Ne pas oublier les setting permit/deny qui permettent aussi de specifier quel ip a le droits de se connecter à chaque extension. En specifiant le subnet local ( 192.168... ) , on interdit la connection de l'exterieur. Une protection de plus puisque meme en connaissant le user pass, l'attaquant ne pourra se connecter de l'exterieur a supposer que le firewall le permette.
Fastm3.
Bonsoir,
Effectivement, je pouvais me faire scanner. D'autant que l'option "réponse au ping" de la Freebox était activée. Vraiment impardonnableC'est fixé...
nb : je penche aussi à une "simple" intrusion SIP, pas de réinstall PC (d'autant qu'upgrade + formatage prévus bientôt).
J'ai deux questions subsidiaires pour finaliser :
Mot de passe locaux.
Postes SIP => OK
Postes analogiques : rien trouvé. Je suppose que c'est normal du fait de leur mode de liaison "sans risque". Vous confirmez ?
Changement de port
Habituellement, je le fais. Mais comment dialoguer avec les serveurs SIP si je passe en 9999 par exemple ? Ces derniers ne reconnaissent que le 5060, non ?
J'ai modifié les passwords et activé iptable + fail2ban.
Je n'ai déjà plus que quelques tentatives isolées. On, progresse ;-)
=> Reste le changement de port et le contrôle des paramètre d'iptable, puis le monitoring.
En tous les cas, merci pour votre support et la richesse du site !
[EDIT] permit/deny, cela se trouve où ? Car les règle du script de fastm3 sont déjà ultra bloquantes, non ?
Quand tu changes le port, c'est le port d'écoute de ton Asterisk que tu changes.Changement de port
Habituellement, je le fais. Mais comment dialoguer avec les serveurs SIP si je passe en 9999 par exemple ? Ces derniers ne reconnaissent que le 5060, non ?
Tu peux toujours te connecter chez les opérateurs avec le port de destination 5060 parce eux ils écoutent sur le port 5060.
De retour après avoir sécurisé ma config (reste plus qu'à changer le port 5060). Pourriez-vous me donner votre avis sur le résultat de iptables -L -v ?
Code:root@pcsat:/usr/bin# iptables -L -v Chain INPUT (policy ACCEPT 39M packets, 15G bytes) pkts bytes target prot opt in out source destination 36 2451 ACCEPT all -- any any 192.168.200.0/24 anywhere 0 0 DROP udp -- any any anywhere anywhere udp dpt:sip STRING match "Cirpack KeepAlive Packet" ALGO name bm TO 65535 0 0 ACCEPT udp -- eth0 any anywhere anywhere udp dpts:10000:20000 0 0 ACCEPT udp -- eth0 any 77.72.169.134 anywhere udp dpt:sip 0 0 ACCEPT udp -- eth0 any routed-static-PA.de.kpn-eurorings.net anywhere udp dpt:sip 0 0 ACCEPT udp -- eth0 any 77.72.169.134 anywhere udp dpt:sip 0 0 ACCEPT udp -- eth0 any routed-static-PA.de.kpn-eurorings.net anywhere udp dpt:sip 0 0 ACCEPT udp -- eth0 any 77.72.174.143 anywhere udp dpt:sip 0 0 ACCEPT all -- eth0 any anywhere anywhere state RELATED,ESTABLISHED 0 0 ACCEPT tcp -- eth0 any anywhere anywhere tcp dpt:domain 0 0 ACCEPT udp -- eth0 any anywhere anywhere udp dpt:domain 0 0 LOG_DROP all -- eth0 any anywhere anywhere Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 41M packets, 31G bytes) pkts bytes target prot opt in out source destination Chain LOG_DROP (1 references) pkts bytes target prot opt in out source destination 0 0 LOG tcp -- any any anywhere anywhere tcp dpt:sip LOG level warning prefix `[IPTABLES DROP SIP] : ' 0 0 LOG udp -- any any anywhere anywhere udp dpt:sip LOG level warning prefix `[IPTABLES DROP SIP] : ' 0 0 LOG tcp -- any any anywhere anywhere LOG level warning prefix `[DROP] : ' 0 0 REJECT all -- any any anywhere anywhere reject-with icmp-port-unreachable Chain fail2ban-ASTERISK (0 references) pkts bytes target prot opt in out source destination 63951 17M RETURN all -- any any anywhere anywhere root@pcsat:/usr/bin#
up ! Je suis preneur de vos commentaires.
Règles de messages
Répondre avec citation