sécurité! mais que fait la police?

[mistergorgo]

Hello communauté adorée,
nous avons eu récemment un problème dans notre entreprise qui fonctionne sous freepbx:
tous les téléphones sonnent avec un appelant "100" ou "400" qui n'existe pas chez nous. Inutile d'essayer de répondre, ni rien d'autre.
Ca dure deux minutes et puis plus rien.
Je vais voir dans les logs et je vois que l'appelant=
00972592659883@from-sip-external:
quand je cherche qui est ce brave gars j'obtiens ceci:

Current Asterisk VoIP Hacker IP Addresses

We list a maximum of 50 of the most recent attacking IP addresses plus all the telephone numbers attempted in the last six months on this page. Subscribing customers have access to the full list and can contribute to the ongoing protection mechanism with custom configuration of their Asterisk server to automatically update the blacklist whenever an attack is detected.

Donc c'est clair! C'est un méchant.
Ce que je ne comprends pas c'est le but de la démarche.
De plus, le log n'est pas similaire à un appel entrant traditionnel.
Perturbant n'est-ce pas?

Quelqu'un à une idée?

Merchi

[Reaper]

Oui une idée, bloquer tout le trafic, et laisser seulement ton fournisseur.

[jean]

c'est pas tellement que fait la police, c'est surtout qu'est ce que tu fais toi ??? comment est sécurisé ton serveur ???

au cas tu n'aurais pas percuté, si le gars arrive à dialer des postes sur ton réseau, il y a de fortes chances qu'il arrive à dialer en externe et qu'il est en train d'exploser ta facture.

vérifie les allowguest, etc. ... et les différents params de sécurité. vérifier les users / mot de passe, assure toi que les appels sortants ne peuvent etre emis que par des clients enregistrés, mets un fail2ban, etc.... sinon tu vas prendre cher !

[mistergorgo]

au niveau securité il est bien évident que je ne compte pas sur la police
mon firewall est bien configuré et mon compte est bien approvisionné sans dépenses inexpliquées

j'ai déjà vu les logs d'un brute force attack sur un asterisk pour faire matcher user/password (le passwd était faible) et une fois réussi les logs d'appels en Lituanie ou autres.

Mais ici ce n'est pas le cas.


Quel est le but de faire entrer un appel? J'ai lu qu'il pouvait s'agir d'un dénis de service?

des conseils concrets (avec tuto) pour augmenter la sécurité?

[therebel23]

from-sip-external c'est ton contexte pour les appels entrants ? Combien y'a-t'il de peer SIP configurés avec ce contexte ? Uniquement celui de ton fournisseur VoiP ?

[jean]

si la personne arrive a appeler un poste, c'est qu'il accede à ton serveur et que ton serveur l'autorise... ca peut être qu'il passe via ton fournisseur sip, mais ce dernier ne sait pas router tes no internes....
je pense qu'il y a quand meme quelque chose de pas net.

du coup, appeler des no au hasard a du sens, car cela permet de chercher une combinaison ou le hacker peut telephoner.
un dos, ca va être plus un paquet répété plein de fois, donc, non , ce n'est pas ca

le bruteforce, avec un fail2ban, ca va très loin... donc si tu as vu un pwd cracké, c'est que la sécurité est pas top

[mistergorgo]

from-sip-external c'est ton contexte pour les appels entrants ? Combien y'a-t'il de peer SIP configurés avec ce contexte ? Uniquement celui de ton fournisseur VoiP ?

non ce contexte n'existe nulle part dans mon pbx

[mistergorgo]

si la personne arrive a appeler un poste, c'est qu'il accede à ton serveur et que ton serveur l'autorise... ca peut être qu'il passe via ton fournisseur sip, mais ce dernier ne sait pas router tes no internes....
je pense qu'il y a quand meme quelque chose de pas net.

du coup, appeler des no au hasard a du sens, car cela permet de chercher une combinaison ou le hacker peut telephoner.
un dos, ca va être plus un paquet répété plein de fois, donc, non , ce n'est pas ca

le bruteforce, avec un fail2ban, ca va très loin... donc si tu as vu un pwd cracké, c'est que la sécurité est pas top

le port sip est effectivement ouvert pour des appels des postes exterieurs vers nos bureaux

les pwd crackés c'est pas ici c'était sur une autre install nos pwd me semble être suffisamment tordus

[Comdif]

Juste une question con :-)
Ton IPBX est une trixbox ou Freepbx ouvert au web ? je sais que plein de gens adorent ça pour je ne sais quelle raison autre que le plaisir de se faire hacker.

Le fop est accessible avec son passw0rd d'origine ?
le manager avec son user d'origine ? etc..
ouvrir un pbx d'entreprise au web est de toute façon toujours une mauvaise idée
accepter les appels anonymes également.
Il y a deux intérêts à faire sonner des numéros de dialplan interne
1 - Tomber sur une ivr ou on peux redialer vers l'extérieur
2 - Cracker un répondeur et programmer un forward qui en fait une véritable route (cette technique est l’ancêtre du phreaking)
et certainement d'autres intérêts que je ne connais pas

[fastm3]

non ce contexte n'existe nulle part dans mon pbx

Tu en es sur ? On parie ?
Il existe car il fait sonner tes postes...Et comme c'est le contexte par defaut de freepbx pour les appels sips externes, je ne pense pas que tu ais modifié à ce point freebpx. ( pas evident de le supprimer, plus simple de le surcharger ou d'en utiliser un autre)
Si on sait ce qu'on fait, ca ne pose pas vraiment de pb d'autoriser les appels entrants sip anonymes.

Dans ta config freepbx, tu as definis tes trunks. Par defaut, le context est from-pstn et c'est ce que tu as peut etre dans la def de ceux-ci. Lors d'un appel entrant, asterisk va matcher les friend/user definis et tu vas retrouver un appel sur le contexte du trunk correspondant.
Si, ca ne matche pas, ca va arriver vers un context default, souvent appelé default d'ailleurs et sur freepbx from-sip-external ( voir section general sip ). Si tu autorises l'option dans freepbx, il cherchera ensuite à matcher la inbound route correspondante. Tu as probablement une inbound route par defaut ce qui fait sonner tes postes comme un appel normal.

Si tu ne veux pas autoriser les appels sip entrant "anonymes", le plus simple est lorsque possible, de n'autoriser que tes fournisseurs ou adresses ip autorisées a acceder à ton serveur en bloquant tous les autres. iptables est ton ami...
Certains fournisseurs exige ce type de config.
Il y a un setting permettant de renvoyer vers un congestion dans freepbx, neanmoins il vaut mieux utiliser iptables si possible qui sera plus efficace, ton serveur n'attirera pas l'attention car "invisible" de l'exterieur au contraire d'une congestion.
Fastm3.