Browse Category

Linux/Unix

Linux/Unix

Vmware ESXi 6 установка времени

ESXi 5.5 и выше использует системное время (UTC), время биоса. Никакой timezone нет.

esxcli system time get

esxcli hardware clock get

Для коррекции времени, изменении часового пояса только в биосе. Благо можно это проделать через саму консоль.

esxcli hardware clock set -d 11 -H 10 -m 00 -M 02 -y 2017 – 11 февраля 2017 года 10 утра 00 минут

reboot -f – только после этого время изменилось.

 

VMware ESXi настройка firewall

Оставляю в качестве заметки. Так получилось, что когда менял на хосте ssh порт с дефолтного, правила firewall не применяются. Вроде бы ясно что остается только либо IP KVM, либо мне билет на поезд и ехать в Москву в ДЦ. Ведь VMware клиентом правила не сбросить. Решение VMware PowerCLI

  1. Подключаемся к серверу Connect-VIServer имя сервера –verbose
  2. Создаем переменную $FWPolicy = Get-VMHostFirewallDefaultPolicy -VMHost имя сервера
  3. Переводим firewall в режим открыты все порты Set-VMHostFirewallDefaultPolicy -Policy $FWPolicy -AllowOutgoing $true -AllowIncoming $true
  4. Не забываем после того поправили правила перевести пункт 3 в false (по умолчанию запрещено все)

 

Интересный продукт Check Point

Вот вроде бы Check Point та же самая Cisco, но нет. Это более гибкий усовершенствованный продукт. Это если сравнивать продукты как Firewall. Интересное решение есть на базе VMware, т.е как на базе железа, так и на базе виртуализации.

На официальном сайте можно глянуть карту атак

Безопасность Asterisk, защита от сканирования портов

Приветствую!

Была задача объединить Dlink FXO и Asterisk. Все было сделано успешно встал вопрос о безопасности Asterisk.

  1. установили и настроили fail2ban
  2. закрыли доступ к веб серверу из вне точнее доступ по паролю
  3. запретили анонимные звонки

Вот вроде и все, fail2ban успешно ловит по правилу. Но настигла меня участь попасть под сканеров. В логе asterisk валились сообщения:

Timeout on a1ba91d3db3d751eb98dca1f0830407d on non-critical invite transaction.

либо

chan_sip.c: Failed to authenticate device 4006<sip:4006@My_IP>;tag=cfac1d5d

Естественно fail2ban здесь не помощник, надо на сетевом уровне смотреть кто такой. Выполняем в консоли asterisk sip show channels и видим некий IP который нам шлет INVITE как guest.

Посмотрели tcpdump что в заголовках и добавили в iptables правила:

-A INPUT -p udp -m udp –dport 5060 -m string –string “sipcli” –algo bm –to 65535 -j DROP
-A INPUT -p udp -m udp –dport 5060 -m string –string “sip-scan” –algo bm –to 65535 -j DROP
-A INPUT -p udp -m udp –dport 5060 -m string –string “iWar” –algo bm –to 65535 -j DROP
-A INPUT -p udp -m udp –dport 5060 -m string –string “sipvicious” –algo bm –to 65535 -j DROP
-A INPUT -p udp -m udp –dport 5060 -m string –string “sipsak” –algo bm –to 65535 -j DROP
-A INPUT -p udp -m udp –dport 5060 -m string –string “sundayddr” –algo bm –to 65535 -j DROP
-A INPUT -p udp -m udp –dport 5060 -m string –string “VaxSIPUserAgent” –algo bm –to 65535 -j DROP
-A INPUT -p udp -m udp –dport 5060 -m string –string “friendly-scanner” –algo bm –to 65535 -j DROP

Ну вот и все решение проблемы с защитой SIP порта от сканирования. iptables просматривает пакеты и если видит в них заголовки сразу отбрасывает их.

Теперь как только вижу подозрительные сообщения, смотрю заголовки через tcpdump и добавляю правила.