Страница 1 из 1

Непонятное предупреждение в messages

Добавлено: 25 апр 2011, 09:31
gofer_k
Стоит asterisk16-1.6.2.16.1 An Open Source PBX and telephony toolkit
asterisk16-addons-1.6.2.3_2 GPL modules for the Asterisk Open Source PBX
На днях открыл доступ в инет для него и поставил fail2ban который блокирует всякие брутфорсы.
Сегодня утром гляжу среди сообщений в messages есть сообщения типа No matching peer found с этим успешно справился fail2ban и заблочил эти ip и еще сообщение вот такого плана, не совсем понимаю что это значит.
[Apr 25 04:17:20] NOTICE[1239] chan_sip.c: Sending fake auth rejection for device "asterisk" <sip:asterisk@200.159.122.21>;tag=z321RE8gBkor3
В опциях sip стоит
Always auth rejects: Yes включил так как рекомедуют для безопасности но не совсем понимаю как это работает.
Я правильно понимаю что это как раз действие этой опции?

Re: Непонятное предупреждение в messages

Добавлено: 09 июн 2011, 16:33
SolarW
+1
Такая же проблема...

Re: Непонятное предупреждение в messages

Добавлено: 09 июн 2011, 17:17
ded
fail2ban заблокировал эти ИП потому что не нашёл пиров, соответствующих этим запросам.

Как работает Always auth rejects: Yes
Если No, то на попытку сканеров пробить инфу - есть ли такой экстеншн 101 и пароль к нему Астериск ответит
SIP/2.0 403 No Such User или
SIP/2.0 404 Unknown user account
и сканер следующим шагом спросит
есть ли такой экстеншн 102 и пароль к нему? Таким образом составляется точная таблица - каки внутренние номера вообще есть на нём, и уж потом пытаться брутфорсить пароль к ним.
А когда Always auth rejects: Yes, то он на любой запрос авторизации ответит reject
Sending fake auth rejection for device "asterisk" <sip:asterisk@200.159.122.21>
типа, юзер есть, да пароль неверный. И это фейковый (фальшивый) ответ.
Тем самым затрудняет подборку паролей.

Re: Непонятное предупреждение в messages

Добавлено: 10 июн 2011, 00:28
SolarW
У меня, похоже, проблема немного другая.
На PBX'е регистрируются телефоны из двух мест:
- адреса 192.168.21.0/24 из главного офиса
- адреса 192.168.28.0/24 из удаленного офиса (маршрутизируется через VPN)
Телефоны из главного офиса нормально работают, а из удаленного перестают регистрироваться.
В настройках fail2ban'а настроено игнорить адреса 192.168.0.0/16
По iptables -v -L адреса телефонов из второго офиса не отображаются.
В логе астериска сыпется вот такое:

Код: Выделить всё

[2011-06-09 11:47:55] NOTICE[4074] chan_sip.c: Sending fake auth rejection for device "192.168.28.12" <sip:192.168.28.12@192.168.28.12>;tag=1567837234
[2011-06-09 11:47:55] NOTICE[4074] chan_sip.c: Sending fake auth rejection for device "192.168.28.12" <sip:192.168.28.12@192.168.28.12>;tag=1567837234
И так для всех адресов из удаленного офиса...

Re: Непонятное предупреждение в messages

Добавлено: 10 июн 2011, 01:04
ded
Сообщения Sending fake auth rejection for device "192.168.28.12" не относятся к fail2ban' и/или iptables.
Судя по device "192.168.28.12" <sip:192.168.28.12@192.168.28.12> устройства неправильно регистрируются, должно быть что-то типа device "SolarW" <sip:123@192.168.28.12>

Может прописаны правила sip.conf?
permit=192.168.21.0/255.255.255.0
deny=0.0.0.0/0.0.0.0

Re: Непонятное предупреждение в messages

Добавлено: 10 июн 2011, 09:42
Samael28
Пароли тоже стоит проверить.

Re: Непонятное предупреждение в messages

Добавлено: 10 июн 2011, 10:57
SolarW
Спасибо за идеи конечно, но...
Если бы это были пароли или неправильная регистрация я думаю что телефоны совсем бы не работали...
А так работают, работают и с определенного момента перестают.
Но интересный момент - если телефону сменить айпишник то он опять регистрируется.
Если это не fail2ban то какой блок основанный на IP-адресе может быть в самом астериске?

Единственное отличие бросающееся в глаза - я на телефонах в удаленном офисе сменил время перерегистрации с 3600 сек на 300.
Счас пойду смотреть на астериске какой expire стоит...

Re: Непонятное предупреждение в messages

Добавлено: 10 июн 2011, 11:08
ded
SolarW писал(а):Если это не fail2ban то какой блок основанный на IP-адресе может быть в самом астериске?
прописаны правила sip.conf?
permit=192.168.21.0/255.255.255.0
deny=0.0.0.0/0.0.0.0

Re: Непонятное предупреждение в messages

Добавлено: 10 июн 2011, 14:45
SolarW
Нет, не было прописано.
Прописал
permit=192.168.0.0/255.255.0.0
deny=0.0.0.0/0.0.0.0

Кстати сегодня не блочит.
Чувствую из-за остановленного fail2ban.
Похоже не везде прописал игнорирование 192.168.0.0/16...