Долбанный Elastix ( предупреждения пользователям)

FreePBX, TrixBox, AsteriskGUI и др.
Всевозможные надстройки/интерфейсы к Asterisk в виде GUI.
[всё что прямо не относится к Asterisk писать сюда]

Модераторы: Admins, Модераторы

Ответить
Alextransit
Сообщения: 188
Зарегистрирован: 27 окт 2008, 11:09
Откуда: Perm

Долбанный Elastix ( предупреждения пользователям)

Сообщение Alextransit » 05 июл 2012, 05:11

приключилась у меня неприятность.
когда то ( когда за сеткой присматривал я ) PBX на базе exlastix стояла за двумя натами, да еще и в отдельной сети.
взяли нового админа, и он все загнал в одну сеть.
а в качестве рутера у него выступал windows. :)

итог этого:
его отхачили.
и получив доступ к вебу elastix, отхачили и меня.
ну и вдули трафика. через меня и увели логины к транкам. :)

на elastix стоял пароль 14 знаков ( большие и маленькие буквы + цифры )

в логах hhtd видно что было много странных и длинных запросов.
по всей видимости или в elastix или в hhtps есть дырочка, которая позволяет из вне получить доступ.

сейчас пристрелил вебовский сервис
и на днях буду все переставлять, и закрываться так. как будто я торчу наружу.

выходит что даже во внутренней сети нужно "затягивать гайки по самые помидоры"

PS эту сборку (elastix) ставил давным давно из за полного незнания. сейчас готовую сборку ставить не буду.

может эта информация кому то будет полезной.
Алексей Милько

Аватара пользователя
noize
Сообщения: 913
Зарегистрирован: 29 ноя 2006, 12:51
Откуда: Москва

Сообщение noize » 06 июл 2012, 08:33

не так давно где то проскакивала новость про уязвимость в elastix через vtigercrm. Суть в том, что можно было получить к конфигам астериска обратясь через url.

starplus
Сообщения: 16777215
Зарегистрирован: 30 июн 2012, 19:28

Сообщение starplus » 22 окт 2012, 04:26

спасибо за предупреждение.
если ко всем траблам установки этого эластикса (ниче толком не работает без ручника) добавить еще то, что меня могут поломать....
то ну его нафиг этот эластикс.

jeckfs
Сообщения: 129
Зарегистрирован: 05 фев 2010, 16:36

Сообщение jeckfs » 22 окт 2012, 05:36

как бы fail2ban никто не отменял... виновата тут не сборка, виноват "специалист" который все это настраивает, а система годная, нефиг ее дерьмом поливать из-за того, что руки кривые

Alextransit
Сообщения: 188
Зарегистрирован: 27 окт 2008, 11:09
Откуда: Perm

Сообщение Alextransit » 22 окт 2012, 16:22

виновата тут не сборка, виноват "специалист" который все это настраивает
согласен. теперь даже во внутренней сетке настраиваю так, как будто интерфейсом наружу торчу. :)
а система годная, нефиг ее дерьмом поливать из-за того, что руки кривые
не согласен.
это равносильно тому что я поставлю готовую систему по криптованию, и эту систему можно "поиметь" подсунув десяток левых ключей.

или в случае с эластиксом - это проблема не сборки, то http демона, который они используют?
если в демоне есть такая проблема, то почему в сборку не поставили fail2ban?
забыли или оставили маленькую лазейку? :)

2starplus
ниче толком не работает без ручника
не соглашусь.
система вполне рабочая, и заводится с пол оборота. только нужно знать что там есть бага/фича, позволяющая получить полный доступ к вебовской морде.

а лучше самому все поставить.
кажется что сложно, но по факту все достаточно просто. и времени на установку занимает не сильно больше чем установка готовой сборки.
Алексей Милько

jeckfs
Сообщения: 129
Зарегистрирован: 05 фев 2010, 16:36

Сообщение jeckfs » 22 окт 2012, 21:15

1. сравнивать elastix c системой криптования некорректно, все равно, что сравнивать бульдозер с лопатой
2. fail2ban в версии 2.3 присутствует, инструкций по настройке море, просто в интерфейсе его нет, вроде в следующей версии будет... сейчас есть параметры настройки фаервола, почему бы там не ограничить адреса, с которых можно рулить АТС мне непонятно, вот это http://www.elastix.org/index.php/en/com ... guide.html читали?
3. если вас, уважаемый, "поимели" из локальной сети, то тут даже не знаю как это бывает, наверно я что-то делаю не так

"или в случае с эластиксом - это проблема не сборки, то http демона, который они используют? " - хоть бы поинтересовался какой-такой там хитрый демон, блин

мое мнение, основанное на 5-летнем использовании именно эласта: - самый лучший вариант для быстрого развертывания телефонии в офисе, никто не запрещает отключить веб морду и править dial plan руками - как душе угодно, но, если телефонию надо поднять за пару часов - это оптимально, дальше можно конечно докручивать как хочешь, плюс администрирование АТС можно доверить малопонимающему человеку, предварительно настроив безопасность и отрезав лишние панели, там это можно сделать, т.о. техподдержка с ограниченными правами сможет как минимум добавлять людей, смотреть звонки по межгороду и т.д. (хотя последнее очень легко автоматизируется при помощи ./golova.sh) :)

в общем считаю, что всю эту ветку можно смело удалять (вам, модераторы) :)

Аватара пользователя
anest
Модератор
Сообщения: 5708
Зарегистрирован: 28 ноя 2004, 10:04

Сообщение anest » 16 янв 2013, 06:35

насчет безопастности - одним f2b не спастись в любом случае. ставьте любой IDS, например snort+barnyard, etc...

Ответить