SecAst: отказ от запрета IP ''

Question

SecAst: отказ от запрета IP ''

Для поколения D:

Это была настройка во время возникновения этой проблемы: secast-1.0.1.0-x86_64-ub12 в Ubuntu 12.04.4. Сервер LTS с Asterisk 11.10.2.

Следующие события были перехвачены и обнаружены в /var/log/secast после выхода из seacast (build secast-1.0.1.0-x86_64-ub12):

Sun Jun 22 14:22:45 2014, 00001403, D, Asterisk, IP '' added to watch list
Sun Jun 22 14:22:45 2014, 00000510, I, Asterisk, Detected potential intrustion attempt by username '%40102' at IP '' using protocol 'SIP' through security log '/var/log/asterisk/messages'
Sun Jun 22 14:23:05 2014, 00001402, D, Asterisk, IP '' on IP watch list with 2 potential intrusion attempts
Sun Jun 22 14:23:05 2014, 00000510, I, Asterisk, Detected potential intrustion attempt by username '%40102' at IP '' using protocol 'SIP' through security log '/var/log/asterisk/messages'
Sun Jun 22 14:23:07 2014, 00001402, D, Asterisk, IP '' on IP watch list with 3 potential intrusion attempts
Sun Jun 22 14:23:07 2014, 00000510, I, Asterisk, Detected potential intrustion attempt by username '%40' at IP '' using protocol 'SIP' through security log '/var/log/asterisk/messages'
Sun Jun 22 14:23:27 2014, 00001402, D, Asterisk, IP '' on IP watch list with 4 potential intrusion attempts
Sun Jun 22 14:23:27 2014, 00000510, S, Asterisk, Detected excessive intrustion attempts by username '%40' at IP '' using protocol 'SIP' through security log '/var/log/asterisk/messages'.  Requesting ban.
Sun Jun 22 14:23:27 2014, 00000902, D, ThreatInfo, Adding IP address  to banned IP list
Sun Jun 22 14:23:27 2014, 00000608, S, EventQueue, Banning detected IP  as managed
Sun Jun 22 14:23:27 2014, 00000710, E, SystemCommand, Failed to add rule to iptables chain.  Run result 0; exitcode 2
 :
 :
Sun Jun 22 14:24:08 2014, 00001402, D, Asterisk, IP '' on IP watch list with 5 potential intrusion attempts
Sun Jun 22 14:24:08 2014, 00000510, S, Asterisk, Detected excessive intrustion attempts by username '%40' at IP '' using protocol 'SIP' through security log '/var/log/asterisk/messages'.  Requesting ban.
Sun Jun 22 14:24:08 2014, 00000900, D, ThreatInfo, Ignoring attempt to add duplicate IP  to banned IP list
Sun Jun 22 14:25:28 2014, 00001402, D, Asterisk, IP '' on IP watch list with 6 potential intrusion attempts
Sun Jun 22 14:25:28 2014, 00000510, S, Asterisk, Detected excessive intrustion attempts by username '%40' at IP '' using protocol 'SIP' through security log '/var/log/asterisk/messages'.  Requesting ban.
Sun Jun 22 14:25:28 2014, 00000900, D, ThreatInfo, Ignoring attempt to add duplicate IP  to banned IP list
Sun Jun 22 14:35:36 2014, 00001405, D, Asterisk, IP '' removed from IP watch list due to expiration

Обратите внимание, что ссылка на IP '', где не отображается фактический IP-адрес. Кажется, что эта пустая ссылка на IP вызывает сбой при попытке добавить правило в цепочку iptables. Кроме того, попытки добавить это в базу данных кажутся неудачными (строки опущены выше).

Возможно, это указывает на то, что случай IP '' должен быть обнаружен, чтобы избежать недопустимых попыток вызова iptables и базы данных.

Ниже приведены строки из /var/log/asterisk/messages (наш IP-адрес заменен на IP_REMOVED), которые соответствуют событиям выше:

[Jun 22 14:22:45] NOTICE[7420] chan_sip.c: Registration from '<sip:%40102@IP_REMOVED>' failed for '176.58.69.112:14398' - Wrong password
[Jun 22 14:22:48] NOTICE[7420][C-0000005a] chan_sip.c: Failed to authenticate device <sip:%40102@IP_REMOVED>;tag=17280b03
[Jun 22 14:22:55] NOTICE[7420][C-0000005b] chan_sip.c: Failed to authenticate device <sip:%40102@IP_REMOVED>;tag=394a4856
[Jun 22 14:23:01] NOTICE[7420][C-0000005c] chan_sip.c: Failed to authenticate device <sip:%40102@IP_REMOVED>;tag=022a0438
[Jun 22 14:23:05] NOTICE[7420] chan_sip.c: Registration from '<sip:%40102@IP_REMOVED>' failed for '176.58.69.112:14398' - Wrong password
[Jun 22 14:23:07] NOTICE[7420] chan_sip.c: Registration from '<sip:%40@IP_REMOVED>' failed for '176.58.69.112:14398' - Wrong password
[Jun 22 14:23:09] NOTICE[7420][C-0000005d] chan_sip.c: Failed to authenticate device <sip:%40@IP_REMOVED>;tag=93209c36
[Jun 22 14:23:12] NOTICE[7420][C-0000005e] chan_sip.c: Failed to authenticate device <sip:%40@IP_REMOVED>;tag=cf5b9246
[Jun 22 14:23:13] NOTICE[7420][C-0000005f] chan_sip.c: Failed to authenticate device <sip:%40@IP_REMOVED>;tag=ae0ff835
[Jun 22 14:23:27] NOTICE[7420] chan_sip.c: Registration from '<sip:%40@IP_REMOVED>' failed for '176.58.69.112:14398' - Wrong password
[Jun 22 14:24:08] NOTICE[7420] chan_sip.c: Registration from '<sip:%40@IP_REMOVED>' failed for '176.58.69.112:14398' - Wrong password
[Jun 22 14:24:21] NOTICE[7420][C-00000060] chan_sip.c: Failed to authenticate device 201<sip:201@IP_REMOVED>;tag=ba38c3c8
[Jun 22 14:25:28] NOTICE[7420] chan_sip.c: Registration from '<sip:%40@IP_REMOVED>' failed for '176.58.69.112:14398' - Wrong password

Учитывая то, что я прочитал из этого, я ожидал, что IP 176.58.69.112 будет запрещен.

Почему бы произошел случай с ИС, и какие шаги могли бы исправить это?

**** Обновить ****

Следующие сообщения были замечены сегодня в /var/log/secast:

2014-06-27T09:43:23, 00001403, D, Asterisk, IP '5.11.41.130' added to watch list
2014-06-27T09:43:23, 00000510, I, Asterisk, Detected potential intrustion attempt by username '1000' at IP '5.11.41.130' using protocol 'SIP' through security log '/var/log/asterisk/messages'
2014-06-27T09:43:43, 00001402, D, Asterisk, IP '5.11.41.130' on IP watch list with 2 potential intrusion attempts
2014-06-27T09:43:43, 00000510, I, Asterisk, Detected potential intrustion attempt by username '1000' at IP '5.11.41.130' using protocol 'SIP' through security log '/var/log/asterisk/messages'
2014-06-27T09:53:52, 00001405, D, Asterisk, IP '5.11.41.130' removed from IP watch list due to expiration

Они возникли из следующих строк в /var/log/asterisk/messages:

[Jun 27 09:43:23] NOTICE[1309] chan_sip.c: Registration from '<sip:1000@69.165.131.4>' failed for '5.11.41.130:12736' - Wrong password
[Jun 27 09:43:43] NOTICE[1309] chan_sip.c: Registration from '<sip:1000@69.165.131.4>' failed for '5.11.41.130:12736' - Wrong password

Хотя было предпринято недостаточно попыток вызвать запрет, похоже, что IP-адрес 5.11.41.130 был получен, как и ожидалось. Если бы было больше попыток, я бы предположил, что попытка бана на этот раз была бы успешной.

Обратите внимание, что на этот раз имя пользователя было просто "1000"; тогда как ранее имя пользователя было: "%40102" и "% 40"

Возможно ли, что символ% отключил секрест-разбор строки сообщений Asterisk, что привело к сбою извлечения IP-адреса?

Я продолжу следить за журналами на предмет фактического бана и сообщать о них.

0

security asterisk sip intrusion-detection

Источник

Elyod 25 июн '14 в 20:22

2 ответа

Решение

Вы обнаружите, что хакеры / сканеры также сокращают свои попытки грубой силы даже до одной попытки в день (опять же, чтобы избежать обнаружения). Если вы хотите повысить безопасность, вы можете уменьшить максимальное количество вторжений до 1 и увеличить интервал до 2 дней и более. (Вот почему атака, показанная в ваших логах, скорее всего прекращается с 2-х попыток).

Основываясь на системах, которые мы отслеживаем посредством контрактов на поддержку, мы видим, что хакеры из Палестины и Африки делают это много. Они пытаются оставаться под радаром или системами обнаружения вторжений.

Альтернативный (и более проактивный способ их блокирования) состоит в том, чтобы использовать ограждение Geo IP, встроенное в SecAst, и блокировать всю страну / континент, откуда происходят эти атаки. Проверьте этот вопрос о неисправности сервера для получения дополнительной информации.

0

Источник

TSG 27 июн '14 в 15:35

Другие вопросы по тегам security asterisk sip intrusion-detection

TSG 25 июн '14 в 21:44 2014-06-25 21:44 · Accepted Answer · 2014-06-25 21:44

Атакующий на 176.58.69.112 разносит свои попытки соединения, чтобы избежать обнаружения. Убедитесь, что вы установили maxintrusioninterval достаточно высоким, чтобы увидеть несколько попыток, а maxintrusions - достаточно низким, чтобы инициировать обнаружение в этом интервале. Можете ли вы опубликовать свои настройки из раздела [учетные данные] secast.conf? (или отправьте по электронной почте весь файл конфигурации на support@generationd.com)

Мы видим, что все больше VoIP-хакеров разносят свои атаки, чтобы избежать обнаружения - некоторые даже ждут день или больше между попытками. (Мы уже увеличили максимальное значение настроек интервала обнаружения с 1 часа до 1 недели, чтобы решить эту проблему).

Сообщения, связанные с IP, являются предупреждением о том, что SecAst обнаружил в файле сообщений звездочки что-то, что он не может интерпретировать. (Мы добавим более интеллектуальное сообщение когда-нибудь) Мы получили ваш файл журнала и запустим его через наш анализатор и добавим правильное обнаружение для этой проблемной строки. (Digium регулярно вносит небольшие изменения в форматы журналов, и мы всегда тестируем самые последние сборки Asterisk по нашим тестовым сценариям, чтобы поймать их).

** Обновление: начиная с SecAst версии 1.0.6 эти сообщения теперь добавляются в базу данных сигнатур.