ChallengeSent Asterisk

0

1

На PBX в журнале вижу как 27@194.247.165.16 ломится, но авторизоватся не пытается:

[Feb 22 13:07:19] SECURITY[15571]: res_security_log.c:134 security_event_cb: SecurityEvent="ChallengeSent",EventTV="1487761639-552512",Severity="Informational",Service="SIP"
,EventVersion="1",AccountID="sip:27@194.247.165.165",SessionID="0x7f01a0004a78",LocalAddress="IPV4/UDP/192.227.145.125/5060",RemoteAddress="IPV4/UDP/62.138.14.136/5077",Challenge="28d79eb2

Поэтому я не вижу собятия неуспешной авторизации и не могу заблокировать 194.247.165.16.

Проблема в том, что любому соединению указанное выше событие предшествувет:

[Feb 22 13:13:12] SECURITY[15571]: res_security_log.c:134 security_event_cb: SecurityEvent="ChallengeSent",EventTV="1487761992-861024",Severity="Informational",Service="SIP" ,EventVersion="1",AccountID="100",SessionID="0x7f01a0004a78",LocalAddress="IPV4/UDP/192.227.145.125/5060",RemoteAddress="IPV4/UDP/195.196.110.5/5060",Challenge="6b650f6b"
    -- Registered SIP '100' at 195.196.110.5:5060

Поэтому заблокировать источник не могу.

В sip.conf

allowguest=no
alwaysauthreject = yes

Да! Порт 5060 и соответственно регистрацию спрятать в туннель.
Да! Сменить порт.
но может с этим еще можно поработать?

Ссылка

←	tcpdump openvpn CentOS7 vs Debian77

проблема с сохранением данных зон BIND

→

Поэтому я не вижу собятия неуспешной авторизации и не могу заблокировать

Можно править регулярки fail2ban чтоб он блокировал по тем строкам, которые есть

alozovskoy ★★★★★
(22.02.17 14:47:31 MSK)

Ответ на: комментарий от alozovskoy 22.02.17 14:47:31 MSK

Проблема в том, что любому соединению указанное выше событие предшествувет

Поэтому заблокировать источник не могу

+
Других событий после «опасного» нет!

petav ★★★★★
(22.02.17 15:02:10 MSK) автор топика

Ссылка

Есть такой трюк, регистрируем домен и настраиваем sip domains support в sip.conf так чтобы астериск принил запросы только если домен в запросе совпадает со списком разрешенных. Потенциальный хакер знает IP адрес сервера, но не знает какой домен ему выставить в INVITE. Профит

Yur4eg ★★
(22.02.17 15:19:47 MSK)

Добавь в iptables:

-A INPUT -p udp -m multiport --dports 5060,5061 -m string --string "sipvicious" --algo bm --to 65535 -j DROP
-A INPUT -p udp -m multiport --dports 5060,5061 -m string --string "sipsak" --algo bm --to 65535 -j DROP
-A INPUT -p udp -m multiport --dports 5060,5061 -m string --string "iWar" --algo bm --to 65535 -j DROP
-A INPUT -p udp -m multiport --dports 5060,5061 -m string --string "sundayddr" --algo bm --to 65535 -j DROP
-A INPUT -p udp -m multiport --dports 5060,5061 -m string --string "sip-scan" --algo bm --to 65535 -j DROP
-A INPUT -p udp -m multiport --dports 5060,5061 -m string --string "friendly-scanner" --algo bm --to 65535 -j DROP

И 99% подобного отобьется.

Turbid ★★★★★
(22.02.17 15:25:00 MSK)

Ответ на: комментарий от Yur4eg 22.02.17 15:19:47 MSK

регистрируем домен и настраиваем sip domains

Если мы увидем другое сообщение в «SECURITY» и по нему сможем принять решение: «Не указали домен „pbx.example.com“, значит блокируем!»

Спасибо, за идею! Кстате в Fail2Ban and unauthorized invites нашел обсуждение этой же проблемы, а в конце автор «voiplinux» разместил ссылку на пример iptables Securing your asterisk server.

petav ★★★★★
(22.02.17 15:34:44 MSK) автор топика

Ссылка

Заблочить через fw

~~zgen~~ ★★★★★
(22.02.17 15:37:53 MSK)

Ответ на: комментарий от Turbid 22.02.17 15:25:00 MSK

Добавь в iptables

Добавил!

И 99% подобного отобьется.

Посмотрим...

petav ★★★★★
(22.02.17 15:40:29 MSK) автор топика

Ссылка

Ответ на: комментарий от zgen 22.02.17 15:37:53 MSK

Заблочить через fw

Что?

petav ★★★★★
(22.02.17 15:42:31 MSK) автор топика

Ссылка

Ответ на: комментарий от Turbid 22.02.17 15:25:00 MSK

iptables -A INPUT -m string --string "REGISTER sip:" --algo bm --to 65 -m hashlimit --hashlimit 4/minute --hashlimit-burst 1 --hashlimit-mode srcip,dstport --hashlimit-name sip_r_limit -j ACCEPT

Вот это тоже охладит пыл посылать регистрации.

petav ★★★★★
(22.02.17 15:55:50 MSK) автор топика

Ссылка

и не могу заблокировать 194.247.165.16

В смысла, у тебя публичный sip сервер?

~~zgen~~ ★★★★★
(22.02.17 19:53:51 MSK)

Ответ на: комментарий от zgen 22.02.17 19:53:51 MSK

В смысла, у тебя публичный sip сервер?

Пока да. Но вижу идея плохая, придется регистрации прятать в туннель ppp, вроде он у всех аппаратов есть.

petav ★★★★★
(23.02.17 07:57:52 MSK) автор топика

Ссылка

В качестве возможного решения. Посмотреть на журнал и сгурппировать события в разрезе ip за N минут. Если, кроме событий ChallengeSent других нет, пррнимаем решение, что это бот и дописываем правила iptables в бан. Вот только этот список так может увеличится, что способ может показаться не приемлемым.

petav ★★★★★
(24.02.17 15:46:19 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	tcpdump openvpn CentOS7 vs Debian77

Admin

проблема с сохранением данных зон BIND

→

Похожие темы