freeswitchforum.com

Форум поддержки FreeSWITCH

FreeSWITCH is a registered trademark of Anthony Minessale. Official FreeSWITCH site.

Текущее время: 18 ноя 2019 21:29

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 14 ]  На страницу 1, 2  След.
Автор Сообщение
 Заголовок сообщения: защита от взлома учеток снаружи?
СообщениеДобавлено: 24 сен 2019 15:55 

Зарегистрирован: 13 май 2015 15:53
Сообщения: 124
Произошла тут странная ерунда, прошу совета!
Есть сервер freeswitch 1,10,1 порт 5060 проброшен наружу как 55060 для мобильных абонентов
в профиле sip указано
Код:
  <param name="inbound-reg-force-matching-username" value="true"/>

Недавно некие посторонние нехорошие товарищи совершили надцать звонков.
В логах видны попытки перебора учеток пока не авторизовались под "!"
Код:


2019-09-24 01:11:18.263129 [WARNING] sofia_reg.c:1793 SIP auth challenge (REGISTER) on sofia profile 'internal' for [10001@xxx.xxx.xxx.xxx] from ip 89.239.44.185
2019-09-24 01:11:19.522872  [WARNING] sofia_reg.c:2930 Can't find user [1001@xxx.xxx.xxx.xxx] from 89.239.44.185


2019-09-24 01:11:22.682668 [WARNING] sofia_reg.c:1793 SIP auth challenge (REGISTER) on sofia profile 'internal' for [!@xxx.xxx.xxx.xxx] from ip 89.239.44.185


и от имени "!" совершали звонки.

собственно вопросы:
Как это возможно при отсутствии такой учетки в принципе?
Как в принципе можно авторизоваться под "!"?
Как можно дополнительно защитить сервер от подобных вещей?


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 25 сен 2019 10:59 
FreeSWITCH_GuRu

Зарегистрирован: 22 авг 2012 09:52
Сообщения: 1628
регистрация и авторизация две разные вещи
скорей всего на профиле отключена авторизация, либо проходит по acl

_________________
Мобильные РФ 1.2 руб./мин. + НДС с посекундной тарификацией, CLI
Telegram: @rostel


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 25 сен 2019 14:29 

Зарегистрирован: 13 май 2015 15:53
Сообщения: 124
Код:
 <param name="auth-calls" value="true"/>

да вроде как нет, и слепая регистрация отключена.
В ACL только локалки прописаны.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 25 сен 2019 15:38 
FreeSWITCH_GuRu

Зарегистрирован: 22 авг 2012 09:52
Сообщения: 1628
звонки точно состоялись?
присутствие в логах "...SIP auth challenge (REGISTER) on sofia profile..." и "...SIP auth challenge (INVITE) on sofia profile..." не значит что звонки проходят

_________________
Мобильные РФ 1.2 руб./мин. + НДС с посекундной тарификацией, CLI
Telegram: @rostel


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 25 сен 2019 15:51 

Зарегистрирован: 13 май 2015 15:53
Сообщения: 124
да, состоялись. и по журналам и по счету за те секундные звонки что шлюз городской вышли


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 26 сен 2019 08:36 
FreeSWITCH_GuRu

Зарегистрирован: 22 авг 2012 09:52
Сообщения: 1628
смотреть что после "...SIP auth challenge (INVITE) on sofia profile..."

_________________
Мобильные РФ 1.2 руб./мин. + НДС с посекундной тарификацией, CLI
Telegram: @rostel


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 26 сен 2019 10:16 

Зарегистрирован: 13 май 2015 15:53
Сообщения: 124
Код:
2019-09-24 01:13:41.783793 [WARNING] sofia_reg.c:1793 SIP auth challenge (INVITE) on sofia profile 'internal' for [900441519470421@xxx.xxx.xxx.xxx] from ip 89.239.44.185
b4b3c53c-15f7-45ff-9f1b-1ce0ca2a5152 2019-09-24 01:13:41.783793 [DEBUG] switch_core_state_machine.c:604 (sofia/internal/!@xxx.xxx.xxx.xxx:55060) State NEW
2019-09-24 01:13:41.783793 [DEBUG] sofia.c:2426 detaching session b4b3c53c-15f7-45ff-9f1b-1ce0ca2a5152
2019-09-24 01:13:41.963801 [DEBUG] sofia.c:2535 Re-attaching to session b4b3c53c-15f7-45ff-9f1b-1ce0ca2a5152
b4b3c53c-15f7-45ff-9f1b-1ce0ca2a5152 2019-09-24 01:13:41.983684 [DEBUG] sofia.c:10243 sofia/internal/!@xxx.xxx.xxx.xxx:55060 receiving invite from 89.239.44.185:10970 version: 1.10.1 ' 64bit
2019-09-24 01:13:41.983684 [DEBUG] sofia.c:10337 verifying acl "domains" for ip/port 89.239.44.185:0.
b4b3c53c-15f7-45ff-9f1b-1ce0ca2a5152 2019-09-24 01:13:41.983684 [DEBUG] sofia.c:11433 Setting NAT mode based on via received
b4b3c53c-15f7-45ff-9f1b-1ce0ca2a5152 2019-09-24 01:13:41.983684 [DEBUG] sofia.c:7290 Channel sofia/internal/!@xxx.xxx.xxx.xxx:55060 entering state [received][100]
b4b3c53c-15f7-45ff-9f1b-1ce0ca2a5152 2019-09-24 01:13:41.983684 [DEBUG] sofia.c:7300 Remote SDP:
b4b3c53c-15f7-45ff-9f1b-1ce0ca2a5152 v=0
b4b3c53c-15f7-45ff-9f1b-1ce0ca2a5152 o=_ 92 94 IN IP4 192.168.1.108
b4b3c53c-15f7-45ff-9f1b-1ce0ca2a5152 s=mizuphone
b4b3c53c-15f7-45ff-9f1b-1ce0ca2a5152 c=IN IP4 192.168.1.108
b4b3c53c-15f7-45ff-9f1b-1ce0ca2a5152 t=0 0
b4b3c53c-15f7-45ff-9f1b-1ce0ca2a5152 m=audio 24144 RTP/AVP 0 8 101
b4b3c53c-15f7-45ff-9f1b-1ce0ca2a5152 a=rtpmap:0 PCMU/8000
b4b3c53c-15f7-45ff-9f1b-1ce0ca2a5152 a=rtpmap:8 PCMA/8000
b4b3c53c-15f7-45ff-9f1b-1ce0ca2a5152 a=rtpmap:101 telephone-event/8000
b4b3c53c-15f7-45ff-9f1b-1ce0ca2a5152 a=fmtp:101 0-16
b4b3c53c-15f7-45ff-9f1b-1ce0ca2a5152





Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 26 сен 2019 11:52 
FreeSWITCH_GuRu

Зарегистрирован: 22 авг 2012 09:52
Сообщения: 1628
Код:
2019-09-24 01:13:41.983684 [DEBUG] sofia.c:10337 verifying acl "domains" for ip/port 89.239.44.185:0.

_________________
Мобильные РФ 1.2 руб./мин. + НДС с посекундной тарификацией, CLI
Telegram: @rostel


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 26 сен 2019 13:10 

Зарегистрирован: 13 май 2015 15:53
Сообщения: 124
Код:
<list name="domains" default="deny">
      <!-- domain= is special it scans the domain from the directory to build the ACL -->
      <node type="allow" domain="$${domain}"/>
      <!-- use cidr= if you wish to allow ip ranges to this domains acl. -->
      <!-- <node type="allow" cidr="192.168.0.0/24"/> -->
    </list>


domain задан в переменных как $${local_ip_v4}

Здесь что-то может позволить обойти авторизацию?


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 26 сен 2019 13:28 
FreeSWITCH_GuRu

Зарегистрирован: 22 авг 2012 09:52
Сообщения: 1628
во всех sofia-профилях выставить дефолтный контектс, из которого точно нет выхода наружу
Код:
<param name="context" value="public"/>

убрать все упоминания об acl domains из всех sofia-профилей
остановить профили (или погасить FS), удалить их базы и запустить снова

_________________
Мобильные РФ 1.2 руб./мин. + НДС с посекундной тарификацией, CLI
Telegram: @rostel


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 14 ]  На страницу 1, 2  След.

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 9


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Powered by phpBB® Forum Software © phpBB Group
Русская поддержка phpBB