Безопасность Asterisk, защита от сканирования портов

Приветствую!

Была задача объединить Dlink FXO и Asterisk. Все было сделано успешно встал вопрос о безопасности Asterisk.

  1. установили и настроили fail2ban
  2. закрыли доступ к веб серверу из вне точнее доступ по паролю
  3. запретили анонимные звонки

Вот вроде и все, fail2ban успешно ловит по правилу. Но настигла меня участь попасть под сканеров. В логе asterisk валились сообщения:

Timeout on a1ba91d3db3d751eb98dca1f0830407d on non-critical invite transaction.

либо

chan_sip.c: Failed to authenticate device 4006<sip:4006@My_IP>;tag=cfac1d5d

Естественно fail2ban здесь не помощник, надо на сетевом уровне смотреть кто такой. Выполняем в консоли asterisk sip show channels и видим некий IP который нам шлет INVITE как guest.

Посмотрели tcpdump что в заголовках и добавили в iptables правила:

-A INPUT -p udp -m udp –dport 5060 -m string –string “sipcli” –algo bm –to 65535 -j DROP
-A INPUT -p udp -m udp –dport 5060 -m string –string “sip-scan” –algo bm –to 65535 -j DROP
-A INPUT -p udp -m udp –dport 5060 -m string –string “iWar” –algo bm –to 65535 -j DROP
-A INPUT -p udp -m udp –dport 5060 -m string –string “sipvicious” –algo bm –to 65535 -j DROP
-A INPUT -p udp -m udp –dport 5060 -m string –string “sipsak” –algo bm –to 65535 -j DROP
-A INPUT -p udp -m udp –dport 5060 -m string –string “sundayddr” –algo bm –to 65535 -j DROP
-A INPUT -p udp -m udp –dport 5060 -m string –string “VaxSIPUserAgent” –algo bm –to 65535 -j DROP
-A INPUT -p udp -m udp –dport 5060 -m string –string “friendly-scanner” –algo bm –to 65535 -j DROP

Ну вот и все решение проблемы с защитой SIP порта от сканирования. iptables просматривает пакеты и если видит в них заголовки сразу отбрасывает их.

Теперь как только вижу подозрительные сообщения, смотрю заголовки через tcpdump и добавляю правила.

Поделиться ссылкой:

15 комментариев к “Безопасность Asterisk, защита от сканирования портов”

  1. Добрый день!
    Не копируйте команды в консоль. Пишите руками. не —string а –string кавычки не «» а “”
    Надеюсь пригодиться.

  2. Имею такую же проблему:
    “[2017-02-26 17:37:45] WARNING[1809]: chan_sip.c:4130 retrans_pkt: Timeout on ac9152718d41145d98611c97191b07bb on non-critical invite transaction.”
    но sip show chanells ничего не показывает.
    Что посоветуете?

  3. Нашел эти правила с правильным синтаксисом, но “[2017-02-26 21:16:17] WARNING[1809]: chan_sip.c:4130 retrans_pkt: Timeout on f0986a3d678286a3b25c31d657e9b8f0 on non-critical invite transaction.” не прекратились…

  4. тут только глянуть tcpdump каким агентом валится сообщение. У меня такое было на какой то версии Xlite.

    А вообще on non-critical invite transaction. Ничего критичного.

    P.S.: Правила верные, только не надо копировать. На Centos 6 работают.

  5. Сегодня нашёл:
    89.248.172.140 trunk VFIQVGEDOJYMUKZ (nothing) No Rx: INVITE
    tcpdump
    User-Agent: Cisco-SIPGateway/IOS-12.x

  6. Добрый день, спасибо большое за статью. Не могли бы Вы подробнее описать как использовать tcpdump

  7. Здравствуйте,
    Хорошая статья, спасибо. Все заработало, только не понял зачем параметр —to 65535? Мы же вроде просто отбрасываем пакеты, а не редиректим?

  8. Андрей, спасибо! Все перерыл, не нашел параметр –to. Думал это редирект на порт.

Оставьте комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.