Page 1 sur 2 12 DernièreDernière
Affichage des résultats 1 à 10 sur 12

Discussion: NOTICE Failed to authenticate device

  1. #1
    Membre Junior
    Date d'inscription
    août 2013
    Messages
    6
    Downloads
    0
    Uploads
    0

    NOTICE Failed to authenticate device

    Bonjour je voudrais savoir votre avis sur les erreurs que je reçois chaque jours sur le terminal CLI de mon serveur Asterisk? Problème de sécurité?

    Exemple des erreurs:
    [2013-12-08 01:51:06] NOTICE[10405][C-00000086]: chan_sip.c:25282 handle_request_invite: Failed to authenticate device 500<sip:500@IP_LOCAL_DU_SERVEUR_ASTERISK:5060>;tag =b5fbc361
    [2013-12-08 02:10:30] NOTICE[10405][C-00000087]: chan_sip.c:25282 handle_request_invite: Failed to authenticate device 500<sip:500@IP_LOCAL_DU_SERVEUR_ASTERISK:5060>;tag =cfb52ab3
    [2013-12-08 02:29:42] NOTICE[10405][C-00000088]: chan_sip.c:25282 handle_request_invite: Failed to authenticate device 600<sip:600@IP_LOCAL_DU_SERVEUR_ASTERISK:5060>;tag =b9ca6c9a
    et par moment j'ai ça:

    WARNING[16505]: chan_sip.c:4174 retrans_pkt: Retransmission timeout reached on transmission 27be645f58e1e6cbc8a417b3bbba46c7 for seqno 2 (Critical Response) -- See https://wiki.asterisk.org/wiki/displ...etransmissions
    Information sur ma configuration:

    Debian 7
    J'ai un debian compilé avec FreePBX, mais je m'en sert pas, je configure directement via asterisk dans sip, extensions, users, voicemail, etc..
    Asterisk 11.5
    Dernière version de Fail2Ban pour iptables
    et UFW de configuré pour iptables
    allowguest=no dans sip.conf

    Sinon j'ai lu le poste http://www.asterisk-france.org/showt...nticate+device
    mais impossible de trouver le fichier chan_sip.c et même le dossier channels

    Avez-vous une idée?

    Merci de votre aide, amicalement.

    Nasedo
    Dernière modification par Nasedo ; 08/12/2013 à 18h58.

  2. #2
    Membre Senior
    Date d'inscription
    septembre 2010
    Messages
    410
    Downloads
    1
    Uploads
    0
    Bonjour,

    problème de sécurité, oui dans le sens ou tu n'as pas de firewall. Il est fortement conseillé d'installer un iptables pour n'autoriser que les IP que tu connais ..

  3. #3
    Membre Senior
    Date d'inscription
    septembre 2010
    Localisation
    Where the sun shines
    Messages
    1 418
    Downloads
    0
    Uploads
    0
    je plussoie therbel23

    simple ajout - le 2eme message ''critical error....' est généré quand une comm est rompue parce qu'on obtient plus de réponse sur le port sip. soit un pbm de réseau, ou de paramétrage

  4. #4
    Membre Junior
    Date d'inscription
    août 2013
    Messages
    6
    Downloads
    0
    Uploads
    0
    Bonjour,

    Merci de vos réponses,

    Alors je ne comprends pas, vous allez mal lu mon poste, car j'ai déjà configuré iptables et il bloque bien des IP mais j'ai toujours des NOTICE.

    [2013-12-09 14:38:03] NOTICE[10405]: chan_sip.c:27919 handle_request_register: Registration from '"2" <sip:2@IP_LOCAL_:5060> ' failed for '162.220.61.17:5068' - Wrong password
    [2013-12-09 14:38:10] NOTICE[10405]: chan_sip.c:27919 handle_request_register: Registration from '"5" <sip:5@IP_LOCAL_ASTERISK:5060> ' failed for '162.220.61.17:5077' - Wrong password
    L'IP c'est fait ban je viens de vérifier:

    Hi,

    The IP 162.220.61.17 has just been banned by Fail2Ban after
    4 attempts against ASTERISK.


    Here are more information about 162.220.61.17:


    Regards,

    Fail2Ban
    [2013-12-09 16:27:56] NOTICE[10405][C-000000bc]: chan_sip.c:25282 handle_request_invite: Failed to authenticate device 20<sip:20 @IP_LOCAL_ASTERISK:5060>;tag=2c6683b3
    [2013-12-09 16:27:58] NOTICE[10405][C-000000bd]: chan_sip.c:25282 handle_request_invite: Failed to authenticate device 20<sip:20 @IP_LOCAL_ASTERISK:5060>;tag=172c155d
    ICI je ne sais pas car aucune ip visible

    et la dernière:

    [2013-12-09 18:27:55] NOTICE[10405][C-000000c0]: chan_sip.c:25381 handle_request_invite: Call from '100' (IP_SPA3102_LINKSYS:5060) to extension '1005' rejected because extension not found in context 'MON CONTEXT'.
    5 Attaques en 24h

    Que dois-je faire sur iptables?

    Avez vous un exemple de commande ou script pour bloquer toutes les ip néfastes.

    @ Jean:

    Je n'ai pas compris ta réponse.

    Edit: si je viens de comprendre pour "WARNING[16505]: chan_sip.c:4174 retrans_pkt: Retransmission timeout reached on transmission 27be645f58e1e6cbc8a417b3bbba46c7 for seqno 2 (Critical Response) "

    mais cela ne m'explique pas pourquoi j'ai encore des erreur de NOTICE alors que iptables est configuré avec fail2ban pour bloquer les tentatives de connexion échoué.

    Moi ce que je trouve dommage sur la toile, ou sur asterisk-france qui n'ai pas un poste ou tuto pour nous expliquer comment bien protéger un serveur Asterisk.. le bute d'un serveur Asterisk ce n'est pas seulement pour des communications en local mais aussi pour des comm à l’extérieur..
    Dernière modification par Nasedo ; 09/12/2013 à 21h32.

  5. #5
    Membre Senior
    Date d'inscription
    septembre 2010
    Localisation
    Where the sun shines
    Messages
    1 418
    Downloads
    0
    Uploads
    0
    - Les attaques sont communes - j'ai un 20aine de scan par jour sur mes serveurs. Vive internet

    - Critical error : cela n'a rien à voir avec les attaques, c'est un pbm lors d'une communication normale, le flux principal devient du RTP (de l'audio) et non plus du SIP (de la signalisation). Mais de temps en temps, un petit paquet sip s'echange, et si celui ci n'a pas de réponse, asterisk casse la comm considérant que le réseau déconne. Ca peut être du à de vrais problèmes de trans, à un firewall qui se referme, etc...

    - il y a qd meme pas mal d'articles dans le tuto sur la sécurité asterisk:
    http://www.asterisk-france.org/conte...-avec-fail2ban
    http://www.asterisk-france.org/conte...quer-les-scans
    http://www.asterisk-france.org/conte...n-de-vpn-pptpd

    il te faut au minimum installer un fail2ban.

    Pour quelle raison ton asterisk est il ouvert au monde ? cela ne peut il pas être restreint à quelques adresses ?

  6. #6
    Membre Junior
    Date d'inscription
    août 2013
    Messages
    6
    Downloads
    0
    Uploads
    0
    J'ai déjà fail2ban de configuré sur la machine

    Après 3 tentatives il ban:

    [asterisk-iptables]

    enabled = true
    filter = asterisk
    action = iptables-allports[name=ASTERISK, protocol=all]
    sendmail-whois[name=ASTERISK, dest=root@localhost, sender=client]
    logpath = /var/log/asterisk/security_log
    maxretry = 3
    bantime = 259200
    "Pour quelle raison ton asterisk est il ouvert au monde ? cela ne peut il pas être restreint à quelques adresses ?"

    J'avais tenté de bloquer les entrés avec des règles iptables, mais impossible de recevoir des appels de l’extérieur elles étaient toutes rejetés par iptables...

    Si tu pouvais m'aider sur la configuration de règles je suis preneur, voici mes demandes:

    Mon réseau local = 192.168.1.0
    Mon réseau VPN = 192.168.12.0

    Sur mon serveur asterisk j'ai qu'une seule carte réseau en eth3

    Les ports:

    - VPN pptp (tcp 1723)
    - utilisation SIP (port 5060 et 5061 ainsi que 10000:20000)
    - SSH (port 6070 au lieu de 22)

    Les IP Internet:

    - IP des clients nomades pour la connexion au VPN (à autoriser)
    - Mon IP pour le SSH (à autoriser)

    Les IP local:

    - Autoriser le réseau local 192.168.1.0 à communiquer avec Asterisk et l’extérieur.
    - Autoriser le réseau local VPN 192.168.12.0 à communiquer avec Asterisk et l’extérieur.

    comment configurer iptables pour autoriser seulement ces ports et pour bloquer les attaques, pouvez vous m'aider merci et si possible d'avoir ça sous forme de script pour d'éployer sous plusieurs machines et faire partager le script au internautes d'Asterisk-France.

    Edit: Exemple de mon script

    Si je prends exemple sur http://www.asterisk-france.org/conte...quer-les-scans
    Avec mes restrictions cela donne ça? J'ai fait une erreur?

    #!/bin/sh
    # description: Firewall


    IPT=/sbin/iptables


    stop() {
    $IPT -F INPUT
    $IPT -F LOG_DROP
    $IPT -X LOG_DROP
    }



    start() {
    # logs - drop
    # tout n'est pas necessaire, c'est juste le principe
    $IPT -N LOG_DROP
    $IPT -A LOG_DROP -j LOG -p tcp --dport 6070 --log-prefix '[IPTABLES DROP SSH] : '
    $IPT -A LOG_DROP -j LOG -p tcp --dport 5060 --log-prefix '[IPTABLES DROP SIP] : '
    $IPT -A LOG_DROP -j LOG -p tcp --dport 5061 --log-prefix '[IPTABLES DROP SIP] : '
    $IPT -A LOG_DROP -j LOG -p tcp --log-prefix '[DROP] : '
    $IPT -A LOG_DROP -j REJECT



    # host a bannir
    $IPT -A INPUT -i eth3 -p tcp --source IP_EXTERIEUR -j DROP


    # on autorise tout ce qui vient du subnet, a adapter pour vous.
    iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT


    # on autorise tout ce qui vient du subnet pour simplifier
    iptables -A INPUT -s 192.168.12.0/24 -j ACCEPT


    # on ouvre le port 1723
    $IPT -A INPUT -p tcp --dport 1723 -j ACCEPT


    # on autorise gre
    $IPT -A INPUT -p gre -j ACCEPT

    #asterisk
    # supprime erreur dans log asterisk
    $IPT -A INPUT -p udp -m udp --dport 5060 -m string --string "Cirpack KeepAlive Packet" --algo bm -j DROP


    # pour le port 5060 on autorise uniquement certaines ips
    # Tout le subnet, a dapter pour VOTRE config
    $IPT -A INPUT -s 192.168.1.0/24 -i eth3 -p udp --dport 5060 -j ACCEPT
    $IPT -A INPUT -s 192.168.12.0/24 -i eth3 -p udp --dport 5060 -j ACCEPT


    #on autorise certains fournisseurs sip
    #on ajoutera aussi ses propres ip externes
    $IPT -A INPUT -s sip.ovh.net -i eth3 -p udp --dport 5060 -j ACCEPT
    $IPT -A INPUT -s freephonie.net -i eth3 -p udp --dport 5060 -j ACCEPT


    $IPT -A INPUT -i eth3 -p udp -m udp --dport 10000:20000 -j ACCEPT


    # Le reste est fonction de votre config, juste pour info
    # si vous autorisez le subnetlocal, juste ssh est necessaire normalement.
    # On le mettra sur un autre port de preference.
    # on pourra limiter l'acces ssh a certaines ips avec la meme methode que ci dessus
    $IPT -A INPUT -i eth3 -m state --state ESTABLISHED,RELATED -j ACCEPT
    $IPT -A INPUT -i eth3 -p tcp --dport 6070 -j ACCEPT


    #ping
    $IPT -A INPUT -i eth3 -p icmp -j ACCEPT

    # on rejette tout les autres
    $IPT -A INPUT -i eth3 -j LOG_DROP
    }

    case "$1" in

    start)
    start
    echo "FireWall Telisk -- Start OK";

    exit 0
    ;;


    stop)
    stop
    echo "FireWall Telisk -- Stop OK";
    exit 0
    ;;
    restart)
    stop
    start
    echo "FireWall Telisk -- Restart OK";

    exit 0
    ;;

    *)
    echo "Usage: /etc/init.d/firewall {start|stop|restart}"
    exit 1
    ;;
    esac
    Dernière modification par Nasedo ; 10/12/2013 à 01h29.

  7. #7
    Membre Senior
    Date d'inscription
    septembre 2010
    Localisation
    Where the sun shines
    Messages
    1 418
    Downloads
    0
    Uploads
    0
    bon, il y a qd meme des choses....

    pdt que j'y pense, fail2ban & le message ' Failed to authenticate device ' - gros débat à une époque, résolu maintenant depuis la 1.8 (la 10 ?) - il faut ajouter security sur console et messages dans logger.conf pour que les messages apparaissent avec l'ip, et avoir l'IP de l'attaquant

    coté iptables... je les fais pas tout à fait pareil. je pense que le pbm principal est le filtrage par adresse de vpn / pas vpn

    je viserai un truc genre

    Flusher les regles (iptables -F) - ensuite, depuis la cli, faire iptables.....
    -N LOGDROP
    -A LOGDROP -j LOG
    -A LOGDROP -j DROP
    -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    -A INPUT -s 192.168.12.0/24 -p udp -m state --state NEW -m udp --dport 5060 -j ACCEPT
    -A INPUT -s 192.168.1.0/24 -p udp -m state --state NEW -m udp --dport 5060 -j ACCEPT
    -A INPUT -p udp -m state --state NEW -m udp --dport 5060 -j LOGDROP

    ensuite, un iptables -L -nvx va te montrer le nombre de paquets et de bytes qui passent dans chaque règle

    => fais un test, et vois ou ca passe

    si tout passe dans la dernière règle, donc que tout bloque, c'est que le -s ne fonctionne pas... google iptables et vpn, voir s il y a pas une astuce

  8. #8
    Membre Junior
    Date d'inscription
    août 2013
    Messages
    6
    Downloads
    0
    Uploads
    0
    Voici le rapport de iptables -L -nvx:

    pkts bytes target prot opt in out source destination
    119 14085 ACCEPT all -- * * 192.168.1.0/24 0.0.0.0/0
    0 0 ACCEPT all -- * * 192.168.12.0/24 0.0.0.0/0
    0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1723
    0 0 ACCEPT 47 -- * * 0.0.0.0/0 0.0.0.0/0
    0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:5060 STRING match "Cirpack KeepAlive Packet" ALGO name bm TO 65535
    0 0 ACCEPT udp -- eth3 * 192.168.1.0/24 0.0.0.0/0 udp dpt:5060
    0 0 ACCEPT udp -- eth3 * 192.168.12.0/24 0.0.0.0/0 udp dpt:5060
    0 0 ACCEPT udp -- eth3 * 91.121.129.17 0.0.0.0/0 udp dpt:5060
    0 0 ACCEPT udp -- eth3 * 212.27.52.5 0.0.0.0/0 udp dpt:5060
    0 0 ACCEPT udp -- eth3 * 0.0.0.0/0 0.0.0.0/0 udp dpts:10000:20000
    440 49138 ACCEPT all -- eth3 * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
    0 0 ACCEPT tcp -- eth3 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:6070
    0 0 ACCEPT icmp -- eth3 * 0.0.0.0/0 0.0.0.0/0
    122 55920 LOG_DROP all -- eth3 * 0.0.0.0/0 0.0.0.0/0

    Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
    pkts bytes target prot opt in out source destination

    Chain OUTPUT (policy ACCEPT 573 packets, 290617 bytes)
    pkts bytes target prot opt in out source destination

    Chain LOG_DROP (1 references)
    pkts bytes target prot opt in out source destination
    0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:6070 LOG flags 0 level 4 prefix "[IPTABLES DROP SSH] : "
    0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5060 LOG flags 0 level 4 prefix "[IPTABLES DROP SIP] : "
    0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5061 LOG flags 0 level 4 prefix "[IPTABLES DROP SIP] : "
    0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4 prefix "[DROP] : "
    122 55920 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
    et maintenant avec ça j'ai encore plus d'erreurs... c'est pire un scan à la seconde et des messages que je n'avais pas avant:

    [2013-12-12 00:33:58] NOTICE[3477]: chan_sip.c:27919 handle_request_register: Registration from '"100" <sip:100@192.168.1.250:5060>' failed for '50.30.47.15:5081' - Wrong password
    Que faire, j'ai l'impression de patauger dans la semoule..

    Sinon pour Asterisk je suis à la version 11.5 et non 10

    J'ai ajouté ça dans logger.conf

    messages => security, notice,warning,error
    Source: http://www.fail2ban.org/wiki/index.php/Asterisk

    Peux-tu m'aider un peux plus sur les règles iptables, car la je me casse la tête même si le meilleur amis de l'homme est un chi... est Google, j'ai quand même du mal.

    Merci

  9. #9
    Membre Junior
    Date d'inscription
    août 2013
    Messages
    6
    Downloads
    0
    Uploads
    0
    Bon après 2h dans le terminal CLI je n'ai plus de messages d'avertissement.

    Les derniers [NOTICE] que j'ai du recevoir sont les messages d'avertissement que j'ai reçu en décalés lorsque j'ai fait un reset du pare-feu iptables (le temps que je lance les nouvelles règles du pare-feu iptables il c'est passé au moins 10mins). j'ai donc du recevoir des [NOTICE] en décalés suite au 10mins...

    Je fais un test sur 24h et je vous redis.

    Sinon Jean comment je peux faire un test pour savoir si mon serveur est sécurisé? Exemple je m'auto attaque/scan pour vérifier la sécurité

    J'ai trouvé ça: http://www.sinologic.net/proyectos/a...checkSecurity/
    Si je fait un reset d'iptables il me dit que c'est ok les invités ne peuvent pas s'authentifier et si j'activer mes règles iptables il me dit que les port 5060 est fermé

    Pour info mon script de reset iptables est:

    #!/bin/sh
    echo "Flushing iptables rules..."
    sleep 1
    iptables -F
    iptables -X
    iptables -t nat -F
    iptables -t nat -X
    iptables -t mangle -F
    iptables -t mangle -X
    iptables -P INPUT ACCEPT
    iptables -P FORWARD ACCEPT
    iptables -P OUTPUT ACCEPT
    Source: http://insanelabs.com/linux/linux-re...irewall-rules/

    si cela peux servir pour les internautes de la communauté Asterisk
    Dernière modification par Nasedo ; 12/12/2013 à 04h29.

  10. #10
    Membre Senior
    Date d'inscription
    septembre 2010
    Localisation
    Where the sun shines
    Messages
    1 418
    Downloads
    0
    Uploads
    0
    attention, les iptables que tu montres indique que fail2ban est inactif.

    en effet, si tu reset tes iptables, tes regles fb degagent. si tu veux resetter tes iptables, il faut arrztee fb, resetter tes tables, charger tes nouvelles regles, puis relancer fb.

    le registration from 100 venait d un gars qui fait un bruteforce sur ce compte. c est généralement une centaine ee paquets a la seconde...

    avec iptables -L -nvx , il te faut passer cette commande régulièrement etvoir l évolution des chiffres de la première colonne. ca te montre par quelle regle passent les paquets.
    sur l ewemple que tu donnes, on voit des paquets depuis ton lan , rien en vpn, et 122 paquets jetés.

    pense aussi a activer les regles lors du reboot. generalement, je fais iptables-save dans un fichier, puis iptables-restore du fichier pour recharger (suivi du reload fb) . et je modifie juste xe fichier en fonction des besoins.

    pour tester la sécurité, tu peux chargr backtrack / kali sur une vm / cle usb, et lancer sipvicious. mais si ton port 5060 est bloqué depuis le net, tu es tranquille pour la voip , reste http et ssh....

    surveille attentivement tes logs asterisk . je viens de monter un nouvezu asterisk sur une dediee online.net, j ai 20 scan par jour....

Les tags pour cette discussion

Règles de messages

  • Vous ne pouvez pas créer de nouvelles discussions
  • Vous ne pouvez pas envoyer des réponses
  • Vous ne pouvez pas envoyer des pièces jointes
  • Vous ne pouvez pas modifier vos messages
  •