freeswitchforum.com https://freeswitchforum.com/ |
|
защита от взлома учеток снаружи? https://freeswitchforum.com/viewtopic.php?f=6&t=966 |
Страница 1 из 2 |
Автор: | Demon [ 24 сен 2019 15:55 ] |
Заголовок сообщения: | защита от взлома учеток снаружи? |
Произошла тут странная ерунда, прошу совета! Есть сервер freeswitch 1,10,1 порт 5060 проброшен наружу как 55060 для мобильных абонентов в профиле sip указано Код: <param name="inbound-reg-force-matching-username" value="true"/> Недавно некие посторонние нехорошие товарищи совершили надцать звонков. В логах видны попытки перебора учеток пока не авторизовались под "!" Код: 2019-09-24 01:11:18.263129 [WARNING] sofia_reg.c:1793 SIP auth challenge (REGISTER) on sofia profile 'internal' for [10001@xxx.xxx.xxx.xxx] from ip 89.239.44.185 2019-09-24 01:11:19.522872 [WARNING] sofia_reg.c:2930 Can't find user [1001@xxx.xxx.xxx.xxx] from 89.239.44.185 2019-09-24 01:11:22.682668 [WARNING] sofia_reg.c:1793 SIP auth challenge (REGISTER) on sofia profile 'internal' for [!@xxx.xxx.xxx.xxx] from ip 89.239.44.185 и от имени "!" совершали звонки. собственно вопросы: Как это возможно при отсутствии такой учетки в принципе? Как в принципе можно авторизоваться под "!"? Как можно дополнительно защитить сервер от подобных вещей? |
Автор: | Vlad1983 [ 25 сен 2019 10:59 ] |
Заголовок сообщения: | Re: защита от взлома учеток снаружи? |
регистрация и авторизация две разные вещи скорей всего на профиле отключена авторизация, либо проходит по acl |
Автор: | Demon [ 25 сен 2019 14:29 ] |
Заголовок сообщения: | Re: защита от взлома учеток снаружи? |
Код: <param name="auth-calls" value="true"/> да вроде как нет, и слепая регистрация отключена. В ACL только локалки прописаны. |
Автор: | Vlad1983 [ 25 сен 2019 15:38 ] |
Заголовок сообщения: | Re: защита от взлома учеток снаружи? |
звонки точно состоялись? присутствие в логах "...SIP auth challenge (REGISTER) on sofia profile..." и "...SIP auth challenge (INVITE) on sofia profile..." не значит что звонки проходят |
Автор: | Demon [ 25 сен 2019 15:51 ] |
Заголовок сообщения: | Re: защита от взлома учеток снаружи? |
да, состоялись. и по журналам и по счету за те секундные звонки что шлюз городской вышли |
Автор: | Vlad1983 [ 26 сен 2019 08:36 ] |
Заголовок сообщения: | Re: защита от взлома учеток снаружи? |
смотреть что после "...SIP auth challenge (INVITE) on sofia profile..." |
Автор: | Demon [ 26 сен 2019 10:16 ] |
Заголовок сообщения: | Re: защита от взлома учеток снаружи? |
Код: 2019-09-24 01:13:41.783793 [WARNING] sofia_reg.c:1793 SIP auth challenge (INVITE) on sofia profile 'internal' for [900441519470421@xxx.xxx.xxx.xxx] from ip 89.239.44.185
b4b3c53c-15f7-45ff-9f1b-1ce0ca2a5152 2019-09-24 01:13:41.783793 [DEBUG] switch_core_state_machine.c:604 (sofia/internal/!@xxx.xxx.xxx.xxx:55060) State NEW 2019-09-24 01:13:41.783793 [DEBUG] sofia.c:2426 detaching session b4b3c53c-15f7-45ff-9f1b-1ce0ca2a5152 2019-09-24 01:13:41.963801 [DEBUG] sofia.c:2535 Re-attaching to session b4b3c53c-15f7-45ff-9f1b-1ce0ca2a5152 b4b3c53c-15f7-45ff-9f1b-1ce0ca2a5152 2019-09-24 01:13:41.983684 [DEBUG] sofia.c:10243 sofia/internal/!@xxx.xxx.xxx.xxx:55060 receiving invite from 89.239.44.185:10970 version: 1.10.1 ' 64bit 2019-09-24 01:13:41.983684 [DEBUG] sofia.c:10337 verifying acl "domains" for ip/port 89.239.44.185:0. b4b3c53c-15f7-45ff-9f1b-1ce0ca2a5152 2019-09-24 01:13:41.983684 [DEBUG] sofia.c:11433 Setting NAT mode based on via received b4b3c53c-15f7-45ff-9f1b-1ce0ca2a5152 2019-09-24 01:13:41.983684 [DEBUG] sofia.c:7290 Channel sofia/internal/!@xxx.xxx.xxx.xxx:55060 entering state [received][100] b4b3c53c-15f7-45ff-9f1b-1ce0ca2a5152 2019-09-24 01:13:41.983684 [DEBUG] sofia.c:7300 Remote SDP: b4b3c53c-15f7-45ff-9f1b-1ce0ca2a5152 v=0 b4b3c53c-15f7-45ff-9f1b-1ce0ca2a5152 o=_ 92 94 IN IP4 192.168.1.108 b4b3c53c-15f7-45ff-9f1b-1ce0ca2a5152 s=mizuphone b4b3c53c-15f7-45ff-9f1b-1ce0ca2a5152 c=IN IP4 192.168.1.108 b4b3c53c-15f7-45ff-9f1b-1ce0ca2a5152 t=0 0 b4b3c53c-15f7-45ff-9f1b-1ce0ca2a5152 m=audio 24144 RTP/AVP 0 8 101 b4b3c53c-15f7-45ff-9f1b-1ce0ca2a5152 a=rtpmap:0 PCMU/8000 b4b3c53c-15f7-45ff-9f1b-1ce0ca2a5152 a=rtpmap:8 PCMA/8000 b4b3c53c-15f7-45ff-9f1b-1ce0ca2a5152 a=rtpmap:101 telephone-event/8000 b4b3c53c-15f7-45ff-9f1b-1ce0ca2a5152 a=fmtp:101 0-16 b4b3c53c-15f7-45ff-9f1b-1ce0ca2a5152 |
Автор: | Vlad1983 [ 26 сен 2019 11:52 ] |
Заголовок сообщения: | Re: защита от взлома учеток снаружи? |
Код: 2019-09-24 01:13:41.983684 [DEBUG] sofia.c:10337 verifying acl "domains" for ip/port 89.239.44.185:0.
|
Автор: | Demon [ 26 сен 2019 13:10 ] |
Заголовок сообщения: | Re: защита от взлома учеток снаружи? |
Код: <list name="domains" default="deny"> <!-- domain= is special it scans the domain from the directory to build the ACL --> <node type="allow" domain="$${domain}"/> <!-- use cidr= if you wish to allow ip ranges to this domains acl. --> <!-- <node type="allow" cidr="192.168.0.0/24"/> --> </list> domain задан в переменных как $${local_ip_v4} Здесь что-то может позволить обойти авторизацию? |
Автор: | Vlad1983 [ 26 сен 2019 13:28 ] |
Заголовок сообщения: | Re: защита от взлома учеток снаружи? |
во всех sofia-профилях выставить дефолтный контектс, из которого точно нет выхода наружу Код: <param name="context" value="public"/> убрать все упоминания об acl domains из всех sofia-профилей остановить профили (или погасить FS), удалить их базы и запустить снова |
Страница 1 из 2 | Часовой пояс: UTC + 4 часа |
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |