Άνοιγμα Sip στο ίντερνετ

[BlueChris]

Παιδιά έπραξα το αδιανόητο για μένα μέχρι τώρα. Έβγαλα το κέντρο της εταιρείας στο ίντερνετ, την 5160(pjsip) πόρτα και την 2267(clearly anywhere).
Ο λόγος ήταν το νέο προϊόν για mobile σύνδεση με το πρόγραμμα της clearly anywhere από οπουδήποτε.
Δυστυχώς λόγο covid κουράστηκα να παλεύω με τους συναδέλφους για το πολύ εύκολο να συνδέονται με vpn πρώτα και βάλε πως το clearly anywhere κάνει 10€ ο χρήστης το χρόνο (μέχρι 31 Οκτωβρίου αυτή η τιμή). Είναι πάρα πολύ καλός client με full ρυθμίσεις και φυσικά push οπότε δεν τρώει μπαταρία. Έχει module για το freepbx και δένει ρολόι μαζί του.
Τώρα φυσικά έχω επιθέσεις στην 5160 και μέχρι στιγμής και το fail2ban και το responsive firewall τα καταφερνουν καλά.
Έχω και το untangle μπροστά που τρώει τα πιο πολλά οπότε δείχνει οκ ειδωμεν.

Η ερώτηση είναι αν κανείς το έχει κάνει πουθενά και στηρίζετε στο fail2ban και στο firewall μόνο ή υπάρχει και κάποια άλλη λύση.

[sdikr]

Γιατί δεν το κάνεις με Iax2;
όχι οτι απαραίτητα θα είναι ασφαλέστερο, αλλά μπορείς να βάλεις πιο σκληρούς κωδικούς στα iax extensions Και περιορισμούς το που μπορούν να καλέσουν

Σε γενικές γραμμές θέλεις καλούς κωδικούς, κάποιον έλεγχο στο τι κλήσεις μπόρουν να κάνουνε και συνεχή αναβάθμιση, άλλες λύσεις είναι να βάζεις δεύτερη εγκατάσταση asterisk που θα μιλάει με την εσωτερική σου

[Kapnos]

Με fail2ban και complex κωδικούς και usernames θα είσαι καλλυμένος. Αν θες να το πας ένα βήμα πιο πιάνω, μπορείς να παίξεις με geoip ή/και ip whitelisting από τους παρόχους που θες και μπλοκάρισμα σε firewall είτε το pbx είτε στo router/security gateway. Επίσης, μπορείς να παίξεις και με certificates αλλά εκεί ίσως έχεις θέμα με τους clients.

[BlueChris]

Γιατί δεν το κάνεις με Iax2;
όχι οτι απαραίτητα θα είναι ασφαλέστερο, αλλά μπορείς να βάλεις πιο σκληρούς κωδικούς στα iax extensions Και περιορισμούς το που μπορούν να καλέσουν

Σε γενικές γραμμές θέλεις καλούς κωδικούς, κάποιον έλεγχο στο τι κλήσεις μπόρουν να κάνουνε και συνεχή αναβάθμιση, άλλες λύσεις είναι να βάζεις δεύτερη εγκατάσταση asterisk που θα μιλάει με την εσωτερική σου

Με iax δεν γινόταν γιατί ήθελα το clearly anywhere που δεν υποστηρίζει iax. Τώρα για το 2ο asterisk έτσι έβαλα του σπιτιού γιατί είχα ήδη συνδέσει το σπίτι με το μαγαζί καιρό τώρα οπότε το τηλέφωνο του σπιτιού είναι σε καλύτερη φάση.

Με fail2ban και complex κωδικούς και usernames θα είσαι καλλυμένος. Αν θες να το πας ένα βήμα πιο πιάνω, μπορείς να παίξεις με geoip ή/και ip whitelisting από τους παρόχους που θες και μπλοκάρισμα σε firewall είτε το pbx είτε στo router/security gateway. Επίσης, μπορείς να παίξεις και με certificates αλλά εκεί ίσως έχεις θέμα με τους clients.

Χμ.. τα usernames είναι τα νούμερα των εσωτερικών που τώρα που το σκέφτομαι είναι fail από μεριά μου μάλλον, θα τα αλλάξω από Δευτέρα αν και κάποιοι χρησιμοποιούν το ucp τους καιρό τώρα αλλά φαντάζομαι μπορώ να κάνω κάτι του στυλ εσωτ.αριθμ+μια προκαθορισμένη λεξη, οπότε δυσκολεύει λίγο.

Όσο αναφορά το block σε geoip έχω κόψει Κίνα ήδη τελείως γιατί είδα επιθέσεις αλλά θα μπλέξω αν βάλω Ευρώπη πχ μέσα γιατί έχω πολλά ταξίδια από τα αφεντικά μου σε εκθέσεις κλπ (οκ όχι το 2020 λόγο covid).
Ευχαριστώ πολύ παιδιά.

Edit; Θα το κάνω μέσω untangle δυναμικά το block στην 5160 να παίζει μόνο με ελληνικά ip να δω πως θα πάει και θα το αλλάζω όταν κάποιος φεύγει έξω.

[netblues]

Σου εχω κατι καλύτερο. Κοψε οτι registration έρχεται με ip και δεν εχει το domain σου.
Με ip tables.
Θα ηρεμησουν ολα τα logs

[xaris333]

Mε αλλαγή θύρας σε πενταψηφια κόβεις το 95% των attacks έχω προσέξει.

Edit:Μάλλον είναι παραπάνω, για την ακρίβεια έχω χρόνια να πάρω email από fail2ban.

[BlueChris]

Σου εχω κατι καλύτερο. Κοψε οτι registration έρχεται με ip και δεν εχει το domain σου.
Με ip tables.
Θα ηρεμησουν ολα τα logs

Αυτό πως το κάνω? Στο freepbx ή στο untangle? Θα το ψάξω thx φτάνει η clearly όταν κάνει το push να δίνει πληροφορία domain και όχι ip. Εγώ domain τους έχω δώσει πάντως οπότε λογικά θα παίξει.

Mε αλλαγή θύρας σε πενταψηφια κόβεις το 95% των attacks έχω προσέξει.

Edit:Μάλλον είναι παραπάνω, για την ακρίβεια έχω χρόνια να πάρω email από fail2ban.

Πωωω αυτό πως μου διέφυγε? Νιώθω ντροπή τώρα ειλικρινά, φαντάσου πως torrent, openvpn, συναγερμοί κλπ δεν αλλάζω την πόρτα στο μηχάνημα που τι θέλει αλλά ανοίγω μια 5xxxx και όταν έρχεται τι ρίχνω στη σωστή πόρτα.

Ευχαριστώ παιδιά πολύ για όλα, είστε χρυσάφι.

[RpMz]

Βάλε αρχικά και ένα Geolocation IP να κόψεις τα πολλά attack, και αφού δεις πως συμπεριφέρεται τότε ανοίγεις σταδιακά και για άλλες χώρες.

[netblues]

https://taczanowski.net/securing-ast...in-is-correct/

Δες εδω.
Οσο για την αλλαγη πορτας, security is not obscurity. Μπορεί ετσι να μην γεμιζουν τα logs, αλλα μέχρι εκεί.

[BlueChris]

https://taczanowski.net/securing-ast...in-is-correct/

Δες εδω.
Οσο για την αλλαγη πορτας, security is not obscurity. Μπορεί ετσι να μην γεμιζουν τα logs, αλλα μέχρι εκεί.

Το βρήκα πριν που μου το είπες ακριβώς αυτό αλλά πρέπει να το κάνω κάπως με το untangle ή αν το βάλω στα custom rules του firewall του freepbx, να προσθέσω να κάνει accept οτιδήποτε από 10.xx.xx.xx, το local lan δηλαδή των εσωτερικών τηλεφώνων που τα έχω να συνδέονται με ip στο κέντρο.

Το geolocation το έκανα και κόπηκαν όλες οι επιθέσεις αλλά προτιμώ αυτό με το domain. Το παλεύω τώρα ΑΝ Ο ΜΙΚΡΟΣ πέσει επιτέλους για ύπνο και μείνω ήσυχος 11 πήγε #$##$@@#

[netblues]

Το freepbx εχεi iptables, οποτε ειναι staight forward.
Και το geolocation ειναι καλο για να κοβει τη πλεμπα.
Βεβαια ολο και καποιος θα ταξιδευει, ολο και καποιος θα εχει βαλει κανα vpn και βγαινει με ip Ισπανιας.... Ναχουμε να ασχολουμαστε.

[BlueChris]

Το freepbx εχεi iptables, οποτε ειναι staight forward.
Και το geolocation ειναι καλο για να κοβει τη πλεμπα.
Βεβαια ολο και καποιος θα ταξιδευει, ολο και καποιος θα εχει βαλει κανα vpn και βγαινει με ip Ισπανιας.... Ναχουμε να ασχολουμαστε.

Αυτό θα βάλω με αλλαγή στην πόρτα γιατί έχω την 5160 και με αλλαγή στο eth0 γιατί έχω το vlan30 στο Voip

Κώδικας:

# UDP port 5160 rule
# Allow for currently established SIP connection
iptables -A INPUT -i eth0.30 -p udp --dport 5160 -m state --state ESTABLISHED,RELATED -j ACCEPT
# Allow for packets witch contain my domain name
iptables -A INPUT -i eth0.30 -p udp --dport 5160 -m string --string "todomainmou" --algo bm -j ACCEPT
# Drop other packets (without my domain)
iptables -A INPUT -i eth0.30 -p udp --dport 5160 -m string --string "REGISTER sip:" --algo bm -j DROP
iptables -A INPUT -i eth0.30 -p udp --dport 5160 -m string --string "INVITE sip:" --algo bm -j DROP
iptables -A INPUT -i eth0.30 -p udp --dport 5160 -m string --string "OPTIONS sip:" --algo bm -j DROP
iptables -A INPUT -i eth0.30 -p udp --dport 5160 -j DROP

[netblues]

Looks good. Παρολα αυτα δες και το qualify στο freepbx/

[BlueChris]

Looks good. Παρολα αυτα δες και το qualify στο freepbx/

Ναι το έχω yes παντού σε όλα τα trunk, ευχαριστώ.

Μέχρι στιγμής δείχνει να κόπηκε το σύμπαν από επιθέσεις... ίσως κόψω το geolocation απλά να το παρακολουθήσω μήπως το domain φτάνει αν και δεν είναι δύσκολο να το βρει κάποιος.

[netblues]

Φροντισε τουλαχιστον να μην προκύπτει απο το reverse.

Τα παλικάρια απο τη gaza μια φορα το ειχαν βρει.
Γενικοτερα εφοσον δεν παίζει vpn, καλα user names και σχετικά μεγαλα pass, και updates σε latest οποτε βγαίνει κατι.
Ειναι πολλα τα λεφτά ΑΡΗ
Δεν θα το ελεγα επιθέσεις. Ανιχνευτές ειναι. Η επιθεση έρχεται μετα.