Sécurité

**kuusou** · 05/05/2013, 15h29

Bonjour,

Je m'apercois en analysant les logs du 'message' logfile que j'ai une avalanche de connections tentées sur mon serveur.

[May 5 15:08:20] NOTICE[15301] chan_sip.c: Call from '' (188.165.236.181:5088) to extension '972599532957' rejected because extension not found in context 'incoming'.

Dans cette ligne il s'agit d'une IP, mais je dirais que j'en ai déjà un grosse série différentes. Certaines reviennent de manière incessante.

J'ai installé fail2ban, mais j'ai du me craker sur un parametrage car cela continue de plus belle.

Mes questions sont :
1- Est ce normal, et tout le monde expériment'il des cascades de tentatives de log ?
2- Fail2ban n'est il pas sensé bloquer les IP qui tentent en boucle de se connecter, si oui doit je créer un filtre spécial pour fail2ban ?
3- L'encryption du mdp est il un moyen efficace d'éviter les bruteforce ? (a noter que le serveur est un serveur dédié, déporté de mon lan).
4- Tous les tutos et toutes les info que j'ai lue à ce sujet datent pour la plupart de 2006-2011. Asterisk est il plus fiable en sécurité qu'il y a 5 ans, où cela mérite t'il que je mette un spécialiste sur le sujet ?

J'espérais que tout serait blindé dès le départ mais je pense que j'ai vu un peu trop le projet façon 'Happy World" !

Merci pour tous les réponses que vous saurez ou voudrez bien m'apporter

**jean** · 06/05/2013, 03h21

- vérifier allowguest=no dans sip.conf

- lire README-SERIOUSLY.bestpractices.txt dans le répertoire de download d'asterisk

**kuusou** · 06/05/2013, 04h12

Merci pour votre réponse, j'en suis arrivé à la même conclusion après tout ce temps de lecture.

Pour autant je bloque désormais sur l'étape suivante :
NOTICE[5295] chan_sip.c: Sending fake auth rejection for device 444<sip:444@xx.xx.xx.xx>;tag=6e3dd121

Pas d'IP apparente, donc pas de solution de blocage ?

Merci en tout cas d'avoir pris la peine de répondre.

**jean** · 06/05/2013, 04h21

déjà, le pirate n'arrive plus a essayer de passer un appel - il est jeté avant, c'est un progres.

sur le fail2ban et fake auth: http://forums.asterisk.org/viewtopic...2ban+fake+auth

sinon, sur ce forum:
http://www.asterisk-france.org/showt...light=iptables
http://www.asterisk-france.org/showt...light=iptables

**kuusou** · 06/05/2013, 11h05

Merci pour cette réponse !
Du coup je suis en train de ramener la dernière version, je v recompiler et voir si cela corrige naturellement la problème.
Si ce n'est pas le cas, j'ajouterai les modifications proposées par le lien 1 que vous m'avez donné.
J'espère que cela va fonctionner !

**kuusou** · 12/05/2013, 02h52

J'ai testé de procéder comme le suggérait le post que tu as cité Jean, mais je ne suis pas parvenu à trouver le code source dans le fichier chan_sip.c
Je pense (sauf erreur de ma part) que ce fichiers a subit de nombreuses modifications depuis l'année de rédaction du post en question.

Pour autant, j'ai eu beau passer à la version 1.8.21, j'ai toujours des essais de connexions que je n'arrive pas à contrôler (environ une trentaine par jour).
En voici un exemple:

Code:

[May 12 01:52:24] NOTICE[3862] chan_sip.c: Failed to authenticate device 202<sip:MONSERVEURASTERISK>;tag=1f7b569c

Ai je mal paramétré quelque chose pour que l'ip impliquée soit celle de mon serveur asterisk ? Dans le cas où c'est normal, comment récupérer les IP qui font du forcing pour les loguer, et mettre une règle en place avec fail2ban ?

Merci de vos réponses !

Discussion: Sécurité

Outils de la discussion

Rechercher dans la discussion

Affichage

Vue hybride

Sécurité

Règles de messages