Bedrohung für Asterisk-TK-Anlagen

Diskussionen abseits von Asterisk

Moderatoren: rainer, Tim

Antworten
Benutzeravatar
rainer
Profi
Beiträge: 183
Registriert: Di 17. Nov 2009, 20:18
Wohnort: Bonn
Kontaktdaten:

Bedrohung für Asterisk-TK-Anlagen

Beitrag von rainer »

Immense Kosten durch Hacker in der Telefonanlage: Toplink warnt davor, dass Angriffe auf selbst betreute Asterisk-TK-Anlagen zunehmen.

Quelle: www.funkschau.de vom 07.07.2010
http://www.funkschau.de/infrastruktur/k ... 1ec9efd5b0

Hatte einer von Euch schon einen Hacker auf dem Asterisk?

Gruß
Rainer
Rainer Piper - Bonn - 0228 97167161 or SIP-URI: sip:7000@sip.soho-piper.de:5072
Software: kamailio 4.2.0 -> Asterisk 13.0.1 mit pjsip stack
Hardware: 2x QuadCore, 128GB ECC-RAM, 4x HDD Raid 10
Benutzeravatar
Tim
Administrator
Beiträge: 160
Registriert: Sa 1. Nov 2008, 00:02
Wohnort: Freilassing / Oberbayern / Deutschland
Kontaktdaten:

Re: Bedrohung für Asterisk-TK-Anlagen

Beitrag von Tim »

Hallo,
ich habe regelmäßig Attacken auf meinem Asterisk, es werden SIP-User und Passwörter ausprobiert. Das ganze habe ich mit Fail2Ban eingedämmt. Hab die Ban-Zeit auf 6 Stunden gesetzt, damit hat sich das ganze sehr beruhigt, jetzt kümmert sich meine Firewall weitestgehenst um die Attacken.

Was auch wichtig ist, dass man nicht in dem Context, wo man "anonyme" SIP-Calls reinschmeißt wieder rausrufen darf!!

Grüße
Tim
Dipl.-Ing. Tim Grünberg
dCAP zertifiziert seit 2007

Debian Jessie x86_64
Asterisk 13.5.0
Deutsche Telekom All IP Anschluss
SNOM 370, SNOM M3 & Grandstream GXP2000

AMD Athlon II X4 605e -- 16 GB DDR3 RAM -- 2 TB SATA2 HDD Space
Benutzeravatar
rainer
Profi
Beiträge: 183
Registriert: Di 17. Nov 2009, 20:18
Wohnort: Bonn
Kontaktdaten:

Re: Bedrohung für Asterisk-TK-Anlagen

Beitrag von rainer »

Tim hat geschrieben:Hallo,
ich habe regelmäßig Attacken auf meinem Asterisk, es werden SIP-User und Passwörter ausprobiert. Das ganze habe ich mit Fail2Ban eingedämmt. Hab die Ban-Zeit auf 6 Stunden gesetzt, damit hat sich das ganze sehr beruhigt, jetzt kümmert sich meine Firewall weitestgehenst um die Attacken.

Was auch wichtig ist, dass man nicht in dem Context, wo man "anonyme" SIP-Calls reinschmeißt wieder rausrufen darf!!

Grüße
Tim
wieder rausrufen ???
geht es da um die Dial Option T ...
T: Allow the calling user to transfer the call by hitting the blind xfer keys (features.conf). Does not affect transfers initiated through other methods.
Beispiel:
exten => 233,1,Dial(SIP/4029&SIP/4027&Zap/4&IAX/jaz,15,tTr)

bei mir ist das so, dass nur angemeldete Telefone rausrufen dürfen ...
und die Dial Option T benutze ich nicht ... der Anrufer soll nochmal wählen ;)


Gruß
Rainer
Rainer Piper - Bonn - 0228 97167161 or SIP-URI: sip:7000@sip.soho-piper.de:5072
Software: kamailio 4.2.0 -> Asterisk 13.0.1 mit pjsip stack
Hardware: 2x QuadCore, 128GB ECC-RAM, 4x HDD Raid 10
Benutzeravatar
rainer
Profi
Beiträge: 183
Registriert: Di 17. Nov 2009, 20:18
Wohnort: Bonn
Kontaktdaten:

Re: Bedrohung für Asterisk-TK-Anlagen

Beitrag von rainer »

Hi

habe gestern mein fail2ban um einen Portscanner Filter bzw. Honeypot Filter erweitert...

1. in meiner iptables loge ich bekannte Scanports z.B. 20,23,139,445 usw ... diese Dienste gibt es nicht auf meinem Server.
2. wenn jemand an diesen Honeypot Ports 2x anklopft ... dann wird er für 10 Minuten geblockt.

und so sieht die fail2ban Portscanner mail aus ... davon habe ich in 24 Stunden ca. 180 Stück ;-)
Hi,

The IP 212.75.19.82 has just been banned by Fail2Ban after
2 attempts against PORTSCANNER.


Here are more information about 212.75.19.82:

% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: This output has been filtered.
% To receive output for a database update, use the "-B" flag.

% Information related to '212.75.16.0 - 212.75.23.255'

inetnum: 212.75.16.0 - 212.75.23.255
netname: BBCCABLE
descr: BBC Cable LTD.
country: BG
admin-c: ORLN-RIPE
tech-c: ORLN-RIPE
status: ASSIGNED PA
mnt-by: BBCCABLE-LIR
source: RIPE # Filtered

person: Orlin Tsekov
address: 11 "23 Pehoten Shipchenski Polk" Str.
phone: +359 431 621 62
nic-hdl: ORLN-RIPE
source: RIPE # Filtered

% Information related to '212.75.0.0/19AS47982'

route: 212.75.0.0/19
descr: BBC Cable NET1
origin: AS47982
mnt-routes: BBCCABLE-LIR
mnt-lower: BBCCABLE-LIR
mnt-by: BBCCABLE-LIR
source: RIPE # Filtered

Regards,

Fail2Ban
Rainer Piper - Bonn - 0228 97167161 or SIP-URI: sip:7000@sip.soho-piper.de:5072
Software: kamailio 4.2.0 -> Asterisk 13.0.1 mit pjsip stack
Hardware: 2x QuadCore, 128GB ECC-RAM, 4x HDD Raid 10
Benutzeravatar
Tim
Administrator
Beiträge: 160
Registriert: Sa 1. Nov 2008, 00:02
Wohnort: Freilassing / Oberbayern / Deutschland
Kontaktdaten:

Re: Bedrohung für Asterisk-TK-Anlagen

Beitrag von Tim »

Hallo,

mein Fail2Ban schmeißt auch viele immer und immer wieder raus, ich habe allerdings auch einen SSH-Server auf dem Standard-Port. Da bekommt man auch einiges ab.

Asterisk bietet die Möglichkeit, dass man "anonym" also ohne sich anzumelden, telefonieren darf. Um z.B. einen internen Teilnehmer von extern mittels SIP-URI z.B. 123@sip.example.com zu erreichen. Wenn nun dein Asterisk nur den Default-Kontext verwendet und in der sip.conf in der [general]-Sektion context=default eingesetzt wird, kann man z.B. mit der SIP-URI: 012345678@sip.example.com rausrufen. Vorausgesetzt in der extensions.conf in der [default]-Sektion gibt es eine Regel, die das Rausrufen erlaubt.

Grüße
Tim
Dipl.-Ing. Tim Grünberg
dCAP zertifiziert seit 2007

Debian Jessie x86_64
Asterisk 13.5.0
Deutsche Telekom All IP Anschluss
SNOM 370, SNOM M3 & Grandstream GXP2000

AMD Athlon II X4 605e -- 16 GB DDR3 RAM -- 2 TB SATA2 HDD Space
Benutzeravatar
rainer
Profi
Beiträge: 183
Registriert: Di 17. Nov 2009, 20:18
Wohnort: Bonn
Kontaktdaten:

Re: Bedrohung für Asterisk-TK-Anlagen

Beitrag von rainer »

Hallo Tim,

genau so seh ich das auch ...

die z.B. exten => _x.,1,Dial(SIP/${EXTEN}@dein-provider,,rg)
darf NICHT in den default context der extentions.conf

Gruß
Rainer
Rainer Piper - Bonn - 0228 97167161 or SIP-URI: sip:7000@sip.soho-piper.de:5072
Software: kamailio 4.2.0 -> Asterisk 13.0.1 mit pjsip stack
Hardware: 2x QuadCore, 128GB ECC-RAM, 4x HDD Raid 10
Benutzeravatar
Tim
Administrator
Beiträge: 160
Registriert: Sa 1. Nov 2008, 00:02
Wohnort: Freilassing / Oberbayern / Deutschland
Kontaktdaten:

Re: Bedrohung für Asterisk-TK-Anlagen

Beitrag von Tim »

Dann ist man auf jeden Fall mal in Sachen "anonyme" Telefonierer geschützt, gegen die "Passwort"-Angriffe schützt das nicht, wer aber mit SIP-User 100 und z.B. Passwort "test" eine Anlage betreibt ist selber schuld :twisted:

Hab ich leider alles schon gesehen und dann wundern sich die Leute, warum da jemand auf Ihre Kosten telefonieren kann.

Grüße
Tim
Dipl.-Ing. Tim Grünberg
dCAP zertifiziert seit 2007

Debian Jessie x86_64
Asterisk 13.5.0
Deutsche Telekom All IP Anschluss
SNOM 370, SNOM M3 & Grandstream GXP2000

AMD Athlon II X4 605e -- 16 GB DDR3 RAM -- 2 TB SATA2 HDD Space
Benutzeravatar
Tim
Administrator
Beiträge: 160
Registriert: Sa 1. Nov 2008, 00:02
Wohnort: Freilassing / Oberbayern / Deutschland
Kontaktdaten:

Re: Bedrohung für Asterisk-TK-Anlagen

Beitrag von Tim »

Ich hab in letzter Zeit wieder mal massiv Angriffe auf Asterisk-Installationen. Es ist auf jeden Fall wichtig, sich gegen die Angriffe zu wehren. Ich verwende wie schon beschrieben Fail2Ban. Außerdem versuche ich Angriffe von bestimmten Adressen, die immer wieder über Fail2Ban auflaufen an die ABUSE-Adressen zu melden.

VoIP macht allgemein die Telefonie leichter angreifbar. Wenn jemand in eine Anlage kommt, kann er teure Mehrwertnummern oder auch ausländische Nummern anrufen, die dann einen erheblichen Schaden verursachen und evtl. dem Hacker Geld in die Kassen spühlen.
Dipl.-Ing. Tim Grünberg
dCAP zertifiziert seit 2007

Debian Jessie x86_64
Asterisk 13.5.0
Deutsche Telekom All IP Anschluss
SNOM 370, SNOM M3 & Grandstream GXP2000

AMD Athlon II X4 605e -- 16 GB DDR3 RAM -- 2 TB SATA2 HDD Space
Antworten