Omezení odchozích hovorů do zahraničí

tls,srtp,zrtp a bezpečnostní potíže VoIP
ttim
Příspěvky: 17
Registrován: úte 02. črc 2013 21:51:56

Omezení odchozích hovorů do zahraničí

Příspěvek od ttim »

Dobrý den,
jde někde nastavit u aktivních SIP linek zákaz odchozích hovorů do zahraniční - tak, aby bylo možné realizovat pouze hovory po čr, ve formátu XXXXXXXXX, případně +420XXXXXXXXX ? A jestli to uživatelsky nastavit nejde, je možné to někde nastavit napevno od vás?

Díky
Tomáš Říha
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8137
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: Omezení odchozích hovorů do zahraničí

Příspěvek od xsouku04 »

ttim píše:Dobrý den,
jde někde nastavit u aktivních SIP linek zákaz odchozích hovorů do zahraniční - tak, aby bylo možné realizovat pouze hovory po čr, ve formátu XXXXXXXXX, případně +420XXXXXXXXX ? A jestli to uživatelsky nastavit nejde, je možné to někde nastavit napevno od vás?

Díky
Tomáš Říha
U nás to nastavit nejde. K čemu to potřebujete? U některých telefonů nebo adaptérů lze toto omezení nastavit pomocí dialplanu.
Pokud jde o bezpečnost, stačí nemít nezabezpečené nebo děravé VoIP zařízení na veřejné ip. S jiným typem zneužití účtu se vůbec nesetkáváme.
ttim
Příspěvky: 17
Registrován: úte 02. črc 2013 21:51:56

Re: Omezení odchozích hovorů do zahraničí

Příspěvek od ttim »

Ano jde o bezpečnost asteriskové ústředny na veřejné ip adrese - k ústředně se připojuje několik kolegů ze svých soukromých domácích pc, kde by asi bylo problematické komunikovat přes vpn... Nevím, jestli existuje nějaké jiné řešení tohoto...
ttim
Příspěvky: 17
Registrován: úte 02. črc 2013 21:51:56

Re: Omezení odchozích hovorů do zahraničí

Příspěvek od ttim »

... konkrétně ústředny na serveru 4smart...
ttim
Příspěvky: 17
Registrován: úte 02. črc 2013 21:51:56

Re: Omezení odchozích hovorů do zahraničí

Příspěvek od ttim »

jen si ještě dovolím doplnit, že zákaz zahraničních odchozích hovorů mě může ochránit před způsobením nějaké škody nebo komplikací - když k nějakému útoku dojde, útočník nemůže realizovat hovory (vždy zatím šlo o pokusy realizovat hovory do zahraničí) a tudíž se v podstatě nic neděje...
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8137
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: Omezení odchozích hovorů do zahraničí

Příspěvek od xsouku04 »

ttim píše:Ano jde o bezpečnost asteriskové ústředny na veřejné ip adrese - k ústředně se připojuje několik kolegů ze svých soukromých domácích pc, kde by asi bylo problematické komunikovat přes vpn... Nevím, jestli existuje nějaké jiné řešení tohoto...
V zásadě mohu doporučit tohle:
- Otevřít SIP na asterisku na jiném portu, než defaultním portu 5060. Port 5060 se běžně skenuje a napadá. Vymyslete si nějaký vyšší náhodný port.
- Zabezpečte web serveru, na kterém běží ústředna. Pokud máte freePBX nebo něco podobného, defaultní přihlašování jménem a heslem může být děravé.
- volte bezpečná hesla, která nelze uhádnout slovníkovým útokem. Tedy ani čísla nejsou vhodná.
- Omezte povolené ip adresy. Nejde-li vyjmenovat povolené, můžete povolit třeba jen ip adresy z ČR. Tedy nastavte si firewall.

Více zde:
http://forum.odorik.cz/viewtopic.php?f=10&t=671

Možná by mohl být asterisk na neveřejné ip adrese a vaše telefony se mohou hlásit jen na sip.odorik.cz a komunikovat s asteriskem sprostředkovaně pomocí Odorik.
alfi
Příspěvky: 716
Registrován: čtv 03. led 2013 15:31:10

Re: Omezení odchozích hovorů do zahraničí

Příspěvek od alfi »

ttim píše:Ano jde o bezpečnost asteriskové ústředny na veřejné ip adrese - k ústředně se připojuje několik kolegů ze svých soukromých domácích pc, kde by asi bylo problematické komunikovat přes vpn... Nevím, jestli existuje nějaké jiné řešení tohoto...
má to být ochrana těch kolegů (stačí nastavit na tom asterisku pro jejich SIP účet) nebo celé ústředny (to musí fakt operátor.. ale třeba i online účtováním zbývajícího kreditu = riskujete max. jeho výši)? :-)
ttim
Příspěvky: 17
Registrován: úte 02. črc 2013 21:51:56

Re: Omezení odchozích hovorů do zahraničí

Příspěvek od ttim »

xsouku04 píše:
ttim píše:Ano jde o bezpečnost asteriskové ústředny na veřejné ip adrese - k ústředně se připojuje několik kolegů ze svých soukromých domácích pc, kde by asi bylo problematické komunikovat přes vpn... Nevím, jestli existuje nějaké jiné řešení tohoto...
V zásadě mohu doporučit tohle:
- Otevřít SIP na asterisku na jiném portu, než defaultním portu 5060. Port 5060 se běžně skenuje a napadá. Vymyslete si nějaký vyšší náhodný port.
- Zabezpečte web serveru, na kterém běží ústředna. Pokud máte freePBX nebo něco podobného, defaultní přihlašování jménem a heslem může být děravé.
- volte bezpečná hesla, která nelze uhádnout slovníkovým útokem. Tedy ani čísla nejsou vhodná.
- Omezte povolené ip adresy. Nejde-li vyjmenovat povolené, můžete povolit třeba jen ip adresy z ČR. Tedy nastavte si firewall.

Více zde:
http://forum.odorik.cz/viewtopic.php?f=10&t=671

Možná by mohl být asterisk na neveřejné ip adrese a vaše telefony se mohou hlásit jen na sip.odorik.cz a komunikovat s asteriskem sprostředkovaně pomocí Odorik.
můžete mi prosím nějak přiblížit tu možnost, kterou zmiňujete na konci? (přihlášení telefonů přes sip.odorik.cz)
díky
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8137
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: Omezení odchozích hovorů do zahraničí

Příspěvek od xsouku04 »

ttim píše:
xsouku04 píše:
ttim píše:Ano jde o bezpečnost asteriskové ústředny na veřejné ip adrese - k ústředně se připojuje několik kolegů ze svých soukromých domácích pc, kde by asi bylo problematické komunikovat přes vpn... Nevím, jestli existuje nějaké jiné řešení tohoto...
V zásadě mohu doporučit tohle:
- Otevřít SIP na asterisku na jiném portu, než defaultním portu 5060. Port 5060 se běžně skenuje a napadá. Vymyslete si nějaký vyšší náhodný port.
- Zabezpečte web serveru, na kterém běží ústředna. Pokud máte freePBX nebo něco podobného, defaultní přihlašování jménem a heslem může být děravé.
- volte bezpečná hesla, která nelze uhádnout slovníkovým útokem. Tedy ani čísla nejsou vhodná.
- Omezte povolené ip adresy. Nejde-li vyjmenovat povolené, můžete povolit třeba jen ip adresy z ČR. Tedy nastavte si firewall.

Více zde:
http://forum.odorik.cz/viewtopic.php?f=10&t=671

Možná by mohl být asterisk na neveřejné ip adrese a vaše telefony se mohou hlásit jen na sip.odorik.cz a komunikovat s asteriskem sprostředkovaně pomocí Odorik.
můžete mi prosím nějak přiblížit tu možnost, kterou zmiňujete na konci? (přihlášení telefonů přes sip.odorik.cz)
díky
To souvisí s tím, na co přesně ten asterisk potřebujete. Čeho chcete dosáhnout?
Odorik.cz neumí zatím IVR menu a třeba čekání hovorů ve frontě.

Tedy pro IVR či podobné věci můžete použít Asterisk, který nepoběžní na veřejné adrese - až dojde na spojení, tak hovor prostě pošlete na 910110006@sip.odorik.cz nebo přímo na linku *300116@sip.odorik.cz .

Pokud máte asterisk v efirmě, tak telefony, co se přihlašují uvnitř budovy, se mohou hlásit přímo na asterisk, a pokud někdo pracuje z domu nebo někde mimo budovu, může se hlásit jen na sip.odorik.cz s tím, ale že bude k zastižení také.
ttim
Příspěvky: 17
Registrován: úte 02. črc 2013 21:51:56

Re: Omezení odchozích hovorů do zahraničí

Příspěvek od ttim »

V zásadě mohu doporučit tohle:
- Otevřít SIP na asterisku na jiném portu, než defaultním portu 5060. Port 5060 se běžně skenuje a napadá. Vymyslete si nějaký vyšší náhodný port.
- Zabezpečte web serveru, na kterém běží ústředna. Pokud máte freePBX nebo něco podobného, defaultní přihlašování jménem a heslem může být děravé.
- volte bezpečná hesla, která nelze uhádnout slovníkovým útokem. Tedy ani čísla nejsou vhodná.
- Omezte povolené ip adresy. Nejde-li vyjmenovat povolené, můžete povolit třeba jen ip adresy z ČR. Tedy nastavte si firewall.

Více zde:
http://forum.odorik.cz/viewtopic.php?f=10&t=671

Možná by mohl být asterisk na neveřejné ip adrese a vaše telefony se mohou hlásit jen na sip.odorik.cz a komunikovat s asteriskem sprostředkovaně pomocí Odorik.[/quote]
můžete mi prosím nějak přiblížit tu možnost, kterou zmiňujete na konci? (přihlášení telefonů přes sip.odorik.cz)
díky[/quote]

To souvisí s tím, na co přesně ten asterisk potřebujete ? Co chcete dosáhnout.
Odorik.cz neumí zatím IVR menu a třeba čekání hovorů ve frontě.

Tedy pro IVR či podobné věci můžete použít Asterisk, který nepoběžní na veřejné adrese no až dojde na spojení, tak hovor prostě pošlete na 910110006@sip.odorik.cz nebo přímo na linku *300116@sip.odorik.cz .

Pokud máte asterisk v efirmě, tak telefony co se přihlašují uvnitř budovy, se mohou hlásit přímo na asterisk, a pokud někdo pracuje z domu nebo někde mimo budovu, může se hlásit jen na sip.odorik.cz s tím, ale že bude k zastižení také.[/quote]

jak jsem psal výše, potřebuji zabezpečit asterisk na 4smart před útoky v podobě změny Dial Patterns a následného zneužití takto vytvořeného kanálu pro hovory do zahraničí. asterisk na veřejné adrese, přihlašují se k němu - výhradně pro realizaci odchozích hovorů - kolegové ze svých domácích pc, kde nedokážu u všech specifikovat jejich ip adresu. pro mě ideální by bylo "natvrdo" pro všechny linky pro daný účet na odorik.cz zakázat hovory do zahraničí, to jste psal, že nejde, jestli se nic nezměnilo...
Odpovědět