О безопасности
http://www.sipmarket.net/RU/news_text.aspx?id=56
из неотмеченного в статье - возможен подбор не только по словарю, но и брутфорс. по слухам, на "толстом" канале брутфорс против asterisk'а достаточно эффективен.
усугубляет проблему то, что для "железячных" sip-аккаунтов обычно выбираются недлинные цифровые пароли.
применительно к asterisk:
- в sip.conf в секции [general] прописываете "урезанный" контекст по умолчанию и/или прописываете allowguest=no;
- для тех аккаунтов, которые могут использоваться только из локальной сети, запрещаете доступ "снаружи", например
| Код: |
| deny=0.0.0.0/0.0.0.0 permit=10.0.0.0/255.0.0.0 |
- не ленитесь ставить нормальные пароли для остальных аккаунтов;
- отключайте загрузку неиспользуемых каналов в modules.conf (список загруженных можно посмотреть, набрав в консоли core show channeltypes, имена загруженных модулей - module show).
Последний раз редактировалось: edo1 (Вт Авг 10, 2010 14:59)
http://asteriskforum.ru/viewtopic.php?t=4201
Консольный генератор "правильных" паролей:
http://asteriskforum.ru/viewtopic.php?p=8406
upd: добавил генератор паролей в Профиль
http://forum.nag.ru/forum/index.php?showtopic=59568
Вообще как это делается, и не кажется это странным, что триксбоксовцы (на оф сайте) оставляют директорию user открытой и чёт прямого указания такого не делать не видел я.
| Код: |
| NOTICE.* .*: Registration from '.*' failed for '' - Peer is not supposed to register |
Нашёл ему более мощную и более универсальную замену: http://www.ossec.net/
Рекомендую.
Но, все же, запросы продолжаются, и за последние сутки "набрутил" на 3.86 GB нашего входящего трафика.
Т.е. я скачиваю и устанавливаю Asterisk, то какие механизмы безопасности уже реализованы на исходной стадиии?
Спасибо
если запускаете asterisk не из-под root'a.
Так должны выглядеть настройки /etc/logrotate.d/asterisk для asterisk'a запущенного от имени пользователя asterisk
/var/log/asterisk/debug /var/log/asterisk/console /var/log/asterisk/full /var/log/asterisk/messages /var/log/asterisk/*log {
weekly
missingok
rotate 52
compress
delaycompress
notifempty
create 640 asterisk asterisk
sharedscripts
postrotate
/usr/sbin/asterisk -rx 'logger reload' > /dev/null 2> /dev/null
endscript
}
weekly
missingok
rotate 52
compress
delaycompress
notifempty
create 640 asterisk asterisk
sharedscripts
postrotate
/usr/sbin/asterisk -rx 'logger reload' > /dev/null 2> /dev/null
endscript
}
В статьях, которые я видел, про это не упоминается.
PS: Вообще неплохой инструмент fail2ban, но медленный - если плотность запросов очень высока, то может пропускать сверх лимита установленного в правилах.
Надо попробовать ossec. Есть у кого-то готовый рецепт ossec для астериска?
в строках
NOTICE.* .*: Registration from '.*' failed for ' - Wrong password
NOTICE.* .*: Registration from '.*' failed for '' - No matching peer found
NOTICE.* .*: Registration from '.*' failed for '' - Username/auth name mismatch
NOTICE.* .*: Registration from '.*' failed for '' - Device does not match ACL
NOTICE.* .*: Registration from '.*' failed for '' - Peer is not supposed to register
нужно заменить '' на ':.*'
т.к. астериск пишет не только хост например 192.168.1.1 но и порт 192.168.1.1:5071
С этими строками еще не разбирался
NOTICE.* failed to authenticate as '.*'$
NOTICE.* .*: No registration for peer '.*' \(from \)
NOTICE.* .*: Host failed MD5 authentication for '.*' (.*)
NOTICE.* .*: Failed to authenticate user .*@.*
Может кто подскажет....
делаем:
iptables -N asterisk
iptables -A INPUT -j asterisk
iptables -A FORWARD -j asterisk
Потом запускаем ip_blocker.pl. Скаснирует весь лог, так что прогон займет время.
A вообще хакают сип телефоны, одним моим знакомым назвонили на на почти 20000 евро, другим на 4000.
Так что надо смотреть также:
количество попыток набора (20 в минуту с редайлами хватит самому нервному менеджеру);
странность трафика, звонки идут в необычном для этого клиента направлении;
Надо ограничивать кол-во линий, сип акаунту обычному хватит двух (на трансферы и ожидание).
Сип телефоны ставить запароленные а не с обычным сип акаунтом (веб пароль), а то в последнем случае ломанли ребят через сип телефон, что на паблик айпи стоял с дефолтным доступом (админ/админ).
Как понимаю, воспользовались недавно найденной уязвимостью
http://issues.freepbx.org/browse/FREEPBX-8070
Веб светился наружу.
Мы были не первые. Ломалщик один и тот же.
Все совпадает, как здесь http://community.freepbx.org/t/critical- ... 7235/24536
Именует себя mgknight
Атаки были с облачного сервиса во Франкфурте. Скорее всего ломаная вм.
По логам позвонил на номер +380823490329.
Не пойму, что за номер. Вроде как в Украине.
Потом с периодичностью в 10 сек стал названивать на +29096255.
Такую активность заметили и все позакрывали.
Может кто подскажет, что это за номера?
+290 – Saint Helena; Tristan da Cunha.
Хочется ищет в ами постоянно, видит плохое творить, заставляет звонить другой или этот Астер, а сам тушит Астер или маршрут меняет, в общем другой скрипт запускает.
Думаю для себя что-то наваять, но чувствую что-то не додумаю и как следствие не доделаю, до полного счастья.
_________________
mega-net.ru - IT аутсорсинг
| Shurman писал(а): |
| Попробовав использовать fail2ban для более чем 1-2 логов, напоролся на множество граблей. |
| anest писал(а): |
| а что за грабли, можно поподробней? |
1. Пришлось править код fail2ban-а, чтобы при старте/остановке соответствующие цепочки выставлялись-удалялись с некоторой задержкой. Иначе вылезали ошибки, причём в разных местах/случаях (иногда, например, при запуске все три нужные мне цепочки создадутся, иногда - две, иногда - одна, иногда - ни одной.
2. Когда добавил три логфайла, за которыми надо следить - стало крайне криво работать само слежение - то есть тупо игнорировались записи в файлах (попадающие под регэкспы).
В общем - если следишь за одним или максимум за двумя логами - он более-менее нормально работает. Больше - уже нет.
Заменил его ossec-ом - и очень остался доволен, он и мощней, и работает надёжно.
а конфигом для астериска под ossec не поделитесь с народом?
Семь простых шагов по укреплению SIP безопасности на Астериск
1. Не разрешайте SIP аутентификацию со ВСЕХ ИП адресов. Используйте опции “permit=” и “deny=” в sip.conf как в глобальной секции, так и в параметрах пиров. Разрешайте только ожидаемые диапазоны ИП адресов. Даже если принимаете входящие "отовсюду" (через контекст [default]) не забывайте об аутентификации!
2. Укажите “alwaysauthreject=yes” в глобальной секции файла sip.conf. Эта опция доступна давно (уже с версии 1.2?) но по дефолту она в “no”, что позволяет получить информацию о внутренних номерах даже при неудавшейся регистрации. Устанавливая этот паратметр в “yes” мы отправляем такой же "reject" для существующего внутреннего номера, как и в случае несуществующего. Это уменьшает возможности удалённых хакеров получить список номеров, по которым уже начинается атака по подбору паролей методом brute force.
3. Используйте СЛОЖНЫЕ пароли для всех SIP пиров и юзеров. Это возможно наиболее важный шаг, который вы можете предпринять. Не используйте последовательно два одинаковых слова,разделите их хоть "1". Если бы вы видели инструменты по подбору паролей вы бы поняли смысл этой казалось бы простой рекомендации, так как такое задваивание является ничтожной помехой для современных процессоров. Используйте символы, цифры и буквы обеих регистров длиной не менее 12 знаков.
4. Блокируйте доступ к порту AMI. Используйте “permit=” и “deny=” параметры в manager.conf чтобы сократить число возможных подключений только с доверенных хостов. Используйте сложные пароли минимум из 12-ти знаков в различных сочетаниях символов, цифр и букв разного регистра.
5. Разрешайте только один или два одновременных вызова с каждого внутреннего SIP абонента, если возможно. В любом случае любые ограничения против мошенников являются мудрым шагом. Не допускайте разрешённым пользователям, которые имеют доступ к настройкам, хранить пароли в обозреваемом месте (например записаные снизу на телефоне).
6. Делайте SIP usernames отличными от внутренних номеров. Обычно внутренний номер “1234″ соответствует SIP пиру “1234″, который имеет аналогично SIP user “1234″, это лёгкая цель для хакеров в попытке угадать аутентифицированые SIP names. Используйте МАС адреса устройств или другие комбинации известных фраз + MD5 хэширование внутреннего номера (например исполните команду “md5 -s ThePassword5000″)
7. Убедитесь, что контекст [default] достаточно рационален. Не допускайте неаутентифицированным входящим соединениям попадать в любые контексты, откуда исполняются платные вызовы. Ограничивайте количество активных звонков в дефолтном контексте (используя функцию “GROUP” в качестве счётчика). Запретите неаутентифицированные звонки (если вы действительно их не хотите) установкой параметра “allowguest=no” в секции [general] файла sip.conf.
Взял с http://asterisk.ru/news/archive
http://asterisk.ru/news/142
1. Не разрешайте SIP аутентификацию со ВСЕХ ИП адресов. Используйте опции “permit=” и “deny=” в sip.conf как в глобальной секции, так и в параметрах пиров. Разрешайте только ожидаемые диапазоны ИП адресов. Даже если принимаете входящие "отовсюду" (через контекст [default]) не забывайте об аутентификации!
2. Укажите “alwaysauthreject=yes” в глобальной секции файла sip.conf. Эта опция доступна давно (уже с версии 1.2?) но по дефолту она в “no”, что позволяет получить информацию о внутренних номерах даже при неудавшейся регистрации. Устанавливая этот паратметр в “yes” мы отправляем такой же "reject" для существующего внутреннего номера, как и в случае несуществующего. Это уменьшает возможности удалённых хакеров получить список номеров, по которым уже начинается атака по подбору паролей методом brute force.
3. Используйте СЛОЖНЫЕ пароли для всех SIP пиров и юзеров. Это возможно наиболее важный шаг, который вы можете предпринять. Не используйте последовательно два одинаковых слова,разделите их хоть "1". Если бы вы видели инструменты по подбору паролей вы бы поняли смысл этой казалось бы простой рекомендации, так как такое задваивание является ничтожной помехой для современных процессоров. Используйте символы, цифры и буквы обеих регистров длиной не менее 12 знаков.
4. Блокируйте доступ к порту AMI. Используйте “permit=” и “deny=” параметры в manager.conf чтобы сократить число возможных подключений только с доверенных хостов. Используйте сложные пароли минимум из 12-ти знаков в различных сочетаниях символов, цифр и букв разного регистра.
5. Разрешайте только один или два одновременных вызова с каждого внутреннего SIP абонента, если возможно. В любом случае любые ограничения против мошенников являются мудрым шагом. Не допускайте разрешённым пользователям, которые имеют доступ к настройкам, хранить пароли в обозреваемом месте (например записаные снизу на телефоне).
6. Делайте SIP usernames отличными от внутренних номеров. Обычно внутренний номер “1234″ соответствует SIP пиру “1234″, который имеет аналогично SIP user “1234″, это лёгкая цель для хакеров в попытке угадать аутентифицированые SIP names. Используйте МАС адреса устройств или другие комбинации известных фраз + MD5 хэширование внутреннего номера (например исполните команду “md5 -s ThePassword5000″)
7. Убедитесь, что контекст [default] достаточно рационален. Не допускайте неаутентифицированным входящим соединениям попадать в любые контексты, откуда исполняются платные вызовы. Ограничивайте количество активных звонков в дефолтном контексте (используя функцию “GROUP” в качестве счётчика). Запретите неаутентифицированные звонки (если вы действительно их не хотите) установкой параметра “allowguest=no” в секции [general] файла sip.conf.
Взял с http://asterisk.ru/news/archive
http://asterisk.ru/news/142
добавлю от себя: т.к. абсолютной защиты не существует
Самое первое что нужно сделать, это договориться с оператором:
1. о полном запрете ненужных вам направлений, типа Куба, Африка.
2. работать исключительно по предоплате или установить лимит на стоимость исходящих звонков, тогда ваши максимальные потери будут равны остатку на счете или кредитному лимиту. Это конечно не всегда удобно, но зато гарантированно убережет вас от необходимости продавать машину или квартиру.
а потом уже можете разбираться с разными программными защитами.
Самое первое что нужно сделать, это договориться с оператором:
1. о полном запрете ненужных вам направлений, типа Куба, Африка.
2. работать исключительно по предоплате или установить лимит на стоимость исходящих звонков, тогда ваши максимальные потери будут равны остатку на счете или кредитному лимиту. Это конечно не всегда удобно, но зато гарантированно убережет вас от необходимости продавать машину или квартиру.
а потом уже можете разбираться с разными программными защитами.
У кого астериск-1.8 (возможно и 1.10 будет работать) -
http://llamarada-cinetica.heroku.com/bl ... l2ban-woes
Added after 55 minutes:
http://www.regular-expressions.info/examples.html
Код: Выделить всё
cd /etc/fail2ban/filter.d mv asterisk.conf asterisk14.conf wget http://pbxinaflash.net/source/fail2ban/asterisk18.conf mv asterisk18.conf asterisk.conf /etc/init.d/fail2ban restarthttp://llamarada-cinetica.heroku.com/bl ... l2ban-woes
Added after 55 minutes:
http://www.regular-expressions.info/examples.html
Спасибо!
Asterisk 1.8.15.0. Недавно начали надоедать господа из оккупированных палестинских территорий. В логах можно заметить такое: Естественно правило fail2ban сработает только блокировкой внешнего IP Asterisk. Здесь на форуме предлагали лекарство правкой исходника, но оно не работает на 1.8.
Открыв исходник chan_sip.c, можно увидеть в нескольких местах строчки: Поиском по форуму digium, нашлось решение. Заменил в исходнике вышеуказанные строчки на вот такую конструкцию: Теперь в логах детектится IP адрес: Правило в /etc/fail2ban/filter.d/asterisk.conf: Теперь палестинцы успешно отправляются в бан.
Update: 23.12.2014
В 1.8.21.0-1.8.32.1 в исходниках небольшие изменения. В 4-х местах: Меняем на: Естественно правило в /etc/fail2ban/filter.d/asterisk.conf:
Код: Выделить всё
Sending fake auth rejection for device 5550000;tag=f140a208 Открыв исходник chan_sip.c, можно увидеть в нескольких местах строчки:
Код: Выделить всё
ast_log(LOG_NOTICE, "Sending fake auth rejection for device %s\n", get_header(req, "From")); Код: Выделить всё
ast_log(LOG_NOTICE, "Sending fake auth rejection for device %s (%s)\n", get_header(req, "From"), ast_sockaddr_stringify(addr)); Код: Выделить всё
Sending fake auth rejection for device 5550000;tag=b80e9671 (83.244.6.160:10045) Код: Выделить всё
NOTICE.* .*: Sending fake auth rejection for device.* \(:.*\)Update: 23.12.2014
В 1.8.21.0-1.8.32.1 в исходниках небольшие изменения. В 4-х местах:
Код: Выделить всё
ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", get_header(req, "From"));Код: Выделить всё
ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s)\n", get_header(req, "From"), ast_sockaddr_stringify(addr));Код: Выделить всё
NOTICE.* .*: Failed to authenticate device.* \(:.*\)xtables-addons
А почему бы не использовать блокировку по странам?
1) Ставим из репозитория xtables-addons.
2) Скачиваем базу по странам GEOIP:
./xt_geoip_dl (в зависимости от дистрибутива файл может быть в разных папках).
3) Конвертируем базу для xtables-geoip:
Узнаём откуда она будет брать правила: /usr/share/xt_geoip/LE/ - место где ищет базу модуль geoip iptables. Запоминаем это место(в зависимости от дистрибутива может быть другим).
Создаём саму базу по требуемому пути. 4) Добавляем страны в черный/белый список используя синтаксис iptables(параметры -m geoip --source-country.код_страны)
К примеру дропать весь китай: [spoiler="Для пользователей Fedora"]
В fedora надо выполнить 1.46 версия, она может отличаться.
[/spoiler]
Так же как вариант для защиты TCP порта(вдруг) использовать TARPIT, а не DROP.
Можно так же настроить ipset со списком сетей/адресов(к примеру своего города) как белый список.
[spoiler="Как замена fail2ban с быстрой реакцией на количество попытко входа"]Ещё можно попробовать сделать так:
recent,hashlimit
Так дропается самим iptables не доходя до астериска, то есть ресурсы на проверку регистрации тратится не будут + не надо парсить лог, да и скорость реакции естественно выше чем в варианте fail2ban
[/spoiler]
1) Ставим из репозитория xtables-addons.
2) Скачиваем базу по странам GEOIP:
./xt_geoip_dl (в зависимости от дистрибутива файл может быть в разных папках).
3) Конвертируем базу для xtables-geoip:
Узнаём откуда она будет брать правила:
Код: Выделить всё
iptables -A INPUT ! -i lo -m geoip ! --source-country RU,UA -j DROP Could not open /usr/share/xt_geoip/LE/RU.iv4: No such file or directory Создаём саму базу по требуемому пути.
Код: Выделить всё
/usr/share/doc/xtables-addons-1.46/geoip/xt_geoip_build -D /usr/share/xt_geoip/LE/К примеру дропать весь китай:
Код: Выделить всё
iptables -A INPUT -m geoip --source-country CH -j DROP В fedora надо выполнить
Код: Выделить всё
chmod +x /usr/share/doc/xtables-addons-1.46/geoip/xt_geoip_dl chmod +x /usr/share/doc/xtables-addons-1.46/geoip/xt_geoip_build[/spoiler]
Так же как вариант для защиты TCP порта(вдруг) использовать TARPIT, а не DROP.
Можно так же настроить ipset со списком сетей/адресов(к примеру своего города) как белый список.
[spoiler="Как замена fail2ban с быстрой реакцией на количество попытко входа"]Ещё можно попробовать сделать так:
recent,hashlimit
Так дропается самим iptables не доходя до астериска, то есть ресурсы на проверку регистрации тратится не будут + не надо парсить лог, да и скорость реакции естественно выше чем в варианте fail2ban
[/spoiler]
Первый пост по ентой теме (Aster 1.6) я дал - Добавлено: Вт Июл 03, 2012 09:39 - http://asteriskforum.ru/viewtopic.php?t=9372&start=0
добавить в правила файрвола еще одну строчку - открыть порт для vpn. из китая всеравно никакого нативного воипа не получится а вот vpn клиент в смартфоне пригодится в любом месте и всегда. раз настроил и забыл про наты и файрволы навсегда.
Походу секурити в астере (доработано в F2B) более глобально для отлова хакеров по IP ( Работает астер 11 и 12) ...
собрал патч для исправления логов для fail2ban для астериск 11.5.0
юзать так: раньше логи были такие: теперь такие: [spoiler]
sip_fail2ban.patch [/spoiler]
юзать так:
Код: Выделить всё
[email protected]:/usr/src/asterisk-11.5.0# patch -p0 < ../sip_fail2ban.patch Код: Выделить всё
[Aug 11 14:18:27] NOTICE[2296][C-0000009d] chan_sip.c: Failed to authenticate device 401;tag=b832c932 [Aug 11 14:18:28] NOTICE[2296][C-0000009e] chan_sip.c: Failed to authenticate device 401;tag=a32efdbc [Aug 11 14:18:30] NOTICE[2296][C-0000009f] chan_sip.c: Failed to authenticate device 401;tag=edd8e5f9 Код: Выделить всё
[Aug 11 15:40:03] NOTICE[13245][C-0000000e] chan_sip.c: Failed to authenticate device 11;tag=f5bb5a21 (176.58.75.70:19498) [Aug 11 15:40:04] NOTICE[13245][C-0000000f] chan_sip.c: Failed to authenticate device 11;tag=a46203d8 (176.58.75.70:19498) [Aug 11 15:40:06] NOTICE[13245][C-00000010] chan_sip.c: Failed to authenticate device 11;tag=fbafc92e (176.58.75.70:19498) sip_fail2ban.patch
Код: Выделить всё
--- channels/chan_sip.c.org 2013-05-14 01:05:38.000000000 +0400 +++ channels/chan_sip.c 2013-08-11 14:31:14.111704400 +0400 @@ -18520,7 +18520,7 @@ return; } if (res < 0) { /* Something failed in authentication */ - ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", sip_get_header(req, "From")); + ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s)\n", sip_get_header(req, "From"), ast_sockaddr_stringify(addr)); transmit_response(p, "403 Forbidden", req); sip_scheddestroy(p, DEFAULT_TRANS_TIMEOUT); return; @@ -24616,7 +24616,7 @@ return 0; } if (res < 0) { /* Something failed in authentication */ - ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", sip_get_header(req, "From")); + ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s)\n", sip_get_header(req, "From"), ast_sockaddr_stringify(addr)); transmit_response(p, "403 Forbidden", req); sip_scheddestroy(p, DEFAULT_TRANS_TIMEOUT); return 0; @@ -25279,7 +25279,7 @@ goto request_invite_cleanup; } if (res < 0) { /* Something failed in authentication */ - ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", sip_get_header(req, "From")); + ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s)\n", sip_get_header(req, "From"), ast_sockaddr_stringify(addr)); transmit_response_reliable(p, "403 Forbidden", req); p->invitestate = INV_COMPLETED; sip_scheddestroy(p, DEFAULT_TRANS_TIMEOUT); @@ -27325,7 +27325,7 @@ p->lastinvite = seqno; return 0; } else if (auth_result < 0) { - ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", sip_get_header(req, "From")); + ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s)\n", sip_get_header(req, "From"), ast_sockaddr_stringify(addr)); transmit_response(p, "403 Forbidden", req); sip_scheddestroy(p, DEFAULT_TRANS_TIMEOUT); ast_string_field_set(p, theirtag, NULL); @@ -27540,7 +27540,7 @@ if (res == AUTH_CHALLENGE_SENT) /* authpeer = NULL here */ return 0; if (res != AUTH_SUCCESSFUL) { - ast_log(LOG_NOTICE, "Failed to authenticate device %s for SUBSCRIBE\n", sip_get_header(req, "From")); + ast_log(LOG_NOTICE, "Failed to authenticate device %s for SUBSCRIBE (%s)\n", sip_get_header(req, "From"), ast_sockaddr_stringify(addr)); transmit_response(p, "403 Forbidden", req); pvt_set_needdestroy(p, "authentication failed"); зачётно! но было бы еще лучше отправить этот патч разработчику f2b. ведь нужно всем по большому счету.
ИМХО его надо тупо интегрировать в астериск. Но пинать их мне пока опыта не хватает - я только около пары месяцев с астериском работаю.
я ошибся, конечно в астериск. достаточно отправить в багтрак заявку, уверен народ поддержит бодро ибо необходим этот патчик потенциально всем.
[spoiler]ps: просьба не злоупотреблять цитированием без особой на то нужды, спасибо.[/spoiler]
[spoiler]ps: просьба не злоупотреблять цитированием без особой на то нужды, спасибо.[/spoiler]
обновил под asterisk-11.5.1:
[spoiler]
nano chan_sip.patch[/spoiler]
[spoiler]
nano chan_sip.patch
Код: Выделить всё
--- channels/chan_sip.c 2013-08-27 12:25:11.000000000 -0700 +++ channels/chan_sip.c.new 2013-09-11 06:16:10.673613358 -0700 @@ -18520,7 +18520,7 @@ return; } if (res < 0) { /* Something failed in authentication */ - ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", sip_get_header(req, "From")); + ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s)\n", sip_get_header(req, "From"), ast_sockaddr_stringify(addr)); transmit_response(p, "403 Forbidden", req); sip_scheddestroy(p, DEFAULT_TRANS_TIMEOUT); return; @@ -24616,7 +24616,7 @@ return 0; } if (res < 0) { /* Something failed in authentication */ - ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", sip_get_header(req, "From")); + ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s)\n", sip_get_header(req, "From"), ast_sockaddr_stringify(addr)); transmit_response(p, "403 Forbidden", req); sip_scheddestroy(p, DEFAULT_TRANS_TIMEOUT); return 0; @@ -25279,7 +25279,7 @@ goto request_invite_cleanup; } if (res < 0) { /* Something failed in authentication */ - ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", sip_get_header(req, "From")); + ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s)\n", sip_get_header(req, "From"), ast_sockaddr_stringify(addr)); transmit_response_reliable(p, "403 Forbidden", req); p->invitestate = INV_COMPLETED; sip_scheddestroy(p, DEFAULT_TRANS_TIMEOUT); @@ -27325,7 +27325,7 @@ p->lastinvite = seqno; return 0; } else if (auth_result < 0) { - ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", sip_get_header(req, "From")); + ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s)\n", sip_get_header(req, "From"), ast_sockaddr_stringify(addr)); transmit_response(p, "403 Forbidden", req); sip_scheddestroy(p, DEFAULT_TRANS_TIMEOUT); ast_string_field_set(p, theirtag, NULL); @@ -27540,7 +27540,7 @@ if (res == AUTH_CHALLENGE_SENT) /* authpeer = NULL here */ return 0; if (res != AUTH_SUCCESSFUL) { - ast_log(LOG_NOTICE, "Failed to authenticate device %s for SUBSCRIBE\n", sip_get_header(req, "From")); + ast_log(LOG_NOTICE, "Failed to authenticate device %s for SUBSCRIBE (%s)\n", sip_get_header(req, "From"), ast_sockaddr_stringify(addr)); transmit_response(p, "403 Forbidden", req); pvt_set_needdestroy(p, "authentication failed"); В Asterisk 12 внёс те же изменения что и в 11 -й версии всё работает ! 
.
.Потестил китай - работет круто тока через IAX2 - между серваками (GSM-GSM) . Проблема в том что пинг 430 -520 (19 хопов ) , постоянный IP Там стоит 150 грн. укр. в месяц ((( . dyn-dns - при смене IP плохо отрабатывает надо перезагружать роутер в китае .
Сейчас буду тестить Zoiper по IAX ((( .
в f2b надо добавить строчку - полная копия в конце написано - No matchig peer found$ === скопируйте эту строку ниже и удалите не нужные (:[0-9]+)? !!!!
в 1.6 версии точно .
Сейчас буду тестить Zoiper по IAX ((( .
в f2b надо добавить строчку - полная копия в конце написано - No matchig peer found$ === скопируйте эту строку ниже и удалите не нужные (:[0-9]+)? !!!!
в 1.6 версии точно .
Рабочий вариант fail2ban без правки исходников для Asterisk10+:
1. Включаем лог security
Добавить в logger_logfiles_custom.conf убедится, что в logger.conf прописано перезапускаем логгер:
#asterisk -rx "logger reload"
2. /etc/fail2ban/filter.d/asterisk.conf
[spoiler][/spoiler]
3.jail.conf
добавить в конец:
[spoiler][/spoiler]
У меня работает, при обновлении астериска не надо будет ничего патчить.
1. Включаем лог security
Добавить в logger_logfiles_custom.conf
Код: Выделить всё
security => security Код: Выделить всё
dateformat=%F %T#asterisk -rx "logger reload"
2. /etc/fail2ban/filter.d/asterisk.conf
[spoiler]
Код: Выделить всё
# Fail2Ban configuration file # # # $Revision: 250 $ # [INCLUDES] # Read common prefixes. If any customizations available -- read them from # common.local #before = common.conf [Definition] #_daemon = asterisk # Option: failregex # Notes.: regex to match the password failures messages in the logfile. The # host must be matched by a group named "host". The tag "" can # be used for standard IP/hostname matching and is only an alias for # (?:::f{4,6}:)?(?P\S+) # Values: TEXT # failregex = SECURITY.* SecurityEvent=\"InvalidPassword\".*RemoteAddress=\"IPV4/UDP// SECURITY.* SecurityEvent=\"FailedACL\".*RemoteAddress=\"IPV4/UDP// SECURITY.* SecurityEvent=\"InvalidAccountID\".*RemoteAddress=\"IPV4/UDP// SECURITY.* SecurityEvent=\"ChallengeResponseFailed\".*RemoteAddress=\"IPV4/UDP// # Option: ignoreregex # Notes.: regex to ignore. If this regex matches, the line is ignored. # Values: TEXT # ignoreregex = 3.jail.conf
добавить в конец:
[spoiler]
Код: Выделить всё
[asterisk-iptables] enabled = true filter = asterisk action = iptables-allports[name=ASTERISK, protocol=all] sendmail-whois[name=ASTERISK, dest=root, [email protected]] logpath = /var/log/asterisk/security maxretry = 3 findtime = 60000 bantime = 259200У меня работает, при обновлении астериска не надо будет ничего патчить.
Я такого описания уже штук 100 под копирку видел.
Только не забывайте что кроме астера существует другие процессы в linux и один из них logrotate
который не знает не про какой файл security и через полгода он распухнет до пару гигов и перезапуск fail2ban будет веть машину на полчаса
правильный вариант:
security_log => security
[asterisk-iptables]
enabled = true
filter = asterisk
action = iptables-allports[name=ASTERISK, protocol=all]
sendmail-whois[name=ASTERISK, dest=root, sender=[email protected]]
logpath = /var/log/asterisk/security_log
maxretry = 3
findtime = 60000
bantime = 259200
logrotate от астера по умолчанию правильно работает с файлами с окончанием *log
или надо брать уже обновленный вариант где уже прописаны файлы security или править самому.
Только не забывайте что кроме астера существует другие процессы в linux и один из них logrotate
который не знает не про какой файл security и через полгода он распухнет до пару гигов и перезапуск fail2ban будет веть машину на полчаса
правильный вариант:
security_log => security
[asterisk-iptables]
enabled = true
filter = asterisk
action = iptables-allports[name=ASTERISK, protocol=all]
sendmail-whois[name=ASTERISK, dest=root, sender=[email protected]]
logpath = /var/log/asterisk/security_log
maxretry = 3
findtime = 60000
bantime = 259200
logrotate от астера по умолчанию правильно работает с файлами с окончанием *log
или надо брать уже обновленный вариант где уже прописаны файлы security или править самому.
Интересно, а где это настраивается? Или где про это почитать?logrotate от астера по умолчанию правильно работает с файлами с окончанием *log
Везде описан стандартный logrotate через файл /etc/logrotate.d/asterisk
и типовая его конфигурация будет обрабатывать все файлы в папке включая security
ASTERISK
Security Hardening Guide v1.0
читается на одном дыхании
Security Hardening Guide v1.0
читается на одном дыхании
Следующие пара строк заставит отвалиться 90% "кулхацкеров" из Китая, Мексики, Африки etc.
Запросы сканеров даже до астериска не дойдут, их на месте прибивает iptables.
Упс, Поднебесная, не подфартило
Запросы сканеров даже до астериска не дойдут, их на месте прибивает iptables.
Код: Выделить всё
...... -A INPUT -p udp -m udp --dport 5060 -j SIP-BORDER-CONTROLLER ...... -A SIP-BORDER-CONTROLLER -m string --string "friendly-scanner" --algo bm -j DROP -A SIP-BORDER-CONTROLLER -m string --string "sip-cli" --algo bm -j DROP ...... Здравствуйте!
В тестовом режиме решил использовать IDS систему OSSEC. Rules для asterisk есть и подгружаются при старте (идут по default). Проверял работу системы через sipvicious, результат 0.
Asterisk и OSSEC на одном сервере.
Соответственно вопрос, у кого есть рабочий пример ossec-server.conf и asterisk_rules.xml и active-response.
Заранее благодарен.
Настроил, использовал syslog в logger.conf и syslog.conf
Но, в alerts.log вижу попытки подбора, написано active-response на конкретный rule_id, но не срабатывает скрипт firewall-drop.sh.
Подскажите!
В тестовом режиме решил использовать IDS систему OSSEC. Rules для asterisk есть и подгружаются при старте (идут по default). Проверял работу системы через sipvicious, результат 0.
Asterisk и OSSEC на одном сервере.
Соответственно вопрос, у кого есть рабочий пример ossec-server.conf и asterisk_rules.xml и active-response.
Заранее благодарен.
Настроил, использовал syslog в logger.conf и syslog.conf
Но, в alerts.log вижу попытки подбора, написано active-response на конкретный rule_id, но не срабатывает скрипт firewall-drop.sh.
Подскажите!