Безопасность asterisk OpenWRT iptables
Добавлено: 07 дек 2017, 17:45
Здравствуйте, уважаемые гуру,
Есть свежеустановленный Asterisk11 на OpenWRT BB, всё работает, звонки ходят, голос за натом слышен во всех направлениях - короче красота.
Но! Заметил я с некоторых пор назойливые попытки левых пиплов подключиться к моей звездочке! а именно примерно так:
Dec 7 14:27:19] NOTICE[1429]: chan_sip.c:28059 handle_request_register: Registration from '"6506" <sip:6506@192.168.0.150:5060>' failed for '207.244.86.78:5069' - Wrong password
[Dec 7 14:27:20] NOTICE[1429]: chan_sip.c:28059 handle_request_register: Registration from '"3011" <sip:3011@192.168.0.150:5060>' failed for '207.244.86.78:5060' - Wrong password
[Dec 7 14:27:26] NOTICE[1429]: chan_sip.c:23554 handle_response_peerpoke: Peer '6001' is now Lagged. (2015ms / 2000ms)
[Dec 7 14:27:31] NOTICE[1429]: chan_sip.c:28059 handle_request_register: Registration from '"521" <sip:521@192.168.0.150:5060>' failed for '207.244.86.78:5081' - Wrong password
[Dec 7 14:27:32] NOTICE[1429]: chan_sip.c:28059 handle_request_register: Registration from '"86" <sip:86@192.168.0.150:5060>' failed for '207.244.86.78:5084' - Wrong password
[Dec 7 14:27:33] NOTICE[1429]: chan_sip.c:28059 handle_request_register: Registration from '"9461" <sip:9461@192.168.0.150:5060>' failed for '207.244.86.78:5089' - Wrong password
[Dec 7 14:27:34] NOTICE[1429]: chan_sip.c:28059 handle_request_register: Registration from '"5" <sip:5@192.168.0.150:5060>' failed for '93.115.28.176:5070' - Wrong password
[Dec 7 14:27:36] NOTICE[1429]: chan_sip.c:28059 handle_request_register: Registration from '"8340" <sip:8340@192.168.0.150:5060>' failed for '207.244.86.78:5080' - Wrong password
OpenWrt*CLI>
И как бы это еще полбеды - ломятся себе и ломятся... Но дело в том что иногда случается что вот эти попытки происходят не раз в 15-20 секунд как обычно, а сразу раз 30-50 в секунду. Выглядит это интересно - раз, - и весь экран в сообщениях.
Вероятно слабоват проц роутера, потому что процесс Астериска при этом не справляется и просто отваливается.
Попробовал копать в направлении fail2ban - оказалось что для OpenWRT он не существует..
попробовал копать iptables с модулем hashlimit (вычитал из этой статьи https://habrahabr.ru/post/88461/), рыл вот эти правила:
iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m hashlimit --hashlimit 1/hour --hashlimit-burst 2 --hashlimit-mode srcip --hashlimit-name SSH --hashlimit-htable-expire 60000 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -j DROP
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
заменял по аналогии порт (22 на 5060), тип протокола с tcp на udp, таблицу INPUT на FORWARD, название файла с SSH на SIP, и все это в разных сочетаниях, наблюдал за этим файлом в каталоге /proc/net/ipt_hashlimit - ничего не получается.. файл создается, но его длина всегда равна нулю, т.е. в него никогда ничего не дописывается...
Астериск у меня крутится не на входящем роутере, а на просто отдельно стоящем в сети узле- TL-WR1043nd, никаких функций роутера он не выполняет, активен только один интерфейс br-lan (eth0.1).
Годспода, поскажите как мне закрыть эту проблему?
С уважением,
Дмитрий,
нуб.
Есть свежеустановленный Asterisk11 на OpenWRT BB, всё работает, звонки ходят, голос за натом слышен во всех направлениях - короче красота.
Но! Заметил я с некоторых пор назойливые попытки левых пиплов подключиться к моей звездочке! а именно примерно так:
Dec 7 14:27:19] NOTICE[1429]: chan_sip.c:28059 handle_request_register: Registration from '"6506" <sip:6506@192.168.0.150:5060>' failed for '207.244.86.78:5069' - Wrong password
[Dec 7 14:27:20] NOTICE[1429]: chan_sip.c:28059 handle_request_register: Registration from '"3011" <sip:3011@192.168.0.150:5060>' failed for '207.244.86.78:5060' - Wrong password
[Dec 7 14:27:26] NOTICE[1429]: chan_sip.c:23554 handle_response_peerpoke: Peer '6001' is now Lagged. (2015ms / 2000ms)
[Dec 7 14:27:31] NOTICE[1429]: chan_sip.c:28059 handle_request_register: Registration from '"521" <sip:521@192.168.0.150:5060>' failed for '207.244.86.78:5081' - Wrong password
[Dec 7 14:27:32] NOTICE[1429]: chan_sip.c:28059 handle_request_register: Registration from '"86" <sip:86@192.168.0.150:5060>' failed for '207.244.86.78:5084' - Wrong password
[Dec 7 14:27:33] NOTICE[1429]: chan_sip.c:28059 handle_request_register: Registration from '"9461" <sip:9461@192.168.0.150:5060>' failed for '207.244.86.78:5089' - Wrong password
[Dec 7 14:27:34] NOTICE[1429]: chan_sip.c:28059 handle_request_register: Registration from '"5" <sip:5@192.168.0.150:5060>' failed for '93.115.28.176:5070' - Wrong password
[Dec 7 14:27:36] NOTICE[1429]: chan_sip.c:28059 handle_request_register: Registration from '"8340" <sip:8340@192.168.0.150:5060>' failed for '207.244.86.78:5080' - Wrong password
OpenWrt*CLI>
И как бы это еще полбеды - ломятся себе и ломятся... Но дело в том что иногда случается что вот эти попытки происходят не раз в 15-20 секунд как обычно, а сразу раз 30-50 в секунду. Выглядит это интересно - раз, - и весь экран в сообщениях.
Вероятно слабоват проц роутера, потому что процесс Астериска при этом не справляется и просто отваливается.
Попробовал копать в направлении fail2ban - оказалось что для OpenWRT он не существует..
попробовал копать iptables с модулем hashlimit (вычитал из этой статьи https://habrahabr.ru/post/88461/), рыл вот эти правила:
iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m hashlimit --hashlimit 1/hour --hashlimit-burst 2 --hashlimit-mode srcip --hashlimit-name SSH --hashlimit-htable-expire 60000 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -j DROP
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
заменял по аналогии порт (22 на 5060), тип протокола с tcp на udp, таблицу INPUT на FORWARD, название файла с SSH на SIP, и все это в разных сочетаниях, наблюдал за этим файлом в каталоге /proc/net/ipt_hashlimit - ничего не получается.. файл создается, но его длина всегда равна нулю, т.е. в него никогда ничего не дописывается...
Астериск у меня крутится не на входящем роутере, а на просто отдельно стоящем в сети узле- TL-WR1043nd, никаких функций роутера он не выполняет, активен только один интерфейс br-lan (eth0.1).
Годспода, поскажите как мне закрыть эту проблему?
С уважением,
Дмитрий,
нуб.