Board logo

標題: 再談Asterisk保安 - IP 篇 [打印本頁]
作者: bubblestar    時間: 2010-11-30 22:41     標題: 再談Asterisk保安 - IP 篇

這兩天,我也發覺被人嘗試HACK,發覺IP來自安徽、荷蘭都有。

若想限制某些IP range 的進入,我覺得第一道防線,是否應該在Router 設定呢?

Asterisk Server 本身算是第二道防線,是嗎?

如何設定,希望版友可以詳細分享一下
作者: 雯雯    時間: 2010-11-30 22:46

回復 1# bubblestar

用IP range的方法範圍會不會有點大呢?
作者: bubblestar    時間: 2010-11-30 22:58

不會,因為可以先利用一些免費軟件,一CLICK便知道它們來自那個國家和他們所使用的整個IP RANGE ,不會殺錯良民,只是這方法,始終都是比較被動一點,不過有做應該好過咩都唔做。
作者: bubblestar    時間: 2010-11-30 23:03

好像我最近SET了一份BLACKLIST一樣,這幾天同一個廣告電話一入來我的系統,已經被CUT線了,這個廣告電話一共有7條線,非常有效,唔使煩。
作者: 雯雯    時間: 2010-11-30 23:12

本帖最後由 雯雯 於 2010-11-30 23:14 編輯

回復 4# bubblestar

如果是錄音廣告電話, 最簡單是打去電訊管理局的拒收訊息登記冊熱線登記拒收預錄訊息, 除非是真人廣告電話.
作者: bubblestar    時間: 2010-11-30 23:19

兩年前已經做了登記拒收預錄訊息,但現在仍然有真人或機器打來,甚至一打來,當你拿起電話便掛線的。它們的目的是想首先查清楚電話號碼是否仍是有效才再找真人跟進。另外,有些人只是為了應付公司SET好了的工作QUOTA,例如每天打出多少個電話,所以不志在是否推銷,所以一打來又會即收線。好無聊!
作者: Qnewbie    時間: 2010-12-1 05:20

IMHO, it should be done at the router.

If this feature is not provided by router, you might achieve it with iptables or host-file.
作者: ckleea    時間: 2010-12-1 06:04

Firewall to add at router level should be the best. If not set at iptables with fail2ban installed as well.

Of course, strong passwords are needed.
作者: 雯雯    時間: 2010-12-1 09:01

回復 6# bubblestar

我的固話很少收到廣告電話, 手提電話反而多!
作者: 雯雯    時間: 2010-12-1 09:59

回復 1# bubblestar

其實如果是不用IDD服務的話, 最後亦是最好的防線就是取消所有IDD服務, 這樣就算被hacker入侵, 他們也只是能夠打本地電話, 不會有甚麼大的損失!
作者: bubblestar    時間: 2010-12-1 10:50

本帖最後由 bubblestar 於 2010-12-1 12:36 編輯

Thanks for all of your constructive suggestion for taking measures on those unauthorised IPs.  I agree that Router is the first defending fortress and this is also why we spent considerable money on sourcing a reliable router before.

如果買了有限制IP 功能的 router 而不用,有點兒會浪費並且失去了買的意義,況且此類有較多功能或保安較健全的Router 一般都並不便宜。

fail2ban 未用過,要研究一下。

Thanks all
作者: 雯雯    時間: 2010-12-1 11:06

回復 11# bubblestar

設置 Asterisk 的安全性 (security) - OSSLab::開放軟體實驗室(Open Source Software Lab)

其實如果自己或者有親友懂得hack的話, 可以嘗試在起好Asterisk Server後做1次測試.
作者: bubblestar    時間: 2010-12-1 12:24

哈哈! 好建議。
作者: ckleea    時間: 2010-12-1 12:49

回復 9# 雯雯


    你真幸運,除咗直銷,仲有民意市場調查。
作者: 雯雯    時間: 2010-12-1 13:23

回復 14# ckleea

無辦法啦! 好多時我們登記會員或者申請服務時都會留下手提電話號碼! 基本上電話響我都會接, 因為擔心會是親友有甚麼急事用別的電話打來的! 不過我本身是做採購, 應付這些廣告電話我自有辦法!
作者: ckleea    時間: 2010-12-1 13:33

回復 15# 雯雯


    請指教三兩招式!
作者: 雯雯    時間: 2010-12-1 13:40

回復 3# bubblestar

講返IP方面, 做個IP range permit list可能會比IP range禁止list容易處理!
作者: 雯雯    時間: 2010-12-1 13:50

回復 16# ckleea

請看PM!
作者: ckleea    時間: 2010-12-1 13:52

如果在router set ,就要用deny list。因為router好多時要每個ip 係firewall  set 一次;沒有server iptables可以用cut and paste 同address range
作者: bubblestar    時間: 2010-12-1 15:47

回復 19# ckleea


   

但Draytek Vigor 的 Router 裡面是有Firewall Filter,可以設定 Block IP from Wan to Lan / Lan to Wan 的功能,是有獨立IP 及 IP Range 選項揀的,不會無效啩
作者: bubblestar    時間: 2010-12-1 15:55

回復 15# 雯雯


   

無來電顯示的,我都會局住接聽,也怕錯失緊急電話。

但有一些有來電顯示,而我又曾中招接聽過,再經過網上查核確定了是什麼財務公司、保險、銀行、理財、產品推銷等,我才正式加入BLACKLIST。所以正正經經的電話,絕不會錯失。而且呢D 攪攪震電話,絕大多數是3字頭的,好易分辨。
作者: 雯雯    時間: 2010-12-1 16:12

回復 21# bubblestar

3字頭的電話不一定是攪攪震電話! 現在很多家居固網電話, 包括我們現時用的2B和新世界寬頻電話, 都是3字頭!
作者: bubblestar    時間: 2010-12-1 16:45

所以一般市民,好似我咁樣,都會錯覺地把3字頭號碼列入Junk Call,2B和新世界寬頻電話都選擇呢D號碼作招徠,其實因為他們自己是賣了很多呢D組別號碼俾好多推銷公司。

好的方面看,3字號碼好似好好聽,好易記,但針無兩頭利,3字號碼被推銷公司濫用至令人生厭;我地那位尊貴的特首見領導人時,也一樣接過此類電話,當時大批中外記者在場,非常尷尬。

隨隨便便你看一下以下名單,3 字頭的,好嚇嚇人呢! 其它字頭的真的少好多。

http://www.joe-ho.com/index.php/ ... -blacklist-phone-no
作者: bubblestar    時間: 2010-12-1 16:49

回復 23# bubblestar


   
呢度都可以分門別類,看看是什麼公司攪鬼

http://hkjunkcall.com/web_phonelist.asp?listid=4
作者: ckleea    時間: 2010-12-1 18:54

回復 20# bubblestar

我用netgear,要每個IP set 一次
作者: ckleea    時間: 2010-12-1 19:00

回復 23# bubblestar


    我估要起一個 database,用AGI 對
作者: bubblestar    時間: 2010-12-1 21:45

回復 26# ckleea


   

數量大的話,DATABASE是無可避免。暫時來來去去都是個四、五個JUNK CALL來源,所以暫時用Asterisk 內置Database 已經奏效。
作者: ppmail168    時間: 2010-12-3 12:32

today found two IP address 82.79.32.186 and 143.107.30.32 use UDP port 5060 to hack my asterisk server, I block these two IP by firewall router, although these traffic cannot pass to asterisk server, but it still comsump my Internet link bandwidth around 1M bit, since it is UDP port, no need to sent acknowledge packet. Any suggest to solve?
作者: bubblestar    時間: 2010-12-3 16:45

回復 28# ppmail168


   
What I experienced was that the hackers just attempted to invade my * Server with only 2 to 4 attacks in every trial, which lasted for only 1 to 2 minutes atmost.  It did not cause any burden on my router and bandwidth in such a short and limited time period.

If they invade consistently and continuously for a considerable period of time, I think it will cause the so-called DoS or DDos which might further trigger the system down.  In fact, we cannot do anything, at least at my infantry level of knowledge, to stop that.  I suggest you to switchoff the * Server or Router for 10 minutes, it may let them go away for other targets.

I'm not the expert in this area, the above is just my two cents.



歡迎光臨 電訊茶室 (http://telecom-cafe.com/forum/) Powered by Discuz! 7.2