Kann man auch die Nutzung v. Asterix auf Mac Adressen beschränken

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
K

kkkap

Neuer User
Mitglied seit
24 Dez 2008
Beiträge
30
Punkte für Reaktionen
0
Punkte
6
Hallo Leute,

Kann man auch die Nutzung v. Asterix auf Mac Adressen beschränken und ein Hacken von draußen umgehen?

Ich setze Asterix 13.1 ein.
 
Nein, Asterisk kann das nicht. Zudem lassen sich MAC Adressen leicht fälschen (spoofing).
Mit permit/deny lassen sich Adressräume eingrenzen, zudem kann man geeignete Firewallregeln definieren, mit z.B. fail2ban gewisse Muster erkennen und die fremde IP-Adressen bannen, man kann von den üblichen Ports abweichen, VPN kann eine Option sein, und so weiter und so fort, je nach Szenario. Es gibt einige Beiträge hier im IPPF, die sich mit dem Thema "Asterisk absichern" beschäftigen, aber diese sind vermutlich bereits bekannt.

VG R.
 
Hacker "von draußen" haben immer die gleiche MAC-Adresse: die des letzten Routers...
 
Hallo

erstmal vielen Dank für die Antwort.
Ich habe Zoiper auf mein Handy installiert und möchte mich von außen einloggen. Da in der Regel die Clients von Ihren Providern immer eine andere IP bekommen, kann ich das nicht eingrenzen.
Die Seiten "Asterisk absichern" werde ich mir genauer unter die Lupe nehmen. Jedoch ist es sehr mühsam jede einzelne Seite durchzukämmen und das Wichtige herauspicken.
Eigentlich sollte man hier eine Howto Seite mit Absichern machen.
Ich habe im sip.conf versucht mit folgenden Einträgen das Ganze etwas sicher zu gestalten:

contactdeny=0.0.0.0/0.0.0.0
contactpermit=192.168.XXX.0/255.255.255.0

Demnach dürfte ich mein Handy mit Zoiper von extern nicht anmelden.
Jedoch kann ich mich ohne weiteres anmelden.

Ich verbinde mich über IAX Protokoll. Wo müssen dann die Beschränkungen für den IP-Bereich oder allow und disallow und contactpermit Einträge hin? Etwa in IAX.conf?

Danke Tomate,

diese blöden Hacker, dass man von Ihnen keine Ruhe hat. Ich habe meine Erfahrungen auch schon mit Ihnen gemacht.

Wie können sie den überhaupt reinkommen?
Mit einem Telnet auf einen Dienst. Dazu bräuchten sie aber das Kennwort.
Demzufolge könnten sie das nicht
In dem sie sich auf Asterisk als Client anmelden. Können sie nicht, weil sie das Passwort nicht erraten können.
Angenommen sie konnten sich anmelden. Was können sie denn tun? Sie könnten doch nicht mehr erreichen, als wie die Calling Rules erlauben?
Wenn ich z. B. in den calling Rules nur Anrufe nach USA erlaube, könnten sie doch nicht nach Japan oder Lettland telefonieren oder doch?
 
Zuletzt bearbeitet von einem Moderator:
Moins


Hacker?
Sowas lernen Grundschüler mit/auf YouTube: SIPVicious
 
Echt Hammer,

die Tools schaue ich mir genauer an, um Schwachstellen auszumerzen und natürlich meine Configs zu überprüfen:)

Wie kann ich den eigentlich Asteriks neustarten. Ich habe Asteriks 13.1 drauf und ein script mit asteriks (etc/bin oder ähnlich) existiert nicht. Ich kann das Ganze bislang nur über die CLI Oberfläche (Gui) neustarten.
 
:doktor:
die Tools schaue ich mir genauer an, um Schwachstellen auszumerzen und natürlich meine Configs zu überprüfen
Zum Vergrößern anklicken....
Genau dafür ist sipvicious eigentlich gedacht.
...schau dir deinen Post #5 noch einmal an, denkste das immer noch?


:?:
Wie kann ich den eigentlich Asteriks neustarten
Zum Vergrößern anklicken....
In der Asterisk@CLI*:
1. core reload (Aktualisiert fast alle Konfigurationsänderungen)
2. sip reload (Aktualisiert sip.conf Änderungen)
3. dialplan reload (Aktualisiert extensions.conf Änderungen)

Debianbasierte Linuxe: service asterisk restart


* asterisk -rvvvvv
 
Zuletzt bearbeitet:
kkkap schrieb:
contactdeny=0.0.0.0/0.0.0.0
contactpermit=192.168.XXX.0/255.255.255.0
Demnach dürfte ich mein Handy mit Zoiper von extern nicht anmelden.
Jedoch kann ich mich ohne weiteres anmelden.
Zum Vergrößern anklicken....

Da dein Zoiper über deinen Router mit z.B. der Adresse 192.168.178.1 reinkommt, ist deine Bedingung wohl immer erfüllt. Anders sieht es z.B. aus, wenn du über ein LAN-zu-LAN-VPN gehst und dann zwingend von einem anderen Subnetz kommst.

Einen Asterisk praktisch offen zu betreiben d.h. ohne irgendwelche kryptografisch abgesicherten Protokolle, kann trotz starker Kennworte und fail2ban etc. etc. verdammt teuer werden. Deine Kennworte können z.B. im WPA2-gesicherten WLAN von jedem authentifizierten Clienten und im offenen WLAN von absolut jedem "Interessenten" abgelauscht werden. Daher solltest du zunächst mal alle Rufnummern sperren, die so richtig ins Geld gehen können.
 
Vielen dank für die Antwort

Ich melde mich über 3G Handy Netz an. Also sicher eine externe IP, die nicht Funken sollte.

Welche RNummer sind das, die teuer werden können und wie kann man sie sperren?

Einen Asterix offen zu betreiben kann teuer werden. Was kann ich den tun das Ding sicherer zu gestalten.
Zu einem steht eine fritzbox davor.
Zu anderem sind die Ports verändert.
Out going rules gesetzt.
Gibt es eine Seite wo man nachlesen kann welche Schritte benötigt werden um es sicherer zu machen?
 
Vielen Dank

Aber jetzt müßte ich noch etwas grundlegendes wissen. Die Beschränkungen werden überwiegend im Sip.conf gemacht.
Ich melde mich z. B. mit Asterix am Fritzbox mit SIP an. Dann ist es ja sinnvoll, wenn ich die Sicherheitsmechanismen unter sip.conf anpasse.
Ich melde mich aber mit Zoiper an Asterisk mit IAX an. Muß ich denn hier auch Sicherheitsvorkehrungen im iax.conf durchführen?

Hallo,auf der Gui Oberfläche kann man unter users (wird abgespeichert in users.conf) die MAC Addresse hinterlegen.
Bis jetzt weiß ich nur nicht wozu das dient? Selbst wenn ich die MAC nicht eintrage, kann ich mein Handy anmelden.
Ich habe mal testweise "acountdeny = all" im sip.conf, iax.conf und users.conf eingetragen.
Acountpermit habe ich weggelassen
Demnach sollte ich mich ja mit meinem Handy und Zoiper Client nicht anmelden können.
Jedoch kann ich mich ohne weiteres registrieren. Es ist auch egal ob ich v. GSM Netzt oder v. meinem Wlan komme.

VoIP Settings
MAC Address :
tooltip_info.gif
Line Number : 1 2 3 4 5 6
tooltip_info.gif
LineKeys: 1 2 3 4 5 6
tooltip_info.gif
SIP/IAX Password:
tooltip_info.gif
IAX: Require Call Token:
tooltip_info.gif
yes no auto
IAX: Max Call Numbers:
tooltip_info.gif
NAT:
tooltip_info.gif
Can Reinvite:
tooltip_info.gif
DTMF Mode: RFC2833InfoInband Auto
tooltip_info.gif
insecure: portveryno
tooltip_info.gif
 
Zuletzt bearbeitet von einem Moderator:
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 814 (Mitglieder: 36, Gäste: 778)

Neueste Beiträge

Statistik des Forums

Themen
246,201
Beiträge
2,247,963
Mitglieder
373,765
Neuestes Mitglied
ja.solutions
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück