Пожалуйста, войдите здесь. Часто задаваемые вопросы О нас
Задайте Ваш вопрос

взлом.. или ненайденная мной уязвимость

1

на днях в Master.csv были замечены много-много строк, которые начинались с "","100","263732210440","dial:default","100",...
т.е. пустой логин, при этом у меня в конфигах нет даже логина "100"!
при этом у меня логируются все пакеты между астериской и радиус-сервером, и там нет пакетов, связанных с этими звонками!
КАК это могло произойти?? может, кто-нибудь сталкивался..? или умеет пользоваться гуглом лучше меня..

удалить закрыть спам изменить тег редактировать

спросил 2011-08-25 10:01:37 +0400

svet Gravatar svet
51 6 1 7

Comments

попробуй связать CDR запись с логами астера по времени и покажи alexcr ( 2011-08-25 10:06:27 +0400 )редактировать
Уязвимость в настройках . Если это sip , то allowquest и еже с ними. zzuz ( 2011-08-25 10:45:54 +0400 )редактировать

2 Ответа

0

да, действительно, проблема в allowguest
но если ставить allowguest=no , то возникает другая проблема: из внешки к нам звонки не идут. ругаются на неизвестного юзера xxx@server.ru, где XXX -- подставляет циска. создаю юзера xxx в конфиге, и звонок воообще стопорится. какое из этих зол выбрать -- не представляю.

ссылка удалить спам редактировать

ответил 2011-08-25 13:08:26 +0400

svet Gravatar svet
51 6 1 7

Comments

Из зол выбирать не надо. Надо нормально настроить, тогда зла вообще ни одного не появится. glukinho ( 2011-08-25 13:11:32 +0400 )редактировать
glukinho тогда, можешь, знаешь, как сделать, чтобы звонки из внешки ходили, но незареганные юзеры через нас во внешку не звонили? svet ( 2011-08-25 13:14:37 +0400 )редактировать
insecure=invite у пира и чтобы host был указан и permit/deny zzuz ( 2011-08-25 13:31:47 +0400 )редактировать
0

в sip.conf в [general] у нас указано:

context=sip-incoming            ; Default context for incoming calls

вот в контексте sip-incoming разрешаем звонки только на внутренние номера.

а для нужных пиров уже указываем "полноценные" контексты, например:

[office-phone](!)
type=friend
context=office
host=dynamic
disallow=all
allow=alaw
deny=0.0.0.0/0.0.0.0
permit=10.0.0.0/255.0.0.0

[int201](office-phone)
secret=xxxxx

[int202](office-phone)
secret=yyyyy

ну и в экстеншенах что-то вроде:

[office-mini]
exten => _2XX,n,dial(sip/int${EXTEN})
exten => _2XX,n,Busy(10)
exten => _2XX,n,hangup()

[sip-incoming]
exten => s,1,answer()
exten => s,n,wait(1)
exten => s,n,resetcdr()
exten => s,n,background(dial-exten-tone)
exten => s,n,WaitExten(15)
exten => s,n,Dial(sip/int201)
exten => s,n,hangup()

include => office-mini


[office]
include => office-mini

exten => _7XXXXXXXXXX,1,......
.......

то есть из экстншна office можно звонить и на внутренние, и на внешние номера, из sip-incoming - только на внутренние.
ну и плюс нечисловые логины на внутренние номера (чтобы усложнить подбор), плюс по возможности ограничение по ip, плюс нормальные пароли, плюс fail2ban - всё это в сумме даёт некоторую защиту.

ссылка удалить спам редактировать

ответил 2011-08-25 18:10:33 +0400

edo Gravatar edo
51 4

обновил 2011-08-25 18:13:16 +0400

Ваш ответ

Please start posting your answer anonymously - your answer will be saved within the current session and published after you log in or create a new account. Please try to give a substantial answer, for discussions, please use comments and please do remember to vote (after you log in)!
[скрыть предварительный просмотр]

Закладки и информация

Добавить закладку

подписаться на rss ленту новостей

Статистика

Задан: 2011-08-25 10:01:37 +0400

Просмотрен: 1,400 раз

Обновлен: Aug 25 '11

Проект компании "АТС Дизайн"
Asterisk® и Digium® являются зарегистрированными торговыми марками компании Digium, Inc., США.
IP АТС Asterisk распространяется под лицензией GNU GPL.