Защита SIP

0

2

chan_sip.c:18953 handle_request_invite: Sending fake auth rejection for device <sip:192.168.5.1>

как такое возможно?

все необходимые меры и рекомендации с тематических ресурсах проделал.

и порт заблокировал в файрволе, как у них получается?

и самое интересно подбирают с подменой локального адреса.

Ссылка

←	Чудеса с сертификатами у домашнего провайдера

Восстановление документов

→

Во-первых, не понятно в чём именно проблема.
Во-вторых, не ясно что это за «все необходимые меры и рекомендации с тематических ресурсах».
В-третьих, в каком файрволле? Какой порт? Откуда? Куда? На каких интерфейсах? И так далее.

По поводу «локального адреса»... Ни про какие «локальные» и «глобальные» адреса система ничего не знает. У неё есть интерфейсы и есть маршруты. Если с интерфейса со включенным rp_filter приходит пакет с «левым» IP-адресом отправителя (то есть через этот интерфейс до данного IP маршрутов нет), то ядро этот пакет просто дропает.

Вообще, чтобы понять что у тебя происходит, нужно знать как именно у тебя всё натстроено.

Deleted
(13.11.14 18:08:24 MSK)
Последнее исправление: Deleted 13.11.14 18:09:12 MSK (всего исправлений: 1)

Ответ на: комментарий от Deleted 13.11.14 18:08:24 MSK

у меня по сути стоит политика по умолчанию дроп в трех цепочках. и на всякий случай заблокировал стандартный порт 5060 и 5061

$IPT -A INPUT -i $WAN_ADAPTER -p udp -m multiport --dports 5060,5061 -j DROP

по идеи до этого порта уже никак нельзя достучатся, а подбирать пароли так уж и тем более, это я так думал. пока в логах сегодня не уидел это

chan_sip.c:20470 handle_request_register: Registration from '<sip:10105@192.168.5.1>' failed for '192.168.5.14' - Wrong password

я знаю что это предупреждение говорит о том, что кто-то пробует, но у него не получается подключится. Брут скорей всего

но как у них получается брутить если и порт закрыт?

та и настройки самые жесткие

[general]
localnet=192.168.5.0/24
Deny=0.0.0.0/0.0.0.0
Permit=192.168.5.0/24
;call-limit=1
vmexten=*97
disallow=all
allow=alaw
allow=ulaw
allow=g729
context=from-sip-external
callerid=Unknown
notifyringing=yes
notifyhold=yes
limitonpeers=yes
tos_sip=cs3
tos_audio=ef
tos_video=af41
tcpenable=no
tlsenable=no
t38pt_udptl=yes
srvlookup=no
transfer=no
allowtransfers=yes
allowexternalinvites=no
alwaysauthreject=yes
allowguest=no

А настроено все просто сип.конф выше. правила файрвола

$IPT -F INPUT
$IPT -F OUTPUT
$IPT -F FORWARD
$IPT -F
$IPT -t nat -F
$IPT -t mangle -F
$IPT -X
$IPT -t nat -X
$IPT -t mangle -X

$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP

$IPT -A INPUT -i lo -j ACCEPT
$IPT -A INPUT -i $LAN_ADAPTER -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
$IPT -A OUTPUT -o $LAN_ADAPTER -j ACCEPT

#$IPT -A INPUT -p tcp --dport 22 -j ACCEPT

$IPT -A INPUT -s $USERNET -p tcp --dport 22 -j ACCEPT

$IPT -A INPUT -m state ! -i lo --state NEW -j DROP

$IPT -A INPUT -s 127.0.0.1/255.0.0.0 ! -i lo -j DROP

$IPT -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A OUTPUT -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPT -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

$IPT -A INPUT -m state --state INVALID -j DROP
$IPT -A FORWARD -m state --state INVALID -j DROP

$IPT -A FORWARD -i $USERNET -o $WAN_ADAPTER -j ACCEPT

$IPT -A FORWARD -i $WAN_ADAPTER -o $LAN_ADAPTER -j REJECT

#$IPT -A INPUT -p udp -m udp --dport 5060 -j ACCEPT

$IPT -A INPUT -i $WAN_ADAPTER -p udp -m multiport --dports 5060,5061 -j DROP
$IPT -A FORWARD -i $LAN_ADAPTER -o $SIPNET -p udp --dport 5060 -j ACCEPT
$IPT -A FORWARD -o $LAN_ADAPTER -i $SIPNET -p udp --dport 5060 -j ACCEPT

$IPT -A INPUT -p tcp --dport 2000 -j REJECT --reject-with tcp-reset
$IPT -A INPUT -p udp -m multiport --dports 4569,5000,4520,2727 -j REJECT


$IPT -t nat -A POSTROUTING -o $WAN_ADAPTER -s $USERNET -j MASQUERADE


$IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
$IPT -A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP


$IPT -A INPUT -p tcp -m state --state NEW --tcp-flags SYN,ACK SYN,ACK -j REJECT


$IPT -A INPUT -p tcp -m state --state NEW ! --syn -j DROP


$IPT  -A INPUT -p tcp --tcp-flags SYN,ACK SYN,ACK \
  -m state --state NEW  -j REJECT --reject-with tcp-reset
$IPT  -A INPUT -p tcp ! --syn -m state --state NEW  -j DROP
$IPT -A INPUT -p tcp  --tcp-flags SYN,ACK,FIN SYN  \
  -i $WAN_ADAPTER -m state --state NEW -m limit  --limit 30/second --limit-burst
$IPT -A INPUT -p tcp   --tcp-flags SYN,ACK,FIN SYN  \
  -i $WAN_ADAPTER -m state --state NEW  -j DROP

я наверное чего-то недопонимаю.

user2014
(13.11.14 19:21:21 MSK) автор топика

Ответ на: комментарий от user2014 13.11.14 19:21:21 MSK

я наверное чего-то недопонимаю.

все еще со своим сервером возишься?

MikeDM ★★★★★
(13.11.14 19:57:03 MSK)

Ответ на: комментарий от MikeDM 13.11.14 19:57:03 MSK

ну блин.

user2014
(13.11.14 20:14:07 MSK) автор топика

Ответ на: комментарий от MikeDM 13.11.14 19:57:03 MSK

О я понял что это за херня.

Это не попытки перебора и т. д.

я просто пароли же меняю, а на нескольких устройствах были прописаны два одинаковых номера.)) вот и астер и ругается. так как одно устройство пытается зарегестрироваться под старым паролем)))

user2014
(13.11.14 20:27:31 MSK) автор топика