Thực đơn
trang chủĐiện thoại

Bảo vệ dấu hoa thị khỏi các kết nối trái phép. Cải thiện bảo mật Asterisk. Tắt thông báo về mật khẩu sai

Ngày nay, chúng ta thường phải đối mặt với nhiều kiểu tấn công khác nhau vào Asterisk và các loại tấn công tương tự. Cấu hình không chính xác và thiếu hiểu biết về các quy tắc đơn giản sẽ dẫn đến tổn thất tài chính cho doanh nghiệp sử dụng PBX Asterisk.

Trong bài viết này, chúng ta sẽ xem xét các cơ chế bảo mật ban đầu của Asterisk 13 sau khi cài đặt và sẽ không đề cập đến các cơ chế bảo mật của Linux. Dưới đây chúng tôi sẽ mô tả một số quy tắc sẽ giúp bảo mật hệ thống của bạn:

1. Mật khẩu và thông tin đăng nhập chống hack trên tất cả các thiết bị mạng (Dấu hoa thị, điện thoại IP, cổng VoIP).

Mật khẩu cho tài khoản SIP, quản trị viên, người quản lý Asterisk và cho các thiết bị mạng phải bao gồm ít nhất 13 ký tự (chữ cái, số, ký tự đặc biệt, chữ hoa, chữ thường). Không sử dụng thông tin đăng nhập trong hệ thống như quản trị viên, quản trị viên, người quản lý, v.v.

2. Sửa cấu hình SIP trong Asterisk – SIP.conf.

Để bảo vệ khỏi máy quét, bạn nên thay đổi cổng SIP tiêu chuẩn, cấm các cuộc gọi và đăng ký của khách, quay số chồng chéo, đăng ký thông tin trạng thái kênh, v.v. Mô tả đầy đủ về các tham số chung của SIP.conf được mô tả trong bài viết. Dưới đây là SIP.conf tôi đã cấu hình cho máy chủ Asterisk kèm theo các nhận xét:

Context=default ;Chỉ định bối cảnh không sử dụng cho các cuộc gọi đi theo mặc định allowguest=no ;Cấm kết nối khách (không có xác thực) match_auth_username=no ;Cấm sử dụng trường "tên người dùng" thay vì "từ" allowoverlap=no ;Cấm một chữ số dialing;allowtransfer= no ;Chúng tôi cấm sử dụng vùng chuyển tiếp=CUCM11.5(1)SU3 ;Chúng tôi sử dụng tên miền máy chủ của mình (chúng tôi ẩn dấu hoa thị đó) ;domainsasrealm=no ;recordonfeature=automixmon bindport=9050 ;Thay đổi tín hiệu SIP cổng udpbindaddr=0.0.0.0 ;Địa chỉ UDP theo -default tcpenable=yes ;Bật hỗ trợ TCP (trong trường hợp bạn có Avaya) tcpbindaddr=0.0.0.0 ;Địa chỉ TCP mặc định;tlsenable=no ;tlsbindaddr=0.0.0.0 ;tcpauthtimeout = 30 ; tcpauthlimit = 100 ;websocket_enabled = true ; websocket_write_timeout = 100 Transport=udp ;Vận chuyển mặc định srvlookup=yes ;Cho phép gọi tới tên DNS;pedantic=yes ;tos_sip=cs3 ;tos_audio=ef ;tos_video=af41 ;tos_text=af41 ;cos_sip=3 ;cos_audio=5 ;cos_video=4 ;cos_text=3 ;maxexpiry=3600 ;minexpiry=60 ;defaultexpiry=120 ;submaxexpiry=3600 ;subminexpiry=60 ;mwiexpiry=3600 ;maxforwards=70 đủ điều kiệnfreq=60 ;Đặt kiểm tra tính khả dụng của máy chủ thành 60 giây;qualifygap= 100 ;qualifypeers=1 ;keepalive=60 ;notifymimetype=text/plain ;buggymwi=no ;mwi_from=asterisk ;vmexten=voicemail ;preferred_codec_only=yes disallow=all ;Không cho phép tất cả các codec allow=alaw ;Cho phép Alaw cho phép =ulaw ;Cho phép Ulaw ;autoframing=yes ;mohinterpret=default ;mohsuggest=default ;parkinglot=plaza ngôn ngữ=ru ;Đặt tiếng Nga làm ngôn ngữ mặc định trong hệ thống tonezone=ru ;Xác định vùng âm chung trong Ru Relaxdtmf=yes ;Cho phép nhận dạng tín hiệu DTMF được nhận dạng kém;trustrpid = no ;sendrpid = có rpid_update=yes ;Thông báo ngay lập tức cho máy chủ sắp tới về những thay đổi trong trạng thái đường truyền;trust_id_outbound = no ;prematuremedia=no ;progressinband=no callerid=CUCM11.5(1)SU3 ; Nếu chúng tôi chưa cài đặt CallerID ở đâu đó, hãy làm điều đó bằng biểu tượng useragent=Cisco-SIPGateway/IOS-12.x ;Và với tư cách là một PBX, chúng tôi có Cisco-SIPGateway ;promiscredir = no ;usereqphone = no dtmfmode=rfc2833 ;Đặt âm báo để nhấn các nút trên điện thoại;compactheaders = Yes videosupport=yes ; Chúng tôi bật hỗ trợ cuộc gọi video; textsupport=no maxcallbitrate=2048 ;Tốc độ bit tối đa của giao tiếp video authfailureevents=yes ;Đặt trạng thái Ngang hàng nếu không thể đăng nhập=bị từ chối luônauthreject=yes ;Nếu yêu cầu xác thực bị từ chối thì phản hồi sẽ KHÔNG cho biết rằng người dùng đã nhập không chính xác, bảo vệ tìm kiếm tên người dùng auth_options_requests=yes ;Yêu cầu ủy quyền khi gửi OPTION và INVITE ;accept_outofcall_message = no ;outofcall_message_context = tin nhắn auth_message_requests=yes ;Bật xác thực Yêu cầu TIN NHẮN ;g726nonstandard = có ;outboundproxy=proxy.provider.domain:8080 ;supportpath =yes ;rtsavepath=yes ;matchexternaddrlocally = có ;dynamic_exclude_static = có ;contactdeny=0. 0.0.0/0.0.0.0 ;contactpermit=172.16.0.0/255.255.0.0 ;contactacl=named_acl_example ;rtp_engine=asterisk ;regcontext=sipregistrations regrectenonqualify=yes ;Nếu chất lượng được bật cho một thiết bị ngang hàng và nó không thành công, thì * sẽ tắt tiện ích mở rộng này khỏi regcontext ; Legacy_useroption_parsing=yes ;send_diversion=no ;shrinkcallerid=yes ;use_q850_reason = no ;refer_addheaders=yes autocreatepeer=no ;Vô hiệu hóa đăng ký UAC mà không cần xác thực t1min=200 ;Độ trễ tối thiểu cho các tin nhắn truyền đến máy chủ và quay lại;timert1=500 ; timerb=32000 rtptimeout= 600 ;Hủy cuộc gọi nếu không có hoạt động nào của luồng phương tiện RTP sau 600 giây rtpholdtimeout=300 ;Hủy cuộc gọi nếu không có hoạt động nào của luồng phương tiện RTP ở chế độ Giữ sau 300 giây;rtpkeepalive= ;session- bộ tính giờ=nguồn gốc ;session-expires=600 ;session-minse=90 ;session-refresher=uac ;sipdebug = có ;recordhistory=yes ;dumphistory=yes ;allowsubscribe=no ;subscribecontext = mặc định ;notifyringing = no ;notifyhold = vâng ; notificationcid = Yes callcounter=yes ;Kích hoạt bộ đếm cuộc gọi t38pt_udptl=yes ;Bật hỗ trợ cho T.38 với tính năng sửa lỗi FEC fax detect=yes ;Cho phép phát hiện CNG và T.38 nat=auto_force_rport,auto_commedia ;Tự động tìm Nat và bật dữ liệu đa phương tiện cổng mà Asterisk nhận được nó chứ không phải cổng nó nhận được trong SDP ;media_address = 172.16.42.1 ;subscribe_network_change_event = Yes ;icesupport = Yes directmedia=no ;Chúng tôi chuyển tiếp lưu lượng RTP trực tiếp giữa các đồng nghiệp, bỏ qua Asterisk ;directrtpsetup=yes ;directmediadeny=0.0 .0.0/0 ;directmediapermit=172.16.0.0/16 ;directmediaacl=acl_example ;ignoresdpversion=yes sdpsession=SIP Call ;Thay đổi tên của phiên SDP sdpowner=CiscoSystemsSIP-GW-UserAgent ;Thay đổi trường người dùng trong chuỗi chủ sở hữu SDP ;mã hóa =không ;encryption_taglen=80 ;avpf=yes ;force_avp=yes ;rtcachefriends=yes ;rtsavesysname=yes ;rtupdate =yes ;rtautoclear=yes ;ignoreregexpire=yes ;domain=customer.com,customer-context ;allowexternaldomains=no ;allowexternaldomains =no ;fromdomain=mydomain.tld ;snom_aoc_enabled = có jbenable=yes ;Kích hoạt việc sử dụng bộ đệm RTP để bù đắp cho độ trễ; jbforce = no jbmaxsize=200 ;Đặt kích thước bộ đệm RTP tối đa thành 200 ms;jbresyncthreshold = 1000 ;jbimpl = đã sửa;jbtargetextra = 40;jblog = không

3. Chúng tôi sử dụng cổng IAX không chuẩn.

Để làm điều này trong tập tin /etc/asterisk/iax.conf trong phần thay đổi tham số liên kết=4569 mỗi tham số liên kết = 9069

4. Dấu hoa thị phải được khởi chạy với tư cách người dùng khác (không phải root). Làm thế nào để làm điều này được viết trong.

5. Đặt địa chỉ IP hoặc mạng được phép cho Tiện ích mở rộng SIP.

chối=0.0.0.0/0.0.0.0 ;Từ chối mọi thứ allow=10.0.0.0/255.0.0.0 ;Cho phép giấy phép đã biết=172.20.0.0/255.255.0.0 ;Cho phép giấy phép đã biết=192.168.0.0/16 ;Cho phép giấy phép đã biết=192.168.0.0/16 ;

6. Đặt giới hạn cho các cuộc gọi đồng thời.

call-limit=2 ;Đặt giá trị thành 2 để người dùng có thể thực hiện chuyển khoản

7. Đặt các quy tắc định tuyến đi khác nhau cho mỗi người dùng.

Cần phải xóa tất cả các tuyến mặc định và chỉ định tuyến của riêng bạn, được phân biệt theo ngữ cảnh:

  • Bộ cục bộ
  • Cuộc gọi nội hạt
  • Cuộc gọi vùng
  • Cuộc gọi đường dài
  • Các cuộc gọi quốc tế

Danh sách đầy đủ các mã ABC, DEF có thể được lấy từ nguồn chính thức của Rossvyaz.
Đối với tuyến đường mặc định, hãy làm

Mở rộng => _X.,1,Gác máy()

8.

9.

10. Chúng tôi kết nối tất cả các thiết bị điện thoại với một VLAN Thoại riêng biệt. Ở đây chúng ta cần phải làm căng thẳng các nhà mạng.

11. Chúng tôi đặc biệt chú ý đến định hướng quốc tế 8-10.

Chúng tôi chỉ thiết lập các hướng dẫn được sử dụng trong tổ chức và thêm (mở rộng) chúng khi cần thiết. Chúng tôi cũng gửi thông báo qua email nếu người dùng hoặc kẻ tấn công đã sử dụng một điểm đến quốc tế không xác định và đặt giới hạn cho mỗi kết nối cũng như số lượng cuộc gọi đồng thời. Một giải pháp làm sẵn để bảo vệ hướng 8-10 được mô tả trong bài viết.

12. Tắt các kênh và dịch vụ không sử dụng.

Ví dụ: nếu bạn không sử dụng MGCP hoặc Skinny, hãy tắt các mô-đun này trong tệp /etc/asterisk/modules.conf:

Noload => pbx_gtkconsole.so noload => chan_alsa.so noload => chan_console.so noload => res_ari.so noload => chan_dahdi.so noload => codec_dahdi.so noload => res_ari_device_states.so noload => res_ari_applications.so noload = > res_ari_channels.so noload => res_ari_events.so noload => res_ari_playbacks.so noload => res_ari_endpoints.so noload => res_ari_recordings.so noload => res_ari_bridges.so noload => res_ari_asterisk.so noload => res_ari_sounds.so noload => res_pjsip .so noload => cdr_mysql.so noload => res_phoneprov.so noload => cdr_odbc.so noload => cdr_pgsql.so ;========================== ===== ; PBX -- noload => pbx_ael.so ; Các kênh -- noload => chan_mgcp.so noload => chan_skinny.so noload => chan_unistim.so noload => chan_pjsip.so noload => chan_modem.so noload => chan_modem_aopen.so noload => chan_modem_bestdata.so noload => chan_modem_i4l. so noload => chan_alsa.so noload => chan_oss.so ; Codec -- noload => codec_lpc10.so ; Các định dạng -- noload => format_au.so noload => format_gsm.so noload => format_h263.so noload => format_ilbc.so noload => format_jpeg.so ; Ứng dụng -- noload => app_image.so noload => app_zapateller.so noload => app_zapbarge.so noload => app_zapscan.so noload => res_config_ldap.so

13. Chúng tôi hạn chế quyền truy cập từ xa vào IP-PBX bằng Tường lửa.

Nếu bạn dự định cung cấp quyền truy cập từ xa cho nhân viên được ủy quyền, tốt nhất bạn nên tổ chức quyền truy cập đó bằng máy chủ VPN (ví dụ: Open VPN).

14. Đặt quyền hạn chế cho các thư mục.

Bất kỳ việc sử dụng tài liệu trang web nào chỉ có thể được thực hiện khi có sự cho phép của tác giả và có chỉ dẫn bắt buộc về nguồn.

Điện thoại có thể rẻ
và chức năng!

Công ty IT KUB cung cấp nhiều dịch vụ cài đặt, tích hợp và cấu hình điện thoại IP

Dịch vụ CNTT có thể có chất lượng cao!

chmod 755 cài đặt_apf_bfd.sh

./install_apf_bfd.sh

Cấu hình APF nằm ở /etc/apf/conf.apf

Để bắt đầu chỉnh sửa tập tin, sử dụng lệnh sau:

nano /etc/apf/conf.ap f

Đặt IFACE_IN và IFACE_OUT cho giao diện mạng đối diện với Internet. Đối với giao diện mạng đối diện với mạng cục bộ, hãy đặt IFACE_TRUSTED.

SET_TRIM="0"

APF có khả năng hỗ trợ QoS. Đối với SIP và IAX, phải cài đặt các mục sau:

T.O.S. _8="21,20,80,4569,5060,10000_20000"

Nếu thay đổi cổng SSH, bạn cần chỉnh sửa tệp conf.apf để khớp với cổng mới đó.

HELPER_SSH_PORT="2222"

Đảm bảo thay thế 2222 bằng số cổng chính xác mà bạn chọn để chạy SSH.

Lọc gửi đến được sử dụng để mở các cổng truy cập; TCP và UDP có các cài đặt riêng biệt. Đối với Asterisk (Trixbox), các cổng sau phải được mở; cả TCP và UDP đều được liệt kê. Nếu bạn không sử dụng TFTP thì đừng mở cổng 69. Đừng quên thay đổi cổng SSH. Nếu không, bạn sẽ không thể truy cập được; ở đây chúng tôi đang sử dụng cổng 2222 từ ví dụ trước. Chúng tôi không bao gồm các cổng IAX trong quá trình cài đặt này. Có một cách dễ dàng để đảm bảo rằng chỉ một số máy chủ nhất định mới có thể sử dụng IAX mà chúng tôi sẽ đề cập sau. Điều này thuận tiện nếu bạn sử dụng IAX để đặt các đường trục liên trạm không thể nhìn thấy được với thế giới bên ngoài.

IG_TCP_CPORTS="2222,69,80,5060,6600,10000_20000"
IG_UDP_CPORTS="69,5060,10000_20000"

Tôi không sử dụng tính năng lọc gửi đi nên nó không được đề cập trong bài viết này. Nó được đặt thành EGF="0", bị tắt theo mặc định.

Để xem danh sách các tùy chọn dòng lệnh, hãy chạy apf không có cờ.

#apf
apf(3402): không tìm thấy nhật ký trạng thái (toàn cầu), đã tạo
APF phiên bản 9.6< This email address is being protected from spambots. You need JavaScript enabled to view it. >
Bản quyền (C) 1999-2007, Mạng R-fx< This email address is being protected from spambots. You need JavaScript enabled to view it. >
Bản quyền (C) 2007, Ryan MacDonald< This email address is being protected from spambots. You need JavaScript enabled to view it. >
Chương trình này có thể được phân phối lại miễn phí theo các điều khoản của GNU GPL
cách sử dụng/usr/local/sbin/apf
-s|--bắt đầu ...................... tải tất cả các quy tắc tường lửa
-r|--khởi động lại ...................... dừng (xóa) và tải lại các quy tắc tường lửa
-f|--stop........... dừng (xóa) tất cả các quy tắc tường lửa
-l|--list ............ liệt kê tất cả các quy tắc tường lửa
-t|--status ............ đầu ra nhật ký trạng thái tường lửa
-e|--refresh .................... làm mới và phân giải tên dns một cách tin cậy
quy tắc
-a HOST CMT|--cho phép HOST COMMENT ... thêm máy chủ (IP/FQDN) vào
allow_hosts.rules và tải ngay quy tắc mới vào tường lửa
-d HOST CMT|--deny HOST COMMENT .... thêm máy chủ (IP/FQDN) vào
den_hosts.rules và tải ngay quy tắc mới vào tường lửa
-u|--xóa HOST ....xóa máy chủ khỏi
*_hosts.rules và xóa ngay quy tắc khỏi tường lửa
-o|--ovars .............xuất ra tất cả các tùy chọn cấu hình

Để khởi động APF, chúng tôi sử dụng các lệnh sau:

# apf -s
apf(3445): (toàn cầu) kích hoạt tường lửa
apf(3489): (toàn cầu) xác định (IFACE_IN) eth0 có địa chỉ 192.168.1.31
apf(3489): (toàn cầu) xác định (IFACE_OUT) eth0 có địa chỉ 192.168.1.31
apf(3489): (toàn cầu) đang tải preroute.rules http://r-fx.ca/downloads/reserved http://feeds.dshield.org/top10-2.txt
http://www.spamhaus.org/drop/drop.lasso
apf(3489): (sdrop) phân tích cú pháp drop.lasso thành /etc/apf/sdrop_hosts.rules
apf(3489): (sdrop) đang tải sdrop_hosts.rules
apf(3489): (toàn cầu) tải các cổng thả phổ biến
..........được cắt bớt cho tài liệu này...........
apf(3489): thả đầu vào (toàn cầu) mặc định (xâm nhập)
apf(3445): khởi tạo tường lửa (toàn cầu)
apf(3445): (toàn cầu) !!CHẾ ĐỘ PHÁT TRIỂN ĐÃ BẬT!! - tường lửa sẽ tuôn ra
cứ sau 5 phút.

Chúng ta có thể thấy rằng APF đã bắt đầu, tải xuống một số quy tắc từ dshield.org và spamhaus.org. Bây giờ, hãy kiểm tra việc đăng nhập vào máy chủ Asterisk (Trixbox) qua SSH để đảm bảo rằng bạn đã định cấu hình mọi thứ chính xác. Nếu không kết nối được, bạn phải đợi 5 phút sau đó APF sẽ gỡ bỏ chặn. Khi bạn chắc chắn rằng mình có thể đăng nhập qua SSH, chúng ta có thể thay đổi conf.apf DEVEL_MODE="1" thành DEVEL_MODE="0" và khởi động lại APF. APF sẽ khởi động và không đưa ra cảnh báo rằng nó ở trạng thái DEVELOPMETN_MODE.

APF: điều chỉnh bổ sung

Quá trình thiết lập không kết thúc ở đó nếu bạn muốn kết nối máy chủ Asterisk (Trixbox) qua IAX. Để thực hiện việc này, bạn sẽ cần thêm cổng IAX vào conf.apf. Tùy chọn này sẽ hoạt động với địa chỉ IP tĩnh hoặc DynDNS. Lệnh apf -a cho phép truy cập vào một địa chỉ IP cụ thể. Điều này sẽ cho phép máy chủ kết nối với Asterisk (Trixbox) trên toàn cầu bằng cách bỏ qua các quy tắc tường lửa.

apf -a 192.168.1.216

Điều này sẽ cho phép hệ thống 192.168.1.216 kết nối với bất kỳ cổng nào trên máy chủ được tường lửa, do đó bỏ qua các quy tắc tường lửa. Nếu bạn đang chạy APF trên cả Asterisk (Trixbox), hãy đảm bảo thực hiện tương tự trên máy chủ khác bằng địa chỉ IP chính xác.

APF cũng cho phép quản trị viên hệ thống chặn một máy chủ hoặc toàn bộ mạng con. Điều này thuận tiện nếu bạn thấy ai đó đang cố gắng kết nối với máy của bạn qua FTP, Telnet, SSH, v.v. Để chặn một máy chủ cụ thể, hãy sử dụng cách sau: đảm bảo sử dụng địa chỉ IP bạn muốn chặn.

apf -d 192.168.1.216

Để chặn một mạng con hoàn chỉnh (CIDR):

apf -d 202.86.128.0/24

APF không hỗ trợ QoS cho các gói UDP. chỉ TCP. Có một cách dễ dàng để khắc phục điều này. Có một tệp tin.apf trong /etc/apf/internals. Chúng tôi phải chỉnh sửa tập tin này bằng tay. Có một số chỗ chúng ta cần thêm một dòng. Chúng tôi đang tìm phần TOS_ trong tệp tin.apf. Nó sẽ trông giống thế này:

nếu như [! "$TOS_0" == "" ]; sau đó
cho tôi trong `echo $TOS_0 | tr "," " "`; LÀM
i=`echo $i | tr "_" ://`
$IPT -t mangle -A PREROUTING -p tcp --sport $i -j TOS --set-tos 0
$IPT -t mangle -A PREROUTING -p udp --sport $i -j TOS --set-tos 0
xong
fi

Dòng bổ sung này phải được tạo cho tất cả các bit TOS bạn sử dụng.

B.F.D.

Tính năng phát hiện Brute Force (tấn công từ điển) được sử dụng để phát hiện các nỗ lực đăng nhập trái phép.

Tệp cấu hình cho BFD nằm trong /usr/local/bfd và được đặt tên là conf.bfd. Tệp này, giống như tệp APF, chứa nhiều nhận xét. Chúng ta sẽ chỉ xem xét một vài cài đặt.

Biến cấu hình đầu tiên chúng ta xem xét là TRIG; đây là số lần thử thất bại trước khi kẻ tấn công bị chặn. Giá trị mặc định là 15. Hãy nhớ rằng đây là số lần thử không phải từ một tài khoản mà từ một địa chỉ IP. Vì vậy, nếu có 15 lần đăng nhập không thành công từ 1 địa chỉ IP bằng các tài khoản khác nhau thì vẫn sẽ bị chặn.

BFD có một tính năng hay - nó gửi email khi phát hiện thấy lực lượng vũ phu. Để bật tùy chọn này, hãy đặt EMAIL_ALERTS thành 1; đừng quên cho biết địa chỉ mà bạn muốn nhận thông báo - EMAIL_ADRESS.

BFD được cron khởi chạy cứ sau 3 phút và nằm trong /etc/cron.d.

Bạn có thể lấy danh sách các địa chỉ IP bị cấm bằng lệnh:

Để bắt đầu BFD, sử dụng lệnh sau:

bạn thân -s

Bản tóm tắt

Điều này hoàn thành việc đánh giá của chúng tôi về bảo mật Asterisk (Trixbox).

Bài viết này chỉ thảo luận về các nguyên tắc cơ bản của việc bảo vệ Asterisk (Trixbox). Đương nhiên, việc xây dựng hệ thống VoIP an toàn không bị giới hạn ở điều này.

Bạn có thể đọc bài viết gốc tại link

Ngày: 09:56 28/07/2018

Có rất nhiều câu chuyện trên Internet về việc hack dấu hoa thị và hình phạt sau đó từ nhà điều hành. Đâu đó có câu chuyện về một công ty nhỏ ở Úc bị lỗ 15.000-20.000 USD. Tôi không nghĩ có ai muốn rơi vào hoàn cảnh như thế này. Sẽ tốt hơn nhiều, không cần chờ đợi rắc rối, thực hiện một số biện pháp nhất định sẽ làm giảm đáng kể số lượng các tùy chọn hack và giảm thiểu nguy hiểm.

Cổng không chuẩn thay vì 5060

Nếu có thể về mặt kỹ thuật, LUÔN thay đổi cổng tiêu chuẩn 5060 thành bất kỳ cổng nào khác. Nó càng khác biệt so với tiêu chuẩn thì càng tốt. Những kẻ tấn công sẽ nhanh chóng tìm thấy dấu hoa thị của bạn bằng cách quét các cổng bằng một loạt địa chỉ. Điều này sẽ xảy ra rất nhanh - những lần thử đoán mật khẩu đầu tiên của tôi đã được phát hiện trong vòng 3 ngày sau khi dấu hoa thị được tung ra trên Internet.
Cổng được cấu hình trong file SIP.conf ở phần:

Bindport=5060 => bindport=5172

Sau những hành động như vậy, số lượng người hái sẽ giảm xuống gần như bằng không.

Thiết lập tường lửa

Chúng tôi cấm kết nối với cổng Asterisk từ bên ngoài - điều này sẽ vô hiệu hóa khả năng đoán mật khẩu. Tuy nhiên, một số nhà cung cấp dịch vụ điện thoại SIP không hoạt động nếu họ không thể tự kết nối với cổng 5060 của bạn - trong trường hợp này, bạn phải cho phép truy cập vào cổng này từ máy chủ của nhà cung cấp này. Vì vậy, một ngày nọ, tôi đã suy nghĩ trong vài ngày tại sao không có kết nối với Beeline, sau đó tôi mở quyền truy cập IP của họ vào cổng 5060 của tôi và kết nối xuất hiện.

Tắt cuộc gọi của khách

Nếu bạn không cần nhận cuộc gọi mà không cần đăng ký, hãy đảm bảo tắt tùy chọn sau trong SIP.conf:
allowguest=yes => allowguest=no ; Cho phép hoặc từ chối cuộc gọi của khách (mặc định là có)

Tắt thông báo về mật khẩu sai

Hầu hết mọi người đều có tài khoản dấu hoa thị loại 100, 200, 700, v.v. Theo mặc định, Asterisk tạo ra một lỗi về mật khẩu không chính xác cho tài khoản hiện có và một lỗi khác cho tài khoản không tồn tại. Với sự giúp đỡ đặc biệt phần mềm đoán mật khẩu, kẻ tấn công có thể nhanh chóng thử tất cả các số ngắn và chỉ đoán mật khẩu đối với các tài khoản hiện có trả lời “mật khẩu sai”. Để ngăn chặn điều này, hãy thay đổi tùy chọn trong SIP.conf:
luôn luôn xác thực = không => luôn xác thực = có
Sau cấu hình này, Asterisk sẽ đưa ra phản hồi tương tự cho bất kỳ ủy quyền không chính xác nào.

Chúng tôi sử dụng mật khẩu phức tạp cho tài khoản

Mật khẩu nào cũng có thể đoán được, vấn đề duy nhất là thời gian. Vì việc thiết lập thiết bị SIP được thực hiện một lần và trong thời gian dài nên đừng tiết kiệm mật khẩu phức tạp. Đối với bản thân tôi, tôi sử dụng mật khẩu dài với sự kết hợp của chữ lớn và nhỏ + số như thế này: secret=f64GCD74ssdZ42

HÃY ĐẢM BẢO xóa tất cả mật khẩu khớp với thông tin đăng nhập. Đây là những mật khẩu đầu tiên được sử dụng cho mật khẩu.

Chúng tôi sử dụng từ chối/giấy phép cho tài khoản

Phải! Chúng tôi chỉ ra các dòng sau cho tất cả các tài khoản không yêu cầu kết nối Internet:

Từ chối=0.0.0.0/0.0.0.0 giấy phép=10.1.1.1/24 giấy phép=10.1.2.1/24

Trong đó 10.1.1.1,10.1.2.1 là dải địa chỉ cục bộ mà từ đó kết nối sẽ được thực hiện. dấu hoa thị sẽ không chấp nhận kết nối từ các địa chỉ khác.

Đặt giới hạn cuộc gọi

Giới hạn cuộc gọi=1

Chúng tôi không sử dụng tiện ích mở rộng mặc định một cách không cần thiết

Chúng tôi không cần nó. Mọi thứ nên ở chế độ mặc định:

Mở rộng => _X.,1,Gác máy

Chúng tôi không đưa ra một quy tắc chung cho tất cả các cuộc gọi

Hãy nói không với những quy tắc như:

Exten => _X.,1,Dial(SIP/$(EXTEN)@operator)

Chúng tôi viết ra rõ ràng tất cả các tổ hợp số cần thiết được truyền đến người điều hành. Nếu không có nhu cầu sử dụng giao tiếp quốc tế thì đừng mô tả gì cả về các quy tắc của nó. Hầu như tất cả các trường hợp hack đều được sử dụng để thực hiện cuộc gọi ra nước ngoài.

;Exten dịch vụ khẩn cấp => _0X,1, Dial(SIP/$(EXTEN)@operator) exten => _0X,n, gác máy ;Moscow exten => _8495XXXXXXX,1, Dial(SIP/$(EXTEN)@operator) exten => _8495XXXXXXX,n, Hangup exten => _8499XXXXXXX,1, Dial(SIP/$(EXTEN)@operator) exten => _8499XXXXXXX,n, Hangup exten => _XXXXXXX,1, Dial(SIP/$(EXTEN)@operator ) exten => _XXXXXXX,n, Hangup ;Intercity Russia/Mobile exten => _8XXXXXXXXXX,1, Dial(SIP/$(EXTEN)@operator) exten => _8XXXXXXXXXX,n, Hangup

Trong bài viết hôm nay, chúng tôi sẽ nói về cách bảo vệ tổng đài IP khỏi bị truy cập trái phép và đưa ra một số mẹo đơn giản, sau đó bạn có thể tăng cường đáng kể tính bảo mật cho tổng đài điện thoại của mình. Các ví dụ sẽ được đưa ra trong bài viết này liên quan đến các tổng đài IP dựa trên Asterisk, nhưng nhiều ví dụ trong số đó áp dụng cho tất cả các tổng đài VoIP mà không có ngoại lệ.

Trước tiên, hãy tìm hiểu những lỗ hổng bảo mật nào đe dọa và hậu quả mà doanh nghiệp phải đối mặt nếu kẻ tấn công giành được quyền truy cập vào tổng đài IP.

Mối đe dọa hack

Không giống như hack máy tính cá nhân hoặc thư, hack PBX có nghĩa là các cuộc gọi miễn phí cho hacker và chủ sở hữu PBX sẽ phải trả tiền. Có nhiều trường hợp tin tặc đã chi số tiền khổng lồ sau khi chỉ dành vài giờ cho một tổng đài bị hack.

Theo quy định, mục tiêu của kẻ tấn công là các tổng đài IP có thể truy cập được từ mạng công cộng. Sử dụng nhiều máy quét SIP khác nhau và kiểm tra các lỗ hổng hệ thống, chúng chọn địa điểm để tấn công. Mật khẩu mặc định, cổng SIP mở, tường lửa được quản lý không đúng cách hoặc sự vắng mặt của nó - tất cả những điều này có thể gây ra truy cập trái phép.

May mắn thay, tất cả những lỗ hổng này đều có thể được sửa chữa và hoàn toàn miễn phí.

Các bước đơn giản để cải thiện bảo mật

Như bạn có thể thấy, việc bảo vệ IP-PBX khỏi sự xâm nhập từ bên ngoài không quá khó; bằng cách làm theo các mẹo được đề xuất, bạn có thể tăng đáng kể tính bảo mật và độ tin cậy của hệ thống.

Như các bạn đã biết, dấu hoa thị là một ứng dụng (máy chủ) dành cho điện thoại IP. Nghĩa là, nó cho phép các khách hàng được kết nối với nó gọi cho nhau và gọi ra thế giới bên ngoài, sử dụng (trong số những thứ khác) đường dây điện thoại. Điều này gây ra những rủi ro sau:

  1. khách hàng được xác định bằng thông tin đăng nhập/mật khẩu và (theo quy định) bằng địa chỉ IP. Đồng thời, có thể chọn mật khẩu (sớm hay muộn, tùy thuộc vào độ phức tạp của nó, nhưng trong mọi trường hợp đều có thể) và rất thường xuyên các hạn chế về địa chỉ IP không nghiêm ngặt như chúng ta mong muốn ( lý tưởng nhất là mỗi khách hàng nên có địa chỉ IP duy nhất của riêng mình)
  2. cuộc gọi đến từ Internet (ví dụ: từ các máy chủ dấu hoa thị khác). Với những kết nối này, mọi thứ trở nên phức tạp hơn vì dấu hoa thị (trong cấu hình cơ bản) không cung cấp khả năng hiển thị địa chỉ IP mà kết nối được thực hiện.

Chương trình Fail2ban kết hợp với tường lửa (ví dụ: iptables) và dấu hoa thị được cấu hình đúng cách (hiển thị thông tin đầy đủ trong nhật ký, bao gồm địa chỉ IP của máy khách và máy chủ khác) cho phép bạn chặn các nỗ lực kết nối và đoán mật khẩu một cách hiệu quả.

Trước khi bắt đầu thiết lập, bạn cần cài đặt iptables và Fail2ban. Ngoài ra, iptables phải được cấu hình sẵn (và cho phép kết nối với dấu hoa thị) trước khi định cấu hình Fail2ban! Bạn có thể đọc cách định cấu hình iptables tại đây: thiết lập iptables cho dấu hoa thị. Bạn cũng có thể cài đặt Fail2ban trước khi cài đặt dấu hoa thị, trong trường hợp đó (ít nhất là về mặt lý thuyết) trong quá trình cài đặt, các phiên bản dấu hoa thị gần đây sẽ phát hiện ra rằng Fail2ban đã được cài đặt và tự động định cấu hình nó. Tuy nhiên:

  1. Vấn đề bảo mật điện thoại IP không phải lúc nào cũng được cân nhắc trước khi cài đặt dấu hoa thị. Nghĩa là, rất có thể, bạn sẽ muốn cài đặt Fail2ban trên hệ thống có dấu hoa thị đã được cài đặt (và được định cấu hình).
  2. Không phải trong mọi trường hợp, tính năng tự động cấu hình đều hoạt động chứ chưa nói đến hoạt động chính xác (và bắt đầu chặn tất cả các cuộc tấn công chống lại dấu hoa thị).

Thiết lập ghi nhật ký dấu hoa thị

Trước hết, việc thiết lập ghi nhật ký dấu hoa thị là điều hợp lý để thông tin ngay lập tức bắt đầu được thu thập theo định dạng và biểu mẫu mà chúng ta cần. Để thực hiện việc này, trong thư mục cấu hình dấu hoa thị (/etc/asterisk theo mặc định), hãy tìm tệp logger.conf và thực hiện các thay đổi sau đối với tệp đó: bỏ ghi chú (xóa dấu chấm phẩy ở đầu dòng):

Định dạng ngày=%F %T ; Định dạng ngày ISO 8601

Điều này là cần thiết để dấu hoa thị ghi ngày vào nhật ký theo đúng định dạng:
năm-tháng-ngày giờ:phút:giây

Bắt đầu từ phiên bản 10 của dấu hoa thị, bạn có thể kích hoạt Khung bảo mật dấu hoa thị. Để thực hiện việc này, trong tệp logger.conf, hãy tìm và bỏ ghi chú (hoặc thêm) dòng:

Bảo mật => bảo mật

Dòng này, ở phía bên trái của mũi tên, chỉ định tên của tệp trong đó các sự kiện sẽ được lưu và ở phía bên phải là cấp độ (loại sự kiện) sẽ được lưu. Trong ví dụ này, các sự kiện liên quan đến cấp độ bảo mật (và chỉ chúng) sẽ được lưu vào một tệp có tên bảo mật trong thư mục nhật ký dấu hoa thị.
Tất nhiên sau khi thực hiện thay đổi cần phải có dấu sao để đọc lại cấu hình. Để thực hiện việc này, bạn có thể tải lại dịch vụ dấu hoa thị hoặc chỉ tải lại cấu hình nhật ký (tải lại nhật ký từ CLI dấu hoa thị).

Sau đó, một tệp có tên bảo mật sẽ xuất hiện trong thư mục nhật ký dấu hoa thị (theo mặc định /var/log/asterisk). Đừng quên thiết lập xoay vòng nhật ký cho tệp này (tương tự như đối với các nhật ký dấu hoa thị khác)!

Thiết lập quy tắc lọc

Bây giờ chúng ta cần tạo một bộ lọc sẽ trích xuất các sự kiện nguy hiểm tiềm tàng từ luồng thông báo dấu hoa thị chung (đăng nhập/mật khẩu không chính xác, lần đăng nhập từ địa chỉ IP trái phép, v.v., v.v.). Đồng thời, chúng ta không chỉ cần phát hiện những sự kiện nguy hiểm tiềm tàng như vậy mà còn phải cách ly địa chỉ IP nơi hành động được thực hiện từ đó. Nghĩa là, chúng tôi không chỉ tìm kiếm các dòng cụ thể trong tệp sự kiện dấu hoa thị mà còn thiết lập quy tắc lọc.
Các quy tắc lọc có thể được ghi trong tệp /etc/fail2ban/filter.d/asterisk.conf. Đây là một mẫu nội dung của tập tin này:

# File cấu hình Fail2Ban # # # $Revision: 250 $ # # Đọc các tiền tố phổ biến. Nếu có bất kỳ tùy chỉnh nào -- hãy đọc chúng từ # common.local #trước = common.conf #_daemon = dấu hoa thị # Tùy chọn: failedregex # Notes.: Regex để khớp với thông báo lỗi mật khẩu trong tệp nhật ký. # Máy chủ phải khớp với nhóm có tên "Máy chủ". Thẻ " " có thể được sử dụng # để khớp IP/tên máy chủ tiêu chuẩn và chỉ là bí danh cho # (?:::f(4,6):)?(?P \S+) # Giá trị: TEXT # # Sử dụng dấu hoa thị 1.8 Máy chủ:Định dạng cổng được phản ánh ở đây failedregex = NOTICE.* .*: Đăng ký từ ".*" không thành công cho " :.*" - Mật khẩu sai THÔNG BÁO.* .*: Đăng ký từ ".*" không thành công cho " :.* " - Không tìm thấy ngang hàng phù hợp THÔNG BÁO.* .*: Đăng ký từ ".*" không thành công cho " :.*" - Tên người dùng/tên xác thực không khớp THÔNG BÁO.* .*: Đăng ký từ ".*" không thành công cho " :.*" - Thiết bị không khớp với THÔNG BÁO ACL.* .*: Đăng ký từ ".*" không thành công cho " :.*" - Không phải tên miền cục bộ THÔNG BÁO.* .*: Đăng ký từ ".*" không thành công cho " :.*" - Thiết bị ngang hàng không được phép đăng ký THÔNG BÁO.* .*: Đăng ký từ ".*" không thành công cho " :.*" - Lỗi ACL (cho phép/từ chối) THÔNG BÁO.* .*: Đăng ký từ ".*" không thành công cho " " - Mật khẩu sai THÔNG BÁO.* .*: Đăng ký từ ".*" không thành công cho " " - Không tìm thấy ngang hàng phù hợp THÔNG BÁO.* .*: Đăng ký từ ".*" không thành công cho " " - Tên người dùng/tên xác thực không khớp THÔNG BÁO.* .* : Đăng ký từ ".*" không thành công vì " " - Thiết bị không khớp với THÔNG BÁO ACL.* .*: Đăng ký từ ".*" không thành công vì " " - Không phải tên miền cục bộ THÔNG BÁO.* .*: Đăng ký từ ".*" không thành công vì " " - Máy ngang hàng không được phép đăng ký THÔNG BÁO.* .*: Đăng ký từ ".*" không thành công vì " " - Lỗi ACL (cho phép/từ chối) THÔNG BÁO.* .*: Đăng ký từ "\".*\" .*" không thành công đối với " :.*" - Không tìm thấy ngang hàng phù hợp THÔNG BÁO.* .*: Đăng ký từ "\".*\".*" không thành công đối với " :.*" - THÔNG BÁO mật khẩu sai.* .*: Không đăng ký ngang hàng ".*" \(from \) NOTICE.* .*: Máy chủ xác thực MD5 không thành công cho ".*" (.*) NOTICE.* .*: Không thể xác thực người dùng .*@ .* NOTICE.* không thành công để xác thực là ".*"$ NOTICE.* .*: Gửi từ chối xác thực giả cho thiết bị .*\<.>

Trong các phiên bản đầu tiên, các dòng như avi được sử dụng ở các dòng trên, kể từ khi bắt đầu với phiên bản, thông tin xuất hiện trong nhật ký không có trong nhật ký. Tùy chọn trên được tính giống như phiên bản cũ và mới, vì vậy bạn hãy làm như vậy. không cần thay đổi bất cứ điều gì trong đó

Đối với các phiên bản trở lên, nếu bạn đã bật ghi nhật ký, đừng quên chỉ định quy tắc lọc cho các nhật ký này

Các quy tắc lọc có thể được viết trong một tập tin.

Thiết lập bộ cách ly cho

Bây giờ chúng ta cần tạo mô tả về cái gọi là bộ cách ly để có thể liên kết các bộ lọc của mình nhằm giải thích những dòng này nên được tìm kiếm trong tệp nào và sau đó phải làm gì

Để thực hiện việc này, hãy mở tệp

  1. Đảm bảo rằng không có quy tắc nào khác liên quan đến điều này, chỉ cần tìm kiếm tệp theo tên không có dấu ngoặc kép và đảm bảo rằng nếu có các quy tắc như vậy cho từng quy tắc đó thì thuộc tính đã được đặt
  2. Nếu phiên bản nhỏ hơn hoặc bạn không muốn sử dụng nhật ký, việc sử dụng nhật ký rất không được khuyến khích thì bạn sẽ chỉ cần tạo một quy tắc, nếu không bạn sẽ cần tạo quy tắc

Quy tắc số

Quy tắc này phải được tạo cho tất cả các phiên bản. Bạn có thể tạo quy tắc mới hoặc sửa đổi bất kỳ quy tắc hiện có nào, nhưng quy tắc mới bị vô hiệu hóa, vì trong ví dụ của chúng tôi được sử dụng cùng với sẽ được gọi và sẽ được áp dụng cho tệp trong. mà tất cả các loại sự kiện chính đều được lưu. Theo mặc định, tệp nhật ký chính này được gọi, nhưng ví dụ: đây sẽ là một tệp có tên như xuất hiện trong tệp cài đặt VASSM trong tệp Itaksamrule.

định cấu hình bộ cách ly cho các sự kiện chính của quy tắc được bật bộ lọc sẽ được sử dụng được gọi là tên của bộ lọc đây là tên của tệp trong thư mục ghi nhật ký tệp chính để áp dụng bộ lọc để tìm kiếm các sự kiện nguy hiểm tiềm ẩn số lượng về các sự kiện nguy hiểm tiềm tàng được bộ lọc tìm thấy để kích hoạt hành động vào khoảng thời gian nào tính bằng giây để áp dụng hành động trong khoảng thời gian nào tính bằng giây để tìm kiếm các sự kiện nguy hiểm tiềm tàng phải làm gì nếu bộ lọc phát hiện khoảng thời gian tấn công số giây trong nhật ký được phát hiện các hành động nguy hiểm tiềm tàng từ một địa chỉ, chúng tôi chặn tất cả các cổng vì điều này và gửi thư về danh sách các địa chỉ mạng con mà tất cả các sự kiện nguy hiểm tiềm tàng đều bị bỏ qua

Quy tắc số

Quy tắc này sẽ chỉ hoạt động nếu phiên bản mới hơn và cả nếu tính năng ghi nhật ký được bật ở trên. Bạn cũng có thể tạo quy tắc mới hoặc sửa đổi bất kỳ quy tắc hiện có nào nhưng bị tắt. Quy tắc mới, vì trong ví dụ của chúng tôi, quy tắc này được sử dụng cùng với sẽ được gọi. và quy tắc này sẽ sử dụng để phân tích tệp trong thư mục nhật ký.

định cấu hình bộ cách ly cho các sự kiện bảo mật quy tắc đã bật bộ lọc sẽ được sử dụng được gọi là tên bộ lọc, tên tệp này trong thư mục ghi nhật ký tệp chính để áp dụng bộ lọc nhằm tìm kiếm các sự kiện nguy hiểm tiềm tàng số lượng sự kiện nguy hiểm tiềm tàng được bộ lọc tìm thấy để kích hoạt hành động vào khoảng thời gian nào tính bằng giây áp dụng hành động trong khoảng thời gian tính bằng giây để tìm kiếm các sự kiện nguy hiểm tiềm ẩn phải làm gì nếu bộ lọc phát hiện khoảng thời gian tấn công giây trong nhật ký đã phát hiện các hành động nguy hiểm tiềm ẩn từ một địa chỉ chúng tôi chặn tất cả các cổng về việc này và gửi thư để biết danh sách các địa chỉ mạng con mà tất cả các sự kiện nguy hiểm tiềm tàng đều bị bỏ qua

Phóng

Bây giờ bạn cần bắt đầu hoặc khởi động lại và nếu cần, ví dụ như chưa được bắt đầu

Để chạy nó bạn cần chạy nó trước, chạy lệnh sau

Để khởi động lại chạy lệnh sau

Để kiểm tra xem nó đã khởi động thành công chưa và quy tắc đã được tải hay chưa, hãy chạy lệnh sau

và nếu có quy tắc thứ hai

Để hiển thị danh sách các quy tắc, hãy chạy lệnh sau

Nếu bạn vừa mới cài đặt, đừng quên đảm bảo rằng nó được cấu hình để bạn tự động khởi động khi khởi động hệ thống.

Kiểm tra công việc

Điều chính trong quá trình xác minh là phải có sẵn một máy tính hoặc quyền truy cập cục bộ khác vào máy chủ để trong trường hợp địa chỉ của bạn bị chặn, bạn có thể kết nối và xóa việc chặn này

Cần phải kiểm tra hoạt động của liên kết, vì ngay cả khi bạn đã cấu hình hoặc sao chép chính xác mọi thứ, rất có thể nhiều tổ hợp sự kiện sẽ khiến các ổ khóa bạn thiết lập không hoạt động.

Trình tự các hành động để kiểm tra hoạt động của liên kết

  1. Đảm bảo máy tính của bạn được thiết lập khởi động khi khởi động.
  2. Nếu bạn đã định cấu hình các quy tắc, chúng tôi đặc biệt khuyên bạn nên kiểm tra hoạt động của từng quy tắc một cách riêng biệt. Để thực hiện việc này, chẳng hạn như hãy tắt một trong các quy tắc.
  3. khởi động lại máy tính của bạn kiểm tra xem
    1. dịch vụ đang chạy
    2. một quy tắc được bật và quy tắc kia tắt

      Trong trường hợp này, một thông báo sẽ xuất hiện cho quy tắc bị vô hiệu hóa

      và cho thông báo kèm theo của biểu mẫu

  4. Đảm bảo khởi động máy khách từ chính máy chủ từ một máy tính khác và chỉ định dữ liệu không chính xác để ủy quyền. tham số cho từng quy tắc riêng biệt, với tư cách là máy khách thử nghiệm, bạn có thể sử dụng chương trình chạy từ dòng lệnh.
  5. Nếu bạn khởi động máy khách trên cùng một máy tính mà bạn đã kết nối với máy chủ và nếu cài đặt được định cấu hình đúng thì địa chỉ của bạn hiện bị chặn và bạn không thể kết nối với máy chủ trên máy tính này, hãy chọn phần này Kết nối với máy tính khác hoặc cục bộ và tiếp tục thực hiện lệnh
  6. Chạy lệnh như

    để biết quy tắc đã bật và đảm bảo rằng địa chỉ mà máy khách được kết nối nằm trong danh sách bị chặn

  7. Bây giờ, tương tự như các hành động trong đoạn văn, chẳng hạn, hãy mở khóa quy tắc thứ hai và chặn quy tắc đầu tiên.
  8. Chỉ làm theo các bước trong đoạn thay vì khởi động lại máy tính, việc này cũng có thể được thực hiện bằng cách khởi động lại dịch vụ. Sau đó, địa chỉ của máy tính mà bạn đã khởi động sẽ ngay lập tức mở khóa máy khách và sau đó khởi động lại dịch vụ.
  9. Sau khi bạn đã kiểm tra hoạt động của cả hai quy tắc một cách riêng biệt, đừng quên kích hoạt cả hai quy tắc cho và cho tham số. Sau đó, tất nhiên, đừng quên khởi động lại dịch vụ.
  10. Và điểm cuối cùng, nếu bạn hoàn thành các điểm trước đó đủ nhanh trong vòng vài phút, có thể sau khi bật cả hai quy tắc, lần khởi động lại tiếp theo sẽ chặn bạn lại khỏi địa chỉ mà bạn đã khởi động ứng dụng khách
    Hãy cẩn thận

Quản lý quy tắc

Tạm thời vô hiệu hóa chặn địa chỉ

Để thực hiện việc này, bạn cần sử dụng dịch vụ. Đầu tiên, chúng tôi sẽ hiển thị danh sách các quy tắc trên bảng điều khiển, sau đó chọn những quy tắc bạn cần để xóa chúng khỏi lệnh cấm.

Để xem danh sách các quy tắc, hãy nhập lệnh

Bạn sẽ thấy một thông báo như sau

Chúng tôi quan tâm đến việc loại bỏ địa chỉ khỏi lệnh cấm, như chúng tôi thấy, nằm trong chuỗi quy tắc được gọi là Quay số lệnh

Nếu lệnh thực thi thành công, sẽ không có thông báo nào xuất hiện và nếu bây giờ chúng ta chạy lại lệnh

sau đó chúng tôi thấy rằng địa chỉ đã biến mất khỏi việc chặn, mặc dù nó vẫn bị chặn. Đồng thời, chúng tôi có thể kết nối lại với máy chủ.

Vô hiệu hóa vĩnh viễn việc chặn địa chỉ

Để không chặn một địa chỉ cụ thể hoặc một số địa chỉ, bất kể họ đã thực hiện bao nhiêu lần thử đoán mật khẩu không thành công và các hành động bất hợp pháp khác, cần phải thực hiện các cài đặt bổ sung trong tệp

Mỗi quy tắc tệp có thể chứa một tham số chỉ định danh sách các địa chỉ có trong danh sách trắng cho quy tắc này. Vì có thể có hai quy tắc, xin lưu ý rằng bạn phải được chỉ định trong cả hai quy tắc.

Tham số có dạng sau

Nghĩa là, bạn có thể đăng ký các địa chỉ riêng lẻ làm mạng con trong trường hợp này và vào danh sách trắng

Bỏ chặn địa chỉ nơi thực hiện thử nghiệm

Trong khi kiểm tra tính chính xác của cài đặt, bạn sẽ liên tục chạy ứng dụng khách để kiểm tra công việc chặn các cuộc tấn công trong tương lai trên Internet và trong quá trình làm việc tiếp theo, đôi khi bạn cũng có thể cần phải thực hiện các hành động về hậu quả của việc đó. có thể bị chặn từ bên ngoài ít nhất trong một ngày hoặc trong một năm.

Có nhiều cách để giải quyết vấn đề này

  1. Thêm địa chỉ vào các quy tắc trong danh sách, nhưng đôi khi, chẳng hạn, có thể không mong muốn thực hiện kiểm tra định kỳ tác phẩm
  2. Thông thường, thời gian là khoảng thời gian tính bằng giây trong đó sự kiện tấn công đoán mật khẩu phải được lặp lại một lần, sau đó lệnh cấm sẽ có hiệu lực ít hơn nhiều so với thời gian cấm này tính bằng giây, sau đó địa chỉ đó sẽ bị xóa khỏi danh sách bị chặn. cấm địa chỉ của bạn và sau đó khởi động lại dịch vụ. Khi dịch vụ được khởi động lại, tất cả các lần chặn sẽ bị hủy. Tuy nhiên, khi tải tiếp theo, nhật ký sẽ được phân tích lại nếu nhật ký bị cạn kiệt trong các lần thử kết nối không thành công. phóng

Kiểm tra cấu hình

Bạn có thể kiểm tra cách bộ lọc sẽ được áp dụng cho người này hoặc người đó. Để thực hiện việc này, bạn có thể chạy lệnh.

Tệp đường dẫn ví dụ này có nhật ký sẽ được lọc ở đâu và chính bộ lọc chứa các đoạn thông báo lỗi cần có trong nhật ký để cấm địa chỉ của kẻ tấn công

Cuối cùng, thay vì khởi động lại, bạn có thể chạy lệnh sau

Liên kết đến các nguồn

Các tài liệu được lấy đặc biệt từ trang web chính thức của biểu thức chính quy và các quy tắc về dấu hoa thị được lấy từ phần này