Пожалуйста, войдите здесь. Часто задаваемые вопросы О нас
Задайте Ваш вопрос

Безопасность Asterisk

0

chansip.c:23195 handlerequestinvite: Failed to authenticate device 100<sip:100@my_ip>;tag=e85f82bb chansip.c:23195 handlerequestinvite: Failed to authenticate device 900<sip:900@my_ip>;tag=e85f82bb

Периодически идут подобные сообщения. Ни 100 ни 900 у меня номеров нету, это кто-то подбирает? и не показывается ip с которого идут запросы...

удалить закрыть спам изменить тег редактировать

спросил 2013-06-26 14:39:49 +0400

messmail Gravatar messmail
21 4 1

3 Ответа

2

/etc/syslog.conf

kern.=debug                                             /var/log/iptables.log

фаервол (тут можно подкрутить значения таймеров)

-A INPUT -p udp -m udp --dport 5060 -m string --string "REGISTER sip:" --algo bm --to 65535 -m recent --set --name VOIPREG --rsource 
-A INPUT -p udp -m udp --dport 5060 -m string --string "REGISTER sip:" --algo bm --to 65535 -m recent --update --seconds 60 --hitcount 6 --rttl --name VOIPREG --rsource -j LOG --log-prefix "IPTABLES SPAMFILTER:" --log-level 7 
-A INPUT -p udp -m udp --dport 5060 -m string --string "INVITE sip:" --algo bm --to 65535 -m recent --set --name VOIPINV --rsource 
-A INPUT -p udp -m udp --dport 5060 -m string --string "INVITE sip:" --algo bm --to 65535 -m recent --update --seconds 10 --hitcount 3 --rttl --name VOIPINV --rsource -j LOG --log-prefix "IPTABLES SPAMFILTER:" --log-level 7

/etc/fail2ban/filter.d/asterisk.conf

IPTABLES SPAMFILTER:.* SRC=<HOST> .*

в конфиг fail2ban для правила asterisk добавляем файл лога

logpath  = /var/log/asterisk/full
           /var/log/iptables.log
ссылка удалить спам редактировать

ответил 2013-06-26 15:55:36 +0400

zzuz Gravatar zzuz flag of Russian Federation
6744 2 6 69
http://line24.ru/

Comments

достаточно и просто блокировки по --hitcount. Подбиральщикам не интересно Вас сканить года 2 =))))

Zavr2008 ( 2013-06-27 16:17:03 +0400 )редактировать

ну и только зеленые ребятишки не поставят в sip.conf строчку alwaysauthreject=yes

Zavr2008 ( 2013-06-27 16:18:14 +0400 )редактировать

Я бы поспорил насчет "2 года неинтересно" . с alwaysauthreject=yes и allowguest=no клиентам приходится делать вышеописанные процедуры.--hitcount не всегда подходит , так как интенсивность звонков может давать ложные срабатывания.

zzuz ( 2013-06-27 16:30:21 +0400 )редактировать

Ботам все равно сколько сканить и сколько раз их банят.

zzuz ( 2013-06-27 16:31:04 +0400 )редактировать
0

астериск, и chan_sip в частности, надо патчить чтоб показовало. изменения банальные и легко гуглятся, хз чего по дефолту туда правильный IP не кладут...

ссылка удалить спам редактировать

ответил 2013-06-26 14:53:52 +0400

komrad123 Gravatar komrad123
3780 5 3 42

Comments

потомучто кому надо смотрят в фаерволе. это не задача астериска отслеживать аттаки. kiss всетаки.

meral ( 2013-06-26 16:22:07 +0400 )редактировать
1

выдергивать на файрволе ИП неудачной регистрации то еще занятие... никто не просит * отслеживать атаки, но писать в логи корректную инфу былоб замечательно по дефолту.

komrad123 ( 2013-06-26 17:50:54 +0400 )редактировать
-2

как дополнительный совет - сразу фиксировать домен, как правило большая часть попыток подбора не использует доменное имя (почти все). Установка sip.conf domain= - хороший дополнительный слой защиты, о котором почему-то мало говорят в официальных доках, конечно не отменяет Fail2Ban. Если не используется паблик сервис то злоумышленникам сложно узнать доменное имя, если оно не прописано в обратном DNS (обычно на той стороне не бог весть какие сложные скрипты, даже о запросах обратного днса у горе-хакеров речь не идет - но лучше чтобы его не было). если конечно не будут ломать целеноправленно...

ссылка удалить спам редактировать

ответил 2013-06-26 16:21:27 +0400

octopas Gravatar octopas
111 5 1 3

обновил 2013-06-26 16:30:11 +0400

Comments

1

Да перебирают всё подряд и доменное имя тут вообще никакой роли не играет.

DJs3000 ( 2013-06-26 17:17:15 +0400 )редактировать

если в Астере стоит ограничение по домену и доменное имя в запросе REGISTER правильно не указано подборщиком то подбор не сработает - это же очевидно. не понимаю - зачем сразу минусовать если можно сначала подумать? обычно в destination запроса REGISTER или INVITE хакеры указывают ip адреса а не домен - просто потому что они как правило его не знают... или вы не в курсе возможностей Астериска по виртуальному хостингу АТС?

octopas ( 2013-06-26 17:59:38 +0400 )редактировать
1

не переживайте, у вас еще есть чуток кармы. по теме - большинство сканнеров експлуатируют уязвимости. домена не помогут, но создают проблемы некоторым теелфонам.

meral ( 2013-06-26 19:20:33 +0400 )редактировать

большинство сканеров сыпят инвайтами на премиум направления в расчете на совсем уж зеленого админа у которого открыт международный транк законтаченный на контекст default (клиника) или бомбят запросами регистер тупо по словарю (таких атак довольно мало встречал). больше им ничего не надо. чтобы попасться таким нужно иметь совсем уж кривые руки... наверное только если узер введет пароль 12345 на учетке 12345 и файлтубан не успеет поймать... не говорю о переполнении буфера и прочие специфичные для конкретных версий софтсвича уязвимости или экзотика типа подделки адреса в SIP пакетах... на карму - пофиг :-) про проблему с телефонами - согласен... есть такое...

octopas ( 2013-06-26 20:13:34 +0400 )редактировать

ну вам виднее,че.

meral ( 2013-06-26 20:38:54 +0400 )редактировать

Разрешаем доступ к 5060 только с ип провайдера и что ещё нужно? нужна динамика лепим VPN

DJs3000 ( 2013-06-27 00:30:40 +0400 )редактировать

octopas это не форум. это база знаний. если хочется повыяснять отношения - идите на базар. в ваших ответах основная проблема в том что 90% из них неверны. о чем читающий топик по ссылке из гугла не в курсе. офтопик буду удалять.

meral ( 2013-06-27 02:26:34 +0400 )редактировать

бред а не ответ - я поехал мля в Китай, пытаюсь через Bria зайти к себе - какое у мя там доменное имя - одному Будде известно! Допускать регистрацию извне от permit сети 0.0.0.0 нужно ЛИШЬ ДЛЯ АККОВ, КОТОРЫЕ ГУЛЯЮТ ПО МИРУ С ДИНАМИЧЕСКИМ IP!!! и там заренее НЕ ИЗВЕСТНО, ЧТО ЗА ПРОВ!!!

Zavr2008 ( 2013-06-27 16:21:01 +0400 )редактировать

присоединяюсь к минусу.

Zavr2008 ( 2013-06-27 16:21:13 +0400 )редактировать

а он не это имел вв виду. он имел в виду что вы испоользуете pbx_ru.mycompany.ru когда регистрируетесь. пробелема в том, что этот "эксперт" не учел что при использовании домена будут проблемы в астериске ниже 1.8 и с некоторомы софтфонами и телефонами в люой версиии.

meral ( 2013-06-27 16:27:59 +0400 )редактировать

эксперты без кавычек видимо всегда ставят в регистрации на телефонах IPшник, даже если используется DNS SRV, и меняющиеся IP через SRV запись. Нуну... Или "высоконагруженное" решение из 10 телефонов - это максимум на что сэр рассчитывает... какое уж там распределение нагрузки... Телефоны надо ставить те которые работают по стандартам и снести (или заапгрейдить) наконец устаревшее ПО - как совет...

octopas ( 2013-06-27 17:02:32 +0400 )редактировать
1

конечно.а еще не ставить астриск успокойтесь,А? у меня достаточно инсталяций выше 1к пользователй.

meral ( 2013-06-27 17:15:12 +0400 )редактировать

ну да, в своем ответе чел малость показал своё незнание RFC SIP.. domain ставитца глобально на весь сервак. после этого извне ФИЗИЧЕСКИ уже не зайти НИКОМУ. чел видимо не в курсе про deny=0.0.0.0/0.0.0.0 и permit=216.207.245.47/255.255.255.255.... Коль уж зашла тема: http://www.voip-info.org/wiki/view/Asterisk+sip+permit-deny-mask

Zavr2008 ( 2013-06-28 12:15:37 +0400 )редактировать

м. я бы не был так категоричен насчет одного domain/realm. в последних версиях чтото меняли.

meral ( 2013-06-28 12:19:13 +0400 )редактировать

Ваш ответ

Please start posting your answer anonymously - your answer will be saved within the current session and published after you log in or create a new account. Please try to give a substantial answer, for discussions, please use comments and please do remember to vote (after you log in)!
[скрыть предварительный просмотр]

Закладки и информация

Добавить закладку
2 закладки

подписаться на rss ленту новостей

Статистика

Задан: 2013-06-26 14:39:49 +0400

Просмотрен: 576 раз

Обновлен: Jun 26 '13

Похожие вопросы:

Проект компании "АТС Дизайн"
Asterisk® и Digium® являются зарегистрированными торговыми марками компании Digium, Inc., США.
IP АТС Asterisk распространяется под лицензией GNU GPL.