mandymak wrote:
說一下我Asterisk...(恕刪)
有了 iax trunk 以後, 應該就不需要再放到 vpn tunnel 了啊, 還是有部分我搞錯了?
openVPN 的部分我們自己是有使用 Chain Certificate Sign 的方式, 所以才會在 企業環境下實施. 我們公司的很早就開始使用 pfx based 的數位簽核, 所以每一個人都有他自己的 pfx. 這樣子做是讓使用者無法隨便把帳號給出去的 (他自己的 pfx 是可以簽核自己的辭職申請, 或是改變他薪水帳戶的), 這部分主要是給外部的移動使用者連回公司內部系統. 就目前只有開放不到 20個人可以從外部連回.
openVPN 比 pptp vpn 模式安全了很多. 對於妳不建議在企業環境下實施 openvpn 的原因是? 我是看到連 AWS 都開始公開 endorse openvpn 為它們首選 sslvpn 後, 才開始全面使用的, https://aws.amazon.com/marketplace/pp/B00MI40CAE/ref=srh_res_product_title?ie=UTF8&sr=0-2&qid=1435336233303
基本上 點對點 vpn 還是以 ipsec 為主.
Oneplus 8 Pro•
Thinkpad T480s•
PVE6+OMV4+NextCloud
thi wrote:
我有點好奇在linux...(恕刪)
ZFS on Linux 很早就不是透過 fuse 了 (大概兩年了) 目前是直接使用 kernel space, 但是是透過 SPL (Solaris Package Layer) 來模擬的, 搭配好 L2ARC & ZIL(Slog) 基本上 zfs pool 讀 1000mb 寫 1000mb iops 破 10k 是沒有問題的,
Oneplus 8 Pro•
Thinkpad T480s•
PVE6+OMV4+NextCloud
mandymak wrote:
Iax trunk...(恕刪)
了解, 妳是擔心類似 http://www.voipsa.org/Resources/tools.php 這些網頁上面的工具 (如 IAXFlooder, IAXAuthJack ) 或是一些攻擊嗎? 我的做法是
1. 在 Firewall (fortigate/pfsense) 上面限定 src ip 可以連接 iax2 trunk port.
2. 在 freepbx 那台主機安裝 fail2ban local 的 iptable
上述的方式可以防止 99% 小咔的攻擊. (其實也是依樣畫葫蘆學國外的 SIP provider 的方法, 它們的客戶有的是智慧手機, 而且他們不可能所有客戶都能建立 vpn, 那麼他們是如何以此盈利又達到足夠的安全係數?) 剩下的那個 1% "國家級" 攻擊跟 hack 的時候, 如 2014年 Sony 類似那樣等級的黑客事件, 我是舉白旗的, 我事後讀了很多文章 如 https://www.schneier.com/blog/archives/2014/12/lessons_from_th_4.html. 那樣的攻擊太全面化, 從技術面, 人性面, 雙管齊下, 一點一點默默的收集資料, 可能真的要有一個 Chief security officer 或是 Chief Information Security Officer 專人專職專門的團隊來負責, 不然一個 IT 部門什麼都要兼著做一點, 其思維有的時候不是 100% 放在安全第一. 我處理資安的方式也只是到"相對"安全而已.
妳說的絕對沒有錯, 多開一個 port 真的風險就越大. 由於移動用戶越來越多, 我的 iptable 越來越多的 src dev 的規則/script, 限定 mac, 使用者連線後, 檢查 MAC 有沒有在 list 上面, 沒有就增加一個 1800 sec 的 ban.
IPSec VPN 是很安全, 但是它的安全也是相對的, 它的安全來自於 openssl library 以及廠商多快速 patch up 其 openssl 的 bug. IPSec VPN 的頻寬是有限的, 如果可以把一些通訊不放在 vpn tunnel 內, 然後又是安全的, 基本上我會把它們毫不猶豫的踢出 vpn tunnel. 個人主觀意識而已. PFSense 更新 bug 的速度比其他大廠快多了, 2個禮拜前的 openssl bypass/bug, 今天就 release 了更新, https://doc.pfsense.org/index.php/2.2.3_New_Features_and_Changes
openvpn 這一塊, 目前我在測試其指令 --learn-address --dev 的模式, 雖然移動使用者的 ip 是無法確定的, 但是其 MAC Address 是可以限制住的, 所以在 certifcate pfx 上面, 我還增加了鎖 MAC, 雖然 MAC Address 比以前變得容易修改太多了, 但是在這部分有的時候只能做一步算一步. 在 openvpn 可以透過其 MAC 增加或是更新 iptable 的 rule, 限制使用者的很多權限或是 Access.
--learn-address cmd
Run script or shell command cmd to validate client virtual
addresses or routes.
cmd will be executed with 3 parameters:
[1] operation -- "add", "update", or "delete" based on whether
or not the address is being added to, modified, or deleted from
OpenVPN's internal routing table.
[2] address -- The address being learned or unlearned. This can
be an IPv4 address such as "198.162.10.14", an IPv4 subnet such
as "198.162.10.0/24", or an ethernet MAC address (when --dev tap
is being used) such as "00:FF:01:02:03:04".
[3] common name -- The common name on the certificate associated
with the client linked to this address. Only present for "add"
or "update" operations, not "delete".
On "add" or "update" methods, if the script returns a failure
code (non-zero), OpenVPN will reject the address and will not
modify its internal routing table.
Normally, the cmd script will use the information provided above
to set appropriate firewall entries on the VPN TUN/TAP inter‐
face. Since OpenVPN provides the association between virtual IP
or MAC address and the client's authenticated common name, it
allows a user-defined script to configure firewall access poli‐
cies with regard to the client's high-level common name, rather
than the low level client virtual addresses.
在 Opensource 的軟體下, 什麼控管限制或是安全機制都做得到, 但是負責 project 的團隊換來換去, 隨著時間拉長後, 後續整合的人把一些後開發的功能塞到很奇怪的地方去, 然後設計圖形界面的人, 有時並沒有發現一些功能, 造成了很多開源軟體很不好用, 很不好設定, 所以使用任何的開源軟體一定要有一個體悟, 就是不只要知道的面廣, 而且還要非常細膩的深入了解.
Oneplus 8 Pro•
Thinkpad T480s•
PVE6+OMV4+NextCloud
mandymak wrote: 國外的SIP Provider一般是...(恕刪)mac address 是 network L2 才有的訊息,所以只有在local lan或是 vpn 的情況下才看得到。通常經過了 router後只有 L3 的訊息。我的 script 都是在 open VPN 的情況下 來做 SRC DEV 的 rules. 而 sip remote client也是只有使用 fail2ban , 這部分看不到 mac. 但是 很多sip的教學是說使用 mac 為 ext 登入的帳號...
關於 gfw 只能說提供的不同點的 VPN 連線越多越好,當中國要封鎖時,它大概真的算是一個可以直接 unplug internet backbone的國家。沒有一個企業/或國家對它抗議有效,就目前 我們 443 port 還沒有被封鎖過。每一個地區的 gfw 的機制真的不同,我的經驗是 上海封很嚴,但是昆山(三線城市)反而沒有那麼多限制,有的時候我們會透過 昆山的點翻牆回台灣。而北方的聯通我完全沒有經驗,他們的機制應該更嚴厲,畢竟北京是天子腳下。
內文搜尋
從 APP 打開
X