Список форумов Asterisk Forum Asterisk Forum
The Asterisk Open Source PBX - Russian Community
 
 FAQFAQ   ПоискПоиск   ПользователиПользователи   ПравилаПравила   ГруппыГруппы   ИзбранноеИзбранное    LinksСсылки   РегистрацияРегистрация 
 RSSRSS   ПрофильПрофиль   Войти и проверить личные сообщения   ВходВход 

О безопасности
На страницу 1, 2, 3  След.
 
Список форумов Asterisk Forum -> Asterisk IP PBX    вывод темы на печать
Предыдущая тема :: Следующая тема  
Автор Сообщение
edo1
Модератор


Зарегистрирован:
23.07.2005
Сообщения: 394

Статус: Оффлайн 

СообщениеДобавлено: Пн Авг 09, 2010 12:45    Заголовок сообщения: О безопасности

встретилась ссылка на наге, на мой взгляд всё по делу:
http://www.sipmarket.net/RU/news_text.aspx?id=56

из неотмеченного в статье - возможен подбор не только по словарю, но и брутфорс. по слухам, на "толстом" канале брутфорс против asterisk'а достаточно эффективен.
усугубляет проблему то, что для "железячных" sip-аккаунтов обычно выбираются недлинные цифровые пароли.

применительно к asterisk:
- в sip.conf в секции [general] прописываете "урезанный" контекст по умолчанию и/или прописываете allowguest=no;
- для тех аккаунтов, которые могут использоваться только из локальной сети, запрещаете доступ "снаружи", например
Код:
deny=0.0.0.0/0.0.0.0
permit=10.0.0.0/255.0.0.0

- не ленитесь ставить нормальные пароли для остальных аккаунтов;
- отключайте загрузку неиспользуемых каналов в modules.conf (список загруженных можно посмотреть, набрав в консоли core show channeltypes, имена загруженных модулей - module show).


Последний раз редактировалось: edo1 (Вт Авг 10, 2010 14:59)
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Jabber ID
Link



Зарегистрирован:
20.04.2007
Сообщения: 871
Откуда: Ukraine, Kyiv

Статус: Оффлайн 

СообщениеДобавлено: Вт Авг 10, 2010 13:11    Заголовок сообщения:

есть реальный случай который произошел примерно 1,5 мес назад. Людям наговорили в направление Словения моб. около 1500 уе.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Skype Name
anest
Модератор


Зарегистрирован:
28.11.2004
Сообщения: 5636

Статус: Оффлайн 

СообщениеДобавлено: Вт Авг 10, 2010 19:56    Заголовок сообщения:

Fail2Ban:
http://asteriskforum.ru/viewtopic.php?t=4201

Консольный генератор "правильных" паролей:
http://asteriskforum.ru/viewtopic.php?p=8406

upd: добавил генератор паролей в Профиль
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
edo1
Модератор


Зарегистрирован:
23.07.2005
Сообщения: 394

Статус: Оффлайн 

СообщениеДобавлено: Вт Авг 17, 2010 12:10    Заголовок сообщения:

вот ещё в подтверждение реальности проблемы:
http://forum.nag.ru/forum/index.php?showtopic=59568
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Jabber ID
EXA



Зарегистрирован:
24.02.2008
Сообщения: 487

Статус: Оффлайн 

СообщениеДобавлено: Ср Авг 18, 2010 17:47    Заголовок сообщения:

Честно меня всегда интересовал вопрос, вот в триксбоксе, практически без разницы какая версия (думаю вообще всё равно какая), если оставить не запароленную директорию user, считай твой сервак нагнули, заливают туды скриппты, потом всё под рутом получают доступ, меняют ps, top.... и тому подобное короче уже не найти концов, шелов не видно, пока всё руками не почистить не удалить, не поменять.
Вообще как это делается, и не кажется это странным, что триксбоксовцы (на оф сайте) оставляют директорию user открытой и чёт прямого указания такого не делать не видел я.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
anest
Модератор


Зарегистрирован:
28.11.2004
Сообщения: 5636

Статус: Оффлайн 

СообщениеДобавлено: Пн Авг 30, 2010 00:20    Заголовок сообщения:

в файл /etc/fail2ban/filter.d/asterisk.conf добавьте новое правило:
Код:
NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Peer is not supposed to register
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
anest
Модератор


Зарегистрирован:
28.11.2004
Сообщения: 5636

Статус: Оффлайн 

СообщениеДобавлено: Вс Сен 05, 2010 13:11    Заголовок сообщения:

http://subnets.ru/blog/?p=1552
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
EXA



Зарегистрирован:
24.02.2008
Сообщения: 487

Статус: Оффлайн 

СообщениеДобавлено: Пн Ноя 08, 2010 09:25    Заголовок сообщения:

Подскажите, на одной машине заметил, длина значимого пасса на maint 8 символов, так и задумано, или чаго-то в системе накрутилось не то (кое чаго переставлял), если да то что нужно смотреть, что бы длину увеличить?
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Shurman



Зарегистрирован:
18.02.2010
Сообщения: 23

Статус: Оффлайн 

СообщениеДобавлено: Пн Ноя 15, 2010 17:23    Заголовок сообщения:

Попробовав использовать fail2ban для более чем 1-2 логов, напоролся на множество граблей.
Нашёл ему более мощную и более универсальную замену: http://www.ossec.net/
Рекомендую.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
anest
Модератор


Зарегистрирован:
28.11.2004
Сообщения: 5636

Статус: Оффлайн 

СообщениеДобавлено: Ср Ноя 17, 2010 17:51    Заголовок сообщения:

а что за грабли, можно поподробней?
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Slipp



Зарегистрирован:
27.07.2009
Сообщения: 8
Откуда: г. Ростов-на-Дону

Статус: Оффлайн 

СообщениеДобавлено: Чт Дек 02, 2010 12:48    Заголовок сообщения:

Ага, подробности интересуют. Самого похачили в ноябре, звонили на кубу
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
den68



Зарегистрирован:
19.12.2006
Сообщения: 127

Статус: Оффлайн 

СообщениеДобавлено: Чт Дек 02, 2010 15:25    Заголовок сообщения:

источник зла: http://code.google.com/p/sipvicious/
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
SSS



Зарегистрирован:
27.09.2010
Сообщения: 68

Статус: Оффлайн 

СообщениеДобавлено: Сб Дек 04, 2010 21:09    Заголовок сообщения:

Мда... штука рабочая, попробовал чпокнуть свой сервак, но fail2ban на 100-той попытке забанил айпишник. Хороший тестер. А вообще, лучше в iptables открывать только тем доступ, в ком уверен.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
anest
Модератор


Зарегистрирован:
28.11.2004
Сообщения: 5636

Статус: Оффлайн 

СообщениеДобавлено: Сб Дек 11, 2010 03:31    Заголовок сообщения:

почему только на сотой? или у вас машина дико тормозит или вы сами в его конфиге увеличили количество попыток. по умолчанию это 5, я рекомендую ставить 3-4. так же там есть опция как часто перечитывать файл лога, по умолчанию это 5 минут (если не ошибаюсь), можно поставить минуту. это на тот случай если с машиной у вас все в порядке и в конфиге не увеличиывли кол-во попыток - тогда должно уже быть вместо ста всего штук 20 попыток, а то и меньше.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
momok



Зарегистрирован:
08.10.2008
Сообщения: 64

Статус: Оффлайн 

СообщениеДобавлено: Пт Дек 17, 2010 08:34    Заголовок сообщения:

Последние 2 дня большой источник зла ip адрес: 184.154.126.114. fail2ban отрабатывает нормально.
Но, все же, запросы продолжаются, и за последние сутки "набрутил" на 3.86 GB нашего входящего трафика.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
terminal



Зарегистрирован:
20.11.2008
Сообщения: 219

Статус: Оффлайн 

СообщениеДобавлено: Пт Дек 17, 2010 08:38    Заголовок сообщения:

такой трафик в Black Hole может завернуть ваш провайдер, достаточно письма
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
anest
Модератор


Зарегистрирован:
28.11.2004
Сообщения: 5636

Статус: Оффлайн 

СообщениеДобавлено: Сб Дек 18, 2010 01:04    Заголовок сообщения:

iptables -A INPUT -s 184.154.126.114 -j DROP
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
anest
Модератор


Зарегистрирован:
28.11.2004
Сообщения: 5636

Статус: Оффлайн 

СообщениеДобавлено: Вт Дек 21, 2010 09:19    Заголовок сообщения:

Shurman писал(а):
Попробовав использовать fail2ban для более чем 1-2 логов, напоролся на множество граблей.

anest писал(а):
а что за грабли, можно поподробней?
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Shurman



Зарегистрирован:
18.02.2010
Сообщения: 23

Статус: Оффлайн 

СообщениеДобавлено: Вт Дек 21, 2010 11:42    Заголовок сообщения:

По поводу fail2ban

1. Пришлось править код fail2ban-а, чтобы при старте/остановке соответствующие цепочки выставлялись-удалялись с некоторой задержкой. Иначе вылезали ошибки, причём в разных местах/случаях (иногда, например, при запуске все три нужные мне цепочки создадутся, иногда - две, иногда - одна, иногда - ни одной.
2. Когда добавил три логфайла, за которыми надо следить - стало крайне криво работать само слежение - то есть тупо игнорировались записи в файлах (попадающие под регэкспы).
В общем - если следишь за одним или максимум за двумя логами - он более-менее нормально работает. Больше - уже нет.
Заменил его ossec-ом - и очень остался доволен, он и мощней, и работает надёжно.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
anest
Модератор


Зарегистрирован:
28.11.2004
Сообщения: 5636

Статус: Оффлайн 

СообщениеДобавлено: Вт Дек 21, 2010 12:22    Заголовок сообщения:

странно.. но спасибо всеравно.
а конфигом для астериска под ossec не поделитесь с народом?
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
bam



Зарегистрирован:
24.01.2011
Сообщения: 3

Статус: Оффлайн 

СообщениеДобавлено: Пт Фев 04, 2011 21:25    Заголовок сообщения:

Подскажите какие механизмы безопасности реализованы в Asterisk.
Т.е. я скачиваю и устанавливаю Asterisk, то какие механизмы безопасности уже реализованы на исходной стадиии?

Спасибо
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
anest
Модератор


Зарегистрирован:
28.11.2004
Сообщения: 5636

Статус: Оффлайн 

СообщениеДобавлено: Пт Фев 04, 2011 22:31    Заголовок сообщения:

раз вы скачиваете и устанавливаете Астериск, то значит и читаете документацию которая идет в пакете с ним.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
SERGII



Зарегистрирован:
27.06.2010
Сообщения: 2
Откуда: Одесса

Статус: Оффлайн 

СообщениеДобавлено: Пт Фев 18, 2011 14:34    Заголовок сообщения:

Когда fail2ban ставите на свой дистр., незабывайте сразу же подправить правила logrotate,
если запускаете asterisk не из-под root'a.
Так должны выглядеть настройки /etc/logrotate.d/asterisk для asterisk'a запущенного от имени пользователя asterisk
/var/log/asterisk/debug /var/log/asterisk/console /var/log/asterisk/full /var/log/asterisk/messages /var/log/asterisk/*log {
weekly
missingok
rotate 52
compress
delaycompress
notifempty
create 640 asterisk asterisk
sharedscripts
postrotate
/usr/sbin/asterisk -rx 'logger reload' > /dev/null 2> /dev/null
endscript
}


В статьях, которые я видел, про это не упоминается.

PS: Вообще неплохой инструмент fail2ban, но медленный - если плотность запросов очень высока, то может пропускать сверх лимита установленного в правилах.
Надо попробовать ossec. Есть у кого-то готовый рецепт ossec для астериска?
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Телефон
Аndy



Зарегистрирован:
02.03.2007
Сообщения: 157

Статус: Оффлайн 

СообщениеДобавлено: Чт Мар 31, 2011 09:09    Заголовок сообщения:

Для версии 1.8 нужны изменения в файле /etc/fail2ban/filter.d/asterisk.conf

в строках

NOTICE.* .*: Registration from '.*' failed for '<HOST> - Wrong password
NOTICE.* .*: Registration from '.*' failed for '<HOST>' - No matching peer found
NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Username/auth name mismatch
NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Device does not match ACL
NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Peer is not supposed to register

нужно заменить '<HOST>' на '<HOST>:.*'
т.к. астериск пишет не только хост например 192.168.1.1 но и порт 192.168.1.1:5071

С этими строками еще не разбирался

NOTICE.* <HOST> failed to authenticate as '.*'$
NOTICE.* .*: No registration for peer '.*' \(from <HOST>\)
NOTICE.* .*: Host <HOST> failed MD5 authentication for '.*' (.*)
NOTICE.* .*: Failed to authenticate user .*@<HOST>.*

Может кто подскажет....
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
andyk74



Зарегистрирован:
22.03.2011
Сообщения: 240

Статус: Оффлайн 

СообщениеДобавлено: Чт Мар 31, 2011 13:18    Заголовок сообщения:

код на перле

делаем:
iptables -N asterisk
iptables -A INPUT -j asterisk
iptables -A FORWARD -j asterisk

Потом запускаем ip_blocker.pl. Скаснирует весь лог, так что прогон займет время.
A вообще хакают сип телефоны, одним моим знакомым назвонили на на почти 20000 евро, другим на 4000.

Так что надо смотреть также:
количество попыток набора (20 в минуту с редайлами хватит самому нервному менеджеру);
странность трафика, звонки идут в необычном для этого клиента направлении;

Надо ограничивать кол-во линий, сип акаунту обычному хватит двух (на трансферы и ожидание).

Сип телефоны ставить запароленные а не с обычным сип акаунтом (веб пароль), а то в последнем случае ломанли ребят через сип телефон, что на паблик айпи стоял с дефолтным доступом (админ/админ).
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Список форумов Asterisk Forum -> Asterisk IP PBX На страницу 1, 2, 3  След. Ответить на тему
Страница 1 из 3

Добавить в Избранное

 
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
You cannot attach files in this forum
You cannot download files in this forum