Como parar as tentativas de registro no Asterisk

Question

Como parar as tentativas de registro no Asterisk

#1 resposta do (1 votos)
#2 resposta do (0 votos)
#3 resposta do (0 votos)
#4 resposta do (0 votos)

4

A questão principal:

Meus logs do Asterisk estão cheios de mensagens como estas:

[2012-05-29 15:53:49] NOTICE[5578] chan_sip.c: Registration from '<sip:[email protected]>' failed for '37.75.210.177' - No matching peer found
[2012-05-29 15:53:50] NOTICE[5578] chan_sip.c: Registration from '<sip:[email protected]>' failed for '37.75.210.177' - No matching peer found
[2012-05-29 15:53:55] NOTICE[5578] chan_sip.c: Registration from '<sip:[email protected]>' failed for '37.75.210.177' - No matching peer found
[2012-05-29 15:53:55] NOTICE[5578] chan_sip.c: Registration from '<sip:[email protected]>' failed for '37.75.210.177' - No matching peer found
[2012-05-29 15:53:57] NOTICE[5578] chan_sip.c: Sending fake auth rejection for device <sip:[email protected]>;tag=cb23fe53
[2012-05-29 15:53:57] NOTICE[5578] chan_sip.c: Sending fake auth rejection for device <sip:[email protected]>;tag=cb23fe53
[2012-05-29 15:54:02] NOTICE[5578] chan_sip.c: Registration from '<sip:[email protected]>' failed for '37.75.210.177' - No matching peer found
[2012-05-29 15:54:03] NOTICE[5578] chan_sip.c: Registration from '<sip:[email protected]>' failed for '37.75.210.177' - No matching peer found
[2012-05-29 21:20:36] NOTICE[5578] chan_sip.c: Registration from '"55435217"<sip:[email protected]>' failed for '65.218.221.180' - No matching peer found
[2012-05-29 21:20:36] NOTICE[5578] chan_sip.c: Registration from '"1731687005"<sip:[email protected]>' failed for '65.218.221.180' - No matching peer found
[2012-05-30 01:18:58] NOTICE[5578] chan_sip.c: Sending fake auth rejection for device "unknown" <sip:[email protected]>;tag=dEBcOzUysX
[2012-05-30 01:18:58] NOTICE[5578] chan_sip.c: Sending fake auth rejection for device "unknown" <sip:[email protected]>;tag=9zUari4Mve
[2012-05-30 01:19:00] NOTICE[5578] chan_sip.c: Sending fake auth rejection for device "unknown" <sip:[email protected]>;tag=sOYgI1ItQn
[2012-05-30 01:19:02] NOTICE[5578] chan_sip.c: Sending fake auth rejection for device "unknown" <sip:[email protected]>;tag=2EGLTzZSEi
[2012-05-30 01:19:04] NOTICE[5578] chan_sip.c: Sending fake auth rejection for device "unknown" <sip:[email protected]>;tag=j0JfZoPcur
[2012-05-30 01:19:06] NOTICE[5578] chan_sip.c: Sending fake auth rejection for device "unknown" <sip:[email protected]>;tag=Ra0DFDKggt
[2012-05-30 01:19:08] NOTICE[5578] chan_sip.c: Sending fake auth rejection for device "unknown" <sip:[email protected]>;tag=rR7q7aTHEz
[2012-05-30 01:19:10] NOTICE[5578] chan_sip.c: Sending fake auth rejection for device "unknown" <sip:[email protected]>;tag=VHUMtOpIvU
[2012-05-30 01:19:12] NOTICE[5578] chan_sip.c: Sending fake auth rejection for device "unknown" <sip:[email protected]>;tag=JxZUzBnPMW

Eu uso o Asterisk para um sistema telefônico automatizado. A única coisa que faz é receber chamadas e executa um script Perl. Nenhuma chamada de saída, nenhuma chamada recebida para um telefone real, nenhum telefone registrado com o Asterisk.

Parece que deve haver uma maneira fácil de bloquear todas as tentativas de registro não autorizadas, mas luto com isso há muito tempo. Parece que deve haver uma maneira mais eficaz de evitar que essas tentativas cheguem longe o suficiente para alcançar meus logs do Asterisk. Alguma configuração que eu poderia ligar / desligar que não permite tentativas de registro em tudo ou algo assim. Existe alguma maneira de fazer isso?

Além disso, estou correto em assumir que as mensagens "Registro de ..." provavelmente são pessoas tentando acessar meu servidor Asterisk (provavelmente para fazer chamadas na minha conta)? E qual é a diferença entre essas mensagens e as mensagens "Enviando rejeição de autenticação falsa ..."?

Mais detalhes:

Eu sei que as linhas "Registro de ..." são intrusos tentando acessar meu servidor Asterisk. Com o Fail2Ban configurado, esses IPs são banidos após 5 tentativas (por algum motivo, um tem 6 tentativas, mas w / e).

Mas não tenho ideia do que significam as mensagens "Enviar autenticação falsa de autenticação ..." ou como impedir essas possíveis tentativas de invasão. Tanto quanto eu posso dizer, eles nunca foram bem sucedidos (não vi nenhuma acusação estranha em minhas contas ou qualquer coisa).

Veja o que eu fiz:

Configure regras de firewall de hardware, conforme mostrado abaixo. Aqui, xx.xx.xx.xx é o endereço IP do servidor, yy.yy.yy.yy é o endereço IP de nossas instalações e aa.aa.aa.aa , bb.bb.bb.bb e cc.cc.cc.cc são os endereços IP que o nosso provedor de VoIP usa. Teoricamente, as portas 10000-20000 só devem ser acessíveis por esses três IPs.

+-------+-----------------------------+----------+-----------+--------+-----------------------------+------------------+
| Order |         Source Ip           | Protocol | Direction | Action |        Destination Ip       | Destination Port |
+-------+-----------------------------+----------+-----------+--------+-----------------------------+------------------+
|   1   | cc.cc.cc.cc/255.255.255.255 |    udp   |  inbound  | permit | xx.xx.xx.xx/255.255.255.255 |    10000-20000   |
|   2   |            any              |    tcp   |  inbound  | permit | xx.xx.xx.xx/255.255.255.255 |        80        |
|   3   |            any              |    tcp   |  inbound  | permit | xx.xx.xx.xx/255.255.255.255 |       2749       |
|   4   |            any              |    tcp   |  inbound  | permit | xx.xx.xx.xx/255.255.255.255 |        443       |
|   5   |            any              |    tcp   |  inbound  | permit | xx.xx.xx.xx/255.255.255.255 |        53        |
|   6   |            any              |    tcp   |  inbound  | permit | xx.xx.xx.xx/255.255.255.255 |       1981       |
|   7   |            any              |    tcp   |  inbound  | permit | xx.xx.xx.xx/255.255.255.255 |       1991       |
|   8   |            any              |    tcp   |  inbound  | permit | xx.xx.xx.xx/255.255.255.255 |       2001       |
|   9   | yy.yy.yy.yy/255.255.255.255 |    udp   |  inbound  | permit | xx.xx.xx.xx/255.255.255.255 |      137-138     |
|   10  | yy.yy.yy.yy/255.255.255.255 |    tcp   |  inbound  | permit | xx.xx.xx.xx/255.255.255.255 |        139       |
|   11  | yy.yy.yy.yy/255.255.255.255 |    tcp   |  inbound  | permit | xx.xx.xx.xx/255.255.255.255 |        445       |
|   14  | aa.aa.aa.aa/255.255.255.255 |    udp   |  inbound  | permit | xx.xx.xx.xx/255.255.255.255 |    10000-20000   |
|   17  | bb.bb.bb.bb/255.255.255.255 |    udp   |  inbound  | permit | xx.xx.xx.xx/255.255.255.255 |    10000-20000   |
|   18  |            any              |    tcp   |  inbound  | permit | xx.xx.xx.xx/255.255.255.255 |       1971       |
|   19  |            any              |    tcp   |  inbound  | permit | xx.xx.xx.xx/255.255.255.255 |       2739       |
|   20  |            any              |    tcp   |  inbound  | permit | xx.xx.xx.xx/255.255.255.255 |     1023-1050    |
|   21  |            any              |    all   |  inbound  |  deny  |        any on server        |      1-65535     |
+-------+-----------------------------+----------+-----------+--------+-----------------------------+------------------+

Configure o Fail2Ban. Isso está funcionando, mas é reativo, em vez de proativo, e não parece estar bloqueando tudo (como as mensagens "Enviando falsas rejeições de autenticação ...").

Configure as regras no sip.conf para negar tudo, exceto para o meu provedor de VoIP. Aqui está o meu sip.conf com quase todas as linhas comentadas removidas (para economizar espaço). Observe na parte inferior a minha tentativa de negar tudo, exceto para o meu provedor de VoIP:

[general]
context=default
allowguest=no
allowoverlap=no
bindport=5060
bindaddr=0.0.0.0
srvlookup=yes

disallow=all
allow=g726
allow=ulaw
allow=alaw
allow=g726aal2
allow=adpcm
allow=slin
allow=lpc10
allow=speex
allow=g726

insecure=invite

alwaysauthreject=yes

;registertimeout=20
registerattempts=0
register => user:pass:[email protected]:5060/700

[mysipprovider]
type=peer
username=user
fromuser=user
secret=pass
host=sip.mysipprovider.com
fromdomain=sip.mysipprovider.com
nat=no
;canreinvite=yes
qualify=yes
context=inbound-mysipprovider
disallow=all
allow=ulaw
allow=alaw
allow=gsm
insecure=port,invite

deny=0.0.0.0/0.0.0.0
permit=aa.aa.aa.aa/255.255.255.255
permit=bb.bb.bb.bb/255.255.255.255
permit=cc.cc.cc.cc/255.255.255.255

security firewall voip sip asterisk

por Travesty3 31.05.2012 / 17:52

4 respostas

1

Em suma, você está bloqueando a porta errada. O registro SIP acontece na porta 5060 (TCP ou UDP). As 10000+ portas serão para o tráfego real do portador RTP, não para a configuração da chamada. Ajuste seu firewall para bloquear 5060 e 5061 de entrada e você deve parar de ver as mensagens. Enquanto estiver nisso, você também pode considerar se deseja ou precisa que seu sistema esteja atento a registros SIP em todas as interfaces. Lembre-se: você provavelmente se conecta ao seu provedor, e não vice-versa.

por 31.05.2012 / 23:25

0

O que eu faria nessa situação é definir uma regra de negação específica como a primeira no seu firewall - bloqueando o tráfego na porta 5060 para sua caixa Asterisk. Se as inscrições ainda estiverem sendo permitidas, você terá que dar uma olhada mais de perto na configuração do firewall e determinar por que ele não está funcionando.

Claro - ele deve ser interrompido por sua regra de negação abrangente que você tem atualmente, mas isso obviamente não está conseguindo pegá-lo.

Espero que isso ajude.

por 05.06.2012 / 15:03

0

As inscrições aparentemente podem aparecer nas portas 5060/5061. Mesmo se você especificar

porta = 5061

ou

bindport = 5061

ou

bindaddr = 0.0.0.0: 5061

O ainda parece aceitar registros na porta 5060, e tudo ainda funciona.

por 26.04.2013 / 03:14

Tags security firewall voip sip asterisk

Lendo arquivos no compartilhamento de rede de um serviço do Windows (aplicativo sobre o tomcat como serviço) systemd pára de reiniciar o serviço

score 0 · Accepted Answer

Há quanto tempo essas regras de firewall estão em vigor? Se você acabou de configurá-los há pouco tempo e dependendo de como você os configurou, as regras só se aplicam a novas tentativas de conexão, mas as conexões estabelecidas ainda serão permitidas. Assim, as tentativas de registro em uma conexão já estabelecida ainda serão permitidas.

Você não fornece informações suficientes sobre o tipo de firewall que está usando, mas dê uma olhada para ver se consegue encontrar uma lista de conexões estabelecidas na porta 5060 e solte-as manualmente . Novas tentativas subsequentes de conexão devem ser bloqueadas de acordo com as regras do firewall.

Também vejo que você definiu bindaddr=0.0.0.0 em seu arquivo de configuração do Asterisk, o que faz com que o Asterisk ouça todas as interfaces disponíveis. Quantos endereços IP esse servidor possui? Se houver mais de um endereço IP, você precisará especificá-los nas regras do firewall, pois atualmente você lista apenas xx.xx.xx.xx como um IP de destino para bloquear o tráfego de entrada na porta 5060.