TECH DOC

Категории

Live CONF [1]
Squid [2]
Security [2]
Other [3]

Map

Теги

Статистика

Онлайн всего: 1
Гостей: 1
Пользователей: 0

Поделиться

Каталог статей

Главная » Статьи » FreeBSD » Security

Безопасность TrixBox

Недавно начал осваивать IP телефонию
В целом все вроде как понятно… но когда начинаешь использовать на практике оказывается все не так просто…
Я решил использовать для телефонии сборку на базе всем известного Asterisk под названием TrixBox.
Почему ??? На первый взгляд показалось что так легче …. но не все так хорошо… но об этом как ни будь в другой раз.
В итоге как новичок я принялся создавать транки, формировать маршрутизацию и так далее… в пылу азарта я упустил одну важную вещь… о которой и хочу поговорить…
Безопасность!!!!!
Оказалось что получить доступ к TrixBox довольно таки просто.
А именно:
Не желательно выставлять Сервер непосредственно в мир… Лучше прятать его в частной сети… но если нет такой возможности или все никак не удается заставить телефонию работать через NAT нужно плотно закрыватся…
Для надежности закройте все коммуникационные порты (Web,HTTPS, SSH, Telnet и так далее)

Так же при работе с любым провайдером вам предоставляется IP адрес сервера провайдера. Запретите хождение UDP пакетов из любого источника и укажите адрес провайдера как исключение!!! Для чего !?!?!?! для того что бы уложить сервер достаточно сгенерить большое количество UDP запросов. Понятное дело что они все будут отвергнуты… но процедура отброса заключается в том что запрос нужно обработать и принять решение о том что соединение является не санкционированным!!! А если учесть что сгенерить 20 000 запросов в минуту не так уж сложно, имеем сервис астериска на первом месте хит парада под названием – «top»
Для того что бы настроить маршрутизацию и правила набора не обязательно быть пользователем MAINT … Можно спокойно зайти под wwwadmin и получить полный доступ…
Для устранения потенциальной дыры в системе безопасности, необходимо удалить пользователя
wwwadmin с файла /usr/local/apache/passwd/wwwpasswd
и/или
/etc/trixbox/httpdconf/trixbox.conf
Так же желательно сменить пароли
в

/etc/asterisk/manager.conf
/etc/amportal.conf

В первом меняем пароль admin
vi /etc/asterisk/manager.conf
[admin]
secret = yuonewpassword

Во втором меняем три пароля (стандартно это amp109 и amp111):
vi /etc/amportal.conf
FOPPASSWORD=younewpassword
AMPMGRPASS=younewpassword
AMPDBPASS=younewpassword
После этого нужно поменять пароль root’а MySQL:
mysqladmin -u root -p password newpassword
Пароль по умолчанию для root’а — passw0rd
И заменяем введённый пароль в файлах
vi /etc/asterisk/cbmysql.conf
vi /var/www/html/web-meetme/lib/database.php
Далее меняем пароль для пользователя asteriskuser (на тот, который мы указали ранее в параметре AMPDBPASS):
1) mysql -u root -p
2) Вводим ранее поменянный пароль
3) SET PASSWORD FOR 'asteriskuser'@'localhost' = PASSWORD('younewpassword');
После этого рестартуем TrixBox:
amportal restart
Ну и для обеспечения работы CDR записей меняем пароли в файлах:
vi /etc/asterisk/cdr_mysql.conf
vi /var/www/html/maint/modules/cdrreposr/config/database.php
 
Если кто то считает что все эти меры избыточны то пожалуйста поэкспериментируйте :)
Из опыта знаю что дружелюбные ребята которых называют Хакерами постоянно сканируют сеть на предмет открытых систем.
После нахождения подобной системы нужно выяснить что это за система… допустим по характерным признака эти парни понимают что это TrixBox дальше начинается перебор всех тех дыр которые описаны выше. Если же это не даст результата нужно сделать так что бы Вы сами начали проводить какие ни будь манипуляции, изменения которые могут привести к открытию или появлению дыр. ДА нужно попробовать ушатать сервер, направив на него массу запросов… Новички как правило не сразу обращают внимание на неимоверное количество запросов и начинают откатывать последние настройки и безопасности в том числе…
Так же Можно не сканировать сеть на предмет появления на IP адресах признаков систем с IP телефонией … можно просто иметь знакомого работающего у провайдера… бывает и такое, хотя провайдера борются с этим так как это сильно бьет по их имиджу.
В целом не защищенная система становится механизмом для звонков за границу в течении одного – трех дней.
Описание возможно сыровато изложено но Суть по-моему ясна!!!
Часть материалов взята с:

 


Источник: http://kogr-a.livejournal.com
Категория: Security | Добавил: Kogr (05.06.2012) | Автор: Kogr W
Просмотров: 1263 | Рейтинг: 0.0/0

Поиск

Vir Actiy

IP

Узнай свой IP адрес

Scan File

Scan URL

+

Бесплатный анализ сайта

Статьи , новости информационных технологий , обзоры , описание ошибок , Операционные системы , системные ошибки , новые технологии , аутсорсинг , windows , Linux , VoIP , FreeBSD , Cisco , информационная безопасность , Win7 , Win8 , server , проблемы с серверами , ИТ , управление инфраструктурой и многое другое…