freeswitchforum.com
https://freeswitchforum.com/

защита от взлома учеток снаружи?
https://freeswitchforum.com/viewtopic.php?f=6&t=966
Страница 2 из 2

Автор:  Demon [ 26 сен 2019 14:10 ]
Заголовок сообщения:  Re: защита от взлома учеток снаружи?

ок, спасибо.
А можно в двух словах пояснить, как это может влиять на то что произошло?

Автор:  Vlad1983 [ 26 сен 2019 14:49 ]
Заголовок сообщения:  Re: защита от взлома учеток снаружи?

"It is possible to automatically add users with a CIDR attribute to an ACL list. This is particularly useful for authenticating people by static IP address instead of using challenge authentication.
...
apply-inbound-acl
Allow users to make calls from a particular cidr without authenticating
...
apply-register-acl
Allow users to register from a particular cidr without authenticating"

В случае c UDP исходящий IP подменяется легко и проскакивают по этим ACL в дефолтный контекст

заодно проверить это
"accept-blind-auth
accept any authentication without actually checking (not a good feature for most people)"

Автор:  Demon [ 26 сен 2019 15:02 ]
Заголовок сообщения:  Re: защита от взлома учеток снаружи?

accept-blind-auth - отключен, его первым проверил.
спасибо, теперь примерно понятно куда смотреть!

Автор:  NiOl [ 27 сен 2019 19:03 ]
Заголовок сообщения:  Re: защита от взлома учеток снаружи?

Похожая ситуация у соседей.
Плохо понимаю логику работы внешних соединений, а работу FS почти совсем не понимаю )))
У людей примитивный рутер, пробросить порты сложно - работает через раз, т.е. "легально" подключиться к АТС снаружи возможности нет, однако, сорванцы из европы (судя по адресам и по номерам, на которые пытаются звонить), прекрасно проходят через рутер и попадают на АТС, перебирают внутренние номера, пытаются на них звонить (успешно), главное - щупают, как попасть наружу...

Полностью закрыться от засранцев не удалось, но добавил правил на звонки:
поскольку пользуемся "Задармами", звонки должны поступать с "sip.zadarma.com", на номер "хххххх" - внутренний номер учетки в "Задормах". Так же исходящие номера должны содержать 11 цифр включая "8" за границу звонков они не делают, иначе придется еще что-нибудь придумывать.
Если до этого засранцы просто не могли позвонить за границу настройками в л/к оператора, то после добавления этих правил стали "отлетать" на самом FS.

<section name="dialplan">
<context name="zadarma">
<extension name="zadarma-in">
<condition field="${sip_from_host}" expression="^sip\.zadarma\.com$"/>
<condition field="${destination_number}" expression="^хххххх$"/> <!-- хххххх - номер в Задормах -->
<condition field="${ani}" expression="^\+?(\d{11})$"> <!-- разрешено только 11 цифр -->
...
...
<extension name="redirect"> <!-- Перевод входящего (городского) на внутренний -->
<condition field="${sip_from_host}" expression="^sip\.zadarma\.com$"/>
<condition field="${destination_number}" expression="^([12]\d{2})$"> <!-- внутренние номера 1хх и 2хх -->
<condition field="${ani}" expression="^\+?\d{11}$"/>

зы: повторюсь, до сих пор не понимаю, как работает FS, нормальной литературы на русском не нашел, потому решение, вероятно, корявое изначально.

Страница 2 из 2 Часовой пояс: UTC + 4 часа
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/