Hello,
Utilise des mots de passes forts (chiffres, majuscules, caractères spéciaux) et ferme ton port 5060 de l'extérieur.
J'ai eu la même chose il y a peu de temps...
Have fun!
Hello,
Utilise des mots de passes forts (chiffres, majuscules, caractères spéciaux) et ferme ton port 5060 de l'extérieur.
J'ai eu la même chose il y a peu de temps...
Have fun!
Bonjour,
Oui le couple login/mot de passe doit contenir des caractères spéciaux afin d'éviter le type d'attaque par dictionnaire.
Cependant dans mon cas je suis en train de reproduire le mode Centrex... Je ne peux donc pas fermer le port 5060.
Le serveur est sur internet
=> pour le trunk opérateur SIP
=> accessible aux téléphones via une connexion ADSL/SDSL
Ne pas fermer le port 5060 ne veut pas dire aucun filtrage.
- Pour les utilisateurs en ip fixe, c'est facile, on n'ouvre que sur une seule IP.
- Pour les utilisateurs en ip dynamique j'ai ouvert des plages entières utilisés par les FAI de mes utilisateurs. Ce n'est pas parfait, mais j'évite probablement plus de 99% des robots qui scannent les IP pour trouver du SIP: Non seulement ils ont rarement des IP françaises et les rares ip française que je vois dans mes logs sont liés à serveurs dédiés ( en général debibox )
Effectivement tu as raison tanguyd !
Je suis plus ou moins dans la même démarche... mais les adresses IP dynamique c'est un peux compliqué à tenir !! Cette solution n'est pas viable quand tu as des personnes qui change leur abonnement mobile et qui cherche à connecter leur compte SIP par exemple...
Et pour les IPv6 cela risque d'être trop trop long à tenir comme liste sur le firewall
Effectivement mes utilisateurs sont tous sur des lignes adsl fixes dans les locaux de leurs entreprises respectives et ne changeraient pas d'abonnement sans nous prévenir.
L'importance du filtrage est moindre en ipv6. Les plages IP sont si larges que la probabilité qu'un bot trouve ton adresse lors d'un scan est assez faible.
Oui c'est plus facile avec des IP fixes... Même si cela reste fastidieux à tenirEnvoyé par tanguyd
Je ne sais pas de mon côté encore quelle méthode instaurer
On commence à trouver des /64 pour chaque abonnés, soit environ 18 millions d'IPv6 pour le même abonné... C'est sur que le bot va passer pas mal de range avant de trouver quelque chose qui réponde...
M'enfin c'est t'on jamais
outre le message dans ma signature, un truc qui me démange (hormis les suites d'un p... de chikungunya), c'est de mettre le patch geo sur iptables - mais ca fait recompiler le kernel, et c'est bcp de boulot et pas de upgrades faciles
Sécurisez votre asterisk, lisez ce post du forum: http://www.asterisk-france.org/showt...-recapitulatif et votre patton: http://www.asterisk-france.org/threa...tage-via-tiers - comprenez le nat : http://www.asterisk-france.org/threa...dio-pas-de-son
Il y a la recompilation du kernel, mais aussi le temps de traitement par le firewall pour vérifier si l'IP match ou pas avec la liste... Sur des petites configuration cela risque de surcharger la machine.
Pas évidement de trouver le bon compromis !
Bonsoir à tous,
grâce à vos différents conseils et astuces j'ai pu régler mon soucis de sécurité
.malgré tout je continue toujours d'améliorer les choses.
Grand merci à vous.
Règles de messages
Répondre avec citation
