Asterisk: брут со своего же адреса

0

1

Здравствуйте!

Ситуация такая. Asterisk 16.5.1(debian9) с включенным fail2ban за nat(debian9). Все работает.

fail2ban-client status asterisk показывает несколько заблокированных ip адресов. В исключениях у меня несколько белых адресов, с которых подключаются к Астеру и белый ip самого шлюза. В консоли Астера появились такие сообщения:

chan_sip.c:26602 handle_request_invite: Failed to authenticate device <sip:119@мой_белый_ip> и chan_sip.c:4178 retrans_pkt: Timeout on 1549113702-585057545-1286679652 on non-critical invite transaction.

Гугл говорит, что второе сообщение - это следствие первого. Т.е. это ошибка авторизации. Где, 119 - это логин, и он меняется. Соответственно идет подбор логина и пароля. Вопросов у меня два.

1.Как такое возможно, чтобы брут с моего же адреса происходит? 2.Что с этим делать?)

За конкретные предложения я буду благодарен. Но и любому совету буду рад. Главное донесите до меня суть происходящего. Остальное накопаю сам, если что)) Спасибо.

Ссылка

←	Нужно доменное имя резолвить в разные IP для разных запросов

OpenVPN

→

за nat(debian9)

В небо, а у вас там какой-нибудь snat не присутствует в правилах?

anc ★★★★★
(20.09.19 12:23:49 MSK)

Ответ на: комментарий от anc 20.09.19 12:23:49 MSK

Присутствует. Я догадываюсь, что вы мне хотите сказать. Что у меня на уровне правил подмена адреса происходит. Но это не так. Потому что другие адреса, с которых происходит брут, отлавливаются и успешно блокируются. И в sip show peers я тоже вижу реальные адреса sip клиентов. А вот если бы происходила подмена адреса на шлюзе, то я везде бы видел адрес своего шлюза. Поправьте меня, если я ошибаюсь.

kerby ★
(20.09.19 12:39:55 MSK) автор топика

«tcpdump не бубен, а средство диагностики»

когда убедишься, что трафик действительно идёт с твоего хоста, будут рулить netstat, strace и т.д.

router ★★★★★
(20.09.19 12:44:00 MSK)

Ссылка

Ответ на: комментарий от kerby 20.09.19 12:39:55 MSK

Что у меня на уровне правил подмена адреса происходит. Но это не так. Потому что другие адреса, с которых происходит брут, отлавливаются и успешно блокируются

не вижу противоречия. правила могут быть не глобальные

router ★★★★★
(20.09.19 12:44:46 MSK)

Ссылка

мой_белый_ip - это адрес не «с» которого, а «на который»

адрес источника трафика нужно смотреть в security логах

~~paganmind~~ ★
(20.09.19 12:45:54 MSK)

Ответ на: комментарий от paganmind 20.09.19 12:45:54 MSK

Вот пример

[Sep 15 20:53:05] SECURITY[1498] res_security_log.c: SecurityEvent="ChallengeSent",EventTV="2019-09-15T20:53:05.006+0300",Severity="Informational",Service="SIP",EventVersion="1",AccountID="sip:777777@<внешний адрес>",SessionID="0x7f47481783c0",LocalAddress="IPV4/UDP/<внешний адрес>/5060",RemoteAddress="IPV4/UDP/77.247.110.105/56808",Challenge="3f1a924f"

и блокировку нужно настраивать на основании RemoteAddress этого лога

смотрите /etc/fail2ban/filter.d/asterisk.conf скорее всего там уже это всё есть

~~paganmind~~ ★
(20.09.19 12:49:08 MSK)
Последнее исправление: paganmind 20.09.19 12:52:28 MSK (всего исправлений: 1)

Ответ на: комментарий от paganmind 20.09.19 12:49:08 MSK

Все понял. Сделал еще sip set debug on. Теперь точно вижу, что нужно покрутить fail2ban.

kerby ★
(20.09.19 13:00:38 MSK) автор топика

Ответ на: комментарий от kerby 20.09.19 13:00:38 MSK

правило это есть в дефолтном дебиановском конфиге fail2ban. нужно только включить security в логах Asterisk

~~paganmind~~ ★
(20.09.19 13:12:42 MSK)
Последнее исправление: paganmind 20.09.19 13:13:12 MSK (всего исправлений: 1)

Ответ на: комментарий от paganmind 20.09.19 13:12:42 MSK

Все сделал. Всем спасибо. Тему закрываю.

kerby ★
(20.09.19 15:08:41 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Нужно доменное имя резолвить в разные IP для разных запросов

Admin

OpenVPN

→

Похожие темы