ATCON-IPXX 的安全防護

本帖最後由 alang 於 2012-10-9 14:25 編輯

由於 IPXX 是 Embedded System，不比一般的 x86 PC 可以安裝很多套件，請教各位是如何對這機器做防護的。
以下是我一些想法，但還不確定是否可行

SSH:
- 修改預設的 SSH port
- 改用 SSH 的憑證認證模式

SIP:
- 修改 sip.conf
alwaysauthreject=yes
allowguest=no
- 為系統建立防火牆，一旦有發現異常 IP 就編輯某個檔案 badips.list

VPN:

最近在幫朋友的一台機器 IP02 做檢查，發現機器是遭遇到暴力攻擊，雖然在一般 PC 上曾做過很多類似的防護措施，但在這個機器卻是沒有太多經驗。

OSSLab Blog :: VoIP & IT Consultant

paneb

新手上路

Rank: 1

6^#

發表於 2012-10-9 16:17 | 只看該作者

Switchfin firmware裡頭就有VPN，alang可以試試看。

不過我之前也只是用tomato openvpn來做防護，管理也是透過tomato ssh來處理。

最近刷掛一台ip01，等rs232線入手後，再Po信息請大家幫忙。

TOP

alang

新手上路

Rank: 1

5^#

發表於 2012-10-9 14:14 | 只看該作者

VPN 確實是一個安全性比較高的的作法，不過這比較容易受到網路環境的限制，尤其是有遠端的分機用戶時。
幾個問題再請教諸位
- 不知這機器如何改 SSH 預設的 port
- 目前機器不支援 ipkg 指令，不知要如何安裝這指令，是否要先做 firmware 更新？

OSSLab Blog :: VoIP & IT Consultant

TOP

角色

註冊會員

Rank: 2

4^#

發表於 2012-10-8 20:04 | 只看該作者

Yeah! I forgot the name but it is very important to add for not being hacked by the voip intruders.

TOP

Qnewbie

新手上路

Rank: 1

3^#

發表於 2012-10-8 18:04 | 只看該作者

Let the external firewall do the job. IP-XX is weak again brute-force attack(System overloaded).

SSH login should be through VPN and alwaysauthreject=yes as 角色 C-hing said.

Restrict the extensions' ip-address when possible.

TOP

角色

註冊會員

Rank: 2

2^#

發表於 2012-10-8 13:27 | 只看該作者

alang你说出IP-XX，我既定，SSH，最后用别的port number，最好是用VPN入系统，然后用Internal IP再进入IP-01，那么就比较安全一点。

还有，任何credentials不对的时候，（extensions，secrets）不对的时候，都要出同一种errors，要让对方不知道哪里出问题。

还有，不能做logging，因为他们攻击很猛的时候，logging不过来就出现system hang问题。

TOP

返回列表

ATCON-IPXX 的安全防護

[收藏此主題] [關注此主題的新回復]

[通過 QQ、MSN 分享給朋友]