[OT] Bezpecnost VoIP

Pavel Troller patrol@sinus.cz
Středa Listopad 4 19:07:20 CET 2009


Zdravím,

> S tím souhlasím. V podstatě nikdo netuší, jaká je vlastně situace, takže
> akorát spekulujeme.
> Problém mohl být i to, že v poslední době vyšla aktualizace, která mohla
> řešit zásadní bezpečnostní díru, takže základní zabezpečení bylo nastaveno,
> ale kvůli stáří firmware nedostatečně.

Ne, v tom to není. Vím přesně, co tahle aktualizace řeší, a ani jsem ji
nepovažoval za nutné instalovat. Jednalo se o to, že ve specifickém případě
software ignoroval ACL, tj. uživatelské omezení povolených IP rozsahů.

> Taktéž ústřednu mohl "nakonfigurovat" rodinný příbuzný "který dělá do
> počítačů, takže tomu rozumí" (ve skutečnosti umí maximálně složit PC a
> nainstalovat tam Windows) a podle toho pak konfigurace vypadala.
> Zrovna u ústředen si nemyslím, že by se daly prodávat jako blackbox s
> klikacím rozhraním, ať si to BFU nastaví sám.

Ale ano, samozřejmě že se dají! Podívejte se třeba na Trixbox! Vrazíte CD
do mašiny a za hodinu telefonujete. Prý to zvládne každý. Nevím, nepoužívám.
Své ústředny si kompiluji sám (včetně OS, na kterém běží, nepoužívám žádné
komerční distro) a domnívám se, že proti běžným útokům jsou dostatečně
zabezpečeny a proti "neběžnému útoku" (tj. opravdu profi hack) ji zabezpečit
nedokážu a ať se veřejně přihlásí ten, kdo si myslí, že to dokáže, tj. že
zcela zabezpečí systém, který musí být z principu dostupný zvenčí z libovolných
IP rozsahů (nikdo nikdy neví, z jaké kavárny se bude kdo hlásit ze své Nokie)
proti všem druhům útoků. To řeším tak, že používám výhradně prepaid services
a navíc pravidelně kontroluji CDR, zda se neděje něco nekalého :-).

> 
> Jinak ústředna se obvykle prodává ve stavu, že má nějaké výchozí heslo a
> samozřejmě, pokud nebylo heslo změněno, tak je dřív nebo později někdo
> zkusí.

Ano, mám obavu, že v tom to bude. Ústředna s webovým xichtem a defaultní
nebo extrémně triviální heslo. Pak jsou vám veškeré aktualizace k ničemu.

Zdraví Pavel



More information about the Hw-list mailing list