NOTICE Failed to authenticate device

[Nasedo]

Bonjour je voudrais savoir votre avis sur les erreurs que je reçois chaque jours sur le terminal CLI de mon serveur Asterisk? Problème de sécurité?

Exemple des erreurs:

[2013-12-08 01:51:06] NOTICE[10405][C-00000086]: chan_sip.c:25282 handle_request_invite: Failed to authenticate device 500<sip:500@IP_LOCAL_DU_SERVEUR_ASTERISK:5060>;tag =b5fbc361
[2013-12-08 02:10:30] NOTICE[10405][C-00000087]: chan_sip.c:25282 handle_request_invite: Failed to authenticate device 500<sip:500@IP_LOCAL_DU_SERVEUR_ASTERISK:5060>;tag =cfb52ab3
[2013-12-08 02:29:42] NOTICE[10405][C-00000088]: chan_sip.c:25282 handle_request_invite: Failed to authenticate device 600<sip:600@IP_LOCAL_DU_SERVEUR_ASTERISK:5060>;tag =b9ca6c9a

et par moment j'ai ça:

WARNING[16505]: chan_sip.c:4174 retrans_pkt: Retransmission timeout reached on transmission 27be645f58e1e6cbc8a417b3bbba46c7 for seqno 2 (Critical Response) -- See https://wiki.asterisk.org/wiki/displ...etransmissions

Information sur ma configuration:

Debian 7
J'ai un debian compilé avec FreePBX, mais je m'en sert pas, je configure directement via asterisk dans sip, extensions, users, voicemail, etc..
Asterisk 11.5
Dernière version de Fail2Ban pour iptables
et UFW de configuré pour iptables
allowguest=no dans sip.conf

Sinon j'ai lu le poste http://www.asterisk-france.org/showt...nticate+device
mais impossible de trouver le fichier chan_sip.c et même le dossier channels

Avez-vous une idée?

Merci de votre aide, amicalement.

Nasedo

[therebel23]

Bonjour,

problème de sécurité, oui dans le sens ou tu n'as pas de firewall. Il est fortement conseillé d'installer un iptables pour n'autoriser que les IP que tu connais ..

[jean]

je plussoie therbel23

simple ajout - le 2eme message ''critical error....' est généré quand une comm est rompue parce qu'on obtient plus de réponse sur le port sip. soit un pbm de réseau, ou de paramétrage

[Nasedo]

Bonjour,

Merci de vos réponses,

Alors je ne comprends pas, vous allez mal lu mon poste, car j'ai déjà configuré iptables et il bloque bien des IP mais j'ai toujours des NOTICE.

[2013-12-09 14:38:03] NOTICE[10405]: chan_sip.c:27919 handle_request_register: Registration from '"2" <sip:2@IP_LOCAL_:5060> ' failed for '162.220.61.17:5068' - Wrong password
[2013-12-09 14:38:10] NOTICE[10405]: chan_sip.c:27919 handle_request_register: Registration from '"5" <sip:5@IP_LOCAL_ASTERISK:5060> ' failed for '162.220.61.17:5077' - Wrong password

L'IP c'est fait ban je viens de vérifier:

Hi,

The IP 162.220.61.17 has just been banned by Fail2Ban after
4 attempts against ASTERISK.


Here are more information about 162.220.61.17:


Regards,

Fail2Ban

[2013-12-09 16:27:56] NOTICE[10405][C-000000bc]: chan_sip.c:25282 handle_request_invite: Failed to authenticate device 20<sip:20 @IP_LOCAL_ASTERISK:5060>;tag=2c6683b3
[2013-12-09 16:27:58] NOTICE[10405][C-000000bd]: chan_sip.c:25282 handle_request_invite: Failed to authenticate device 20<sip:20 @IP_LOCAL_ASTERISK:5060>;tag=172c155d

ICI je ne sais pas car aucune ip visible

et la dernière:

[2013-12-09 18:27:55] NOTICE[10405][C-000000c0]: chan_sip.c:25381 handle_request_invite: Call from '100' (IP_SPA3102_LINKSYS:5060) to extension '1005' rejected because extension not found in context 'MON CONTEXT'.

5 Attaques en 24h

Que dois-je faire sur iptables?

Avez vous un exemple de commande ou script pour bloquer toutes les ip néfastes.

@ Jean:

Je n'ai pas compris ta réponse.

Edit: si je viens de comprendre pour "WARNING[16505]: chan_sip.c:4174 retrans_pkt: Retransmission timeout reached on transmission 27be645f58e1e6cbc8a417b3bbba46c7 for seqno 2 (Critical Response) "

mais cela ne m'explique pas pourquoi j'ai encore des erreur de NOTICE alors que iptables est configuré avec fail2ban pour bloquer les tentatives de connexion échoué.

Moi ce que je trouve dommage sur la toile, ou sur asterisk-france qui n'ai pas un poste ou tuto pour nous expliquer comment bien protéger un serveur Asterisk.. le bute d'un serveur Asterisk ce n'est pas seulement pour des communications en local mais aussi pour des comm à l’extérieur..

[jean]

- Les attaques sont communes - j'ai un 20aine de scan par jour sur mes serveurs. Vive internet

- Critical error : cela n'a rien à voir avec les attaques, c'est un pbm lors d'une communication normale, le flux principal devient du RTP (de l'audio) et non plus du SIP (de la signalisation). Mais de temps en temps, un petit paquet sip s'echange, et si celui ci n'a pas de réponse, asterisk casse la comm considérant que le réseau déconne. Ca peut être du à de vrais problèmes de trans, à un firewall qui se referme, etc...

- il y a qd meme pas mal d'articles dans le tuto sur la sécurité asterisk:
http://www.asterisk-france.org/conte...-avec-fail2ban
http://www.asterisk-france.org/conte...quer-les-scans
http://www.asterisk-france.org/conte...n-de-vpn-pptpd

il te faut au minimum installer un fail2ban.

Pour quelle raison ton asterisk est il ouvert au monde ? cela ne peut il pas être restreint à quelques adresses ?

[Nasedo]

J'ai déjà fail2ban de configuré sur la machine

Après 3 tentatives il ban:

[asterisk-iptables]

enabled = true
filter = asterisk
action = iptables-allports[name=ASTERISK, protocol=all]
sendmail-whois[name=ASTERISK, dest=root@localhost, sender=client]
logpath = /var/log/asterisk/security_log
maxretry = 3
bantime = 259200

"Pour quelle raison ton asterisk est il ouvert au monde ? cela ne peut il pas être restreint à quelques adresses ?"

J'avais tenté de bloquer les entrés avec des règles iptables, mais impossible de recevoir des appels de l’extérieur elles étaient toutes rejetés par iptables...

Si tu pouvais m'aider sur la configuration de règles je suis preneur, voici mes demandes:

Mon réseau local = 192.168.1.0
Mon réseau VPN = 192.168.12.0

Sur mon serveur asterisk j'ai qu'une seule carte réseau en eth3

Les ports:

- VPN pptp (tcp 1723)
- utilisation SIP (port 5060 et 5061 ainsi que 10000:20000)
- SSH (port 6070 au lieu de 22)

Les IP Internet:

- IP des clients nomades pour la connexion au VPN (à autoriser)
- Mon IP pour le SSH (à autoriser)

Les IP local:

- Autoriser le réseau local 192.168.1.0 à communiquer avec Asterisk et l’extérieur.
- Autoriser le réseau local VPN 192.168.12.0 à communiquer avec Asterisk et l’extérieur.

comment configurer iptables pour autoriser seulement ces ports et pour bloquer les attaques, pouvez vous m'aider merci et si possible d'avoir ça sous forme de script pour d'éployer sous plusieurs machines et faire partager le script au internautes d'Asterisk-France.

Edit: Exemple de mon script

Si je prends exemple sur http://www.asterisk-france.org/conte...quer-les-scans
Avec mes restrictions cela donne ça? J'ai fait une erreur?

#!/bin/sh
# description: Firewall


IPT=/sbin/iptables


stop() {
$IPT -F INPUT
$IPT -F LOG_DROP
$IPT -X LOG_DROP
}



start() {
# logs - drop
# tout n'est pas necessaire, c'est juste le principe
$IPT -N LOG_DROP
$IPT -A LOG_DROP -j LOG -p tcp --dport 6070 --log-prefix '[IPTABLES DROP SSH] : '
$IPT -A LOG_DROP -j LOG -p tcp --dport 5060 --log-prefix '[IPTABLES DROP SIP] : '
$IPT -A LOG_DROP -j LOG -p tcp --dport 5061 --log-prefix '[IPTABLES DROP SIP] : '
$IPT -A LOG_DROP -j LOG -p tcp --log-prefix '[DROP] : '
$IPT -A LOG_DROP -j REJECT



# host a bannir
$IPT -A INPUT -i eth3 -p tcp --source IP_EXTERIEUR -j DROP


# on autorise tout ce qui vient du subnet, a adapter pour vous.
iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT


# on autorise tout ce qui vient du subnet pour simplifier
iptables -A INPUT -s 192.168.12.0/24 -j ACCEPT


# on ouvre le port 1723
$IPT -A INPUT -p tcp --dport 1723 -j ACCEPT


# on autorise gre
$IPT -A INPUT -p gre -j ACCEPT

#asterisk
# supprime erreur dans log asterisk
$IPT -A INPUT -p udp -m udp --dport 5060 -m string --string "Cirpack KeepAlive Packet" --algo bm -j DROP


# pour le port 5060 on autorise uniquement certaines ips
# Tout le subnet, a dapter pour VOTRE config
$IPT -A INPUT -s 192.168.1.0/24 -i eth3 -p udp --dport 5060 -j ACCEPT
$IPT -A INPUT -s 192.168.12.0/24 -i eth3 -p udp --dport 5060 -j ACCEPT


#on autorise certains fournisseurs sip
#on ajoutera aussi ses propres ip externes
$IPT -A INPUT -s sip.ovh.net -i eth3 -p udp --dport 5060 -j ACCEPT
$IPT -A INPUT -s freephonie.net -i eth3 -p udp --dport 5060 -j ACCEPT


$IPT -A INPUT -i eth3 -p udp -m udp --dport 10000:20000 -j ACCEPT


# Le reste est fonction de votre config, juste pour info
# si vous autorisez le subnetlocal, juste ssh est necessaire normalement.
# On le mettra sur un autre port de preference.
# on pourra limiter l'acces ssh a certaines ips avec la meme methode que ci dessus
$IPT -A INPUT -i eth3 -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A INPUT -i eth3 -p tcp --dport 6070 -j ACCEPT


#ping
$IPT -A INPUT -i eth3 -p icmp -j ACCEPT

# on rejette tout les autres
$IPT -A INPUT -i eth3 -j LOG_DROP
}

case "$1" in

start)
start
echo "FireWall Telisk -- Start OK";

exit 0
;;


stop)
stop
echo "FireWall Telisk -- Stop OK";
exit 0
;;
restart)
stop
start
echo "FireWall Telisk -- Restart OK";

exit 0
;;

*)
echo "Usage: /etc/init.d/firewall {start|stop|restart}"
exit 1
;;
esac