chansip.c:23195 handlerequestinvite: Failed to authenticate device 100<sip:100@my_ip>;tag=e85f82bb chansip.c:23195 handlerequestinvite: Failed to authenticate device 900<sip:900@my_ip>;tag=e85f82bb
Периодически идут подобные сообщения. Ни 100 ни 900 у меня номеров нету, это кто-то подбирает? и не показывается ip с которого идут запросы...
/etc/syslog.conf
kern.=debug /var/log/iptables.log
фаервол (тут можно подкрутить значения таймеров)
-A INPUT -p udp -m udp --dport 5060 -m string --string "REGISTER sip:" --algo bm --to 65535 -m recent --set --name VOIPREG --rsource
-A INPUT -p udp -m udp --dport 5060 -m string --string "REGISTER sip:" --algo bm --to 65535 -m recent --update --seconds 60 --hitcount 6 --rttl --name VOIPREG --rsource -j LOG --log-prefix "IPTABLES SPAMFILTER:" --log-level 7
-A INPUT -p udp -m udp --dport 5060 -m string --string "INVITE sip:" --algo bm --to 65535 -m recent --set --name VOIPINV --rsource
-A INPUT -p udp -m udp --dport 5060 -m string --string "INVITE sip:" --algo bm --to 65535 -m recent --update --seconds 10 --hitcount 3 --rttl --name VOIPINV --rsource -j LOG --log-prefix "IPTABLES SPAMFILTER:" --log-level 7
/etc/fail2ban/filter.d/asterisk.conf
IPTABLES SPAMFILTER:.* SRC=<HOST> .*
в конфиг fail2ban для правила asterisk добавляем файл лога
logpath = /var/log/asterisk/full
/var/log/iptables.log
астериск, и chan_sip в частности, надо патчить чтоб показовало. изменения банальные и легко гуглятся, хз чего по дефолту туда правильный IP не кладут...
как дополнительный совет - сразу фиксировать домен, как правило большая часть попыток подбора не использует доменное имя (почти все). Установка sip.conf domain= - хороший дополнительный слой защиты, о котором почему-то мало говорят в официальных доках, конечно не отменяет Fail2Ban. Если не используется паблик сервис то злоумышленникам сложно узнать доменное имя, если оно не прописано в обратном DNS (обычно на той стороне не бог весть какие сложные скрипты, даже о запросах обратного днса у горе-хакеров речь не идет - но лучше чтобы его не было). если конечно не будут ломать целеноправленно...
если в Астере стоит ограничение по домену и доменное имя в запросе REGISTER правильно не указано подборщиком то подбор не сработает - это же очевидно. не понимаю - зачем сразу минусовать если можно сначала подумать? обычно в destination запроса REGISTER или INVITE хакеры указывают ip адреса а не домен - просто потому что они как правило его не знают... или вы не в курсе возможностей Астериска по виртуальному хостингу АТС?
octopas (Jun 26 '13)editбольшинство сканеров сыпят инвайтами на премиум направления в расчете на совсем уж зеленого админа у которого открыт международный транк законтаченный на контекст default (клиника) или бомбят запросами регистер тупо по словарю (таких атак довольно мало встречал). больше им ничего не надо. чтобы попасться таким нужно иметь совсем уж кривые руки... наверное только если узер введет пароль 12345 на учетке 12345 и файлтубан не успеет поймать... не говорю о переполнении буфера и прочие специфичные для конкретных версий софтсвича уязвимости или экзотика типа подделки адреса в SIP пакетах... на карму - пофиг :-) про проблему с телефонами - согласен... есть такое...
octopas (Jun 26 '13)editбред а не ответ - я поехал мля в Китай, пытаюсь через Bria зайти к себе - какое у мя там доменное имя - одному Будде известно! Допускать регистрацию извне от permit сети 0.0.0.0 нужно ЛИШЬ ДЛЯ АККОВ, КОТОРЫЕ ГУЛЯЮТ ПО МИРУ С ДИНАМИЧЕСКИМ IP!!! и там заренее НЕ ИЗВЕСТНО, ЧТО ЗА ПРОВ!!!
Zavr2008 (Jun 27 '13)editэксперты без кавычек видимо всегда ставят в регистрации на телефонах IPшник, даже если используется DNS SRV, и меняющиеся IP через SRV запись. Нуну... Или "высоконагруженное" решение из 10 телефонов - это максимум на что сэр рассчитывает... какое уж там распределение нагрузки... Телефоны надо ставить те которые работают по стандартам и снести (или заапгрейдить) наконец устаревшее ПО - как совет...
octopas (Jun 27 '13)editну да, в своем ответе чел малость показал своё незнание RFC SIP.. domain ставитца глобально на весь сервак. после этого извне ФИЗИЧЕСКИ уже не зайти НИКОМУ. чел видимо не в курсе про deny=0.0.0.0/0.0.0.0 и permit=216.207.245.47/255.255.255.255.... Коль уж зашла тема: http://www.voip-info.org/wiki/view/Asterisk+sip+permit-deny-mask
Zavr2008 (Jun 28 '13)editЗадан: Jun 26 '13
Просмотрен: 925 раз
Обновлен: Jun 26 '13
Проект компании "АТС Дизайн"
Asterisk® и Digium® являются зарегистрированными торговыми марками компании
Digium, Inc., США.
IP АТС Asterisk распространяется под лицензией
GNU GPL.