Geekly Articles each Day

VoIPネットワークのセキュリティ

統計によると、平均して、毎月の初めに、平均的なオペレーターの1-2人のクライアントが状況を持っています。 理解は彼らにやってくる-彼らはお金を得た。 なぜ月の初めに? この時点で、オペレーターは先月の請求書を印刷して顧客に送信します。

アスタリスクのセキュリティは、単語の正しいスペルを知っている人によって議論されます。 VoIPネットワークのセキュリティの問題を、今回はSIPオペレーターの従業員の側からもう一度申し上げたいと思います。おそらくこれは真実に近いでしょう。

大衆の意見-アスタリスク(以下*)は、非常に頻繁に、非常に簡単に、*挿入するために*非常に必要です。 実際、すべてが壊れています。 *ほとんどの場合、このリストに含まれます。これはオープンソースであり、CUCMに十分な資金がない企業(大多数)によってインストールされ、2つのCUBEとASAが予備になっています。 オープンで無料の製品として考えられる「欠陥」の問題ではなく、環境のように通常は最後まで調整されていないだけです。 そして、管理者とenikeyは*を設定し、これを行うと、彼らは最初にVoIPに精通します。

彼らは「する」と言います。 まず最初に、会社でIPテレフォニーをセットアップまたは実装するタスクが与えられた場合は、考えられるすべての道徳的および経済的な問題をすべて取り除く必要があります。

時々、Habréやインターネットでこのよう 記事に出会い、彼らは主に必要かつ有用なことを書いています。 私は特にグーグルではありませんでしたが、エンドポイントなどに触れる記事に出くわしませんでした。 おそらくどこかにゲートウェイのセキュリティについての言及があるでしょう。

私は同じことをペイントしません、多くの注意が払われました、私の部分のために、私の意見で、いくつかの影響を受けていないポイントを強調します。 他の人の仕事をしないでください。しかし、それを引き受けた場合は、次の点にもっと注意を払ってください。

知識を組み合わせる


インストール終了構成保護検査検査#2テスト

上記の記事に少しギャグを追加したいと思います。
* SIPのみが必要な場合、明らかに残りのchan_ *は不要です。
使用しないモジュールをすべてmodules.confファイルに追加します。
noload => chan_jingle.so
noload => chan_skinny.so
noload => chan_iax2.so
noload => chan_console.so
noload => chan_mgcp.so
noload => chan_gtalk.so

デフォルトのconfファイルを削除します。
rm /etc/asterisk/extensions.conf
rm /etc/asterisk/sip.conf
そして、上記の指示に従って、自分で書いてください。

sip.confに加えて:
[general]
useragent=Linksys/SPA8000-5.1.10 #SIPパケットの#は、このバージョンのLinksys SPA8000として定義されます
sdpsession=Linksys SPA8000-5.1.10 #SDPには、エージェントの名前も書き込まれるフィールドがあり、ボットだけでなく混乱することもあります。

そしてextensions.confのデフォルトのコンテキスト:
[default]
exten => _X.,1,Hangup [default]
exten => _X.,1,Hangup #どこかで呼び出されたときにデフォルトのコンテキストに陥った全員へのハングアップ

少し、「斜め!」


今日*はその日の主人公ではありません。 私はこの記事の主なアイデアに来ます。 多くの人が気づいているかもしれませんが、管理者は主にセキュリティを確保したいと考えており、これは推奨事項に従っている場合に起こります。 しかし、エンドポイントが弱点である場合はどうでしょうか?
エンドポイントは、IP電話、FAXが接続されているVoIPゲートウェイ、マネージャーのコンピューターで実行されているソフトフォン、およびエンドユーザーによって確立されたVoIPネットワークへのその他のエントリポイントです。

環境の保護を心配し、それを忘れないでください。 例を挙げて説明します。
管理とリモート管理の利便性のために、多くの場合、IP電話がハングアウトします。 その過程で、起こりうるインシデントを防ぐために、彼は会社の顧客(オペレーター)の住所をスキャンしました。 次のリンクが取得されました。
external_address :8101
external_address :8102
external_address :8103

この場合、101,102,103は電話に巻かれた内線番号です(管理者の方が便利です)。 リンクをたどって電話のWebインターフェイスに到達すると、それはすべてベンダーに依存します。 シスコの場合-管理者は幸運です。 Linksys-管理者も幸運です。MNの請求書は届かないでしょう。 悪意のある人が少なくともPolycom電話へのWebアクセスを取得した場合、何が起こるかを確認しない方が良いでしょう。

他のメーカーもあります。たとえば、遠くまで行く必要はありません。 ちなみに、中国は技術、優れた技術で有名です。 彼らはnoname IP Phoneをリリースしています。ほとんどの場合、 Fanvil BW210という名前で見つけることができます-鳴り、転送、タイムショー、安くてバギーではありません。 彼には複数の兄弟がいますが、名前は異なりますが、それ以外はボックスとWebインターフェースは同じです。 私の記憶が私に役立つなら、1つの機能はそれを次のように区別します:
ip_phone / config.txt-構成とすべての詳細をプレーンテキストで取得します。

残念ながら、VoIPゲートウェイはWorld Wide Web上でさらに頻繁に表示されます。 通常、ゲートウェイはテクノロジーの「ミキサー」として機能しますが、ip2ipとしても機能します。 電話からデータを盗み、ゲートウェイを介してトラフィックを流すことができます。

探している人にとっては、パスワードの選択に必要な時間はかかりません。 したがって、「自分の」アドレスからのアクセスのみを厳しく制限および許可してください。 これはアラームにも適用されます。 ゲートウェイへの露出には3つのタイプがあります。
  1. パスワードの選択と、管理パネルへのアクセス。
  2. ゲートウェイにSIPアカウントがあり、アドレス検証がない場合、またはゲートウェイが完全に構成されていない場合-詳細を選択してトラフィックを注ぎます。
  3. 迷惑メールのスパム。 100%のプロセッサ負荷、通常の要求は処理されません-サービストラフィックは有用なトラフィックを拒否しました。

まとめ




PS練習からのいくつかのケース

1.管理者がいました-彼はコンピューター、ネットワーク、および「PBX」を見ました。 マニュアルに従って自分で設定しました。 しかし、彼に何か問題があり、MNの毎晩の電話が降りました。 クライアントの幸福を気にする誠実なプロバイダーは、そのような通話を初めて追跡してブロックし、午前中に顧客に電話して、折り返し電話して「パプアニューギニアの夜の交通をブロックして不便を感じませんでしたか」と尋ねます。
彼らは数日間クライアントにそれを証明し、彼がそれを理解し、それについて何かをすることを決定する前に彼に電話したことを証明した。 興味のために、私は彼のexternal_address :80に行くことにしました。そこにTrixboxがあり、インターネット上の管理者のデフォルトのログイン/パスワードを見つけて入力し、それらが表示されました。 管理者は粘り強く、私たちを非難し、呪いをかけ、すべてが大丈夫だと言いました! クライアントはinし、説明を求めました。 状況の詳細な説明とともにTrixboxの内部インターフェイスのスクリーンショットをいくつか撮る必要があり、その後、クライアントの技術的な問題に関する連絡先が変更されました。

2.オペレーターは、「仮想PBX」、「IPセントレックス」などと呼ばれるサービスをクライアントに提供します。 このサービスは、外部ネットワークでのVoIPトラフィックを意味します。つまり、オペレーターは、クライアントの内線番号の登録をそのIPアドレスにバインドしません。
請求のクライアントの管理者は「左」の呼び出しを見て、助けを求めました。 アカウントのパスワードを変更し、電話で殺した。 翌日、状況は繰り返されました。 彼はクライアントのアドレスをスキャンし、約50台の電話(Polycom)がパブリックドメインにハングアップしました。 この管理者は解雇されませんでした。

自分自身と信頼できるスペシャリストとしての評判に注意してください!

Source: https://habr.com/ru/post/J145206/

More articles:


All Articles