|
Тема |
Няколко препоръки за защита от хакери [re: grigspace] |
|
Автор |
ToxiNiK (сбръчкан дядка) |
|
Публикувано | 05.08.11 14:42 |
|
|
Няколко препоръки, за да се предпазиш от ненадейно навъртане на сметка за хиляди левове при VoIP доставчика си:
- Потърси информация за защитата на сървъра си и ги приложи всичките;
- Използвай пароли минимум 10 символа, съдържащи цифри, знаци, малки и големи букви;
- В 'general' секцията на файла sip.conf вмъкни следните редове:
; забрана на гости без username и password
allowguest=no
; забрана за подаване на информация дали даденият номер съществува
alwaysauthreject=yes
- Ако свързваш няколко офиса с Asterisk сървъри може да използваш следното в 'general' секцията на файла sip.conf:
;забрана и разрешаване на трафика от адреси и мрежи
permit=<ipaddress>/<network mask>
deny=<ipaddress>/<network mask>
Примери:
; забранява трафика от този IP адрес
deny=192.168.0.118/255.255.255.255
; разрешава трафика от тази мрежа
permit=192.168.100.0/255.255.255.0
; забранява трафика от всеки IP адрес с изключение на разрешения
deny=0.0.0.0/0.0.0.0
permit=216.207.245.47/255.255.255.255
Може да задаваш няколко различни забрани и разрешения.
- Телефонните номера в номерационния ти план да са от номер 5000 нагоре за да затрудниш при евентуално сканиране хакерите;
- В защитната си стена въведи да се блокират всички Китайски мрежи защото от там идват най-много хакерски атаки. Ако искаш мога да ти дам адресите на почти всички мрежи в Китай или поне на тези от които съм имал при мен атаки и които съм блокирал.
- Инсталирай програма от рода на Fail2ban и я конфигурирай автоматично да блокира опитите за атака не само при Asterisk, но и при другите услуги които използваш (mysql, apache, ssh и др.);
- Чети редовно логовете на сървъра си защото няма нищо 100% сигурно.
- Търси VoIP доставчик с предплатени минути за да може ако случайно някой те хакне да изразходи само това което предварително си платил, а не да ти навърти на сметката няколко стотин хиляди лева докато се усетиш.
- Ако ползваш ssh за администрация на сървъра си промени порта му да не е 22 а да е някой нестандартен, например 34567, или използвай 'port knocking' техниката за отваряне на порт.
В общи линии за това се сещам в момента, като най-належащото което трябва да се направи за базова защита.
|
| |
|
|
|