да уж, уто во всём не доброе, согласен, бро. Как от этого защититься?
krotish ( 2011-11-01 10:59:27 +0400 )редактироватьДоброе утро, коллеги!
Сегодня в консоли asterisk начали мелькать странные сообщения:
[Nov 1 10:03:00] NOTICE[1225]: chan_sip.c:20276 handle_request_invite: Call from '' to extension '3011442035190464' rejected because extension not found in context 'default'.
== Using SIP RTP CoS mark 5
[Nov 1 10:03:01] NOTICE[1225]: chan_sip.c:20276 handle_request_invite: Call from '' to extension '4011442035190468' rejected because extension not found in context 'default'.
== Using SIP RTP CoS mark 5
[Nov 1 10:03:02] NOTICE[1225]: chan_sip.c:20276 handle_request_invite: Call from '' to extension '5011442035190466' rejected because extension not found in context 'default'.
== Using SIP RTP CoS mark 5
[Nov 1 10:03:03] NOTICE[1225]: chan_sip.c:20276 handle_request_invite: Call from '' to extension '6011442035190465' rejected because extension not found in context 'default'.
== Using SIP RTP CoS mark 5
[Nov 1 10:03:04] NOTICE[1225]: chan_sip.c:20276 handle_request_invite: Call from '' to extension '7011442035190466' rejected because extension not found in context 'default'.
== Using SIP RTP CoS mark 5
[Nov 1 10:03:05] NOTICE[1225]: chan_sip.c:20276 handle_request_invite: Call from '' to extension '8011442035190468' rejected because extension not found in context 'default'.
== Using SIP RTP CoS mark 5
[Nov 1 10:03:06] NOTICE[1225]: chan_sip.c:20276 handle_request_invite: Call from '' to extension '+0442035190465' rejected because extension not found in context 'default'.
До этого я наблюдал только попытки перебора пароля к конкретным юзерам, однако сейчас уже — попытки звонков. Что это? Подобрали пароль? Но, тогда, к какому пользователю? И, пароли у всех юзеров стоят очень сложные пароли... Тогда что это? звонок без авторизации? но, тогда, как...
Такое утро никогда не бывает добрым...
Таки да, это попытки взлома путем изменения заголовка SIP.
да уж, уто во всём не доброе, согласен, бро. Как от этого защититься?
krotish ( 2011-11-01 10:59:27 +0400 )редактироватьТема не раз поднималась, вот последняя http://asterisk-support.ru/question/1183/kak-zashchititsia
считал, что это не одно и то же. спасибо. посмотрю.
krotish ( 2011-11-01 11:47:36 +0400 )редактироватьзащшиттиться так
1)настроить fail2ban с чтением логов iptables(средне) и сами iptables на мониторинг превышения колчиества и качества sip пакетов(в зависимости от сложности правил от среднего до експерта)
2) закрыть гостевой доступ если есть(легко)
в sip_general_custom.conf
allowguest=no
3) для гостей запретить трансфер звонков(легко)
в sip_general_custom.conf
transfer=no
но потом надо разрешать для ваших транков входящих.
Спасибо огромное за советы. хм, а можно чуть подробнее, как работает гостевой доступ к сип?
krotish ( 2011-11-01 12:42:40 +0400 )редактироватьесли выключен, то звонок с неизвестного(непрописанного) адреса отрбуается. если включен идет в ваш входящий контекст(в freepbx from-trunk). тоесть если его выключить надо все адреса провайдера прописывать, но более безопасно
meral ( 2011-11-01 13:46:23 +0400 )редактироватьа как это используется на практике? опять же, не очень понятно. Т.е. это нужно, чтобы позвонить не имея sip аккаунта на сервере?
krotish ( 2011-11-01 14:17:25 +0400 )редактироватьну вот если звонят на номер 1234556@адрес_сервера, то если включен гостевой это пройдет. а еслинет, то попросит авторизацию.
meral ( 2011-11-01 16:27:03 +0400 )редактироватьЗадан: 2011-11-01 09:59:19 +0400
Просмотрен: 4,839 раз
Обновлен: Nov 01 '11
Проект компании "АТС Дизайн"
Asterisk® и Digium® являются зарегистрированными торговыми марками компании
Digium, Inc., США.
IP АТС Asterisk распространяется под лицензией
GNU GPL.
(из моего офиса, разумеется, на эти номера никто и не пытался звонить)
krotish ( 2011-11-01 10:00:11 +0400 )редактироватьПривет Египтянам и Палестинцам.
zzuz ( 2011-11-01 12:04:28 +0400 )редактировать