Список форумов Asterisk Forum Asterisk Forum
The Asterisk Open Source PBX - Russian Community
 
 FAQFAQ   ПоискПоиск   ПользователиПользователи   ПравилаПравила   ГруппыГруппы   ИзбранноеИзбранное    LinksСсылки   РегистрацияРегистрация 
 RSSRSS   ПрофильПрофиль   Войти и проверить личные сообщения   ВходВход 

Кто это ко мне ломится? (Sending fake auth rejection)
На страницу Пред.  1, 2, 3
 
Список форумов Asterisk Forum -> Asterisk IP PBX    вывод темы на печать
Предыдущая тема :: Следующая тема  
Автор Сообщение
koqep



Зарегистрирован:
26.01.2010
Сообщения: 221
Откуда: Челябинская обл.

Статус: Оффлайн 

СообщениеДобавлено: Вт Сен 17, 2013 10:28    Заголовок сообщения:

Я, думаю что он про другое спросил. Вопрос на подобии, не могу же я заблокировать адрес 127.0.0.1, что делать?
_________________
Jabber конференция
сервер: conference.jabber.ru
комната: asterisk
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора Skype Name Jabber ID Телефон
andrey1969



Зарегистрирован:
18.01.2010
Сообщения: 109
Откуда: 3/9 царство

Статус: Оффлайн 

СообщениеДобавлено: Пт Дек 26, 2014 21:15    Заголовок сообщения:

Астер 11.6 и фсе приблуды работают )))) ...
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
bg1



Зарегистрирован:
11.11.2010
Сообщения: 238

Статус: Оффлайн 

СообщениеДобавлено: Пн Янв 12, 2015 19:46    Заголовок сообщения:

патчик для chan_sip есть
_________________
Свежак chan_dongle тут https://github.com/bg111/asterisk-chan-dongle/
Смена IMEI Huawei E1550 E173 E1752 K3765 http://www.e1550.mobi/ от $0,3042 за IMEI
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
nikseanix



Зарегистрирован:
17.01.2015
Сообщения: 1

Статус: Оффлайн 

СообщениеДобавлено: Сб Янв 17, 2015 13:03    Заголовок сообщения:

Огромное спасибо ребята за данные советы. Хотелось бы уточнить, что при редактировании файла chan_sip.c нужно в НЕСКОЛЬКИХ местах искать и заменять нужную строку.
Мне лично помогла статья http://it-mehanika.ru/index.php?option=c ... ;Itemid=29
Только там я въехал про это. По указанным на 1 странице этого топика инструкциям не получалось, т.к. я заменял только первое найденное вхождение. А нужно было еще 2-3.
Всем спасибо! Теперь мой сервер Астериск чувствует себя лучше Smile

Asterisk 1.8.10.1
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
mr.bublik



Зарегистрирован:
18.01.2015
Сообщения: 1
Откуда: Москва

Статус: Оффлайн 

СообщениеДобавлено: Пн Янв 19, 2015 01:15    Заголовок сообщения:

О! Неужели моя статейка еще помогает? Я думал эту дыру залепили )))). Удачи в борьбе с сусликами-партизанами.
Вот как можно ставить астериск из репозитария (убунта, дебиан). Я надеялся закроют дыру. Сурсы наше все ? Sad
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Skype Name
leks_smile



Зарегистрирован:
26.01.2015
Сообщения: 8

Статус: Оффлайн 

СообщениеДобавлено: Пн Янв 26, 2015 04:26    Заголовок сообщения:

А что с этими делать?

[2015-01-26 11:13:28] SECURITY[2929] res_security_log.c: SecurityEvent="ChallengeSent",EventTV="1422242008-604812",Severity="Informational",Service="SIP",EventVersion="1",AccountID="sip:1001@my.asterisk.ip.address",SessionID="0x2b1534001938",LocalAddress="IPV4/UDP/my.asterisk.ip.address/5060",RemoteAddress="IPV4/UDP/195.154.169.107/5070",Challenge="6ebc464a"
[2015-01-26 11:14:07] SECURITY[2929] res_security_log.c: SecurityEvent="ChallengeSent",EventTV="1422242047-670288",Severity="Informational",Service="SIP",EventVersion="1",AccountID="sip:993@my.asterisk.ip.address",SessionID="0x2b153408ba88",LocalAddress="IPV4/UDP/my.asterisk.ip.address/5060",RemoteAddress="IPV4/UDP/192.3.8.28/5074",Challenge="0ad54d96"
[2015-01-26 11:14:14] SECURITY[2929] res_security_log.c: SecurityEvent="ChallengeSent",EventTV="1422242054-193602",Severity="Informational",Service="SIP",EventVersion="1",AccountID="sip:100@my.asterisk.ip.address",SessionID="0x2b1534161698",LocalAddress="IPV4/UDP/my.asterisk.ip.address/5060",RemoteAddress="IPV4/UDP/63.141.236.146/5074",Challenge="64d50d05"
[2015-01-26 11:14:41] SECURITY[2929] res_security_log.c: SecurityEvent="ChallengeSent",EventTV="1422242081-251389",Severity="Informational",Service="SIP",EventVersion="1",AccountID="sip:100@my.asterisk.ip.address",SessionID="0x2b1534001938",LocalAddress="IPV4/UDP/my.asterisk.ip.address/5060",RemoteAddress="IPV4/UDP/63.141.229.58/5078",Challenge="4aaa1de9"


fail2ban тут бессилен, т.к. SecurityEvent="ChallengeSent",Severity="Informational" выдается и моим "валидным" клиентам, успешно прошедшим авторизацию:

[2015-01-22 10:24:59] SECURITY[12633] res_security_log.c: SecurityEvent="ChallengeSent",EventTV="1421893499-691789",Severity="Informational",Service="SIP",EventVersion="1",AccountID="302",SessionID="0x7092588",LocalAddress="IPV4/UDP/my.asterisk.ip.address/5060",RemoteAddress="IPV4/UDP/192.168.54.45/5062",Challenge="0d8352b3"

остается только вручную их заносить в iptables?
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
xelas
admin


Зарегистрирован:
05.03.2007
Сообщения: 1027

Статус: Онлайн 

СообщениеДобавлено: Пн Янв 26, 2015 06:11    Заголовок сообщения:

Ну как, что делать... Может быть...

jail.conf:
Код:
[DEFAULT]

# "ignoreip" can be an IP address, a CIDR mask or a DNS host. Fail2ban will not
# ban a host which matches an address in this list. Several addresses can be
# defined using space separator.
ignoreip = 127.0.0.1
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
leks_smile



Зарегистрирован:
26.01.2015
Сообщения: 8

Статус: Оффлайн 

СообщениеДобавлено: Пн Янв 26, 2015 07:19    Заголовок сообщения:

не выйдет. многие сотрудники пользуются sip-аккаунтами с мобильников через левые точки доступа или 3G посреди улицы.
если только их всех заставить vpn-подключение предварительно поднимать. Confused да и то по-моему не выход, мой андроид например не умеет в автоматическое переподключение впн, а низкий уровень сигнала сотовой сети может провоцировать разрыв соединения.


а о чем вообще говорят эти строки в логе? что за такой способ авторизации, который и не InvalidPassword и не InvalidAccountID.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
xelas
admin


Зарегистрирован:
05.03.2007
Сообщения: 1027

Статус: Онлайн 

СообщениеДобавлено: Пн Янв 26, 2015 07:50    Заголовок сообщения:

Ну это ж обычный digest auth.
Приблизительно так(подробнее в гугле по digest auth).
Клиент стучится на сервер. Сервер посылает ему challenge response в поле nonce.
Клиент генерирует md5 хеш с использованием этого nonce,логина, пароля, домена и посылает серверу обратно.
Если все хорошо -- аутентификация проходит. Если нет, то будет InvalidPassword.

То есть данное конкретное сообщение означает, что сервером для клиента сгенерен nonce и сервер ждет дальнейших шагов по аутентификации.
Так что надо смотреть не на это сообщение, а на следующее. Smile

Код:
            ^%(log_prefix)s SecurityEvent="(FailedACL|InvalidAccountID|ChallengeResponseFailed|InvalidPassword)",EventTV="[\d-]+",Severity="[\w]+",Service="[\w]+",EventVersion="\d+",AccountID="\d+",SessionID="0x[\da-f]+",LocalAddress="IPV[46]/(UD|TC)P/[\da-fA-F:.]+/\d+",RemoteAddress="IPV[46]/(UD|TC)P/<HOST>/\d+"(,Challenge="\w+",ReceivedChallenge="\w+")?(,ReceivedHash="[\da-f]+")?$


В примере выше, fail2ban обрабатывает только евенты FailedACL,InvalidAccountID,ChallengeResponseFailed,InvalidPassword.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
leks_smile



Зарегистрирован:
26.01.2015
Сообщения: 8

Статус: Оффлайн 

СообщениеДобавлено: Пн Янв 26, 2015 08:23    Заголовок сообщения:

xelas @ Пн Янв 26, 2015 14:50 писал(а):
Приблизительно так(подробнее в гугле по digest auth).

спасибо, почитаю


 xelas @ Пн Янв 26, 2015 14:50 писал(а):

То есть данное конкретное сообщение означает, что сервером для клиента сгенерен nonce и сервер ждет дальнейших шагов по аутентификации.
Так что надо смотреть не на это сообщение, а на следующее. Smile

так а нет следующего, только такие


т.е. вот успешная авторизация:
Код:
[2015-01-23 15:58:38] SECURITY[5244] res_security_log.c: SecurityEvent="ChallengeSent",EventTV="1421999918-878311",Severity="Informational",Service="SIP",EventVersion="1",AccountID="305",SessionID="0x1b15b668",LocalAddress="IPV4/UDP/my.asterisk.ip.address/5060",RemoteAddress="IPV4/UDP/192.168.54.45/15564",Challenge="37a92369"
[2015-01-23 15:58:38] SECURITY[5244] res_security_log.c: SecurityEvent="SuccessfulAuth",EventTV="1421999918-918079",Severity="Informational",Service="SIP",EventVersion="1",AccountID="305",SessionID="0x1b15b668",LocalAddress="IPV4/UDP/my.asterisk.ip.address/5060",RemoteAddress="IPV4/UDP/192.168.54.45/15564",UsingPassword="1"

как вы и сказали - получаем challenge response и потом авторизуемся

а в моем случае просто сплошные ChallengeSent, безо всяких последующих SuccessfulAuth или InvalidPassword, etc.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
xelas
admin


Зарегистрирован:
05.03.2007
Сообщения: 1027

Статус: Онлайн 

СообщениеДобавлено: Пн Янв 26, 2015 08:30    Заголовок сообщения:

Цитата:
а в моем случае просто сплошные ChallengeSent, безо всяких последующих SuccessfulAuth или InvalidPassword, etc.


Ну правильно. Кто-то ломанулся на ваш сервер. Сервер ему сказал: дорогой, вот те Challenge, давай авторизуйся.
Этот кто-то получил этот ответ и решил: данутянайух. И не ответил за запрос авторизации.

Что вам не нравится то?
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
leks_smile



Зарегистрирован:
26.01.2015
Сообщения: 8

Статус: Оффлайн 

СообщениеДобавлено: Пн Янв 26, 2015 08:44    Заголовок сообщения:

вот тут темку создавал: http://asteriskforum.ru/viewtopic.php?p=79062

leks_smile @ Пн Янв 26, 2015 10:42 писал(а):
elastix 2.5, asterisk 11

в лог постоянно сыпятся ошибки
CLI>
[2015-01-26 10:39:08] WARNING[3023]: chan_sip.c:4077 retrans_pkt: Timeout on 7ebf9beafed748c14c2c9bcaa6724d1e on non-critical invite transaction.
[2015-01-26 10:39:30] WARNING[3023]: chan_sip.c:4077 retrans_pkt: Timeout on f25c5181c089a2c6510a76017f7705d2 on non-critical invite transaction.
[2015-01-26 10:39:34] WARNING[3023]: chan_sip.c:4077 retrans_pkt: Timeout on c8a06a12ed29e54a9540f250a4f4862e on non-critical invite transaction.
[2015-01-26 10:39:37] WARNING[3023]: chan_sip.c:4077 retrans_pkt: Timeout on 08c078d821c4fd397882bf7fc7974a72 on non-critical invite transaction.
[2015-01-26 10:39:46] WARNING[3023]: chan_sip.c:4077 retrans_pkt: Timeout on 8b1a1447ac2458710da1fb51af6f64ee on non-critical invite transaction.

все вроде работает без нареканий, но в чем может быть причина этих варнингов? как то можно исправить?

вручную перебанил все айпишники, о которых речь шла выше, и ошибка прекратила появляться.
т.е. получается, атакующий получает инвайт, не отвечает на него, и он завершается по таймауту? отсюда и варнинги в full.

а в чем тогда смысл? если не ведется перебор пароля, а просто рандомно тыкается в различные sip-аккаунты.
с учетом того, что alwaysauthreject=yes, вообще не понимаю, какой резон.

разве что как в этой статье: https://xakep.ru/2011/07/12/56194/
Цитата:
Изначально клиент отправляет на Softswitch (например, Asterisk) запрос “REGISTER”, в котором нет пароля, а есть только contact. В ответ приходит сообщение “401 Unauthorized”, в котором указано, что нужно пройти “Digest access authentication”. В присланном сообщении сгенерированы nonce и realm. Используя nonce и realm (полученные от сервера), пароль и username (прописанные на шлюзе), а также digesturi, шлюз генерит md5-хэш — response — и отправляет все это обратно на Softswitch, который проверяет присланные данные. Если они верные, то возвращает 200 ОК, если нет — снова 401. Получается, если достать дамп регистрации, то у тебя окажутся все данные, кроме пароля, а его можно будет подобрать.

но ведь дамп регистрации атакующий никак не получит, если не будет доступа к ssh? т.е. опасаться нечего?
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
xelas
admin


Зарегистрирован:
05.03.2007
Сообщения: 1027

Статус: Онлайн 

СообщениеДобавлено: Пн Янв 26, 2015 09:01    Заголовок сообщения:

Смысл в том, что атакующий пытается пробится "на шару". Он вряд ли шлет REGISTER. Он скорее всего, сразу шлет INVITE, рассчитывая, что попадет в пир с insecure=port,invite. Но обламывается, получая 401.

Цитата:
Получается, если достать дамп регистрации, то у тебя окажутся все данные, кроме пароля, а его можно будет подобрать.

Нет, это не верно. nonce генерируется рандомно и каждый раз он разный. А данные необходимые для регистрации есть и так: nonce и digestURI сервер отдаст сразу, при 401-ом.

Added after 5 minutes:

Точнее так, имея на руках response от клиента, который принял Астериск, и зная какой nonce и digestURI был при challenge, можно не теребя астериск подобрать пароль.
Получить дамп можно либо имея доступ к машине с астериском, либо находясь где-то по-середине между клиентом и астериском(например, на роутере прова клиента). Но это уже из области паранои. Ну и никто не мешает вам использовать SSL/TLS.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
andrey1969



Зарегистрирован:
18.01.2010
Сообщения: 109
Откуда: 3/9 царство

Статус: Оффлайн 

СообщениеДобавлено: Пн Мар 23, 2015 10:13    Заголовок сообщения:

Офигеть на старье пашут )) ...
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
whoim



Зарегистрирован:
29.05.2014
Сообщения: 49

Статус: Оффлайн 

СообщениеДобавлено: Вт Мар 24, 2015 10:17    Заголовок сообщения:

В "подчинении" несколько десятков серверов, организовал для них "круговую поруку". Головной сервер постоянно лезет в логи всех подчиненных, парсит и выцепляет что можно, формирует базу данных.
Потом второй проход - на каждом сервере блочит через iptables эти адреса.
Блочит каждый адрес на 10 суток.

Если кому интересно вступить в такую систему, и, возможно - дорабатывать ее, буду рад. В личку.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора Skype Name
virus_net



Зарегистрирован:
05.10.2014
Сообщения: 377
Откуда: Москва

Статус: Оффлайн 

СообщениеДобавлено: Ср Мар 25, 2015 05:43    Заголовок сообщения:

Мы примерно так же подошли к вопросу, т.е. сбор данных со многих источников, так родился: http://frod.subnets.ru/
Собственно так же приглашаю тех кто хочет поучаствовать и поделиться своими данными.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора Телефон
andrey1969



Зарегистрирован:
18.01.2010
Сообщения: 109
Откуда: 3/9 царство

Статус: Оффлайн 

СообщениеДобавлено: Чт Апр 16, 2015 17:56    Заголовок сообщения:

Не получается понять Fail2ban - fedora покрутил настройки logrotate - пришлось оставить путь /var/log/fail2ban.log - Через неделю создаётся новый файл fail2ban.log с размером 0 и больше не пишет лог , после перезапуска fail2ban пишет инфу в фаил , даже без перезапуска прога нормально адекватно пашет и банит , просто не пишет логи в файл fail2ban.log ХЕЛП ))) . Мож есть у кого рабочий конф ? ..
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
awsswa



Зарегистрирован:
28.04.2012
Сообщения: 1642
Откуда: Russia, Пермь

Статус: Оффлайн 

СообщениеДобавлено: Сб Апр 18, 2015 11:31    Заголовок сообщения:

скорей всего вы с logrotate создаете новый файл не с теми правами - или пользователь не тот или прав на запись нету
удалите файл и перезапустите fail2ban - посмотрите на log файл - кем он создан и с какими правами

_________________
платный суппорт по мере возможностей
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Skype Name
andrey1969



Зарегистрирован:
18.01.2010
Сообщения: 109
Откуда: 3/9 царство

Статус: Оффлайн 

СообщениеДобавлено: Пн Дек 19, 2016 21:47    Заголовок сообщения:

Собирал в очередной раз астер 11.7 , подсунул в chan_sip.o плюшек для определения IP бармалеев , (напихал от жадности в 5 мест ) появилось такое : Unknown SIP command 'INVITErnrn' from '192.69.91.229:5061'
Ну я сразу правилом в fail2ban NOTICE.* .*: Unknown SIP command 'INVITErnrn' from \'<HOST>:*\' и нету бармалея ))) ..
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Список форумов Asterisk Forum -> Asterisk IP PBX На страницу Пред.  1, 2, 3 Ответить на тему
Страница 3 из 3

Добавить в Избранное

 
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
You cannot attach files in this forum
You cannot download files in this forum