PDA

Voir la version complète : faille de sécurité & phreaking



dubonjaja
22/09/2010, 21h54
Bonjour à tous,

Travaillant chez un opérateur Voip, je tenais à vous mettre en garde sur de nombreux cas remontés par nos clients lorsqu'ils utilisent des IPBX asterisk sur base de freepbx (trixbox, elastix, ect...).
En effet, lorsque vous déclarez un trunk sip opérateur sur la gui, les mots de passes SIP ne sont masqués à aucun moment, il suffit donc de se connecter pour récupérer ces identifiants et les utiliser frauduleusement. Il convient donc de bien sécuriser ses installations à savoir toujours changer les mots de passe par défaut, n'autoriser que les IP de l'opérateur et bloquer tout le reste du trafic.
Si on utilise des postes distants, écouter sur un autre port que le 5060.
Et enfin mettre des mots de passe complexes pour les postes SIP (éviter 100 100 par exemple).

Les cas de piratages sont en constante augmentation et représentent des pertes de plusieurs millier d'euros chaque semaine, alors si vous ne voulez pas avoir de mauvaises surprises, veillez à bien sécuriser vos infrastructures.

cdt

Reaper
23/09/2010, 11h44
La problème ce que au lieux de systématiser elastix & trixbox ont mis des mot de passes un peu partout, il est pas simple pour un utilisateur novice de tout changer.