Копирование пропуска с помощью nfc. Как открыть домофон с помощью NFC. Не стесняйтесь спрашивать у смартфона - он поймёт
Сейчас очень часто приходится сталкиваться с различным родом атак на Asterisk и аналоги. Неверная настройка и незнание простых правил влекут за собой финансовые потери для предприятия, которое использует PBX Asterisk.
В данной статье мы рассмотрим первоначальные механизмы безопасности Asterisk 13 после установки и не будем рассматривать механизмы безопасности Linux. Ниже будет описан ряд правил, которые помогут обезопасить вашу систему:
1. Устойчивые к взлому пароли и логины на всех сетевых устройствах (Asterisk, IP-телефоны, VoIP-шлюзы).
Пароли SIP-аккаунтов, администраторов, менеджеров Asterisk и на сетевых устройствах должны состоять не менее чем из 13 символов (буквы, цифры, спецсимволы, смена регистра). Не использовать логины в системе такие как admin, administrator, manager и т.д.
2. Правильная настройка SIP в Asterisk – sip.conf.
Для защиты от сканеров следует изменить стандартный порт SIP, запретить гостевые вызовы и регистрации, overlap-наборы, подписка на информацию о статусе канала и т.д. Полное описание параметров general sip.conf описан в статье . Ниже приведен сконфигурированный мною sip.conf для сервера Asterisk с комментариями:
Context=default ;По-умолчанию назначаем неиспользуемый контекст для исходящих вызовов allowguest=no ;Запрещаем гостевые (без аутентификации) подключения match_auth_username=no ;Запрещаем использование поля "username" вместо "from" allowoverlap=no ;Запрещаем набор по одной цифре;allowtransfer=no ;Запрещаем использование переадресации realm=CUCM11.5(1)SU3 ;Используем свое доменное имя сервера (скрываем что Asterisk) ;domainsasrealm=no ;recordonfeature=automixmon bindport=9050 ;Меняем порт SIP сигнализации udpbindaddr=0.0.0.0 ;Адрес UDP по-умолчанию tcpenable=yes ;Включаем поддержку TCP (вдруг у вас есть Avaya) tcpbindaddr=0.0.0.0 ;Адрес TCP по-умолчанию;tlsenable=no ;tlsbindaddr=0.0.0.0 ;tcpauthtimeout = 30 ;tcpauthlimit = 100 ;websocket_enabled = true ;websocket_write_timeout = 100 transport=udp ;Транспорт по-умолчанию srvlookup=yes ;Разрешаем осуществлять вызовы по DNS-именам;pedantic=yes ;tos_sip=cs3 ;tos_audio=ef ;tos_video=af41 ;tos_text=af41 ;cos_sip=3 ;cos_audio=5 ;cos_video=4 ;cos_text=3 ;maxexpiry=3600 ;minexpiry=60 ;defaultexpiry=120 ;submaxexpiry=3600 ;subminexpiry=60 ;mwiexpiry=3600 ;maxforwards=70 qualifyfreq=60 ;Устанавливаем проверку доступности хоста в 60 секунд;qualifygap=100 ;qualifypeers=1 ;keepalive=60 ;notifymimetype=text/plain ;buggymwi=no ;mwi_from=asterisk ;vmexten=voicemail ;preferred_codec_only=yes disallow=all ;Запрещаем все кодеки allow=alaw ;Разрешаем Alaw allow=ulaw ;Разрешаем Ulaw ;autoframing=yes ;mohinterpret=default ;mohsuggest=default ;parkinglot=plaza language=ru ;Делаем русский язык в системе по-умолчанию tonezone=ru ;Определяем глобальную тонзону в Ru relaxdtmf=yes ;Включим распознавание плохо распознаваемых DTMF сигналов;trustrpid = no ;sendrpid = yes rpid_update=yes ;Немедленное оповещение встречного сервера об изменениях состоянии линии;trust_id_outbound = no ;prematuremedia=no ;progressinband=no callerid=CUCM11.5(1)SU3 ;Если у нас где-то не установлен CallerID - делаем его символьным useragent=Cisco-SIPGateway/IOS-12.x ;А в качестве PBX у нас Cisco-SIPGateway ;promiscredir = no ;usereqphone = no dtmfmode=rfc2833 ;Устанавливаем тон нажатия кнопок на телефонном аппарате;compactheaders = yes videosupport=yes ;Включаем поддержку видео-вызова;textsupport=no maxcallbitrate=2048 ;Максимальный битрейт видеосвязи authfailureevents=yes ;Устанавливаем статус Peer, если он не может авторизоваться=rejected alwaysauthreject=yes ;Если запрос аутентификации был отклонен, то в ответе НЕ будет написано, что юзер введен неверно, защита перебора имен пользователей auth_options_requests=yes ;Требуем авторизацию при посылках OPTION и INVITE ;accept_outofcall_message = no ;outofcall_message_context = messages auth_message_requests=yes ;Включаем аутентификацию запросов MESSAGE ;g726nonstandard = yes ;outboundproxy=proxy.provider.domain:8080 ;supportpath=yes ;rtsavepath=yes ;matchexternaddrlocally = yes ;dynamic_exclude_static = yes ;contactdeny=0.0.0.0/0.0.0.0 ;contactpermit=172.16.0.0/255.255.0.0 ;contactacl=named_acl_example ;rtp_engine=asterisk ;regcontext=sipregistrations regextenonqualify=yes ;Если включено quality для пира и он выпадает, то * убивает этот экстеншен из regcontext ;legacy_useroption_parsing=yes ;send_diversion=no ;shrinkcallerid=yes ;use_q850_reason = no ;refer_addheaders=yes autocreatepeer=no ;Отключаем регистрацию UAC без аутентификации t1min=200 ;Минимальная задержка прохождения сообщений до хоста и обратно;timert1=500 ;timerb=32000 rtptimeout=600 ;Прерываем вызов если нет активности RTP медиапотоков через 600 секунд rtpholdtimeout=300 ;Прерываем вызов если нет активности RTP медиапотоков в режиме Hold через 300 секунд;rtpkeepalive= ;session-timers=originate ;session-expires=600 ;session-minse=90 ;session-refresher=uac ;sipdebug = yes ;recordhistory=yes ;dumphistory=yes ;allowsubscribe=no ;subscribecontext = default ;notifyringing = no ;notifyhold = yes ;notifycid = yes callcounter=yes ;Активируем счетчик вызовов t38pt_udptl=yes ;Включаем поддержку T.38 c FEC коррекцией ошибок faxdetect=yes ;Включаем определение CNG и T.38 nat=auto_force_rport,auto_comedia ;Находим Nat автоматически и медиаданные на порт с котрого Asterisk их получил а не то что получил в SDP ;media_address = 172.16.42.1 ;subscribe_network_change_event = yes ;icesupport = yes directmedia=no ;Направляем RTP-трафик напрямую между пирами, минуя Asterisk ;directrtpsetup=yes ;directmediadeny=0.0.0.0/0 ;directmediapermit=172.16.0.0/16 ;directmediaacl=acl_example ;ignoresdpversion=yes sdpsession=SIP Call ;Меняем имя SDP сессии sdpowner=CiscoSystemsSIP-GW-UserAgent ;Меняем поля пользователя в SDP owner string ;encryption=no ;encryption_taglen=80 ;avpf=yes ;force_avp=yes ;rtcachefriends=yes ;rtsavesysname=yes ;rtupdate=yes ;rtautoclear=yes ;ignoreregexpire=yes ;domain=customer.com,customer-context ;allowexternaldomains=no ;allowexternaldomains=no ;fromdomain=mydomain.tld ;snom_aoc_enabled = yes jbenable=yes ;Активируем использование RTP буфера для компенсации задержек;jbforce = no jbmaxsize=200 ;Устанавливаем максимальный размер RTP буфера 200 мс;jbresyncthreshold = 1000 ;jbimpl = fixed ;jbtargetextra = 40 ;jblog = no
3. Используем нестандартные порт IAX.
Для этого в файле /etc/asterisk/iax.conf в секции меняем параметр bindport=4569 на параметр bindport=9069
4. Запуск Asterisk должен производиться от другого пользователя (не root). О том как это сделать написано в .
5. Задать разрешенные IP адреса или сети для SIP Extensions.
deny=0.0.0.0/0.0.0.0 ;Запрещаем всё permit=10.0.0.0/255.0.0.0 ;Разрешаем известное permit=172.20.0.0/255.255.0.0 ;Разрешаем известное permit=192.168.0.0/16 ;Разрешаем известное6. Устанавливаем лимит одновременных звонков.
call-limit=2 ;Устанавливаем значение в 2, чтобы пользователь мог сделать transfer7. Устанавливаем различные правила исходящей маршрутизации для каждого пользователя.
Необходимо убрать все маршруты, используемые по-умолчанию и назначить свои собственные с разграничением на контексты:
- Локальные наборы
- Местные вызовы
- Зоновые вызовы
- Междугородние вызовы
- Международные вызовы
Полный перечень кодов ABC, DEF можно взять с официального ресурса Россвязи .
Для маршрута по-умолчанию сделать
Exten => _X.,1,Hangup()
8.
9.
10. Все телефонные устройства выводим в отдельный Voice VLAN. Тут надо напрячь сетевиков.
11. Особое внимание уделяем международному направлению 8-10.
Устанавливаем только используемые в организации направления и по мере необходимости их добавляем (расширяем). Также делаем оповещение на почту если пользователь или злоумышленник воспользовался неизвестным международным направлением и устанавливаем лимит на каждое соединение и на одновременное число вызовов. Готовое решение по защите направления 8-10 описано в статье.
12. Отключить неиспользуемые каналы и сервисы.
Например, если вы не используете протокол MGCP или Skinny, отключайте эти модули в файле /etc/asterisk/modules.conf :
Noload => pbx_gtkconsole.so noload => chan_alsa.so noload => chan_console.so noload => res_ari.so noload => chan_dahdi.so noload => codec_dahdi.so noload => res_ari_device_states.so noload => res_ari_applications.so noload => res_ari_channels.so noload => res_ari_events.so noload => res_ari_playbacks.so noload => res_ari_endpoints.so noload => res_ari_recordings.so noload => res_ari_bridges.so noload => res_ari_asterisk.so noload => res_ari_sounds.so noload => res_pjsip.so noload => cdr_mysql.so noload => res_phoneprov.so noload => cdr_odbc.so noload => cdr_pgsql.so ;============================ ; PBX -- noload => pbx_ael.so ; Channels -- noload => chan_mgcp.so noload => chan_skinny.so noload => chan_unistim.so noload => chan_pjsip.so noload => chan_modem.so noload => chan_modem_aopen.so noload => chan_modem_bestdata.so noload => chan_modem_i4l.so noload => chan_alsa.so noload => chan_oss.so ; Codecs -- noload => codec_lpc10.so ; Formats -- noload => format_au.so noload => format_gsm.so noload => format_h263.so noload => format_ilbc.so noload => format_jpeg.so ; Applications -- noload => app_image.so noload => app_zapateller.so noload => app_zapbarge.so noload => app_zapscan.so noload => res_config_ldap.so
13. Ограничиваем удаленный доступ к IP-АТС при помощи Firewall.
Если вы планируете предоставлять удалённый доступ для авторизованных сотрудников, лучше всего организовать его при помощи VPN сервера (например, Open VPN).
14. Устанавливаем ограниченные права на каталоги.
Любое использование материалов сайта возможно только с разрешения автора и с обязательным указанием источника.
NXP Semiconductors и HID Global анонсировали свою совместную разработку – базовое решение Mobile Access для мобильных NFC-телефонов. Технология NFC обеспечивает обмен информацией между устройствами на небольших расстояниях, используя имеющиеся стандарты бесконтактной передачи данных.
Компании HID Global и NXP способствовали созданию современного рынка решений для систем физического доступа на базе карт и сегодня вместе переносят эти решения на мобильные телефоны по мере того, как NFC становится стандартной технологией.
Бесконтактные карты для доступа сотрудников в здания компаний и на территорию парковки, теперь могут быть интегрированы в NFC-телефон, в котором хранится цифровое удостоверение личности. Встроенный в мобильный телефон элемент безопасности NXP содержит учетные данные, которые могут считываться с него системами и устройствами для управления доступом. NFC-смартфоны, которые все шире используются для управления доступом, обеспечат пользователям и компаниям привычно высокий уровень безопасности в сочетании с устройства.
Совместно разработанное решение позволяет также использовать преимущества технологий считывания NXP и HID Global в инфраструктуре управления физическим доступом. Решение поддерживает существующие считывающие устройства HID Global, а также устройства на базе платформы iCLASS SIO-Enabled () этой же компании, что стимулирует миграцию технологий управления доступом за пределы традиционных карт и считывателей , и позволяет реализовать мобильный доступ с использованием цифрового удостоверения личности. Считывающие устройства HID iCLASS SE будут основаны на новых ИС NXP CLRC663 и обеспечат полную поддержку смарт-карт 13,56 МГц, отвечающих стандарту ISO 14443, в том числе MIFARE DESFIRE EV1.
Для гарантии совместимости новое решение обратно совместимо с новыми считывающими устройствами HID Global iCLASS, а также совместимо с экосистемой Trusted Identity Platform (TIP) компании HID Global. Чтобы обеспечить поддержку мобильных NFC-телефонов без физической замены уже установленных считывателей , пользователи продукции HID могут обновить версию ПО некоторых устройств iCLASS. Технология NXP позволяет управлять множеством приложений , таких как прием платежей, e-government, управление доступом и продажа билетов, с помощью одного микроконтроллера, который гарантирует безопасное распознавание личности без ухудшения рабочих характеристик, снижения безопасности и проектной производительности.
Решение Mobile Access на маломощных ИС семейства NXP PN65 NFC, которые
обеспечивают устойчивое к несанкционированному доступу хранение данных. ИС PN65 содержат NFC радиоконтроллер
NXP PN544 и встроенный элемент безопасности ( Element, eSE). В eSE реализована технология NXP SmartMX, используемая для защиты сотен миллионов банковских карт; электронных паспортов и карт для электронной идентификации (eID), билетов на транспорте и других карт и удостоверений личности по всему миру. ИС NXP будут поддерживать технологию защищенной идентификации объектов (Secure Identity Object, SIO) компании HID Global для настройки идентификационных данных, их хранения и управления жизненным циклом, а также платформу HID Trusted Identity Platform
(TIP) для управления конечными устройствами и обеспечения их безопасности. HID SIO представляет новую, основанную
на стандартах, гибкую структуру идентификационных данных,
которая вне зависимости от используемых технологий позволяет реализовать возможности смарт-карт в широком спектре портативных платформ, включая NFC телефоны.