serveur asterisk piraté

[jpbama]

salut à tous.
j'ai un souci avec mon serveur asterisk qui vient d'etre piraté. jai pris un compte chez un fournisseur voip pour router les appels externes.j'arrivais a joindre des numeros externes.le souci est que j'ai pas decroché les appels pendants mes tests alors que tout mon credit a été consommé.après quelques fouilles dans les cdr d'asterisk j'ai retrouvé des appels d'utilisateurs inconnus vers des destinations inconnues.
je viens demander de l'aide pour securiser mon serveur et aussi des astuces a adopter.

merci.

[tanguyd]

Bonjour

Il faudrait voir dans les logs pour voir d'ou viennent les appels ( quels sont les l'ip qui se sont connectées, comment ils sont rentrés: ssh, manager asterisk, enregistrement SIP )

Il faut voir quels ratés il y a pu avoir au niveau de la sécurité tels

- absence de firewall
- Mot de passe facile sur des numéros de poste
- mot de passe par défaut pour le manager

S'agissait il d'un asterisk standalone ou d'une distribution tel elastix ou xivio avec une interface web supplémentaire ?

[_AK_]

il y a plusieurs topic sur la sécurité qui explique toutes les étapes a réaliser pour sécuriser son asterisk.
Regarde si tu retrouve avec une recherche

[fastm3]

On a abordé maintes fois le sujet mais il faut etre vraiment paranoiaque, les serveurs asterisk sont particulierement ciblés en ce moment d'ou l'importance de maitriser la securité en general de Linux. Avec ton ip externe, ton serveur ne doit pas etre detectable comme un serveur asterisk. Ca limite deja fortement les attaques.
Rien ne doit transpirer sur le net. C'est souvent possible pour un serveur asterisk isolé et interne a l'usage d'une société.
Le firewall est donc super important. whitelist, port knocking entre autre.
Avec juste ton ip, un attaquant ne doit avoir aucune "prise".
Avec ton ip et tes identifiants ( brute force, vol ) , un attaquant ne doit pas meme dans ce cas pouvoir faire d'appels. Peu de personne utilise les allow/deny de la config asterisk...

Dernier point, meme si ton asterisk est beton, l'operateur que tu utilises doit avoir aussi une securité beton. Un hacker avec tes identifiants operateurs sip n'a pas besoin d'acceder a ton serveur pour faire des appels...La protection par white list ip cote operateur est utile. J'ai pu le constater recemment...Tu dois aussi surveiller l'activité sur le compte avec les outils que te donne ton opérateur.

Un monitoring des appels vers l'etranger et aussi toujours utile pour reagir au plus vite dans le cas ou le serveur est compromis.
Si cela est possible, demande a l'operateur de limiter les possibilités d'appels vers des pays exotiques si tu sais que tu n'en a pas besoin régulièrement.

Avec tout ca, tu limites fortement les risques ou les consequences.
Cheers!
Francois.

[jpbama]

Merci à tous pour les différents conseils. je suis à fond dans mes recherches pour sécuriser mon serveur.

[seb]

Bonjour,

La protection par white list ip cote operateur est utile. J'ai pu le constater recemment...

Tu peux en dire plus

Merci

[fastm3]

Bonjour,



Tu peux en dire plus

Merci

Meme avec un asterisk non compromis et aussi sécurisé soit il, si les identifiants du compte sip operateur le sont, ca peut faire mal et la securité de ton asterisk ne pourra pas empécher qu'on effectue des appels avec le compte de l'operateur. Certains operateurs permettent de limiter à certaines ips l'enregistrement ( white list ) ou les destinations ou le plafond autorisé. Ca limite le risque.
Comme beaucoup accede à une interface d'admin asterisk à partir d'une machine autre, la compromission de cette machine peut expliquer le vol des identifiants sip par exemple.
Cheers !
Francois.

[dbeiner]

Hello,

Utilise des mots de passes forts (chiffres, majuscules, caractères spéciaux) et ferme ton port 5060 de l'extérieur.

J'ai eu la même chose il y a peu de temps...

Have fun!

[seb]

Bonjour,

Oui le couple login/mot de passe doit contenir des caractères spéciaux afin d'éviter le type d'attaque par dictionnaire.

Cependant dans mon cas je suis en train de reproduire le mode Centrex... Je ne peux donc pas fermer le port 5060.

Le serveur est sur internet
=> pour le trunk opérateur SIP
=> accessible aux téléphones via une connexion ADSL/SDSL

[tanguyd]

Ne pas fermer le port 5060 ne veut pas dire aucun filtrage.

• Pour les utilisateurs en ip fixe, c'est facile, on n'ouvre que sur une seule IP.
• Pour les utilisateurs en ip dynamique j'ai ouvert des plages entières utilisés par les FAI de mes utilisateurs. Ce n'est pas parfait, mais j'évite probablement plus de 99% des robots qui scannent les IP pour trouver du SIP: Non seulement ils ont rarement des IP françaises et les rares ip française que je vois dans mes logs sont liés à serveurs dédiés ( en général debibox )