Астериск - попытки взлома, как посоветуете настроить защиту?

[baf]

Здравствуйте.

В мире звездочки новичок, имею всего 2 рабочии станции. Одна из станций работает в интернете ОС ubuntu10.04 asterisk 11.5 + freepbx 2.11 Я заметил такое вот в логах:

Код: Выделить всё

[2013-08-05 13:13:14] NOTICE[2707][C-0000003c] chan_sip.c: Failed to authenticate device 51<sip:51@мой внешний ip>;tag=2bc86a26
[2013-08-05 13:13:15] NOTICE[2707][C-0000003d] chan_sip.c: Failed to authenticate device 51<sip:51@мой внешний ip>;tag=47c28401
[2013-08-05 13:34:36] NOTICE[2707][C-0000003e] chan_sip.c: Failed to authenticate device 150<sip:150@мой внешний ip>;tag=581752be
[2013-08-05 13:34:37] NOTICE[2707][C-0000003f] chan_sip.c: Failed to authenticate device 150<sip:150@мой внешний ip>;tag=3fe1e2b1
[2013-08-05 13:35:08] NOTICE[2707][C-00000040] chan_sip.c: Failed to authenticate device 17<sip:17@мой внешний ip>;tag=12511593
[2013-08-05 13:35:09] NOTICE[2707][C-00000041] chan_sip.c: Failed to authenticate device 17<sip:17@мой внешний ip>;tag=3bf621a4
[2013-08-05 13:57:56] NOTICE[2707][C-00000042] chan_sip.c: Failed to authenticate device 16<sip:16@мой внешний ip>;tag=d5d70969
[2013-08-05 13:57:57] NOTICE[2707][C-00000043] chan_sip.c: Failed to authenticate device 16<sip:16@мой внешний ip>;tag=5e18d151
[2013-08-05 14:21:26] NOTICE[2707][C-0000004f] chan_sip.c: Failed to authenticate device 250<sip:250@мой внешний ip>;tag=dff2b8c8
[2013-08-05 14:21:27] NOTICE[2707][C-00000050] chan_sip.c: Failed to authenticate device 250<sip:250@мой внешний ip>;tag=5ecf9b49
[2013-08-05 14:24:26] NOTICE[2707][C-00000051] chan_sip.c: Failed to authenticate device 14<sip:14@мой внешний ip>;tag=bc5b5c0c
[2013-08-05 14:24:28] NOTICE[2707][C-00000052] chan_sip.c: Failed to authenticate device 14<sip:14@мой внешний ip>;tag=3c85b731
[2013-08-05 14:45:15] NOTICE[2707][C-00000053] chan_sip.c: Failed to authenticate device 400<sip:400@мой внешний ip>;tag=ac8a85fa
[2013-08-05 14:45:16] NOTICE[2707][C-00000054] chan_sip.c: Failed to authenticate device 400<sip:400@мой внешний ip>;tag=9fff85f7
[2013-08-05 15:08:35] NOTICE[2707][C-00000055] chan_sip.c: Failed to authenticate device 500<sip:500@мой внешний ip>;tag=7b3bb1ac
[2013-08-05 15:08:36] NOTICE[2707][C-00000056] chan_sip.c: Failed to authenticate device 500<sip:500@мой внешний ip>;tag=b3d8d681
[2013-08-05 15:16:01] NOTICE[2707][C-00000057] chan_sip.c: Failed to authenticate device 13<sip:13@мой внешний ip>;tag=43c099b4
[2013-08-05 15:16:03] NOTICE[2707][C-00000058] chan_sip.c: Failed to authenticate device 13<sip:13@мой внешний ip>;tag=20128d91
[2013-08-05 15:32:53] NOTICE[2707][C-00000059] chan_sip.c: Failed to authenticate device 600<sip:600@мой внешний ip>;tag=2959f65e
[2013-08-05 15:32:55] NOTICE[2707][C-0000005a] chan_sip.c: Failed to authenticate device 600<sip:600@мой внешний ip>;tag=74c7deb0
[2013-08-05 15:58:19] NOTICE[2707][C-0000005b] chan_sip.c: Failed to authenticate device 8888<sip:8888@мой внешний ip>;tag=5362e120
[2013-08-05 15:58:21] NOTICE[2707][C-0000005c] chan_sip.c: Failed to authenticate device 8888<sip:8888@мой внешний ip>;tag=1ea308b5
[2013-08-05 16:07:33] NOTICE[2707][C-0000005d] chan_sip.c: Failed to authenticate device 51<sip:51@мой внешний ip>;tag=1050a001
[2013-08-05 16:07:35] NOTICE[2707][C-0000005e] chan_sip.c: Failed to authenticate device 51<sip:51@мой внешний ip>;tag=00a1991b
[2013-08-05 16:24:23] NOTICE[2707][C-0000005f] chan_sip.c: Failed to authenticate device 2001<sip:2001@мой внешний ip>;tag=ca0729b7
[2013-08-05 16:24:24] NOTICE[2707][C-00000060] chan_sip.c: Failed to authenticate device 2001<sip:2001@мой внешний ip>;tag=38308594
[2013-08-05 16:49:56] NOTICE[2707][C-00000061] chan_sip.c: Failed to authenticate device 3001<sip:3001@мой внешний ip>;tag=920a16e0
[2013-08-05 16:49:57] NOTICE[2707][C-00000062] chan_sip.c: Failed to authenticate device 3001<sip:3001@мой внешний ip>;tag=4000f76f

Сначала я подумал меня взломали, ведь я на бубунте и внешний адрес моего модема пытается подобрать пароль. Но отснефирив это дело я понял, что адрес не модема, а гребанных палистинцев, украинцев(не всех, а то подумаете еще чего не доброго ))) и т.д. Они шлют мне sip пакет в котором указывают мойже адрес, вот жешь. Бан не сработал, т.к. У меня разрешено 3 попытки, а тут 2, да и не дало бы это результата, фаервол бы их пропускал фсе равно, т.к. Он работает на сетевом, а эта гадасть показывает уровень приложений.

В общем погуглив я нашел что нужно модефицыровать исходники chan_sip.c, что бы в лог добавлялся реальный адрес атакующего.
Но я хотел бы посоветоваться кто как борится с этой заразой, может есть еще какие способы.

П.С. Астериск 11, а такую мелочь не доработали, жалко.

[Sfinx]

А если бы также подбирали пароль на SSH, что тоже - "OpenSSL версии 1.0.x, а такую мелочь не придумали" ? Ставьте ratelimit'ы через iptables и будет счастье.

[baf]

Смысл первого предложения не вкурил. По поводу rate limit спасибо, обязательно сделаю и не только для сипа. Ну лимиты мне кажется тут не спасут, т.к. Судя по логам после 2 попытки делается хорошая пауза, видимо с расчетом именно на лимиты. А как гуру решают такие проблемы? Только одними лимитами?

[ded]

Белый список.
Смысл замечания таков: если ваш сервер имеет, допустим, открытый порт SSH, то сканеры его находят, и, могут колупать потихоньку. Вы эти попытки не видите, и Вас поэтому этот факт не особенно заботит. Точно так же колупают всякие поля оргин/пароль в вэб-доступе куда либо, в открытые интерфейсы MS Windows Remote desktop, подбирают пароли к почтовым аккаунтам, и пр.А тут Вы этот процесс видите, и публично выражаете беспокойство.
Если пароли сложные - шансов их подобрать пояти нет.
Если используется вдобавок настрока на пирах
deny=0.0.0.0./0.0.0.0
permit=192.168.0.0/255.255.0.0
то ещё более надёжно.

Лекции по SIP безопасности он-лайн - нетипичная пневмония.

[baf]

Как это не вижу, в логах ssh видно адрес атакующего, он баница темже fail2ban на n количество минут, а если повторяется то на n количество дней. То что они сканируют порты, да ради бога, а вот подбор паролей это серьезно.

Шансы подобрать пароли всегда есть, ботам всеравно сколько времени их подбирать. они будут это делать пока не подберут. permit=192.168.0.0/255.255.0.0 можно и нужно делать если клиент находится в строго определенной сети. А если он ездит по миру или по стране в которой несколько пулов, куча операторов? Смысл разрешать только локальную сеть, тогда уж вообще серверу закрыть доступ из вне и дело в шляпе.

Я чет не пойму я не на специализированный ресурс зашел? Вы и вправду только так безопасность понимаете, установкой сложного пароля? и защитой от дос атак?

[ded]

Шансы подобрать пароли всегда есть, ботам всеравно сколько времени их подбирать. они будут это делать пока не подберут.

Серьёзно так думаете?

Смысл разрешать только локальную сеть, тогда уж вообще серверу закрыть доступ из вне и дело в шляпе.

Это и называется "белый список"
Я чет нихачу с Вами дискутировать, Вы сами, умнее всех умнЫх, как Ленин - живее всех живых.
P.S. Я (упреждаю) - не гуру.

[Diesel.spb]

Давно на Habr'е писали но тоже актуально.

[jugatsu]

Я зачем 5060 порт выставлять-то?

[virus_net]

Я чет не пойму я не на специализированный ресурс зашел? Вы и вправду только так безопасность понимаете, установкой сложного пароля? и защитой от дос атак?

Нет конечно. Мы ещё вытаскиваем патчкорды из серверов и отключаем им питание.

В мире звездочки новичок

И видимо по этой причине: "гугл не известная для меня вещь." и "читать мне не охота, вы мне напишите решение для копипаста".

[baf]

И видимо по этой причине: "гугл не известная для меня вещь." и "читать мне не охота, вы мне напишите решение для копипаста".

Мне не решение надо было, я хотел спросить совета у людей, которые давно занимаются астером, которых я назвал гуру. Вообще через интернет делать телефонию это бред. Ни один провайдер не гарантирует доставку пакетов интернет трафика. Для этого надо брать специальные сети VOIP, в которых сигналинг 4 , а ртп(голос) 5 приоритет соответсвенно. Но мне надо, я и делаю.
Ну а в общем, я услышал что хотел примерно, возможно не то чего я ожидал, но в полне устраивает.
1.

Ставьте ratelimit'ы через iptables и будет счастье.

2.

Я зачем 5060 порт выставлять-то?

3. Ну и + то что я нашел в гугле, это менять исходники, что бы в лог падал реальный адрес третьего уровня.
Да еще есть идея через iptables логировать и кидать в отдельный лог, как только реализую и проверю напишу тут что было сделано, вдруг не я один такой и кому-то пригодится.
Всем спасибо.