freeswitchforum.com • Просмотр темы

Сообщения без ответов | Активные темы

Список форумов » FreeSWITCH Main » Для новичков/FAQ

Часовой пояс: UTC + 4 часа

безопасность

Модератор: Vlad1983

Страница 1 из 3

[ Сообщений: 21 ]

На страницу 1, 2, 3 След.

Версия для печати

Пред. тема | След. тема

Автор

Сообщение

sugiura

Заголовок сообщения: безопасность

Добавлено: 04 окт 2013 12:38

Зарегистрирован: 07 июн 2013 10:17
Сообщения: 122

Просмотрел сегодня логи, обнаружил вот что:

Код:

[WARNING] sofia_reg.c:1632 SIP auth challenge (REGISTER) on sofia profile 'sipinterface_1' for [9@какой-то внешний IP]

И подобным засыплен весь лог.
Так вот, что мне интересно: разве при неудачной попытке регистрации не должно вылезать что-то вроде registration failed?
Юзеров, как приведенный в примере 9, у меня нет. Т.е. он, по-идее, никак не может быть авторизован.
Стандартных паролей нет, все сменил.
Fail2Ban у меня реагирует как раз на частые fail'ы регистрации.

Испугался и продолжаю бояться за безопасность...

Вернуться к началу

Vlad1983

Заголовок сообщения: Re: безопасность

Добавлено: 04 окт 2013 12:48

FreeSWITCH_GuRu

Зарегистрирован: 22 авг 2012 09:52
Сообщения: 1710

https://wiki.freeswitch.org/wiki/Fail2b ... DOS_Attack

_________________
ЛС: @rostel
Сообщество: @ru_freeswitch

Вернуться к началу

sugiura

Заголовок сообщения: Re: безопасность

Добавлено: 04 окт 2013 13:25

Зарегистрирован: 07 июн 2013 10:17
Сообщения: 122

Я это делал еще ранее, но все очень странно
Пример из лога Fail2Ban:

Код:

2013-10-03 20:06:50,945 fail2ban.actions: WARNING [freeswitch-dos] Unban 85.25.155.136
2013-10-03 20:06:52,956 fail2ban.actions: WARNING [freeswitch-dos] Ban 85.25.155.136
2013-10-03 20:15:40,482 fail2ban.actions: WARNING [freeswitch-dos] Unban 85.25.78.20
2013-10-03 20:15:42,494 fail2ban.actions: WARNING [freeswitch-dos] Ban 85.25.78.20
2013-10-03 21:46:53,909 fail2ban.actions: WARNING [freeswitch-dos] Unban 85.25.155.136
2013-10-03 21:46:56,922 fail2ban.actions: WARNING [freeswitch-dos] Ban 85.25.155.136
2013-10-03 21:55:43,461 fail2ban.actions: WARNING [freeswitch-dos] Unban 85.25.78.20
2013-10-03 21:55:45,474 fail2ban.actions: WARNING [freeswitch-dos] Ban 85.25.78.20
2013-10-03 23:26:56,955 fail2ban.actions: WARNING [freeswitch-dos] Unban 85.25.155.136
2013-10-03 23:26:59,967 fail2ban.actions: WARNING [freeswitch-dos] Ban 85.25.155.136
2013-10-03 23:35:45,508 fail2ban.actions: WARNING [freeswitch-dos] Unban 85.25.78.20
2013-10-03 23:35:47,520 fail2ban.actions: WARNING [freeswitch-dos] Ban 85.25.78.20
2013-10-04 01:07:00,022 fail2ban.actions: WARNING [freeswitch-dos] Unban 85.25.155.136
2013-10-04 01:07:03,033 fail2ban.actions: WARNING [freeswitch-dos] Ban 85.25.155.136
2013-10-04 01:15:47,572 fail2ban.actions: WARNING [freeswitch-dos] Unban 85.25.78.20
2013-10-04 01:15:49,583 fail2ban.actions: WARNING [freeswitch-dos] Ban 85.25.78.20

Вернуться к началу

Vlad1983

Заголовок сообщения: Re: безопасность

Добавлено: 04 окт 2013 13:36

FreeSWITCH_GuRu

Зарегистрирован: 22 авг 2012 09:52
Сообщения: 1710

возможно с acl перемудрили и на все REGISTER freeswitch отвечает 200 Ok

_________________
ЛС: @rostel
Сообщество: @ru_freeswitch

Вернуться к началу

sugiura

Заголовок сообщения: Re: безопасность

Добавлено: 04 окт 2013 13:45

Зарегистрирован: 07 июн 2013 10:17
Сообщения: 122

В internal:

Код:

<!-- ACL -->
<param name="auth-calls" value="true"/>
<param name="apply-nat-acl" value="rfc1918.auto"/>
<param name="apply-inbound-acl" value="trusted"/>
<param name="apply-proxy-acl" value="authoritative"/>
<param name="local-network-acl" value="localnet.auto"/>
<!--<param name="apply-register-acl" value="domains"/>-->

В acl.conf.xml

Код:

<include>
<configuration name="acl.conf">
<network-lists>
<list name="net_list_1" default="deny"/>
<list name="net_list_2" default="deny"/>
<list name="net_list_3" default="deny"/>
<list name="net_list_4" default="deny"/>
<list name="net_list_5" default="deny"/>
<list name="net_list_6" default="allow">
</list>
</network-lists>
</configuration>
</include>

Вернуться к началу

Vlad1983

Заголовок сообщения: Re: безопасность

Добавлено: 04 окт 2013 13:55

FreeSWITCH_GuRu

Зарегистрирован: 22 авг 2012 09:52
Сообщения: 1710

воспроизвел
при нормальном общении с неверным паролем в лог падают 2 строки

Код:

2013-10-04 15:52:36.014683 [WARNING] sofia_reg.c:1634 SIP auth challenge (REGISTER) on sofia profile 'sip-tcp-reg' for [315611@pbxtest.ru] from ip 91.0.0.20
2013-10-04 15:52:36.074714 [WARNING] sofia_reg.c:1579 SIP auth failure (REGISTER) on sofia profile 'sip-tcp-reg' for [315611@pbxtest.ru] from ip 91.0.0.20

но если не отвечать на 401 всего одна

Код:

2013-10-04 15:53:39.014121 [WARNING] sofia_reg.c:1634 SIP auth challenge (REGISTER) on sofia profile 'sip-tcp-reg' for [315611@pbxtest.ru] from ip 91.0.0.20

это и видите

_________________
ЛС: @rostel
Сообщество: @ru_freeswitch

Вернуться к началу

sugiura

Заголовок сообщения: Re: безопасность

Добавлено: 04 окт 2013 14:20

Зарегистрирован: 07 июн 2013 10:17
Сообщения: 122

А можно ли как-то отсылать "в утиль" попытки регистрации без ответа на 401?

Вернуться к началу

Vlad1983

Заголовок сообщения: Re: безопасность

Добавлено: 04 окт 2013 14:30

FreeSWITCH_GuRu

Зарегистрирован: 22 авг 2012 09:52
Сообщения: 1710

они должны падать в лог чтоб их ловил fail2ban

подобрать maxretry, findtime, bantime
чтоб блокировались быстрей и надолго

maxretry = 100 многовато целых 100 строк с одного IP в лог навалит

_________________
ЛС: @rostel
Сообщество: @ru_freeswitch

Вернуться к началу

sugiura

Заголовок сообщения: Re: безопасность

Добавлено: 05 окт 2013 09:20

Зарегистрирован: 07 июн 2013 10:17
Сообщения: 122

И еще такой вот вопрос)

Тоже периодически проскакивает в логах. Как этот "100" доходит до сего этапа?

[+]

Код:

2013-10-05 14:11:03.812014 [NOTICE] switch_channel.c:1030 New Channel sofia/sipinterface_1/100@194.143.148.10 [a98049435de204281df129904ec40eba]
2013-10-05 14:11:03.812014 [DEBUG] switch_core_session.c:1006 Send signal sofia/sipinterface_1/100@194.143.148.10 [BREAK]
2013-10-05 14:11:03.812014 [DEBUG] switch_core_session.c:1006 Send signal sofia/sipinterface_1/100@194.143.148.10 [BREAK]
2013-10-05 14:11:03.812014 [DEBUG] switch_core_state_machine.c:418 (sofia/sipinterface_1/100@194.143.148.10) Running State Change CS_NEW
2013-10-05 14:11:03.812014 [DEBUG] switch_core_state_machine.c:436 (sofia/sipinterface_1/100@194.143.148.10) State NEW
2013-10-05 14:11:03.832042 [DEBUG] sofia.c:7958 1 acls to check for proxy
2013-10-05 14:11:03.832042 [DEBUG] sofia.c:7963 checking 188.227.184.50 against acl authoritative
2013-10-05 14:11:03.832042 [DEBUG] sofia.c:8003 IP 188.227.184.50 Rejected by acl "authoritative". Falling back to Digest auth.
2013-10-05 14:11:03.832042 [WARNING] sofia_reg.c:1632 SIP auth challenge (INVITE) on sofia profile 'sipinterface_1' for [+00810448703929539@194.143.148.10] from ip 188.227.184.50
2013-10-05 14:11:03.832042 [DEBUG] switch_core_session.c:1006 Send signal sofia/sipinterface_1/100@194.143.148.10 [BREAK]
2013-10-05 14:11:03.832042 [DEBUG] sofia.c:1788 detaching session a98049435de204281df129904ec40eba
2013-10-05 14:11:13.812014 [WARNING] switch_core_state_machine.c:517 a98049435de204281df129904ec40eba sofia/sipinterface_1/100@194.143.148.10 Abandoned
2013-10-05 14:11:13.812014 [NOTICE] switch_core_state_machine.c:520 Hangup sofia/sipinterface_1/100@194.143.148.10 [CS_NEW] [WRONG_CALL_STATE]
2013-10-05 14:11:13.812014 [DEBUG] switch_channel.c:3135 Send signal sofia/sipinterface_1/100@194.143.148.10 [KILL]
2013-10-05 14:11:13.812014 [DEBUG] switch_core_session.c:1341 Send signal sofia/sipinterface_1/100@194.143.148.10 [BREAK]
2013-10-05 14:11:13.812014 [DEBUG] switch_core_state_machine.c:418 (sofia/sipinterface_1/100@194.143.148.10) Running State Change CS_HANGUP
2013-10-05 14:11:13.812014 [DEBUG] switch_core_state_machine.c:681 (sofia/sipinterface_1/100@194.143.148.10) State HANGUP
2013-10-05 14:11:13.812014 [DEBUG] mod_sofia.c:465 Channel sofia/sipinterface_1/100@194.143.148.10 hanging up, cause: WRONG_CALL_STATE
2013-10-05 14:11:13.812014 [DEBUG] switch_core_state_machine.c:48 sofia/sipinterface_1/100@194.143.148.10 Standard HANGUP, cause: WRONG_CALL_STATE
2013-10-05 14:11:13.812014 [DEBUG] switch_core_state_machine.c:681 (sofia/sipinterface_1/100@194.143.148.10) State HANGUP going to sleep
2013-10-05 14:11:13.812014 [DEBUG] switch_core_state_machine.c:694 (sofia/sipinterface_1/100@194.143.148.10) Callstate Change DOWN -> HANGUP
2013-10-05 14:11:13.812014 [DEBUG] switch_core_state_machine.c:449 (sofia/sipinterface_1/100@194.143.148.10) State Change CS_HANGUP -> CS_REPORTING
2013-10-05 14:11:13.812014 [DEBUG] switch_core_session.c:1341 Send signal sofia/sipinterface_1/100@194.143.148.10 [BREAK]
2013-10-05 14:11:13.812014 [DEBUG] switch_core_state_machine.c:418 (sofia/sipinterface_1/100@194.143.148.10) Running State Change CS_REPORTING
2013-10-05 14:11:13.812014 [DEBUG] switch_core_state_machine.c:766 (sofia/sipinterface_1/100@194.143.148.10) State REPORTING
2013-10-05 14:11:13.812014 [DEBUG] switch_core_state_machine.c:92 sofia/sipinterface_1/100@194.143.148.10 Standard REPORTING, cause: WRONG_CALL_STATE
2013-10-05 14:11:13.812014 [DEBUG] switch_core_state_machine.c:766 (sofia/sipinterface_1/100@194.143.148.10) State REPORTING going to sleep
2013-10-05 14:11:13.812014 [DEBUG] switch_core_state_machine.c:443 (sofia/sipinterface_1/100@194.143.148.10) State Change CS_REPORTING -> CS_DESTROY
2013-10-05 14:11:13.812014 [DEBUG] switch_core_session.c:1341 Send signal sofia/sipinterface_1/100@194.143.148.10 [BREAK]
2013-10-05 14:11:13.812014 [DEBUG] switch_core_session.c:1549 Session 160 (sofia/sipinterface_1/100@194.143.148.10) Locked, Waiting on external entities
2013-10-05 14:11:13.812014 [NOTICE] switch_core_session.c:1567 Session 160 (sofia/sipinterface_1/100@194.143.148.10) Ended
2013-10-05 14:11:13.812014 [NOTICE] switch_core_session.c:1571 Close Channel sofia/sipinterface_1/100@194.143.148.10 [CS_DESTROY]
2013-10-05 14:11:13.812014 [DEBUG] switch_core_state_machine.c:568 (sofia/sipinterface_1/100@194.143.148.10) Callstate Change HANGUP -> DOWN
2013-10-05 14:11:13.812014 [DEBUG] switch_core_state_machine.c:571 (sofia/sipinterface_1/100@194.143.148.10) Running State Change CS_DESTROY
2013-10-05 14:11:13.812014 [DEBUG] switch_core_state_machine.c:581 (sofia/sipinterface_1/100@194.143.148.10) State DESTROY
2013-10-05 14:11:13.812014 [DEBUG] mod_sofia.c:375 sofia/sipinterface_1/100@194.143.148.10 SOFIA DESTROY
2013-10-05 14:11:13.812014 [DEBUG] switch_core_state_machine.c:99 sofia/sipinterface_1/100@194.143.148.10 Standard DESTROY
2013-10-05 14:11:13.812014 [DEBUG] switch_core_state_machine.c:581 (sofia/sipinterface_1/100@194.143.148.10) State DESTROY going to sleep

Вернуться к началу

Vlad1983

Заголовок сообщения: Re: безопасность

Добавлено: 05 окт 2013 10:06

FreeSWITCH_GuRu

Зарегистрирован: 22 авг 2012 09:52
Сообщения: 1710

для общего представления http://habrahabr.ru/post/141727/
дальнейшее развитие https://wiki.freeswitch.org/wiki/Acl

править настройки acl в профиле sipinterface_1

вебка в этом случае - зло

_________________
ЛС: @rostel
Сообщество: @ru_freeswitch

Вернуться к началу

Страница 1 из 3

[ Сообщений: 21 ]

На страницу 1, 2, 3 След.

Список форумов » FreeSWITCH Main » Для новичков/FAQ

Часовой пояс: UTC + 4 часа

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 242

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения