Τρόποι προστασίας για επιθέσεις σε Asterisk (Freepbx ή αντίστοιχα)

[BlueChris]

Τελευταία δέχομαι πολλές επιθέσεις στο freepbx της δουλειάς. Οκ έχω το fail2ban ενεργό με μεγάλα νούμερα στις ρυθμίσεις του (6000 sec ban time) και κόβει τις επιθέσεις επιτυχώς από ότι φαίνεται.
Το θέμα είναι , αυτό φτάνει? χρησιμοποιεί κάποιος κάτι άλλο για αυτό το σκοπό?

Επειδή παίρνω mail από το fail2ban όποτε δέχεται επίθεση, αν κάποιος προσπαθήσει πάνω από 3-4 φορές τότε τον κάνω με το χέρι block στο firewall της εταιρείας μόνιμα (untangle).

Πχ από χτες μου την πέφτει αυτό το ip

13.78.142.117

το οποίο ανήκει στην MS..

[sdikr]

Αμα έχεις ανοιχτή την 5060 θα συνεχίσεις να έχεις επιθέσεις

Σκέψου την περίπτωση να βάλεις εναν 2 freepbx ή ακόμα και κάποια υπηρεσία όπως virtual pbx, με το virtual θα έχεις αυτούς να ανησυχούν για την ασφάλεια (που λογικά θα είναι πιο αυστηρή) και εσύ απλά θα επιτρέπεις την σύνδεση με την δικιά τους ip.
Με το 2ο τοπικά πάλι μπορείς να κάνεις το ίδιο, να το έχεις πιο αυστηρό.
Έχεις σκεφτεί να παίξεις με Iax;

[astbox]

Κοίτα με το fail2ban έχεις τα εξής να σκέφτεσαι

α) τι γίνεται αν σταματήσει ή δεν εκκινήσει ποτέ το service για το xyz λόγο
β) τι γίνεται αν δεχθείς τόση κίνηση που σου πιτάρει το fail2ban το κέντρο. Το αναφέρω γιατί το fail2ban δουλεύει ελέγχοντας τα logs του asterisk και όχι live την κίνηση οπότε είναι αρκετά απαιτητικό σε πόρους.
γ) τι γίνεται αν δεν γράφεται η πληροφορία που περιμένει το fail2ban στο log του asterisk

Η πιο φτηνή λύση είναι να πας σε IAX remote εσωτερικα όπως λέει ο sdikr. Η ακριβή λύση είναι να βάλεις ένα sbc μπροστά να σου φιλτράρει τα πάντα και να δέχεται αυτός αρχικά την WAN κίνηση. Η ενδιάμεση να κάνουν vpn πρώτα οι remote χρήστες.
Η γκέτο λύση είναι να κρεμάσεις τους remote χρήστες σε μία free sip υπηρεσία π.χ. OnSIP αντίστοιχα να περάσεις ένα sip account στο κέντρο σου και με το κατάλληλο ρουτάρισμα να μιλάνε οι χρήστες με το κέντρο μέσω της sip υπηρεσίας. Περίπου η λύση του sdikr αλλά όχι μέσω vpbx.

[BlueChris]

Κοίτα με το fail2ban έχεις τα εξής να σκέφτεσαι

α) τι γίνεται αν σταματήσει ή δεν εκκινήσει ποτέ το service για το xyz λόγο
β) τι γίνεται αν δεχθείς τόση κίνηση που σου πιτάρει το fail2ban το κέντρο. Το αναφέρω γιατί το fail2ban δουλεύει ελέγχοντας τα logs του asterisk και όχι live την κίνηση οπότε είναι αρκετά απαιτητικό σε πόρους.
γ) τι γίνεται αν δεν γράφεται η πληροφορία που περιμένει το fail2ban στο log του asterisk

Η πιο φτηνή λύση είναι να πας σε IAX remote εσωτερικα όπως λέει ο sdikr. Η ακριβή λύση είναι να βάλεις ένα sbc μπροστά να σου φιλτράρει τα πάντα και να δέχεται αυτός αρχικά την WAN κίνηση. Η ενδιάμεση να κάνουν vpn πρώτα οι remote χρήστες.
Η γκέτο λύση είναι να κρεμάσεις τους remote χρήστες σε μία free sip υπηρεσία π.χ. OnSIP αντίστοιχα να περάσεις ένα sip account στο κέντρο σου και με το κατάλληλο ρουτάρισμα να μιλάνε οι χρήστες με το κέντρο μέσω της sip υπηρεσίας. Περίπου η λύση του sdikr αλλά όχι μέσω vpbx.

Για αυτό ρώτησα, προσπαθώ να απεξαρτηθώ από το Fail2Ban ή να υπάρχει μεν αλλά να μην είναι ο αρχηγός.

Οι χρήστες από έξω μπαίνουν με τα κινητά τους με το Clearly Anywhere που ζητάει απλά έξτρα μια πόρτα την 2267 για το registration που εκεί δεν έχω επιθέσεις αλλά η κίνηση γίνετε από την 5160 και εδώ είναι το πρόβλημά μου νομίζω. Ανακάλυψα πως επειδή έχω τουμπάρει τις πόρτες στο Freepbx (μην με ρωτήσετε γιατί), έχω λοιπόν το PJSIP που είναι και αυτό που χρησιμοποιώ στην 5160. Έλα μου όμως που το Untangle που έχει suricata δεν την ξέρει την 5160 παρά τσεκάρει την κίνηση voip στην 5060 μόνο όπου επιτυχώς κόβει τις επιθέσεις


Ψάχνω τώρα για τρόπο να δηλώσω στο suricata πως το voip είναι στην 5160... Έχω κάτι ρυθμίσεις Variables στο Untangle που αφορούν το Suricata αλλά ψάχνω ψάχνω δεν βρίσκω πως μπορώ να αλλάξω την πόρτα για το voip στον Layer7 έλεγχο που κάνει...
Έβαλα ένα καινούργιο Variable Που μου φαίνεται λογικό με τα υπόλοιπα που έχει το suricata default και θα δω αν θα παίξει... βασικά θέλω να μην φτάνουν στο Freepbx οι επιθέσεις logon και να τις κόβει το Suricata στο Untangle.
Έβαλα αυτό σαν Variable αν έχει ασχοληθεί κανείς με το Suricata

VOIP_Ports 5060,5160



Αν δεν δουλέψει μάλλον θα ρωτήσω στο Untangle το φόρουμ πως γίνεται αν και εκεί όταν ρωτάς για προστασία voip σηκώνουν σημαία και λένε "ΜΗΗΗΗ τσεκάρεις το voip παρά να κάνεις bypass την κίνηση voip".

[thama]

Χωρίς να διαφωνώ με τους προλαλήσαντες, θα ήθελα να προτείνω μερικές εναλλακτικές
1) Ίσως σε επίπεδο firewall να υπάρχουν λίστες με "ύποπτες" IPs που να μπλοκάρονται αυτόματα. Εκτιμώ ότι θα μειώσει την "περίεργη" κίνηση
2) Αν η κίνηση προς το PBX είναι από συγκεκριμένες χώρες/περιοχές, η χρήση GeoIP rule για την συγκεκριμένη θύρα μπορεί να μειώσει την "περίεργη" κίνηση.
3) Μια εναλλακτική λύση, ίσως και αρκετά πιο ενδεδειγμένη, είναι να μην επιτρέπονται οι εξωτερικές συνδέσεις καθόλου, και η πρόσβαση να γίνεται με VPN.

[BlueChris]

Χωρίς να διαφωνώ με τους προλαλήσαντες, θα ήθελα να προτείνω μερικές εναλλακτικές
1) Ίσως σε επίπεδο firewall να υπάρχουν λίστες με "ύποπτες" IPs που να μπλοκάρονται αυτόματα. Εκτιμώ ότι θα μειώσει την "περίεργη" κίνηση
2) Αν η κίνηση προς το PBX είναι από συγκεκριμένες χώρες/περιοχές, η χρήση GeoIP rule για την συγκεκριμένη θύρα μπορεί να μειώσει την "περίεργη" κίνηση.
3) Μια εναλλακτική λύση, ίσως και αρκετά πιο ενδεδειγμένη, είναι να μην επιτρέπονται οι εξωτερικές συνδέσεις καθόλου, και η πρόσβαση να γίνεται με VPN.

Τα έχω παλέψει τo Νο2 αρκετά... λόγο του γενικά δεν έχω κίνηση από το εξωτερικό προς τα μέσα, θα είχα αφήσει την Ελλάδα μόνο... αλλά έχω αναγκαστεί να αφήσω ανοιχτές Αμερική, Ολλανδία, Αγγλία, Ελβετία λόγο του ότι το ClearlyAnywhere έχει σέρβερ εκεί, και από εκεί δέχομαι τις λίγες προσπάθειες επίθεσης, αλλιώς Ασίες κλπ δεν φτάνουν καν.
Αν κάποιος από τους πωλητές ή αφεντικά πάει ταξίδι κάπου, απλά ανοίγω την χώρα που πάει. Γενικά το Untangle είναι ενημερωμένο με τις IP που έχει η κάθε χώρα καλά θα έλεγα.

Τα Variables στο Suricata είναι η λύση, θα το βρω που θα πάει.

[K1m0n]

Χωρίς να διαφωνώ με τους προλαλήσαντες, θα ήθελα να προτείνω μερικές εναλλακτικές
1) Ίσως σε επίπεδο firewall να υπάρχουν λίστες με "ύποπτες" IPs που να μπλοκάρονται αυτόματα. Εκτιμώ ότι θα μειώσει την "περίεργη" κίνηση
2) Αν η κίνηση προς το PBX είναι από συγκεκριμένες χώρες/περιοχές, η χρήση GeoIP rule για την συγκεκριμένη θύρα μπορεί να μειώσει την "περίεργη" κίνηση.
3) Μια εναλλακτική λύση, ίσως και αρκετά πιο ενδεδειγμένη, είναι να μην επιτρέπονται οι εξωτερικές συνδέσεις καθόλου, και η πρόσβαση να γίνεται με VPN.

+1
Εναλλακτικά επιτρέπεις μόνο γνωστές ip (ανέφικτο σε road warriors),
ή ίσως port knocking αν υπάρχει sip client με port knocking... (υπάρχει άραγε?).

[BlueChris]

+1
Εναλλακτικά επιτρέπεις μόνο γνωστές ip (ανέφικτο σε road warriors),
ή ίσως port knocking αν υπάρχει sip client με port knocking... (υπάρχει άραγε?).

Ευχαριστώ.
Το έχω παλέψει μόνο στην Ελλάδα αυτό και παίζει.. αλλά κάθε λίγο και λιγάκι πρέπει να προσθέτω subnnet οπότε το έχω off για τώρα.
Στα κινητά τους έχω ρυθμίσει το Clearly Anywhere να βγαίνει μόνο με Cellular ασχέτως αν είναι συνδεδεμένοι σε Wifi.



Αυτό ακουγόταν promising που μου είχε πει ο @netblues αλλά μου είχε δημιουργήσει προβλήματα γιατί όλα τα τηλέφωνα τα συνδέω με IP όπως και τα τηλέφωνα που έχω εκτός εταιρείας που μπαίνουν με vpn.

https://taczanowski.net/securing-ast...in-is-correct/

Προσπαθώ να τα γυρίσω σε DNS αλλά δεν τα καταφέρνω γιατί για κάποιο κουφό λόγο δεν κάνει resolve το domain το freepbx. (τα yealink αυτά που συνδέονται με openvpn , μπαίνουν απευθείας στο openvpn του freepbx).

[astbox]

Θα σου πρότεινα να μιλήσεις με την clear ip και να τους ζητήσεις από ποιες IP στέλνουν κίνηση να τις κάνεις whitelist, block στα πάντα και geoip whitelisting όπως κάνει τώρα για όποτε χρειάζεται κάποιος.
Εδώ ολόκληρη Microsoft και έχει δημόσια στο site τους από που θα σου στείλει sip κίνηση δεν μπορώ να φανταστώ κάποιο λόγο να μην στις δώσουν από την clearip.