VIDEOCHAT  ::   FAQ  ::   Поиск  ::   Регистрация  ::   Вход

Астериск - попытки взлома, как посоветуете настроить защиту?

Новичком считается только что прочитавший «Астериск - будущее телефонии»
http://asterisk.ru/knowledgebase/books
и пытающийся сделать большее

Модераторы: april22, Zavr2008

ded
Сообщения: 15625
Зарегистрирован: 26 авг 2010, 19:00

Re: Астериск - попытки взлома, как посоветуете настроить защ

Сообщение ded »

baf писал(а): Вообще через интернет делать телефонию это бред. Ни один провайдер не гарантирует доставку пакетов интернет трафика. Для этого надо брать специальные сети VOIP, в которых сигналинг 4 , а ртп(голос) 5 приоритет соответсвенно.
Хорошо, что я не знал этого последние 12 лет, и смог заниматься этим на таком качестве, что клиенты к нам, а не мы ищем клиентов.
Что же говорить про бедных транзитчиков, которые за 3 копейки направление покупают, за 3,5 - продают, переваливая трафик тоннами, и кое-как сводя концы с концами?
Аватара пользователя
zzuz
Сообщения: 1658
Зарегистрирован: 21 сен 2010, 13:33
Контактная информация:

Re: Астериск - попытки взлома, как посоветуете настроить защ

Сообщение zzuz »

После таких речей , мне кажется , автор и есть гуру. А спрашивает , чтобы поглумиться над нами несчастными.
Линия24 - Системы Массового Телефонного Обслуживания
Аватара пользователя
zzuz
Сообщения: 1658
Зарегистрирован: 21 сен 2010, 13:33
Контактная информация:

Re: Астериск - попытки взлома, как посоветуете настроить защ

Сообщение zzuz »

Если уж сервер открыт , то для начала .
PRIME_BBCODE_SPOILER_SHOW PRIME_BBCODE_SPOILER:
iptables

Код: Выделить всё

-A INPUT -p udp -m udp --dport 5060 -m string --string "REGISTER sip:" --algo bm --to 65535 -m recent --set --name VOIPREG --rsource
-A INPUT -p udp -m udp --dport 5060 -m string --string "REGISTER sip:" --algo bm --to 65535 -m recent --update --seconds 60 --hitcount 6 --rttl --name VOIPREG --rsource -j LOG --log-prefix "IPTABLES SPAMFILTER REGISTER:" --log-level 7
-A INPUT -p udp -m udp --dport 5060 -m string --string "INVITE sip:" --algo bm --to 65535 -m recent --set --name VOIPINV --rsource
-A INPUT -p udp -m udp --dport 5060 -m string --string "INVITE sip:" --algo bm --to 65535 -m recent --update --seconds 10 --hitcount 3 --rttl --name VOIPINV --rsource -j LOG --log-prefix "IPTABLES SPAMFILTER INVITE:" --log-level 7
-A INPUT -p udp -m hashlimit --hashlimit 6/sec --hashlimit-mode srcip,dstport --hashlimit-name tunnel_limit -m udp --dport 5060 -j ACCEPT 
-A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT 
/etc/fail2ban/filter.d/asterisk.conf
PRIME_BBCODE_SPOILER_SHOW PRIME_BBCODE_SPOILER:

Код: Выделить всё

[Definition]
#_daemon = asterisk
failregex = NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Wrong password
            IPTABLES SPAMFILTER:.* SRC=<HOST> .*
            NOTICE.* .*: Registration from '.*' failed for '<HOST>' - No matching peer found
            NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Username/auth name mismatch
            NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Device does not match ACL
            NOTICE.* <HOST> failed to authenticate as '.*'$
            NOTICE.* .*: No registration for peer '.*' \(from <HOST>\)
            NOTICE.* .*: Host <HOST> failed MD5 authentication for '.*' (.*)
            NOTICE.* .*: Failed to authenticate user .*@<HOST>.*
            VERBOSE.* .*:.*SIP\/<HOST>-.*Received incoming SIP connection from unknown peer.*
/etc/fail2ban/jail.local
PRIME_BBCODE_SPOILER_SHOW PRIME_BBCODE_SPOILER:

Код: Выделить всё

[DEFAULT]
ignoreip = 127.0.0.1 172.31.0.0/16 10.0.0.0/8 192.168.0.0/24
bantime = 600
findtime = 600
maxretry = 5
backend = auto

[asterisk]
enabled = true
filter = asterisk
action = iptables[name=ASTERISK, port=5060, protocol=udp]
logpath = /var/log/asterisk/full
          /var/log/iptables.log
maxretry = 10
bantime = 86400
findtime  = 120

Код: Выделить всё

sed 's/\(^local7.*\)/\1\nkern.=debug\t\t\t\t\t\t\/var\/log\/iptables.log/' -i /etc/rsyslog.conf
service rsyslog restart
service iptables restart
fail2ban-client reload
Как-то так.
Линия24 - Системы Массового Телефонного Обслуживания
Аватара пользователя
Zavr2008
Сообщения: 2211
Зарегистрирован: 27 янв 2011, 00:35
Контактная информация:

Re: Астериск - попытки взлома, как посоветуете настроить защ

Сообщение Zavr2008 »

То, что начинают сканить с учетом лимитов это новость..
С другой стороны - по тому логу в шапке видно что они добрались лишь до первой фазы - попытка обнаружения действующих username..

мне кажется, правильно пропускать инвайты по белому списку - например анализируя какое-либо поле, а остальные просто делать DROP (вообще не откликаясь).
Что думаете?
Российские E1 шлюзы Alvis. Модернизация УПАТС с E1,Подключение к ИС "Антифрод" E1 PRI/SS#7 УВР Телестор, Грифин и др..
baf
Сообщения: 43
Зарегистрирован: 07 авг 2013, 11:20

Re: Астериск - попытки взлома, как посоветуете настроить защ

Сообщение baf »

baf писал(а):Здравствуйте.

В мире звездочки новичок, имею всего 2 рабочии станции. Одна из станций работает в интернете ОС ubuntu10.04 asterisk 11.5 + freepbx 2.11 Я заметил такое вот в логах:

Код: Выделить всё

[2013-08-05 13:13:14] NOTICE[2707][C-0000003c] chan_sip.c: Failed to authenticate device 51<sip:51@мой внешний ip>;tag=2bc86a26
[2013-08-05 13:13:15] NOTICE[2707][C-0000003d] chan_sip.c: Failed to authenticate device 51<sip:51@мой внешний ip>;tag=47c28401
[2013-08-05 13:34:36] NOTICE[2707][C-0000003e] chan_sip.c: Failed to authenticate device 150<sip:150@мой внешний ip>;tag=581752be
[2013-08-05 13:34:37] NOTICE[2707][C-0000003f] chan_sip.c: Failed to authenticate device 150<sip:150@мой внешний ip>;tag=3fe1e2b1
[2013-08-05 13:35:08] NOTICE[2707][C-00000040] chan_sip.c: Failed to authenticate device 17<sip:17@мой внешний ip>;tag=12511593
[2013-08-05 13:35:09] NOTICE[2707][C-00000041] chan_sip.c: Failed to authenticate device 17<sip:17@мой внешний ip>;tag=3bf621a4
[2013-08-05 13:57:56] NOTICE[2707][C-00000042] chan_sip.c: Failed to authenticate device 16<sip:16@мой внешний ip>;tag=d5d70969
[2013-08-05 13:57:57] NOTICE[2707][C-00000043] chan_sip.c: Failed to authenticate device 16<sip:16@мой внешний ip>;tag=5e18d151
[2013-08-05 14:21:26] NOTICE[2707][C-0000004f] chan_sip.c: Failed to authenticate device 250<sip:250@мой внешний ip>;tag=dff2b8c8
[2013-08-05 14:21:27] NOTICE[2707][C-00000050] chan_sip.c: Failed to authenticate device 250<sip:250@мой внешний ip>;tag=5ecf9b49
[2013-08-05 14:24:26] NOTICE[2707][C-00000051] chan_sip.c: Failed to authenticate device 14<sip:14@мой внешний ip>;tag=bc5b5c0c
[2013-08-05 14:24:28] NOTICE[2707][C-00000052] chan_sip.c: Failed to authenticate device 14<sip:14@мой внешний ip>;tag=3c85b731
[2013-08-05 14:45:15] NOTICE[2707][C-00000053] chan_sip.c: Failed to authenticate device 400<sip:400@мой внешний ip>;tag=ac8a85fa
[2013-08-05 14:45:16] NOTICE[2707][C-00000054] chan_sip.c: Failed to authenticate device 400<sip:400@мой внешний ip>;tag=9fff85f7
[2013-08-05 15:08:35] NOTICE[2707][C-00000055] chan_sip.c: Failed to authenticate device 500<sip:500@мой внешний ip>;tag=7b3bb1ac
[2013-08-05 15:08:36] NOTICE[2707][C-00000056] chan_sip.c: Failed to authenticate device 500<sip:500@мой внешний ip>;tag=b3d8d681
[2013-08-05 15:16:01] NOTICE[2707][C-00000057] chan_sip.c: Failed to authenticate device 13<sip:13@мой внешний ip>;tag=43c099b4
[2013-08-05 15:16:03] NOTICE[2707][C-00000058] chan_sip.c: Failed to authenticate device 13<sip:13@мой внешний ip>;tag=20128d91
[2013-08-05 15:32:53] NOTICE[2707][C-00000059] chan_sip.c: Failed to authenticate device 600<sip:600@мой внешний ip>;tag=2959f65e
[2013-08-05 15:32:55] NOTICE[2707][C-0000005a] chan_sip.c: Failed to authenticate device 600<sip:600@мой внешний ip>;tag=74c7deb0
[2013-08-05 15:58:19] NOTICE[2707][C-0000005b] chan_sip.c: Failed to authenticate device 8888<sip:8888@мой внешний ip>;tag=5362e120
[2013-08-05 15:58:21] NOTICE[2707][C-0000005c] chan_sip.c: Failed to authenticate device 8888<sip:8888@мой внешний ip>;tag=1ea308b5
[2013-08-05 16:07:33] NOTICE[2707][C-0000005d] chan_sip.c: Failed to authenticate device 51<sip:51@мой внешний ip>;tag=1050a001
[2013-08-05 16:07:35] NOTICE[2707][C-0000005e] chan_sip.c: Failed to authenticate device 51<sip:51@мой внешний ip>;tag=00a1991b
[2013-08-05 16:24:23] NOTICE[2707][C-0000005f] chan_sip.c: Failed to authenticate device 2001<sip:2001@мой внешний ip>;tag=ca0729b7
[2013-08-05 16:24:24] NOTICE[2707][C-00000060] chan_sip.c: Failed to authenticate device 2001<sip:2001@мой внешний ip>;tag=38308594
[2013-08-05 16:49:56] NOTICE[2707][C-00000061] chan_sip.c: Failed to authenticate device 3001<sip:3001@мой внешний ip>;tag=920a16e0
[2013-08-05 16:49:57] NOTICE[2707][C-00000062] chan_sip.c: Failed to authenticate device 3001<sip:3001@мой внешний ip>;tag=4000f76f
Сначала я подумал меня взломали, ведь я на бубунте и внешний адрес моего модема пытается подобрать пароль. Но отснефирив это дело я понял, что адрес не модема, а гребанных палистинцев, украинцев(не всех, а то подумаете еще чего не доброго ))) и т.д. Они шлют мне sip пакет в котором указывают мойже адрес, вот жешь. Бан не сработал, т.к. У меня разрешено 3 попытки, а тут 2, да и не дало бы это результата, фаервол бы их пропускал фсе равно, т.к. Он работает на сетевом, а эта гадасть показывает уровень приложений.

В общем погуглив я нашел что нужно модефицыровать исходники chan_sip.c, что бы в лог добавлялся реальный адрес атакующего.
Но я хотел бы посоветоваться кто как борится с этой заразой, может есть еще какие способы.

П.С. Астериск 11, а такую мелочь не доработали, жалко.
В общем решение есть и оно на поверхности. Действительно в NOTICE указывается то что внутри пакета SIP. И я решил тогда эту проблему патчем для 11 астера. Но сейчас столкнувшись с этой же проблемой на 13 астере нашел для себя нормальное человеческое решение.
Оказывается разработчики не дураки))) да да, я смеюсь над собой ))))
нужно включить security так:
/etc/asterisk/logger_logfiles_additional.conf
security.log => error,notice,warning,security

и скормить этот файл fail2ban. Все, в security будут отображаться сообщения с тем ип, от которого прилетел пакет, а не то что в нем внутри. И все, бан всем непрошенным ботам гарантирован.
Блин, я немного сам в шоке от своей тупости, ну ребят дедам на этом форуме не знать такого, это не смешно. Хотя возможно вы специально не говорите людям про такие вещи.
Opensource навсегда
ded
Сообщения: 15625
Зарегистрирован: 26 авг 2010, 19:00

Re: Астериск - попытки взлома, как посоветуете настроить защ

Сообщение ded »

Вот прям реально - тут?
/etc/asterisk/logger_logfiles_additional.conf

Ну надо же!
baf
Сообщения: 43
Зарегистрирован: 07 авг 2013, 11:20

Re: Астериск - попытки взлома, как посоветуете настроить защ

Сообщение baf »

ded писал(а):Вот прям реально - тут?
/etc/asterisk/logger_logfiles_additional.conf

Ну надо же!
У меня тут, я писал не для дедов этот пост.
Opensource навсегда
ded
Сообщения: 15625
Зарегистрирован: 26 авг 2010, 19:00

Re: Астериск - попытки взлома, как посоветуете настроить защ

Сообщение ded »

Вы прям режете без ножа! :) И главное - с полным цитированием, как полагается.
Ну что же - до первого reload вам, и в добрый путь!
Аватара пользователя
Zavr2008
Сообщения: 2211
Зарегистрирован: 27 янв 2011, 00:35
Контактная информация:

Re: Астериск - попытки взлома, как посоветуете настроить защ

Сообщение Zavr2008 »

ТС некропостер с скандальными нытиковскими наклонностями))

1. в 2013 году Asterisk 11 еще мало кто ставил. Только недалекие пионэры. Он вышел лишь в конце 2012. Аналогично как версию 15 сейчас. Также документация на эту фичу на wiki появилась только в конце 2013.

2. Есть FreePBX, там уже ДАВНЫМ ДАВНО это сделано - аккурат как публично это устаканилось и всем задрало патчить.


2. Про security log писалось тут форуме не один десяток раз. Просто наберите в поиске по форуму "log security". Вам тут никто ничего не должен, не думали об этом и если не писали с 2013 года значит все подумали что решили сами.
Совесть не позволила поискать?

4. Ребята здесь обсуждали более действенные методы защиты. fail2ban сейчас вообще мало спасает.

По теме - очень действенно ловухи ставить на микротике. Например на 5060 вешаете просто правило на INPUT на этот порт, хоть там никого и нет. А сам астер вешаете на нестандартный порт. Все сканеры как правило первым делом именно 5060 треплют, ну сразу в бан и отправляете и надолго. Аналогично с другим IP, как правило меньшим по номеру (если подсеть).
Российские E1 шлюзы Alvis. Модернизация УПАТС с E1,Подключение к ИС "Антифрод" E1 PRI/SS#7 УВР Телестор, Грифин и др..
Ответить
© 2008 — 2024 Asterisk.ru
Digium, Asterisk and AsteriskNOW are registered trademarks of Digium, Inc.
Design and development by PostMet-Netzwerk GmbH