Яндекс.Метрика
Успешные телекоммуникации Успешные телекоммуникации   Вконтакте
ООО "Успешные телекоммуникации"
Тел. +7 (499) 705-75-71
email: info@luckycom.ru
Лобня, ул. Юбилейная, д.4 к. 5 пом. 004
Создание сайтов
Продвижение сайта
Продажа оборудования
Техподдержка
Строительство оптики
Слаботочные сети (СКС)
Услуги дата-центра
Почитать (Статьи)

ЗАЩИТА АСТЕРИСКА.

Пожалуйста, нажмите "нравится", если понравился текст. Лайки помогают нам писать больше полезного материала :)

Поступило несколько вопросов относительно защиты астериска, но сначала давайте разберемся, а зачем вообще защищать? 

Защита астериска

Существует ряд злоумышленников, которые находят уязвимости в астериске и использовав их резко сливают большое количество серого траффика, т.е. допустим сливают 10000 мин исходящих вызовов, например на Гваделупу, где стоимость минуты у оператора только составит порядка 2-3 руб, а у абонента стоимость в большинстве случаев будет за 10 руб/мин. Путем несложных математических вычислений получаем, что абонент заплатит оператору минимум 100 т.р. за чужой траффик. 

Конечно у операторов есть механизмы защиты от вброса больших объемов траффика, в короткий промежуток времени, например, оценка загрузки линии по эрлангам и в случае превышения допустимого значения система выдает сигнал и может блокировать абонента. Однако если пират хитер, то может постепенно вбрасывать траффик в течение месяца и абонент увидит этот вброс только по счету пришедшему от оператора. Судебные разбирательства по таким вопросам обычно идут в пользу оператора и абонент полностью оплачивает пиратские расходы. 

Также надо отметить что мониторинг действий пиратов можно наблюдать по CLI астериска.

Теперь как защитить Астериск:

1. Всегда менять логины и пароли на вех сетевых устройствах. Особенно на IP телефонах, VoIP шлюзах и т.д.
2. Использовать нестандартные порты SIP, IAX, SSH.
3. Использовать пользователя с правами доступа по SSH.
4. Отключить гостевые вызовы (guest-звонки) и регистрации. Необходимо отредактировать /etc/asterisk/sip.conf
строку Allowguest=yes заменить на allowguest=no; Allow or reject guest calls (default is yes). Данный вариант подойдет не всем пользователям, иногда бывает, что отказаться от guest-вызовов не представляется возможным.
5. Установить лимит звонков. В том случае, если вас уже взломали, потерять меньше денег поможет строка Call-limit=1, прописанная в настройках ваших внутренних абонентов Эта строка ограничивает количество одновременных соединений.вашего внутреннего абонента.
6. Использовать различные правила исходящей маршрутизации. например: 8495XXXXXXX, 8961XXXXXXX, 89ХХXXXXXXX и т.д.
7. Отключить ответ о неверном пароле
8. Использовать Iptables и Fail2ban. Fail2ban помогает вылавливать строки вида «failed for ’127.0.0.1′ – Wrong password» и «failed for ’127.0.0.1′ – Peer is not supposed to register». Fail2ban может существенно сократить количество мусорного SIP трафика. 


 



141730, МО, г.Лобня, ул.Юбилейная, д.4 к.5 п.4
Тел. +7 (499) 705-75-71
email: info@luckycom.ru
© 2017, Luckycom
Доступ в интернет
Продвижение сайта
Слаботочные сети (СКС)
Строительство оптики
Создание сайтов (SEO)
Антенны 3G
Полезности (Статьи)
Видеонаблюдение
Продажа оборудования
Услуги дата-центра
О компании
Техподдержка