Omezení odchozích hovorů do zahraničí

tls,srtp,zrtp a bezpečnostní potíže VoIP

Omezení odchozích hovorů do zahraničí

Příspěvekod ttim » sob 15. bře 2014 18:12:05

Dobrý den,
jde někde nastavit u aktivních SIP linek zákaz odchozích hovorů do zahraniční - tak, aby bylo možné realizovat pouze hovory po čr, ve formátu XXXXXXXXX, případně +420XXXXXXXXX ? A jestli to uživatelsky nastavit nejde, je možné to někde nastavit napevno od vás?

Díky
Tomáš Říha
ttim
 
Příspěvky: 17
Registrován: úte 02. črc 2013 21:51:56

Re: Omezení odchozích hovorů do zahraničí

Příspěvekod xsouku04 » sob 15. bře 2014 18:38:08

ttim píše:Dobrý den,
jde někde nastavit u aktivních SIP linek zákaz odchozích hovorů do zahraniční - tak, aby bylo možné realizovat pouze hovory po čr, ve formátu XXXXXXXXX, případně +420XXXXXXXXX ? A jestli to uživatelsky nastavit nejde, je možné to někde nastavit napevno od vás?

Díky
Tomáš Říha

U nás to nastavit nejde. K čemu to potřebujete? U některých telefonů nebo adaptérů lze toto omezení nastavit pomocí dialplanu.
Pokud jde o bezpečnost, stačí nemít nezabezpečené nebo děravé VoIP zařízení na veřejné ip. S jiným typem zneužití účtu se vůbec nesetkáváme.
Uživatelský avatar
xsouku04
Administrátor
 
Příspěvky: 6712
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno

Re: Omezení odchozích hovorů do zahraničí

Příspěvekod ttim » sob 15. bře 2014 18:54:52

Ano jde o bezpečnost asteriskové ústředny na veřejné ip adrese - k ústředně se připojuje několik kolegů ze svých soukromých domácích pc, kde by asi bylo problematické komunikovat přes vpn... Nevím, jestli existuje nějaké jiné řešení tohoto...
ttim
 
Příspěvky: 17
Registrován: úte 02. črc 2013 21:51:56

Re: Omezení odchozích hovorů do zahraničí

Příspěvekod ttim » sob 15. bře 2014 18:59:26

... konkrétně ústředny na serveru 4smart...
ttim
 
Příspěvky: 17
Registrován: úte 02. črc 2013 21:51:56

Re: Omezení odchozích hovorů do zahraničí

Příspěvekod ttim » sob 15. bře 2014 19:36:03

jen si ještě dovolím doplnit, že zákaz zahraničních odchozích hovorů mě může ochránit před způsobením nějaké škody nebo komplikací - když k nějakému útoku dojde, útočník nemůže realizovat hovory (vždy zatím šlo o pokusy realizovat hovory do zahraničí) a tudíž se v podstatě nic neděje...
ttim
 
Příspěvky: 17
Registrován: úte 02. črc 2013 21:51:56

Re: Omezení odchozích hovorů do zahraničí

Příspěvekod xsouku04 » sob 15. bře 2014 23:35:53

ttim píše:Ano jde o bezpečnost asteriskové ústředny na veřejné ip adrese - k ústředně se připojuje několik kolegů ze svých soukromých domácích pc, kde by asi bylo problematické komunikovat přes vpn... Nevím, jestli existuje nějaké jiné řešení tohoto...


V zásadě mohu doporučit tohle:
- Otevřít SIP na asterisku na jiném portu, než defaultním portu 5060. Port 5060 se běžně skenuje a napadá. Vymyslete si nějaký vyšší náhodný port.
- Zabezpečte web serveru, na kterém běží ústředna. Pokud máte freePBX nebo něco podobného, defaultní přihlašování jménem a heslem může být děravé.
- volte bezpečná hesla, která nelze uhádnout slovníkovým útokem. Tedy ani čísla nejsou vhodná.
- Omezte povolené ip adresy. Nejde-li vyjmenovat povolené, můžete povolit třeba jen ip adresy z ČR. Tedy nastavte si firewall.

Více zde:
viewtopic.php?f=10&t=671

Možná by mohl být asterisk na neveřejné ip adrese a vaše telefony se mohou hlásit jen na sip.odorik.cz a komunikovat s asteriskem sprostředkovaně pomocí Odorik.
Uživatelský avatar
xsouku04
Administrátor
 
Příspěvky: 6712
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno

Re: Omezení odchozích hovorů do zahraničí

Příspěvekod alfi » ned 16. bře 2014 9:52:59

ttim píše:Ano jde o bezpečnost asteriskové ústředny na veřejné ip adrese - k ústředně se připojuje několik kolegů ze svých soukromých domácích pc, kde by asi bylo problematické komunikovat přes vpn... Nevím, jestli existuje nějaké jiné řešení tohoto...

má to být ochrana těch kolegů (stačí nastavit na tom asterisku pro jejich SIP účet) nebo celé ústředny (to musí fakt operátor.. ale třeba i online účtováním zbývajícího kreditu = riskujete max. jeho výši)? :-)
alfi
 
Příspěvky: 398
Registrován: čtv 03. led 2013 16:31:10

Re: Omezení odchozích hovorů do zahraničí

Příspěvekod ttim » stř 09. dub 2014 22:56:37

xsouku04 píše:
ttim píše:Ano jde o bezpečnost asteriskové ústředny na veřejné ip adrese - k ústředně se připojuje několik kolegů ze svých soukromých domácích pc, kde by asi bylo problematické komunikovat přes vpn... Nevím, jestli existuje nějaké jiné řešení tohoto...


V zásadě mohu doporučit tohle:
- Otevřít SIP na asterisku na jiném portu, než defaultním portu 5060. Port 5060 se běžně skenuje a napadá. Vymyslete si nějaký vyšší náhodný port.
- Zabezpečte web serveru, na kterém běží ústředna. Pokud máte freePBX nebo něco podobného, defaultní přihlašování jménem a heslem může být děravé.
- volte bezpečná hesla, která nelze uhádnout slovníkovým útokem. Tedy ani čísla nejsou vhodná.
- Omezte povolené ip adresy. Nejde-li vyjmenovat povolené, můžete povolit třeba jen ip adresy z ČR. Tedy nastavte si firewall.

Více zde:
viewtopic.php?f=10&t=671

Možná by mohl být asterisk na neveřejné ip adrese a vaše telefony se mohou hlásit jen na sip.odorik.cz a komunikovat s asteriskem sprostředkovaně pomocí Odorik.

můžete mi prosím nějak přiblížit tu možnost, kterou zmiňujete na konci? (přihlášení telefonů přes sip.odorik.cz)
díky
ttim
 
Příspěvky: 17
Registrován: úte 02. črc 2013 21:51:56

Re: Omezení odchozích hovorů do zahraničí

Příspěvekod xsouku04 » stř 09. dub 2014 23:15:53

ttim píše:
xsouku04 píše:
ttim píše:Ano jde o bezpečnost asteriskové ústředny na veřejné ip adrese - k ústředně se připojuje několik kolegů ze svých soukromých domácích pc, kde by asi bylo problematické komunikovat přes vpn... Nevím, jestli existuje nějaké jiné řešení tohoto...


V zásadě mohu doporučit tohle:
- Otevřít SIP na asterisku na jiném portu, než defaultním portu 5060. Port 5060 se běžně skenuje a napadá. Vymyslete si nějaký vyšší náhodný port.
- Zabezpečte web serveru, na kterém běží ústředna. Pokud máte freePBX nebo něco podobného, defaultní přihlašování jménem a heslem může být děravé.
- volte bezpečná hesla, která nelze uhádnout slovníkovým útokem. Tedy ani čísla nejsou vhodná.
- Omezte povolené ip adresy. Nejde-li vyjmenovat povolené, můžete povolit třeba jen ip adresy z ČR. Tedy nastavte si firewall.

Více zde:
viewtopic.php?f=10&t=671

Možná by mohl být asterisk na neveřejné ip adrese a vaše telefony se mohou hlásit jen na sip.odorik.cz a komunikovat s asteriskem sprostředkovaně pomocí Odorik.

můžete mi prosím nějak přiblížit tu možnost, kterou zmiňujete na konci? (přihlášení telefonů přes sip.odorik.cz)
díky


To souvisí s tím, na co přesně ten asterisk potřebujete. Čeho chcete dosáhnout?
Odorik.cz neumí zatím IVR menu a třeba čekání hovorů ve frontě.

Tedy pro IVR či podobné věci můžete použít Asterisk, který nepoběžní na veřejné adrese - až dojde na spojení, tak hovor prostě pošlete na 910110006@sip.odorik.cz nebo přímo na linku *300116@sip.odorik.cz .

Pokud máte asterisk v efirmě, tak telefony, co se přihlašují uvnitř budovy, se mohou hlásit přímo na asterisk, a pokud někdo pracuje z domu nebo někde mimo budovu, může se hlásit jen na sip.odorik.cz s tím, ale že bude k zastižení také.
Uživatelský avatar
xsouku04
Administrátor
 
Příspěvky: 6712
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno

Re: Omezení odchozích hovorů do zahraničí

Příspěvekod ttim » stř 09. dub 2014 23:33:45

V zásadě mohu doporučit tohle:
- Otevřít SIP na asterisku na jiném portu, než defaultním portu 5060. Port 5060 se běžně skenuje a napadá. Vymyslete si nějaký vyšší náhodný port.
- Zabezpečte web serveru, na kterém běží ústředna. Pokud máte freePBX nebo něco podobného, defaultní přihlašování jménem a heslem může být děravé.
- volte bezpečná hesla, která nelze uhádnout slovníkovým útokem. Tedy ani čísla nejsou vhodná.
- Omezte povolené ip adresy. Nejde-li vyjmenovat povolené, můžete povolit třeba jen ip adresy z ČR. Tedy nastavte si firewall.

Více zde:
viewtopic.php?f=10&t=671

Možná by mohl být asterisk na neveřejné ip adrese a vaše telefony se mohou hlásit jen na sip.odorik.cz a komunikovat s asteriskem sprostředkovaně pomocí Odorik.[/quote]
můžete mi prosím nějak přiblížit tu možnost, kterou zmiňujete na konci? (přihlášení telefonů přes sip.odorik.cz)
díky[/quote]

To souvisí s tím, na co přesně ten asterisk potřebujete ? Co chcete dosáhnout.
Odorik.cz neumí zatím IVR menu a třeba čekání hovorů ve frontě.

Tedy pro IVR či podobné věci můžete použít Asterisk, který nepoběžní na veřejné adrese no až dojde na spojení, tak hovor prostě pošlete na 910110006@sip.odorik.cz nebo přímo na linku *300116@sip.odorik.cz .

Pokud máte asterisk v efirmě, tak telefony co se přihlašují uvnitř budovy, se mohou hlásit přímo na asterisk, a pokud někdo pracuje z domu nebo někde mimo budovu, může se hlásit jen na sip.odorik.cz s tím, ale že bude k zastižení také.[/quote]

jak jsem psal výše, potřebuji zabezpečit asterisk na 4smart před útoky v podobě změny Dial Patterns a následného zneužití takto vytvořeného kanálu pro hovory do zahraničí. asterisk na veřejné adrese, přihlašují se k němu - výhradně pro realizaci odchozích hovorů - kolegové ze svých domácích pc, kde nedokážu u všech specifikovat jejich ip adresu. pro mě ideální by bylo "natvrdo" pro všechny linky pro daný účet na odorik.cz zakázat hovory do zahraničí, to jste psal, že nejde, jestli se nic nezměnilo...
ttim
 
Příspěvky: 17
Registrován: úte 02. črc 2013 21:51:56

Další

Zpět na Bezpečnost a šifrování hovorů

Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 1 návštěvník