Welcome to Scribd, the world's digital library. Read, publish, and share books and documents. See more
Download
Standard view
Full view
of .
Save to My Library
Look up keyword
Like this
1Activity
0 of .
Results for:
No results containing your search query
P. 1
How to Secure Asterisk

How to Secure Asterisk

Ratings: (0)|Views: 132 |Likes:
Published by iamaladin
เป็นบทความสอนวิธีการเซ็ต Security ให้ Asterisk เอกสารเกี่ยวกับ Asterisk แบบมีคุณภาพจากเว็บ http://www.vop4share.com
เป็นบทความสอนวิธีการเซ็ต Security ให้ Asterisk เอกสารเกี่ยวกับ Asterisk แบบมีคุณภาพจากเว็บ http://www.vop4share.com

More info:

Categories:Topics, Art & Design
Published by: iamaladin on Mar 22, 2010
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PDF, TXT or read online from Scribd
See more
See less

03/22/2010

pdf

text

original

 
 Asterisk Security 1
บทความโดย
 
คุณหนุ ่
 
แห่งเว็
www.voip4share.com
7
วิธี ในการป้องกั
 Asterisk
 
จากพวกมือบอน
(
 Asterisk SIP Security)
ยงมีบทความเกี ยวก
 
Asterisk, Elastix, VoIP
อีกมากมายครบที เวบไซต์
 
http://www.voip4share.com
สวสดีครบ ผมมีบทความการป้องก
Asterisk (
จากพวกมือบอน
)
มาฝากครบ บทความนี  พูดถึ
7
วธีในการป้องก
Asterisk
 
ใหแคลวคลาดจากพวกชอบสุ ่มเดา
Username/Password
ใน
Asterisk
 
ของเราข  นตอนปกตที พวกมือบอนใช 
1.
แสกน
host
หา
SIP Server ->
 
Asterisk
 
โดยการส่
SIP Message
เช่
Register, Invite
แบบสุ ่มๆมาที  
IP Address
 
เป้าหมาย เปลี ยน
IP
เปลี ยน
Port
ไปเรื อยๆ ถามี 
Response
กแสดงว่
IP
นี  เป็
SIP Server 
 2.
แสกนหาเบอร์ 
Extension
 
พอรู  ว่าเครื องเป้าหมายเป็
 
SIP Server 
ต่อไปกใชใชโปรแกรมหรื
Script
ส่
SIP
 
Register 
หรื
INVITE
ไปที  
IP SIP Server 
เป้าหมาย เพื  หาว่าใน
Server 
มี 
Extension
เบอร์อะไรบาง
3.
แสกนหา
Password
 
โดยการใชโปรแกรมหรื
Script
ส่
SIP Register 
ไปย
SIP Server 
 
โดยระบุเบอร์ 
Extension
ที แสกนมาไดแลวเปลี ยนพาสเวอร์ดไปเรื อยๆ จนกว่าจะเจอถาเขาเขามาไดกอาจจะใชระบบของเราโทรไปที นู ่นที นี ไดฟรี 
(
ขึ  นอยู ่กบว่
SIP Server 
โทรไปที ไหนไดบาง และโทรยงไง
)
ค่าใชจ่ายกจะตกอยู ่ กบเรา หรือลูกคาที โดน
Hack
 
การที  
SIP Server 
 
ของเราโดนแบบนี  แมว่าเขาจะเดา
Username/Password
ไม่ไดกตาม แต่โปรแกรมหรื
Script
เหล่าน  นจะส่
SIPMessage
ปรมาณมหาศาลและเรวมากมาที  
SIP Server 
ผลกคื
SIP Server 
อาจจะใหบรการลูกคาไม่ไดหรือไม่กแฮงค์ไปเลยเพราะถูกก
CPU/RAM
 
ไปหมดอย่างไรกตาม ถ
SIP Server 
ไม่ไดต่อก
Internet
 
หรือโทรไดแต่เบอร์ 
Extension
ดวยกน กไม่น่าเป็นห่วงเท่าไหร่แต่กควรจะป้องกนไวดีกว่ คร
7
วธีในการท
SIP Security
ใหแก่ 
Asterisk
 
1.
 ใหยอมรั
SIP Authentication Request
จาก
IP Address
 
ที กาหนดไวเท่านั 
 
วธีนี  จะง่ายถาเบอร์ 
Extension
 
อยู ่ใน
LAN
หรื
Internet
แบบ
Fixed IP
ไม่มีเบอร์ไหนที ใชงานมาจาก
Dynamic IP
เลย
 
 Asterisk Security 2
บทความโดย
 
คุณหนุ ่
 
แห่งเว็
www.voip4share.com
ในไฟล์ 
sip.conf 
ใหเพ มบรรท
deny =
0.0.0.0/0.0.0.0
permit=
192.168.0.0/255.255.255.0
ใส่เป็
Subnet
หรื
IP address
ของโฮสต์ที จะรีจสเตอร์ดวย
Extension
ดงกล่าว ใช 
DNS
หรื
FQDN
 
ไม่ไดนะครบตองเป็
IP Address
เท่าน  น ซึ 
Asterisk
จะยอมร
SIP
 
Authentication Request
มาจาก
IP
ที ขึ  นตนดวย
192.168.0
เท่าน   หรือเราจะเอาไปใส่ไวในเบอร์ 
SIP Extension
แต่ละเบอร์กไดนะครบ เช่
[100]
deny=
0.0.0.0/0.0.0.0
permit=
192.168.0.0/255.255.255.0[101]
deny=
0.0.0.0/0.0.0.0
permit=
192.168.0.5/255.255.255.0
2.
เซ็
alwaysauthreject=yes
 ในไฟล์ 
sip.conf 
 
ดีฟอลท์คื
no
 
ซึ งจะทาใหเมื อพวกมือบอนสุ ่
Resigter/Invite
เขามาแลวโดนระบบเรา
Reject
 
น  นเป็นเพราะว่าไม่มี 
Username
หรือว่ามี 
Username
แต่ 
Password
ผด แต่ถาเราเซตเป็
yes
จะทาใหพวกเขาแยกไม่ออกว่
SIP Response
 
ที ไดรบน  นเป็นเพราะ
Username
ถูกตองหรือไม่ถูกตองกนแน่เพราะ
 
Response
 
ที ส่งออกไปน  นจะเหมือนก
Username
ถูกแต่ 
Password
ผด ทาให 
Hacker 
 
ไม่รู  ว่าตวเองรู   อะไรอยู ่เขาจะนึกว่าเขารู   
Username
แล
(
แต่จรงๆยงไม่รู   
)
ลองดูตวอย่างกนคร ถาไม่เซตหรือเซ
alwaysauthreject=no (
ค่าดีฟอลท์
)
แล
Register 
หรื
Invite
ดวย
Username
ที ไม่มีอยู ่จร
Asterisk
จะส่
"404
NotFound
"
กลบมา แบบนี  คร
192.168.0.1 -
>
192.168.0.2
SIP Request: REGISTER
 
sip:
58.97.35.22192.168.0.2 -
>
192.168.0.1
SIP Status:
 404
Not found
 
และถ
Register 
ดวย
Username
 
ที มีอยู ่จรง แต่ 
Password
ผ
Asterisk
จะส่
"403
Forbidden"
กลบมา แบบนี  คร
 
 Asterisk Security 3
บทความโดย
 
คุณหนุ ่
 
แห่งเว็
www.voip4share.com
192.168.0.1 -
>
192.168.0.2
SIP Request: REGISTER
 
sip:
58.97.35.22192.168.0.2 -
>
192.168.0.1
SIP Status:
 [
color=#FF
0000]403
Forbidden (Bad
 
auth)
[/
color]
 
ถาเซ
alwaysauthreject=yes
ไม่ว่
Username
 
จะมีหรือไม่มีอยู ่จรง กจะใหผลเหมือนกนครบ คื
"403
Forbidden
"
3.
ตั 
Password
 ใหเดายากๆ
 
เซตบรรท
secret=
ของแต่ละ
SIP Extension
 
ใหเดายากๆครบ อาจใชโปรแกรมประเภทสราง
Password
มาช่วยต  งกไดต  งใหแขงแรงที สุ คร
4.
ยอมรั
 AMI (Asterisk Manager Interface) Request
เฉพาะจาก
Host
 
ที เชื อถือไดเท่านั 
 
โดยใส่บรรท
deny
และ
permit
ในแต่ละ
Username/Password
 
เช่
[
user]
 
secret=password
 
deny=
0.0.0.0/0.0.0.0
permit=
127.0.0.1/255.255.255.0
ซึ 
Asterisk
จะยอมร
AMI Request
ดวย
Username=user 
จาก
Local Host
เท่าน  น และต  
Secret
ใหเดายากๆดวยนะคร
5.
แต่ละ
Sip Account
 ให โทรไดพรอมกั
1
หรื
2
คอล
 
ถาไม่จาเป็นกไม่ควรปล่อยใหแต่ละ
SIP Account
 
มีสทธ โทรพรอมๆกนไดมากกว่
1
หรื
2
สาย โดยใส่บรรท
call-limit=
1
หรื
call-limit=
2
ท  งนี  เพื อป้องกนในกรณีที  
Hacker 
รู   
Username/Password
และ
Register 
เขาระบบของเราไดแลว ยงไงซะเขากจะโทรไดแค่ 
1
หรื
2
คอลพรอมๆกน แต่ถาจาเป็นตองเปิดใหโทรพรอมกนหลายๆคอล กตองใช 
Security
 
ในขออื นๆร่วมดวยคร
6.
ต  
Username
ใหต่างจากเบอร์ 
Extension
 
ปกตเวลาเราสราง
SIP
 
Extension
เช่นเบอร์ 
100
เรามกจะแม๊บก
SIP Enty
100
และแม๊บกบก
SIP User 
100
ดวย
(
ผมเองกมกทาแบบนี    แต่ต่อไปจะไม่แลวคร
)
ซึ งเมื 
Hacker 
รู  ว่าในระบบเรามี 
Extension
อะไรบาง กจะช่วยใหเขาเดา
SIP Username
 
ไดง่าย ลองต  
SIPUsername
ใหต่างจาก
SIP Extension
ดูครบ แบบนี    แบบเด

You're Reading a Free Preview

Download
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->