Affichage des résultats 1 à 7 sur 7

Discussion: Question sur la sécurité encore et toujours

  1. #1
    Membre Association
    Date d'inscription
    septembre 2010
    Localisation
    Isle sur la Sorgue 84800
    Messages
    369
    Downloads
    0
    Uploads
    0

    Question sur la sécurité encore et toujours

    Des attaques de plus en plus virulentes today sur mon pot de miel
    du grand art avec spoofing d'IP plus login/password en règle, j'en tombe le cul par terre.
    Comme on est obligé de supporter les clients Orange avec leurs IP vagabondes
    même quand on leur facture une IP fixe il est impossible d’empêcher totalement
    le scan même FTB arrive à laisser passer plus d'une centaine de requêtes avant de bloquer.
    J'aimerais comme première barrière sur mon IPtable n'accepter que les Frenchies
    et dégager tout le reste sauf ceux qui ont tout compris avec une IP fixe.
    mais c'est la le problème insurmontable, je ne trouve rien de fiable et complet
    sur les Ip ranges.
    ftp://ftp.ripe.net/pub/stats/ripencc.../alloclist.txt
    ça c'est de la pure fumisterie car déjà ma propre IP n'est pas listée.

    Connaissez vous une DB fiable et complète sur les IP ?

    merci

  2. #2
    Membre Junior
    Date d'inscription
    septembre 2010
    Messages
    8
    Downloads
    0
    Uploads
    0
    regarde de ce coté : ip2location.com. Je ne sais pas ce que ça vaut, mais ils ont repéré mes différentes adresses IP que ce soit en ADSL, SDSL, mobile.

    A+
    Olivier

  3. #3
    Membre Association
    Date d'inscription
    septembre 2010
    Localisation
    Isle sur la Sorgue 84800
    Messages
    369
    Downloads
    0
    Uploads
    0
    Citation Envoyé par ogdoade Voir le message
    regarde de ce coté : ip2location.com. Je ne sais pas ce que ça vaut, mais ils ont repéré mes différentes adresses IP que ce soit en ADSL, SDSL, mobile.

    A+
    Olivier
    Merci Olivier, finalement j'ai fait un diagnostique un peu hâtif et mon IP faisait bien partie d'un des range de la DB RIP
    j'ai donc appliqué ce firewall qui a bien calmé le jeux.

    j'ai donc créé une chaine voip exécutée en début d'iptables
    avec ces règles
    la première étant à remplacer par celle avec l'ip de l'opérateur si il n'est pas Francais.

    frenchip.zip

    Certainement possible de faire avec un GUI php capable d'extraire sur un code ISO pays et d'updater régulièrement mais je laisse ce sujet du bac à un motivé :-)

    Enfin je voudrais quand dire à tous ceux qui pensent que ça ne sert à rien et que c'est perdu d'avance de reporter le hacking, que j'ai mis en place depuis plusieurs mois le reporting immédiat vers l'adresse abuse en cas de scan ou intrusion bizarre et que au moins dans 50% des cas un ticket est ouvert et dans 25% de ces 50% le serveur concerné ne répond plus au bout d'une heure.
    Ne pas reporter c'est juste accepter la délinquance informatique et baisser les bras.
    Dernière modification par Comdif ; 08/07/2012 à 23h02.

  4. #4
    Membre Senior
    Date d'inscription
    janvier 2011
    Localisation
    Villejuif 94
    Messages
    337
    Downloads
    0
    Uploads
    0

    une autre approche

    Bonjour,

    pour limiter les attaques, j'utilise l'outil fail2ban http://www.fail2ban.org/wiki/index.php/Main_Page, outil non spécifique à Asterisk.

    le filtre Asterisk n'est pas en natif

    ma config

    ajout au fichier /etc/fail2ban/jail.local
    ----
    [asterisk-iptables]

    enabled = true
    filter = asterisk
    action = iptables-allports[name=ASTERISK, protocol=all]
    sendmail-whois[name=ASTERISK, dest=root, sender=fail2ban@enst.fr]
    logpath = /var/log/asterisk/messages
    maxretry = 5
    bantime = 259200
    -----
    fichier /etc/fail2ban/filter.d/asterisk.conf
    -----
    # Fail2Ban configuration file
    #
    #
    # $Revision: 250 $
    #

    [INCLUDES]

    # Read common prefixes. If any customizations available -- read them from
    # common.local
    #before = common.conf


    [Definition]

    #_daemon = asterisk

    # Option: failregex
    # Notes.: regex to match the password failures messages in the logfile. The
    # host must be matched by a group named "host". The tag "<HOST>" can
    # be used for standard IP/hostname matching and is only an alias for
    # (?:::f{4,6}?(?P<host>\S+)
    # Values: TEXT
    #

    failregex = NOTICE.* .*: Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Wrong password
    NOTICE.* .*: Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - No matching peer found
    NOTICE.* .*: Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Username/auth name mismatch
    NOTICE.* .*: Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Device does not match ACL
    NOTICE.* .*: Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Peer is not supposed to register
    NOTICE.* <HOST> failed to authenticate as '.*'$
    NOTICE.* .*: No registration for peer '.*' \(from <HOST>\)
    NOTICE.* .*: Host <HOST> failed MD5 authentication for '.*' (.*)
    VERBOSE.* logger.c: -- .*IP/<HOST>-.* Playing 'ss-noservice' (language '.*')
    NOTICE.* .*: Call from '' \(<HOST>(:[0-9]{1,5})?\) to extension '.*' rejected because extension not found in context

    # Option: ignoreregex
    # Notes.: regex to ignore. If this regex matches, the line is ignored.
    # Values: TEXT
    #
    ignoreregex =
    ----

  5. #5
    Membre Association
    Date d'inscription
    septembre 2010
    Localisation
    Isle sur la Sorgue 84800
    Messages
    369
    Downloads
    0
    Uploads
    0
    Ce n'est pas une autre approche
    fail2ban à le gros défaut de laisser parfois passer presque une centaine de scan
    avant de bloquer, les sip scanner étant de plus en plus performants et rapides.
    et certains hackers semblent se contenter de ces infos qui indiquent déjà
    qu'un serveur asterisk est bien présent à cette IP.
    De plus si le hacker à tout simplement récupéré les infos SIP côté client ce qui est
    souvent le cas il vas pouvoir s'inscrire et appeler sans problèmes.

    J'ai donc ajouté la chaine voip avant le fail2ban donc déjà le serveur SIP n'est
    ouvert qu'a la France.
    Ensuite il y a le F2B

    Pour finir je n'autorise pas les appels de clients non enregistrés, ceci est contrôlé par l'AGI et l'IP doit correspondre.

    J'espère que ça vas complètement calmer le jeux :-)

  6. #6
    Membre Senior
    Date d'inscription
    janvier 2011
    Localisation
    Villejuif 94
    Messages
    337
    Downloads
    0
    Uploads
    0

    limites de fail2ban

    effectivement fail2ban n'est pas super rapide.
    je ne filtre pas sur l'ip source.
    les sources non enregistrées ne peuvent appeler que la sda.
    j'utilise aussi la fonction FILTER() car j'ai eu des tentatives d'ingestion sql ou php.

    fail2ban nous sert aussi pour d'autre protocoles.
    les ip bannis sont collectés et bloqués au niveau routeur, banissement étendu parfois à une classe entière

  7. #7
    Membre Junior
    Date d'inscription
    janvier 2012
    Localisation
    Clermont-Ferrand
    Messages
    18
    Downloads
    2
    Uploads
    0

    Firewall

    De mon coté j'ai installé la distrib IPFIRE (une firewall comme ipcop)

    L'avantage est qu'une fois installé on rajoute le package déjà tout pret de asterisk
    et chan dahdi car j'ai une carte digium.


    c'est surement pas parfait mais à l'inverse de d'habitude :
    on ouvre ce que l'on à besoin
    au lieu de fermé tout ce que l'on veut pas
    Je refuse de parler à une machine

Règles de messages

  • Vous ne pouvez pas créer de nouvelles discussions
  • Vous ne pouvez pas envoyer des réponses
  • Vous ne pouvez pas envoyer des pièces jointes
  • Vous ne pouvez pas modifier vos messages
  •