URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 1653
[ Назад ]

Исходное сообщение
"NAT + Asterisk безбожно хакают"

Отправлено Nvbulashev , 15-Мрт-15 12:57 
Всем добрый день!
Началась данная история с установки вот этой сборки
http://downloads.asterisk.org/pub/telephony/asterisk-now/Ast...

в отступлении скажу, что обычно пользовался эластиксом, но эластикс не хотел звонить на этой конфигурации ната, было принято решение заменить этой сборкой. Проблема со звонками успешно решилась.

О текущей схеме подключения:
-Астериск находится в локальной сети с серым адресом
-Маршрутизатор = CISCO 877 сконфигурирован на нат роутемапом и разрешающим аксес листом.
-Астериску разрешено ходить только на хост провайдера

После установки данной сборки было замечено следующее - МЕНЯ ХАКАЮТ!
Как это выражается:

    -- Executing [29700972592377849@from-sip-external:1] NoOp("SIP/XX.XX.XX.XX-00000182", "Received incoming SIP connection from unknown peer to 29700972592377849") in new stack
    -- Executing [29700972592377849@from-sip-external:2] Set("SIP/XX.XX.XX.XX-00000182", "DID=29700972592377849") in new stack
    -- Executing [29700972592377849@from-sip-external:3] Goto("SIP/XX.XX.XX.XX-00000182", "s,1") in new stack
    -- Goto (from-sip-external,s,1)
    -- Executing [s@from-sip-external:1] GotoIf("SIP/XX.XX.XX.XX-00000182", "0?checklang:noanonymous") in new stack
    -- Goto (from-sip-external,s,5)
    -- Executing [s@from-sip-external:5] Set("SIP/XX.XX.XX.XX-00000182", "TIMEOUT(absolute)=15") in new stack
    -- Channel will hangup at 2015-03-15 00:57:11.396 YEKT.
    -- Executing [s@from-sip-external:6] Log("SIP/XX.XX.XX.XX-00000182", "WARNING,"Rejecting unknown SIP connection from 23.239.65.10"") in new stack
[2015-03-15 00:56:56] WARNING[11279][C-00000184]: Ext. s:6 @ from-sip-external: "Rejecting unknown SIP connection from 23.239.65.10"
    -- Executing [s@from-sip-external:7] Answer("SIP/XX.XX.XX.XX-00000182", "") in new stack
    -- Executing [s@from-sip-external:8] Wait("SIP/XX.XX.XX.XX-00000182", "2") in new stack
    -- Executing [s@from-sip-external:9] Playback("SIP/XX.XX.XX.XX-00000182", "ss-noservice") in new stack
    -- <SIP/XX.XX.XX.XX-00000182> Playing 'ss-noservice.ulaw' (language 'en')
    -- Executing [s@from-sip-external:10] PlayTones("SIP/XX.XX.XX.XX-00000182", "congestion") in new stack
    -- Executing [s@from-sip-external:11] Congestion("SIP/XX.XX.XX.XX-00000182", "5") in new stack
  == Spawn extension (from-sip-external, s, 11) exited non-zero on 'SIP/XX.XX.XX.XX-00000182'
    -- Executing [h@from-sip-external:1] Hangup("SIP/XX.XX.XX.XX-00000182", "") in new stack
  == Spawn extension (from-sip-external, h, 1) exited non-zero on 'SIP/XX.XX.XX.XX-00000182'


Что удалось выяснить:
каким то неведомым мне образом появляются нат трансляции на циске. Не смотря на то что в акле астеру разрешено ходить лишь на провайдера воипа.

Адрес реальный. Я сначала подумал что с локалки пакеты валят с машины, а внутри сип пакета подменены адреса, например, чтобы злоумышленник у себя мог приземлить трафик. Но нет! tcpdump показал наличие пакетов именно с этого адреса. Заблочил адрес злоумышленника, атаки возобновились с нового адреса.

Конфига аксес листа

access-list 102 deny   ip any host 80.150.183.34
access-list 102 permit ip host XX.XX.XX.110 any
access-list 102 permit ip host XX.XX.XX.120 any
access-list 102 permit tcp any any eq 993
access-list 102 permit udp any any eq 993
access-list 102 permit tcp any any eq 465
access-list 102 permit udp any any eq 465
access-list 102 permit tcp host XX.XX.XX.240 any eq domain
access-list 102 permit udp host XX.XX.XX.240 any eq domain
access-list 102 permit ip host XX.XX.XX.240 host 62.148.237.159
access-list 102 permit ip host XX.XX.XX.5 any
access-list 102 permit ip host XX.XX.XX.6 any
access-list 102 permit ip host XX.XX.XX.4 any
access-list 102 permit ip host XX.XX.XX.2 any
access-list 102 permit ip host XX.XX.XX.7 any
access-list 102 permit ip host XX.XX.XX.8 any
access-list 102 permit ip host XX.XX.XX.11 any
access-list 102 permit ip host XX.XX.XX.131 any
access-list 102 permit ip host XX.XX.XX.132 any
access-list 102 permit ip host XX.XX.XX.133 any
access-list 102 permit ip host XX.XX.XX.134 any
access-list 102 permit ip host XX.XX.XX.135 any
access-list 102 deny   ip any any

240 = хост астериска

Помогите разобраться что происходит, где дыра?


Содержание

Сообщения в этом обсуждении
"NAT + Asterisk безбожно хакают"
Отправлено Nvbulashev , 15-Мрт-15 13:03 
>[оверквотинг удален]
> access-list 102 permit ip host XX.XX.XX.8 any
> access-list 102 permit ip host XX.XX.XX.11 any
> access-list 102 permit ip host XX.XX.XX.131 any
> access-list 102 permit ip host XX.XX.XX.132 any
> access-list 102 permit ip host XX.XX.XX.133 any
> access-list 102 permit ip host XX.XX.XX.134 any
> access-list 102 permit ip host XX.XX.XX.135 any
> access-list 102 deny   ip any any
> 240 = хост астериска
> Помогите разобраться что происходит, где дыра?

UPD щас воткну fail2ban конечно, но хочется на будущее понять, где упущение, потому что такую схему использовал раз 20, проблем не было.


"NAT + Asterisk безбожно хакают"
Отправлено Nvbulashev , 15-Мрт-15 16:44 
>[оверквотинг удален]
>> access-list 102 permit ip host XX.XX.XX.131 any
>> access-list 102 permit ip host XX.XX.XX.132 any
>> access-list 102 permit ip host XX.XX.XX.133 any
>> access-list 102 permit ip host XX.XX.XX.134 any
>> access-list 102 permit ip host XX.XX.XX.135 any
>> access-list 102 deny   ip any any
>> 240 = хост астериска
>> Помогите разобраться что происходит, где дыра?
> UPD щас воткну fail2ban конечно, но хочется на будущее понять, где упущение,
> потому что такую схему использовал раз 20, проблем не было.

UPD2: поставил. Блокирует на 10 минут и по новой....


"NAT + Asterisk безбожно хакают"
Отправлено Andrey , 15-Мрт-15 19:10 
>>[оверквотинг удален]
>> хочется на будущее понять, где упущение

Упущение в наличии только одной вырезки с одного ACL.
Будет конфиг - будет "разбор полетов". Нет конфига - нет проблемы.


"NAT + Asterisk безбожно хакают"
Отправлено Nvbulashev , 15-Мрт-15 19:18 
>>>[оверквотинг удален]
>>> хочется на будущее понять, где упущение
> Упущение в наличии только одной вырезки с одного ACL.
> Будет конфиг - будет "разбор полетов". Нет конфига - нет проблемы.

version 15.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname RT.201.254-GRM
!
boot-start-marker
boot system flash c880data-universalk9-mz.154-3.M.bin
boot-end-marker
!
!
logging buffered 51200 warnings
enable secret 5

aaa new-model
!
--More--         !
aaa authentication login default local
aaa authorization exec default local
!
!
!
!
!
aaa session-id common
memory-size iomem 10
!
crypto pki trustpoint TP-self-signed-1884276949
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1884276949
revocation-check none
rsakeypair TP-self-signed-1884276949
!
!
crypto pki certificate chain TP-self-signed-1884276949
certificate self-signed 01
  30820246 308201AF A0030201 02020101 300D0609 2A864886 F70D0101 04050030
  31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
  69666963 6174652D 31383834 32373639 3439301E 170D3135 30323237 30383032
--More--           33385A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
  4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 38383432
  37363934 3930819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
  8100C011 20C97DDE AEAAFEAE 81608A21 DDCE002D F4497C21 79B2C9CE 2ADF14EA
  B84E67FE 55A1BBEA 6F169CA9 676BAF4F 12AC560D F7290D0B 2F081DF8 2744A1B0
  48219C23 7DE4030C C5BCE838 1F24EF29 AD572EDF DB31DC02 C0389261 D2D7EF68
  BE1E8DD5 D53CE017 8A14DF28 0377F878 260372E2 0BA1D242 606DD1DD FB33FCCC
  2C670203 010001A3 6E306C30 0F060355 1D130101 FF040530 030101FF 30190603
  551D1104 12301082 0E52542E 3230312E 3235342D 47524D30 1F060355 1D230418
  30168014 B575BE80 F07560AF DDF3F25A D7F56954 04B9CF93 301D0603 551D0E04
  160414B5 75BE80F0 7560AFDD F3F25AD7 F5695404 B9CF9330 0D06092A 864886F7
  0D010104 05000381 81006D88 E79B765E E3901C19 C7806B36 1154ED3F BD31238D
  ADBB7CEB 4A98E784 7AFED51B 583E9393 956948B5 4F1BD053 8965CA94 48E51754
  B8473108 237AD512 FDE7D045 05579A2D 73843BA7 6CEC6E95 133EDB08 2FC1E1EA
  65C1C8DD 78CDABE1 81F5C2F9 FA477BFD C41C4632 5D23A357 5ECC9307 058AB04C
  02463E1B F950D037 12F1
  quit
!
!
!
!
!
!
--More--         ip dhcp pool grm_phones
network 10.2.X.0 255.255.255.0
dns-server X
default-router X
!
!
!
no ip domain lookup
ip cef
no ipv6 cef
!
!
cts logging verbose
license udi pid CISCO881-K9 sn X
!
!

!
!
!  no cdp run
!
!
!
!
!
!
!
!
!
!
!
interface Tunnel0
ip address 172.16.X.X 255.255.255.0
ip tcp adjust-mss 1379
tunnel source Dialer0
tunnel destination X
!
interface Tunnel1
description 2Gourme_Office
ip address X 255.255.255.0
ip mtu 1450
tunnel source Dialer0
--More--          tunnel destination X
!
interface Tunnel2
description 2UK
ip address X 255.255.255.252
tunnel source Dialer0
tunnel destination X
!
interface Tunnel3
ip address X 255.255.255.0
tunnel source X
tunnel destination X
!
interface FastEthernet0
no ip address
!
interface FastEthernet1
no ip address
!
interface FastEthernet2
no ip address
!
interface FastEthernet3
--More--          switchport trunk native vlan 408
no ip address
!
interface FastEthernet4
description $ETH-WAN$
no ip address
duplex auto
speed auto
!
interface FastEthernet4.960
encapsulation dot1Q 960
pppoe enable group global
pppoe-client dial-pool-number 1
no cdp enable
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
ip address X 255.255.255.0 secondary
ip address X 255.255.255.248
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1412
!
--More--         interface Dialer0
ip address negotiated
ip nat outside
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname X
ppp chap password 7 X
ppp pap sent-username Xpassword 7 X
no cdp enable
!
interface Dialer1
no ip address
no cdp enable
!
ip forward-protocol nd
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
--More--         !
ip nat inside source route-map MAP_NAT interface Dialer0 overload
ip nat inside source static tcp X.40 22 X.Y22 extendable
ip nat inside source static tcp X.40 80 X.Y80 extendable
ip nat inside source static tcp X.11 1521 X.Y 1521 extendable
ip nat inside source static tcp X.40 3600 X.Y 3600 extendable
ip nat inside source static tcp X.6 3389 X.Y 33389 extendable
ip nat inside source static tcp X.2 3389 X.Y 33899 extendable
ip nat inside source static tcp X.11 3389 X.Y 44445 extendable
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 10.0.0.0 255.0.0.0 Tunnel0
ip route 10.1.200.0 255.255.255.0 Tunnel1
ip route 192.168.1.0 255.255.255.0 Tunnel2
ip route 192.168.10.0 255.255.255.0 Tunnel3
!
dialer-list 1 protocol ip permit
!
route-map MAP_NAT permit 10
match ip address 102
!
access-list 1 remark INSIDE_IF=Vlan1
access-list 1 remark CCP_ACL Category=2
access-list 1 permit 10.10.10.0 0.0.0.7
--More--         access-list 23 permit 10.10.10.0 0.0.0.7
access-list 23 permit 10.0.0.0 0.255.255.255
access-list 102 deny   ip any host 80.150.183.34
access-list 102 permit ip host X.110 any
access-list 102 permit ip host X.120 any
access-list 102 permit tcp any any eq 993
access-list 102 permit udp any any eq 993
access-list 102 permit tcp any any eq 465
access-list 102 permit udp any any eq 465
access-list 102 permit tcp host X.240 any eq domain
access-list 102 permit udp host X.240 any eq domain
access-list 102 permit ip host X.240 any
access-list 102 permit ip host X.240 host 62.148.237.159
access-list 102 permit ip host X.5 any
access-list 102 permit ip host X.6 any
access-list 102 permit ip host X.4 any
access-list 102 permit ip host X.2 any
access-list 102 permit ip host X.7 any
access-list 102 permit ip host X.8 any
access-list 102 permit ip host X.11 any
access-list 102 permit ip host X.131 any
access-list 102 permit ip host X.132 any
access-list 102 permit ip host X.133 any
--More--         access-list 102 permit ip host X.134 any
access-list 102 permit ip host X.135 any
access-list 102 deny   ip any any
access-list 104 permit tcp any any eq 33389
access-list 104 permit tcp any any eq 22
access-list 104 deny   ip any host 88.150.183.34
access-list 104 permit ip any any
!
!
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
transport input telnet ssh
!
!
end

RT.201.254-GRM#


ноу проблем

X - заменил 3 первых октета внутренней сетки.
X.Y - внешний адрес


"NAT + Asterisk безбожно хакают"
Отправлено Andrey , 16-Мрт-15 14:00 
>>>>[оверквотинг удален]

1. Зачем вам NAT через route-map? У вас 2 ИСП с распределением доступа для пользователей? Сделайте стандартный NAT через ACL.
2. Повесьте ACL на внешний (или внутренний интерфейс) интерфейс, а не через NAT ограничивайте доступ.


"NAT + Asterisk безбожно хакают"
Отправлено Nvbulashev , 16-Мрт-15 15:01 
>>>>>[оверквотинг удален]
> 1. Зачем вам NAT через route-map? У вас 2 ИСП с распределением
> доступа для пользователей? Сделайте стандартный NAT через ACL.
> 2. Повесьте ACL на внешний (или внутренний интерфейс) интерфейс, а не через
> NAT ограничивайте доступ.

1. Не вижу принципиальной разницы. Так привык :) переделаю конечно ради эксперимента
2. Как при этом не похерить весь исходящий трафик и туннелированный? Понимаю вопрос ламерский, машина удаленная, reload in не выход, днем там бизнес критичные ресурсы.

Андрей, спасибо Вам большое за помощь, но как все же разобраться откуда черти лезут?

Я сканирую порты - они ведь закрыты! Я поставил IPTABLES на Asterisk

Вот честно сжиженый конфиг, на его безошибочность не претендую

*mangle
:PREROUTING ACCEPT [48:5495]
:INPUT ACCEPT [48:5495]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [53:5502]
:POSTROUTING ACCEPT [53:5502]
COMMIT

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]

# LOCAL ROUTING RULES
-A FORWARD -s ХХ.0/24 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -s //SIP PROV  -j ACCEPT
-A INPUT -i eth1 -p tcp --dport 22 -j REJECT --reject-with icmp-host-prohibited
-A INPUT -i eth1 -p tcp --dport 53 -j REJECT --reject-with icmp-host-prohibited
-A INPUT -i eth1 -p tcp --dport 80 -j REJECT --reject-with icmp-host-prohibited
-A INPUT -i eth1 -p tcp --dport 111 -j REJECT --reject-with icmp-host-prohibited
-A INPUT -i eth1 -p tcp --dport 999 -j REJECT --reject-with icmp-host-prohibited
-A INPUT -i eth1 -p tcp --dport 3306 -j REJECT --reject-with icmp-host-prohibited
-A INPUT -i eth1 -p udp --dport 22 -j REJECT --reject-with icmp-host-prohibited
-A INPUT -i eth1 -p udp --dport 53 -j REJECT --reject-with icmp-host-prohibited
-A INPUT -i eth1 -p udp --dport 80 -j REJECT --reject-with icmp-host-prohibited
-A INPUT -i eth1 -p udp --dport 111 -j REJECT --reject-with icmp-host-prohibited
-A INPUT -i eth1 -p udp --dport 999 -j REJECT --reject-with icmp-host-prohibited
-A INPUT -i eth1 -p udp --dport 3306 -j REJECT --reject-with icmp-host-prohibited
COMMIT

*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]

-A POSTROUTING -s ХХ.0/24 -o eth1 -j MASQUERADE
COMMIT


Пакеты все равно валятся, хотя щас понимаю что вероятно порты 5060 и 5061 открыты...
но щас злоумышленник джэйлится на 10 минут и пыл у него поутих.


"NAT + Asterisk безбожно хакают"
Отправлено ShyLion , 16-Мрт-15 18:54 
# show ip nat tanslations | inc внутренний_айпи_сервера_кстати_какой_он?

"NAT + Asterisk безбожно хакают"
Отправлено Nvbulashev , 16-Мрт-15 18:58 
> # show ip nat tanslations | inc внутренний_айпи_сервера_кстати_какой_он?

Щас атаки прекратились, поэтому трансляций нет, а так они были, это самое удивительное!!! Внутренний адрес 10.Х.Х.240.


"NAT + Asterisk безбожно хакают"
Отправлено Nvbulashev , 16-Мрт-15 19:06 
> # show ip nat tanslations | inc внутренний_айпи_сервера_кстати_какой_он?

udp EXTIP:5061 LOCALNET.240:5061 23.239.65.10:5076  23.239.65.10:5076
udp EXTIP:5061 LOCALNET.240:5061 23.239.65.10:5092  23.239.65.10:5092
udp EXTIP:5061 LOCALNET.240:5061 62.148.237.159:5060 62.148.237.159:5060 <-- SIP_PROV
tcp EXTIP:34894 LOCALNET.240:34894 68.178.213.203:25 68.178.213.203:25
tcp EXTIP:35195 LOCALNET.240:35195 68.178.213.203:25 68.178.213.203:25
tcp EXTIP:35262 LOCALNET.240:35262 68.178.213.203:25 68.178.213.203:25
tcp EXTIP:35351 LOCALNET.240:35351 68.178.213.203:25 68.178.213.203:25
tcp EXTIP:35374 LOCALNET.240:35374 68.178.213.203:25 68.178.213.203:25
tcp EXTIP:35734 LOCALNET.240:35734 68.178.213.203:25 68.178.213.203:25
tcp EXTIP:51193 LOCALNET.240:51193 68.178.213.37:25 68.178.213.37:25
tcp EXTIP:51194 LOCALNET.240:51194 68.178.213.37:25 68.178.213.37:25
tcp EXTIP:51277 LOCALNET.240:51277 68.178.213.37:25 68.178.213.37:25
tcp EXTIP:51505 LOCALNET.240:51505 68.178.213.37:25 68.178.213.37:25
tcp EXTIP:51921 LOCALNET.240:51921 68.178.213.37:25 68.178.213.37:25
tcp EXTIP:51974 LOCALNET.240:51974 68.178.213.37:25 68.178.213.37:25

все кроме сип провайдера - левак


"NAT + Asterisk безбожно хакают"
Отправлено Andrey , 16-Мрт-15 21:59 
>[оверквотинг удален]
> tcp EXTIP:35351 LOCALNET.240:35351 68.178.213.203:25 68.178.213.203:25
> tcp EXTIP:35374 LOCALNET.240:35374 68.178.213.203:25 68.178.213.203:25
> tcp EXTIP:35734 LOCALNET.240:35734 68.178.213.203:25 68.178.213.203:25
> tcp EXTIP:51193 LOCALNET.240:51193 68.178.213.37:25 68.178.213.37:25
> tcp EXTIP:51194 LOCALNET.240:51194 68.178.213.37:25 68.178.213.37:25
> tcp EXTIP:51277 LOCALNET.240:51277 68.178.213.37:25 68.178.213.37:25
> tcp EXTIP:51505 LOCALNET.240:51505 68.178.213.37:25 68.178.213.37:25
> tcp EXTIP:51921 LOCALNET.240:51921 68.178.213.37:25 68.178.213.37:25
> tcp EXTIP:51974 LOCALNET.240:51974 68.178.213.37:25 68.178.213.37:25
> все кроме сип провайдера - левак

TCP сессии - SMTP на p3plibsmtp03-v01.prod.phx3.secureserver.net - вам должно быть виднее что за почта там ходит.
По поводу UDP что на 23.239.65.10 - нужно разбираться. А проще закрыть ACL на внешнем интерфейсе, если действительно левак.


"NAT + Asterisk безбожно хакают"
Отправлено Nvbulashev , 17-Мрт-15 05:51 
>[оверквотинг удален]
>> tcp EXTIP:51194 LOCALNET.240:51194 68.178.213.37:25 68.178.213.37:25
>> tcp EXTIP:51277 LOCALNET.240:51277 68.178.213.37:25 68.178.213.37:25
>> tcp EXTIP:51505 LOCALNET.240:51505 68.178.213.37:25 68.178.213.37:25
>> tcp EXTIP:51921 LOCALNET.240:51921 68.178.213.37:25 68.178.213.37:25
>> tcp EXTIP:51974 LOCALNET.240:51974 68.178.213.37:25 68.178.213.37:25
>> все кроме сип провайдера - левак
> TCP сессии - SMTP на p3plibsmtp03-v01.prod.phx3.secureserver.net - вам должно быть виднее
> что за почта там ходит.
> По поводу UDP что на 23.239.65.10 - нужно разбираться. А проще закрыть
> ACL на внешнем интерфейсе, если действительно левак.

Почта? С Астериска)))) ничего не настраивал!

23.239.65.10 - это адрес злоумышленника, однозначно видел в логах.


"NAT + Asterisk безбожно хакают"
Отправлено ShyLion , 17-Мрт-15 19:13 
IOS не пробовал обновить? У сиськи тоже погромисты не идеальны.

"NAT + Asterisk безбожно хакают"
Отправлено Nvbulashev , 17-Мрт-15 20:57 
> IOS не пробовал обновить? У сиськи тоже погромисты не идеальны.

Как раз обновил не за долго до нежелательной активности....
Обновил на последний доступный в сети для 877

Cisco IOS Software, C880 Software (C880DATA-UNIVERSALK9-M), Version 15.4(3)M, RELEASE SOFTWARE (fc1)


"NAT + Asterisk безбожно хакают"
Отправлено ShyLion , 18-Мрт-15 07:25 
>> IOS не пробовал обновить? У сиськи тоже погромисты не идеальны.
> Как раз обновил не за долго до нежелательной активности....
> Обновил на последний доступный в сети для 877

Последний не значит лучший. Попробуй ветки 15.1M, 15.3M.

Ради эксперемента попробуй ip nat inside source list.

Повсему какая-то хрень с ALG.


"NAT + Asterisk безбожно хакают"
Отправлено Nvbulashev , 18-Мрт-15 07:51 
>>> IOS не пробовал обновить? У сиськи тоже погромисты не идеальны.
>> Как раз обновил не за долго до нежелательной активности....
>> Обновил на последний доступный в сети для 877
> Последний не значит лучший. Попробуй ветки 15.1M, 15.3M.
> Ради эксперемента попробуй ip nat inside source list.
> Повсему какая-то хрень с ALG.

Сделал НАТ через лист, reload, трансляции остались... даже увеличились.

Может это сборка астериска с закладкой? как понять? Nethogs акромя ssh ничего не показывает, как unknown...


"NAT + Asterisk безбожно хакают"
Отправлено ShyLion , 18-Мрт-15 08:01 
>>>> IOS не пробовал обновить? У сиськи тоже погромисты не идеальны.
>>> Как раз обновил не за долго до нежелательной активности....
>>> Обновил на последний доступный в сети для 877
>> Последний не значит лучший. Попробуй ветки 15.1M, 15.3M.
>> Ради эксперемента попробуй ip nat inside source list.
>> Повсему какая-то хрень с ALG.
> Сделал НАТ через лист, reload, трансляции остались... даже увеличились.
> Может это сборка астериска с закладкой? как понять? Nethogs акромя ssh ничего
> не показывает, как unknown...

Покапчи траффик на астериске tcpdump'ом, увидишь кто инициатор.


"NAT + Asterisk безбожно хакают"
Отправлено ShyLion , 18-Мрт-15 08:09 
udp EXTIP:5061 LOCALNET.240:5061 23.239.65.10:5076  23.239.65.10:5076
udp EXTIP:5061 LOCALNET.240:5061 23.239.65.10:5092  23.239.65.10:5092

5061 это SIP с TLS, там по идее сертификаты проверятся должны... если я правильно понимаю, только работает ли это по UDP? Учитывая, что у тебя с этого-же сокета есть сеанс к провайдеру:
udp EXTIP:5061 LOCALNET.240:5061 62.148.237.159:5060 62.148.237.159:5060 <-- SIP_PROV
то соединение наружу ОТ астериска а не наоборот. Не исключено что проблема не в астериске а например в локалке есть плохиши, вирусы/трояны. Ты внутренних ебонентов авторизуешь хоть как-то???? Смотри логи, tcpdump, на предмет инициации сеанса изнутри ЧЕРЕЗ астериск.


"NAT + Asterisk безбожно хакают"
Отправлено ShyLion , 18-Мрт-15 07:55 
>>> IOS не пробовал обновить? У сиськи тоже погромисты не идеальны.
>> Как раз обновил не за долго до нежелательной активности....
>> Обновил на последний доступный в сети для 877
> Последний не значит лучший. Попробуй ветки 15.1M, 15.3M.
> Ради эксперемента попробуй ip nat inside source list.
> Повсему какая-то хрень с ALG.

Контракта нет?


"NAT + Asterisk безбожно хакают"
Отправлено PavelR , 17-Мрт-15 08:27 
> Я сканирую порты - они ведь закрыты! Я поставил IPTABLES на Asterisk
> Вот честно сжиженый конфиг, на его безошибочность не претендую

Ну надо хоть маленько задумываться над тем, что делаете и как это работает.
Если не понимаете как работает, то, я надеюсь, вы хотя бы понимаете, чего хотите добиться?
Если это понимаете, то что, неужели так сложно проверить, работает ли оно так, как вы ожидаете?

У вас файрволл, открытый по-умолчанию. Упоминаний 5060 5061 в нем нет - т.е. они не закрыты.

> Пакеты все равно валятся, хотя щас понимаю что вероятно порты 5060 и
> 5061 открыты...
> но щас злоумышленник джэйлится на 10 минут и пыл у него поутих.

....


"NAT + Asterisk безбожно хакают"
Отправлено Nvbulashev , 17-Мрт-15 08:37 
>[оверквотинг удален]
> Если не понимаете как работает, то, я надеюсь, вы хотя бы понимаете,
> чего хотите добиться?
> Если это понимаете, то что, неужели так сложно проверить, работает ли оно
> так, как вы ожидаете?
> У вас файрволл, открытый по-умолчанию. Упоминаний 5060 5061 в нем нет -
> т.е. они не закрыты.
>> Пакеты все равно валятся, хотя щас понимаю что вероятно порты 5060 и
>> 5061 открыты...
>> но щас злоумышленник джэйлится на 10 минут и пыл у него поутих.
> ....

Павел, я представляю, что необходимо сделать на IPTABLES. Пока делать этого не стал, тк интересно понять почему пропускает CISCO NAT. Почитайте топик сначала - я прошу помочь разобраться где брешь, а не как закрыть.


"NAT + Asterisk безбожно хакают"
Отправлено PavelR , 17-Мрт-15 09:48 
> Павел, я представляю, что необходимо сделать на IPTABLES. Пока делать этого не
> стал, тк интересно понять почему пропускает CISCO NAT. Почитайте топик сначала

Да как бы .... одно другому не мешает. Пока у меня НЕ сложилось впечатления о том, что вы представляете, "что необходимо сделать на IPTABLES". Радует глаз и применение фильтрации UDP по портам 22,80,3306.

> - я прошу помочь разобраться где брешь, а не как закрыть.
> - Почта? С Астериска)))) ничего не настраивал!

Вы уже разобрались, что является источником SMTP-сессий с хоста вашего Asterisk или "поржали и поуху, я ничего не настраивал" ?

>Я поставил IPTABLES на Asterisk  

1) Зачем тогда приведен факт использования вами IPTABLES?
2) Указанное применение iptables выглядит бесполезным с точки зрения обеспечения безопасности Asterisk, при этом всё выглядит так, как будто вы видите защиту от этого решения. В частности, правило

>-A INPUT -i eth1 -s //SIP PROV  -j ACCEPT

не имеет никакой значимости. Его наличие или отсутствие, в контексте обсуждаемой задачи, ничего не меняет.



"NAT + Asterisk безбожно хакают"
Отправлено ShyLion , 17-Мрт-15 19:17 
Ну чего ты придрался? Явно же видно что нет порт-форварда вовнутрь, а трансляции создаются.
Если конечно конфиг ВЕСЬ показан.

"NAT + Asterisk безбожно хакают"
Отправлено Nvbulashev , 17-Мрт-15 21:01 
> Ну чего ты придрался? Явно же видно что нет порт-форварда вовнутрь, а
> трансляции создаются.
> Если конечно конфиг ВЕСЬ показан.

конфиг вес, смысла мне лукавить...


"NAT + Asterisk безбожно хакают"
Отправлено PavelR , 18-Мрт-15 13:14 
> Ну чего ты придрался? Явно же видно что нет порт-форварда вовнутрь, а
> трансляции создаются.
> Если конечно конфиг ВЕСЬ показан.

Да мало ли. пока не было разъяснено, почему вдруг PBX шлет почту наружу, можно было предполагать, что PBX затроянена, сама умеет инициировать трансляции для себя, а затем уже что-то по SIP-у пытается состыковаться.


"NAT + Asterisk безбожно хакают"
Отправлено Nvbulashev , 17-Мрт-15 21:01 
>[оверквотинг удален]
> Вы уже разобрались, что является источником SMTP-сессий с хоста вашего Asterisk или
> "поржали и поуху, я ничего не настраивал" ?
>>Я поставил IPTABLES на Asterisk
> 1) Зачем тогда приведен факт использования вами IPTABLES?
> 2) Указанное применение iptables выглядит бесполезным с точки зрения обеспечения безопасности
> Asterisk, при этом всё выглядит так, как будто вы видите защиту
> от этого решения. В частности, правило
>>-A INPUT -i eth1 -s //SIP PROV  -j ACCEPT
> не имеет никакой значимости. Его наличие или отсутствие, в контексте обсуждаемой задачи,
> ничего не меняет.

1. Если я сейчас сделаю по дефолту политику дроп, открою только исходящие соединения и входящие из локальной сети, то мы сразу потеряем все следы нежелательной активности.
2. По поводу почтового трафика, подскажите как изловить? У меня этот вопрос возникает регулярно.
Nethogs помогает только в онлайне. Tcpdump не фиксирует процесс генерирующий трафик.
3. IPtables ставил паровозом с fail2ban


"NAT + Asterisk безбожно хакают"
Отправлено Andrey , 18-Мрт-15 12:23 
>[оверквотинг удален]
>>>-A INPUT -i eth1 -s //SIP PROV  -j ACCEPT
>> не имеет никакой значимости. Его наличие или отсутствие, в контексте обсуждаемой задачи,
>> ничего не меняет.
> 1. Если я сейчас сделаю по дефолту политику дроп, открою только исходящие
> соединения и входящие из локальной сети, то мы сразу потеряем все
> следы нежелательной активности.
> 2. По поводу почтового трафика, подскажите как изловить? У меня этот вопрос
> возникает регулярно.
> Nethogs помогает только в онлайне. Tcpdump не фиксирует процесс генерирующий трафик.
> 3. IPtables ставил паровозом с fail2ban

1. Логи ведутся? Сохраняйте на внешний носитель (сетевой диск, флешку, настройте удаленный syslog).
2. Логи ведутся? Изучайте. В Linux есть команда netstat. Один из ключей показывает процесс, который открывает порт. Дальше копать почему, кто и какое содержимое пересылается.
3. При чем тут iptables на локальной машине с Asterisk. Закройте периметр. Потом изучайте что происходит на сервере и в локальной сети.

Судя по тому, что вы не понимаете что происходит в вашей сети, то вам явно нужен кто-то, кто сможет разобраться что происходит и как это исправить. Форумы в данном конкретном случае не самое хорошее решение в соотношении "скорость решения/качество/стоимость".


"NAT + Asterisk безбожно хакают"
Отправлено Nvbulashev , 18-Мрт-15 13:10 
>[оверквотинг удален]
> syslog).
> 2. Логи ведутся? Изучайте. В Linux есть команда netstat. Один из ключей
> показывает процесс, который открывает порт. Дальше копать почему, кто и какое
> содержимое пересылается.
> 3. При чем тут iptables на локальной машине с Asterisk. Закройте периметр.
> Потом изучайте что происходит на сервере и в локальной сети.
> Судя по тому, что вы не понимаете что происходит в вашей сети,
> то вам явно нужен кто-то, кто сможет разобраться что происходит и
> как это исправить. Форумы в данном конкретном случае не самое хорошее
> решение в соотношении "скорость решения/качество/стоимость".

Андрей, Вы извините, но у меня ощущение, что это Вы не понимаете о чем речь.

1. Логи чего? *\Fail2Ban\Cisco?

2. Я вам не единожды говорил что закрыв периметр, закрыв все файрволом, предмет исследования будет исчерпан, будут устранены последствия, а не причина.

2а) Запустил netstat -pan (это ключи о которых вы вероятно говорите) отключил iptables чтобы разбанить злоумышленника. netstat не показывает соединений с ним. Хотя в астер так же валят пакеты. и попытки звонка. Либо нетстатом не удается изловить краткосрочное соединение, либо оно не детектится нетстатом по другим причинам.

[root@localhost log]# netstat -pan | grep 23.
tcp        0     52 ASTERHOST:22             10.1.201.6:53635            ESTABLISHED 8723/sshd
udp        0      0 ASTERHOST:123            0.0.0.0:*                               1120/ntpd
udp        0      0 127.0.0.1:123               0.0.0.0:*                               1120/ntpd
udp        0      0 0.0.0.0:123                 0.0.0.0:*                               1120/ntpd
udp        0      0 fe80::215:5dff:fe55:6f05:123 :::*                                    1120/ntpd
udp        0      0 ::1:123                     :::*                                    1120/ntpd
udp        0      0 :::123                      :::*                                    1120/ntpd
unix  2      [ ]         DGRAM                    44568  8723/sshd
unix  3      [ ]         STREAM     CONNECTED     10723  1370/master
[root@localhost log]#


2б) Обмен почтой шлет сам астер, видать пытается сообщить, что есть не обновленные модули. Криминала нет.

Mar 18 14:41:18 localhost postfix/smtp[36770]: 17428140936: to=<none@yourpbx.com>, relay=mailstore1.secureserver.net[72.167.238.29]:25, delay=197798, delays=197797/0.02/1.6/0, dsn=4.0.0, status=deferred (host mailstore1.secureserver.net[72.167.238.29] refused to talk to me: 554 p3plibsmtp01-08.prod.phx3.secureserver.net bizsmtp IB106.

3.кто-то, я так понимаю это вы? нет, спасибо, налить "воды" под соусом того, что я чего-то не понимаю в своей сети за деньги мне не надо))). Тем более на лицо не понимание корня проблемы и попытка увода в сторону.


"NAT + Asterisk безбожно хакают"
Отправлено ShyLion , 18-Мрт-15 13:30 
> [root@localhost log]# netstat -pan | grep 23.

Не уверен, что астериску есть необходимость открывать отдельный UDP сокет для этих целей. Он может окрыть один и слать датаграммы с него. Это тебе не TCP.

Смотри мои сообщения выше, возможно источник не снаружи а внутри!


"NAT + Asterisk безбожно хакают"
Отправлено suharik71 , 25-Мрт-15 13:13 
Особо в конфиги не вникал, но могу сообщить что подобное поведение (активность 25 порта) да и вообще какая либо другая левая активность у меня наблюдалась на сборках как AsteriskNOW так и на Elastix. Эластикс вообщем волшебным образом весь канал 10 мбит клал. Что за волшебный суслик там сидит и что он хотел я не стал разбираться. Снес сборку поставил голый астер. Ну при необходимости можно потом freePBX прикрутить. Есть не авторитетное мнение что в этих сборках уже что то из образа запулено не хорошее. Или хорошее, но не понятное, чем пользуются суслики партизаны. Мои беглые просмотры netstat, настройки iptables ни к чему не приводили - левый трафик как шел так и шел.
Посему - я бы снес сею сборку и поставил голого астера и прикрутил freePBX на вашем месте. Делается это все за 20-30 минут.

"NAT + Asterisk безбожно хакают"
Отправлено ShyLion , 27-Мрт-15 06:45 
> Особо в конфиги не вникал

Это называется "метод научного тыка".