Page 1 sur 2 12 DernièreDernière
Affichage des résultats 1 à 10 sur 17

Discussion: Sécurité

  1. #1
    Membre Junior
    Date d'inscription
    mai 2013
    Messages
    22
    Downloads
    1
    Uploads
    0

    Sécurité

    Bonjour,

    Je m'apercois en analysant les logs du 'message' logfile que j'ai une avalanche de connections tentées sur mon serveur.

    [May 5 15:08:20] NOTICE[15301] chan_sip.c: Call from '' (188.165.236.181:5088) to extension '972599532957' rejected because extension not found in context 'incoming'.

    Dans cette ligne il s'agit d'une IP, mais je dirais que j'en ai déjà un grosse série différentes. Certaines reviennent de manière incessante.

    J'ai installé fail2ban, mais j'ai du me craker sur un parametrage car cela continue de plus belle.

    Mes questions sont :
    1- Est ce normal, et tout le monde expériment'il des cascades de tentatives de log ?
    2- Fail2ban n'est il pas sensé bloquer les IP qui tentent en boucle de se connecter, si oui doit je créer un filtre spécial pour fail2ban ?
    3- L'encryption du mdp est il un moyen efficace d'éviter les bruteforce ? (a noter que le serveur est un serveur dédié, déporté de mon lan).
    4- Tous les tutos et toutes les info que j'ai lue à ce sujet datent pour la plupart de 2006-2011. Asterisk est il plus fiable en sécurité qu'il y a 5 ans, où cela mérite t'il que je mette un spécialiste sur le sujet ?

    J'espérais que tout serait blindé dès le départ mais je pense que j'ai vu un peu trop le projet façon 'Happy World" !

    Merci pour tous les réponses que vous saurez ou voudrez bien m'apporter

  2. #2
    Membre Senior
    Date d'inscription
    septembre 2010
    Localisation
    Where the sun shines
    Messages
    1 418
    Downloads
    0
    Uploads
    0
    - vérifier allowguest=no dans sip.conf

    - lire README-SERIOUSLY.bestpractices.txt dans le répertoire de download d'asterisk

  3. #3
    Membre Junior
    Date d'inscription
    mai 2013
    Messages
    22
    Downloads
    1
    Uploads
    0
    Merci pour votre réponse, j'en suis arrivé à la même conclusion après tout ce temps de lecture.

    Pour autant je bloque désormais sur l'étape suivante :
    NOTICE[5295] chan_sip.c: Sending fake auth rejection for device 444<sip:444@xx.xx.xx.xx>;tag=6e3dd121

    Pas d'IP apparente, donc pas de solution de blocage ?

    Merci en tout cas d'avoir pris la peine de répondre.

  4. #4
    Membre Senior
    Date d'inscription
    septembre 2010
    Localisation
    Where the sun shines
    Messages
    1 418
    Downloads
    0
    Uploads
    0
    déjà, le pirate n'arrive plus a essayer de passer un appel - il est jeté avant, c'est un progres.

    sur le fail2ban et fake auth: http://forums.asterisk.org/viewtopic...2ban+fake+auth

    sinon, sur ce forum:
    http://www.asterisk-france.org/showt...light=iptables
    http://www.asterisk-france.org/showt...light=iptables

  5. #5
    Membre Junior
    Date d'inscription
    mai 2013
    Messages
    22
    Downloads
    1
    Uploads
    0
    Merci pour cette réponse !
    Du coup je suis en train de ramener la dernière version, je v recompiler et voir si cela corrige naturellement la problème.
    Si ce n'est pas le cas, j'ajouterai les modifications proposées par le lien 1 que vous m'avez donné.
    J'espère que cela va fonctionner !

  6. #6
    Membre Junior
    Date d'inscription
    mai 2013
    Messages
    22
    Downloads
    1
    Uploads
    0
    J'ai testé de procéder comme le suggérait le post que tu as cité Jean, mais je ne suis pas parvenu à trouver le code source dans le fichier chan_sip.c
    Je pense (sauf erreur de ma part) que ce fichiers a subit de nombreuses modifications depuis l'année de rédaction du post en question.

    Pour autant, j'ai eu beau passer à la version 1.8.21, j'ai toujours des essais de connexions que je n'arrive pas à contrôler (environ une trentaine par jour).
    En voici un exemple:
    Code:
    [May 12 01:52:24] NOTICE[3862] chan_sip.c: Failed to authenticate device 202<sip:MONSERVEURASTERISK>;tag=1f7b569c
    Ai je mal paramétré quelque chose pour que l'ip impliquée soit celle de mon serveur asterisk ? Dans le cas où c'est normal, comment récupérer les IP qui font du forcing pour les loguer, et mettre une règle en place avec fail2ban ?

    Merci de vos réponses !

  7. #7
    Membre Senior
    Date d'inscription
    septembre 2010
    Localisation
    Where the sun shines
    Messages
    1 418
    Downloads
    0
    Uploads
    0
    je pense que le hacker met intentionnellement dans le from ton ip, sachant que nombreux serveurs répondent sur l'@ d'origine et pas celle du protocole à cause du nat.

    il te faut prendre le fichier channels/chan_sip.c, rechercher toutes les chaines 'Failed to authenticate device ", doubler cette ligne en mettant:
    Code:
    ast_log(LOG_NOTICE, "IPFailed to authenticate device %s\n", ast_sockaddr_stringify_addr(addr)));
    et configurer F2B pour chopper le messge IPFailed...

  8. #8
    Membre Junior
    Date d'inscription
    mai 2013
    Messages
    22
    Downloads
    1
    Uploads
    0
    Je regarde cela de suite !
    Voila le code original de mon chan_sip.c, ce code est présent 3x fois.
    Code:
    ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", get_header(req, "From"));
    J'y ai fait succéder
    Code:
    ast_log(LOG_NOTICE, "IPFailed to authenticate device %s\n", ast_sockaddr_stringify_addr(addr)));
    ...en ayant pris l'initiative de retirer une des parenthèses de fermeture de fin (j'avais un message d'erreur à la compilation^^)

    Je reviens vers toi dès que j'ai testé

    ------------------- >> Edit du post

    L'ip est donc parfaitement détectée, grand merci Jean !
    Je passe à la création de la regle sous fail2ban.

    Voici mon code (du moins sur la partie failregex)

    Code:
    failregex = NOTICE%(__pid_re)s .*: Registration from '.*' failed for '<HOST>' - Wrong password$
                NOTICE%(__pid_re)s .*: Registration from '.*' failed for '<HOST>' - No matching peer found$
                NOTICE%(__pid_re)s .*: Registration from '.*' failed for '<HOST>' - Username/auth name mismatch$
                NOTICE%(__pid_re)s .*: Registration from '.*' failed for '<HOST>' - Device does not match ACL$
                NOTICE%(__pid_re)s .*: Registration from '.*' failed for '<HOST>' - Peer is not supposed to register$
                NOTICE%(__pid_re)s .*: Registration from '.*' failed for '<HOST>' - ACL error (permit/deny)$
                NOTICE%(__pid_re)s <HOST> failed to authenticate as '.*'$
                NOTICE%(__pid_re)s .*: No registration for peer '.*' \(from <HOST>\)$
                NOTICE%(__pid_re)s .*: Host <HOST> failed MD5 authentication for '.*' (.*)$
                NOTICE%(__pid_re)s .*: Failed to authenticate user .*@<HOST>.*$
                NOTICE%(__pid_re)s .*: Failed to authenticate user .*@<HOST>.*$
                NOTICE%(__pid_re)s .*: IPFailed to authenticate device <HOST>
    J'ai ajouté la dernière ligne, mais je ne suis pas sur de la syntaxe? Peux tu me dire si cela te semble correcte ?

    Merci infiniment en tout cas !
    Dernière modification par kuusou ; 14/05/2013 à 03h50. Motif: MAJ des infos

  9. #9
    Membre Senior
    Date d'inscription
    septembre 2010
    Localisation
    Where the sun shines
    Messages
    1 418
    Downloads
    0
    Uploads
    0
    dsl, j'avais un peu raté la réponse.... j'ai regardé plus en détail ( un couillon est venu me chercher des noises...) et en fait, cette solution marche (ta syntaxe f2b semble bonne, tu peux valider avec fail2ban-regex en n'oubliant pas de relancer le service une fois que c'est ok)

    mais y'a plus simple... sur les dernières versions d'asterisk, sur à partir de la 10, peut etre avant, il y a un nouveau mot clé pour le module logger - il faut ajouter dans logger.conf un ,security à la ligne console et message => et là tous les détails apparaissent... il reste à adapter le filtre f2b !! mais là, on monte d'un cran dans la sécurité, sans modifier le source !

  10. #10
    Membre Senior
    Date d'inscription
    janvier 2011
    Localisation
    Villejuif 94
    Messages
    337
    Downloads
    0
    Uploads
    0
    Bonjour,

    une idée en passant, serait-il possible de collecter les vilaines IP pour établir une blacklist façon anti-spam ?

    les mêmes IP sources reviennent en effet souvent ou proviennent d'un même sous réseau.
    la blacklist permettrait de bloquer les indélicats directement au niveau du pare-feu du site.

Règles de messages

  • Vous ne pouvez pas créer de nouvelles discussions
  • Vous ne pouvez pas envoyer des réponses
  • Vous ne pouvez pas envoyer des pièces jointes
  • Vous ne pouvez pas modifier vos messages
  •