Автор Тема: CentOS 6+Asterisk. Блокировка левых инвайтов.  (Прочитано 9453 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Gib_adm

  • Постоялец
  • ***
  • Сообщений: 123
  • Рейтинг: 2
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Нерезиновая
Ситуация такая:

Засек в Asterisk такие вот сообщения:

[Oct  1 11:59:00] NOTICE[20564][C-000002ed]: chan_sip.c:25528 handle_request_invite: Failed to authenticate device 801<sip:801@MY_EXT_IP>;tag=983f5d88
[Oct  1 11:59:01] NOTICE[20564][C-000002ee]: chan_sip.c:25528 handle_request_invite: Failed to authenticate device 801<sip:801@MY_EXT_IP>;tag=c2357b0d

Недолго думая закрыл в *filter INPUT для своего внешнего адреса... не помогло.
Далее решил разобратся в чем дело и при помощи tcpdump поглядел что в пакете:

11:28:24.970544 IP (tos 0x0, ttl 115, id 12565, offset 0, flags [none], proto UDP (17), length 783)
    107.150.50.162.5076 > MY_EXT_IP.sip: SIP, length: 755
        INVITE sip:9810972595863561@MY_EXT_IP SIP/2.0
        To: 9810972595863561<sip:9810972595863561@MY_EXT_IP>
        From: 212<sip:212@MY_EXT_IP>;tag=af8797c0
        Via: SIP/2.0/UDP 107.150.50.162:5076;branch=z9hG4bK-ad99025c52fc841ccc7eb827896c6e00;rport
        Call-ID: ad99025c52fc841ccc7eb827896c6e00
        CSeq: 1 INVITE
        Contact: <sip:212@107.150.50.162:5076>
        Max-Forwards: 70
        Allow: INVITE, ACK, CANCEL, BYE
        User-Agent: sipcli/v1.8
        Content-Type: application/sdp
        Content-Length: 284

        v=0
        o=sipcli-Session 212359776 1840212558 IN IP4 107.150.50.162
        s=sipcli
        c=IN IP4 107.150.50.162
        t=0 0
        m=audio 5078 RTP/AVP 18 0 8 101
        a=fmtp:101 0-15
        a=rtpmap:18 G729/8000
        a=rtpmap:0 PCMU/8000
        a=rtpmap:8 PCMA/8000
        a=rtpmap:101 telephone-event/8000
        a=ptime:20
        a=sendrecv

Т.е. замена происходит в инвайте. Написал несколько правил. Одно для мониторинга сех событий, второе для блокировки оных:

### LOG
-A INPUT -m string --string "@MY_EXT_IP SIP" --algo kmp -j LOG --log-prefix "SIP EXTIP_DETECT: "

### DROP & REJECT Rules
-A INPUT -m string --string "@MY_EXT_IP SIP" --algo kmp -j REJECT

* MY_EXT_IP - Мой внешний IP сервера.

Поправки, корректировки, критика - велком =)

Оффлайн VanDyke

  • Модератор
  • Ветеран
  • *****
  • Сообщений: 1800
  • Рейтинг: 73
  • Пол: Мужской
  • Network Warrior
    • Просмотр профиля
  • Откуда: Destination network unreachable
CentOS 6+Asterisk. Блокировка левых инвайтов.
« Ответ #1 : 01 октября 2014, 12:15:09 »
fail2ban не?
Not as ultimate as 42, but pretty close...

Оффлайн Gib_adm

  • Постоялец
  • ***
  • Сообщений: 123
  • Рейтинг: 2
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Нерезиновая
CentOS 6+Asterisk. Блокировка левых инвайтов.
« Ответ #2 : 01 октября 2014, 12:18:37 »
fail2ban не?
Стоит же. Но в данном случае он будет банить свой же внешний адрес. А писать для него правило для отдельного лога не вижу смысла. Такие запросы не имеют ценности и их нужно рубить на входе.

Оффлайн VanDyke

  • Модератор
  • Ветеран
  • *****
  • Сообщений: 1800
  • Рейтинг: 73
  • Пол: Мужской
  • Network Warrior
    • Просмотр профиля
  • Откуда: Destination network unreachable
CentOS 6+Asterisk. Блокировка левых инвайтов.
« Ответ #3 : 01 октября 2014, 12:26:11 »
Gib_adm, ну в таком случае да, можно и через kmp зарубить. если не хочется сильно логи ковырять.
Not as ultimate as 42, but pretty close...

Оффлайн adept_23

  • Новичок
  • *
  • Сообщений: 1
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Киев
CentOS 6+Asterisk. Блокировка левых инвайтов.
« Ответ #4 : 10 января 2015, 02:26:08 »
Ребята, я уже реально задолбался с поиском решения определения IP атакующего по этому логу типа:
 NOTICE[4159] chan_sip.c: Failed to authenticate device 1111<sip:1111@Мой IP AsteriskBPX>;tag=41b9be28

Версия моего Астериска 1.8.20
Везде на форумах пишут про какой-то файл chan_sip.c которого там и в помине нет!
Есть только chan_sip.so и тот не текстовый....

Специально увидел ваш пост и зарегистрировался на форуме чтобы отписать вам. Помогите! Я новичек в Астериске но уже даже смог прикрутить fail2ban - даже с тем что везде!!! куча ошибочных мануалов по его настройке, тупо везде!!! собирал настройку fail2ban по частям, пока сам не догнал как оно работает. а вот с этими логами уже неделю бьюсь((  :dash:
Я так понял что правило, в начале поста, вы написали для iptables, но хотелось бы видеть IP атакующего в логах, чтобы fail2ban его доставал из логов и банил.
« Последнее редактирование: 10 января 2015, 02:45:45 от adept_23 »