Bloquear extensión ante ataque por fuerza bruta

[Jaume Olive]

Hola Señores,

Estaba pensando hoy ....

En el caso que un hacker detecte un puerto sip abierto, detecte que
hay una extensión, digamos la 110 y contra esta extensión por fuerza
bruta intente conseguir la clave ....

¿... hay alguna forma de bloquear la extensión automáticamente digamos
después de 3 intentos fallidos?

Evidentemente esto sería algo interesante en el caso que las medidas
de seguridas fallasen.

[Saúl Ibarra]

2009/11/27 Jaume Olive <jol...@iberoxarxa.es>:

Actualmente con Asterisk no se puede. Con OpenSER tienes el modulo
'pike' o sino puedes poner un Snort con el modulo de SIP.

Se esta trabajando en un framework de seguridad para Asterisk, que
gerara logs de actividad extranya para que puedas usar una herramienta
tipo fail2ban para bloquear accesos...

--
/Saúl
http://saghul.net | http://sipdoc.net

[Angel Elena]

y el fail2ban?



-----Mensaje original-----
De: aster...@googlegroups.com [mailto:aster...@googlegroups.com] En nombre de Saúl Ibarra
Enviado el: viernes, 27 de noviembre de 2009 21:16
Para: aster...@googlegroups.com
Asunto: [Asterisk-ES] Re: Bloquear extensión ante ataque por fuerza bruta

[Paco Gil]

con fail2ban te puedes cargar al susodicho...

2009/11/27 Jaume Olive <jol...@iberoxarxa.es>

[Ing. Rodrigo Fernandez]

Sera pregunta “tonta” y si usa el portsentry?

 

---

De: aster...@googlegroups.com [mailto:aster...@googlegroups.com] En nombre de Paco Gil
Enviado el: Viernes, 27 de Noviembre de 2009 02:19 p.m.
Para: aster...@googlegroups.com
Asunto: [Asterisk-ES] Re: Bloquear extensión ante ataque por fuerza bruta

 

con fail2ban te puedes cargar al susodicho...

__________ Information from ESET NOD32 Antivirus, version of virus signature database 4643 (20091127) __________

 

The message was checked by ESET NOD32 Antivirus.

 

http://www.eset.com

__________ Information from ESET NOD32 Antivirus, version of virus signature database 4643 (20091127) __________

The message was checked by ESET NOD32 Antivirus.

http://www.eset.com

[Raúl García]

iptables funciona para esta situacion.

http://www.voip-info.org/wiki/view/Asterisk+firewall+rules

http://www.mey-online.com.ar/blog/index.php/archives/iptables-firewall-personalizado-para-central-ip





--
Caerse tiene una logica, levantarse una razón.
Raúl García
Dios te bendiga.

[Alberto Sagredo]

Fail2ban puede ayudarte.

Hay un ejemplo sencillo en voip-info.org

Yo lo pongo en instalaciones perras y cero problemas.

Porque no cambias el 5060? El sip funciona igual o mejor casi ;)

2009/11/27, Raúl García <edd...@gmail.com>:

--
Enviado desde mi dispositivo móvil

[Saúl Ibarra]

2009/11/27 Alberto Sagredo <albe...@gmail.com>:

>
> Fail2ban puede ayudarte.
>
> Hay un ejemplo sencillo en voip-info.org
>
> Yo lo pongo en instalaciones perras y cero problemas.
>
> Porque no cambias el 5060?   El sip funciona igual o mejor casi ;)
>

Porque mi email es sa...@xxx.com y quiero que mi numero sea
sip:sa...@xxx.com, no sip:sa...@xxx.com:5070

Cuanto menos tengan que configurar los lusers ,mejor.

[Paco Gil]

2009/11/27 Alberto Sagredo <albe...@gmail.com>

Fail2ban puede ayudarte.

Hay un ejemplo sencillo en voip-info.org

Yo lo pongo en instalaciones perras y cero problemas.

Porque no cambias el 5060?   El sip funciona igual o mejor casi ;)

No quedamos que si movemos Asterisk de puerto, entonces se hace la picha un lio en los dialogos????
 

[Alberto Sagredo]

Pues es la primera noticia que tengo que el sip en asterisk no
funciona por no usar 5060...


El 27/11/09, Paco Gil <pag...@gmail.com> escribió:

[Paco Gil]

2009/11/28 Alberto Sagredo <albe...@gmail.com>

Pues es la primera noticia que tengo que el sip en asterisk no
funciona por no usar 5060...

tenía que ver con los puertos del router, iptables y NAT... Hay algunos hilos por la lista comenando los problemas derivados de mapear el puerto que usa asterisk a otro diferente en el router...

Si es dentro de la red local, efectivamente, no debe haber problema...
 

[Raúl Alexis Betancor Santana]

On Saturday 28 November 2009 12:11:24 Paco Gil wrote:
> 2009/11/28 Alberto Sagredo <albe...@gmail.com>
>
> > Pues es la primera noticia que tengo que el sip en asterisk no
> > funciona por no usar 5060...
>
> tenía que ver con los puertos del router, iptables y NAT... Hay algunos
> hilos por la lista comenando los problemas derivados de mapear el puerto
> que usa asterisk a otro diferente en el router...

El problema es muy simple ...

Internet -> Router NAT -> Asterisk

5070 ->DNAT -> 5060

Este escenario no funciona, pero es normal que no funcione.

--
Raúl Alexis Betancor Santana
Dimensión Virtual

[Alberto Sagredo]

Una cosa es abrir el puerto 5060 y poner asterisk en el 5070 y otra es
abrir el 5070 y poner asterisk en el 5070...

Yo hablo de usar siempre hacia afuera otro puerto... Y poner asterisk
en ese otro puerto... Olvidarse del 5060 en cualquier punto..

El 28/11/09, Paco Gil <pag...@gmail.com> escribió:

[Doug Carrillo]

Yo haria pruebas con host.deny

 

asterisk:ip_a_negar

 

No se si funciona con asterisk

[Raúl Alexis Betancor Santana]

On Saturday 28 November 2009 22:30:32 Doug Carrillo wrote:
> Yo haria pruebas con host.deny
>
> asterisk:ip_a_negar
>
> No se si funciona con asterisk

No, no funciona, asterisk no usa tcp_wrappers

[Jaume Olive]

Todo lo que comentais tiene muy buena pinta.
Ya tengo diversión para el fin de semana.

:-)

Por cierto, se que es una locura, pero ¿y parchear el chan_sip?

On 27 nov, 21:36, Paco Gil <pag...@gmail.com> wrote:
> 2009/11/27 Alberto Sagredo <alber...@gmail.com>

>
>
>
> > Fail2ban puede ayudarte.
>
> > Hay un ejemplo sencillo en voip-info.org
>
> > Yo lo pongo en instalaciones perras y cero problemas.
>
> > Porque no cambias el 5060?   El sip funciona igual o mejor casi ;)
>
> No quedamos que si movemos Asterisk de puerto, entonces se hace la picha un
> lio en los dialogos????
>
>
>

> > 2009/11/27, Raúl García <eddr...@gmail.com>:

> > > iptables funciona para esta situacion.
>
> > >http://www.voip-info.org/wiki/view/Asterisk+firewall+rules
>

> >http://www.mey-online.com.ar/blog/index.php/archives/iptables-firewal...

[Jaume Olive]

Si usamos Fail2ban no veo como banear un ataque realizado desde
diversas IP por el mismo atacante. Me explico, si el atacante realiza
el ataque desde 10 IPs diferentes y cada ataque permite 3 intentos,
potencialmente podría probar 30 passwords.

[Angel Elena]

Hombre, si tus passwords no son de diccionario (tipo 110, manolito...), tienes el asterisk-rsp actualizadito y configurado con los "allowexternalinvites=no" (y otras cosas más - Alberto Sagredo sacó algo en su blog) y usas hasHes de MD5 como tal, un churro de carácteres como "asuir4545DFEdfdf12" ya me dirás como lo sacan en 30 intentos... de todas maneras, había un parche que se ha aplicado a la RSP (lo digo de memoria) que impedía que asterisk "publicite" los usuarios correctos en no sé que estado... que me corrijan los expertos de la lista, pero haberlo, lo había.


salu2



________________________________

De: aster...@googlegroups.com en nombre de Jaume Olive
Enviado el: lun 30/11/2009 11:33
Para: asterisk-es
Asunto: [Asterisk-ES] Re: Bloquear extensión ante ataque por fuerza bruta

[Saúl Ibarra]

2009/11/30 Angel Elena <cr...@craem.net>:

> Hombre, si tus passwords no son de diccionario (tipo 110, manolito...), tienes el asterisk-rsp actualizadito y configurado con los "allowexternalinvites=no" (y otras cosas más - Alberto Sagredo sacó algo en su blog) y usas hasHes de MD5 como tal, un churro de carácteres como "asuir4545DFEdfdf12"  ya me dirás como lo sacan en 30 intentos... de todas maneras, había un parche que se ha aplicado a la RSP (lo digo de memoria) que impedía que asterisk "publicite" los usuarios correctos en no sé que estado... que me corrijan los expertos de la lista, pero haberlo, lo había.
>

Si, esa un bug de seguridad que respecto a la respuesta en caso de que
el usuario exista o no. Esta arreglado en noseke version de Asterisk y
en la RSP.