О безопасности

Основной форум.
Для опытных

Модераторы: Admins, Модераторы

edo1
Модератор
Сообщения: 394
Зарегистрирован: 23 июл 2005, 12:19

О безопасности

Сообщение edo1 » 09 авг 2010, 12:45

встретилась ссылка на наге, на мой взгляд всё по делу:
http://www.sipmarket.net/RU/news_text.aspx?id=56

из неотмеченного в статье - возможен подбор не только по словарю, но и брутфорс. по слухам, на "толстом" канале брутфорс против asterisk'а достаточно эффективен.
усугубляет проблему то, что для "железячных" sip-аккаунтов обычно выбираются недлинные цифровые пароли.

применительно к asterisk:
- в sip.conf в секции [general] прописываете "урезанный" контекст по умолчанию и/или прописываете allowguest=no;
- для тех аккаунтов, которые могут использоваться только из локальной сети, запрещаете доступ "снаружи", например

Код: Выделить всё

deny=0.0.0.0/0.0.0.0
permit=10.0.0.0/255.0.0.0
- не ленитесь ставить нормальные пароли для остальных аккаунтов;
- отключайте загрузку неиспользуемых каналов в modules.conf (список загруженных можно посмотреть, набрав в консоли core show channeltypes, имена загруженных модулей - module show).
Последний раз редактировалось edo1 10 авг 2010, 14:59, всего редактировалось 2 раза.

Link
Сообщения: 875
Зарегистрирован: 20 апр 2007, 12:24
Откуда: Ukraine, Kyiv

Сообщение Link » 10 авг 2010, 13:11

есть реальный случай который произошел примерно 1,5 мес назад. Людям наговорили в направление Словения моб. около 1500 уе.

Аватара пользователя
anest
Модератор
Сообщения: 5696
Зарегистрирован: 28 ноя 2004, 10:04

Сообщение anest » 10 авг 2010, 19:56

Fail2Ban:
http://asteriskforum.ru/viewtopic.php?t=4201

Консольный генератор "правильных" паролей:
http://asteriskforum.ru/viewtopic.php?p=8406

upd: добавил генератор паролей в Профиль

edo1
Модератор
Сообщения: 394
Зарегистрирован: 23 июл 2005, 12:19

Сообщение edo1 » 17 авг 2010, 12:10

вот ещё в подтверждение реальности проблемы:
http://forum.nag.ru/forum/index.php?showtopic=59568

EXA
Сообщения: 487
Зарегистрирован: 24 фев 2008, 17:28

Сообщение EXA » 18 авг 2010, 17:47

Честно меня всегда интересовал вопрос, вот в триксбоксе, практически без разницы какая версия (думаю вообще всё равно какая), если оставить не запароленную директорию user, считай твой сервак нагнули, заливают туды скриппты, потом всё под рутом получают доступ, меняют ps, top.... и тому подобное короче уже не найти концов, шелов не видно, пока всё руками не почистить не удалить, не поменять.
Вообще как это делается, и не кажется это странным, что триксбоксовцы (на оф сайте) оставляют директорию user открытой и чёт прямого указания такого не делать не видел я.

Аватара пользователя
anest
Модератор
Сообщения: 5696
Зарегистрирован: 28 ноя 2004, 10:04

Сообщение anest » 30 авг 2010, 00:20

в файл /etc/fail2ban/filter.d/asterisk.conf добавьте новое правило:

Код: Выделить всё

NOTICE.* .*&#58; Registration from '.*' failed for '<HOST>' - Peer is not supposed to register 

Аватара пользователя
anest
Модератор
Сообщения: 5696
Зарегистрирован: 28 ноя 2004, 10:04

Сообщение anest » 05 сен 2010, 13:11


EXA
Сообщения: 487
Зарегистрирован: 24 фев 2008, 17:28

Сообщение EXA » 08 ноя 2010, 09:25

Подскажите, на одной машине заметил, длина значимого пасса на maint 8 символов, так и задумано, или чаго-то в системе накрутилось не то (кое чаго переставлял), если да то что нужно смотреть, что бы длину увеличить?

Shurman
Сообщения: 23
Зарегистрирован: 18 фев 2010, 11:29

Сообщение Shurman » 15 ноя 2010, 17:23

Попробовав использовать fail2ban для более чем 1-2 логов, напоролся на множество граблей.
Нашёл ему более мощную и более универсальную замену: http://www.ossec.net/
Рекомендую.

Аватара пользователя
anest
Модератор
Сообщения: 5696
Зарегистрирован: 28 ноя 2004, 10:04

Сообщение anest » 17 ноя 2010, 17:51

а что за грабли, можно поподробней?

Slipp
Сообщения: 8
Зарегистрирован: 27 июл 2009, 11:24
Откуда: г. Ростов-на-Дону

Сообщение Slipp » 02 дек 2010, 12:48

Ага, подробности интересуют. Самого похачили в ноябре, звонили на кубу

Аватара пользователя
den68
Сообщения: 127
Зарегистрирован: 19 дек 2006, 01:23

Сообщение den68 » 02 дек 2010, 15:25

источник зла: http://code.google.com/p/sipvicious/

SSS
Сообщения: 68
Зарегистрирован: 27 сен 2010, 07:51

Сообщение SSS » 04 дек 2010, 21:09

Мда... штука рабочая, попробовал чпокнуть свой сервак, но fail2ban на 100-той попытке забанил айпишник. Хороший тестер. А вообще, лучше в iptables открывать только тем доступ, в ком уверен.

Аватара пользователя
anest
Модератор
Сообщения: 5696
Зарегистрирован: 28 ноя 2004, 10:04

Сообщение anest » 11 дек 2010, 03:31

почему только на сотой? или у вас машина дико тормозит или вы сами в его конфиге увеличили количество попыток. по умолчанию это 5, я рекомендую ставить 3-4. так же там есть опция как часто перечитывать файл лога, по умолчанию это 5 минут (если не ошибаюсь), можно поставить минуту. это на тот случай если с машиной у вас все в порядке и в конфиге не увеличиывли кол-во попыток - тогда должно уже быть вместо ста всего штук 20 попыток, а то и меньше.

momok
Сообщения: 64
Зарегистрирован: 08 окт 2008, 19:46

Сообщение momok » 17 дек 2010, 08:34

Последние 2 дня большой источник зла ip адрес: 184.154.126.114. fail2ban отрабатывает нормально.
Но, все же, запросы продолжаются, и за последние сутки "набрутил" на 3.86 GB нашего входящего трафика.

terminal
Сообщения: 219
Зарегистрирован: 20 ноя 2008, 13:04

Сообщение terminal » 17 дек 2010, 08:38

такой трафик в Black Hole может завернуть ваш провайдер, достаточно письма

Аватара пользователя
anest
Модератор
Сообщения: 5696
Зарегистрирован: 28 ноя 2004, 10:04

Сообщение anest » 18 дек 2010, 01:04

iptables -A INPUT -s 184.154.126.114 -j DROP

Аватара пользователя
anest
Модератор
Сообщения: 5696
Зарегистрирован: 28 ноя 2004, 10:04

Сообщение anest » 21 дек 2010, 09:19

Shurman писал(а):Попробовав использовать fail2ban для более чем 1-2 логов, напоролся на множество граблей.
anest писал(а):а что за грабли, можно поподробней?

Shurman
Сообщения: 23
Зарегистрирован: 18 фев 2010, 11:29

Сообщение Shurman » 21 дек 2010, 11:42

По поводу fail2ban

1. Пришлось править код fail2ban-а, чтобы при старте/остановке соответствующие цепочки выставлялись-удалялись с некоторой задержкой. Иначе вылезали ошибки, причём в разных местах/случаях (иногда, например, при запуске все три нужные мне цепочки создадутся, иногда - две, иногда - одна, иногда - ни одной.
2. Когда добавил три логфайла, за которыми надо следить - стало крайне криво работать само слежение - то есть тупо игнорировались записи в файлах (попадающие под регэкспы).
В общем - если следишь за одним или максимум за двумя логами - он более-менее нормально работает. Больше - уже нет.
Заменил его ossec-ом - и очень остался доволен, он и мощней, и работает надёжно.

Аватара пользователя
anest
Модератор
Сообщения: 5696
Зарегистрирован: 28 ноя 2004, 10:04

Сообщение anest » 21 дек 2010, 12:22

странно.. но спасибо всеравно.
а конфигом для астериска под ossec не поделитесь с народом?

bam
Сообщения: 3
Зарегистрирован: 24 янв 2011, 09:35

Сообщение bam » 04 фев 2011, 21:25

Подскажите какие механизмы безопасности реализованы в Asterisk.
Т.е. я скачиваю и устанавливаю Asterisk, то какие механизмы безопасности уже реализованы на исходной стадиии?

Спасибо

Аватара пользователя
anest
Модератор
Сообщения: 5696
Зарегистрирован: 28 ноя 2004, 10:04

Сообщение anest » 04 фев 2011, 22:31

раз вы скачиваете и устанавливаете Астериск, то значит и читаете документацию которая идет в пакете с ним.

Аватара пользователя
SERGII
Сообщения: 2
Зарегистрирован: 27 июн 2010, 20:11
Откуда: Одесса

Сообщение SERGII » 18 фев 2011, 14:34

Когда fail2ban ставите на свой дистр., незабывайте сразу же подправить правила logrotate,
если запускаете asterisk не из-под root'a.
Так должны выглядеть настройки /etc/logrotate.d/asterisk для asterisk'a запущенного от имени пользователя asterisk
[spoiler]/var/log/asterisk/debug /var/log/asterisk/console /var/log/asterisk/full /var/log/asterisk/messages /var/log/asterisk/*log {
weekly
missingok
rotate 52
compress
delaycompress
notifempty
create 640 asterisk asterisk
sharedscripts
postrotate
/usr/sbin/asterisk -rx 'logger reload' > /dev/null 2> /dev/null
endscript
}[/spoiler]

В статьях, которые я видел, про это не упоминается.

PS: Вообще неплохой инструмент fail2ban, но медленный - если плотность запросов очень высока, то может пропускать сверх лимита установленного в правилах.
Надо попробовать ossec. Есть у кого-то готовый рецепт ossec для астериска?

Аndy
Сообщения: 157
Зарегистрирован: 02 мар 2007, 07:45

Сообщение Аndy » 31 мар 2011, 09:09

Для версии 1.8 нужны изменения в файле /etc/fail2ban/filter.d/asterisk.conf

в строках

NOTICE.* .*: Registration from '.*' failed for '<HOST> - Wrong password
NOTICE.* .*: Registration from '.*' failed for '<HOST>' - No matching peer found
NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Username/auth name mismatch
NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Device does not match ACL
NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Peer is not supposed to register

нужно заменить '<HOST>' на '<HOST>:.*'
т.к. астериск пишет не только хост например 192.168.1.1 но и порт 192.168.1.1:5071

С этими строками еще не разбирался

NOTICE.* <HOST> failed to authenticate as '.*'$
NOTICE.* .*: No registration for peer '.*' \(from <HOST>\)
NOTICE.* .*: Host <HOST> failed MD5 authentication for '.*' (.*)
NOTICE.* .*: Failed to authenticate user .*@<HOST>.*

Может кто подскажет....

andyk74
Сообщения: 240
Зарегистрирован: 22 мар 2011, 12:25

Сообщение andyk74 » 31 мар 2011, 13:18

код на перле

делаем:
iptables -N asterisk
iptables -A INPUT -j asterisk
iptables -A FORWARD -j asterisk

Потом запускаем ip_blocker.pl. Скаснирует весь лог, так что прогон займет время.
A вообще хакают сип телефоны, одним моим знакомым назвонили на на почти 20000 евро, другим на 4000.

Так что надо смотреть также:
количество попыток набора (20 в минуту с редайлами хватит самому нервному менеджеру);
странность трафика, звонки идут в необычном для этого клиента направлении;

Надо ограничивать кол-во линий, сип акаунту обычному хватит двух (на трансферы и ожидание).

Сип телефоны ставить запароленные а не с обычным сип акаунтом (веб пароль), а то в последнем случае ломанли ребят через сип телефон, что на паблик айпи стоял с дефолтным доступом (админ/админ).

Ответить