Страница 2 из 3
Re: Астериск - попытки взлома, как посоветуете настроить защ
Добавлено: 09 авг 2013, 20:12
ded
baf писал(а): Вообще через интернет делать телефонию это бред. Ни один провайдер не гарантирует доставку пакетов интернет трафика. Для этого надо брать специальные сети VOIP, в которых сигналинг 4 , а ртп(голос) 5 приоритет соответсвенно.
Хорошо, что я не знал этого последние 12 лет, и смог заниматься этим на таком качестве, что клиенты к нам, а не мы ищем клиентов.
Что же говорить про бедных транзитчиков, которые за 3 копейки направление покупают, за 3,5 - продают, переваливая трафик тоннами, и кое-как сводя концы с концами?
Re: Астериск - попытки взлома, как посоветуете настроить защ
Добавлено: 09 авг 2013, 22:02
zzuz
После таких речей , мне кажется , автор и есть гуру. А спрашивает , чтобы поглумиться над нами несчастными.
Re: Астериск - попытки взлома, как посоветуете настроить защ
Добавлено: 09 авг 2013, 22:12
zzuz
Если уж сервер открыт , то для начала .
iptables
Код: Выделить всё
-A INPUT -p udp -m udp --dport 5060 -m string --string "REGISTER sip:" --algo bm --to 65535 -m recent --set --name VOIPREG --rsource
-A INPUT -p udp -m udp --dport 5060 -m string --string "REGISTER sip:" --algo bm --to 65535 -m recent --update --seconds 60 --hitcount 6 --rttl --name VOIPREG --rsource -j LOG --log-prefix "IPTABLES SPAMFILTER REGISTER:" --log-level 7
-A INPUT -p udp -m udp --dport 5060 -m string --string "INVITE sip:" --algo bm --to 65535 -m recent --set --name VOIPINV --rsource
-A INPUT -p udp -m udp --dport 5060 -m string --string "INVITE sip:" --algo bm --to 65535 -m recent --update --seconds 10 --hitcount 3 --rttl --name VOIPINV --rsource -j LOG --log-prefix "IPTABLES SPAMFILTER INVITE:" --log-level 7
-A INPUT -p udp -m hashlimit --hashlimit 6/sec --hashlimit-mode srcip,dstport --hashlimit-name tunnel_limit -m udp --dport 5060 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
/etc/fail2ban/filter.d/asterisk.conf
Код: Выделить всё
[Definition]
#_daemon = asterisk
failregex = NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Wrong password
IPTABLES SPAMFILTER:.* SRC=<HOST> .*
NOTICE.* .*: Registration from '.*' failed for '<HOST>' - No matching peer found
NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Username/auth name mismatch
NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Device does not match ACL
NOTICE.* <HOST> failed to authenticate as '.*'$
NOTICE.* .*: No registration for peer '.*' \(from <HOST>\)
NOTICE.* .*: Host <HOST> failed MD5 authentication for '.*' (.*)
NOTICE.* .*: Failed to authenticate user .*@<HOST>.*
VERBOSE.* .*:.*SIP\/<HOST>-.*Received incoming SIP connection from unknown peer.*
/etc/fail2ban/jail.local
Код: Выделить всё
[DEFAULT]
ignoreip = 127.0.0.1 172.31.0.0/16 10.0.0.0/8 192.168.0.0/24
bantime = 600
findtime = 600
maxretry = 5
backend = auto
[asterisk]
enabled = true
filter = asterisk
action = iptables[name=ASTERISK, port=5060, protocol=udp]
logpath = /var/log/asterisk/full
/var/log/iptables.log
maxretry = 10
bantime = 86400
findtime = 120
Код: Выделить всё
sed 's/\(^local7.*\)/\1\nkern.=debug\t\t\t\t\t\t\/var\/log\/iptables.log/' -i /etc/rsyslog.conf
service rsyslog restart
service iptables restart
fail2ban-client reload
Как-то так.
Re: Астериск - попытки взлома, как посоветуете настроить защ
Добавлено: 09 авг 2013, 23:40
ded
Re: Астериск - попытки взлома, как посоветуете настроить защ
Добавлено: 10 авг 2013, 20:33
Zavr2008
То, что начинают сканить с учетом лимитов это новость..
С другой стороны - по тому логу в шапке видно что они добрались лишь до первой фазы - попытка обнаружения действующих username..
мне кажется, правильно пропускать инвайты по белому списку - например анализируя какое-либо поле, а остальные просто делать DROP (вообще не откликаясь).
Что думаете?
Re: Астериск - попытки взлома, как посоветуете настроить защ
Добавлено: 12 сен 2018, 12:13
baf
baf писал(а):Здравствуйте.
В мире звездочки новичок, имею всего 2 рабочии станции. Одна из станций работает в интернете ОС ubuntu10.04 asterisk 11.5 + freepbx 2.11 Я заметил такое вот в логах:
Код: Выделить всё
[2013-08-05 13:13:14] NOTICE[2707][C-0000003c] chan_sip.c: Failed to authenticate device 51<sip:51@мой внешний ip>;tag=2bc86a26
[2013-08-05 13:13:15] NOTICE[2707][C-0000003d] chan_sip.c: Failed to authenticate device 51<sip:51@мой внешний ip>;tag=47c28401
[2013-08-05 13:34:36] NOTICE[2707][C-0000003e] chan_sip.c: Failed to authenticate device 150<sip:150@мой внешний ip>;tag=581752be
[2013-08-05 13:34:37] NOTICE[2707][C-0000003f] chan_sip.c: Failed to authenticate device 150<sip:150@мой внешний ip>;tag=3fe1e2b1
[2013-08-05 13:35:08] NOTICE[2707][C-00000040] chan_sip.c: Failed to authenticate device 17<sip:17@мой внешний ip>;tag=12511593
[2013-08-05 13:35:09] NOTICE[2707][C-00000041] chan_sip.c: Failed to authenticate device 17<sip:17@мой внешний ip>;tag=3bf621a4
[2013-08-05 13:57:56] NOTICE[2707][C-00000042] chan_sip.c: Failed to authenticate device 16<sip:16@мой внешний ip>;tag=d5d70969
[2013-08-05 13:57:57] NOTICE[2707][C-00000043] chan_sip.c: Failed to authenticate device 16<sip:16@мой внешний ip>;tag=5e18d151
[2013-08-05 14:21:26] NOTICE[2707][C-0000004f] chan_sip.c: Failed to authenticate device 250<sip:250@мой внешний ip>;tag=dff2b8c8
[2013-08-05 14:21:27] NOTICE[2707][C-00000050] chan_sip.c: Failed to authenticate device 250<sip:250@мой внешний ip>;tag=5ecf9b49
[2013-08-05 14:24:26] NOTICE[2707][C-00000051] chan_sip.c: Failed to authenticate device 14<sip:14@мой внешний ip>;tag=bc5b5c0c
[2013-08-05 14:24:28] NOTICE[2707][C-00000052] chan_sip.c: Failed to authenticate device 14<sip:14@мой внешний ip>;tag=3c85b731
[2013-08-05 14:45:15] NOTICE[2707][C-00000053] chan_sip.c: Failed to authenticate device 400<sip:400@мой внешний ip>;tag=ac8a85fa
[2013-08-05 14:45:16] NOTICE[2707][C-00000054] chan_sip.c: Failed to authenticate device 400<sip:400@мой внешний ip>;tag=9fff85f7
[2013-08-05 15:08:35] NOTICE[2707][C-00000055] chan_sip.c: Failed to authenticate device 500<sip:500@мой внешний ip>;tag=7b3bb1ac
[2013-08-05 15:08:36] NOTICE[2707][C-00000056] chan_sip.c: Failed to authenticate device 500<sip:500@мой внешний ip>;tag=b3d8d681
[2013-08-05 15:16:01] NOTICE[2707][C-00000057] chan_sip.c: Failed to authenticate device 13<sip:13@мой внешний ip>;tag=43c099b4
[2013-08-05 15:16:03] NOTICE[2707][C-00000058] chan_sip.c: Failed to authenticate device 13<sip:13@мой внешний ip>;tag=20128d91
[2013-08-05 15:32:53] NOTICE[2707][C-00000059] chan_sip.c: Failed to authenticate device 600<sip:600@мой внешний ip>;tag=2959f65e
[2013-08-05 15:32:55] NOTICE[2707][C-0000005a] chan_sip.c: Failed to authenticate device 600<sip:600@мой внешний ip>;tag=74c7deb0
[2013-08-05 15:58:19] NOTICE[2707][C-0000005b] chan_sip.c: Failed to authenticate device 8888<sip:8888@мой внешний ip>;tag=5362e120
[2013-08-05 15:58:21] NOTICE[2707][C-0000005c] chan_sip.c: Failed to authenticate device 8888<sip:8888@мой внешний ip>;tag=1ea308b5
[2013-08-05 16:07:33] NOTICE[2707][C-0000005d] chan_sip.c: Failed to authenticate device 51<sip:51@мой внешний ip>;tag=1050a001
[2013-08-05 16:07:35] NOTICE[2707][C-0000005e] chan_sip.c: Failed to authenticate device 51<sip:51@мой внешний ip>;tag=00a1991b
[2013-08-05 16:24:23] NOTICE[2707][C-0000005f] chan_sip.c: Failed to authenticate device 2001<sip:2001@мой внешний ip>;tag=ca0729b7
[2013-08-05 16:24:24] NOTICE[2707][C-00000060] chan_sip.c: Failed to authenticate device 2001<sip:2001@мой внешний ip>;tag=38308594
[2013-08-05 16:49:56] NOTICE[2707][C-00000061] chan_sip.c: Failed to authenticate device 3001<sip:3001@мой внешний ip>;tag=920a16e0
[2013-08-05 16:49:57] NOTICE[2707][C-00000062] chan_sip.c: Failed to authenticate device 3001<sip:3001@мой внешний ip>;tag=4000f76f
Сначала я подумал меня взломали, ведь я на бубунте и внешний адрес моего модема пытается подобрать пароль. Но отснефирив это дело я понял, что адрес не модема, а гребанных палистинцев, украинцев(не всех, а то подумаете еще чего не доброго ))) и т.д. Они шлют мне sip пакет в котором указывают мойже адрес, вот жешь. Бан не сработал, т.к. У меня разрешено 3 попытки, а тут 2, да и не дало бы это результата, фаервол бы их пропускал фсе равно, т.к. Он работает на сетевом, а эта гадасть показывает уровень приложений.
В общем погуглив я нашел что нужно модефицыровать исходники chan_sip.c, что бы в лог добавлялся реальный адрес атакующего.
Но я хотел бы посоветоваться кто как борится с этой заразой, может есть еще какие способы.
П.С. Астериск 11, а такую мелочь не доработали, жалко.
В общем решение есть и оно на поверхности. Действительно в NOTICE указывается то что внутри пакета SIP. И я решил тогда эту проблему патчем для 11 астера. Но сейчас столкнувшись с этой же проблемой на 13 астере нашел для себя нормальное человеческое решение.
Оказывается разработчики не дураки))) да да, я смеюсь над собой ))))
нужно включить security так:
/etc/asterisk/logger_logfiles_additional.conf
security.log => error,notice,warning,security
и скормить этот файл fail2ban. Все, в security будут отображаться сообщения с тем ип, от которого прилетел пакет, а не то что в нем внутри. И все, бан всем непрошенным ботам гарантирован.
Блин, я немного сам в шоке от своей тупости, ну ребят дедам на этом форуме не знать такого, это не смешно. Хотя возможно вы специально не говорите людям про такие вещи.
Re: Астериск - попытки взлома, как посоветуете настроить защ
Добавлено: 12 сен 2018, 13:07
ded
Вот прям реально - тут?
/etc/asterisk/logger_logfiles_additional.conf
Ну надо же!
Re: Астериск - попытки взлома, как посоветуете настроить защ
Добавлено: 12 сен 2018, 13:09
baf
ded писал(а):Вот прям реально - тут?
/etc/asterisk/logger_logfiles_additional.conf
Ну надо же!
У меня тут, я писал не для дедов этот пост.
Re: Астериск - попытки взлома, как посоветуете настроить защ
Добавлено: 12 сен 2018, 17:59
ded
Вы прям режете без ножа!
И главное - с полным цитированием, как полагается.
Ну что же - до первого reload вам, и в добрый путь!
Re: Астериск - попытки взлома, как посоветуете настроить защ
Добавлено: 12 сен 2018, 21:59
Zavr2008
ТС некропостер с скандальными нытиковскими наклонностями))
1. в 2013 году Asterisk 11 еще мало кто ставил. Только недалекие пионэры. Он вышел лишь в конце 2012. Аналогично как версию 15 сейчас. Также документация на эту фичу на wiki появилась только в конце 2013.
2. Есть FreePBX, там уже ДАВНЫМ ДАВНО это сделано - аккурат как публично это устаканилось и всем задрало патчить.
2. Про security log писалось тут форуме не один десяток раз. Просто наберите в поиске по форуму "log security". Вам тут никто ничего не должен, не думали об этом и если не писали с 2013 года значит все подумали что решили сами.
Совесть не позволила поискать?
4. Ребята здесь обсуждали более действенные методы защиты. fail2ban сейчас вообще мало спасает.
По теме - очень действенно ловухи ставить на микротике. Например на 5060 вешаете просто правило на INPUT на этот порт, хоть там никого и нет. А сам астер вешаете на нестандартный порт. Все сканеры как правило первым делом именно 5060 треплют, ну сразу в бан и отправляете и надолго. Аналогично с другим IP, как правило меньшим по номеру (если подсеть).