Question sur la sécurité encore et toujours

[Comdif]

Des attaques de plus en plus virulentes today sur mon pot de miel
du grand art avec spoofing d'IP plus login/password en règle, j'en tombe le cul par terre.
Comme on est obligé de supporter les clients Orange avec leurs IP vagabondes
même quand on leur facture une IP fixe il est impossible d’empêcher totalement
le scan même FTB arrive à laisser passer plus d'une centaine de requêtes avant de bloquer.
J'aimerais comme première barrière sur mon IPtable n'accepter que les Frenchies
et dégager tout le reste sauf ceux qui ont tout compris avec une IP fixe.
mais c'est la le problème insurmontable, je ne trouve rien de fiable et complet
sur les Ip ranges.
ftp://ftp.ripe.net/pub/stats/ripencc.../alloclist.txt
ça c'est de la pure fumisterie car déjà ma propre IP n'est pas listée.

Connaissez vous une DB fiable et complète sur les IP ?

merci

[ogdoade]

regarde de ce coté : ip2location.com. Je ne sais pas ce que ça vaut, mais ils ont repéré mes différentes adresses IP que ce soit en ADSL, SDSL, mobile.

A+
Olivier

[Comdif]

regarde de ce coté : ip2location.com. Je ne sais pas ce que ça vaut, mais ils ont repéré mes différentes adresses IP que ce soit en ADSL, SDSL, mobile.

A+
Olivier

Merci Olivier, finalement j'ai fait un diagnostique un peu hâtif et mon IP faisait bien partie d'un des range de la DB RIP
j'ai donc appliqué ce firewall qui a bien calmé le jeux.

j'ai donc créé une chaine voip exécutée en début d'iptables
avec ces règles
la première étant à remplacer par celle avec l'ip de l'opérateur si il n'est pas Francais.

frenchip.zip

Certainement possible de faire avec un GUI php capable d'extraire sur un code ISO pays et d'updater régulièrement mais je laisse ce sujet du bac à un motivé :-)

Enfin je voudrais quand dire à tous ceux qui pensent que ça ne sert à rien et que c'est perdu d'avance de reporter le hacking, que j'ai mis en place depuis plusieurs mois le reporting immédiat vers l'adresse abuse en cas de scan ou intrusion bizarre et que au moins dans 50% des cas un ticket est ouvert et dans 25% de ces 50% le serveur concerné ne répond plus au bout d'une heure.
Ne pas reporter c'est juste accepter la délinquance informatique et baisser les bras.

[olppp]

Bonjour,

pour limiter les attaques, j'utilise l'outil fail2ban http://www.fail2ban.org/wiki/index.php/Main_Page, outil non spécifique à Asterisk.

le filtre Asterisk n'est pas en natif

ma config

ajout au fichier /etc/fail2ban/jail.local
----
[asterisk-iptables]

enabled = true
filter = asterisk
action = iptables-allports[name=ASTERISK, protocol=all]
sendmail-whois[name=ASTERISK, dest=root, sender=fail2ban@enst.fr]
logpath = /var/log/asterisk/messages
maxretry = 5
bantime = 259200
-----
fichier /etc/fail2ban/filter.d/asterisk.conf
-----
# Fail2Ban configuration file
#
#
# $Revision: 250 $
#

[INCLUDES]

# Read common prefixes. If any customizations available -- read them from
# common.local
#before = common.conf


[Definition]

#_daemon = asterisk

# Option: failregex
# Notes.: regex to match the password failures messages in the logfile. The
# host must be matched by a group named "host". The tag "<HOST>" can
# be used for standard IP/hostname matching and is only an alias for
# (?:::f{4,6}?(?P<host>\S+)
# Values: TEXT
#

failregex = NOTICE.* .*: Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Wrong password
NOTICE.* .*: Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - No matching peer found
NOTICE.* .*: Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Username/auth name mismatch
NOTICE.* .*: Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Device does not match ACL
NOTICE.* .*: Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Peer is not supposed to register
NOTICE.* <HOST> failed to authenticate as '.*'$
NOTICE.* .*: No registration for peer '.*' \(from <HOST>\)
NOTICE.* .*: Host <HOST> failed MD5 authentication for '.*' (.*)
VERBOSE.* logger.c: -- .*IP/<HOST>-.* Playing 'ss-noservice' (language '.*')
NOTICE.* .*: Call from '' \(<HOST>(:[0-9]{1,5})?\) to extension '.*' rejected because extension not found in context

# Option: ignoreregex
# Notes.: regex to ignore. If this regex matches, the line is ignored.
# Values: TEXT
#
ignoreregex =
----

[Comdif]

Ce n'est pas une autre approche
fail2ban à le gros défaut de laisser parfois passer presque une centaine de scan
avant de bloquer, les sip scanner étant de plus en plus performants et rapides.
et certains hackers semblent se contenter de ces infos qui indiquent déjà
qu'un serveur asterisk est bien présent à cette IP.
De plus si le hacker à tout simplement récupéré les infos SIP côté client ce qui est
souvent le cas il vas pouvoir s'inscrire et appeler sans problèmes.

J'ai donc ajouté la chaine voip avant le fail2ban donc déjà le serveur SIP n'est
ouvert qu'a la France.
Ensuite il y a le F2B

Pour finir je n'autorise pas les appels de clients non enregistrés, ceci est contrôlé par l'AGI et l'IP doit correspondre.

J'espère que ça vas complètement calmer le jeux :-)

[olppp]

effectivement fail2ban n'est pas super rapide.
je ne filtre pas sur l'ip source.
les sources non enregistrées ne peuvent appeler que la sda.
j'utilise aussi la fonction FILTER() car j'ai eu des tentatives d'ingestion sql ou php.

fail2ban nous sert aussi pour d'autre protocoles.
les ip bannis sont collectés et bloqués au niveau routeur, banissement étendu parfois à une classe entière

[nens]

De mon coté j'ai installé la distrib IPFIRE (une firewall comme ipcop)

L'avantage est qu'une fois installé on rajoute le package déjà tout pret de asterisk
et chan dahdi car j'ai une carte digium.


c'est surement pas parfait mais à l'inverse de d'habitude :
on ouvre ce que l'on à besoin
au lieu de fermé tout ce que l'on veut pas