LINUX.ORG.RU

Консультация по безопасности

 , , ,


1

3

Есть такая проблема. Кто-то проник в сеть офиса, взломал телефонный шлюз и сделал несколько звонков на пару сотен минут по международной связи. Исходящую связь я заблокировал, пароль на шлюзе сменил, заодно на всех экстеншенах в астериске. Сижу, и думаю, как это могло произойти. И что сделать, чтобы не повторилось.

В сети десятка полтора компьютеров, пара десятков разных девайсов типа принтеров и ip-камер, несколько серверов для 1С, почты, телефонии и прочего. Коммутаторы умные 3COM 4500, но руки не доходят их настроить, поэтому работают как неуправляемые. В сети два маршрутизатора плюс один линк подключен напрямую в коммутатор — используется для астериска. У меня подозрения на этот линк, только я не понимаю, как откуда-то снаружи можно попасть в сеть с нашим внутренним адресом через него. Еще вариант, что кто-то подключился физически — витая пара протянута по общим коридорам, никакой физической защиты нет.

Сел читать про RADIUS, 802.1x и понял, что без внятной стратегии можно читать бесконечно. Поэтому прошу помощи знающих людей. Вводить идентификацию на коммутаторах по MAC? Но MAC легко клонировать. Непонятно, что с RADIUS — как будут идентифицироваться сервера или принтеры? Может, мне сделать группы адресов и настроить iptables на серверах, например, чтобы только группа адресов ПК могла подключаться к серверу 1С, а принтерам и прочим девайсам закрыть доступ, куда не нужно? Может, пробросить этот линк, воткнутый в коммутатор, на тот физический порт, куда воткнут астериск. Как это сделать, если это разные коммутаторы? Коммутаторы стекируемые, это поможет? В общем, как я понимаю, тут нужны наводящие вопросы со стороны знающего человека. Может, даже лучше в офлайне обсуждать с рисованием схем и т.д. — я в Питере нахожусь и готов материально отблагодарить за один-два вечера краткого практического курса по сетевой безопасности применительно к конкретной сети)

Ответ на: комментарий от Deleted

И что, это мешает, например, ограничить в iptables доступ к астериску только с адресов VoIP девайсов? Сразу отрезаем компы с троянами от телефонии, уже неплохо.

alexparty ()

Вполне возможно, что кто-то из своих подключился удаленно к офисной сети и созвонился с друзьями.

newpunkies ()
Ответ на: комментарий от Legioner

Звонили, мне кажется, через шлюз. В логах астериска не было этих звонков. Зато были какие-то входящие, которые потом уходили на шлюз. В настройках шлюза был добавлен префикс, я его удалил сразу, к сожалению, не запомнил.

alexparty ()
Ответ на: комментарий от alexparty

Почему маловероятно? Как доступ во внутреннюю сеть организован? Не могли просто угнать учетку vpn?

В настройках шлюза был добавлен префикс

Значит кто-то имел доступ к шлюзу (логин\пароль или как оно там), либо была какая-то дыра.

Короче скорее всего либо кто-то из своих это сделал, либо кто-то из своих посодействовал в предоставлении доступа - потерял учетку vpn, держал трояна etc. Фильм «Хакеры» посмотри, можно самое начало, поймешь о чем речь.

alozovskoy ★★★★★ ()
Ответ на: комментарий от alozovskoy

Да, вполне может быть и учётка VPN, и троян. Вряд ли нарочно, потому что профит от 200 минут разговора с Кубой как-то неочевиден. Вопрос, как обезопаситься от повторений. Сейчас, получается, втыкайся в свободную розетку и как минимум халявный интернет тебе обеспечен, а как максимум можно попытаться подбирать пароли, или устроить бэкдор, чтобы вечерком из дома шарить по компьютерам коллег, да вообще много чего можно сделать.

alexparty ()
Ответ на: комментарий от Deleted

D-link DVG-6004s. Он без пароля был, так что там даже ломать нечего:)

alexparty ()

http://www.voip-info.org/wiki/view/Asterisk cmd Dial

Asterisk Dial command options

Есть возможность при звонке на астер (в какую либо очередь или любой другой экстен звонящему методом *2 сделать перевод вызова?)

Пару лет назад нас так ломанули - пров молодец вовремя отрубил международные направления.

aeX1pu2b ()

Вынести в отдельную сеть IP-телефоны и сервер, сервак прикрыть натом, очевидно же.

ktulhu666 ☆☆☆ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.