電訊茶室 - Powered by Discuz! Board

標題: Asterisk安全性討論 [打印本頁]

作者: 電腦超人 時間: 2010-6-20 11:15 標題: Asterisk安全性討論

剛剛角色兄說到他的NAS Asterisk Server掛掉...可能是log太大...
我便想起我的IP01早陣子經常掛掉的原因也好像是log過大而導致整個系統掛了...

早幾天角色兄跟我說我的IP01又掛了...我便查了一下log...
裡面看到除了一大堆connection error(是某trunk經常不能連上產生出來的)外...
還看到了有外邊的人企圖登入我的IP01...
而且採用的方式好像更是由0000開始...不斷的+1去嘗試登入...

其實我們一直在討論如何建立asterisk...但好像不太提安全性...
其實Asterisk的安全性也是重要的一環...我覺得重要程度可能比起討論穩定性及如何建立更重要...
因為大家建立Asterisk後...基本上也會連上PSTN...
若被成功盜用來撥電話的話...損失便大了...(尤其被人撥打IDD後...)
我在日本的VoIP論壇看到有人的asterisk被外人成功登入...更撥出了十四萬Yen的IDD(約港幣一萬一千多/台幣四萬七左右)...

另外...攻擊的源頭很多時可能會是國外的(例如中國/美國...等等...)
要控告或追討跟本是不可能的事...
所以這個問題是不容忽視...

在日本...他們建議在sip.conf中加上allowguest=no
我現在的方法是在dialplan中著手...只allow某些撥號方式的calling rule...
例如設定好香港本地電話[23569]xxxxxxx
其餘的撥號方式便不行...
(例如設定為[0-9]x. 是很方便啦...但會令黑客成功撥打IDD而導致損失...)

大家還有相類似經驗嗎?請提出來討論一下吧~

作者: 角色 時間: 2010-6-20 11:18

本帖最後由角色於 2010-6-20 11:22 編輯

密码不能设得太简单，特别是admin password，一定要超超长和复杂，因为他们会用machine去检测你的密码。还有用户密码起码是8为，头两位是英文字母，后六位是数目字。或者你可以用别的方式。

角色

作者: 角色 時間: 2010-6-20 11:25

估计你把旧的log（messages）删掉，看看你的IP01是否有好转。

角色

作者: 電腦超人 時間: 2010-6-20 11:28

密码不能设得太简单，特别是admin password，一定要超超长和复杂，因为他们会用machine去检测你的密码。还 ...
角色發表於 2010-6-20 11:18

那...我給你的密碼不是蠻危險嗎...

不過以我的設定...即使能拿到密碼...
他們也只能跟據Dialplan去撥電話吧...
我現時Dialplan上的撥電方式全部也是不收費的...
(當然...被用作違法用途便另作別論了...)

不過我擔心的是...他們會有方法繞過(或騙過)我的Dialplan用自己的方式撥號嗎?

作者: 電腦超人 時間: 2010-6-20 11:29

估计你把旧的log（messages）删掉，看看你的IP01是否有好转。

角色
角色發表於 2010-6-20 11:25

我把某VoIP trunk刪掉後便好轉了...
這幾天好像還蠻穩定嘛~

作者: 雯雯 時間: 2010-6-20 11:39

本帖最後由雯雯於 2010-6-20 11:44 編輯

如果是PSTN落地的話, 可以取消一些不用的IDD Service或者申請密碼服務! 另外如果可以的話, 只透過VPN connect Asterisk Server, 咁就安全得多!

作者: 角色 時間: 2010-6-20 11:52

雯雯你的Asterisk server进场怎样呢？

角色

作者: 雯雯 時間: 2010-6-20 12:16

我的Asterisk Server暫時沒有甚麼進展! 因為最近很忙, 而且還要玩我部iPad!

作者: 電腦超人 時間: 2010-6-20 12:59

我的Asterisk Server暫時沒有甚麼進展! 因為最近很忙, 而且還要玩我部iPad!
雯雯發表於 2010-6-20 12:16

這個才是重點...

iPad好像也可打VoIP...

作者: bubblestar 時間: 2010-6-20 21:02

本帖最後由 bubblestar 於 2010-6-20 21:06 編輯

在最新update 的ATCOM IP01 firmware 裡，我發現多了一項 Trust Remote Party ID 的選項，網上查了一些資料，這是有關Privacy Protection 的。位置在 SIP >> TOS 之下。

剔選之後，它會在 Sip.conf 裡加入了 trustrpid=yes 和 sendrpid=yes，用途大致是撥出及接入時對Caller ID的信任處理及顯示。詳情可看:

http://smartvox.blogspot.com/201 ... p-and-asterisk.html

http://smartvox.blogspot.com/201 ... sterisk-part-2.html (Testing Result)

作者: 雯雯 時間: 2010-11-4 14:02

本帖最後由雯雯於 2010-11-4 18:01 編輯

各位不光要預防Asterisk Server被hacker入侵, 還要預防使用者撥錯電話號碼! 今天我收到HGC最新的電話賬單, 一看應付款項比平時多了一些, 再仔細看看原來有1次同事不小心按錯了電話號碼, 打了去衛星電話, 令我損失了60元! 其實我本身已經在SPA3102 Dial Plan set了禁止撥打001和0080開頭的電話號碼, 殊不知還是百密一疏! 幸好這次只是損失了60元!

圖片附件: HGC 0088.JPG (2010-11-4 14:02, 116.15 KB) / 下載次數 1177
http://telecom-cafe.com/forum/attachment.php?aid=250&k=7ad944ce82e9f72b23bfed074817857c&t=1732318763&sid=O57559

作者: bubblestar 時間: 2010-11-4 17:26

衛星電話也當作IDD收費? 其實衛星電話的收費不是應該較IDD還要昂貴嗎? Sorry! 呢方面，我是大鄉里。

話時話，衛星電話點樣撥打我也未知。真是要了解一下至得，否則自己按錯制也有機會出現同樣情況也說不定。

作者: 雯雯 時間: 2010-11-4 17:51

回復 12# bubblestar

是衛星電話的收費是應該較IDD還要昂貴, 你看我同事這次只是通話兩分鐘就收30元/分鐘. 一看到這張單我就想到是我同事撥錯了, 因為她那段時期不止撥錯過1次, 有1次我在場她跟我說電話不通, 我一按重撥就看到是她撥錯了! 她是想撥國內的電話號碼, 結果卻按成賬單上的0088881303383924, 我也是看到這張單才知道那是衛星電話! 而我今天問過她確是有1次是老外接的電話, 所以肯定不是電話公司搞錯!

作者: bubblestar 時間: 2010-11-4 18:26

好奇之下，查找一下網上資料，原來妳付了HK$30/MIN，真的不算貴，有一間叫做什麼不理 3721 的中橋網絡，應該是大陸公司。收費是人民幣43.36一分鐘。打錯咗就真係好 "金" 呀!

個間唔知咩野公司，真係名都改得好樣衰， 3721，收費真係唔理 3721啦

雯雯真係要小心一些，原來HGC 的0088，跟那個什麼什麼 "銥" 衛星國家編碼是同一個號碼，稍為不慎又或這食咗藥，手震震襟多一次008888，就會俾人地唔理3721地收費了，快D整多個Dial Plan 防止打出 008888字頭的號碼吧。

祝君好運 !

圖片附件: satellite.png (2010-11-4 18:26, 1.93 KB) / 下載次數 1204
http://telecom-cafe.com/forum/attachment.php?aid=251&k=7764ca81aa1663c503be5585b047f574&t=1732318763&sid=O57559

作者: lttliang 時間: 2010-11-4 19:00

唔可以去电信公司申请关闭国长际途咩？

作者: 雯雯 時間: 2010-11-4 19:36

要用o麻, 唔用當然會取消IDD啦! 我在想, 除了在Dial Plan set禁止撥打某些字頭的電話外 (畢竟不是全部字頭都禁得到!), Asterisk Server可否set在使用者輸入電話號碼之後, Asterisk撥出之前覆述一次給使用者聽? 這樣便萬無一失了! 就像電話銀行做某些交易一樣, 確定撥出按1字, 重新輸入按2字, 覆述一次按3字. 當然這個功能還可以有很多進階選項! 例如某些預設的電話號碼可以不用覆述, 又或者撥打某些字頭的電話號碼才要覆述等.

作者: bubblestar 時間: 2010-11-4 19:47

可以!

覆述號碼之外，也可以自由地加入密碼，核對無誤才撥出都可以輕易做到。

如果驚ASTERISK 要寫DP 麻煩，不妨考慮ATCOM IP01 或 IP02，現在 ckleea 兄已有新一套GUI 方案 Switchfin，我也試用過DEMO，版面轉換時反應好快，比ATCOM原裝更快反應。介面都算好友善易設定，價錢也是入門之選。

作者: 電腦超人 時間: 2010-11-4 19:49

Iridium啊~我一直也想要一部它們的衛星電話呢...
(現在有一部沒有衛星天線的...要另配...但好像ebay也沒有了...)
Iridium衛星網絡是全球覆蓋最好的衛星網絡商...

嗯~其實找了一下wiki和itu(國際電信聯盟)...
+8813應該是屬於Ellipso的公司的...而這家公司是並未運作的...
正常來說是不應該撥通的...
(Iridium的"country code"是8816和8817)
雯雯師姐可以向hgc查詢一下...

給你一些資料參考...
http://en.wikipedia.org/wiki/List_of_country_calling_codes
http://www.itu.int/dms_pub/itu-t ... 164D-2009-PDF-E.pdf
http://www.itu.int/ITU-T/inr/forms/files/Applications-E-164.pdf

作者: 電腦超人 時間: 2010-11-4 20:11

雯雯真係要小心一些，原來HGC 的0088，跟那個什麼什麼 "銥" 衛星國家編碼是同一個號碼，稍為不慎又或這食咗藥，手震震襟多一次008888，就會俾人地唔理3721地收費了，快D整多個Dial Plan 防止打出 008888字頭的號碼吧。
bubblestar 發表於 2010-11-4 18:26

我相信是只限制"0088 881"打出...
因為881字頭先衛星網絡使用的...
但請不要忘記0088可以提供台灣固網電話(0088 886)撥號的啊~

還有880是孟加拉的...

我的做法是只是給可以免費撥打的地區撥出...
其餘的一概不能撥...
而且0088要留意的是有一堆國家是某部份字頭不是免費的...
例如台灣的70(IP電話)9(手機字頭)60(不知是什麼)/日本050(IP電話)70,80,90(手機字頭)並非免費的...(以及美國的一大堆字頭...)
我的做法是先加上這些字頭不能撥出...最後才給該地區字頭撥出...
(PS:那份list是和記給的...按此)
形式大概是這樣...

0088 886 9       Hangup
0088 886 60    Hangup
0088 886 70    Hangup
0088 886          PSTN Dial

0088 81 50    Hangup
0088 81 70    Hangup
0088 81 80    Hangup
0088 81 90    Hangup
0088 81          PSTN Dial

List是和記給的...有錯漏是和記的問題...

這樣改可能是費時一點...但比較安全...

作者: bubblestar 時間: 2010-11-4 21:41

嘩! 衛星電話超人兄都有一部，真係超人的電話喎

好似都要幾千大元以上一部呢。

至於DP 要咁多限制，如果要在SPA3000 或 SPA3102 等的ATA裡面做，可能比較麻煩一點，相信超人兄是在ASTERISK裡面做的，對吧!

作者: 電腦超人 時間: 2010-11-4 21:58

嘩! 衛星電話超人兄都有一部，真係超人的電話喎好似都要幾千大元以上一部呢。

至於DP 要咁多限制，如 ...
bubblestar 發表於 2010-11-4 21:41

我手頭上的只可用GSM網絡(左邊的)...要配上衛星天線(右邊的)才可用到衛星電話功能(右邊的)...

PS:當年其士店有少量賣...好像六百多還是八百多元吧...當年是用第一份Part-time的人工去買的...

嗯~Dialplan我是放在IP01裡啦...
不過最近常常掛掉...現在索性將時間放在建一台asterisk好了...
(嗯~乾脆用1.8好了~)

作者: ckleea 時間: 2010-11-4 22:21

回復 21# 電腦超人

你的IP01 hang 機，用ATCOM firmware？

用 Asterisk 1.8 都唔錯，暫時有嘅問題:
1. GUI not working well especially with IE8
2. CLI console 怪怪地
3. 冇 iLBC codec
4. 未識用 fax

作者: bubblestar 時間: 2010-11-4 22:36

樣子好有當年大牛龜水壺電話的味道。

  超平啦!!!

天線就是右邊很粗的東西，有機會幫你留意一下。早一兩個月去筲基灣東大街，見到一間買電子器材及零件鋪頭，見到有衛星電話賣，相信是給漁民出海用，也有天線賣，嗰度近漁港避風塘嘛。

點解你地個個部IP01都有問題嘅??  我部就無咩事幹，不過我都打算換switchfin firmware，因為好似好玩D穩定D。呢部機的原創者的那位澳洲DAVID ROWE說，呢粒CPU在embedded 類別之中算是強勁者之一，所以專登用它作開發的，不要浪費啊!

至於Asterisk 1.8，也是我目標呢!  等下星期有空再攪。

作者: bubblestar 時間: 2010-11-6 09:45

本帖最後由 bubblestar 於 2010-11-6 10:02 編輯

可能大家已經知道，但我卻一直都沒有發現，慒然不知。原來 Asterisk GUI 的 User Extention 密碼是有限制的，只能用英文大小寫及數字組合，並不能加入符號；而在APL自行編寫就沒有此限制了。怪不得一直不能接通，一改用安全性較低而沒有符號密碼時，即刻能把內線接通。

看來ASTERISK 的 GUI 要改善一下呢方面的保安漏洞了。

還有一樣，就是進入GUI首頁時的密碼也不能設定符號，否則也不能進入。真有些奇怪，人家其它的ROUTER，SWITCH都是行GUI，都可以容許加入符號作密碼，它仲係咁落後。

作者: ckleea 時間: 2010-11-7 19:25

To me, I use GUI to check if asterisk is running and to create user over the web. Dial plan and other functions are done via APL.
But GUI gives me an idea when I am far away from home where I can't use SSH.

作者: bubblestar 時間: 2010-11-7 20:56

Good idea!

I used to run my Asterisk either via APL or GUI. Your suggested way of running it via a mixed mode seems more efficient and effective when we need to administer our server.

Will persue in this direction.

作者: ckleea 時間: 2010-11-7 21:26

There are several more options we discussed in the afternoon.

1. use web for central administration. I use SSL-VPN if possible. Now my router allows me to do so.
2. disable remote access via SSH and FTP to the IP0x box. It is dangerous. Also change the default root password to some other you like
3. GUI for asterisk is only for status review and very simple function. We have to find out the right combination. Perhaps disable administrative rights from internet connection unless you can do so in 4 below
4. you may need to limit the IP allowed to connect but only apply to fixed IP.

作者: bubblestar 時間: 2010-11-8 00:19

Thanks for additional information and remind. I will pay attention to these areas when doing GUI and APL combination.

作者: 雯雯 時間: 2011-11-5 17:57

可否在Asterisk設定允許撥打某些字頭開頭的電話號碼, 其他字頭開頭的電話號碼需要先通過密碼認證才可以撥出?

作者: 角色 時間: 2011-11-5 18:03

当然可以。

角色

作者: ckleea 時間: 2011-11-5 19:53

請留意 alang 網頁的安全指引

作者: 雯雯 時間: 2012-2-9 22:35

問題雯雯又有問題問, 如果只是將IAX port set port forward, client也是用IAX的話, 安全性如何?

作者: 角色 時間: 2012-2-10 00:40

我估计要encryption才能解决，不过我们很少这样做。

角色

作者: bubblestar 時間: 2012-2-10 12:02

本帖最後由 bubblestar 於 2012-2-10 12:03 編輯

呢個security 問題一直是很多人關注的課題，其實於Asterisk / SIP 裡使用 Encryption，已於數年前開始了。

The Zfone Project - Asterisk PBX Support

Zfone software 配合大家本身的Sip Client 也可以當成 secure voip phone 使用。

另外，大家可以看看兩部 iPhone 如何進行 Encrypted Call. 據說在其他平台上，例如 NOKIA E72 一樣可以。
Encrypted Call on iPhone using Cellcrypt Mobile

更多例子，可以往這裡看，有很多Youtube 片子讓大家參考的。http://www.1913intel.com/2009/07/12/encryption-for-voip-calls/

歡迎光臨電訊茶室 (http://telecom-cafe.com/forum/)