On December 12, 2017 8:18:29 AM GMT+02:00, Mihai Badici <mi...@badici.ro> wrote: >Salut, > >Am pus undeva un Asterisk cu freePBX şi am conectat la ea un telefon de >la mine de acasă ( nu mai aveam telefon fix de 10 ani! :) ) > >Din când în când, amicii care scanează fără încetare reuşesc să facă să >sune telefonul aiurea. > >M-am tot uitat la log-uri şi cel puţin impresia mea e că se întâmplă >aşa: atacatorul trimite invite-uri la întâmplare, telefonul meu >răspunde >cu IP-ul după care deschide o sesiune directă pe IP-ul de acasă. Deci >una din variantele pe care le pot aplica este ca acasă să blochez din >firewall pachetele care nu vin de la PABX-ul meu. Corect. Fa-o. Vezi daca vers de firmware pe care o ai pe tel e recenta si daca ai in ea posibilitatea de a face tunele (Openvpn).. Daca ai, configureaza-l astfel incit sa nu mai fie expus pe net direct si sa se lege la PBX prin vpn. Eu am de aproape 6 ani un freePBX cu citeva sute de tel Yealink pt colegi si citeva polycom pt conferinte. Regulile pe care le-am aplicat sint:
Regula nr 1: nu lasa deschis accesul spre PBX decit catre cine chiar are voie sa il acceseze. Daca poti sa ii pui in fata si un snort, do it Regula nr 2: nu lasa telefoanele sa comunice decit cu centrala ta Regula nr 3: pt telefoanele din sedii cu care nu exista deja tunele site-2-site, telefonul are tunel Openvpn cu freePBX direct din telefon. >Cel puţin pe >computerul meu unde am un linphone pare să meargă. > >M-ar interesa dacă: > >1. Scenariul meu e comun, s-a mai lovit cineva de situaţia asta? Am mai >avut telefonul ăsta înregistrat la ekiga ( îl folosea maică-mea pentru >convorbiri în USA) şi problemele erau similare, de asta la un moment >dat >am renunţat la el ; dar nu m-a interesat prea mult pentru că nu eram eu >administrator la ekiga :) > >2. Există măsuri mai eficiente, de genul să nu răspunzi la INVITE decât >la extensiile autentificate? Sau poate scenariul e diferit şi greşesc >eu? ( m-ar interesa să pot rezolva problema "de la rădăcină", respectiv >de pe maşina cu asterisk) . > Am pus eu un fail2ban acolo, FreePBXul meu a venit cu fail2ban inclus... dar tot am blocat din firewall accesul catre el. > se pare că >fără >el eşti oricum mâncat ( nu ştiam cât de mare e amploarea atacurilor pe >domeniul ăsta) dar fail2ban ajută la alte chestii... E fff mare pt ca baietii incearca sa gaseasca tel/centrale neprotejate iar apoi vorbesc ei pe banii tai. _______________________________________________ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro