ЗАЩИТА ОТ ПОДБОРА ПАРОЛЯ

Автор: 5.02.2014

Попытки подбора паролей к SIP-аккаунтам давно уже не редкость, тем более что готовые инструменты лежат в свободном доступе, а простой скрипт пишется за день. Например, комплект утилит SIPVicious (code.aooale.com/p/sipvicious) позволяет получить списки SIP в указанном диапазоне IP, рабочие расширения (extensions) и подобрать к ним пароль.
Все это приводит к необходимости использовать только устойчивые к взлому пароли, обязательно отключать демо аккаунты и расширения. Имя пользователя, прописываемое в user, не должно быть простым (вроде 101,102...) и совпадать с названием расширения.
И конечно, надо использовать TLS/SSL, как показано выше, поскольку большинство скриптов просто не поддерживают такую возможность. Гостевые вызовы отключаются в sip.conf одной строкой: allowguest=no
Хотя надо иметь в виду, что некоторые SIP-устройства не смогут устанавливать соединения при такой настройке.
Сервер в случае ошибки запроса на соединение отправляет одно из следующих сообщений:
401 Unauthorized — несанкционированный доступ (только серверы регистрации);
404 Not Found — пользователь не найден;
404 Unknown user account — неизвестный логин и пароль;
407 Proxy Authentication Required — требуется авторизация для прокси-сервера. Поэтому купить прокси, как можно больше, будет только надежнее.
Сканеры, определяющие расширения, анализируют эти ответы и таким образом выясняют, какие расширения доступны, впоследствии взломщик может попробовать подобрать к ним пароль, что, кстати, может заметно нагрузить сервер svwar.py -force -е100-10О0 192.168.1.1 m