ATCON-IPXX 的安全防護

alang

由於 IPXX 是 Embedded System，不比一般的 x86 PC 可以安裝很多套件，請教各位是如何對這機器做防護的。
以下是我一些想法，但還不確定是否可行

SSH:
- 修改預設的 SSH port
- 改用 SSH 的憑證認證模式

SIP:
- 修改 sip.conf
   alwaysauthreject=yes
   allowguest=no
- 為系統建立防火牆，一旦有發現異常 IP 就編輯某個檔案 badips.list

VPN:

最近在幫朋友的一台機器 IP02 做檢查，發現機器是遭遇到暴力攻擊，雖然在一般 PC 上曾做過很多類似的防護措施，但在這個機器卻是沒有太多經驗。

角色

alang你说出IP-XX，我既定，SSH，最后用别的port number，最好是用VPN入系统，然后用Internal IP再进入IP-01，那么就比较安全一点。

还有，任何credentials不对的时候，（extensions，secrets）不对的时候，都要出同一种errors，要让对方不知道哪里出问题。

还有，不能做logging，因为他们攻击很猛的时候，logging不过来就出现system hang问题。

Qnewbie

Let the external firewall do the job. IP-XX is weak again brute-force attack(System overloaded).

SSH login should be through VPN and alwaysauthreject=yes as 角色 C-hing said.

Restrict the extensions' ip-address when possible.

角色

Yeah! I forgot the name but it is very important to add for not being hacked by the voip intruders.

alang

VPN 確實是一個安全性比較高的的作法，不過這比較容易受到網路環境的限制，尤其是有遠端的分機用戶時。
幾個問題再請教諸位
- 不知這機器如何改 SSH 預設的 port
- 目前機器不支援 ipkg 指令，不知要如何安裝這指令，是否要先做 firmware 更新？

下載 (12.65 KB)

2012-10-9 14:13

paneb

Switchfin firmware裡頭就有VPN，alang可以試試看。

不過我之前也只是用tomato openvpn來做防護，管理也是透過tomato ssh來處理。

最近刷掛一台ip01，等rs232線入手後，再Po信息請大家幫忙。