Защита със звездичка или няколко начина да се предпазите от отгатване на парола за SIP акаунт, блог
Мрежи, настройка на оборудване, мрежови услуги.
| Пряк път: | Начало на блога | Начален сайт | Форум |
| Ако нещо не сте разбрали или не сте намерили нещо - задайте въпрос в нашия форум и ние ще се опитаме да ви помогнем. |
Някой вече знае, някой не и спи спокойно, или по-скоро спи спокойно засега.
От колко време четете регистрационните файлове на вашияAsterisk сървър?
Някои от вас вече са видели или ще видят редовете в регистрационните файлове:
- Неуспешна регистрация от „100″“ за „188.165.215.79“ — Не е намерен съответстващ партньор
- Неуспешна регистрация от '"111" ' за '188.165.215.79' - Грешна парола
Повечето потребители се отнасят небрежно към паролите си, това е факт и ако е така, проверете дали вашите SIP номера нямат пароли като 123 или 1234.
Ако паролата бъде взета, тогава вие (или вашият клиент) ще получите пари, защото. чуждестранни разговори ще се извършват чрез вас, например до Куба или Северна Корея.
В мрежата има набор от sipvicious помощни програми:
4-те инструмента, които трябва да разгледате, са: -svmap -svwar -svcrack -svreport -svcrash
Инструментите:svmap - това е сип скенер. Когато се стартира срещу диапазони от ip адресно пространство, той ще идентифицира всички SIP сървъри, които открие по пътя. Също така има опция за сканиране на хостове в диапазони от портове.
svwar - идентифицира работещи вътрешни линии на PBX. Работещо разширение е това, което може да бъде регистрирано. Също така ви казва дали разширителната линия изисква удостоверяване или не.
svcrack — използва се програма за кракване на паролина удостоверяване на дайджест. Той може да разбива пароли както на регистриращи сървъри, така и на прокси сървъри. Текущите режими на кракване са или числови диапазони, или думи от речникови файлове.
svreport - може да управлява сесии, създадени от останалите инструменти и да експортира в pdf, xml, csv и обикновен текст.
svlearnfp - позволява ви да генерирате нови пръстови отпечатъци, като просто стартирате инструмента срещу хост. Той ще се опита да отгатне повечето стойности и ще ви позволи да запазите информацията в локалната база данни за пръстови отпечатъци. След това можете да изберете да го качите на автора, за да може да бъде добавен към базата данни.
svcrash - отговаря на SIP съобщения svwar и svcrack със съобщение, което причинява срив на стари версии.
И така, с тяхна помощ те ни сканират. Същите помощни програми ще ни помогнат да сканираме себе си и да направят живота труден на изродите, които са гладни за безплатни неща.
Нека започнем с изтеглянето на този набор от помощни програми (копието, което сме запазили).
Разопаковайте архива в папка с теми и можете да започнете да сканирате.
./svmap.py -p5060 192.168.1.1 -m ПОКАНИ
./svwar.py --force -e100-999 192.168.1.1
Отговорът може да бъде:
Възможно ли е да ги разбиете по някакъв начин? Мога. За да направите това, редактирайте /usr/local/etc/asterisk/sip.conf и добавете или разкоментирайте ред в раздела [общи]:
Когато входяща ПОКАНА или РЕГИСТРАЦИЯ трябва да бъдат отхвърлени по някаква причина, винаги отхвърляйте с „401 неупълномощен“, вместо да уведомите заявителя дали има съответстващ потребител или партньор за тяхната заявка.
След като промените sip.conf, отидете на конзолата на Asterisk:
и приложете промените:
звездичка*CLI> глътка презареждане
Сега да сканираме отново:
./svwar.py --force -e100-999 192.168.1.1
Отговорът от скенера се промени и изглежда по следния начин:
Както можете да видите, списъкът с номера вече не се издава, което ни е необходимо.
Какво друго можем да направим?
A. Например затворете чуждестранни дестинации (кодове на държави) в плана за набиране, които нито вие, нито вашите потребители звъните, или дори блокирайте достъпа до международни разговори.
Добавете към /usr/local/etc/asterisk/extensions.conf към секцията, където имате достъп до града:
B. Можем също така да анализираме логовете на сървъра на Asterisk със скрипт и да забраним всички изроди, които вземат паролата със защитна стена (ipfw) на сървъра.
Нашата версия на такъв скрипт може да се види, като следвате връзката: http://subnets.ru/files/protect_aster.txt
1. Запазете кода на скрипта на вашия сървър
2. Преименувайте файла на protect_aster.sh
3. Направете скрипта изпълним:
chmod a+x protect_aster.sh
4. Добавете правило към вашата защитна стена ipfw:
ipfw добави XXX отхвърли ip от "table(56)" към мен
където XXX е номерът на правилото.
5. Добавете скрипт, който да се изпълнява чрез crontab, редактирайте /etc/crontab:
C. В /usr/local/etc/asterisk/sip.conf, когато описвате потребителски секции (техните номера), посочете:
Паролите трябва да са с дължина най-малко 6 знака, използвайки букви и цифри.
В този пример на потребителя е разрешено да се свързва само от подмрежата 217.172.16.74/30 и му е отказано от всички останали. Не забравяйте също да добавите паролата (secret=Xm32rQ) към /usr/local/etc/asterisk/users.conf.
D. Промяна на плана за изходящо набиране. Добавете някакъв префикс към номера, например 004 и го "отрежете" (в моя пример се оказват 3 цифри), преди да го изпратите на вашия доставчик: exten => _004 8X.,1,Dial(SIP/$:3 >@sip-provider,60,rT)
Тези. за набиране на стационарен номер, потребителяттрябва да набере004 84951234567, фрилоудерът не може да знае това със сигурност, следователно той ще прекъсне и ние ще му помогнем, като добавим: exten => _8X.,1,възпроизвеждане(pbx-невалиден)
Тук можете да оставите вашето "добро" гласово пожелание за такива изроди. Точно това направих. каза всичко, което мисля за тях.
Надяваме се, че тези не хитри трикове ще ви помогнат да останете с парите и да спестите нервите си.