Hello communauté adorée,
nous avons eu récemment un problème dans notre entreprise qui fonctionne sous freepbx:
tous les téléphones sonnent avec un appelant "100" ou "400" qui n'existe pas chez nous. Inutile d'essayer de répondre, ni rien d'autre.
Ca dure deux minutes et puis plus rien.
Je vais voir dans les logs et je vois que l'appelant=
00972592659883@from-sip-external:
quand je cherche qui est ce brave gars j'obtiens ceci:

Current Asterisk VoIP Hacker IP Addresses

We list a maximum of 50 of the most recent attacking IP addresses plus all the telephone numbers attempted in the last six months on this page. Subscribing customers have access to the full list and can contribute to the ongoing protection mechanism with custom configuration of their Asterisk server to automatically update the blacklist whenever an attack is detected.

Donc c'est clair! C'est un méchant.
Ce que je ne comprends pas c'est le but de la démarche.
De plus, le log n'est pas similaire à un appel entrant traditionnel.
Perturbant n'est-ce pas?

Quelqu'un à une idée?

Merchi

Oui une idée, bloquer tout le trafic, et laisser seulement ton fournisseur.

c'est pas tellement que fait la police, c'est surtout qu'est ce que tu fais toi ??? comment est sécurisé ton serveur ???

au cas tu n'aurais pas percuté, si le gars arrive à dialer des postes sur ton réseau, il y a de fortes chances qu'il arrive à dialer en externe et qu'il est en train d'exploser ta facture.

vérifie les allowguest, etc. ... et les différents params de sécurité. vérifier les users / mot de passe, assure toi que les appels sortants ne peuvent etre emis que par des clients enregistrés, mets un fail2ban, etc.... sinon tu vas prendre cher !

au niveau securité il est bien évident que je ne compte pas sur la police :non:
mon firewall est bien configuré et mon compte est bien approvisionné sans dépenses inexpliquées

j'ai déjà vu les logs d'un brute force attack sur un asterisk pour faire matcher user/password (le passwd était faible) et une fois réussi les logs d'appels en Lituanie ou autres.

Mais ici ce n'est pas le cas.


Quel est le but de faire entrer un appel? J'ai lu qu'il pouvait s'agir d'un dénis de service?

des conseils concrets (avec tuto) pour augmenter la sécurité? :ouimaitre:

from-sip-external c'est ton contexte pour les appels entrants ? Combien y'a-t'il de peer SIP configurés avec ce contexte ? Uniquement celui de ton fournisseur VoiP ?

si la personne arrive a appeler un poste, c'est qu'il accede à ton serveur et que ton serveur l'autorise... ca peut être qu'il passe via ton fournisseur sip, mais ce dernier ne sait pas router tes no internes....
je pense qu'il y a quand meme quelque chose de pas net.

du coup, appeler des no au hasard a du sens, car cela permet de chercher une combinaison ou le hacker peut telephoner.
un dos, ca va être plus un paquet répété plein de fois, donc, non , ce n'est pas ca

le bruteforce, avec un fail2ban, ca va très loin... donc si tu as vu un pwd cracké, c'est que la sécurité est pas top

from-sip-external c'est ton contexte pour les appels entrants ? Combien y'a-t'il de peer SIP configurés avec ce contexte ? Uniquement celui de ton fournisseur VoiP ?

non ce contexte n'existe nulle part dans mon pbx

si la personne arrive a appeler un poste, c'est qu'il accede à ton serveur et que ton serveur l'autorise... ca peut être qu'il passe via ton fournisseur sip, mais ce dernier ne sait pas router tes no internes....
je pense qu'il y a quand meme quelque chose de pas net.

du coup, appeler des no au hasard a du sens, car cela permet de chercher une combinaison ou le hacker peut telephoner.
un dos, ca va être plus un paquet répété plein de fois, donc, non , ce n'est pas ca

le bruteforce, avec un fail2ban, ca va très loin... donc si tu as vu un pwd cracké, c'est que la sécurité est pas top

le port sip est effectivement ouvert pour des appels des postes exterieurs vers nos bureaux

les pwd crackés c'est pas ici c'était sur une autre install nos pwd me semble être suffisamment tordus

Juste une question con :-)
Ton IPBX est une trixbox ou Freepbx ouvert au web ? je sais que plein de gens adorent ça pour je ne sais quelle raison autre que le plaisir de se faire hacker.

Le fop est accessible avec son passw0rd d'origine ?
le manager avec son user d'origine ? etc..
ouvrir un pbx d'entreprise au web est de toute façon toujours une mauvaise idée
accepter les appels anonymes également.
Il y a deux intérêts à faire sonner des numéros de dialplan interne
1 - Tomber sur une ivr ou on peux redialer vers l'extérieur
2 - Cracker un répondeur et programmer un forward qui en fait une véritable route (cette technique est l’ancêtre du phreaking)
et certainement d'autres intérêts que je ne connais pas

non ce contexte n'existe nulle part dans mon pbx
Tu en es sur ? On parie ?
Il existe car il fait sonner tes postes...Et comme c'est le contexte par defaut de freepbx pour les appels sips externes, je ne pense pas que tu ais modifié à ce point freebpx. ( pas evident de le supprimer, plus simple de le surcharger ou d'en utiliser un autre)
Si on sait ce qu'on fait, ca ne pose pas vraiment de pb d'autoriser les appels entrants sip anonymes.

Dans ta config freepbx, tu as definis tes trunks. Par defaut, le context est from-pstn et c'est ce que tu as peut etre dans la def de ceux-ci. Lors d'un appel entrant, asterisk va matcher les friend/user definis et tu vas retrouver un appel sur le contexte du trunk correspondant.
Si, ca ne matche pas, ca va arriver vers un context default, souvent appelé default d'ailleurs et sur freepbx from-sip-external ( voir section general sip ). Si tu autorises l'option dans freepbx, il cherchera ensuite à matcher la inbound route correspondante. Tu as probablement une inbound route par defaut ce qui fait sonner tes postes comme un appel normal.

Si tu ne veux pas autoriser les appels sip entrant "anonymes", le plus simple est lorsque possible, de n'autoriser que tes fournisseurs ou adresses ip autorisées a acceder à ton serveur en bloquant tous les autres. iptables est ton ami...
Certains fournisseurs exige ce type de config.
Il y a un setting permettant de renvoyer vers un congestion dans freepbx, neanmoins il vaut mieux utiliser iptables si possible qui sera plus efficace, ton serveur n'attirera pas l'attention car "invisible" de l'exterieur au contraire d'une congestion.
Fastm3.

le port sip est effectivement ouvert pour des appels des postes exterieurs vers nos bureaux

les pwd crackés c'est pas ici c'était sur une autre install nos pwd me semble être suffisamment tordus

Le port sip ne doit etre alors autorisé que pour les seuls ips des bureaux pas le monde entier.
Ne pas oublier permit/deny qui est une securité supplementaire. L'acces au mot de passe par ruse ou trojan ne compromettera pas l'acces remote meme avec le bon mot de passe. Le vpn est aussi une securité supplementaire qui s'impose IMHO si on a une config avec plusieurs bureaux.

Juste une question con :-)
Ton IPBX est une trixbox ou Freepbx ouvert au web ? je sais que plein de gens adorent ça pour je ne sais quelle raison autre que le plaisir de se faire hacker.

Le fop est accessible avec son passw0rd d'origine ?
le manager avec son user d'origine ? etc..
ouvrir un pbx d'entreprise au web est de toute façon toujours une mauvaise idée


on travaille sur freepbx tout les passwords par defaut on été remplacé.

OK, mais tu ne devrais jamais mettre ni le port web, ni les ports voip directement sur internet. Toujours utiliser un firewall.

Si tu dois accéder au web de l'exterieur, utilise un VPN ..

Pour revenir sur ce sujet, si quelqu'un à l'adresse d'un tuto ou autre de trucs qu'il vaut mieux sécuriser plutôt que de laisser la config par défaut, je pense qu'il y aurait des preneurs, moi y compris... :)

Bonjour à tous,
désolé pour le délai, mais le temps que je me renseigne et que je fasse le reste de mon boulot (malheureusement je ne fais pas que de la téléphonie)...


Tu en es sur ? On parie ?
Il existe car il fait sonner tes postes...Et comme c'est le contexte par defaut de freepbx pour les appels sips externes, je ne pense pas que tu ais modifié à ce point freebpx. ( pas evident de le supprimer, plus simple de le surcharger ou d'en utiliser un autre)
Si on sait ce qu'on fait, ca ne pose pas vraiment de pb d'autoriser les appels entrants sip anonymes.

Dans ta config freepbx, tu as definis tes trunks. Par defaut, le context est from-pstn et c'est ce que tu as peut etre dans la def de ceux-ci. Lors d'un appel entrant, asterisk va matcher les friend/user definis et tu vas retrouver un appel sur le contexte du trunk correspondant.
Si, ca ne matche pas, ca va arriver vers un context default, souvent appelé default d'ailleurs et sur freepbx from-sip-external ( voir section general sip ). Si tu autorises l'option dans freepbx, il cherchera ensuite à matcher la inbound route correspondante. Tu as probablement une inbound route par defaut ce qui fait sonner tes postes comme un appel normal.

Si tu ne veux pas autoriser les appels sip entrant "anonymes", le plus simple est lorsque possible, de n'autoriser que tes fournisseurs ou adresses ip autorisées a acceder à ton serveur en bloquant tous les autres. iptables est ton ami...
Certains fournisseurs exige ce type de config.
Il y a un setting permettant de renvoyer vers un congestion dans freepbx, neanmoins il vaut mieux utiliser iptables si possible qui sera plus efficace, ton serveur n'attirera pas l'attention car "invisible" de l'exterieur au contraire d'une congestion.
Fastm3.

Quand j'ai configuré le freepbx (et la trixbox précédemment) on m'a dit d'autoriser les sip anonymes et de fait quand je ne le fais pas, certains appels n'entrent pas.

J'ai bien configuré des trunks différents et des inbounds route s'y rapportant, mais il doit certainement donc rester la route et contexte par defaut.

Est-il possible de supprimer les config par defaut? Vu que mes trunks sont bien configurés, mes inbouds/outbounds aussi. De la sorte que, quand le pirate tente l'appel entrant, matching friend/user ne marche pas et ne va donc pas vers un context-default?

Ceci dit, aujourdh'ui je règle le problème via mon firewall.
Mon chef veut pouvoir appeler de l'extérieur, via vpn ou non. On va lui faire plaisir :)

Je suis très intéressé par la lecture détaillées des logs d'un appel entrant/sortant. Trouverais-je ça dans "asterisk de future of telephony"?

Merci

Quand j'ai configuré le freepbx (et la trixbox précédemment) on m'a dit d'autoriser les sip anonymes et de fait quand je ne le fais pas, certains appels n'entrent pas.

J'ai bien configuré des trunks différents et des inbounds route s'y rapportant, mais il doit certainement donc rester la route et contexte par defaut.

Si pour les appels entrants de ton fournisseur voip , tu as besoins d'activer les sip anonymes dans freepbx, c'est que tes trunks sont mal configurés ou incomplets.
Le matching est incomplet. Ca peut etre du a la config de ton fournisseur voip avec une config presentant plusieurs ips. On completera alors la config coté ipbx pour que que le matching se fait bien.
Pour pouvoir appeler de l'exterieur, les sips anonymes n'ont rien a voir.
N'oublie pas les permit/deny au niveau des config d'extensions qui ajoute une couche de securite.

Quand le pirate teste, c'est justement parce que le matching ne fonctionne pas qu'il se retrouve sur le contexte par defaut , et comme celui-ci se comporte comme un inbound route par defaut si tu as activé l'option, c'est pour cela que tes tels sonnent.
Tu dois IMHO si je comprends ce que tu veux, desactiver les appels anonymes sur freepbx. Ensuite, si un appel entrant ne fonctionne pas provenant de ton fournisseur, regarde les logs sip pour comprendre pourquoi il se retrouve sur le contexte par defaut ( appel anonyme avec freepbx ) au lieu du contexte specifié dans un de tes trunks.
Il y a quelques annees, il y avait keyyo qui avait un fonctionnement pouvant provoquer ce type de comportement. Je ne sais pas si c'est encore vrai.

Maintenant comme tu l'indiques , on peut régler aussi cela en agissant sur le firewall.
Fastm3.

hello,
j'ai réglé (je pense) le problème via le firewall.
Ceci dit, j'aimerais mieux maîtriser l'aspect sécurité.
Ok j'ai changé les mdp par défaut et mis des mdp suffisamment tordus mais je ne maîtrise pas ce qui se passe! J'ai regardé les logs sans trop comprendre ce qu'il se tramait.
L'aide de la communauté est alors précieuse mais la connaissance c'est quand même mieux.
J'ai vu dans d'autres posts qu'il existait "asterisk future of..." en français (je l'ai déjà en anglais).
En existe t'il d'autres?

Merchi les amis