[guifi-usuaris] Ojo amb servidors asterisk connectats a Internet/guifi. Atacs SIP
Hola a tots/totes, Segurament he pecat de novatillo i a veure que cara em costa la broma... Ho comento a les llistes per que ho tingueu en compte... Sembla ser que s'estan incrementant els atacs contra servidors Asterisk amb IP [1] L'altre dia vaig cometre l'error d'obrir el port 5060 (SIP) de la meva centraleta Asterisk cap a Internet amb un NAT. D'això fa menys de 15 dies... Doncs avui quan m'he aixecat he trobat que hi havia activitat de xarxa a la centraleta i que jo sàpigues ningú l'estava utilitzant... Mirant el log de trucades m'he trobat trucades a l'estranger i a telèfons especials, algú (suposo que per atac de força bruta) a aconseguit registrar una sessió SIP (tot i tenir paraula de pas, però el problema suposo que és que la centraleta la paraula de pas que et permet posar és només un PIN de 4 digits...) i estava fent trucades utilitzant la meva línia analògica. Tinc la IP del que ho ha fet (207.234.209.17) i el registre de trucades però no crec que em serveixi de gaire... Potser ja heu estat més precavuts que jo però per si de cas vigileu amb la seguretat de les asterisk. Salutacions, Sergi Tur [1] http://isc.sans.edu/diary.html?storyid=8641 ___ guifi-usuaris mailing list guifi-usuaris@llistes.projectes.lafarga.org https://llistes.projectes.lafarga.org/cgi-bin/mailman/listinfo/guifi-usuaris
Re: [guifi-usuaris] Ojo amb servidors asterisk connectats a Internet/guifi. Atacs SIP
2011/3/11 Sergi Tur Badenas : > (207.234.209.17 http://rbls.org/207.234.209.17 ___ guifi-usuaris mailing list guifi-usuaris@llistes.projectes.lafarga.org https://llistes.projectes.lafarga.org/cgi-bin/mailman/listinfo/guifi-usuaris
Re: [guifi-usuaris] Ojo amb servidors asterisk connectats a Internet/guifi. Atacs SIP
parlant de centraletes VoIP. alex? :P - Blackhold http://marsupi.org http://pad.marsupi.org ~> conquerint l'aire, alliberant les ones. ~> un procés en background també consumeix recursos On Fri, Mar 11, 2011 at 08:29, Blackhold wrote: > 2011/3/11 Sergi Tur Badenas : >> (207.234.209.17 > > http://rbls.org/207.234.209.17 > ___ guifi-usuaris mailing list guifi-usuaris@llistes.projectes.lafarga.org https://llistes.projectes.lafarga.org/cgi-bin/mailman/listinfo/guifi-usuaris
Re: [guifi-usuaris] Ojo amb servidors asterisk connectats a Internet/guifi. Atacs SIP
Justament aprofitant que ara ja tinc millor connexió, vull posar el meu asterisk (trixbox) en òrbita a inet, i fins i tot agafar algun num. fixe amb algun proveidor veuip. Al catnix n'hi han (voztelecom, adam...) Recordo que això també li va passar a l'elektra amb algun mesh-potato... El que no entenc és això que dius de la pwd, no pot ser tan llarga com vulguis? pq només 4 dígits? BTW. Com està per posar-me al dia de com estava el tema de les numeracions etc? Jo tenia unes extensions a casa, però ara em serà molt fàcil fer trunks amb qui sigui... Fins i tot si algú s'ho vol currar, també hio tenim bé per muntar un asterisk per tots i amb sortida a inet mab una màquina virtual. > Hola a tots/totes, > > Segurament he pecat de novatillo i a veure que cara em costa la broma... > > Ho comento a les llistes per que ho tingueu en compte... Sembla ser que > s'estan incrementant els atacs contra servidors Asterisk amb IP [1] > > L'altre dia vaig cometre l'error d'obrir el port 5060 (SIP) de la meva > centraleta Asterisk cap a Internet amb un NAT. D'això fa menys de 15 > dies... Doncs avui quan m'he aixecat he trobat que hi havia activitat de > xarxa a la centraleta i que jo sàpigues ningú l'estava utilitzant... > > Mirant el log de trucades m'he trobat trucades a l'estranger i a > telèfons especials, algú (suposo que per atac de força bruta) a > aconseguit registrar una sessió SIP (tot i tenir paraula de pas, però el > problema suposo que és que la centraleta la paraula de pas que et permet > posar és només un PIN de 4 digits...) i estava fent trucades utilitzant > la meva línia analògica. > > Tinc la IP del que ho ha fet (207.234.209.17) i el registre de trucades > però no crec que em serveixi de gaire... > > Potser ja heu estat més precavuts que jo però per si de cas vigileu amb > la seguretat de les asterisk. > > Salutacions, > > Sergi Tur > > [1] http://isc.sans.edu/diary.html?storyid=8641 > > ___ > guifi-usuaris mailing list > guifi-usuaris@llistes.projectes.lafarga.org > https://llistes.projectes.lafarga.org/cgi-bin/mailman/listinfo/guifi-usuaris > ___ guifi-usuaris mailing list guifi-usuaris@llistes.projectes.lafarga.org https://llistes.projectes.lafarga.org/cgi-bin/mailman/listinfo/guifi-usuaris
Re: [guifi-usuaris] Ojo amb servidors asterisk connectats a Internet/guifi. Atacs SIP
Al 11/03/11 09:48, En/na Ramon Roca ha escrit: Justament aprofitant que ara ja tinc millor connexió, vull posar el meu asterisk (trixbox) en òrbita a inet, i fins i tot agafar algun num. fixe amb algun proveidor veuip. Al catnix n'hi han (voztelecom, adam...) Si en proveu algun ha donareu informació, a mi m'interessa saber quins preus i ofertes hi ha... Recordo que això també li va passar a l'elektra amb algun mesh-potato... El que no entenc és això que dius de la pwd, no pot ser tan llarga com vulguis? pq només 4 dígits? Mea culpa... No se per què collons pensava que havia està restricció, ho he provat aquest matí i he vist que puc posar la password que faci falta... Estic aprenent a marxes forçades :-( Vaig configurar la centraleta amb presses, estan a mil temes més: moraleja: la feina ben feta no té fronteres (i la mal feta tampoc quan es tracta de fer trucades fraudulentes...). Un altre cosa que em bé al cap a part de les comentades és posar alguna límit a la ratió d'intents, es pot fer amb firewall iptables quelcom similar a: http://acacha.org/mediawiki/index.php/Iptables#Limitar_la_ratio_de_connexions_.28evitar_atacs_de_for.C3.A7a_bruta.29 Potser algú amb coneixements d'asterisk sap si l'asterisk pot limitar el nombre màxim d'intents de registre SIP. ___ guifi-usuaris mailing list guifi-usuaris@llistes.projectes.lafarga.org https://llistes.projectes.lafarga.org/cgi-bin/mailman/listinfo/guifi-usuaris
Re: [guifi-usuaris] Ojo amb servidors asterisk connectats a Internet/guifi. Atacs SIP
Si Asterisk enregistra en una bitàcola (log) els intents d'encertar la contrasenya, la solució és Fail2Ban. Aquest programa fa seguiment de les bitàcoles (logs) i es configura per a què emprengui accions quan determinat servei rep més de X intents fallats d'autenticació del mateix origen. La acció típica és deshabilitar les comunicacions amb la IP atacant, durant X minuts, hores, etc. Al 11/03/11 10:03, En/na Sergi Tur Badenas ha escrit: Al 11/03/11 09:48, En/na Ramon Roca ha escrit: Justament aprofitant que ara ja tinc millor connexió, vull posar el meu asterisk (trixbox) en òrbita a inet, i fins i tot agafar algun num. fixe amb algun proveidor veuip. Al catnix n'hi han (voztelecom, adam...) Si en proveu algun ha donareu informació, a mi m'interessa saber quins preus i ofertes hi ha... Recordo que això també li va passar a l'elektra amb algun mesh-potato... El que no entenc és això que dius de la pwd, no pot ser tan llarga com vulguis? pq només 4 dígits? Mea culpa... No se per què collons pensava que havia està restricció, ho he provat aquest matí i he vist que puc posar la password que faci falta... Estic aprenent a marxes forçades :-( Vaig configurar la centraleta amb presses, estan a mil temes més: moraleja: la feina ben feta no té fronteres (i la mal feta tampoc quan es tracta de fer trucades fraudulentes...). Un altre cosa que em bé al cap a part de les comentades és posar alguna límit a la ratió d'intents, es pot fer amb firewall iptables quelcom similar a: http://acacha.org/mediawiki/index.php/Iptables#Limitar_la_ratio_de_connexions_.28evitar_atacs_de_for.C3.A7a_bruta.29 Potser algú amb coneixements d'asterisk sap si l'asterisk pot limitar el nombre màxim d'intents de registre SIP. ___ guifi-usuaris mailing list guifi-usuaris@llistes.projectes.lafarga.org https://llistes.projectes.lafarga.org/cgi-bin/mailman/listinfo/guifi-usuaris ___ guifi-usuaris mailing list guifi-usuaris@llistes.projectes.lafarga.org https://llistes.projectes.lafarga.org/cgi-bin/mailman/listinfo/guifi-usuaris
Re: [guifi-usuaris] Ojo amb servidors asterisk connectats a Internet/guifi. Atacs SIP
El 11 de març de 2011 9:48, Ramon Roca ha escrit: > Justament aprofitant que ara ja tinc millor connexió, vull posar el meu > asterisk (trixbox) en òrbita a inet, i fins i tot agafar algun num. fixe > amb algun proveidor veuip. Al catnix n'hi han (voztelecom, adam...) > > Recordo que això també li va passar a l'elektra amb algun mesh-potato... > > El que no entenc és això que dius de la pwd, no pot ser tan llarga com > vulguis? pq només 4 dígits? Molts usuaris tenen de pwd 1234 (jo un d'ells en una que tinc de proves) xD PD: ara no recordo si es a trixbox que les posava de 6 digits o lletres. > > BTW. Com està per posar-me al dia de com estava el tema de les numeracions > etc? Jo tenia unes extensions a casa, però ara em serà molt fàcil fer > trunks amb qui sigui... Fins i tot si algú s'ho vol currar, també hio > tenim bé per muntar un asterisk per tots i amb sortida a inet mab una > màquina virtual. > > >> Hola a tots/totes, >> >> Segurament he pecat de novatillo i a veure que cara em costa la broma... >> >> Ho comento a les llistes per que ho tingueu en compte... Sembla ser que >> s'estan incrementant els atacs contra servidors Asterisk amb IP [1] >> >> L'altre dia vaig cometre l'error d'obrir el port 5060 (SIP) de la meva >> centraleta Asterisk cap a Internet amb un NAT. D'això fa menys de 15 >> dies... Doncs avui quan m'he aixecat he trobat que hi havia activitat de >> xarxa a la centraleta i que jo sàpigues ningú l'estava utilitzant... >> >> Mirant el log de trucades m'he trobat trucades a l'estranger i a >> telèfons especials, algú (suposo que per atac de força bruta) a >> aconseguit registrar una sessió SIP (tot i tenir paraula de pas, però el >> problema suposo que és que la centraleta la paraula de pas que et permet >> posar és només un PIN de 4 digits...) i estava fent trucades utilitzant >> la meva línia analògica. >> >> Tinc la IP del que ho ha fet (207.234.209.17) i el registre de trucades >> però no crec que em serveixi de gaire... >> >> Potser ja heu estat més precavuts que jo però per si de cas vigileu amb >> la seguretat de les asterisk. >> >> Salutacions, >> >> Sergi Tur >> >> [1] http://isc.sans.edu/diary.html?storyid=8641 >> >> ___ >> guifi-usuaris mailing list >> guifi-usuaris@llistes.projectes.lafarga.org >> https://llistes.projectes.lafarga.org/cgi-bin/mailman/listinfo/guifi-usuaris >> > > > > > ___ > guifi-usuaris mailing list > guifi-usuaris@llistes.projectes.lafarga.org > https://llistes.projectes.lafarga.org/cgi-bin/mailman/listinfo/guifi-usuaris > > ___ guifi-usuaris mailing list guifi-usuaris@llistes.projectes.lafarga.org https://llistes.projectes.lafarga.org/cgi-bin/mailman/listinfo/guifi-usuaris
Re: [guifi-usuaris] Ojo amb servidors asterisk connectats a Internet/guifi. Atacs SIP
Hola Blackhold, perdona por no contestar antes, pero ando de cabeza con el trabajo. La PABX Asterisk que administro, lleva 5 años en Internet, y con algunas medidas de seguridad es fácil mantener el 5060 abierto, pero ojo...cuidado porque si tenéis una línea personal hay bots que van buscando asterisk abiertos para poder entrar, al igual que el FreePBX es vulnerable al ataque de "asteriskuser/amp111" que es el user/pass que viene por defecto y no se cambia. Existen alternativas para evitar los ataques de fuerza bruta: 1) Fail2ban: http://www.voip-info.org/wiki/view/Fail2Ban+%28with+iptables%29+And+Asterisk 2) BFD: Brute Force rule for Asterisk: http://engineertim.com/linux/bfd-brute-force-rule-for-asterisk/ 3) Sipcheck.pl: http://www.sinologic.net/blog/2010-05/sipcheck-vigila-quien-intenta-registrarse-en-tu-asterisk/ Luego algunas consideraciones de seguridad: Dentro de sip.conf [general] alwaysauthreject=yes Llevar todo el dialplan a otro contexto que no sea [default] En extensions.conf [default] exten => _X.,1,Answer() exten => _X.,n,Hangup() Sorry por no contestar antes, seguro que me dejo todavía más cosas para restringir el acceso no autorizado. Estas son algunas recomendaciones. Con respecto al tema del piloto de VoIP seguimos trabajando en la instalación de Kamailio, pero ando muy pillado con el curro (pues tengo que irme a Alemania a montar asterisk en breve) y apenas dispongo de tiempo libre. De nuevo disculpad por el retraso en contestar Saludos cordiales Atte. -- --- Alex Casanova (EA5HJX) Web: www.bicubik.net Móvil: 668.85.38.18 Skype: alexbogus ___ guifi-usuaris mailing list guifi-usuaris@llistes.projectes.lafarga.org https://llistes.projectes.lafarga.org/cgi-bin/mailman/listinfo/guifi-usuaris
Re: [guifi-usuaris] Ojo amb servidors asterisk connectats a Internet/guifi. Atacs SIP
No t'atabalis, mira com s'ho va agafar la elektra quan li va passar una cosa similar a tu amb la mesh potato: http://groups.google.com/group/village-telco-dev/browse_thread/thread/b3ced89042390bc7/e50bd17d9609957a?show_docid=e50bd17d9609957a Jo d'asterisk fa temps que no toco gaire, però si que us puc di un parell de coses: * Es poden limitar/denegar les sessions a unes ip's conegudes, a través dels paràmetres deny i permit al sip.conf * Es poden posar paraules de pas tan complexes i llargues com es vulgui, incloent majúscules, minúscules etc... El que no estic segur però és si el SIP encripta la password... Algu ho sap? Espero que si perquè sino no tindria sentit. El trixbox per exemple ja t'avisa si tens alguna extensió amb un secret massa feble. Jo crec que vigilant de posar una pwd potent, ja et pots obrir cap a fora. És la manera d'agafar el problema per les banyes. De tota manera aquests scripts a nivells de tallafocs sempre son interessants. Al 11/03/11 10:03, En/na Sergi Tur Badenas ha escrit: Al 11/03/11 09:48, En/na Ramon Roca ha escrit: Justament aprofitant que ara ja tinc millor connexió, vull posar el meu asterisk (trixbox) en òrbita a inet, i fins i tot agafar algun num. fixe amb algun proveidor veuip. Al catnix n'hi han (voztelecom, adam...) Si en proveu algun ha donareu informació, a mi m'interessa saber quins preus i ofertes hi ha... Recordo que això també li va passar a l'elektra amb algun mesh-potato... El que no entenc és això que dius de la pwd, no pot ser tan llarga com vulguis? pq només 4 dígits? Mea culpa... No se per què collons pensava que havia està restricció, ho he provat aquest matí i he vist que puc posar la password que faci falta... Estic aprenent a marxes forçades :-( Vaig configurar la centraleta amb presses, estan a mil temes més: moraleja: la feina ben feta no té fronteres (i la mal feta tampoc quan es tracta de fer trucades fraudulentes...). Un altre cosa que em bé al cap a part de les comentades és posar alguna límit a la ratió d'intents, es pot fer amb firewall iptables quelcom similar a: http://acacha.org/mediawiki/index.php/Iptables#Limitar_la_ratio_de_connexions_.28evitar_atacs_de_for.C3.A7a_bruta.29 Potser algú amb coneixements d'asterisk sap si l'asterisk pot limitar el nombre màxim d'intents de registre SIP. ___ guifi-usuaris mailing list guifi-usuaris@llistes.projectes.lafarga.org https://llistes.projectes.lafarga.org/cgi-bin/mailman/listinfo/guifi-usuaris ___ guifi-usuaris mailing list guifi-usuaris@llistes.projectes.lafarga.org https://llistes.projectes.lafarga.org/cgi-bin/mailman/listinfo/guifi-usuaris
Re: [guifi-usuaris] Ojo amb servidors asterisk connectats a Internet/guifi. Atacs SIP
Ep moltíssimes gràcies pels consells, tot apuntat i m'hi poso a aplicar-los. Merci! Salutacions, Sergi Tur Al 11/03/11 18:39, En/na Alex Casanova ha escrit: Hola Blackhold, perdona por no contestar antes, pero ando de cabeza con el trabajo. La PABX Asterisk que administro, lleva 5 años en Internet, y con algunas medidas de seguridad es fácil mantener el 5060 abierto, pero ojo...cuidado porque si tenéis una línea personal hay bots que van buscando asterisk abiertos para poder entrar, al igual que el FreePBX es vulnerable al ataque de "asteriskuser/amp111" que es el user/pass que viene por defecto y no se cambia. Existen alternativas para evitar los ataques de fuerza bruta: 1) Fail2ban: http://www.voip-info.org/wiki/view/Fail2Ban+%28with+iptables%29+And+Asterisk 2) BFD: Brute Force rule for Asterisk: http://engineertim.com/linux/bfd-brute-force-rule-for-asterisk/ 3) Sipcheck.pl: http://www.sinologic.net/blog/2010-05/sipcheck-vigila-quien-intenta-registrarse-en-tu-asterisk/ Luego algunas consideraciones de seguridad: Dentro de sip.conf [general] alwaysauthreject=yes Llevar todo el dialplan a otro contexto que no sea [default] En extensions.conf [default] exten => _X.,1,Answer() exten => _X.,n,Hangup() Sorry por no contestar antes, seguro que me dejo todavía más cosas para restringir el acceso no autorizado. Estas son algunas recomendaciones. Con respecto al tema del piloto de VoIP seguimos trabajando en la instalación de Kamailio, pero ando muy pillado con el curro (pues tengo que irme a Alemania a montar asterisk en breve) y apenas dispongo de tiempo libre. De nuevo disculpad por el retraso en contestar Saludos cordiales Atte. ___ guifi-usuaris mailing list guifi-usuaris@llistes.projectes.lafarga.org https://llistes.projectes.lafarga.org/cgi-bin/mailman/listinfo/guifi-usuaris
Re: [guifi-usuaris] Ojo amb servidors asterisk connectats a Internet/guifi. Atacs SIP
Uf, yo en casa tengo un router adsl con fxs y fxo y línea de teléfono por vozip, y me temo que el puerto 5060 ni puedo cambiarlo (ya lo intenté, y no me podían llamar) ni puedo implementar en el router fail2ban ni otros mecanismos :s estoy tratando de enterarme cómo flashear un SMC7908 con openwrt (=ARV4518, o eso dicen), pero voy a tener que entrar por serial... lo bueno de este router es que lantiq ha liberado el driver dsl y el de vozip, incluso están trabajando con la gente de openwrt para poder liberar totalmente el driver de vozip y poder utilizar asterisk, kamailio, freepbx, etc muy buenas las recomendaciones, por otra parte ;) El día 11 de marzo de 2011 18:39, Alex Casanova escribió: > Hola > > Blackhold, perdona por no contestar antes, pero ando de cabeza con el > trabajo. > > La PABX Asterisk que administro, lleva 5 años en Internet, y con algunas > medidas de seguridad es fácil mantener el 5060 abierto, pero ojo...cuidado > porque si tenéis una línea personal hay bots que van buscando asterisk > abiertos para poder entrar, al igual que el FreePBX es vulnerable al ataque > de "asteriskuser/amp111" que es el user/pass que viene por defecto y no se > cambia. > > Existen alternativas para evitar los ataques de fuerza bruta: > 1) Fail2ban: > http://www.voip-info.org/wiki/view/Fail2Ban+%28with+iptables%29+And+Asterisk > 2) BFD: Brute Force rule for Asterisk: > http://engineertim.com/linux/bfd-brute-force-rule-for-asterisk/ > 3) Sipcheck.pl: > http://www.sinologic.net/blog/2010-05/sipcheck-vigila-quien-intenta-registrarse-en-tu-asterisk/ > > Luego algunas consideraciones de seguridad: > > Dentro de sip.conf > > [general] > alwaysauthreject=yes > > Llevar todo el dialplan a otro contexto que no sea [default] > En extensions.conf > > [default] > exten => _X.,1,Answer() > exten => _X.,n,Hangup() > > Sorry por no contestar antes, seguro que me dejo todavía más cosas para > restringir el acceso no autorizado. Estas son algunas recomendaciones. > > Con respecto al tema del piloto de VoIP seguimos trabajando en la > instalación de Kamailio, pero ando muy pillado con el curro (pues tengo que > irme a Alemania a montar asterisk en breve) y apenas dispongo de tiempo > libre. > > De nuevo disculpad por el retraso en contestar > Saludos cordiales > Atte. > -- > > --- > Alex Casanova (EA5HJX) > Web: www.bicubik.net > Móvil: 668.85.38.18 > Skype: alexbogus > > > ___ > guifi-usuaris mailing list > guifi-usuaris@llistes.projectes.lafarga.org > https://llistes.projectes.lafarga.org/cgi-bin/mailman/listinfo/guifi-usuaris > ___ guifi-usuaris mailing list guifi-usuaris@llistes.projectes.lafarga.org https://llistes.projectes.lafarga.org/cgi-bin/mailman/listinfo/guifi-usuaris
