Pitomec píše:Jasně, to by bylo ideální řešení. Bohužel ale ten router (obyč. TP-Link) toto neumí a investovat do něčeho na úrovni Mikrotiku zase není reálné kvůli ceně. Zatím to nechám tak a pokud by se vyskytly nějaké větší obtíže, tak porty změním a quick ip call nahradím voláním na číslo linky u Odoriku (sice jsem se tomu chtěl vyhnout, ale nedá se nic dělat).
Není to o ceně, ale o hlouposti a zodpovědnosti vývojáře konkrétního routeru. Ještě přesněji o typ zvoleného NATu.
http://cs.wikipedia.org/wiki/STUN
Nebezpečný typ NATu je
Full-cone NAT. Možná ochrana, kterou by mohl NAT jako takový poskytnout, se nekoná a jste na tom jen o málo lépe, než kdyby všechna Vaše zařízení měla veřejnou IP adresu.
Detekovat to lze pomocí nástrojů STUN, v Linuxu velmi jednoduše:
Kód: Vybrat vše
aptitude install stun
stun stun.sipgate.net
# řádky níže vrátil program jako výsledek:
STUN client version 0.96
Primary: Indepndent Mapping, Port Dependent Filter, preserves ports, no hairpi
Kde stun.sipgate.net je
jeden z veřejných STUN serverů.
Podle
vysvětlení ve starším vláknu na našem fóru mám v mém případě
Port-Restricted Cone NAT, tedy je to v pořádku.
Pokud máte Windows, použijte pro zjištění Vašeho typu
NATu naši Java aplikaci - viz šipka v přiložené obrázku.
Bohužel prodejce a výrobci routerů uvádí nebo umožňují nastavit kdejakou blbost, nejpodstatnější vlastnost je ale velmi těžké zjistit. Možná bezpečnější typ NATu výrobce chybně nazývá jako funkci "
firewall" a je třeba ji zapnout.
Doporučuji si tedy objednat nejlevnější router, otestovat jej a poté případně vrátit prodejci s tím, že zamlčel podstatnou informaci a požadovat jiný.
Nebo je zde něco, co mi uniklo? Existuje jednodušší způsob jak si pořídit bezpečný typ routeru za nízkou cenu?
V každém případě typ NATu je první věc, kterou je dobré zkontrolovat, pokud vám jde o bezpečnost.
Instalovat si na jednotlivé počítače různé firewally a přitom mít
Full-cone NAT (a nemít k tomu pádný důvod) je pěkná pitomost. Pokud má někdo Asterisk za takovým typem NATu a spoléhá na NAT jako ochranu proti útokům, může to pak mít velmi drahé, zvláště pokud daný Asterisk používá GSM brány nebo ISDN, kde na fraudy nejsou zvyklí a k zablokování doje až po velmi dlouhé době. Různí "experti" pak dávají různé chytré rady, ale že možná v polovině těch případů za to může především nebezpečný typ NATu je tajemství. Nikdo tento detail nezveřejní a tak se to zde snažím napravit. Jeden příklad velké škody -
http://www.novinky.cz/krimi/284946-utok ... lionu.html - pochybuji, že nechali špatně zabezpečený Asterisk na veřejné adrese - takové chyby se zas až tak často nedělají - navíc veřejné adresy jsou vzácné a bylo by škoda ji vyčlenit jen Asterisku.
Osobně vím o jednom případu, kterým jsem se pokoušel objasnit škodu za 160 tisíc. Útočník "uhádl" slabá hesla na Asterisku za NATem a poté uskutečňoval hovory do aleluja přes ISDN. Ten, kdo Asterisk původně nastavoval, s tím pochopitelně už nic nechtěl mít, protože nedostával pravidelný poplatek za "údržbu" ústředny. I když děravý nebyl Asterisk a tahle chyba tam byla od samého začátku - je pravděpodobné, že by problém neobjevil, ani kdyby se poplatek platil. Aby útočník měl přístup na sip port Asterisku stačilo, že byl přihlášen třeba jen k jedinému VoIP operátorovi, čímž došlo k nevhodnému namapování SIP portů.
A na začátku toho všeho je jen zlozvyk výrobců routerů nepsat, jaký typ NATu poskytují.
Opravdu potřebujete vlastní asterisk/ústřednu, nebo si vystačíte s tím co nabízí Odorik.cz?