AF
Asterisk Forum
обсуждения телефонии, VoIP и IP-PBX
12разделов
5 423тем
34 385сообщений
← К списку тем

iptables + SIP -- защита от перебора паролей

Unix Way 22 сообщений 10.06.2009 11:35 - 11.06.2009 11:17
#1 10.06.2009 11:35

iptables + SIP -- защита от перебора паролей

Хочу защитить свой * от перебора паролей пользователей СИП.
Может у кого есть какиенить соображения, поделитесь, плз.
#2 10.06.2009 11:41
Читайте в удовольствие СТАТЬЮ! Да, кстати, заголовок топика не совпадает с содержимым.
#3 10.06.2009 11:44
Статья супер, спачибо!
Но имеется в виду как сделать защиту на уровне iptables.
#4 10.06.2009 12:10
Для чего? И какого плана защита требуется? Задача, заявленная в первом посте решается правильным выбором логина и пароля для авторизации (см. статью)
#5 10.06.2009 12:20
есть эффективное решение, как раз на уровне iptables, использую повсюду уже несколько лет. называется fail2ban. есть в виде пакета уже практически почти в каждом дистрибутиве.
и не нужно извращаться со сменой порта для шела, это не обман хакера а скорее самообман для самоуспокоения опять же.
#7 10.06.2009 12:30
Ну вот скажем некто '216.245.200.107' в интервал времени [Jun 2 05:02:39] - [Jun 2 16:16:56] сделал 4756716 безуспешных попыток подбора. Так что iptables всё-же пригодятся.
man iptables
/limit
/
/
и далее по тексту =)
_________________
Человек мира. RHCE + clustering.
#8 10.06.2009 12:34
Ребят, может кто скинет примерчик конфига?
Спасибо
#9 10.06.2009 22:23
Romik писал(а):
Ну вот скажем некто '216.245.200.107' в интервал времени [Jun 2 05] - [Jun 2 16] сделал 4756716 безуспешных попыток подбора.

это с fail2ban? ответ один - он у тебя криво настроен! при правильной настройке - после всего нескольких попыток - бан через iptables.
опять же не понятна твоя фраза "iptables все же пригодится" - fail2ban и работает в купе с ним! не понятно что ты имел ввиду.
alex2015 писал(а):
Ребят, может кто скинет примерчик конфига?

для счастливых обладателей дебиана в пакете fail2ban уже и правила расписаны под asterisk - самому ничего выдумывать не нужно уже..
просто найдите этот пакет и расковыряйте.

Added after 31 minutes:

Alekz писал(а):
Читайте в удовольствие СТАТЬЮ!

кстати по статье - нашел наигрубейшую ошибку в примере:
Цитата:
Используйте временное ограничение по вводу пароля или сертификаты. Установка минимально возможного времени для ввода пароля, например, 1 секунды, может хорошо сбить с толку злоумышленника.

Данный кусок текста - полный бред, так как для злоумышленника, который перебирает пароли АВТОМАТИЧЕСКИ это вовсе не помеха никакая! так как его запрос легко проскакивает в окно одной секунды! а вот законный пользователь уже хрен попадет на свой сервер так как никто не сможет набрать пароль на клавиатуре меньше чем за одну секуду. ну разве что если пароль из двух-трех знаков которые один за другим на клавиатуре идут. но такой пароль сломан будет в любом случае всеравно, хоть защищайся хоть нет. получается что воспользовавшись данным советом человек поставив сию настройку на удалленном сервере (LoginGraceTime 1s) - больше не сможет на него уже попасть самостоятельно, поможет только сброс этой настройки при физическом досупе к серверу. поэтому считаю этот совет КРАЙНЕ ВРЕДНЫМ.
upd: эта настройка ограничивает не минимальное а максимальное время ввода пароля!
#10 10.06.2009 22:24
Немножко ознакомился с этой темой и вижу, что не всегда и fail2ban поможет. Дело в том, что в юдп пакете можно изменить адрес отправителя, и такие пакеты могут дойти туда куда нужно. Следовательно, так можно начать атаку на обслуживанние.

ПРо пакет из Дебиана не знал, спасибо, сейчас посмотрим.
#11 10.06.2009 22:41
Но другая настройка - MaxAuthTries - как раз таки может "сбить с толку злоумышленника", например выставив значение в 2 получим:
Цитата:
router ~ # ssh myhost
Password: [неверный пароль]
Received disconnect from 192.168.1.182: 2: Too many authentication failures for root
router ~ #


когда нормальная ситуация выглядит так:
Цитата:
router ~ # ssh myhost
Password: [неверный пароль]
Password: [неверный пароль]
Password: [неверный пароль]
Permission denied (publickey,keyboard-interactive).
router ~ #


Added after 1 minutes:

alex2015 у вас сигнализация по udp разве работает? Wink
#12 10.06.2009 22:45
Да, но для сипа в сип.конф нету такого параметра.
#13 10.06.2009 22:47
alex2015 писал(а):
Да

зачем? Cool и есть ли в этом необходимость?
в любом случае - вы не с того конца начали, имхо.. начнем с того что все ошибки (как то и попытки залогиниться) должны логироваться в лог-файл. правильно? у вас не логируются? разберитесь почему. ну а дальше уже дело техники. fail2ban делает очень простую работу - смотрит лог - если есть например 5 или больше безуспешных попыток - срабатывает указанное ему действие. все гениальное просто.
#14 10.06.2009 23:05
ну у меня по юдипи идет соединение

tcpenable=no ; Enable server for incoming TCP connections (default is no)
tcpbindaddr=0.0.0.0 ; IP address for TCP server to bind to (0.0.0.0 binds to all interfaces)
; Optionally add a port number, 192.168.1.1:5062 (default is port 5060)

Added after 3 minutes:

anest писал(а):

зачем? Cool и есть ли в этом необходимость?
в любом случае - вы не с того конца начали, имхо.. начнем с того что все ошибки (как то и попытки залогиниться) должны логироваться в лог-файл. правильно? у вас не логируются?


совершенно верно, не логируются. Это где включить можно?
#15 10.06.2009 23:05
повторю свой вопрос - есть ли в этом необходимость?
также повторю уже прозвучавший вопрос - все события логируются в лог?
anest писал(а):
у вас не логируются? разберитесь почему.

направление вам указано - двигайтесь дальше сами. (просто не нужно говорить "да это г@вно и оно не работает" раньше времени. такие заявления отбивают охоту вообще помогать)
успехов.
#16 10.06.2009 23:12
Цитата:
повторю свой вопрос - есть ли в этом необходимость?

Думаю есть, но нужно ещё мне читать мануалы. Т.к. немного ещё не все уяслил себе.

Цитата:

также повторю уже прозвучавший вопрос - все события логируются в лог?

события о неудачных подключениях не логируются.

Цитата:

(просто не нужно говорить "да это гавно и оно не работает" раньше времени. такие заявления отбивают охоту вообще помогать)
успехов.

Даже не думал такого говорить, я в теме защиты только начал ковыряться, поэтому ОГРОМНЕЙШЕЕ СПАСИБО за наставления на нужный путь.
#17 10.06.2009 23:39
alex2015 писал(а):
Цитата:
повторю свой вопрос - есть ли в этом необходимость?

Думаю есть
так обьяните уже наконец - в чем же именно она заключается? а то всё загадками какимито и недомолвками... телепатический блок на профилактическую продувку отдал, просканировать ваш мозг не могу счас удаленно.

alex2015 писал(а):
Даже не думал такого говорить

ну я об этом:
alex2015 писал(а):
Немножко ознакомился с этой темой и вижу, что не всегда и fail2ban поможет.

если не делать скоропалительных выводов и набраться терпения то все у вас получится. успехов вобщем.
#18 10.06.2009 23:57
Да я вот статью нашел интересную, поэтому так и написал.
http://tamkovich.com/2009/04/asterisk-sip-security/

Цитата:
у вас сигнализация по udp разве работает?

не подскажите как включить сигнализацию по тсп?

информация о неудачных подключених это та информация, которая пишется:
/var/log/asterisk/messages?
#19 11.06.2009 00:51
вы не находите что ваши вопросы выходят за рамки топика?
#20 11.06.2009 07:27
anest писал(а):
Romik писал(а):
Ну вот скажем некто '216.245.200.107' в интервал времени [Jun 2 05] - [Jun 2 16] сделал 4756716 безуспешных попыток подбора.
это с fail2ban? ответ один - он у тебя криво настроен! при правильной настройке - после всего нескольких попыток - бан через iptables.
опять же не понятна твоя фраза "iptables все же пригодится" - fail2ban и работает в купе с ним! не понятно что ты имел ввиду. Это до установки fail2ban =) Про то, что fail2ban как раз с iptables работает - знаю, ибо им пользуюсь.
_________________
Человек мира. RHCE + clustering.
#22 11.06.2009 11:17
уже читаю!!
Спасибо!!
Beer3

Added after 1 hours 25 minutes:

Не сюда писать нужно но всеже.
Плохо то, что он забанил айпишник, правило появилось в iptables -L -v. После рестарта iptables и рестарта fail2ban, не перечитываются логи. Т.е. бан снимается. Может есть какой ключик для этого?
Мне так кажется, былобы удобнее, хоть и рестарт делается не так часто.
Но с другой стороны, можно было бы сделать так, чтоб по звонку бан снимался.