from-sip-external c'est ton contexte pour les appels entrants ? Combien y'a-t'il de peer SIP configurés avec ce contexte ? Uniquement celui de ton fournisseur VoiP ?
from-sip-external c'est ton contexte pour les appels entrants ? Combien y'a-t'il de peer SIP configurés avec ce contexte ? Uniquement celui de ton fournisseur VoiP ?
si la personne arrive a appeler un poste, c'est qu'il accede à ton serveur et que ton serveur l'autorise... ca peut être qu'il passe via ton fournisseur sip, mais ce dernier ne sait pas router tes no internes....
je pense qu'il y a quand meme quelque chose de pas net.
du coup, appeler des no au hasard a du sens, car cela permet de chercher une combinaison ou le hacker peut telephoner.
un dos, ca va être plus un paquet répété plein de fois, donc, non , ce n'est pas ca
le bruteforce, avec un fail2ban, ca va très loin... donc si tu as vu un pwd cracké, c'est que la sécurité est pas top
Sécurisez votre asterisk, lisez ce post du forum: http://www.asterisk-france.org/showt...-recapitulatif et votre patton: http://www.asterisk-france.org/threa...tage-via-tiers - comprenez le nat : http://www.asterisk-france.org/threa...dio-pas-de-son
le port sip est effectivement ouvert pour des appels des postes exterieurs vers nos bureauxEnvoyé par jean
les pwd crackés c'est pas ici c'était sur une autre install nos pwd me semble être suffisamment tordus
Le port sip ne doit etre alors autorisé que pour les seuls ips des bureaux pas le monde entier.
Ne pas oublier permit/deny qui est une securité supplementaire. L'acces au mot de passe par ruse ou trojan ne compromettera pas l'acces remote meme avec le bon mot de passe. Le vpn est aussi une securité supplementaire qui s'impose IMHO si on a une config avec plusieurs bureaux.
Juste une question con :-)
Ton IPBX est une trixbox ou Freepbx ouvert au web ? je sais que plein de gens adorent ça pour je ne sais quelle raison autre que le plaisir de se faire hacker.
Le fop est accessible avec son passw0rd d'origine ?
le manager avec son user d'origine ? etc..
ouvrir un pbx d'entreprise au web est de toute façon toujours une mauvaise idée
accepter les appels anonymes également.
Il y a deux intérêts à faire sonner des numéros de dialplan interne
1 - Tomber sur une ivr ou on peux redialer vers l'extérieur
2 - Cracker un répondeur et programmer un forward qui en fait une véritable route (cette technique est l’ancêtre du phreaking)
et certainement d'autres intérêts que je ne connais pas
on travaille sur freepbx tout les passwords par defaut on été remplacé.
OK, mais tu ne devrais jamais mettre ni le port web, ni les ports voip directement sur internet. Toujours utiliser un firewall.
Si tu dois accéder au web de l'exterieur, utilise un VPN ..
Pour revenir sur ce sujet, si quelqu'un à l'adresse d'un tuto ou autre de trucs qu'il vaut mieux sécuriser plutôt que de laisser la config par défaut, je pense qu'il y aurait des preneurs, moi y compris...
non ce contexte n'existe nulle part dans mon pbx
Tu en es sur ? On parie ?
Il existe car il fait sonner tes postes...Et comme c'est le contexte par defaut de freepbx pour les appels sips externes, je ne pense pas que tu ais modifié à ce point freebpx. ( pas evident de le supprimer, plus simple de le surcharger ou d'en utiliser un autre)
Si on sait ce qu'on fait, ca ne pose pas vraiment de pb d'autoriser les appels entrants sip anonymes.
Dans ta config freepbx, tu as definis tes trunks. Par defaut, le context est from-pstn et c'est ce que tu as peut etre dans la def de ceux-ci. Lors d'un appel entrant, asterisk va matcher les friend/user definis et tu vas retrouver un appel sur le contexte du trunk correspondant.
Si, ca ne matche pas, ca va arriver vers un context default, souvent appelé default d'ailleurs et sur freepbx from-sip-external ( voir section general sip ). Si tu autorises l'option dans freepbx, il cherchera ensuite à matcher la inbound route correspondante. Tu as probablement une inbound route par defaut ce qui fait sonner tes postes comme un appel normal.
Si tu ne veux pas autoriser les appels sip entrant "anonymes", le plus simple est lorsque possible, de n'autoriser que tes fournisseurs ou adresses ip autorisées a acceder à ton serveur en bloquant tous les autres. iptables est ton ami...
Certains fournisseurs exige ce type de config.
Il y a un setting permettant de renvoyer vers un congestion dans freepbx, neanmoins il vaut mieux utiliser iptables si possible qui sera plus efficace, ton serveur n'attirera pas l'attention car "invisible" de l'exterieur au contraire d'une congestion.
Fastm3.
Règles de messages
Répondre avec citation