First time here? Check out the FAQ!

Пожалуйста, войдите здесь. Часто задаваемые вопросы О нас
Задайте Ваш вопрос

Безопасность Asterisk

0

chansip.c:23195 handlerequestinvite: Failed to authenticate device 100<sip:100@my_ip>;tag=e85f82bb chansip.c:23195 handlerequestinvite: Failed to authenticate device 900<sip:900@my_ip>;tag=e85f82bb

Периодически идут подобные сообщения. Ни 100 ни 900 у меня номеров нету, это кто-то подбирает? и не показывается ip с которого идут запросы...

спросил Jun 26 '13

messmail Gravatar messmail
21 4 1

3 Ответа

2

/etc/syslog.conf

kern.=debug                                             /var/log/iptables.log

фаервол (тут можно подкрутить значения таймеров)

-A INPUT -p udp -m udp --dport 5060 -m string --string "REGISTER sip:" --algo bm --to 65535 -m recent --set --name VOIPREG --rsource 
-A INPUT -p udp -m udp --dport 5060 -m string --string "REGISTER sip:" --algo bm --to 65535 -m recent --update --seconds 60 --hitcount 6 --rttl --name VOIPREG --rsource -j LOG --log-prefix "IPTABLES SPAMFILTER:" --log-level 7
-A INPUT -p udp -m udp --dport 5060 -m string --string "INVITE sip:" --algo bm --to 65535 -m recent --set --name VOIPINV --rsource
-A INPUT -p udp -m udp --dport 5060 -m string --string "INVITE sip:" --algo bm --to 65535 -m recent --update --seconds 10 --hitcount 3 --rttl --name VOIPINV --rsource -j LOG --log-prefix "IPTABLES SPAMFILTER:" --log-level 7

/etc/fail2ban/filter.d/asterisk.conf

IPTABLES SPAMFILTER:.* SRC=<HOST> .*

в конфиг fail2ban для правила asterisk добавляем файл лога

logpath  = /var/log/asterisk/full
           
/var/log/iptables.log
ссылка удалить спам редактировать

ответил Jun 26 '13

zzuz Gravatar zzuz flag of Russian Federation
7174 2 6 75
http://line24.ru/

Comments

достаточно и просто блокировки по --hitcount. Подбиральщикам не интересно Вас сканить года 2 =))))

Zavr2008 (Jun 27 '13)edit

ну и только зеленые ребятишки не поставят в sip.conf строчку alwaysauthreject=yes

Zavr2008 (Jun 27 '13)edit

Я бы поспорил насчет "2 года неинтересно" . с alwaysauthreject=yes и allowguest=no клиентам приходится делать вышеописанные процедуры.--hitcount не всегда подходит , так как интенсивность звонков может давать ложные срабатывания.

zzuz (Jun 27 '13)edit

Ботам все равно сколько сканить и сколько раз их банят.

zzuz (Jun 27 '13)edit
0

астериск, и chan_sip в частности, надо патчить чтоб показовало. изменения банальные и легко гуглятся, хз чего по дефолту туда правильный IP не кладут...

ссылка удалить спам редактировать

ответил Jun 26 '13

komrad123 Gravatar komrad123
3810 5 3 44

Comments

потомучто кому надо смотрят в фаерволе. это не задача астериска отслеживать аттаки. kiss всетаки.

meral (Jun 26 '13)edit
1

выдергивать на файрволе ИП неудачной регистрации то еще занятие... никто не просит * отслеживать атаки, но писать в логи корректную инфу былоб замечательно по дефолту.

komrad123 (Jun 26 '13)edit
-2

как дополнительный совет - сразу фиксировать домен, как правило большая часть попыток подбора не использует доменное имя (почти все). Установка sip.conf domain= - хороший дополнительный слой защиты, о котором почему-то мало говорят в официальных доках, конечно не отменяет Fail2Ban. Если не используется паблик сервис то злоумышленникам сложно узнать доменное имя, если оно не прописано в обратном DNS (обычно на той стороне не бог весть какие сложные скрипты, даже о запросах обратного днса у горе-хакеров речь не идет - но лучше чтобы его не было). если конечно не будут ломать целеноправленно...

ссылка удалить спам редактировать

ответил Jun 26 '13

octopas Gravatar octopas
111 5 1 3

обновил Jun 26 '13

Comments

1

Да перебирают всё подряд и доменное имя тут вообще никакой роли не играет.

DJs3000 (Jun 26 '13)edit

если в Астере стоит ограничение по домену и доменное имя в запросе REGISTER правильно не указано подборщиком то подбор не сработает - это же очевидно. не понимаю - зачем сразу минусовать если можно сначала подумать? обычно в destination запроса REGISTER или INVITE хакеры указывают ip адреса а не домен - просто потому что они как правило его не знают... или вы не в курсе возможностей Астериска по виртуальному хостингу АТС?

octopas (Jun 26 '13)edit
1

не переживайте, у вас еще есть чуток кармы. по теме - большинство сканнеров експлуатируют уязвимости. домена не помогут, но создают проблемы некоторым теелфонам.

meral (Jun 26 '13)edit

большинство сканеров сыпят инвайтами на премиум направления в расчете на совсем уж зеленого админа у которого открыт международный транк законтаченный на контекст default (клиника) или бомбят запросами регистер тупо по словарю (таких атак довольно мало встречал). больше им ничего не надо. чтобы попасться таким нужно иметь совсем уж кривые руки... наверное только если узер введет пароль 12345 на учетке 12345 и файлтубан не успеет поймать... не говорю о переполнении буфера и прочие специфичные для конкретных версий софтсвича уязвимости или экзотика типа подделки адреса в SIP пакетах... на карму - пофиг :-) про проблему с телефонами - согласен... есть такое...

octopas (Jun 26 '13)edit

ну вам виднее,че.

meral (Jun 26 '13)edit

Разрешаем доступ к 5060 только с ип провайдера и что ещё нужно? нужна динамика лепим VPN

DJs3000 (Jun 26 '13)edit

octopas это не форум. это база знаний. если хочется повыяснять отношения - идите на базар. в ваших ответах основная проблема в том что 90% из них неверны. о чем читающий топик по ссылке из гугла не в курсе. офтопик буду удалять.

meral (Jun 26 '13)edit

бред а не ответ - я поехал мля в Китай, пытаюсь через Bria зайти к себе - какое у мя там доменное имя - одному Будде известно! Допускать регистрацию извне от permit сети 0.0.0.0 нужно ЛИШЬ ДЛЯ АККОВ, КОТОРЫЕ ГУЛЯЮТ ПО МИРУ С ДИНАМИЧЕСКИМ IP!!! и там заренее НЕ ИЗВЕСТНО, ЧТО ЗА ПРОВ!!!

Zavr2008 (Jun 27 '13)edit

присоединяюсь к минусу.

Zavr2008 (Jun 27 '13)edit

а он не это имел вв виду. он имел в виду что вы испоользуете pbx_ru.mycompany.ru когда регистрируетесь. пробелема в том, что этот "эксперт" не учел что при использовании домена будут проблемы в астериске ниже 1.8 и с некоторомы софтфонами и телефонами в люой версиии.

meral (Jun 27 '13)edit

эксперты без кавычек видимо всегда ставят в регистрации на телефонах IPшник, даже если используется DNS SRV, и меняющиеся IP через SRV запись. Нуну... Или "высоконагруженное" решение из 10 телефонов - это максимум на что сэр рассчитывает... какое уж там распределение нагрузки... Телефоны надо ставить те которые работают по стандартам и снести (или заапгрейдить) наконец устаревшее ПО - как совет...

octopas (Jun 27 '13)edit
1

конечно.а еще не ставить астриск успокойтесь,А? у меня достаточно инсталяций выше 1к пользователй.

meral (Jun 27 '13)edit

ну да, в своем ответе чел малость показал своё незнание RFC SIP.. domain ставитца глобально на весь сервак. после этого извне ФИЗИЧЕСКИ уже не зайти НИКОМУ. чел видимо не в курсе про deny=0.0.0.0/0.0.0.0 и permit=216.207.245.47/255.255.255.255.... Коль уж зашла тема: http://www.voip-info.org/wiki/view/Asterisk+sip+permit-deny-mask

Zavr2008 (Jun 28 '13)edit

м. я бы не был так категоричен насчет одного domain/realm. в последних версиях чтото меняли.

meral (Jun 28 '13)edit

Ваш ответ

Please start posting your answer anonymously - your answer will be saved within the current session and published after you log in or create a new account. Please try to give a substantial answer, for discussions, please use comments and please do remember to vote (after you log in)!
[скрыть предварительный просмотр]

Закладки и информация

Добавить закладку
2 закладки

подписаться на rss ленту новостей

Статистика

Задан: Jun 26 '13

Просмотрен: 925 раз

Обновлен: Jun 26 '13

Похожие вопросы:

Проект компании "АТС Дизайн"
Asterisk® и Digium® являются зарегистрированными торговыми марками компании Digium, Inc., США.
IP АТС Asterisk распространяется под лицензией GNU GPL.