Да перебирают всё подряд и доменное имя тут вообще никакой роли не играет.
DJs3000 ( 2013-06-26 17:17:15 +0400 )редактироватьесли в Астере стоит ограничение по домену и доменное имя в запросе REGISTER правильно не указано подборщиком то подбор не сработает - это же очевидно. не понимаю - зачем сразу минусовать если можно сначала подумать? обычно в destination запроса REGISTER или INVITE хакеры указывают ip адреса а не домен - просто потому что они как правило его не знают... или вы не в курсе возможностей Астериска по виртуальному хостингу АТС?
octopas ( 2013-06-26 17:59:38 +0400 )редактироватьне переживайте, у вас еще есть чуток кармы. по теме - большинство сканнеров експлуатируют уязвимости. домена не помогут, но создают проблемы некоторым теелфонам.
meral ( 2013-06-26 19:20:33 +0400 )редактироватьбольшинство сканеров сыпят инвайтами на премиум направления в расчете на совсем уж зеленого админа у которого открыт международный транк законтаченный на контекст default (клиника) или бомбят запросами регистер тупо по словарю (таких атак довольно мало встречал). больше им ничего не надо. чтобы попасться таким нужно иметь совсем уж кривые руки... наверное только если узер введет пароль 12345 на учетке 12345 и файлтубан не успеет поймать... не говорю о переполнении буфера и прочие специфичные для конкретных версий софтсвича уязвимости или экзотика типа подделки адреса в SIP пакетах... на карму - пофиг :-) про проблему с телефонами - согласен... есть такое...
octopas ( 2013-06-26 20:13:34 +0400 )редактироватьРазрешаем доступ к 5060 только с ип провайдера и что ещё нужно? нужна динамика лепим VPN
DJs3000 ( 2013-06-27 00:30:40 +0400 )редактироватьoctopas это не форум. это база знаний. если хочется повыяснять отношения - идите на базар. в ваших ответах основная проблема в том что 90% из них неверны. о чем читающий топик по ссылке из гугла не в курсе. офтопик буду удалять.
meral ( 2013-06-27 02:26:34 +0400 )редактироватьбред а не ответ - я поехал мля в Китай, пытаюсь через Bria зайти к себе - какое у мя там доменное имя - одному Будде известно! Допускать регистрацию извне от permit сети 0.0.0.0 нужно ЛИШЬ ДЛЯ АККОВ, КОТОРЫЕ ГУЛЯЮТ ПО МИРУ С ДИНАМИЧЕСКИМ IP!!! и там заренее НЕ ИЗВЕСТНО, ЧТО ЗА ПРОВ!!!
Zavr2008 ( 2013-06-27 16:21:01 +0400 )редактироватьа он не это имел вв виду. он имел в виду что вы испоользуете pbx_ru.mycompany.ru когда регистрируетесь. пробелема в том, что этот "эксперт" не учел что при использовании домена будут проблемы в астериске ниже 1.8 и с некоторомы софтфонами и телефонами в люой версиии.
meral ( 2013-06-27 16:27:59 +0400 )редактироватьэксперты без кавычек видимо всегда ставят в регистрации на телефонах IPшник, даже если используется DNS SRV, и меняющиеся IP через SRV запись. Нуну... Или "высоконагруженное" решение из 10 телефонов - это максимум на что сэр рассчитывает... какое уж там распределение нагрузки... Телефоны надо ставить те которые работают по стандартам и снести (или заапгрейдить) наконец устаревшее ПО - как совет...
octopas ( 2013-06-27 17:02:32 +0400 )редактироватьконечно.а еще не ставить астриск успокойтесь,А? у меня достаточно инсталяций выше 1к пользователй.
meral ( 2013-06-27 17:15:12 +0400 )редактироватьну да, в своем ответе чел малость показал своё незнание RFC SIP.. domain ставитца глобально на весь сервак. после этого извне ФИЗИЧЕСКИ уже не зайти НИКОМУ. чел видимо не в курсе про deny=0.0.0.0/0.0.0.0 и permit=216.207.245.47/255.255.255.255.... Коль уж зашла тема: http://www.voip-info.org/wiki/view/Asterisk+sip+permit-deny-mask
Zavr2008 ( 2013-06-28 12:15:37 +0400 )редактироватьм. я бы не был так категоричен насчет одного domain/realm. в последних версиях чтото меняли.
meral ( 2013-06-28 12:19:13 +0400 )редактировать