Asterisk, S450IP... et n° surtaxé :-(

**_AK_** · 29/11/2010, 11h14

sujet d'actualité

Je pense plus a une faille dans ton système que dans le firmware du téléphone.

le fait que ce soit le compte 201 qui ai passé les appels ne veux pas dire que ce soit le siemens qui ai envoyé les informations du compte. c'est certainement un virus sur ton PC ou un scan par l'extérieur.(surtout si ton compte etait 201 et ton pass 201....)

**myvoip** · 29/11/2010, 23h39

@ffossard,
Les seules ouvertures que je vois sont côté Freebox, puisque j'ai activé des redirections de plages de ports :
10000-20000 udp => IP fixe interne du serveur Asterisk
5060-5065 udp => IP fixe interne du serveur Asterisk

Mes mots de passes sont faibles car je pensais être en réseau fermé.
Je comprends qu'il suffit d'adresser en pointant mon adresse IP WAN. Le hacker "voit" donc et adresse Asterisk de l'extérieur. Brrrr !!!

@hb22,
Je dispose de tous les logs. En particulier /var/log/asterisk/messages = 216 MB !!!

@_AK_,
Effectivement, je ne crois plus à un pb de firmware, car j'ai regardé dans mon gigantesque historique de logs, et j'y ai découvert des milliers d'attaques différentes depuis fin 2008. Exemples.
1ère série

Code:

[Dec  2 08:53:40] NOTICE[8409] chan_sip.c: Registration from '"0"<sip:0@192.168.200.11>' failed for '81.66.127.231' - No matching peer found
[Dec  2 08:53:40] NOTICE[8409] chan_sip.c: Registration from '"1"<sip:1@192.168.200.11>' failed for '81.66.127.231' - No matching peer found
[Dec  2 08:53:40] NOTICE[8409] chan_sip.c: Registration from '"2"<sip:2@192.168.200.11>' failed for '81.66.127.231' - No matching peer found
[Dec  2 08:53:40] NOTICE[8409] chan_sip.c: Registration from '"3"<sip:3@192.168.200.11>' failed for '81.66.127.231' - No matching peer found
[Dec  2 08:53:40] NOTICE[8409] chan_sip.c: Registration from '"4"<sip:4@192.168.200.11>' failed for '81.66.127.231' - No matching peer found
[Dec  2 08:53:40] NOTICE[8409] chan_sip.c: Registration from '"5"<sip:5@192.168.200.11>' failed for '81.66.127.231' - No matching peer found

2ème série

Code:

[Aug  6 13:31:14] NOTICE[20977] chan_sip.c: Registration from '"foolish"<sip:foolish@78.240.176.140>' failed for '91.121.140.200' - No matching peer found
[Aug  6 13:31:14] NOTICE[20977] chan_sip.c: Registration from '"foolishl"<sip:foolishl@78.240.176.140>' failed for '91.121.140.200' - No matching peer found
[Aug  6 13:31:14] NOTICE[20977] chan_sip.c: Registration from '"foolishn"<sip:foolishn@78.240.176.140>' failed for '91.121.140.200' - No matching peer found
[Aug  6 13:31:14] NOTICE[20977] chan_sip.c: Registration from '"foolproo"<sip:foolproo@78.240.176.140>' failed for '91.121.140.200' - No matching peer found
[Aug  6 13:31:14] NOTICE[20977] chan_sip.c: Registration from '"fools"<sip:fools@78.240.176.140>' failed for '91.121.140.200' - No matching peer found
[Aug  6 13:31:14] NOTICE[20977] chan_sip.c: Registration from '"foonly"<sip:foonly@78.240.176.140>' failed for '91.121.140.200' - No matching peer found
[Aug  6 13:31:14] NOTICE[20977] chan_sip.c: Registration from '"foostar"<sip:foostar@78.240.176.140>' failed for '91.121.140.200' - No matching peer found
[Aug  6 13:31:14] NOTICE[20977] chan_sip.c: Registration from '"foot"<sip:foot@78.240.176.140>' failed for '91.121.140.200' - No matching peer found
[Aug  6 13:31:14] NOTICE[20977] chan_sip.c: Registration from '"footage"<sip:footage@78.240.176.140>' failed for '91.121.140.200' - No matching peer found
[Aug  6 13:31:14] NOTICE[20977] chan_sip.c: Registration from '"football"<sip:football@78.240.176.140>' failed for '91.121.140.200' - No matching peer found

3ème série (là il scanne mes postes internes)

Code:

[Nov 17 05:43:18] NOTICE[27510] chan_sip.c: Registration from '"101" <sip:101@78.240.176.140>' failed for '188.165.211.195' - Wrong password
[Nov 17 05:43:18] NOTICE[27510] chan_sip.c: Registration from '"101" <sip:101@78.240.176.140>' failed for '188.165.211.195' - Wrong password
[Nov 17 05:43:18] NOTICE[27510] chan_sip.c: Registration from '"101" <sip:101@78.240.176.140>' failed for '188.165.211.195' - Wrong password
[Nov 17 05:43:18] NOTICE[27510] chan_sip.c: Registration from '"101" <sip:101@78.240.176.140>' failed for '188.165.211.195' - Wrong password
[Nov 17 05:43:18] NOTICE[27510] chan_sip.c: Registration from '"101" <sip:101@78.240.176.140>' failed for '188.165.211.195' - Wrong password
[Nov 17 05:43:18] NOTICE[27510] chan_sip.c: Registration from '"101" <sip:101@78.240.176.140>' failed for '188.165.211.195' - Wrong password
[Nov 17 05:43:28] NOTICE[27510] chan_sip.c: Registration from '"202" <sip:202@78.240.176.140>' failed for '188.165.211.195' - Wrong password
[Nov 17 05:43:28] NOTICE[27510] chan_sip.c: Registration from '"202" <sip:202@78.240.176.140>' failed for '188.165.211.195' - Wrong password
[Nov 17 05:43:28] NOTICE[27510] chan_sip.c: Registration from '"202" <sip:202@78.240.176.140>' failed for '188.165.211.195' - Wrong password
[Nov 17 05:43:28] NOTICE[27510] chan_sip.c: Registration from '"202" <sip:202@78.240.176.140>' failed for '188.165.211.195' - Wrong password
[Nov 17 05:43:28] NOTICE[27510] chan_sip.c: Registration from '"202" <sip:202@78.240.176.140>' failed for '188.165.211.195' - Wrong password
[Nov 17 05:43:28] NOTICE[27510] chan_sip.c: Registration from '"202" <sip:202@78.240.176.140>' failed for '188.165.211.195' - Wrong password
[Nov 17 05:43:28] NOTICE[27510] chan_sip.c: Registration from '"202" <sip:202@78.240.176.140>' failed for '188.165.211.195' - Wrong password

Bizarrement je ne trouve rien en face de cet extrait de facturation Free (je suppose que l'intrusion est antérieure) :

Code:

21/11/1013:3500:27:240034902733170                 Espagne - Mobile5.206 21/11/1014:1000:42:290034902733170                 Espagne - Mobile8.072

Au final, je vais sécuriser Asterisk comme suit :
1) Blocage des scans via la recette de fastm3 (en test, qques soucis avec le register des providers voip).
2) Fail2ban
3) Changement de tous les passwords et choisir de + robustes.
4) Script déclenchant un mail (voire bloquant Asterisk) au bout de xx appels en 1h. (si vous avez des exemples, je suis preneur ;-)

Mes questions du soir :
A) Certains considèrent que la machine est à risque et conseillent de tout formater/réinstaller (risque de rootkit). Qu'en pensez-vous ?

B) Considérez-vous que la machine est 100% protégée des attaques extérieures en appliquant 1) et 2) ? Si non, pourquoi ?

C) Si 1) est correct, 2) est inutile, non ?

D) Avez-vous des remarques ou des conseils sur mon plan de sécurisation ?

**_AK_** · 01/12/2010, 16h43

Envoyé par myvoip

5060-5065 udp => IP fixe interne du serveur Asterisk

donc tu peux te faire scanner

Au final, je vais sécuriser Asterisk comme suit :
1) Blocage des scans via la recette de fastm3 (en test, qques soucis avec le register des providers voip).

fait attentions a mes remarques sur ses posts.

2) Fail2ban

très bien

3) Changement de tous les passwords et choisir de + robustes.

obligatoire

4) Script déclenchant un mail (voire bloquant Asterisk) au bout de xx appels en 1h. (si vous avez des exemples, je suis preneur ;-)

j'en ai posté il n'y a pas longtemps pour des cdr en mysql.

Mes questions du soir :
A) Certains considèrent que la machine est à risque et conseillent de tout formater/réinstaller (risque de rootkit). Qu'en pensez-vous ?

d'après mois c'est juste ton compte SIP qui avait un pass faible et donc exploitable donc aucune possibilité d'installer un rootkit.

B) Considérez-vous que la machine est 100% protégée des attaques extérieures en appliquant 1) et 2) ? Si non, pourquoi ?

100% n'existe pas
ceci dit il faut que ton 1 n'accepte explicitement QUE les adresses IP de tes fournisseur SIP et eventuellement tes comptes SIP distant.

C) Si 1) est correct, 2) est inutile, non ?

si 1 bloque tout sauf provider alors oui 2 est inutile.
fail2ban n'est utile que si l'on doit laisser la machine visible de l'exterieur.
si seuls tes providers peuvent te voir pas de souci a se faire.

D) Avez-vous des remarques ou des conseils sur mon plan de sécurisation ?

si machine ouverte sur l'exterieur, change aussi le port SIP. (autre chose que 5060)

vérifie bien tes regles IPTABLES pour qu'elles bloque tout et pas seulement port SIP car il doit y avoir des failles dans l'interface web.

tu as quasiment toutes les informations disponible sur ce site

a toi de jouer.

**fastm3** · 01/12/2010, 19h49

Ne pas oublier les setting permit/deny qui permettent aussi de specifier quel ip a le droits de se connecter à chaque extension. En specifiant le subnet local ( 192.168... ) , on interdit la connection de l'exterieur. Une protection de plus puisque meme en connaissant le user pass, l'attaquant ne pourra se connecter de l'exterieur a supposer que le firewall le permette.
Fastm3.

**myvoip** · 02/12/2010, 00h02

Bonsoir,

Effectivement, je pouvais me faire scanner. D'autant que l'option "réponse au ping" de la Freebox était activée. Vraiment impardonnable

C'est fixé...
nb : je penche aussi à une "simple" intrusion SIP, pas de réinstall PC (d'autant qu'upgrade + formatage prévus bientôt).

J'ai deux questions subsidiaires pour finaliser :

Mot de passe locaux.
Postes SIP => OK
Postes analogiques : rien trouvé. Je suppose que c'est normal du fait de leur mode de liaison "sans risque". Vous confirmez ?

Changement de port
Habituellement, je le fais. Mais comment dialoguer avec les serveurs SIP si je passe en 9999 par exemple ? Ces derniers ne reconnaissent que le 5060, non ?

J'ai modifié les passwords et activé iptable + fail2ban.
Je n'ai déjà plus que quelques tentatives isolées. On, progresse ;-)
=> Reste le changement de port et le contrôle des paramètre d'iptable, puis le monitoring.

En tous les cas, merci pour votre support et la richesse du site !

[EDIT] permit/deny, cela se trouve où ? Car les règle du script de fastm3 sont déjà ultra bloquantes, non ?

**hb22** · 02/12/2010, 05h28

Changement de port
Habituellement, je le fais. Mais comment dialoguer avec les serveurs SIP si je passe en 9999 par exemple ? Ces derniers ne reconnaissent que le 5060, non ?

Quand tu changes le port, c'est le port d'écoute de ton Asterisk que tu changes.
Tu peux toujours te connecter chez les opérateurs avec le port de destination 5060 parce eux ils écoutent sur le port 5060.

**myvoip** · 05/12/2010, 18h37

De retour après avoir sécurisé ma config (reste plus qu'à changer le port 5060). Pourriez-vous me donner votre avis sur le résultat de iptables -L -v ?

Code:

root@pcsat:/usr/bin# iptables -L -v
Chain INPUT (policy ACCEPT 39M packets, 15G bytes)
 pkts bytes target     prot opt in     out     source                destination
   36  2451 ACCEPT     all  --  any    any     192.168.200.0/24      anywhere
    0     0 DROP       udp  --  any    any     anywhere              anywhere            udp dpt:sip STRING match "Cirpack KeepAlive Packet"  ALGO name bm TO 65535
    0     0 ACCEPT     udp  --  eth0   any     anywhere              anywhere            udp dpts:10000:20000
    0     0 ACCEPT     udp  --  eth0   any     77.72.169.134         anywhere            udp dpt:sip
    0     0 ACCEPT     udp  --  eth0   any      routed-static-PA.de.kpn-eurorings.net  anywhere            udp dpt:sip
    0     0 ACCEPT     udp  --  eth0   any     77.72.169.134         anywhere            udp dpt:sip
    0     0 ACCEPT     udp  --  eth0   any      routed-static-PA.de.kpn-eurorings.net  anywhere            udp dpt:sip
    0     0 ACCEPT     udp  --  eth0   any     77.72.174.143         anywhere            udp dpt:sip
    0     0 ACCEPT     all  --  eth0   any     anywhere              anywhere            state RELATED,ESTABLISHED
    0     0 ACCEPT     tcp  --  eth0   any     anywhere              anywhere            tcp dpt:domain
    0     0 ACCEPT     udp  --  eth0   any     anywhere              anywhere            udp dpt:domain
    0     0 LOG_DROP   all  --  eth0   any     anywhere              anywhere

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source                destination

Chain OUTPUT (policy ACCEPT 41M packets, 31G bytes)
 pkts bytes target     prot opt in     out     source                destination

Chain LOG_DROP (1 references)
 pkts bytes target     prot opt in     out     source                destination
    0     0 LOG        tcp  --  any    any     anywhere              anywhere            tcp dpt:sip LOG level warning prefix `[IPTABLES DROP  SIP] : '
    0     0 LOG        udp  --  any    any     anywhere              anywhere            udp dpt:sip LOG level warning prefix `[IPTABLES DROP  SIP] : '
    0     0 LOG        tcp  --  any    any     anywhere              anywhere            LOG level warning prefix `[DROP] : '
    0     0 REJECT     all  --  any    any     anywhere              anywhere            reject-with icmp-port-unreachable

Chain fail2ban-ASTERISK (0 references)
 pkts bytes target     prot opt in     out     source                destination
63951   17M RETURN     all  --  any    any     anywhere              anywhere
root@pcsat:/usr/bin#

Discussion: Asterisk, S450IP... et n° surtaxé :-(

Outils de la discussion

Rechercher dans la discussion

Affichage

Vue hybride

Règles de messages