Предлагаю выложить инфу о том какое SIP-оборудование (SIP-адаптеры, VoIP-шлюзы) безопасны а какие нет. Как его правильно настраивать, дабы избежать несанкционированного доступа к SIP-аккаунтам. Например у меня на Planet VIP-156 произошла кража SIP-аккаунта, которым воспользоволись мошенники. Мой SIP-адаптер смотрит в сеть Интернет напрямую, имет внешний IP. Пароли на web и на sip стояли очень сложные. Как его "взломали"? Какие дыры в безопасности устройств бывают и как их закрыть? http://u.to/mIoeAg ПРОСЬБА писать только грамотным компетентным людям без "воды" и по делу.
Вам ответили в ветке про фрод - ставьте ЛЮБОЕ оборудование за фаервол, на котором открывайте только нужные порты SIP порты и никто с оборудования ничего не украдет. Потому что попасть не сможет. У надежного оборудования вообще конфигурационный интерфейс отдельно, причем часто это СОМ порт. Что касается Planet VIP-156, у него, судя по инструкции есть версия прошивки RU в которой имеется NAT, DMZ и виртуальные сервера. Проверьте версию прошивки, залейте ту, которая дает эти возможности и воспользуйтесь советом, который был написан в ветке про фрод. Если при этом на 80 порту со стороны WAN пропадет доступ к web интерфейсу, пробрасывайте все потенциально опасные порты (гугол, яндекс) на несуществующий IP. Если не пропадет, значит правила форвардинга ниже в таблице маршрутизации и нужно покупать хороший роутер, заливать в него OpenWRT или DDwrt прошивку и настраивать на его фаерволе правило "deny all" для входящих. Кроме разрешенного SIPразумеется.
Лнукс, разработчики, инструкция и тысячи пользователей знают, что это не так. Устройство не поместит себя в DMZ, оно делает DMZ, то есть при обращении к IP устройства со стороны WAN, если включена и настроена DMZ в iptables будем маршрут все входящее роутить на прописанный в качестве DMZ IP. Вопрос в том, где в таблице маршрутизации будут правила по настроечным интерфейсам. В общем это не сложно, но нужно курнуть взатяг iptables и прочий маскарадинг - NAT
Универсальный рецепт. 1. Перевесить все открытые снаружи порты на нестандартные, например, 5060 -> 25666, 22 -> 45267 и т.д. 2. Использовать _очень_ сложные пароли как та транки, так и на экстеншны. 3. Везде, где можно, поставить type=peer. 4. Настроить fail2ban. 5. PROFIT!!!
Даже не буду иронизировать на это. Скажу только, что в ДМЗ ничаво стоящего не ставят. В т.ч. и АТС. А если и ставят то дубликат (не помню как это по умному называется). Потому как это ж полностью открытое место, почти не отличающееся от прямого подключения по моему. Вообщем давайте вернёмся с небес на землю.... ______________ П.с. И вообще не проще ли тады фаервольное правило создать?
Дело не столько в оборудовании, а в том как оно настроено. Как видно из приведённой по ссылке статье, взлом начинается с пингования ip адрессов и нахождения VoIP устройств подключенных на прямую. Соответственно первое что можно сделать - это предотвратить это. Т.е. либо поставить спереди маршрутизатор либо заблокировать возможность пингов средствами втроенного фаервола (если он позволяет это). Следующее это наличие telnet, ftp, ssh и некоторых других интерфейсов удалённого управления устройством, которые будучи включенными могут быть использованны. Соответственно нужно их отключить. Ну и самое сильное оружие - это фаервол настроенный на блокировку всего траффика, кроме необходимого, и только с определённых ip адресов. Как-то так в общем...
Почему же понял. Вы просто любите заниматься секcом с закинутыми за голову ногами. И считаете, что так безопаснее. Что ж... так тоже можно...но врядли безопаснее....
Давно заметил, что биомасса с никами типа "мозг" мозга не имеет. Кстати, у них все темы на секс уходят, видимо ввиду отсутствия и оного. Пацанчик заслужил игнор.
Своими заметками делиться не буду из-за уважения к создателю темы. Чего и вам желаю. Больше конструктивных постов по делу и достаточно понятных без "курения в затяг" неизвестно чего в безграничных объёмах. Спасибо.