ;prematuremedia=no ;progressinband=no callerid=CUCM11.5(1)SU3 ;Eğer bir yere CallerID kurulu değilse, bunu sembolik useragent=Cisco yapın -SIPGateway/IOS -12.x ;Ve PBX olarak Cisco-SIPGateway'e sahibiz ;promiscredir = hayır ;usereqphone = hayır dtmfmode=rfc2833 ;Telefondaki düğmelere basma tonunu ayarlayın;compactheaders = evet video desteği=yes ;Görüntülü aramayı etkinleştir support;textsupport=no maxcallbitrate=2048 ;Video iletişiminin maksimum bit hızı authfailureevents=yes ;Oturum açamıyorsa Eş durumunu ayarlayın=reddedildi her zamanauthreject=yes ;Kimlik doğrulama isteği reddedilirse yanıtta kullanıcının yanlış girildi, kaba zorlama kullanıcı adları için koruma auth_options_requests= yes ;SEÇENEK ve INVITE gönderilirken yetki gerektir ;accept_outofcall_message = hayır ;outofcall_message_context = mesajlar auth_message_requests=yes ;MESSAGE isteklerinin kimlik doğrulamasını etkinleştir ;g726nonstandard = evet ;outboundproxy=proxy.provider.domain: 8080 ;supportpath=evet ;rtsavepath=evet ;matchexternaddrlocally = evet ;dynamic_exclude_static = evet ;contactdeny=0.0.0.0/0.0.0.0 ;contactpermit=172.16.0.0/255.255.0.0 ;contactacl=named_acl_example ;rtp_engine=asterisk ;regcon metin=siregistrations regextenonqualify =yes ;Eğer kalite bir eş için etkinse ve düşerse, o zaman * bu uzantıyı regcontext'ten öldürür ;legacy_useroption_parsing=yes ;send_diversion=no ;shrinkcallerid=yes ;use_q850_reason = no ;refer_addheaders=yes autocreatepeer=no ;UAC kaydını devre dışı bırakın kimlik doğrulama olmadan t1min=200 ;Ana bilgisayara ve geri iletilen mesajlar için minimum gecikme;timert1 =500 ;timerb=32000 rtptimeout=600 ;600 saniye sonra RTP medya akışlarında herhangi bir etkinlik yoksa çağrıyı iptal edin rtpholdtimeout=300 ;Aramayı iptal edin 300 saniye sonra Tutma modunda RTP medya akışlarında herhangi bir etkinlik olmazsa;rtpkeepalive= ;session-timers=originate ;session-expires =600 ;session-minse=90 ;session-refresher=uac ;sipdebug = yes ;recordhistory=yes ;dumphistory=yes ;allowsubscribe=no ;subscribecontext = varsayılan ;notifyringing = hayır ;notifyhold = evet ;notifycid = evet callcounter=yes ; Çağrı sayacını etkinleştirin t38pt_udptl=yes ;T desteğini etkinleştirin. FEC hata düzeltmeli 38 faxdetect=yes ;CNG ve T.38'in tespitini etkinleştir nat=auto_force_rport,auto_comedia ;SDP'de aldığı değil, Asterisk'in aldığı bağlantı noktasında Nat'ı ve medya verilerini otomatik olarak bul ;media_address = 172.16.42.1 ;subscribe_network_change_event = evet ;icesupport = evet directmedia=no ;Yıldız işaretini atlayarak RTP trafiğini doğrudan eşler arasında yönlendiriyoruz ;directrtpsetup=yes ;directmediadeny=0.0.0.0/0 ;directmediapermit=172.16.0.0/16 ;directmediaacl=acl_example ;ignoresdpversion=yes sdpsession=SIP Çağrısı ;SDP oturumunun adını değiştirin sdpowner=CiscoSystemsSIP-GW-UserAgent ;SDP sahip dizesindeki kullanıcı alanlarını değiştirin ;encryption=no ;encryption_taglen=80 ;avpf=yes ;force_avp=yes ;rtcachefriends=yes ;rtsavesysname =yes ;rtupdate=yes ; rtautoclear=evet ;ignoreregexpire=yes ;domain=customer.com,customer-context ;allowexternaldomains=no ;allowexternaldomains=no ;fromdomain=mydomain.tld ;snom_aoc_enabled = yes jbenable=yes ;Kullanımını etkinleştir gecikmeleri telafi etmek için RTP arabelleği;jbforce = hayır jbmaxsize=200 ;Maksimum RTP arabellek boyutunu 200 ms'ye ayarlayın;jbresyncthreshold = 1000 ;jbimpl = sabit ;jbtargetextra = 40 ;jblog = hayır

3. Standart olmayan IAX bağlantı noktasını kullanıyoruz.

Bunu dosyada yapmak için /etc/asterisk/iax.conf kısımda parametreyi değiştir bağlantı noktası=4569 parametre başına bağlantı noktası=9069

4. Yıldız işareti farklı bir kullanıcı (root değil) olarak başlatılmalıdır. Bunun nasıl yapılacağı içinde yazılmıştır.

5. SIP Uzantıları için izin verilen IP adreslerini veya ağlarını ayarlayın.

reddet=0.0.0.0/0.0.0.0 ;Her şeyi reddet izin=10.0.0.0/255.0.0.0 ;Bilinen izne izin ver=172.20.0.0/255.255.0.0 ;Bilinen izne izin ver=192.168.0.0/16 ;Bilinene izin ver

6. Eş zamanlı aramalar için bir sınır belirleyin.

call-limit=2 ;Kullanıcının transfer yapabilmesi için değeri 2 olarak ayarlayın

7. Her kullanıcı için farklı giden yönlendirme kuralları belirleyin.

Tüm varsayılan rotaları kaldırmak ve bağlamlara göre ayırt edilen kendi rotanızı atamak gerekir:

  • Yerel setler
  • Yerel aramalar
  • Bölge çağrıları
  • Uzak mesafe aramaları
  • Uluslararası aramalar

ABC, DEF kodlarının tam listesi resmi Rossvyaz kaynağından alınabilir.
Varsayılan rota için şunu yapın:

Genişlet => _X.,1,Hangup()

8.

9.

10. Tüm telefon cihazlarını ayrı bir Voice VLAN'a bağlıyoruz. Burada ağ oluşturucuları zorlamamız gerekiyor.

11. Uluslararası 8-10 yönüne özellikle önem veriyoruz.

Sadece organizasyonda kullanılan yönlendirmeleri belirliyoruz ve gerektiği kadar ekliyoruz (genişletiyoruz). Ayrıca, bir kullanıcı veya saldırganın bilinmeyen bir uluslararası hedefi kullanması ve her bağlantı ve eşzamanlı çağrı sayısı için bir sınır belirlemesi durumunda da bir e-posta bildirimi göndeririz. Makalede 8-10 yönlerini korumaya yönelik hazır bir çözüm anlatılmaktadır.

12. Kullanılmayan kanalları ve hizmetleri devre dışı bırakın.

Örneğin, MGCP veya Skinny kullanmıyorsanız dosyadaki bu modülleri devre dışı bırakın. /etc/asterisk/modules.conf:

Noload => pbx_gtkconsole.so noload => chan_alsa.so noload => chan_console.so noload => res_ari.so noload => chan_dahdi.so noload => codec_dahdi.so noload => res_ari_device_states.so noload => res_ari_applications.so noload = > res_ari_channels.so noload => res_ari_events.so noload => res_ari_playbacks.so noload => res_ari_endpoints.so noload => res_ari_recordings.so noload => res_ari_bridges.so noload => res_ari_asterisk.so noload => res_ari_sounds.so noload => res_pjsip .so noload => cdr_mysql.so noload => res_phoneprov.so noload => cdr_odbc.so noload => cdr_pgsql.so ;======================= ===== ; PBX -- yüksüz => pbx_ael.so; Kanallar -- noload => chan_mgcp.so noload => chan_skinny.so noload => chan_unistim.so noload => chan_pjsip.so noload => chan_modem.so noload => chan_modem_aopen.so noload => chan_modem_bestdata.so noload => chan_modem_i4l. yani yük yok => chan_alsa.so yük yok => chan_oss.so ; Codec'ler -- noload => codec_lpc10.so ; Formatlar -- noload => format_au.so noload => format_gsm.so noload => format_h263.so noload => format_ilbc.so noload => format_jpeg.so ; Uygulamalar -- noload => app_image.so noload => app_zapateller.so noload => app_zapbarge.so noload => app_zapscan.so noload => res_config_ldap.so

13. Firewall kullanarak IP-PBX'e uzaktan erişimi kısıtlıyoruz.

sağlamayı planlıyorsanız uzaktan erişim yetkili çalışanlar için bunu kullanarak düzenlemek en iyisidir VPN sunucuları(örn. Açık VPN).

14. Dizinlere sınırlı haklar ayarlayın.

Site materyallerinin herhangi bir şekilde kullanılması yalnızca yazarın izniyle ve kaynağın zorunlu olarak belirtilmesiyle mümkündür.

Tarih: 09:56 28.07.2018

İnternette yıldız işaretinin hacklenmesi ve ardından operatörün cezalandırılması hakkında birçok hikaye var. Bir yerlerde Avustralya'da 15.000-20.000$ kaybetmeyi başaran küçük bir şirket hakkında bir hikaye vardı. Kimsenin böyle bir duruma düşmek isteyeceğini sanmıyorum. Sorun beklemeden, bilgisayar korsanlığı seçeneklerinin sayısını önemli ölçüde azaltacak ve tehlikeyi en aza indirecek belirli bir dizi önlemi uygulamak çok daha iyidir.

5060 yerine standart olmayan bağlantı noktası

Teknik olarak mümkünse, HER ZAMAN standart bağlantı noktası 5060'ı başka bir bağlantı noktasıyla değiştirin. Standart olandan ne kadar farklı olursa o kadar iyidir. Saldırganlar, çeşitli adresleri kullanarak bağlantı noktalarını tarayarak yıldız işaretinizi çok hızlı bir şekilde bulacaktır. Bu çok hızlı gerçekleşecek - şifremi tahmin etmeye yönelik ilk girişimler, yıldız işaretinin internette başlatılmasından sonraki 3 gün içinde tespit edildi.
Bağlantı noktası, bölümdeki sip.conf dosyasında yapılandırılmıştır:

Bağlama noktası=5060 => bağlama noktası=5172

Bu tür işlemlerden sonra toplayıcı sayısı neredeyse sıfıra inecektir.

Güvenlik duvarı kurma

Yıldız işareti bağlantı noktasına dışarıdan bağlanmayı yasaklıyoruz - bu, şifreleri tahmin etme yeteneğini devre dışı bırakacaktır. Ancak bazı SIP telefon sağlayıcıları, 5060 numaralı bağlantı noktanıza kendileri ulaşamadıklarında çalışmazlar; bu durumda, bu sağlayıcının sunucusundan bu bağlantı noktasına erişime izin vermelisiniz. Bir gün Beeline ile neden bağlantının olmadığını birkaç gün düşündüm, sonra 5060 numaralı bağlantı noktama IP erişimini açtım ve bağlantı ortaya çıktı.

Misafir çağrılarını devre dışı bırak

Kayıt olmadan çağrı almanız gerekmiyorsa sip.conf'ta aşağıdaki seçeneği devre dışı bıraktığınızdan emin olun:
izin misafir=evet => izin misafir=hayır ; Misafir çağrılarına izin verin veya reddedin (varsayılan evet'tir)

Yanlış şifreyle ilgili bildirimi devre dışı bırak

Hemen hemen herkesin 100, 200, 700 vb. gibi yıldız işaretli hesapları vardır. Varsayılan olarak Yıldız işareti, mevcut bir hesap için yanlış parolayla ilgili bir hata, var olmayan bir hesap için ise başka bir hata oluşturur. Özel yardımıyla Şifre tahmin etme yazılımı sayesinde bir saldırgan hızla her şeyi deneyebilir kısa sayılar ve yalnızca "yanlış şifre" yanıtı veren mevcut hesapların şifrelerini tahmin edin. Bunu önlemek için sip.conf'taki seçeneği değiştirin:
her zamanauthreject = hayır => her zamanauthreject = evet
Bu yapılandırma sonrasında Asterisk hatalı yetkilendirmelerde aynı yanıtı verecektir.

Hesaplar için karmaşık şifreler kullanıyoruz

Herhangi bir şifre tahmin edilebilir, tek soru zamandır. SIP cihazlarının kurulumu bir kez ve uzun bir süre için yapıldığından, karmaşık şifrelerden tasarruf etmeyin. Kendim için büyük, küçük harf + rakam kombinasyonlarından oluşan uzun şifreler kullanıyorum: secret=f64GCD74ssdZ42

Oturum açma bilgileriyle eşleşen tüm şifreleri kaldırdığınızdan emin olun. Bunlar şifreler için kullanılan ilk şifrelerdir.

Hesaplar için reddet/izin ver kullanıyoruz

Bir zorunluluk! İnternet bağlantısı gerektirmeyen tüm hesaplar için aşağıdaki satırları belirtiyoruz:

Reddet=0.0.0.0/0.0.0.0 izin=10.1.1.1/24 izin=10.1.2.1/24

10.1.1.1,10.1.2.1'in aralık olduğu yer yerel adresler bağlantının yapılacağı yer. yıldız işareti diğer adreslerden gelen bağlantıları kabul etmeyecektir.

Arama limiti ayarlama

Arama limiti=1

Varsayılan uzantıyı gereksiz yere kullanmıyoruz

Buna ihtiyacımız yok. Varsayılan olarak olması gereken her şey:

Genişlet => _X.,1,Kapat

Tüm aramalar için tek bir evrensel kural koymuyoruz

Aşağıdaki gibi kurallara hayır diyelim:

Uzatma => _X.,1,Çevir(SIP/$(EXTEN)@operatör)

Operatöre iletilen tüm gerekli sayı kombinasyonlarını açıkça yazıyoruz. Uluslararası iletişimi kullanmaya gerek yoksa, bunun kurallarını hiç açıklamayın. Neredeyse tüm bilgisayar korsanlığı vakaları yurt dışında arama yapmak için kullanılıyor.

;Acil durum hizmetleri uzantısı => _0X,1, Ara(SIP/$(EXTEN)@operatör) uzantısı => _0X,n, Kapat ;Moskova uzantısı => _8495XXXXXXX,1, Ara(SIP/$(EXTEN)@operatör) uzantısı => _8495XXXXXXXX,n, Kapatma uzantısı => _8499XXXXXXX,1, Çevir(SIP/$(EXTEN)@operatör) genişletme => _8499XXXXXXX,n, Kapatma uzantısı => _XXXXXXX,1, Çevir(SIP/$(EXTEN)@operatör) ) exten => _XXXXXXX,n, Kapat ;Şehirlerarası Rusya/Mobil dahili => _8XXXXXXXXXX,1, Dial(SIP/$(EXTEN)@operator) exten => _8XXXXXXXXXX,n, Kapat

Bugünkü makalemizde bir IP PBX'i yetkisiz erişime karşı nasıl koruyacağımız hakkında konuşacağız ve birkaç ipucu vereceğiz. basit ipuçları, bunu takiben telefon santralinizin güvenliğini önemli ölçüde artırabilirsiniz. Bu yazıda verilecek örnekler yıldız tabanlı IP-PBX'ler ile ilgilidir ancak birçoğu istisnasız tüm VoIP-PBX'ler için geçerlidir.

İlk olarak, bir saldırganın IP PBX'e erişim sağlaması durumunda hangi güvenlik açıklarının tehdit oluşturduğunu ve işletmenin ne gibi sonuçlarla karşı karşıya kalacağını bulalım.

Bilgisayar korsanlığı tehdidi

Bilgisayar korsanlığından farklı olarak kişisel bilgisayar veya posta, bir PBX'i hacklemek, bilgisayar korsanı için PBX sahibinin ödemek zorunda kalacağı ücretsiz aramalar anlamına gelir. Bilgisayar korsanlarının, saldırıya uğramış bir PBX'te yalnızca birkaç saat harcadıktan sonra muazzam miktarda para harcadığı birçok durum vardır.

Kural olarak saldırganların hedefi, genel ağdan erişilebilen IP PBX'lerdir. Çeşitli SIP tarayıcılarını kullanarak ve sistem açıklarını inceleyerek saldıracakları yerleri seçerler. Varsayılan şifreler, açık SIP bağlantı noktaları, yanlış yönetilen bir güvenlik duvarı veya onun yokluğu - tüm bunlar yetkisiz erişime neden olabilir.

Neyse ki tüm bu güvenlik açıkları tamamen ücretsiz olarak düzeltilebilir.

Güvenliği artırmak için basit adımlar

Gördüğünüz gibi bir IP-PBX'i dışarıdan müdahalelere karşı korumak o kadar da zor değil; önerilen ipuçlarını takip ederek sistemin güvenliğini ve güvenilirliğini önemli ölçüde artırabilirsiniz.