Долбанный Elastix ( предупреждения пользователям)
когда то ( когда за сеткой присматривал я ) PBX на базе exlastix стояла за двумя натами, да еще и в отдельной сети.
взяли нового админа, и он все загнал в одну сеть.
а в качестве рутера у него выступал windows.
итог этого:
его отхачили.
и получив доступ к вебу elastix, отхачили и меня.
ну и вдули трафика. через меня и увели логины к транкам.
на elastix стоял пароль 14 знаков ( большие и маленькие буквы + цифры )
в логах hhtd видно что было много странных и длинных запросов.
по всей видимости или в elastix или в hhtps есть дырочка, которая позволяет из вне получить доступ.
сейчас пристрелил вебовский сервис
и на днях буду все переставлять, и закрываться так. как будто я торчу наружу.
выходит что даже во внутренней сети нужно "затягивать гайки по самые помидоры"
PS эту сборку (elastix) ставил давным давно из за полного незнания. сейчас готовую сборку ставить не буду.
может эта информация кому то будет полезной.
_________________
Алексей Милько
если ко всем траблам установки этого эластикса (ниче толком не работает без ручника) добавить еще то, что меня могут поломать....
то ну его нафиг этот эластикс.
| Цитата: |
| виновата тут не сборка, виноват "специалист" который все это настраивает |
согласен. теперь даже во внутренней сетке настраиваю так, как будто интерфейсом наружу торчу.
| Цитата: |
| а система годная, нефиг ее дерьмом поливать из-за того, что руки кривые |
не согласен.
это равносильно тому что я поставлю готовую систему по криптованию, и эту систему можно "поиметь" подсунув десяток левых ключей.
или в случае с эластиксом - это проблема не сборки, то http демона, который они используют?
если в демоне есть такая проблема, то почему в сборку не поставили fail2ban?
забыли или оставили маленькую лазейку?
2starplus
| Цитата: |
| ниче толком не работает без ручника |
не соглашусь.
система вполне рабочая, и заводится с пол оборота. только нужно знать что там есть бага/фича, позволяющая получить полный доступ к вебовской морде.
а лучше самому все поставить.
кажется что сложно, но по факту все достаточно просто. и времени на установку занимает не сильно больше чем установка готовой сборки.
_________________
Алексей Милько
2. fail2ban в версии 2.3 присутствует, инструкций по настройке море, просто в интерфейсе его нет, вроде в следующей версии будет... сейчас есть параметры настройки фаервола, почему бы там не ограничить адреса, с которых можно рулить АТС мне непонятно, вот это http://www.elastix.org/index.php/en/comp ... guide.html читали?
3. если вас, уважаемый, "поимели" из локальной сети, то тут даже не знаю как это бывает, наверно я что-то делаю не так
"или в случае с эластиксом - это проблема не сборки, то http демона, который они используют? " - хоть бы поинтересовался какой-такой там хитрый демон, блин
мое мнение, основанное на 5-летнем использовании именно эласта: - самый лучший вариант для быстрого развертывания телефонии в офисе, никто не запрещает отключить веб морду и править dial plan руками - как душе угодно, но, если телефонию надо поднять за пару часов - это оптимально, дальше можно конечно докручивать как хочешь, плюс администрирование АТС можно доверить малопонимающему человеку, предварительно настроив безопасность и отрезав лишние панели, там это можно сделать, т.о. техподдержка с ограниченными правами сможет как минимум добавлять людей, смотреть звонки по межгороду и т.д. (хотя последнее очень легко автоматизируется при помощи ./golova.sh)
в общем считаю, что всю эту ветку можно смело удалять (вам, модераторы)
_________________
Успехов!