- NAT + Asterisk безбожно хакают,
 Nvbulashev, 13:03 , 15-Мрт-15 (1)>[оверквотинг удален]
> access-list 102 permit ip host XX.XX.XX.8 any
> access-list 102 permit ip host XX.XX.XX.11 any
> access-list 102 permit ip host XX.XX.XX.131 any
> access-list 102 permit ip host XX.XX.XX.132 any
> access-list 102 permit ip host XX.XX.XX.133 any
> access-list 102 permit ip host XX.XX.XX.134 any
> access-list 102 permit ip host XX.XX.XX.135 any
> access-list 102 deny ip any any
> 240 = хост астериска
> Помогите разобраться что происходит, где дыра?UPD щас воткну fail2ban конечно, но хочется на будущее понять, где упущение, потому что такую схему использовал раз 20, проблем не было.
- NAT + Asterisk безбожно хакают, Nvbulashev, 16:44 , 15-Мрт-15 (2)
>[оверквотинг удален]
>> access-list 102 permit ip host XX.XX.XX.131 any
>> access-list 102 permit ip host XX.XX.XX.132 any
>> access-list 102 permit ip host XX.XX.XX.133 any
>> access-list 102 permit ip host XX.XX.XX.134 any
>> access-list 102 permit ip host XX.XX.XX.135 any
>> access-list 102 deny ip any any
>> 240 = хост астериска
>> Помогите разобраться что происходит, где дыра?
> UPD щас воткну fail2ban конечно, но хочется на будущее понять, где упущение,
> потому что такую схему использовал раз 20, проблем не было.UPD2: поставил. Блокирует на 10 минут и по новой....
- NAT + Asterisk безбожно хакают, Andrey, 19:10 , 15-Мрт-15 (3)
>>[оверквотинг удален]
>> хочется на будущее понять, где упущениеУпущение в наличии только одной вырезки с одного ACL.
Будет конфиг - будет "разбор полетов". Нет конфига - нет проблемы.
- NAT + Asterisk безбожно хакают, Nvbulashev, 19:18 , 15-Мрт-15 (4)
>>>[оверквотинг удален]
>>> хочется на будущее понять, где упущение
> Упущение в наличии только одной вырезки с одного ACL.
> Будет конфиг - будет "разбор полетов". Нет конфига - нет проблемы.version 15.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname RT.201.254-GRM
!
boot-start-marker
boot system flash c880data-universalk9-mz.154-3.M.bin
boot-end-marker
!
!
logging buffered 51200 warnings
enable secret 5 aaa new-model
!
--More-- !
aaa authentication login default local
aaa authorization exec default local
!
!
!
!
!
aaa session-id common
memory-size iomem 10
!
crypto pki trustpoint TP-self-signed-1884276949
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1884276949
revocation-check none
rsakeypair TP-self-signed-1884276949
!
!
crypto pki certificate chain TP-self-signed-1884276949
certificate self-signed 01
30820246 308201AF A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 31383834 32373639 3439301E 170D3135 30323237 30383032
--More-- 33385A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 38383432
37363934 3930819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100C011 20C97DDE AEAAFEAE 81608A21 DDCE002D F4497C21 79B2C9CE 2ADF14EA
B84E67FE 55A1BBEA 6F169CA9 676BAF4F 12AC560D F7290D0B 2F081DF8 2744A1B0
48219C23 7DE4030C C5BCE838 1F24EF29 AD572EDF DB31DC02 C0389261 D2D7EF68
BE1E8DD5 D53CE017 8A14DF28 0377F878 260372E2 0BA1D242 606DD1DD FB33FCCC
2C670203 010001A3 6E306C30 0F060355 1D130101 FF040530 030101FF 30190603
551D1104 12301082 0E52542E 3230312E 3235342D 47524D30 1F060355 1D230418
30168014 B575BE80 F07560AF DDF3F25A D7F56954 04B9CF93 301D0603 551D0E04
160414B5 75BE80F0 7560AFDD F3F25AD7 F5695404 B9CF9330 0D06092A 864886F7
0D010104 05000381 81006D88 E79B765E E3901C19 C7806B36 1154ED3F BD31238D
ADBB7CEB 4A98E784 7AFED51B 583E9393 956948B5 4F1BD053 8965CA94 48E51754
B8473108 237AD512 FDE7D045 05579A2D 73843BA7 6CEC6E95 133EDB08 2FC1E1EA
65C1C8DD 78CDABE1 81F5C2F9 FA477BFD C41C4632 5D23A357 5ECC9307 058AB04C
02463E1B F950D037 12F1
quit
!
!
!
!
!
!
--More-- ip dhcp pool grm_phones
network 10.2.X.0 255.255.255.0
dns-server X
default-router X
!
!
!
no ip domain lookup
ip cef
no ipv6 cef
!
!
cts logging verbose
license udi pid CISCO881-K9 sn X
!
! !
!
! no cdp run
!
!
!
!
!
!
!
!
!
!
!
interface Tunnel0
ip address 172.16.X.X 255.255.255.0
ip tcp adjust-mss 1379
tunnel source Dialer0
tunnel destination X
!
interface Tunnel1
description 2Gourme_Office
ip address X 255.255.255.0
ip mtu 1450
tunnel source Dialer0
--More-- tunnel destination X
!
interface Tunnel2
description 2UK
ip address X 255.255.255.252
tunnel source Dialer0
tunnel destination X
!
interface Tunnel3
ip address X 255.255.255.0
tunnel source X
tunnel destination X
!
interface FastEthernet0
no ip address
!
interface FastEthernet1
no ip address
!
interface FastEthernet2
no ip address
!
interface FastEthernet3
--More-- switchport trunk native vlan 408
no ip address
!
interface FastEthernet4
description $ETH-WAN$
no ip address
duplex auto
speed auto
!
interface FastEthernet4.960
encapsulation dot1Q 960
pppoe enable group global
pppoe-client dial-pool-number 1
no cdp enable
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
ip address X 255.255.255.0 secondary
ip address X 255.255.255.248
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1412
!
--More-- interface Dialer0
ip address negotiated
ip nat outside
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname X
ppp chap password 7 X
ppp pap sent-username Xpassword 7 X
no cdp enable
!
interface Dialer1
no ip address
no cdp enable
!
ip forward-protocol nd
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
--More-- !
ip nat inside source route-map MAP_NAT interface Dialer0 overload
ip nat inside source static tcp X.40 22 X.Y22 extendable
ip nat inside source static tcp X.40 80 X.Y80 extendable
ip nat inside source static tcp X.11 1521 X.Y 1521 extendable
ip nat inside source static tcp X.40 3600 X.Y 3600 extendable
ip nat inside source static tcp X.6 3389 X.Y 33389 extendable
ip nat inside source static tcp X.2 3389 X.Y 33899 extendable
ip nat inside source static tcp X.11 3389 X.Y 44445 extendable
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 10.0.0.0 255.0.0.0 Tunnel0
ip route 10.1.200.0 255.255.255.0 Tunnel1
ip route 192.168.1.0 255.255.255.0 Tunnel2
ip route 192.168.10.0 255.255.255.0 Tunnel3
!
dialer-list 1 protocol ip permit
!
route-map MAP_NAT permit 10
match ip address 102
!
access-list 1 remark INSIDE_IF=Vlan1
access-list 1 remark CCP_ACL Category=2
access-list 1 permit 10.10.10.0 0.0.0.7
--More-- access-list 23 permit 10.10.10.0 0.0.0.7
access-list 23 permit 10.0.0.0 0.255.255.255
access-list 102 deny ip any host 80.150.183.34
access-list 102 permit ip host X.110 any
access-list 102 permit ip host X.120 any
access-list 102 permit tcp any any eq 993
access-list 102 permit udp any any eq 993
access-list 102 permit tcp any any eq 465
access-list 102 permit udp any any eq 465
access-list 102 permit tcp host X.240 any eq domain
access-list 102 permit udp host X.240 any eq domain
access-list 102 permit ip host X.240 any
access-list 102 permit ip host X.240 host 62.148.237.159
access-list 102 permit ip host X.5 any
access-list 102 permit ip host X.6 any
access-list 102 permit ip host X.4 any
access-list 102 permit ip host X.2 any
access-list 102 permit ip host X.7 any
access-list 102 permit ip host X.8 any
access-list 102 permit ip host X.11 any
access-list 102 permit ip host X.131 any
access-list 102 permit ip host X.132 any
access-list 102 permit ip host X.133 any
--More-- access-list 102 permit ip host X.134 any
access-list 102 permit ip host X.135 any
access-list 102 deny ip any any
access-list 104 permit tcp any any eq 33389
access-list 104 permit tcp any any eq 22
access-list 104 deny ip any host 88.150.183.34
access-list 104 permit ip any any
!
!
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
transport input telnet ssh
!
!
end RT.201.254-GRM#
ноу проблем
X - заменил 3 первых октета внутренней сетки.
X.Y - внешний адрес
- NAT + Asterisk безбожно хакают, Andrey, 14:00 , 16-Мрт-15 (5)
>>>>[оверквотинг удален] 1. Зачем вам NAT через route-map? У вас 2 ИСП с распределением доступа для пользователей? Сделайте стандартный NAT через ACL.
2. Повесьте ACL на внешний (или внутренний интерфейс) интерфейс, а не через NAT ограничивайте доступ.
- NAT + Asterisk безбожно хакают, Nvbulashev, 15:01 , 16-Мрт-15 (6)
>>>>>[оверквотинг удален]
> 1. Зачем вам NAT через route-map? У вас 2 ИСП с распределением
> доступа для пользователей? Сделайте стандартный NAT через ACL.
> 2. Повесьте ACL на внешний (или внутренний интерфейс) интерфейс, а не через
> NAT ограничивайте доступ.1. Не вижу принципиальной разницы. Так привык :) переделаю конечно ради эксперимента
2. Как при этом не похерить весь исходящий трафик и туннелированный? Понимаю вопрос ламерский, машина удаленная, reload in не выход, днем там бизнес критичные ресурсы. Андрей, спасибо Вам большое за помощь, но как все же разобраться откуда черти лезут? Я сканирую порты - они ведь закрыты! Я поставил IPTABLES на Asterisk Вот честно сжиженый конфиг, на его безошибочность не претендую *mangle
:PREROUTING ACCEPT [48:5495]
:INPUT ACCEPT [48:5495]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [53:5502]
:POSTROUTING ACCEPT [53:5502]
COMMIT *filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0] # LOCAL ROUTING RULES
-A FORWARD -s ХХ.0/24 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -s //SIP PROV -j ACCEPT
-A INPUT -i eth1 -p tcp --dport 22 -j REJECT --reject-with icmp-host-prohibited
-A INPUT -i eth1 -p tcp --dport 53 -j REJECT --reject-with icmp-host-prohibited
-A INPUT -i eth1 -p tcp --dport 80 -j REJECT --reject-with icmp-host-prohibited
-A INPUT -i eth1 -p tcp --dport 111 -j REJECT --reject-with icmp-host-prohibited
-A INPUT -i eth1 -p tcp --dport 999 -j REJECT --reject-with icmp-host-prohibited
-A INPUT -i eth1 -p tcp --dport 3306 -j REJECT --reject-with icmp-host-prohibited
-A INPUT -i eth1 -p udp --dport 22 -j REJECT --reject-with icmp-host-prohibited
-A INPUT -i eth1 -p udp --dport 53 -j REJECT --reject-with icmp-host-prohibited
-A INPUT -i eth1 -p udp --dport 80 -j REJECT --reject-with icmp-host-prohibited
-A INPUT -i eth1 -p udp --dport 111 -j REJECT --reject-with icmp-host-prohibited
-A INPUT -i eth1 -p udp --dport 999 -j REJECT --reject-with icmp-host-prohibited
-A INPUT -i eth1 -p udp --dport 3306 -j REJECT --reject-with icmp-host-prohibited
COMMIT *nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0] -A POSTROUTING -s ХХ.0/24 -o eth1 -j MASQUERADE
COMMIT
Пакеты все равно валятся, хотя щас понимаю что вероятно порты 5060 и 5061 открыты...
но щас злоумышленник джэйлится на 10 минут и пыл у него поутих.
- NAT + Asterisk безбожно хакают, ShyLion, 18:54 , 16-Мрт-15 (7)
# show ip nat tanslations | inc внутренний_айпи_сервера_кстати_какой_он?
- NAT + Asterisk безбожно хакают, Nvbulashev, 18:58 , 16-Мрт-15 (8)
> # show ip nat tanslations | inc внутренний_айпи_сервера_кстати_какой_он?Щас атаки прекратились, поэтому трансляций нет, а так они были, это самое удивительное!!! Внутренний адрес 10.Х.Х.240.
- NAT + Asterisk безбожно хакают, Nvbulashev, 19:06 , 16-Мрт-15 (9)
> # show ip nat tanslations | inc внутренний_айпи_сервера_кстати_какой_он?udp EXTIP:5061 LOCALNET.240:5061 23.239.65.10:5076 23.239.65.10:5076
udp EXTIP:5061 LOCALNET.240:5061 23.239.65.10:5092 23.239.65.10:5092
udp EXTIP:5061 LOCALNET.240:5061 62.148.237.159:5060 62.148.237.159:5060 <-- SIP_PROV
tcp EXTIP:34894 LOCALNET.240:34894 68.178.213.203:25 68.178.213.203:25
tcp EXTIP:35195 LOCALNET.240:35195 68.178.213.203:25 68.178.213.203:25
tcp EXTIP:35262 LOCALNET.240:35262 68.178.213.203:25 68.178.213.203:25
tcp EXTIP:35351 LOCALNET.240:35351 68.178.213.203:25 68.178.213.203:25
tcp EXTIP:35374 LOCALNET.240:35374 68.178.213.203:25 68.178.213.203:25
tcp EXTIP:35734 LOCALNET.240:35734 68.178.213.203:25 68.178.213.203:25
tcp EXTIP:51193 LOCALNET.240:51193 68.178.213.37:25 68.178.213.37:25
tcp EXTIP:51194 LOCALNET.240:51194 68.178.213.37:25 68.178.213.37:25
tcp EXTIP:51277 LOCALNET.240:51277 68.178.213.37:25 68.178.213.37:25
tcp EXTIP:51505 LOCALNET.240:51505 68.178.213.37:25 68.178.213.37:25
tcp EXTIP:51921 LOCALNET.240:51921 68.178.213.37:25 68.178.213.37:25
tcp EXTIP:51974 LOCALNET.240:51974 68.178.213.37:25 68.178.213.37:25 все кроме сип провайдера - левак
- NAT + Asterisk безбожно хакают, Andrey, 21:59 , 16-Мрт-15 (10)
>[оверквотинг удален]
> tcp EXTIP:35351 LOCALNET.240:35351 68.178.213.203:25 68.178.213.203:25
> tcp EXTIP:35374 LOCALNET.240:35374 68.178.213.203:25 68.178.213.203:25
> tcp EXTIP:35734 LOCALNET.240:35734 68.178.213.203:25 68.178.213.203:25
> tcp EXTIP:51193 LOCALNET.240:51193 68.178.213.37:25 68.178.213.37:25
> tcp EXTIP:51194 LOCALNET.240:51194 68.178.213.37:25 68.178.213.37:25
> tcp EXTIP:51277 LOCALNET.240:51277 68.178.213.37:25 68.178.213.37:25
> tcp EXTIP:51505 LOCALNET.240:51505 68.178.213.37:25 68.178.213.37:25
> tcp EXTIP:51921 LOCALNET.240:51921 68.178.213.37:25 68.178.213.37:25
> tcp EXTIP:51974 LOCALNET.240:51974 68.178.213.37:25 68.178.213.37:25
> все кроме сип провайдера - левак TCP сессии - SMTP на p3plibsmtp03-v01.prod.phx3.secureserver.net - вам должно быть виднее что за почта там ходит.
По поводу UDP что на 23.239.65.10 - нужно разбираться. А проще закрыть ACL на внешнем интерфейсе, если действительно левак.
- NAT + Asterisk безбожно хакают, Nvbulashev, 05:51 , 17-Мрт-15 (11)
>[оверквотинг удален]
>> tcp EXTIP:51194 LOCALNET.240:51194 68.178.213.37:25 68.178.213.37:25
>> tcp EXTIP:51277 LOCALNET.240:51277 68.178.213.37:25 68.178.213.37:25
>> tcp EXTIP:51505 LOCALNET.240:51505 68.178.213.37:25 68.178.213.37:25
>> tcp EXTIP:51921 LOCALNET.240:51921 68.178.213.37:25 68.178.213.37:25
>> tcp EXTIP:51974 LOCALNET.240:51974 68.178.213.37:25 68.178.213.37:25
>> все кроме сип провайдера - левак
> TCP сессии - SMTP на p3plibsmtp03-v01.prod.phx3.secureserver.net - вам должно быть виднее
> что за почта там ходит.
> По поводу UDP что на 23.239.65.10 - нужно разбираться. А проще закрыть
> ACL на внешнем интерфейсе, если действительно левак.Почта? С Астериска)))) ничего не настраивал! 23.239.65.10 - это адрес злоумышленника, однозначно видел в логах.
- NAT + Asterisk безбожно хакают, ShyLion, 19:13 , 17-Мрт-15 (15)
IOS не пробовал обновить? У сиськи тоже погромисты не идеальны.
- NAT + Asterisk безбожно хакают, Nvbulashev, 20:57 , 17-Мрт-15 (17)
> IOS не пробовал обновить? У сиськи тоже погромисты не идеальны.Как раз обновил не за долго до нежелательной активности....
Обновил на последний доступный в сети для 877 Cisco IOS Software, C880 Software (C880DATA-UNIVERSALK9-M), Version 15.4(3)M, RELEASE SOFTWARE (fc1)
- NAT + Asterisk безбожно хакают, ShyLion, 07:25 , 18-Мрт-15 (20)
>> IOS не пробовал обновить? У сиськи тоже погромисты не идеальны.
> Как раз обновил не за долго до нежелательной активности....
> Обновил на последний доступный в сети для 877 Последний не значит лучший. Попробуй ветки 15.1M, 15.3M. Ради эксперемента попробуй ip nat inside source list. Повсему какая-то хрень с ALG.
- NAT + Asterisk безбожно хакают, Nvbulashev, 07:51 , 18-Мрт-15 (21)
>>> IOS не пробовал обновить? У сиськи тоже погромисты не идеальны.
>> Как раз обновил не за долго до нежелательной активности....
>> Обновил на последний доступный в сети для 877
> Последний не значит лучший. Попробуй ветки 15.1M, 15.3M.
> Ради эксперемента попробуй ip nat inside source list.
> Повсему какая-то хрень с ALG.Сделал НАТ через лист, reload, трансляции остались... даже увеличились. Может это сборка астериска с закладкой? как понять? Nethogs акромя ssh ничего не показывает, как unknown...
- NAT + Asterisk безбожно хакают, ShyLion, 08:01 , 18-Мрт-15 (23)
>>>> IOS не пробовал обновить? У сиськи тоже погромисты не идеальны.
>>> Как раз обновил не за долго до нежелательной активности....
>>> Обновил на последний доступный в сети для 877
>> Последний не значит лучший. Попробуй ветки 15.1M, 15.3M.
>> Ради эксперемента попробуй ip nat inside source list.
>> Повсему какая-то хрень с ALG.
> Сделал НАТ через лист, reload, трансляции остались... даже увеличились.
> Может это сборка астериска с закладкой? как понять? Nethogs акромя ssh ничего
> не показывает, как unknown...Покапчи траффик на астериске tcpdump'ом, увидишь кто инициатор.
- NAT + Asterisk безбожно хакают, ShyLion, 08:09 , 18-Мрт-15 (24)
udp EXTIP:5061 LOCALNET.240:5061 23.239.65.10:5076 23.239.65.10:5076
udp EXTIP:5061 LOCALNET.240:5061 23.239.65.10:5092 23.239.65.10:50925061 это SIP с TLS, там по идее сертификаты проверятся должны... если я правильно понимаю, только работает ли это по UDP? Учитывая, что у тебя с этого-же сокета есть сеанс к провайдеру:
udp EXTIP:5061 LOCALNET.240:5061 62.148.237.159:5060 62.148.237.159:5060 <-- SIP_PROV
то соединение наружу ОТ астериска а не наоборот. Не исключено что проблема не в астериске а например в локалке есть плохиши, вирусы/трояны. Ты внутренних ебонентов авторизуешь хоть как-то???? Смотри логи, tcpdump, на предмет инициации сеанса изнутри ЧЕРЕЗ астериск.
- NAT + Asterisk безбожно хакают, ShyLion, 07:55 , 18-Мрт-15 (22)
>>> IOS не пробовал обновить? У сиськи тоже погромисты не идеальны.
>> Как раз обновил не за долго до нежелательной активности....
>> Обновил на последний доступный в сети для 877
> Последний не значит лучший. Попробуй ветки 15.1M, 15.3M.
> Ради эксперемента попробуй ip nat inside source list.
> Повсему какая-то хрень с ALG.Контракта нет?
- NAT + Asterisk безбожно хакают, PavelR, 08:27 , 17-Мрт-15 (12)
> Я сканирую порты - они ведь закрыты! Я поставил IPTABLES на Asterisk
> Вот честно сжиженый конфиг, на его безошибочность не претендую Ну надо хоть маленько задумываться над тем, что делаете и как это работает.
Если не понимаете как работает, то, я надеюсь, вы хотя бы понимаете, чего хотите добиться?
Если это понимаете, то что, неужели так сложно проверить, работает ли оно так, как вы ожидаете? У вас файрволл, открытый по-умолчанию. Упоминаний 5060 5061 в нем нет - т.е. они не закрыты. > Пакеты все равно валятся, хотя щас понимаю что вероятно порты 5060 и
> 5061 открыты...
> но щас злоумышленник джэйлится на 10 минут и пыл у него поутих. ....
- NAT + Asterisk безбожно хакают, Nvbulashev, 08:37 , 17-Мрт-15 (13)
>[оверквотинг удален]
> Если не понимаете как работает, то, я надеюсь, вы хотя бы понимаете,
> чего хотите добиться?
> Если это понимаете, то что, неужели так сложно проверить, работает ли оно
> так, как вы ожидаете?
> У вас файрволл, открытый по-умолчанию. Упоминаний 5060 5061 в нем нет -
> т.е. они не закрыты.
>> Пакеты все равно валятся, хотя щас понимаю что вероятно порты 5060 и
>> 5061 открыты...
>> но щас злоумышленник джэйлится на 10 минут и пыл у него поутих.
> ....Павел, я представляю, что необходимо сделать на IPTABLES. Пока делать этого не стал, тк интересно понять почему пропускает CISCO NAT. Почитайте топик сначала - я прошу помочь разобраться где брешь, а не как закрыть.
- NAT + Asterisk безбожно хакают, PavelR, 09:48 , 17-Мрт-15 (14)
> Павел, я представляю, что необходимо сделать на IPTABLES. Пока делать этого не
> стал, тк интересно понять почему пропускает CISCO NAT. Почитайте топик сначала Да как бы .... одно другому не мешает. Пока у меня НЕ сложилось впечатления о том, что вы представляете, "что необходимо сделать на IPTABLES". Радует глаз и применение фильтрации UDP по портам 22,80,3306. > - я прошу помочь разобраться где брешь, а не как закрыть.
> - Почта? С Астериска)))) ничего не настраивал! Вы уже разобрались, что является источником SMTP-сессий с хоста вашего Asterisk или "поржали и поуху, я ничего не настраивал" ? >Я поставил IPTABLES на Asterisk 1) Зачем тогда приведен факт использования вами IPTABLES?
2) Указанное применение iptables выглядит бесполезным с точки зрения обеспечения безопасности Asterisk, при этом всё выглядит так, как будто вы видите защиту от этого решения. В частности, правило >-A INPUT -i eth1 -s //SIP PROV -j ACCEPT не имеет никакой значимости. Его наличие или отсутствие, в контексте обсуждаемой задачи, ничего не меняет.
- NAT + Asterisk безбожно хакают, ShyLion, 19:17 , 17-Мрт-15 (16)
Ну чего ты придрался? Явно же видно что нет порт-форварда вовнутрь, а трансляции создаются.
Если конечно конфиг ВЕСЬ показан.
- NAT + Asterisk безбожно хакают, Nvbulashev, 21:01 , 17-Мрт-15 (19)
> Ну чего ты придрался? Явно же видно что нет порт-форварда вовнутрь, а
> трансляции создаются.
> Если конечно конфиг ВЕСЬ показан.конфиг вес, смысла мне лукавить...
- NAT + Asterisk безбожно хакают, PavelR, 13:14 , 18-Мрт-15 (27)
> Ну чего ты придрался? Явно же видно что нет порт-форварда вовнутрь, а
> трансляции создаются.
> Если конечно конфиг ВЕСЬ показан.Да мало ли. пока не было разъяснено, почему вдруг PBX шлет почту наружу, можно было предполагать, что PBX затроянена, сама умеет инициировать трансляции для себя, а затем уже что-то по SIP-у пытается состыковаться.
- NAT + Asterisk безбожно хакают, Nvbulashev, 21:01 , 17-Мрт-15 (18)
>[оверквотинг удален]
> Вы уже разобрались, что является источником SMTP-сессий с хоста вашего Asterisk или
> "поржали и поуху, я ничего не настраивал" ?
>>Я поставил IPTABLES на Asterisk
> 1) Зачем тогда приведен факт использования вами IPTABLES?
> 2) Указанное применение iptables выглядит бесполезным с точки зрения обеспечения безопасности
> Asterisk, при этом всё выглядит так, как будто вы видите защиту
> от этого решения. В частности, правило
>>-A INPUT -i eth1 -s //SIP PROV -j ACCEPT
> не имеет никакой значимости. Его наличие или отсутствие, в контексте обсуждаемой задачи,
> ничего не меняет.1. Если я сейчас сделаю по дефолту политику дроп, открою только исходящие соединения и входящие из локальной сети, то мы сразу потеряем все следы нежелательной активности.
2. По поводу почтового трафика, подскажите как изловить? У меня этот вопрос возникает регулярно.
Nethogs помогает только в онлайне. Tcpdump не фиксирует процесс генерирующий трафик.
3. IPtables ставил паровозом с fail2ban
- NAT + Asterisk безбожно хакают, Andrey, 12:23 , 18-Мрт-15 (25)
>[оверквотинг удален]
>>>-A INPUT -i eth1 -s //SIP PROV -j ACCEPT
>> не имеет никакой значимости. Его наличие или отсутствие, в контексте обсуждаемой задачи,
>> ничего не меняет.
> 1. Если я сейчас сделаю по дефолту политику дроп, открою только исходящие
> соединения и входящие из локальной сети, то мы сразу потеряем все
> следы нежелательной активности.
> 2. По поводу почтового трафика, подскажите как изловить? У меня этот вопрос
> возникает регулярно.
> Nethogs помогает только в онлайне. Tcpdump не фиксирует процесс генерирующий трафик.
> 3. IPtables ставил паровозом с fail2ban 1. Логи ведутся? Сохраняйте на внешний носитель (сетевой диск, флешку, настройте удаленный syslog).
2. Логи ведутся? Изучайте. В Linux есть команда netstat. Один из ключей показывает процесс, который открывает порт. Дальше копать почему, кто и какое содержимое пересылается.
3. При чем тут iptables на локальной машине с Asterisk. Закройте периметр. Потом изучайте что происходит на сервере и в локальной сети. Судя по тому, что вы не понимаете что происходит в вашей сети, то вам явно нужен кто-то, кто сможет разобраться что происходит и как это исправить. Форумы в данном конкретном случае не самое хорошее решение в соотношении "скорость решения/качество/стоимость".
- NAT + Asterisk безбожно хакают, Nvbulashev, 13:10 , 18-Мрт-15 (26)
>[оверквотинг удален]
> syslog).
> 2. Логи ведутся? Изучайте. В Linux есть команда netstat. Один из ключей
> показывает процесс, который открывает порт. Дальше копать почему, кто и какое
> содержимое пересылается.
> 3. При чем тут iptables на локальной машине с Asterisk. Закройте периметр.
> Потом изучайте что происходит на сервере и в локальной сети.
> Судя по тому, что вы не понимаете что происходит в вашей сети,
> то вам явно нужен кто-то, кто сможет разобраться что происходит и
> как это исправить. Форумы в данном конкретном случае не самое хорошее
> решение в соотношении "скорость решения/качество/стоимость".Андрей, Вы извините, но у меня ощущение, что это Вы не понимаете о чем речь. 1. Логи чего? *\Fail2Ban\Cisco? 2. Я вам не единожды говорил что закрыв периметр, закрыв все файрволом, предмет исследования будет исчерпан, будут устранены последствия, а не причина. 2а) Запустил netstat -pan (это ключи о которых вы вероятно говорите) отключил iptables чтобы разбанить злоумышленника. netstat не показывает соединений с ним. Хотя в астер так же валят пакеты. и попытки звонка. Либо нетстатом не удается изловить краткосрочное соединение, либо оно не детектится нетстатом по другим причинам. [root@localhost log]# netstat -pan | grep 23.
tcp 0 52 ASTERHOST:22 10.1.201.6:53635 ESTABLISHED 8723/sshd
udp 0 0 ASTERHOST:123 0.0.0.0:* 1120/ntpd
udp 0 0 127.0.0.1:123 0.0.0.0:* 1120/ntpd
udp 0 0 0.0.0.0:123 0.0.0.0:* 1120/ntpd
udp 0 0 fe80::215:5dff:fe55:6f05:123 :::* 1120/ntpd
udp 0 0 ::1:123 :::* 1120/ntpd
udp 0 0 :::123 :::* 1120/ntpd
unix 2 [ ] DGRAM 44568 8723/sshd
unix 3 [ ] STREAM CONNECTED 10723 1370/master
[root@localhost log]#
2б) Обмен почтой шлет сам астер, видать пытается сообщить, что есть не обновленные модули. Криминала нет.
Mar 18 14:41:18 localhost postfix/smtp[36770]: 17428140936: to=<none@yourpbx.com>, relay=mailstore1.secureserver.net[72.167.238.29]:25, delay=197798, delays=197797/0.02/1.6/0, dsn=4.0.0, status=deferred (host mailstore1.secureserver.net[72.167.238.29] refused to talk to me: 554 p3plibsmtp01-08.prod.phx3.secureserver.net bizsmtp IB106. 3.кто-то, я так понимаю это вы? нет, спасибо, налить "воды" под соусом того, что я чего-то не понимаю в своей сети за деньги мне не надо))). Тем более на лицо не понимание корня проблемы и попытка увода в сторону. - NAT + Asterisk безбожно хакают, ShyLion, 13:30 , 18-Мрт-15 (28)
> [root@localhost log]# netstat -pan | grep 23.Не уверен, что астериску есть необходимость открывать отдельный UDP сокет для этих целей. Он может окрыть один и слать датаграммы с него. Это тебе не TCP. Смотри мои сообщения выше, возможно источник не снаружи а внутри!
- NAT + Asterisk безбожно хакают, suharik71, 13:13 , 25-Мрт-15 (29)
Особо в конфиги не вникал, но могу сообщить что подобное поведение (активность 25 порта) да и вообще какая либо другая левая активность у меня наблюдалась на сборках как AsteriskNOW так и на Elastix. Эластикс вообщем волшебным образом весь канал 10 мбит клал. Что за волшебный суслик там сидит и что он хотел я не стал разбираться. Снес сборку поставил голый астер. Ну при необходимости можно потом freePBX прикрутить. Есть не авторитетное мнение что в этих сборках уже что то из образа запулено не хорошее. Или хорошее, но не понятное, чем пользуются суслики партизаны. Мои беглые просмотры netstat, настройки iptables ни к чему не приводили - левый трафик как шел так и шел.
Посему - я бы снес сею сборку и поставил голого астера и прикрутил freePBX на вашем месте. Делается это все за 20-30 минут.
- NAT + Asterisk безбожно хакают, ShyLion, 06:45 , 27-Мрт-15 (30)
> Особо в конфиги не вникалЭто называется "метод научного тыка".
|
Версия для распечатки
NAT + Asterisk безбожно хакают, 
