Чат  ::   FAQ  ::   Поиск  ::   Регистрация  ::   Вход

Астериск - попытки взлома, как посоветуете настроить защиту?

Новичком считается только что прочитавший «Астериск - будущее телефонии»
http://asterisk.ru/knowledgebase/books
и пытающийся сделать большее

Модератор: april22

Астериск - попытки взлома, как посоветуете настроить защиту?

Сообщение baf » 07 авг 2013, 11:40

Здравствуйте.

В мире звездочки новичок, имею всего 2 рабочии станции. Одна из станций работает в интернете ОС ubuntu10.04 asterisk 11.5 + freepbx 2.11 Я заметил такое вот в логах:
Код: выделить все
[2013-08-05 13:13:14] NOTICE[2707][C-0000003c] chan_sip.c: Failed to authenticate device 51<sip:51@мой внешний ip>;tag=2bc86a26
[2013-08-05 13:13:15] NOTICE[2707][C-0000003d] chan_sip.c: Failed to authenticate device 51<sip:51@мой внешний ip>;tag=47c28401
[2013-08-05 13:34:36] NOTICE[2707][C-0000003e] chan_sip.c: Failed to authenticate device 150<sip:150@мой внешний ip>;tag=581752be
[2013-08-05 13:34:37] NOTICE[2707][C-0000003f] chan_sip.c: Failed to authenticate device 150<sip:150@мой внешний ip>;tag=3fe1e2b1
[2013-08-05 13:35:08] NOTICE[2707][C-00000040] chan_sip.c: Failed to authenticate device 17<sip:17@мой внешний ip>;tag=12511593
[2013-08-05 13:35:09] NOTICE[2707][C-00000041] chan_sip.c: Failed to authenticate device 17<sip:17@мой внешний ip>;tag=3bf621a4
[2013-08-05 13:57:56] NOTICE[2707][C-00000042] chan_sip.c: Failed to authenticate device 16<sip:16@мой внешний ip>;tag=d5d70969
[2013-08-05 13:57:57] NOTICE[2707][C-00000043] chan_sip.c: Failed to authenticate device 16<sip:16@мой внешний ip>;tag=5e18d151
[2013-08-05 14:21:26] NOTICE[2707][C-0000004f] chan_sip.c: Failed to authenticate device 250<sip:250@мой внешний ip>;tag=dff2b8c8
[2013-08-05 14:21:27] NOTICE[2707][C-00000050] chan_sip.c: Failed to authenticate device 250<sip:250@мой внешний ip>;tag=5ecf9b49
[2013-08-05 14:24:26] NOTICE[2707][C-00000051] chan_sip.c: Failed to authenticate device 14<sip:14@мой внешний ip>;tag=bc5b5c0c
[2013-08-05 14:24:28] NOTICE[2707][C-00000052] chan_sip.c: Failed to authenticate device 14<sip:14@мой внешний ip>;tag=3c85b731
[2013-08-05 14:45:15] NOTICE[2707][C-00000053] chan_sip.c: Failed to authenticate device 400<sip:400@мой внешний ip>;tag=ac8a85fa
[2013-08-05 14:45:16] NOTICE[2707][C-00000054] chan_sip.c: Failed to authenticate device 400<sip:400@мой внешний ip>;tag=9fff85f7
[2013-08-05 15:08:35] NOTICE[2707][C-00000055] chan_sip.c: Failed to authenticate device 500<sip:500@мой внешний ip>;tag=7b3bb1ac
[2013-08-05 15:08:36] NOTICE[2707][C-00000056] chan_sip.c: Failed to authenticate device 500<sip:500@мой внешний ip>;tag=b3d8d681
[2013-08-05 15:16:01] NOTICE[2707][C-00000057] chan_sip.c: Failed to authenticate device 13<sip:13@мой внешний ip>;tag=43c099b4
[2013-08-05 15:16:03] NOTICE[2707][C-00000058] chan_sip.c: Failed to authenticate device 13<sip:13@мой внешний ip>;tag=20128d91
[2013-08-05 15:32:53] NOTICE[2707][C-00000059] chan_sip.c: Failed to authenticate device 600<sip:600@мой внешний ip>;tag=2959f65e
[2013-08-05 15:32:55] NOTICE[2707][C-0000005a] chan_sip.c: Failed to authenticate device 600<sip:600@мой внешний ip>;tag=74c7deb0
[2013-08-05 15:58:19] NOTICE[2707][C-0000005b] chan_sip.c: Failed to authenticate device 8888<sip:8888@мой внешний ip>;tag=5362e120
[2013-08-05 15:58:21] NOTICE[2707][C-0000005c] chan_sip.c: Failed to authenticate device 8888<sip:8888@мой внешний ip>;tag=1ea308b5
[2013-08-05 16:07:33] NOTICE[2707][C-0000005d] chan_sip.c: Failed to authenticate device 51<sip:51@мой внешний ip>;tag=1050a001
[2013-08-05 16:07:35] NOTICE[2707][C-0000005e] chan_sip.c: Failed to authenticate device 51<sip:51@мой внешний ip>;tag=00a1991b
[2013-08-05 16:24:23] NOTICE[2707][C-0000005f] chan_sip.c: Failed to authenticate device 2001<sip:2001@мой внешний ip>;tag=ca0729b7
[2013-08-05 16:24:24] NOTICE[2707][C-00000060] chan_sip.c: Failed to authenticate device 2001<sip:2001@мой внешний ip>;tag=38308594
[2013-08-05 16:49:56] NOTICE[2707][C-00000061] chan_sip.c: Failed to authenticate device 3001<sip:3001@мой внешний ip>;tag=920a16e0
[2013-08-05 16:49:57] NOTICE[2707][C-00000062] chan_sip.c: Failed to authenticate device 3001<sip:3001@мой внешний ip>;tag=4000f76f


Сначала я подумал меня взломали, ведь я на бубунте и внешний адрес моего модема пытается подобрать пароль. Но отснефирив это дело я понял, что адрес не модема, а гребанных палистинцев, украинцев(не всех, а то подумаете еще чего не доброго ))) и т.д. Они шлют мне sip пакет в котором указывают мойже адрес, вот жешь. Бан не сработал, т.к. У меня разрешено 3 попытки, а тут 2, да и не дало бы это результата, фаервол бы их пропускал фсе равно, т.к. Он работает на сетевом, а эта гадасть показывает уровень приложений.

В общем погуглив я нашел что нужно модефицыровать исходники chan_sip.c, что бы в лог добавлялся реальный адрес атакующего.
Но я хотел бы посоветоваться кто как борится с этой заразой, может есть еще какие способы.

П.С. Астериск 11, а такую мелочь не доработали, жалко.
Opensource навсегда
baf
 
Сообщений: 43
Зарегистрирован: 07 авг 2013, 11:20

Re: Астериск - попытки взлома, как посоветуете настроить защ

Сообщение Sfinx » 07 авг 2013, 11:57

А если бы также подбирали пароль на SSH, что тоже - "OpenSSL версии 1.0.x, а такую мелочь не придумали" ? Ставьте ratelimit'ы через iptables и будет счастье.
Rus

-----------
SfinxSoft
http://sfinxsoft.com
Аватар пользователя
Sfinx
 
Сообщений: 672
Зарегистрирован: 21 июн 2011, 23:40
Откуда: Odessa

Re: Астериск - попытки взлома, как посоветуете настроить защ

Сообщение baf » 07 авг 2013, 19:31

Смысл первого предложения не вкурил. По поводу rate limit спасибо, обязательно сделаю и не только для сипа. Ну лимиты мне кажется тут не спасут, т.к. Судя по логам после 2 попытки делается хорошая пауза, видимо с расчетом именно на лимиты. А как гуру решают такие проблемы? Только одними лимитами?
Opensource навсегда
baf
 
Сообщений: 43
Зарегистрирован: 07 авг 2013, 11:20

Re: Астериск - попытки взлома, как посоветуете настроить защ

Сообщение ded » 07 авг 2013, 19:56

Белый список.
Смысл замечания таков: если ваш сервер имеет, допустим, открытый порт SSH, то сканеры его находят, и, могут колупать потихоньку. Вы эти попытки не видите, и Вас поэтому этот факт не особенно заботит. Точно так же колупают всякие поля оргин/пароль в вэб-доступе куда либо, в открытые интерфейсы MS Windows Remote desktop, подбирают пароли к почтовым аккаунтам, и пр.А тут Вы этот процесс видите, и публично выражаете беспокойство.
Если пароли сложные - шансов их подобрать пояти нет.
Если используется вдобавок настрока на пирах
deny=0.0.0.0./0.0.0.0
permit=192.168.0.0/255.255.0.0
то ещё более надёжно.

Лекции по SIP безопасности он-лайн - нетипичная пневмония.
ded
 
Сообщений: 13340
Зарегистрирован: 26 авг 2010, 19:00

Re: Астериск - попытки взлома, как посоветуете настроить защ

Сообщение baf » 07 авг 2013, 21:00

Как это не вижу, в логах ssh видно адрес атакующего, он баница темже fail2ban на n количество минут, а если повторяется то на n количество дней. То что они сканируют порты, да ради бога, а вот подбор паролей это серьезно.

Шансы подобрать пароли всегда есть, ботам всеравно сколько времени их подбирать. они будут это делать пока не подберут. permit=192.168.0.0/255.255.0.0 можно и нужно делать если клиент находится в строго определенной сети. А если он ездит по миру или по стране в которой несколько пулов, куча операторов? Смысл разрешать только локальную сеть, тогда уж вообще серверу закрыть доступ из вне и дело в шляпе.

Я чет не пойму я не на специализированный ресурс зашел? Вы и вправду только так безопасность понимаете, установкой сложного пароля? и защитой от дос атак?
Opensource навсегда
baf
 
Сообщений: 43
Зарегистрирован: 07 авг 2013, 11:20

Re: Астериск - попытки взлома, как посоветуете настроить защ

Сообщение ded » 07 авг 2013, 21:05

baf писал(а):Шансы подобрать пароли всегда есть, ботам всеравно сколько времени их подбирать. они будут это делать пока не подберут.
Серьёзно так думаете?
baf писал(а):Смысл разрешать только локальную сеть, тогда уж вообще серверу закрыть доступ из вне и дело в шляпе.
Это и называется "белый список"
Я чет нихачу с Вами дискутировать, Вы сами, умнее всех умнЫх, как Ленин - живее всех живых.
P.S. Я (упреждаю) - не гуру.
ded
 
Сообщений: 13340
Зарегистрирован: 26 авг 2010, 19:00

Re: Астериск - попытки взлома, как посоветуете настроить защ

Сообщение Diesel.spb » 08 авг 2013, 13:46

Давно на Habr'е писали но тоже актуально.
Diesel.spb
 
Сообщений: 23
Зарегистрирован: 08 авг 2013, 11:06

Re: Астериск - попытки взлома, как посоветуете настроить защ

Сообщение jugatsu » 08 авг 2013, 14:12

Я зачем 5060 порт выставлять-то?
jugatsu
 
Сообщений: 298
Зарегистрирован: 31 май 2011, 15:56

Re: Астериск - попытки взлома, как посоветуете настроить защ

Сообщение virus_net » 09 авг 2013, 09:14

baf писал(а):Я чет не пойму я не на специализированный ресурс зашел? Вы и вправду только так безопасность понимаете, установкой сложного пароля? и защитой от дос атак?

Нет конечно. Мы ещё вытаскиваем патчкорды из серверов и отключаем им питание.

baf писал(а):В мире звездочки новичок

И видимо по этой причине: "гугл не известная для меня вещь." и "читать мне не охота, вы мне напишите решение для копипаста".
мой SIP URI sip:virus_net@asterisk.ru или sip:dn@postmet.com
bitname.ru - Домены .bit (namecoin) .emc .coin .lib .bazar (emercoin)

ENUMER - звони бесплатно и напрямую.
Аватар пользователя
virus_net
 
Сообщений: 2206
Зарегистрирован: 05 июн 2013, 08:12
Откуда: Москва

Re: Астериск - попытки взлома, как посоветуете настроить защ

Сообщение baf » 09 авг 2013, 19:54

virus_net писал(а):И видимо по этой причине: "гугл не известная для меня вещь." и "читать мне не охота, вы мне напишите решение для копипаста".

Мне не решение надо было, я хотел спросить совета у людей, которые давно занимаются астером, которых я назвал гуру. Вообще через интернет делать телефонию это бред. Ни один провайдер не гарантирует доставку пакетов интернет трафика. Для этого надо брать специальные сети VOIP, в которых сигналинг 4 , а ртп(голос) 5 приоритет соответсвенно. Но мне надо, я и делаю.
Ну а в общем, я услышал что хотел примерно, возможно не то чего я ожидал, но в полне устраивает.
1.
Sfinx писал(а):Ставьте ratelimit'ы через iptables и будет счастье.

2.
jugatsu писал(а):Я зачем 5060 порт выставлять-то?

3. Ну и + то что я нашел в гугле, это менять исходники, что бы в лог падал реальный адрес третьего уровня.
Да еще есть идея через iptables логировать и кидать в отдельный лог, как только реализую и проверю напишу тут что было сделано, вдруг не я один такой и кому-то пригодится.
Всем спасибо.
Opensource навсегда
baf
 
Сообщений: 43
Зарегистрирован: 07 авг 2013, 11:20

След.

Вернуться в Вопросы новичков

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 6

© 2008 — 2018 Asterisk.ru
Digium, Asterisk and AsteriskNOW are registered trademarks of Digium, Inc.
Design and development by PostMet-Netzwerk GmbH