Страница 1 из 3

Астериск - попытки взлома, как посоветуете настроить защиту?

Добавлено: 07 авг 2013, 11:40
baf
Здравствуйте.

В мире звездочки новичок, имею всего 2 рабочии станции. Одна из станций работает в интернете ОС ubuntu10.04 asterisk 11.5 + freepbx 2.11 Я заметил такое вот в логах:

Код: Выделить всё

[2013-08-05 13:13:14] NOTICE[2707][C-0000003c] chan_sip.c: Failed to authenticate device 51<sip:51@мой внешний ip>;tag=2bc86a26
[2013-08-05 13:13:15] NOTICE[2707][C-0000003d] chan_sip.c: Failed to authenticate device 51<sip:51@мой внешний ip>;tag=47c28401
[2013-08-05 13:34:36] NOTICE[2707][C-0000003e] chan_sip.c: Failed to authenticate device 150<sip:150@мой внешний ip>;tag=581752be
[2013-08-05 13:34:37] NOTICE[2707][C-0000003f] chan_sip.c: Failed to authenticate device 150<sip:150@мой внешний ip>;tag=3fe1e2b1
[2013-08-05 13:35:08] NOTICE[2707][C-00000040] chan_sip.c: Failed to authenticate device 17<sip:17@мой внешний ip>;tag=12511593
[2013-08-05 13:35:09] NOTICE[2707][C-00000041] chan_sip.c: Failed to authenticate device 17<sip:17@мой внешний ip>;tag=3bf621a4
[2013-08-05 13:57:56] NOTICE[2707][C-00000042] chan_sip.c: Failed to authenticate device 16<sip:16@мой внешний ip>;tag=d5d70969
[2013-08-05 13:57:57] NOTICE[2707][C-00000043] chan_sip.c: Failed to authenticate device 16<sip:16@мой внешний ip>;tag=5e18d151
[2013-08-05 14:21:26] NOTICE[2707][C-0000004f] chan_sip.c: Failed to authenticate device 250<sip:250@мой внешний ip>;tag=dff2b8c8
[2013-08-05 14:21:27] NOTICE[2707][C-00000050] chan_sip.c: Failed to authenticate device 250<sip:250@мой внешний ip>;tag=5ecf9b49
[2013-08-05 14:24:26] NOTICE[2707][C-00000051] chan_sip.c: Failed to authenticate device 14<sip:14@мой внешний ip>;tag=bc5b5c0c
[2013-08-05 14:24:28] NOTICE[2707][C-00000052] chan_sip.c: Failed to authenticate device 14<sip:14@мой внешний ip>;tag=3c85b731
[2013-08-05 14:45:15] NOTICE[2707][C-00000053] chan_sip.c: Failed to authenticate device 400<sip:400@мой внешний ip>;tag=ac8a85fa
[2013-08-05 14:45:16] NOTICE[2707][C-00000054] chan_sip.c: Failed to authenticate device 400<sip:400@мой внешний ip>;tag=9fff85f7
[2013-08-05 15:08:35] NOTICE[2707][C-00000055] chan_sip.c: Failed to authenticate device 500<sip:500@мой внешний ip>;tag=7b3bb1ac
[2013-08-05 15:08:36] NOTICE[2707][C-00000056] chan_sip.c: Failed to authenticate device 500<sip:500@мой внешний ip>;tag=b3d8d681
[2013-08-05 15:16:01] NOTICE[2707][C-00000057] chan_sip.c: Failed to authenticate device 13<sip:13@мой внешний ip>;tag=43c099b4
[2013-08-05 15:16:03] NOTICE[2707][C-00000058] chan_sip.c: Failed to authenticate device 13<sip:13@мой внешний ip>;tag=20128d91
[2013-08-05 15:32:53] NOTICE[2707][C-00000059] chan_sip.c: Failed to authenticate device 600<sip:600@мой внешний ip>;tag=2959f65e
[2013-08-05 15:32:55] NOTICE[2707][C-0000005a] chan_sip.c: Failed to authenticate device 600<sip:600@мой внешний ip>;tag=74c7deb0
[2013-08-05 15:58:19] NOTICE[2707][C-0000005b] chan_sip.c: Failed to authenticate device 8888<sip:8888@мой внешний ip>;tag=5362e120
[2013-08-05 15:58:21] NOTICE[2707][C-0000005c] chan_sip.c: Failed to authenticate device 8888<sip:8888@мой внешний ip>;tag=1ea308b5
[2013-08-05 16:07:33] NOTICE[2707][C-0000005d] chan_sip.c: Failed to authenticate device 51<sip:51@мой внешний ip>;tag=1050a001
[2013-08-05 16:07:35] NOTICE[2707][C-0000005e] chan_sip.c: Failed to authenticate device 51<sip:51@мой внешний ip>;tag=00a1991b
[2013-08-05 16:24:23] NOTICE[2707][C-0000005f] chan_sip.c: Failed to authenticate device 2001<sip:2001@мой внешний ip>;tag=ca0729b7
[2013-08-05 16:24:24] NOTICE[2707][C-00000060] chan_sip.c: Failed to authenticate device 2001<sip:2001@мой внешний ip>;tag=38308594
[2013-08-05 16:49:56] NOTICE[2707][C-00000061] chan_sip.c: Failed to authenticate device 3001<sip:3001@мой внешний ip>;tag=920a16e0
[2013-08-05 16:49:57] NOTICE[2707][C-00000062] chan_sip.c: Failed to authenticate device 3001<sip:3001@мой внешний ip>;tag=4000f76f
Сначала я подумал меня взломали, ведь я на бубунте и внешний адрес моего модема пытается подобрать пароль. Но отснефирив это дело я понял, что адрес не модема, а гребанных палистинцев, украинцев(не всех, а то подумаете еще чего не доброго ))) и т.д. Они шлют мне sip пакет в котором указывают мойже адрес, вот жешь. Бан не сработал, т.к. У меня разрешено 3 попытки, а тут 2, да и не дало бы это результата, фаервол бы их пропускал фсе равно, т.к. Он работает на сетевом, а эта гадасть показывает уровень приложений.

В общем погуглив я нашел что нужно модефицыровать исходники chan_sip.c, что бы в лог добавлялся реальный адрес атакующего.
Но я хотел бы посоветоваться кто как борится с этой заразой, может есть еще какие способы.

П.С. Астериск 11, а такую мелочь не доработали, жалко.

Re: Астериск - попытки взлома, как посоветуете настроить защ

Добавлено: 07 авг 2013, 11:57
Sfinx
А если бы также подбирали пароль на SSH, что тоже - "OpenSSL версии 1.0.x, а такую мелочь не придумали" ? Ставьте ratelimit'ы через iptables и будет счастье.

Re: Астериск - попытки взлома, как посоветуете настроить защ

Добавлено: 07 авг 2013, 19:31
baf
Смысл первого предложения не вкурил. По поводу rate limit спасибо, обязательно сделаю и не только для сипа. Ну лимиты мне кажется тут не спасут, т.к. Судя по логам после 2 попытки делается хорошая пауза, видимо с расчетом именно на лимиты. А как гуру решают такие проблемы? Только одними лимитами?

Re: Астериск - попытки взлома, как посоветуете настроить защ

Добавлено: 07 авг 2013, 19:56
ded
Белый список.
Смысл замечания таков: если ваш сервер имеет, допустим, открытый порт SSH, то сканеры его находят, и, могут колупать потихоньку. Вы эти попытки не видите, и Вас поэтому этот факт не особенно заботит. Точно так же колупают всякие поля оргин/пароль в вэб-доступе куда либо, в открытые интерфейсы MS Windows Remote desktop, подбирают пароли к почтовым аккаунтам, и пр.А тут Вы этот процесс видите, и публично выражаете беспокойство.
Если пароли сложные - шансов их подобрать пояти нет.
Если используется вдобавок настрока на пирах
deny=0.0.0.0./0.0.0.0
permit=192.168.0.0/255.255.0.0
то ещё более надёжно.

Лекции по SIP безопасности он-лайн - нетипичная пневмония.

Re: Астериск - попытки взлома, как посоветуете настроить защ

Добавлено: 07 авг 2013, 21:00
baf
Как это не вижу, в логах ssh видно адрес атакующего, он баница темже fail2ban на n количество минут, а если повторяется то на n количество дней. То что они сканируют порты, да ради бога, а вот подбор паролей это серьезно.

Шансы подобрать пароли всегда есть, ботам всеравно сколько времени их подбирать. они будут это делать пока не подберут. permit=192.168.0.0/255.255.0.0 можно и нужно делать если клиент находится в строго определенной сети. А если он ездит по миру или по стране в которой несколько пулов, куча операторов? Смысл разрешать только локальную сеть, тогда уж вообще серверу закрыть доступ из вне и дело в шляпе.

Я чет не пойму я не на специализированный ресурс зашел? Вы и вправду только так безопасность понимаете, установкой сложного пароля? и защитой от дос атак?

Re: Астериск - попытки взлома, как посоветуете настроить защ

Добавлено: 07 авг 2013, 21:05
ded
baf писал(а):Шансы подобрать пароли всегда есть, ботам всеравно сколько времени их подбирать. они будут это делать пока не подберут.
Серьёзно так думаете?
baf писал(а):Смысл разрешать только локальную сеть, тогда уж вообще серверу закрыть доступ из вне и дело в шляпе.
Это и называется "белый список"
Я чет нихачу с Вами дискутировать, Вы сами, умнее всех умнЫх, как Ленин - живее всех живых.
P.S. Я (упреждаю) - не гуру.

Re: Астериск - попытки взлома, как посоветуете настроить защ

Добавлено: 08 авг 2013, 13:46
Diesel.spb
Давно на Habr'е писали но тоже актуально.

Re: Астериск - попытки взлома, как посоветуете настроить защ

Добавлено: 08 авг 2013, 14:12
jugatsu
Я зачем 5060 порт выставлять-то?

Re: Астериск - попытки взлома, как посоветуете настроить защ

Добавлено: 09 авг 2013, 09:14
virus_net
baf писал(а):Я чет не пойму я не на специализированный ресурс зашел? Вы и вправду только так безопасность понимаете, установкой сложного пароля? и защитой от дос атак?
Нет конечно. Мы ещё вытаскиваем патчкорды из серверов и отключаем им питание.
baf писал(а):В мире звездочки новичок
И видимо по этой причине: "гугл не известная для меня вещь." и "читать мне не охота, вы мне напишите решение для копипаста".

Re: Астериск - попытки взлома, как посоветуете настроить защ

Добавлено: 09 авг 2013, 19:54
baf
virus_net писал(а): И видимо по этой причине: "гугл не известная для меня вещь." и "читать мне не охота, вы мне напишите решение для копипаста".
Мне не решение надо было, я хотел спросить совета у людей, которые давно занимаются астером, которых я назвал гуру. Вообще через интернет делать телефонию это бред. Ни один провайдер не гарантирует доставку пакетов интернет трафика. Для этого надо брать специальные сети VOIP, в которых сигналинг 4 , а ртп(голос) 5 приоритет соответсвенно. Но мне надо, я и делаю.
Ну а в общем, я услышал что хотел примерно, возможно не то чего я ожидал, но в полне устраивает.
1.
Sfinx писал(а):Ставьте ratelimit'ы через iptables и будет счастье.
2.
jugatsu писал(а):Я зачем 5060 порт выставлять-то?
3. Ну и + то что я нашел в гугле, это менять исходники, что бы в лог падал реальный адрес третьего уровня.
Да еще есть идея через iptables логировать и кидать в отдельный лог, как только реализую и проверю напишу тут что было сделано, вдруг не я один такой и кому-то пригодится.
Всем спасибо.