返回列表 發帖

ATCON-IPXX 的安全防護

本帖最後由 alang 於 2012-10-9 14:25 編輯

由於 IPXX 是 Embedded System,不比一般的 x86 PC 可以安裝很多套件,請教各位是如何對這機器做防護的。
以下是我一些想法,但還不確定是否可行

SSH:
- 修改預設的 SSH port
- 改用 SSH 的憑證認證模式

SIP:
- 修改 sip.conf
   alwaysauthreject=yes
   allowguest=no
- 為系統建立防火牆,一旦有發現異常 IP 就編輯某個檔案 badips.list

VPN:

最近在幫朋友的一台機器 IP02 做檢查,發現機器是遭遇到暴力攻擊,雖然在一般 PC 上曾做過很多類似的防護措施,但在這個機器卻是沒有太多經驗。
OSSLab Blog :: VoIP & IT Consultant

Switchfin firmware裡頭就有VPN,alang可以試試看。

不過我之前也只是用tomato openvpn來做防護,管理也是透過tomato ssh來處理。

最近刷掛一台ip01,等rs232線入手後,再Po信息請大家幫忙。

TOP

VPN 確實是一個安全性比較高的的作法,不過這比較容易受到網路環境的限制,尤其是有遠端的分機用戶時。
幾個問題再請教諸位
- 不知這機器如何改 SSH 預設的 port
- 目前機器不支援 ipkg 指令,不知要如何安裝這指令,是否要先做 firmware 更新?
status.png
OSSLab Blog :: VoIP & IT Consultant

TOP

Yeah! I forgot the name but it is very important to add for not being hacked by the voip intruders.

TOP

Let the external firewall do the job. IP-XX is weak again brute-force attack(System overloaded).

SSH login should be through VPN and alwaysauthreject=yes as 角色 C-hing said.

Restrict the extensions' ip-address when possible.

TOP

alang你说出IP-XX,我既定,SSH,最后用别的port number,最好是用VPN入系统,然后用Internal IP再进入IP-01,那么就比较安全一点。

还有,任何credentials不对的时候,(extensions,secrets)不对的时候,都要出同一种errors,要让对方不知道哪里出问题。

还有,不能做logging,因为他们攻击很猛的时候,logging不过来就出现system hang问题。

TOP

返回列表