ADSL-BC

[solar10]

Je consulte de temps en temps les logs de mon router et j'y vois beaucoup d'activité au niveau SIP.
Pas mal de re-connexion avec 3starnets et d'autres choses...
De fil en aiguille je suis tombé sur ce blog, ma foi, intéressant: http://blog.sipvicious.org/

Quelqu'un aurait d'autres sources sur l'activité des fraudeurs SIP ?

[net_papy]

Bonjour, mon compte 3stars vient d'être hacké, 8 € de crédit volatilisé en qqs minutes. Je ne sais pas si l'on peut changer le mot de SIP qui est ridiculement hackable.

[BizouNoor]

Le problème n'est pas le mot de passe SIP mais l'utilisation d'Asterisk ou d'autres devises facilement repérables et souvent on met des mots de passe en clair ou trop simple..

[net_papy]

Bonjour,
en effet mon serveur asterisk n'était pas assez protégé, j'y ai remédié.
J'espère ne plus avoir de problème.
Merci pour la réponse

[Liveke]

Asterisk = A tes risques
C'est ce que j'ai compris à mes dépends aussi et Alex de nomado m'a aidé à protéger mon serveur gratuitement car au début ils ne voulaient pas me réouvrir mon compte qui du coup était bloqué. En insistant (PME starter avec gros potentiel) ils m'ont aidé à voir où était l'erreur.

En discutant ils m'ont dit aussi que les routeurs Billi étaient également faciles à hacker.

Donc, il faut se rappeler je pense que dehors il y a un monde sans moral ni éducation et que le VoiP ça attire les organisations mafieuses..

[net_papy]

Bien dis,
dans mon cas je semble avoir été hacké par un revendeur de minutes en Egypte.
J'ai protégé mon astérisk avec un deny 0.0.0.0, j'ai mis des mots de passe 128 bits et interdit les appels internationaux. Depuis je suis tranquille.
Papy

[sylo]

Je rouvre ce sujet car je viens d'installer un serveur Asterisk et...j'ai configuré mes données OVH en clair.
Je suis derrière un firewall PFSense.

Quelles mesures de sécurité devrais-je prendre pour être sûr de protéger mon compte OVH ?

Merci !

[mackguil]

Je rouvre ce sujet car je viens d'installer un serveur Asterisk et...j'ai configuré mes données OVH en clair.
Je suis derrière un firewall PFSense.

Quelles mesures de sécurité devrais-je prendre pour être sûr de protéger mon compte OVH ?

Merci !

Dans le compte ovh via le manager, n'autoriser que des listes blanches, restrictions par ip même avec ip dynamique les ip ne varient pas énormément (voir forum ovh pour la config.

Sur ton serveur:
Bloquer tout les accès via le wan dans la plupart des cas c'est inutile et dangereux, sauf utilisation en intersite.
Générer de nouveaux passwords de qualité (minuscule, majuscule, chiffre et ponctuation dans les pass.
Accès au serveur uniquement via VPN.

[sylo]

Merci.

1) limitation des IP qui peuvent utiliser OVH via l'OVH manager
Cela semble bien en effet...mais il existe de multiples ranges par provider.
Pour le moment (et pour 1 semaine encore si tout va bien) je suis chez Scarlet (dans le range 83.134.38.x). Mais Scarlet semble également disposer de:
- 193.74.71.x
- 62.235.0.x
- 80.236.128.x
- 81.11.128.x
- 83.134.0.x
- etc.... et c'est bien là le soucis
Il suffira qu'un nouveau range soit utilisé et.....et j'entends d'ici les hurlements de mon épouse.

Puis je serai chez VOO avec les mêmes questions.

2- white list
C'est une bonne idée aussi mais cela limitera les personnes que mon épouse pourra appeler ....et j'entends d'ici (aussi) les hurlements.

Donc, pas si simple.

[mackguil]

Merci.

1) limitation des IP qui peuvent utiliser OVH via l'OVH manager
Cela semble bien en effet...mais il existe de multiples ranges par provider.
Pour le moment (et pour 1 semaine encore si tout va bien) je suis chez Scarlet (dans le range 83.134.38.x). Mais Scarlet semble également disposer de:
- 193.74.71.x
- 62.235.0.x
- 80.236.128.x
- 81.11.128.x
- 83.134.0.x
- etc.... et c'est bien là le soucis
Il suffira qu'un nouveau range soit utilisé et.....et j'entends d'ici les hurlements de mon épouse.

Puis je serai chez VOO avec les mêmes questions.


2- white list
C'est une bonne idée aussi mais cela limitera les personnes que mon épouse pourra appeler ....et j'entends d'ici (aussi) les hurlements.

Donc, pas si simple.

La solution: change l'épouse puisqu'elle est source de problème.

[sylo]

Je me relisais....et je trouvais que la perche était bien tendue
Mais sans rire imagine une white list. Tu veux téléphoner à une société d'embouteillage de saucisses au vinaigre ou réserver une chambre en Alaska oriental, pas possible.

[net_papy]

Les mots de passe générés éventuellement par un générateur, sur chaque téléphone.
En général les hackers ne pirates pas ton compte Sip, mais ils se servent de ton poste pour téléphoner dans des pays exotiques.
Selon tes besoins tu crée des Outgoing Calling Rule très restrictifs.
Exp : xZxxxxxxxx numéro pour la France tu peux inclure un chiffre avant qui s'effacera et qui te composera 0033
xZx pou consulter tes message chez Ovh
xx[3-4][1-4]xxxxx. Ceci te permet de téléphoner a un 00 31 32 33 34 41 42 43 44
Quand on sait que les pirates téléphonent principalement à des 00 2....vers l'Afrique
A toi de voir les destinations dont tu as besoins surtout pas des xxx. tu connes carte blanches à toutes les destinations.
xZxxxxxx. pour la Belgique le Z empêche l'international.

Bon boulot

[mackguil]

Les mots de passe générés éventuellement par un générateur, sur chaque téléphone.
En général les hackers ne pirates pas ton compte Sip, mais ils se servent de ton poste pour téléphoner dans des pays exotiques.
Selon tes besoins tu crée des Outgoing Calling Rule très restrictifs.
Exp : xZxxxxxxxx numéro pour la France tu peux inclure un chiffre avant qui s'effacera et qui te composera 0033
xZx pou consulter tes message chez Ovh
xx[3-4][1-4]xxxxx. Ceci te permet de téléphoner a un 00 31 32 33 34 41 42 43 44
Quand on sait que les pirates téléphonent principalement à des 00 2....vers l'Afrique
A toi de voir les destinations dont tu as besoins surtout pas des xxx. tu connes carte blanches à toutes les destinations.
xZxxxxxx. pour la Belgique le Z empêche l'international.

Bon boulot

C'est le principe de la liste chez ovh et il n'en veut pas.

[sylo]

Non .... madame n'en veut pas
Sans vouloir froisser quiconque (mais je vais le faire tout de même ) je trouve l'idée de pouvoir limiter les appels à quelques pays plutôt convaincante.
Est-ce également possible en liste sur OVH ?

[mackguil]

Non .... madame n'en veut pas
Sans vouloir froisser quiconque (mais je vais le faire tout de même ) je trouve l'idée de pouvoir limiter les appels à quelques pays plutôt convaincante.
Est-ce également possible en liste sur OVH ?

Oui, liste noire.

Mais la gestion via la liste blanche est plus adaptées.

[jme]

Lorsque nous installons du sip, nous travaillons avec des operateurs plus "pro", vdsl avec un Vlan privé vers le server l'operateur ainsi cela limite déjà les possibilités de hacking en + l'operateur fournis du QOS sur ce vlan afin de garantir la qualité des appels.

Nous installons aussi un session border controller (sbc) afin de protéger le pabx des différentes attaques en sip.
J'ai entendu dire que certaines boites ont perdu plus de 800€ en 1 nuit ...

Un client dont on a changé sa centrale, avait un pabx panasonic en sip, il avait régulièrement quelqu'un qui s'introduisait dans ses conversations, insultait le client et raccrochait
Depuis qu'on a changé de centrale et placé un sbc, plus de soucis.

[sylo]

Merci de vos différents avis et idées.
Je vais en installer l'une ou l'autre.

Mais d'un autre côté mon gigaset tourne en sip depuis 5 ans déjà et je ne m'étais jamais posé la question.
En fait l'ajout d'Asterisk ne change rien à la situation et le danger était tout autant présent avant que maintenant.

[jme]

Vérifie aussi avec ton operateur, celui que nous utilisons nous permet de n'autoriser que l'enregistrement depuis une ip specifique et aussi que sur un périphérique spécifique basé sur le user-agent et sa version de firmware. (me suis déjà fait avoir a ne plus savoir m'enregistrer apres avoir fait un upgarde de firmware )

[mackguil]

Vérifie aussi avec ton operateur, celui que nous utilisons nous permet de n'autoriser que l'enregistrement depuis une ip specifique et aussi que sur un périphérique spécifique basé sur le user-agent et sa version de firmware. (me suis déjà fait avoir a ne plus savoir m'enregistrer apres avoir fait un upgarde de firmware )

Il n'en veut pas de restriction par IP c'est déjà proposé plus haut dans le topic.

[sylo]

Mais si mais si j'en veux.
Je vais plancher sur tout cela et... Implémenter !
Merci de vos lumières