Встретился с интересной вещью, в Нагиосе есть модуль для мониторинга SIP серверов, который опрашивает мой Астериск на предмет его работоспособности, дак вот - этот модуль тупо отсылает запрос OPTION с определенным екстеном:

/usr/local/scripts/nagios/check_sip -u sip:6хххххх@1хх.ххх.ххх.ххх

Этот екстен попадает в дефолтный контекст и если он существует приходит ответ SIP/2.0 200 OK ну и в Нагиосе отображается все нормально, при не правильном екстене приходит ответ SIP/2.0 404 Not Found, т.е. таким образом можно путем перебора определить какие екстены есть в дефолтном контексте без какой либо авторизации, по сути это уязвимость(как минимум для операторов связи), работает как в 1.4 так и в 1.6.

И что интересно по этому поводу в книге "Hacking exposed Voip" написано, что в астериске как раз таки должен приходить одинаковый ответ SIP/2.0 200 OK как при правильном так и при неправильном екстене (по крайней мере из их экспериментов). Дак вот вопрос кто и что может сказать по этому поводу, можно ли как нить от этого избавиться?? И вообще это опечатка книги или что то не так у меня? и устранена ли данная дырка в последней версии?

alwaysauthreject?

Посмотрите здесь http://asteriskpbx.ru/wiki/secure-asterisk, по поводу default контекста. Если у Вас на сервере Астериск разрешены гостевые звонки для SIP (в sip.conf, в секции [general] указано allowguest=yes), тогда там же укажите контекст по умолчанию [default], а для реальных sip пиров указывайте другие, не default контексты. В свою очередь в extensions.conf, укажите контекст [default], в котором (как писал Макс, см. ссылку), необходимо все звонки завершать: exten => .X,1,Hangup. Можно еще круче сделать этот контекст: прописать какое-нить уведомление на мыло админу Астериска. Тут уже как фантазия позволяет. ИМХО

Ну вот если в дефолтном контексте прописываем exten => .X,1,Hangup, тогда при любом екстене приходит ОК, что и следовало ожидать ))) А allowguest у меня не стоит, походу ответ на SIP OPTION приходит в любом случае основываясь на дефолтном контескте
Короче еще раз делаем вывод, что никогда не надо использовать дефолтный контекст прописанный в sip.conf, иначе можно схватить много геммороя...

Вот еще бы дырку с SIP REGISTER как нить закрыть, чтоб и имена пользователей брутфорсом нельзя было подобрать, там когда пользователя не существует приходит 403 FORBIDDEN, надо конечно еще пароль подобрать, но все же....

Это не дырка, это так в RFC сказано делать. Есть опция alwaysauthreject которая должна уравнивать поаедение в случаях когда пользователь существует и нет. Hacking exposed Voip если мне память не изменяет (с кем бы?) написана по 1.2 или по раннему 1.4

Она по умолчанию yes. Так что если не указано обратное, то все-таки установлена эта опция

Ну да, это в общем то не дырка если правильно, а как и в большинстве других случаев уязвимость протокола, ладно всем пасибо за информацию, это уже лучше, теперь я чувствую себя в большей безопасности... ))))

Не хочу Вас расстраивать, но то что Вы чувствуете не означает TRUE. Это как в том в фильме ДМБ:
-- Видешь лес?
-- Вижу...
-- А кабана видишь?
-- Нет, не вижу...
-- А он там есть...

там не про кабана, а про суслика

Да, перепутал с тем солдатом, который притворялся кабаном :) Но сути не меняет ....