Παιδιά έπραξα το αδιανόητο για μένα μέχρι τώρα. Έβγαλα το κέντρο της εταιρείας στο ίντερνετ, την 5160(pjsip) πόρτα και την 2267(clearly anywhere).
Ο λόγος ήταν το νέο προϊόν για mobile σύνδεση με το πρόγραμμα της clearly anywhere από οπουδήποτε.
Δυστυχώς λόγο covid κουράστηκα να παλεύω με τους συναδέλφους για το πολύ εύκολο να συνδέονται με vpn πρώτα και βάλε πως το clearly anywhere κάνει 10€ ο χρήστης το χρόνο (μέχρι 31 Οκτωβρίου αυτή η τιμή). Είναι πάρα πολύ καλός client με full ρυθμίσεις και φυσικά push οπότε δεν τρώει μπαταρία. Έχει module για το freepbx και δένει ρολόι μαζί του.
Τώρα φυσικά έχω επιθέσεις στην 5160 και μέχρι στιγμής και το fail2ban και το responsive firewall τα καταφερνουν καλά.
Έχω και το untangle μπροστά που τρώει τα πιο πολλά οπότε δείχνει οκ ειδωμεν.
Η ερώτηση είναι αν κανείς το έχει κάνει πουθενά και στηρίζετε στο fail2ban και στο firewall μόνο ή υπάρχει και κάποια άλλη λύση.
Εμφάνιση 1-15 από 27
Θέμα: Άνοιγμα Sip στο ίντερνετ
-
26-09-20, 19:21 Άνοιγμα Sip στο ίντερνετ #1
-
26-09-20, 20:00 Απάντηση: Άνοιγμα Sip στο ίντερνετ #2
Γιατί δεν το κάνεις με Iax2;
όχι οτι απαραίτητα θα είναι ασφαλέστερο, αλλά μπορείς να βάλεις πιο σκληρούς κωδικούς στα iax extensions Και περιορισμούς το που μπορούν να καλέσουν
Σε γενικές γραμμές θέλεις καλούς κωδικούς, κάποιον έλεγχο στο τι κλήσεις μπόρουν να κάνουνε και συνεχή αναβάθμιση, άλλες λύσεις είναι να βάζεις δεύτερη εγκατάσταση asterisk που θα μιλάει με την εσωτερική σου
-
26-09-20, 20:00 Απάντηση: Άνοιγμα Sip στο ίντερνετ #3
Με fail2ban και complex κωδικούς και usernames θα είσαι καλλυμένος. Αν θες να το πας ένα βήμα πιο πιάνω, μπορείς να παίξεις με geoip ή/και ip whitelisting από τους παρόχους που θες και μπλοκάρισμα σε firewall είτε το pbx είτε στo router/security gateway. Επίσης, μπορείς να παίξεις και με certificates αλλά εκεί ίσως έχεις θέμα με τους clients.
-
26-09-20, 20:14 Απάντηση: Άνοιγμα Sip στο ίντερνετ #4
Με iax δεν γινόταν γιατί ήθελα το clearly anywhere που δεν υποστηρίζει iax. Τώρα για το 2ο asterisk έτσι έβαλα του σπιτιού γιατί είχα ήδη συνδέσει το σπίτι με το μαγαζί καιρό τώρα οπότε το τηλέφωνο του σπιτιού είναι σε καλύτερη φάση.
Χμ.. τα usernames είναι τα νούμερα των εσωτερικών που τώρα που το σκέφτομαι είναι fail από μεριά μου μάλλον, θα τα αλλάξω από Δευτέρα αν και κάποιοι χρησιμοποιούν το ucp τους καιρό τώρα αλλά φαντάζομαι μπορώ να κάνω κάτι του στυλ εσωτ.αριθμ+μια προκαθορισμένη λεξη, οπότε δυσκολεύει λίγο.
Όσο αναφορά το block σε geoip έχω κόψει Κίνα ήδη τελείως γιατί είδα επιθέσεις αλλά θα μπλέξω αν βάλω Ευρώπη πχ μέσα γιατί έχω πολλά ταξίδια από τα αφεντικά μου σε εκθέσεις κλπ (οκ όχι το 2020 λόγο covid).
Ευχαριστώ πολύ παιδιά.
Edit; Θα το κάνω μέσω untangle δυναμικά το block στην 5160 να παίζει μόνο με ελληνικά ip να δω πως θα πάει και θα το αλλάζω όταν κάποιος φεύγει έξω.
-
26-09-20, 20:25 Απάντηση: Άνοιγμα Sip στο ίντερνετ #5
Σου εχω κατι καλύτερο. Κοψε οτι registration έρχεται με ip και δεν εχει το domain σου.
Με ip tables.
Θα ηρεμησουν ολα τα logs
-
26-09-20, 20:30 Απάντηση: Άνοιγμα Sip στο ίντερνετ #6
Mε αλλαγή θύρας σε πενταψηφια κόβεις το 95% των attacks έχω προσέξει.
Edit:Μάλλον είναι παραπάνω, για την ακρίβεια έχω χρόνια να πάρω email από fail2ban.Τελευταία επεξεργασία από το μέλος xaris333 : 26-09-20 στις 20:44.
-
26-09-20, 21:31 Απάντηση: Άνοιγμα Sip στο ίντερνετ #7
Αυτό πως το κάνω? Στο freepbx ή στο untangle? Θα το ψάξω thx φτάνει η clearly όταν κάνει το push να δίνει πληροφορία domain και όχι ip. Εγώ domain τους έχω δώσει πάντως οπότε λογικά θα παίξει.
Πωωω αυτό πως μου διέφυγε? Νιώθω ντροπή τώρα ειλικρινά, φαντάσου πως torrent, openvpn, συναγερμοί κλπ δεν αλλάζω την πόρτα στο μηχάνημα που τι θέλει αλλά ανοίγω μια 5xxxx και όταν έρχεται τι ρίχνω στη σωστή πόρτα.
Ευχαριστώ παιδιά πολύ για όλα, είστε χρυσάφι.
-
26-09-20, 21:49 Απάντηση: Άνοιγμα Sip στο ίντερνετ #8
Βάλε αρχικά και ένα Geolocation IP να κόψεις τα πολλά attack, και αφού δεις πως συμπεριφέρεται τότε ανοίγεις σταδιακά και για άλλες χώρες.
-
26-09-20, 22:01 Απάντηση: Άνοιγμα Sip στο ίντερνετ #9
https://taczanowski.net/securing-ast...in-is-correct/
Δες εδω.
Οσο για την αλλαγη πορτας, security is not obscurity. Μπορεί ετσι να μην γεμιζουν τα logs, αλλα μέχρι εκεί.
-
26-09-20, 22:54 Απάντηση: Άνοιγμα Sip στο ίντερνετ #10
Το βρήκα πριν που μου το είπες ακριβώς αυτό αλλά πρέπει να το κάνω κάπως με το untangle ή αν το βάλω στα custom rules του firewall του freepbx, να προσθέσω να κάνει accept οτιδήποτε από 10.xx.xx.xx, το local lan δηλαδή των εσωτερικών τηλεφώνων που τα έχω να συνδέονται με ip στο κέντρο.
Το geolocation το έκανα και κόπηκαν όλες οι επιθέσεις αλλά προτιμώ αυτό με το domain. Το παλεύω τώρα ΑΝ Ο ΜΙΚΡΟΣ πέσει επιτέλους για ύπνο και μείνω ήσυχος 11 πήγε #$##$@@#
-
26-09-20, 23:03 Απάντηση: Άνοιγμα Sip στο ίντερνετ #11
Το freepbx εχεi iptables, οποτε ειναι staight forward.
Και το geolocation ειναι καλο για να κοβει τη πλεμπα.
Βεβαια ολο και καποιος θα ταξιδευει, ολο και καποιος θα εχει βαλει κανα vpn και βγαινει με ip Ισπανιας.... Ναχουμε να ασχολουμαστε.
-
26-09-20, 23:13 Απάντηση: Άνοιγμα Sip στο ίντερνετ #12
Αυτό θα βάλω με αλλαγή στην πόρτα γιατί έχω την 5160 και με αλλαγή στο eth0 γιατί έχω το vlan30 στο Voip
Κώδικας:# UDP port 5160 rule # Allow for currently established SIP connection iptables -A INPUT -i eth0.30 -p udp --dport 5160 -m state --state ESTABLISHED,RELATED -j ACCEPT # Allow for packets witch contain my domain name iptables -A INPUT -i eth0.30 -p udp --dport 5160 -m string --string "todomainmou" --algo bm -j ACCEPT # Drop other packets (without my domain) iptables -A INPUT -i eth0.30 -p udp --dport 5160 -m string --string "REGISTER sip:" --algo bm -j DROP iptables -A INPUT -i eth0.30 -p udp --dport 5160 -m string --string "INVITE sip:" --algo bm -j DROP iptables -A INPUT -i eth0.30 -p udp --dport 5160 -m string --string "OPTIONS sip:" --algo bm -j DROP iptables -A INPUT -i eth0.30 -p udp --dport 5160 -j DROP
There's no substitute for experience
CorollaClub
-
26-09-20, 23:42 Απάντηση: Άνοιγμα Sip στο ίντερνετ #13
Looks good. Παρολα αυτα δες και το qualify στο freepbx/
-
27-09-20, 00:06 Απάντηση: Άνοιγμα Sip στο ίντερνετ #14There's no substitute for experience
CorollaClub
-
27-09-20, 07:54 Απάντηση: Άνοιγμα Sip στο ίντερνετ #15
Φροντισε τουλαχιστον να μην προκύπτει απο το reverse.
Τα παλικάρια απο τη gaza μια φορα το ειχαν βρει.
Γενικοτερα εφοσον δεν παίζει vpn, καλα user names και σχετικά μεγαλα pass, και updates σε latest οποτε βγαίνει κατι.
Ειναι πολλα τα λεφτά ΑΡΗ
Δεν θα το ελεγα επιθέσεις. Ανιχνευτές ειναι. Η επιθεση έρχεται μετα.Τελευταία επεξεργασία από το μέλος netblues : 27-09-20 στις 08:01.
Bookmarks