Srodne teme

14.04.2024. Re: Gde je Kejt? (samo pogrešni odgovori)
28.07.2006. Asterisk VoIP -> Modem
27.12.2005. Kako da instaliram webmin modul za Asterisk ???
28.02.2006. asterisk config webmin ????
03.03.2006. Asterisk graficki interface za programiranje
03.05.2006. Asterisk iz pocetka
26.03.2007. AsteriskWin32- dan posle...
25.07.2006. Asterisk: tishina umesto plejbeka zvuchne datoteke
25.07.2007. C++ developer, Asterisk PBX
09.02.2008. Asterisk nadgradnja- dodavanje novih modula vech ..

Navigacija

Brisanje liste

Lista poslednjih: 16, 32, 64, 128 poruka.

Asterisk sigurnost

[es] :: VoIP :: Asterisk sigurnost

[ Pregleda: 3253 | Odgovora: 14 ] > FB > Twit

Autor

scenarist

Član broj: 169249
Poruke: 441
31.176.248.*

+2 Profil

Asterisk sigurnost

^{23.07.2012. u 14:06 - pre 142 meseci}

Distro Centos 5.6
Asterisk verzija 1.4.39
Vicidial/Goautodial CE 2.1
Asterisk se koristi i za odlazne i dolazne (did broj) pozive preko SIP trunkova.

Konkretno me zanima security od hakerskih upada i zloupotrebe trunkova, sta je najbitnije za zastitu od toga?
Da li je dovoljno samo konfigurisati IPTABELE i zabraniti pristup iz vana svim ip adresama osim odredjenog opsega ili je potrebno jos dodatna podesenja napraviti u konfiguracionim fajlovima. Malo sam guglao i pronasao sam standardne tips and tricks koje je potrebno uraditi kada je u pitanju Asterisk security.
Seven Steps to Better SIP Security with Asterisk

Volio bih da malo prodiskutujemo na ovu temu i razmjenimo iskustva....

Odgovor na temu

scenarist

Član broj: 169249
Poruke: 441
31.176.248.*

+2 Profil

Re: Asterisk sigurnost

^{23.07.2012. u 14:44 - pre 142 meseci}

Ukoliko se preko IPTABELA zabrani pristup iz vana svim IP adresama osim onog opsega IPs od sip provajdera, da li je uopste potrebno onda raditi dodatne sigurnosne postavke u asterisku jer samim zabranama pristupa preko IPs smo onemogucili bilo kakav potencijalni napad na server ili pak grijesim ?

Ustvari nije mi uopste poznata logika po kojoj asterisk's attackers upadaju u sistem?

_{[Ovu poruku je menjao scenarist dana 23.07.2012. u 16:10 GMT+1]}

Odgovor na temu

optix
CH

SuperModerator
Član broj: 7009
Poruke: 1867
*.optix.rs. via ipv6

+101 Profil

Re: Asterisk sigurnost

^{23.07.2012. u 17:57 - pre 142 meseci}

Najcesci 'upadi' su brute force pokusaji registracije ekstenzija (kroz jednostavne ID-eve i password-e) i onda pravljenje sumanutih poziva preko te linije. Ako onemogucis zlonamerne registracije bilo iptables-ima (gde ces da propustis samo ono sto ti je neophodno), bilo recimo Fail2Ban skriptama (koja na osnovu log-a registracija automatski stavlja zlonamernu IP adresu u iptables), bilo kroz sam asterisk (deny i permit opcije kod extenzije), resices se 99% problema.

Ostatak ide na obezbedjivanje ssh i eventualno gui web interface-a (ako ga imas).

Generalno, propusti samo ono sto moras kroz iptables za ssh, web, udp 5060, i bices ok...

"99% of your thought process is protecting your self-conceptions,
and 98% of that is wrong."

Odgovor na temu

scenarist

Član broj: 169249
Poruke: 441
109.175.88.*

+2 Profil

Re: Asterisk sigurnost

^{16.08.2012. u 12:24 - pre 142 meseci}

Eh ovako , sa iptabelama sam zabranio pristup svim ip adresama i onda odobrio samo odredjenim. Sad imam problem kod registracije sip trunka. Iako sam cijelom range IP adresa od sip provajdera dozvolio pristup ali opet se ne mogu nakaciti .

Znaci logika je slijedeca kod iptabela .

Code:
iptables -A INPUT -s 77.0.0.0/8 -j ACCEPT // range od sip provajdera, dakle dozvolio sam incoming pristup sa datog opsega
iptables -P INPUT DROP //svim ostalim IP adresama zabrani pristup

Ovo prvo pravilo bi trebalo da znaci da je dozvoljen pristup preko bilo kojeg porta !?

Kada izbrisem drugo pravilo uspjesno se nakaci "105 registered"

Odgovor na temu

optix
CH

SuperModerator
Član broj: 7009
Poruke: 1867
2a00:1108:0:c000:.*

+101 Profil

Re: Asterisk sigurnost

^{16.08.2012. u 13:30 - pre 142 meseci}

Hm, zasto 'iptables -P INPUT DROP' ?

Trebalo bi 'iptables -A INPUT -j DROP' posle ove prve linije.

Druga stvar, /8 maska ti je malo preglomazna, ne verujem da taj provajder koristi vise od par fiksnih adresa za svoj servis koje bi trebalo da mozes lako da saznas...

"99% of your thought process is protecting your self-conceptions,
and 98% of that is wrong."

Odgovor na temu

scenarist

Član broj: 169249
Poruke: 441
*.gprs.19522256-78.bih.net.ba.

+2 Profil

Re: Asterisk sigurnost

^{16.08.2012. u 14:05 - pre 142 meseci}

Ok. Ni sam ne znam zasto :)

setovao sam

iptables -A INPUT 0/0 -j DROP

i sad je sve ok.

Za provajdera, upravo mi je poslao IP adrese koje koristi, nisam ih prije imao pa sam stavio njegov cijeli opseg primjera radi....sad je sve ok.

Odgovor na temu

scenarist

Član broj: 169249
Poruke: 441
109.175.88.*

+2 Profil

Re: Asterisk sigurnost

^{16.08.2012. u 15:51 - pre 142 meseci}

Ne prolazi ni nakon sto sam stavio

iptables -A INPUT -s 0/0 -j DROP

ovo mi javlja

Code:

[Aug 16 16:49:09] WARNING[2421]: chan_sip.c:3225 create_addr: No such host: sip.justvoip.com
[Aug 16 16:49:09] WARNING[2421]: chan_sip.c:8291 transmit_register: Probably a DNS error for registration to [email protected], trying REGISTER again (after 20 seconds)

etc/sysconfig/iptables

Code:

-A INPUT -s 195.222.0.0/255.255.0.0 -j ACCEPT
-A INPUT -s 192.168.1.0/255.255.255.0 -j ACCEPT
-A INPUT -s 77.0.0.0/255.0.0.0 -j ACCEPT
-A INPUT -s 77.0.0.0/255.0.0.0 -p udp -m udp --dport 4569 -j ACCEPT
-A INPUT -s 77.0.0.0/255.0.0.0 -p udp -m udp --dport 5060 -j ACCEPT
-A INPUT -s 77.0.0.0/255.0.0.0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -s 77.0.0.0/255.0.0.0 -p udp -m udp --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 77.72.169.128 -p udp -m udp --dport 5060 -j ACCEPT
-A INPUT -s 127.0.0.1 -j ACCEPT
-A INPUT -s 89.185.96.0/255.255.255.0 -j ACCEPT
-A INPUT -j DROP
-A INPUT -j LOG --log-prefix "DROP paketi" --log-level 7

_{[Ovu poruku je menjao scenarist dana 16.08.2012. u 17:11 GMT+1]}

Odgovor na temu

optix
CH

SuperModerator
Član broj: 7009
Poruke: 1867
*.optix.rs. via ipv6

+101 Profil

Re: Asterisk sigurnost

^{16.08.2012. u 22:25 - pre 142 meseci}

Nisi dozvolio nigde da ti prodje odgovor za DNS upit od servera, pa ne moze da resolve-uje sip.justvoip.com - deluje mi kao da je to, osim ako ne koristis bas neki DNS iz ovih blokova koje si eksplicitno pustio...

Umesto

Code:
-A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT

stavi

Code:
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

"99% of your thought process is protecting your self-conceptions,
and 98% of that is wrong."

Odgovor na temu

burex
46°05'N 19°39'E

Član broj: 24964
Poruke: 987
2001:470:9db1:.*

+679 Profil

Re: Asterisk sigurnost

^{17.08.2012. u 01:42 - pre 142 meseci}

Generalno Asterisk server treba izolovati od sveta po mogućnosti (ako ne, valja i promeniti port)... ne pričam ovo samo zbog mogućih security rupa (nisam toliko paranoičan), već zbog punjenja logova nepotrebnim smećem. Asterisk dijagnostika dok neki manijak pokušava da se uloguje je izuzetno dosadan posao. Po mom iskustvu, ono što zaista treba zaštititi su ekstenzije. Potrebno je zaključati svaki SIP uređaj što je više moguće ukoliko postoji i tračak sumnje da će biti dostupni online, ili nekim trećim licima, jer skeneri iz Kine, Palestine i sl. vrebaju te uređaje uz raznorazne default username/passworde, i lako izvuku iz njih sve potrebne podatke, pa se povežu na server bez problema i vrše svoj biznis, dok za sve to vreme izgledaju kao sasvim obični korisnici.

A man is smart. People are stupid.

Odgovor na temu

scenarist

Član broj: 169249
Poruke: 441
31.176.253.*

+2 Profil

Re: Asterisk sigurnost

^{17.08.2012. u 07:08 - pre 142 meseci}

@optix

ni nakon dodavanja gornjeg pravila opet isto, ne prolazi. ? Ne znam sam jos sta da radim. DNS su mi u opsegu 195.222.0.0

Odgovor na temu

scenarist

Član broj: 169249
Poruke: 441
31.176.253.*

+2 Profil

Re: Asterisk sigurnost

^{17.08.2012. u 08:38 - pre 142 meseci}

Ustvari registracija sip trunka prodje ali kod pokusaja reregistracije nekad i po 20 attempta ima da se ponovno nakaci, a nekad prodje nakon dva pokusaja

Code:

[Aug 17 09:35:37] NOTICE[2742]: chan_sip.c:8208 sip_reg_timeout:    -- Registration for '[email protected]' timed out, trying again (Attempt #1)
go*CLI> sip show registry
Host                            Username       Refresh State                Reg.Time
sip.justvoip.com:5060           telebosa4          105 Request Sent         Fri, 17 Aug 2012 09:33:32
[Aug 17 09:35:57] NOTICE[2742]: chan_sip.c:8208 sip_reg_timeout:    -- Registration for '[email protected]' timed out, trying again (Attempt #2)
[Aug 17 09:36:02]   == Parsing '/etc/asterisk/manager.conf': [Aug 17 09:36:02] Found
[Aug 17 09:36:02]   == Manager 'sendcron' logged on from 127.0.0.1
[Aug 17 09:36:02]   == Manager 'sendcron' logged off from 127.0.0.1
[Aug 17 09:36:02]   == Parsing '/etc/asterisk/manager.conf': [Aug 17 09:36:02] Found
[Aug 17 09:36:02]   == Manager 'sendcron' logged on from 127.0.0.1
[Aug 17 09:36:05]   == Manager 'sendcron' logged off from 127.0.0.1
[Aug 17 09:36:07]   == Parsing '/etc/asterisk/manager.conf': [Aug 17 09:36:07] Found
[Aug 17 09:36:07]   == Manager 'sendcron' logged on from 127.0.0.1
[Aug 17 09:36:07]   == Manager 'sendcron' logged off from 127.0.0.1
go*CLI> sip show registry
Host                            Username       Refresh State                Reg.Time
sip.justvoip.com:5060           telebosa4          105 Registered           Fri, 17 Aug 2012 09:36:10
go*CLI> sip show registry
Host                            Username       Refresh State                Reg.Time
sip.justvoip.com:5060           telebosa4          105 Registered           Fri, 17 Aug 2012 09:36:10

Odgovor na temu

scenarist

Član broj: 169249
Poruke: 441
31.176.253.*

+2 Profil

Re: Asterisk sigurnost

^{17.08.2012. u 08:50 - pre 142 meseci}

dodao sam

-A INPUT -s 127.0.0.1 -j ACCEPT //allow all incoming packets destined for the localhost interface to be accepted. This is generally required as many software applications expect to be able to communicate with the localhost adaptor.

i sad zasad radi bez problema s tim da ponekad mi sip show registry izbacuje

Code:

go*CLI> sip show registry
Host                            Username       Refresh State                Reg.Time
sip.justvoip.com:5060           telebosa4          105 Request Sent         Fri, 17 Aug 2012 09:48:35
go*CLI> sip show registry
Host                            Username       Refresh State                Reg.Time
sip.justvoip.com:5060           telebosa4          105 Auth. Sent           Fri, 17 Aug 2012 09:48:35
go*CLI> sip show registry
Host                            Username       Refresh State                Reg.Time
sip.justvoip.com:5060           telebosa4          105 Registered           Fri, 17 Aug 2012 09:50:30
go*CLI> sip show registry
Host                            Username       Refresh State                Reg.Time
sip.justvoip.com:5060           telebosa4          105 Registered           Fri, 17 Aug 2012 09:50:30

_{[Ovu poruku je menjao scenarist dana 17.08.2012. u 10:05 GMT+1]}

Odgovor na temu

optix
CH

SuperModerator
Član broj: 7009
Poruke: 1867
2a00:1108:0:c000:.*

+101 Profil

Re: Asterisk sigurnost

^{17.08.2012. u 09:31 - pre 142 meseci}

Ja koliko vidim tu liniju si imao i u /etc/sysconfig/iptables fajlu... ako ti je on uopste bio aktivan kao konfiguracija za iptables.
I da, generalno ta linija je za dobar deo aplikacija potrebna.

To sto izbacuje je ok, posto radi refresh na 105 sekundi.

"99% of your thought process is protecting your self-conceptions,
and 98% of that is wrong."

Odgovor na temu

scenarist

Član broj: 169249
Poruke: 441
31.176.253.*

+2 Profil

Re: Asterisk sigurnost

^{17.08.2012. u 09:57 - pre 142 meseci}

Onda je ova gore tvoja kljucna linija bila

Code:
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

s tim da sam dodao i

Code:
iptables -A INPUT -i lo -j ACCEPT

uglavnom sad radi bez problema.

A ovo za reregistraciju , pretpostavlja u sip.conf cu da promjenim defaultexpiry=120 //Default length of incoming/outgoing registration

Code:

[Aug 17 10:51:39] NOTICE[2742]: chan_sip.c:8178 sip_reregister: -- Re-registration for [email protected]
[Aug 17 10:51:39] NOTICE[2742]: chan_sip.c:13779 handle_response_register: Outbound Registration: Expiry for sip.justvoip.com is 120 sec (Scheduling reregistration in 105 s)

Odgovor na temu

optix
CH

SuperModerator
Član broj: 7009
Poruke: 1867
*.eunet.rs.

+101 Profil

Re: Asterisk sigurnost

^{17.08.2012. u 14:34 - pre 142 meseci}

Obrati paznju da provajder takodje radi podesavanje expire-a za sesije, tako da tvoje podesavanje verovatno nece imati efekta za registracije na remote SIP SBC ;)

"99% of your thought process is protecting your self-conceptions,
and 98% of that is wrong."

Odgovor na temu

[es] :: VoIP :: Asterisk sigurnost

[ Pregleda: 3253 | Odgovora: 14 ] > FB > Twit

Srodne teme

10.06.2008. Asterisk i Delphi
12.06.2008. voip Asterisk sip
30.01.2009. ISDN telefon + Asterisk
22.02.2009. Potreban radnik sa dobrim poznavanjem Asterisk Pb..
02.04.2009. Asterisk centrala sama poziva brojeve
22.06.2009. skype i asterisk
15.07.2009. Presence pod Asterisk-om
26.02.2010. Asterisk GUI instalacija iz pocetka
04.06.2010. Asterisk admin / programer

Navigacija

Lista poslednjih: 16, 32, 64, 128 poruka.