- PVSM.RU - https://www.pvsm.ru -
В среднем по статистике, в начале каждого месяца у 1-2 клиентов среднего оператора возникает ситуация. К ним приходит понимание — попали на деньги. Почему вначале месяца? В это время операторы печатают и отправляют счета клиентам за прошедший месяц.
Безопасность Asterisk обсуждается всеми, кто знает правильное написание этого слова. Хочется еще раз поднять вопрос безопасности в VoIP сетях, на этот раз со стороны работника SIP оператора, возможно, это близко к истине.
Мнение масс — Asterisk(далее *) ломается, очень часто, очень легко, очень *нужное вставить*. На деле ломается все. * чаще всего попадает в этот список потому что это open source, его устанавливают компании(в большинстве), которым не хватает денег на CUCM, с двумя CUBE и ASA в резерве. Дело не в его возможной “ущербности”, как открытого и бесплатного продукта, просто обычно он настроен не до конца, как и его окружение. И настраивают * администраторы и эникей, и делая это, они впервые знакомятся с VoIP.
Говорят делай — надо делать. Перво наперво, если Вам дали задание настроить * или внедрить IP телефонию в компании, нужно отбрехаться от всех дальнейших возможных моральных и финансовых проблем — “не несу ответственность, за подписью директора”, и только после этого настраивать.
Периодически на Хабре и в интернете встречаю такие [1] статьи [2], в них пишут в основном нужные и полезные вещи. Специально не гуглил, но на глаза не попадались статьи, где бы затронули такую штуку, как endpoint. Возможно где-то есть упоминания о безопасности шлюзов.
Расписывать одно и тоже не буду, многому уделено достаточное внимание, со своей стороны выделю, на мой взгляд, кое где незатронутые моменты. Не делайте чужую работу, а если взялись за нее, то следующим пунктам уделите побольше внимания.
Устанавливаем [3], допиливаем [4], настраиваем [5], защищаем [6], инспектируем [7], инспектируем #2 [8], тестируем [9].
К вышеупомянутым статьям хочется добавить немного отсебятины.
Если от * требуется только SIP то, очевидно, остальные chan_* не нужны.
В файл modules.conf добавляем все, чем не будем пользоваться:
noload => chan_jingle.so
noload => chan_skinny.so
noload => chan_iax2.so
noload => chan_console.so
noload => chan_mgcp.so
noload => chan_gtalk.so
Удаляем дефолтные conf файлы:
rm /etc/asterisk/extensions.conf
rm /etc/asterisk/sip.conf
И по инструкциям выше пишем свои.
Дополнительно к sip.conf:
[general]
useragent=Linksys/SPA8000-5.1.10
#в SIP пакетах будем определяться как Linksys SPA8000 такой то версии
sdpsession=Linksys SPA8000-5.1.10
#в SDP есть поле, в котором так же пишется имя агента, его тоже меняем, тогда и не только боты запутаются
И дефолтный контекст в extensions.conf:
[default]
#всем кто свалился в default контекст при вызове куда-либо делаем отбой
exten => _X.,1,Hangup
Сегодня * не герой дня. Подхожу к основной мысли этой статьи. Как многие могли заметить, администраторы в первую очередь хотят обезопасить * и это получается, если следуют рекомендациям. Но кто из Вас думает: а вдруг, слабым местом выступает endpoint?
Endpoint — это IP телефон, VoIP шлюз, к которому подключен факс, softphone, запущенный на компьютере менеджера, и другие точки попадания в VoIP сеть, установленные у конечного пользователя.
Побеспокойтесь о защите окружения, и не забывайте про это. На примерах объясню о чем речь.
Для удобства менеджмента и удаленного администрирования, часто, IP телефоны вывешивают наружу. В процессе работы для предупреждения возникновения возможных инцидентов сканировал адреса клиентов компании(оператора). Получались такие ссылки:
внешний_адрес [10]:8101
внешний_адрес [10]:8102
внешний_адрес [10]:8103
В данном случае 101,102,103 — добавочный номер, заведенный на телефон(админу же удобней). Пройдя по ссылке попадаем в web-интерфейс телефона, далее все зависит от вендора. Если это Cisco — админу повезло; Linksys — админу тоже повезло, скорее всего счет за МН не придет. Лучше не проверять что будет, если человек со злым умыслом получит хотя бы web доступ к телефонам Polycom.
Существуют и другие производители, за примерами далеко ходить не нужно. Китай славится техникой, хорошей, кстати, техникой. Выпускают они и noname IP Phone, чаще всего можно встретить под названием Fanvil BW210 [11] — звонит, форвардит, время показывает, дешевый и не глючит. У него есть несколько собратьев, отличаются названием, а в остальном даже коробка и web-интерфейс одинаковые. Выделяет его одна особенность, если память мне не изменяет, зайдя на него вот так:
ip_phone/config.txt [12] — получим конфиг и все реквизиты открытым текстом.
VoIP шлюзы, к сожалению, еще чаще показывают всемирной паутине. Обычно шлюз выступает в качестве “смесителя” технологий, но он так же может выступать как ip2ip. С телефона можно стащить данные, а через шлюз пролить трафик.
Для того кто ищет, подбор пароля займет не так много времени, как хотелось бы. Поэтому строго ограничивайте и разрешайте доступ только со “своих” адресов. К сигнализации это так же относится. На шлюз возможны три типа воздействия:
1. Жил был админ — следил за компьютерами, сетью и “офисной АТС”. Настроил сам по мануалам. Но что-то не заладилось у него, посыпались ночные МН вызовы. Честный провайдер, заботящийся о благополучии своего клиента, первый раз такие вызовы отследит и заблокирует, перезвонит утром клиенту, откланяется и спросит: “не доставил ли неудобство, заблокировав ночной трафик в Папуа-Новая Гвинея”.
Доказывали клиенту несколько дней, что звонки его, прежде чем он понял и решил что-то с этим делать. Ради интереса решил зайти на его внешний_адрес [10]:80, увидел там Trixbox, в интернете нашел default login/password администратора, ввел их и они подошли. Админ был настырный, винил нас, ругался и говорил, что у него все ОК! Клиент возмущался и требовал объяснений. Пришлось сделать несколько скриншотов внутреннего интерфейса Trixbox’а с детальным описанием ситуации, после чего контакт клиента по техническим вопросам сменился.
2. Оператор клиенту предоставляет услугу под названием “Виртуальная АТС”, “IP Centrex” и прочее. Услуга подразумевает VoIP трафик во внешних сетях, т.е оператор не привязывает регистрацию extension клиента к его IP адресу.
Админ клиента в биллинге увидел “левые” звонки и обратился за помощью. Сменили пароли к учеткам, перебили на телефонах. На следующий день ситуация повторилась. Просканировал адреса клиента, в открытом доступе висело порядка 50 телефонов(Polycom). Этого администратора не уволили.
Берегите себя и свою репутацию надежного специалиста!
Автор: caiser
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/voip/8898
Ссылки в тексте:
[1] такие: http://habrahabr.ru/company/myasterisk/blog/145024/
[2] статьи: http://habrahabr.ru/company/myasterisk/blog/130325/
[3] Устанавливаем: http://www.voip-info.org/wiki/view/CentOS+5.2+and+Asterisk+1.6.x+installation
[4] допиливаем: http://www.voip-info.org/wiki/view/Asterisk+non-root
[5] настраиваем: http://habrahabr.ru/post/113707/
[6] защищаем: http://tamkovich.com/2011/06/defending-asterisk-from-sip-flood-with-iptables/
[7] инспектируем: http://tamkovich.com/2009/04/asterisk-sip-security/
[8] инспектируем #2: http://wiki.shenhaoyu.com/doku.php?id=voip:asterisk:asterisk_remote_syslog
[9] тестируем: http://sipp.sourceforge.net/
[10] внешний_адрес: http://внешний_адрес
[11] Fanvil BW210: http://www.fanvil.ru/products/ip-telefony/BW210/
[12] ip_phone/config.txt: http://ip_phone/config.txt
Нажмите здесь для печати.