Ich darf etwas beitragen und mich damit auch
outen
:newbie:
Heute - genauer gesagt vor 30 Minuten, habe ich wartungsarbeiten am Asterisken gemacht und hatte die CLI auf dem zweiten Schirm, zum Glück. Denn da durfte ich mitlesen wie sich "89.32.214.236" (IP existiert jetzt sogar noch) auf einer "einfachen internen Nebenstelle" mit der sehr intelligenten Nummer "10" angemeldet hat, da "10" ein lokales Gerät ist hatte mich das etwas verdutzt - ich habe schnell für 10 die Rechte auf ein minimum reduziert (bei mir habe ich alle Kontexte die etwas von "Rechten" abgeben per include in die einzelnen Anmeldekontexte gelegt - das war damals "state of the art".
So - nun hatte sich also ein Fremder im Server angemeldet, er tat nichts, ich wartete.
Nach gefühlten 5 Minuten habe ich dann schlichtweg die "10" einfach mal angerufen und es ging ein (nur nach dem Gespräch zu urteilen) - ca. 40 jähriger, gebrochen englisch sprechender Herr sofort an den Apparat, er wirkte verwirrt und ich denke er wusste nicht was der Grund meines Anrufes war, ich erklärte das er sich in einem deutschen Geschäftsserver angemeldet hat - das man so etwas als Hacking bezeichnen könnte und bat ihm seine Konfiguration zu überprüfen.
Der mir angezeigte Useragent war "Zoiper rev.6848" - also ein Softphone, man könnte annehmen das es kein Zufall war das er sich damit verbunden hat.
Meine ganze Sicherheit bisher bestand seit 2005 aus diesen Maßnahmen :
Code:
alwaysauthreject=yes
allowguest=no
Die externen Nutzer haben ein "starkes" Passwort bekommen, jedoch die internen hatten - wie es damals eben üblich war schlichtweg "Nutzer 10, Passwort 10" bekommen.
Was ich nun die letzte Stunde getan habe -
Firewall enger geschlossen, alle Passwörter auf den "extern und starken" Standard mit +12 Zeichen und LowerUpperCase gesetzt. Den DefaultContext nochmals durchgesehen - war aber okay. Sobald eine Fernverbindung gewünscht wird, kommt eine von 5 Rotationsabfragen, PLZ wird abgefragt u.a. - einfache Fragen die jeder im Unternehmen kennen sollte.
Eine permit/deny Regel kann ich leider ohne weiteres nicht setzen ... :
interne Nebenstellen müssen von extern nicht erreichbar sein, daher macht es meiner Meinung nach durchaus Sinn, zulässige IP-Adressen abzugrenzen.
Muss eine externe Nebenstelle mit wechselnder IP eingebunden werden, so würde ich ernsthaft über VPN nachdenken. Snom bietet dafür beispielsweise eine spezielle Firmware an.
Ich darf also über VoIP über VPN nachdenken - ob es dazu kommt kann ich hier noch nicht eingrenzen.
So! Ich denke die Zeit in der man
Asterisk ohne Fremdanmeldungen und böse Menschen nutzen konnte sind somit auch
für mich vorbei.
Links zu diesem Thema (kann man im ganzen Thread finden - hier nochmals an einer Stelle) :
7 Sicherheitstipps von Digium
Fail2Ban aus VoIP-info.org
Ist das nicht doof sich outen zu müssen ?
:-Ö
LG Stefan
EDIT :
Nach dem durchsehen der Logs musste ich so etwas hier finden - das war bisher unentdeckt geblieben ... :
Code:
[Aug 8 10:50:19] NOTICE[9311] chan_sip.c: Registration from '"2991787367"<sip:[email protected]>' failed for '196.37.28.196' - No matching peer found
[Aug 8 10:50:19] NOTICE[9311] chan_sip.c: Registration from '"2488249130"<sip:[email protected]>' failed for '196.37.28.196' - No matching peer found
[Aug 8 10:50:20] NOTICE[9311] chan_sip.c: Registration from '"test"<sip:[email protected]>' failed for '196.37.28.196' - No matching peer found
[Aug 8 10:50:20] NOTICE[9311] chan_sip.c: Registration from '"100"<sip:[email protected]>' failed for '196.37.28.196' - No matching peer found
[Aug 8 10:50:20] NOTICE[9311] chan_sip.c: Registration from '"101"<sip:[email protected]>' failed for '196.37.28.196' - No matching peer found
[...]
[Aug 8 10:52:40] NOTICE[9311] chan_sip.c: Registration from '"9997"<sip:[email protected]>' failed for '196.37.28.196' - No matching peer found
[Aug 8 10:52:40] NOTICE[9311] chan_sip.c: Registration from '"9998"<sip:[email protected]>' failed for '196.37.28.196' - No matching peer found
[Aug 8 10:52:40] NOTICE[9311] chan_sip.c: Registration from '"9999"<sip:[email protected]>' failed for '196.37.28.196' - No matching peer found
Soll heissen - es lief schon ein wenig an Vorbereitung von anderen IPs aus....
EDIT 2
Es kommt noch besser - der besagte Herr (s.o.) hat eine statische IP und versucht das ganze seit 3 Tagen, gescannt wird von einer anderen IP (bisher immer wechselnd), aber angemeldet immer von 89.32.214.236...
EDIT 3
Noch mehr gefunden - es ist oftmals angerufen worden - wen wunderts (es gab aber ein Call-Limit je Nebenstelle) - jedoch auch hier - immer die gleiche Rufnummer von der gleichen IP, also auffindbar. Zugehörigkeit Sambia, Afrika. Ermittlungswahrscheinlichkeit gegen 0
Und noch einer - dann ist die Liste aber leer, ein User des BWC Photo Imaging mit der IP 74.208.43.147 hat sich ebenfalls angemeldet bekommen, ebenfalls die gleiche Sicherheitslücke, Nutzer 32 Pwd 32 - ein interner Apparat ohne Rechte Ferngespräche zu führen.
Mensch Markus - da würde ich behaupten nochmal Glück gehabt zu haben, alle Gespräche summiert sind ~60 ¤ wert...das geht noch als Lerneffekt durch.
EDIT 4
So ziemliche alle Logfiles durchgesucht und es kommt noch mehr - der nette Herr mit der IP 89.32.214.236 - welche sich ja nicht verändert (oder aber eine TOR IP oder sowas ist) hat sich doch glatt noch bei "mopay" seine spielekarte aufgeladen, je anruf kann man 20¤ aufladen - er kam auf 11 Anrufe ... hat aber auch seine persönlichen Daten hinterlegen müssen ... mal schauen.
Ich denke so langsam wird es etwas für die Polizei - will mal hoffen das die statische IP auch einen echten Nutzer hat...
