asterisk.ru

Добрый день.
Не мог придумать как покороче тему назвать. Суть моей беды несколько не соответствует сабжу, и может быть суть её залегла глубже, чем просто Asterisk. Но надеюсь кто-то решал подобну проблему и найдёт что подсказать.

Где-то пол года наза стали активно брутфорсить мои сервера. С защитой SIP я на тот момент ещё не сталкивался, но уже довольно давно близко дружил с замечательной программой Fail2Ban, и с её помощью быстро пресёк все попытки подбора паролей.

Однако спустя где-то месяца 4 разразилась первая беда - слили трафика на 200 уе.
Логи показали что никакого подбора небыло, пришёл человек сходу зарегистрировался с правильным логином-паролем, и начал активно звонить.
Прошерстил все логи, переменял все пароли - так и не смог придумать откуда же они взяли пароль.

Проблема в том, что я не могу ограничить регистрацию по какому-то диапазону адресов, поскольку компания международная и клиенты/сотрудники разъезжают по всему миру с различными вариантами программных и аппаратных SIP-телефонов.

И стабильно, каким-то образом выдёргивают пароль где-то раз в три недели, каждый раз у кого-то нового.
Вопросов у меня, собственно, два:
1) Каким образом они умудряются раздобыть пароль? Если бы дернули с сервера, то у них бы была вся база... То что вирус вытягивает с компа - могу допустить, но последние 2 инцидента были связаны с аккаунтами, заведёнными на Linksys PAP2T.
2) Можно ли как-то такое пресечь раз и навсегда? Какие-то Best Practices

З.Ы. Рекомендации по защите SIP на этом сайте читал. Всё соответствует, за исключением тех нюансов что я описал выше - регистрация разрешена отовсюду.

VPN?

1.1) получают доступ к клиентскому девайсу, откуда вычитывают пароль напрямую, у нас такое тоже было
1.2) если это стандартный Триксбокс, то имеют доступ к аккаунтам по web access - wwwadmin + default password.
1.3) подселили жучка-древоточца в машинку уже. Который обеспечивает прямой инсайдерский доступ к /etc/asterisk
Тогда rkhunter в руки и вперёд, чистить.

2) Единый рецепт трудно найти.

1) VPN тоже мне представляется единственным 100% решенем в данном случае, но пока даже приблизительно не представляю согласятся ли всех на VPN пересаживать. Кроме того, у нас распространен в регионах Vigor, а он собака тормозит и делает огромное количество потерь в туннеле, если включено шифрование. Ну а Linksys PAP2T так и вовсе не умеет VPN
2) это не стандартный триксбокс, * собран из SVN, AMI доступен только с локалхоста, веб-интерфейс a2billing виден только из локальной сети
3) rkhunter я еще после второго раза смотрел, все три сервера чистые
4) насчёт клиентского девайса - я тоже грешу на них. Скорее всего их и брутят когда люди в разных сетях тыкают их, там же нет защиты никакой от подбора... однако же - из 4 раз, только в 2 были девайсы.

Поломанные маршрутизаторы, как известно, дают возможность снифать трафик. Найти SIP трафик и вытащить оттуда md5 пароля - для этого даже не обязательно быть человеком.
ЗЫ: готовлюсь к появлению огромного количества виндовирусов, сканящих всё и вся даже с доверенных адресов, которые можно было бы, в условиях мирного положения, занести в исключения. Идея давно витает. Но что-то китайский брат медлит. Наверное, готовит большую бомбу.
ЗЗЫ: А вот некоторые войп операторы, не буду показывать пальцем, имеют acl в 5 строк и при этом хорошо себя чувствуют. Правда, оплачивают чужие переговоры, периодически. Ну, это им по карману... пока по карману... Так что, можно просто по-другому взглянуть на проблему

chaky -

Проблема в том, что я не могу ограничить регистрацию по какому-то диапазону адресов, поскольку компания международная и клиенты/сотрудники разъезжают по всему миру с различными вариантами программных и аппаратных SIP-телефонов.

Пароль не так сложно добыть с девайса у человека кот-й подключается снаружи т.е. "где попало" . Особенно в гостинницах-отелях. ! Сидит какой нибудь админ и "развлекается". Я думаю, ваши случаи - не подбор пароля. Как правило, пароли для сетевого подключения воруют, а не подбирают.

Единственной верный способ бороться с этим - не давать международный доступ для таких абонентов. Другой доступ для "слива" трафика неинтересен.
Вот например - уехал человек куда-то , пусть подключается к местным номерам и к городу . По сути, больше ничего для работы и не надо. Остальное баловство.

+ fail2ban
+правило Permit (где это возможно)

Просто чтобы был уже в курсе -

switch писал(а):если ты получишь md5 пароля это тебе ничего не даст.

ему ничего не даст, а кулхацкеру - даст. На сегодняшний день давно уже доказаны коллизии в MD5. Говоря по-русски - совпадения. То есть два разных пароля могут хэшироваться в одинаковый хэш.
Практическое применение - огромная проиндексированная база уже готовых хэшей, но размер её вполне портабельный, потому как стоимость хранения 1 ТБ стремительно уменьшается, твёрдые диски стремительно дешевеют.
Берётся перехваченный MD5 хэш, пробивается через эту базу - получаем пароль.

http://www.nestor.minsk.by/sr/2005/04/sr50416.html
http://www.xakep.ru/post/28753/default.asp

.... по web access - wwwadmin + default password.

А ещё если станция смотрит в мир и имеет вэб доступ, то варианты проникновения через PHP inject: опеределённый РНР код в адресной строке браузера - и готово.

спасибо за предложенные варианты
1) закрыть международный трафик не выйдет, поскольку телефония в первую очередь для него и сделана
2) в мир по вебу смотрит только одна страница, и там в .htaccess прописано пускать лишь внутреннюю сеть. тоесть сам факт публичного IP у сервера врядли тут настолько критичен, скорее всего имеют именно с юзерских машин. SSH извне на сеть закрыт
3) я тоже думаю что пароли взяли в открытом виде, но не перехватыванием SIP а просто взломом железяк и вытаскиванием из конфига (с компьютеров - спайварами). буду стараться поставить пароли по 20 символов на железяках, раз 8 символов так быстро разбирают

а возникает в этом свете ещё два вопроса:
1) можно ли ограничить по юзерагенту? я-то знаю свой парк сипфонов и железяк... учитывая что * пишет юзерагент в лог, думаю fail2ban может мониторить появление левых юзерагентов и блочить айпи сходу. подумаю в этом направлении.
2) можно ли ограничить исходящие звонки не на пире, а по номеру назначения? скажем если на конкретный номер вышло 10 звонков подряд менее чем за минуту - блокировать до дальнейших разбирательств.