Hacker in meinem Asterisk Server

[MaverrickTM]

...
es muss echt mal direkt festeingetragen werden das allowguest=no default drin steht in der config von asterisk
meine Meinung dazu.

Es ist eigentlich allgemein bekannt, dass allowguest per default erlaubt wird. Des Weiteren ist das wie mit jeder Software bzw. wie mit jedem Dienst den man im WAN anbietet: Man sollte genau wissen was man tut und nicht nur stur irgendwelchen howto's folgen und sich auf andere verlassen. Da ist sowas vorprogrammiert! Es ist ja nicht so, dass allowguest alleine das Problem wäre... Es ist nur in Kombination mit einem offenem default-Context gefährlich und dieser wird ganz alleine vom Betreiber des Servers aufgebaut!

Im übrigen scheint Deine Shift-Taste einen defekt zu haben.

 

[Starwing]

Hallo MaverickTM,

das die Shift Taste ein defekt hatte hab ich bemerkt , aber das war vom Kunden ausgeschrieben.
hab mein Text nun auch verbessert.

Naja als Anfänger ist des schon besser ,wenn man gleich mit der HowTo darauf hingewiesen wird das man diesen "allowguest=no" mit reintippt , somit kann man dies den Anfängern gleich mitlernen lassen und warum der Befehl sein muss, als Später dann die Rechnung von seinen Telefonprovider präsentiert zubekommen.

Lg
Starwing.

 

[xrated]

Hier http://www.dslreports.com/forum/r26964016-Asterisk-Changing-default-SIP-Port nimmt jemand den Mund sehr voll:

UDP ist connection less, kennt also keine states wie new oder established.

Man könnte das auch so machen, erstmal alles flushen und alles erlauben:

iptables -F
iptables -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

Jetzt die Rules für Inbound

iptables -A INPUT -i eth0 -p udp --source sipserver.domain.dns --dport 5060 -j ACCEPT
iptables -A INPUT -i eth0 -p udp --source 192.168.1.0/24 -dport 5060 -j ACCEPT
iptables -A INPUT -i eth0 -p udp --dport 5060 -j DROP

Der Name wird einmalig beim einlesen der Rule aufgelöst. Falls die IP vom ISP sich ändern sollte, könnte man das ja in cron packen. Wer die SIP Registry überwacht z.B. mit Nagios, der bekommt es auch so mit.

Und für ausgehendes Zeug:

iptables -A OUTPUT -o eth0 -p udp --destination sipserver.domain.dns --dport 5060 -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp --destination 192.168.1.0/24 --dport 5060 -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp --dport 5060 -j DROP

Für iptables Logging oben nicht -j DROP sondern z.B. -j LOGGING angeben und:

iptables -N LOGGING
iptables -A LOGGING -m limit --limit 2/min -j LOG --log-prefix "IPTables-Dropped-SIP: "
iptables -A LOGGING -j DROP

 

[xrated]

Und hier noch eine andere Version, das ganze als fertiges init script, werde da wohl auch noch gucken ob man L7-filter einbauen kann

/etc/init.d/rules (unter ubuntu/debian mit "update-rc.d rules defaults" aktivieren)

#!/bin/sh
#############
###<Notes>###
#############
# iptables script used to control sip traffic only to specific network/hosts
# note: stopping this script will erase all iptables rules
# 2013 by xrated
##############
###</Notes>###
##############


### BEGIN INIT INFO
# Provides:          rules
# Required-Start:    $network
# Required-Stop:     $network
# Should-Start:
# Should-Stop:
# Default-Start:     2 3 4 5
# Default-Stop:      0 1 6
# Short-Description: iptables rules for sip.
# Description:       iptables rules for sip.
### END INIT INFO


#######################
##Start Configuration##
#######################

sipport="5060"
nic="eth0"
localnet="192.168.2.0/24"
sippeer[1]="0xxxxx.sip.arcor.de"
sippeer[2]="sip.personal-voip.de"


#######################
###END CONFIGURATION###
#######################
PATH=/sbin:/usr/sbin:/bin:/usr/bin
DAEMON=/sbin/iptables

# Gracefully exit if the package has been removed.
test -x $DAEMON || exit 0

d_show() {
 iptables -L
}

d_start() {

 if [ $sipport -gt 0 ] && [ $nic != "" ]; then

     #allow all loopback traffic
     iptables -A INPUT -i lo -j ACCEPT
     iptables -A OUTPUT -o lo -j ACCEPT
    
     #allow SIP in your local lan
     if [ $localnet != "" ]; then
     iptables -A INPUT -i $nic -p udp --source $localnet --dport $sipport -j ACCEPT
     iptables -A OUTPUT -o $nic -p udp --destination $localnet --dport $sipport -j ACCEPT
     fi

     #allow SIP to/from all defined sip peers
     if [ $sippeer[1] != "" ]; then
         echo -e "\n"
         for peer in "${!sippeer[@]}"
	 do
	     iptables -A INPUT -i $nic -p udp --source ${sippeer[$peer]} --dport $sipport -j ACCEPT
	     iptables -A OUTPUT -o $nic -p udp --destination ${sippeer[$peer]} --dport $sipport -j ACCEPT
	     echo "sip peer ${sippeer[$peer]} added"
         done
     fi    
     
     iptables -N LOGGING 
     #all remaining sip traffic will be sent to chain LOGGING
     iptables -A INPUT -i $nic -p udp --dport $sipport -j LOGGING
     iptables -A OUTPUT -o $nic -p udp --dport $sipport -j LOGGING
     iptables -A LOGGING -m limit --limit 2/min -j LOG --log-prefix "IPTables-Dropped-SIP "
     iptables -A LOGGING -j DROP
     
 fi
}

d_stop() {
 iptables -F
 iptables -X
 iptables -P INPUT ACCEPT
 iptables -P FORWARD ACCEPT
 iptables -P OUTPUT ACCEPT 
}



case "$1" in
  start)
	echo -n "Starting $DESC: $NAME"
	d_start
	echo -e "\n"
	;;
  stop)
	echo -n "Stopping $DESC: $NAME"
	d_stop
	echo -e "\n"
	;;
  restart|force-reload)
	echo -n "Restarting $DESC: $NAME"
	d_stop
	sleep 1
	d_start
	;;
  show)
	echo -n "Checking $DESC: $NAME"
	d_show
	echo -e "\n"
	;;
  *)
	echo "Usage: $SCRIPTNAME {start|stop|restart|force-reload|show}" >&2
	exit 1
	;;
esac

exit 0

 

[aaa007]

@alle

mein Asterisk wurde vom Gaza-Streifen aus geknackt, Lehrgeld zum Glück nur 10 EUR.

Dann habe ich den default-Kontext trocken gelegt (wie oben beschrieben)

Der Versuch, IP-Strecken zu blockieren, erwies sich als sinnlos, da das Ganze schnell über
Proxy Server in den USA umgangen wurde. Meine Lösung:
/etc/hosts.deny (asterisk: ALL) + /etc/hosts.allow mit Eintrag asterisk: 192........ für das
interne LAN und asterisk: *.web.v____.de, um den Zugang über UMTS zu ermöglichen

dann war Ruhe.
Gruß AAA007

 

[xrated]

vergiss nicht die Verbindung zum Sip Provider

Edit sagt:
Hier mein neues init script für Asterisk:
https://sourceforge.net/projects/astipupdate

Es wird nach dem Start nur der SIP traffic erlaubt, wessen DNS Namen (oder IP Adressen) im Script angegeben sind.
Wichtig ist das man localnet korrekt angibt, sonst gehen keine Telefone.

Falls sich die IP vom VOIP Anbieter ändern sollte, ruft man das Script einfach regelmäßig mit updatepeer auf.
Ein Eintrag in Cron (um Peer Adressen upzudaten) wäre z.B.:
*/5 * * * * root /etc/init.d/astipupdate updatepeer &> /dev/null

Wenn man sehr lange Register Intervalle hat, kann man das Script mit updatepublic aufrufen, um sip.conf neu zu laden damit die Registrierung bei IP Änderung sofort wieder funktioniert und nicht erst wenn sie normal abläuft. Man könnte hier auch gleich seinen dyndns Eintrag ändern mit einer zusätzlichen Zeile.

 

[xyxy]

Hallo zusammen,

bei so vielen Probleme vergeht einem ja fast die Lust. Was ist denn wenn ich meine Asterisk mit Sipgate betreiben würde. Die rechnen aktuell immer Prepaid bei mir ab. Habe das meistens nur 10€ Guthaben drauf, weil das meistens reicht.
Dann sollte doch der Hacker zumindest nach Aufbrauch des Guthabens keine Chance mehr haben, oder übersehe ich etwas?

Viele Grüße

 

[Manawyrm]

Hallo xyxy,

Ja, in diesem Fall könnte dir ein Angreifer natürlich nur dein vorhandenes Guthaben "abziehen".

Viele Grüße,
Tobias

 

[xrated]

Wenn man keine Telefone in anderen unbekannten public IP Ranges hat, kann man mit iptables das ganze so absichern das garantiert niemand reinkommt.

 

[aaa007]

alles richtig, xyxy, tobi31061, xrated.
Grundsätzlich doch bitte
-leeren default-Kontext (oder eínen mit honey-Pott)
-sichere client-Passwörter.
viele Grüße

 

[xrated]

Und auch kein type=friend, vor allem nicht in Zusammenhang mit insecure=invite. friend erstellt ein zusätzliches User Objekt und damit kann das Setting im host übergangen werden. Ein User wird in 99% nicht notwendig sein.
http://kb.smartvox.co.uk/asterisk/secure-asterisk-pbx-part-2/

Die Nutzung eines default Context inkl allowguest lässt sich leider nicht immer vermeiden, vor allem wenn der Provider mehrere Peers nutzt wie z.B. 1&1, Telekom. Ich hätte ja den Vorschlag das man bei Asterisk einen Range definiert für das host matching d.h. für eingehende Anrufe die von anderen IPs als der registrierten kommen, aber da kam bis jetzt keinerlei Rückmeldung. Würde die Sicherheit erhöhen und dürfte nicht so wahnsinnig schwierig zu programmieren sein, mir selbst fehlt nur leider das Wissen in C++. Vielleicht auch dadurch das permit/deny nicht nur für Security sondern auch fürs host matching verwendet wird.

 

[MET]

Beobachte seit kurzer Zeit jemanden der mit einer (für mich) neuen Methode versucht ein Opfer zu finden. Etwa alle halbe Stunde versucht er via meinem Asterisk eine bestimmte 870er Nummer in UK anzurufen, dies ist immer die gleiche Nummer jedoch immer mit anderer Vorwahl. Im Messages-File sieht dies so aus:

[Jun  7 00:18:53] NOTICE[17509] chan_sip.c: Call from '' to extension '810810448708757743' rejected because extension not found.
[Jun  7 00:19:13] WARNING[17509] chan_sip.c: Maximum retries exceeded on transmission 7e69545c5e27707ad609c493e8589dab for seqno 1 (Critical Response) -- See doc/sip-retransmit.txt.
[Jun  7 00:51:43] NOTICE[17509] chan_sip.c: Call from '' to extension '8000448708757743' rejected because extension not found.
[Jun  7 00:52:03] WARNING[17509] chan_sip.c: Maximum retries exceeded on transmission ae02f71883e8401ac411126195e549e3 for seqno 1 (Critical Response) -- See doc/sip-retransmit.txt.
[Jun  7 01:24:28] NOTICE[17509] chan_sip.c: Call from '' to extension '8800448708757743' rejected because extension not found.
[Jun  7 01:24:48] WARNING[17509] chan_sip.c: Maximum retries exceeded on transmission 32cd9883fe2915d1a9d94d42066d1b4e for seqno 1 (Critical Response) -- See doc/sip-retransmit.txt.
[Jun  7 01:56:50] NOTICE[17509] chan_sip.c: Call from '' to extension '88800448708757743' rejected because extension not found.
[Jun  7 01:57:10] WARNING[17509] chan_sip.c: Maximum retries exceeded on transmission d65d530bc1eeef7969e9696d0e3d6c22 for seqno 1 (Critical Response) -- See doc/sip-retransmit.txt.
[Jun  7 02:29:13] NOTICE[17509] chan_sip.c: Call from '' to extension '7000448708757743' rejected because extension not found.
[Jun  7 02:29:33] WARNING[17509] chan_sip.c: Maximum retries exceeded on transmission 3321099e94a5bbed3c4859f633013259 for seqno 1 (Critical Response) -- See doc/sip-retransmit.txt.
[Jun  7 03:01:16] NOTICE[17509] chan_sip.c: Call from '' to extension '7700448708757743' rejected because extension not found.
[Jun  7 03:01:36] WARNING[17509] chan_sip.c: Maximum retries exceeded on transmission 9e7f0302c4f1d79ee03aa4175fb97031 for seqno 1 (Critical Response) -- See doc/sip-retransmit.txt.
[Jun  7 03:33:21] NOTICE[17509] chan_sip.c: Call from '' to extension '77700448708757743' rejected because extension not found.
[Jun  7 03:33:41] WARNING[17509] chan_sip.c: Maximum retries exceeded on transmission 8c14447a5506c1b451b4f42218ac5ae5 for seqno 1 (Critical Response) -- See doc/sip-retransmit.txt.
[Jun  7 04:05:24] NOTICE[17509] chan_sip.c: Call from '' to extension '6000448708757743' rejected because extension not found.
[Jun  7 04:05:44] WARNING[17509] chan_sip.c: Maximum retries exceeded on transmission d6ee339fdff3a4c1feacd71ae4e912c2 for seqno 1 (Critical Response) -- See doc/sip-retransmit.txt.
[Jun  7 04:36:40] NOTICE[17509] chan_sip.c: Call from '' to extension '6600448708757743' rejected because extension not found.
[Jun  7 04:37:00] WARNING[17509] chan_sip.c: Maximum retries exceeded on transmission 1151504850eefd50860985df2f1a212b for seqno 1 (Critical Response) -- See doc/sip-retransmit.txt.
[Jun  7 05:07:59] NOTICE[17509] chan_sip.c: Call from '' to extension '66600448708757743' rejected because extension not found.
[Jun  7 05:08:19] WARNING[17509] chan_sip.c: Maximum retries exceeded on transmission 3538cf1dee484e6b8e2d306edbc0c41f for seqno 1 (Critical Response) -- See doc/sip-retransmit.txt.
[Jun  7 05:39:13] NOTICE[17509] chan_sip.c: Call from '' to extension '5000448708757743' rejected because extension not found.
[Jun  7 05:39:33] WARNING[17509] chan_sip.c: Maximum retries exceeded on transmission c5feaa0272207c5bb75841b9d6d8d3dd for seqno 1 (Critical Response) -- See doc/sip-retransmit.txt.
[Jun  7 06:10:28] NOTICE[17509] chan_sip.c: Call from '' to extension '5500448708757743' rejected because extension not found.
[Jun  7 06:10:48] WARNING[17509] chan_sip.c: Maximum retries exceeded on transmission 02733cd1cd179c26b97a6958326eb0fb for seqno 1 (Critical Response) -- See doc/sip-retransmit.txt.
[Jun  7 06:41:49] NOTICE[17509] chan_sip.c: Call from '' to extension '55500448708757743' rejected because extension not found.
[Jun  7 06:42:09] WARNING[17509] chan_sip.c: Maximum retries exceeded on transmission cd4ac3858fedbc24df83fb47ea9fbd10 for seqno 1 (Critical Response) -- See doc/sip-retransmit.txt.
[Jun  7 07:13:04] NOTICE[17509] chan_sip.c: Call from '' to extension '4000448708757743' rejected because extension not found.
[Jun  7 07:13:24] WARNING[17509] chan_sip.c: Maximum retries exceeded on transmission caacc76ea51a113448f952bef7e416a6 for seqno 1 (Critical Response) -- See doc/sip-retransmit.txt.
[Jun  7 07:44:16] NOTICE[17509] chan_sip.c: Call from '' to extension '4400448708757743' rejected because extension not found.
[Jun  7 07:44:36] WARNING[17509] chan_sip.c: Maximum retries exceeded on transmission 0aa1500efbdda39fb2ea307dc9561f82 for seqno 1 (Critical Response) -- See doc/sip-retransmit.txt.
[Jun  7 08:15:32] NOTICE[17509] chan_sip.c: Call from '' to extension '44400448708757743' rejected because extension not found.
[Jun  7 08:15:52] WARNING[17509] chan_sip.c: Maximum retries exceeded on transmission e537a750816637926237d61cddb9baab for seqno 1 (Critical Response) -- See doc/sip-retransmit.txt.
[Jun  7 08:46:46] NOTICE[17509] chan_sip.c: Call from '' to extension '1000448708757743' rejected because extension not found.
[Jun  7 08:47:06] WARNING[17509] chan_sip.c: Maximum retries exceeded on transmission c3405dea7250dadf99bc04995096ffbf for seqno 1 (Critical Response) -- See doc/sip-retransmit.txt.
[Jun  7 09:17:59] NOTICE[17509] chan_sip.c: Call from '' to extension '1100448708757743' rejected because extension not found.
[Jun  7 09:18:19] WARNING[17509] chan_sip.c: Maximum retries exceeded on transmission 2d642e925d761d9291baca9d0753d6b7 for seqno 1 (Critical Response) -- See doc/sip-retransmit.txt.
[Jun  7 09:49:36] NOTICE[17509] chan_sip.c: Call from '' to extension '11100448708757743' rejected because extension not found.
[Jun  7 09:49:56] WARNING[17509] chan_sip.c: Maximum retries exceeded on transmission a5ff734b22c1605da809373297bf592a for seqno 1 (Critical Response) -- See doc/sip-retransmit.txt.
[Jun  7 10:21:15] NOTICE[17509] chan_sip.c: Call from '' to extension '111100448708757743' rejected because extension not found.
[Jun  7 10:21:35] WARNING[17509] chan_sip.c: Maximum retries exceeded on transmission 7f5949316ed72ce4a523400a435807ad for seqno 1 (Critical Response) -- See doc/sip-retransmit.txt.
[Jun  7 10:52:41] NOTICE[17509] chan_sip.c: Call from '' to extension '90900448708757743' rejected because extension not found.
[Jun  7 10:53:01] WARNING[17509] chan_sip.c: Maximum retries exceeded on transmission 99d150fc63ba85d9e5da31d33187dbc4 for seqno 1 (Critical Response) -- See doc/sip-retransmit.txt.
[Jun  7 11:23:56] NOTICE[17509] chan_sip.c: Call from '' to extension '3000448708757743' rejected because extension not found.
[Jun  7 11:24:16] WARNING[17509] chan_sip.c: Maximum retries exceeded on transmission 7a926f31c1dade69e08792d87e8ea38d for seqno 1 (Critical Response) -- See doc/sip-retransmit.txt.
[Jun  7 11:55:09] NOTICE[17509] chan_sip.c: Call from '' to extension '3300448708757743' rejected because extension not found.
[Jun  7 11:55:29] WARNING[17509] chan_sip.c: Maximum retries exceeded on transmission 4627d37ad5e9035e7a6da0f41f68296c for seqno 1 (Critical Response) -- See doc/sip-retransmit.txt.
[Jun  7 12:17:56] NOTICE[17509] chan_sip.c: Call from '' to extension '100' rejected because extension not found.
[Jun  7 12:18:16] WARNING[17509] chan_sip.c: Maximum retries exceeded on transmission 455688070619059533567989 for seqno 1 (Critical Response) -- See doc/sip-retransmit.txt.
[Jun  7 12:26:21] NOTICE[17509] chan_sip.c: Call from '' to extension '33300448708757743' rejected because extension not found.
[Jun  7 12:26:41] WARNING[17509] chan_sip.c: Maximum retries exceeded on transmission 7f0d00291e896fd74223d4f15d8a778c for seqno 1 (Critical Response) -- See doc/sip-retransmit.txt.
[Jun  7 12:57:31] NOTICE[17509] chan_sip.c: Call from '' to extension '2000448708757743' rejected because extension not found.
[Jun  7 12:57:51] WARNING[17509] chan_sip.c: Maximum retries exceeded on transmission be9b4c06834e2cb73217d139ea18d2b6 for seqno 1 (Critical Response) -- See doc/sip-retransmit.txt.
[Jun  7 13:28:41] NOTICE[17509] chan_sip.c: Call from '' to extension '2200448708757743' rejected because extension not found.
[Jun  7 13:29:01] WARNING[17509] chan_sip.c: Maximum retries exceeded on transmission 6d58639b36c2c58f93ce072135c2c5ac for seqno 1 (Critical Response) -- See doc/sip-retransmit.txt.
[Jun  7 13:59:54] NOTICE[17509] chan_sip.c: Call from '' to extension '22200448708757743' rejected because extension not found.
[Jun  7 14:00:14] WARNING[17509] chan_sip.c: Maximum retries exceeded on transmission 2e79fbec4203474d2da2fe5623d30534 for seqno 1 (Critical Response) -- See doc/sip-retransmit.txt.
[Jun  7 14:31:09] NOTICE[17509] chan_sip.c: Call from '' to extension '1448708757743' rejected because extension not found.
[Jun  7 14:31:29] WARNING[17509] chan_sip.c: Maximum retries exceeded on transmission 7d2d3e064ead84c73c11d67ecf747b41 for seqno 1 (Critical Response) -- See doc/sip-retransmit.txt.
[Jun  7 15:02:27] NOTICE[17509] chan_sip.c: Call from '' to extension '2448708757743' rejected because extension not found.
[Jun  7 15:02:47] WARNING[17509] chan_sip.c: Maximum retries exceeded on transmission b21563240b884ac30320146d8249b211 for seqno 1 (Critical Response) -- See doc/sip-retransmit.txt.
[Jun  7 15:33:39] NOTICE[17509] chan_sip.c: Call from '' to extension '3448708757743' rejected because extension not found.
[Jun  7 15:33:59] WARNING[17509] chan_sip.c: Maximum retries exceeded on transmission 99690c1d68860142a0a58e24639588a7 for seqno 1 (Critical Response) -- See doc/sip-retransmit.txt.
[Jun  7 16:04:55] NOTICE[17509] chan_sip.c: Call from '' to extension '4448708757743' rejected because extension not found.
[Jun  7 16:05:15] WARNING[17509] chan_sip.c: Maximum retries exceeded on transmission a928269d1444c9d30ff8d0e499b7dadc for seqno 1 (Critical Response) -- See doc/sip-retransmit.txt.
[Jun  7 16:36:12] NOTICE[17509] chan_sip.c: Call from '' to extension '5448708757743' rejected because extension not found.
[Jun  7 16:36:32] WARNING[17509] chan_sip.c: Maximum retries exceeded on transmission a9ebd0bfe5f1134194d0c2a716691017 for seqno 1 (Critical Response) -- See doc/sip-retransmit.txt.
[Jun  7 17:07:32] NOTICE[17509] chan_sip.c: Call from '' to extension '6448708757743' rejected because extension not found.
[Jun  7 17:07:52] WARNING[17509] chan_sip.c: Maximum retries exceeded on transmission 0a286ca8daa2b7187e2d524ced4f353b for seqno 1 (Critical Response) -- See doc/sip-retransmit.txt.
[Jun  7 17:38:52] NOTICE[17509] chan_sip.c: Call from '' to extension '7448708757743' rejected because extension not found.
[Jun  7 17:39:12] WARNING[17509] chan_sip.c: Maximum retries exceeded on transmission 0312ce71f6189b93ca4b7b9a4b48e0b3 for seqno 1 (Critical Response) -- See doc/sip-retransmit.txt.
[Jun  7 18:10:15] NOTICE[17509] chan_sip.c: Call from '' to extension '10448708757743' rejected because extension not found.
[Jun  7 18:10:35] WARNING[17509] chan_sip.c: Maximum retries exceeded on transmission fc6567847f566ce58cd5e260f1a8583c for seqno 1 (Critical Response) -- See doc/sip-retransmit.txt.
[Jun  7 18:41:37] NOTICE[17509] chan_sip.c: Call from '' to extension '20448708757743' rejected because extension not found.
[Jun  7 18:41:57] WARNING[17509] chan_sip.c: Maximum retries exceeded on transmission e953c77c696f8e71e5f20c69a0f9928d for seqno 1 (Critical Response) -- See doc/sip-retransmit.txt.
[Jun  7 19:12:59] NOTICE[17509] chan_sip.c: Call from '' to extension '30448708757743' rejected because extension not found.
[Jun  7 19:13:19] WARNING[17509] chan_sip.c: Maximum retries exceeded on transmission 0785f3063987c2f33fa20670c0862574 for seqno 1 (Critical Response) -- See doc/sip-retransmit.txt.
[Jun  7 19:44:22] NOTICE[17509] chan_sip.c: Call from '' to extension '40448708757743' rejected because extension not found.
[Jun  7 19:44:42] WARNING[17509] chan_sip.c: Maximum retries exceeded on transmission ca5cc74fb404203655a90f090b880465 for seqno 1 (Critical Response) -- See doc/sip-retransmit.txt.
[Jun  7 20:15:43] NOTICE[17509] chan_sip.c: Call from '' to extension '50448708757743' rejected because extension not found.
[Jun  7 20:16:03] WARNING[17509] chan_sip.c: Maximum retries exceeded on transmission 41e0397b8c43fc8daf93c73f9bdb5875 for seqno 1 (Critical Response) -- See doc/sip-retransmit.txt.
[Jun  7 20:47:06] NOTICE[17509] chan_sip.c: Call from '' to extension '60448708757743' rejected because extension not found.
[Jun  7 20:47:26] WARNING[17509] chan_sip.c: Maximum retries exceeded on transmission 605f984eb261b79d268f822280aefb20 for seqno 1 (Critical Response) -- See doc/sip-retransmit.txt.
[Jun  7 21:18:28] NOTICE[17509] chan_sip.c: Call from '' to extension '70448708757743' rejected because extension not found.
[Jun  7 21:18:48] WARNING[17509] chan_sip.c: Maximum retries exceeded on transmission a8c3459665826c7a1d725544ee04f4af for seqno 1 (Critical Response) -- See doc/sip-retransmit.txt.
[Jun  7 21:49:54] NOTICE[17509] chan_sip.c: Call from '' to extension '80448708757743' rejected because extension not found.
[Jun  7 21:50:14] WARNING[17509] chan_sip.c: Maximum retries exceeded on transmission 9e1259f8f35ad11927c65487c2da3b67 for seqno 1 (Critical Response) -- See doc/sip-retransmit.txt.
[Jun  7 22:21:20] NOTICE[17509] chan_sip.c: Call from '' to extension '11448708757743' rejected because extension not found.
[Jun  7 22:21:40] WARNING[17509] chan_sip.c: Maximum retries exceeded on transmission 09c1d8c6b2afb0c95fd5637af5a01678 for seqno 1 (Critical Response) -- See doc/sip-retransmit.txt.
[Jun  7 22:52:40] NOTICE[17509] chan_sip.c: Call from '' to extension '22448708757743' rejected because extension not found.
[Jun  7 22:53:00] WARNING[17509] chan_sip.c: Maximum retries exceeded on transmission 3584f5360dfd2ff4812cebd50538079b for seqno 1 (Critical Response) -- See doc/sip-retransmit.txt.
[Jun  7 23:23:59] NOTICE[17509] chan_sip.c: Call from '' to extension '33448708757743' rejected because extension not found.
[Jun  7 23:24:19] WARNING[17509] chan_sip.c: Maximum retries exceeded on transmission a83b66d92383d8e6037468d9644748f9 for seqno 1 (Critical Response) -- See doc/sip-retransmit.txt.
[Jun  7 23:59:28] NOTICE[17509] chan_sip.c: Call from '' to extension '44448708757743' rejected because extension not found.
[Jun  7 23:59:48] WARNING[17509] chan_sip.c: Maximum retries exceeded on transmission 9598ce99d025352aead72a63116cd9bf for seqno 1 (Critical Response) -- See doc/sip-retransmit.txt.
[Jun  8 00:39:44] NOTICE[17509] chan_sip.c: Call from '' to extension '55448708757743' rejected because extension not found.
[Jun  8 00:40:04] WARNING[17509] chan_sip.c: Maximum retries exceeded on transmission d6ea77bb0703ea916ddcca1587b6fc8e for seqno 1 (Critical Response) -- See doc/sip-retransmit.txt.
[Jun  8 01:19:26] NOTICE[17509] chan_sip.c: Call from '' to extension '66448708757743' rejected because extension not found.
[Jun  8 01:19:46] WARNING[17509] chan_sip.c: Maximum retries exceeded on transmission cb4fa48ff5836f694c67eff9a8088200 for seqno 1 (Critical Response) -- See doc/sip-retransmit.txt.
[Jun  8 01:59:13] NOTICE[17509] chan_sip.c: Call from '' to extension '77448708757743' rejected because extension not found.
[Jun  8 01:59:33] WARNING[17509] chan_sip.c: Maximum retries exceeded on transmission a4a469020dd1421d209d9242ea071bb6 for seqno 1 (Critical Response) -- See doc/sip-retransmit.txt.
[Jun  8 02:39:01] NOTICE[17509] chan_sip.c: Call from '' to extension '88448708757743' rejected because extension not found.
[Jun  8 02:39:21] WARNING[17509] chan_sip.c: Maximum retries exceeded on transmission c12b972c0808cb81e9604d83d8f907a3 for seqno 1 (Critical Response) -- See doc/sip-retransmit.txt.
[Jun  8 03:18:49] NOTICE[17509] chan_sip.c: Call from '' to extension '+448708757743' rejected because extension not found.
[Jun  8 03:19:09] WARNING[17509] chan_sip.c: Maximum retries exceeded on transmission 6487dab458f5176d18255f2c320ced19 for seqno 1 (Critical Response) -- See doc/sip-retransmit.txt.
[Jun  8 03:58:39] NOTICE[17509] chan_sip.c: Call from '' to extension '9000448708757743' rejected because extension not found.
[Jun  8 03:58:59] WARNING[17509] chan_sip.c: Maximum retries exceeded on transmission 717af8a28950e6f2ab6b945a27f10766 for seqno 1 (Critical Response) -- See doc/sip-retransmit.txt.
[Jun  8 04:32:47] NOTICE[17509] chan_sip.c: Call from '' to extension '9900448708757743' rejected because extension not found.
[Jun  8 04:33:07] WARNING[17509] chan_sip.c: Maximum retries exceeded on transmission e4fc30848d286a9eb9103df76fa89961 for seqno 1 (Critical Response) -- See doc/sip-retransmit.txt.
[Jun  8 05:04:10] NOTICE[17509] chan_sip.c: Call from '' to extension '99900448708757743' rejected because extension not found.
[Jun  8 05:04:30] WARNING[17509] chan_sip.c: Maximum retries exceeded on transmission f9d380d0cdc61554cdc403ebc203a2fb for seqno 1 (Critical Response) -- See doc/sip-retransmit.txt.
[Jun  8 05:35:15] NOTICE[17509] chan_sip.c: Call from '' to extension '999900448708757743' rejected because extension not found.
[Jun  8 05:35:35] WARNING[17509] chan_sip.c: Maximum retries exceeded on transmission 42bcb21b9e977e459a38eaa79a292a04 for seqno 1 (Critical Response) -- See doc/sip-retransmit.txt.
[Jun  8 06:06:14] NOTICE[17509] chan_sip.c: Call from '' to extension '9999900448708757743' rejected because extension not found.
[Jun  8 06:06:34] WARNING[17509] chan_sip.c: Maximum retries exceeded on transmission 5d0dd56402a42544f6619abbd82bbec9 for seqno 1 (Critical Response) -- See doc/sip-retransmit.txt.
[Jun  8 06:37:09] NOTICE[17509] chan_sip.c: Call from '' to extension '99999900448708757743' rejected because extension not found.
[Jun  8 06:37:29] WARNING[17509] chan_sip.c: Maximum retries exceeded on transmission 4f9d67ecee1f07962af9bb32270ca774 for seqno 1 (Critical Response) -- See doc/sip-retransmit.txt.
[Jun  8 07:08:07] NOTICE[17509] chan_sip.c: Call from '' to extension '900000448708757743' rejected because extension not found.
[Jun  8 07:08:27] WARNING[17509] chan_sip.c: Maximum retries exceeded on transmission 1eb6b07a28ffdb286471d609de3250ff for seqno 1 (Critical Response) -- See doc/sip-retransmit.txt.
[Jun  8 07:39:01] NOTICE[17509] chan_sip.c: Call from '' to extension '90000448708757743' rejected because extension not found.
[Jun  8 07:39:21] WARNING[17509] chan_sip.c: Maximum retries exceeded on transmission ec4baa814ff5a56d21f6c79050280bcf for seqno 1 (Critical Response) -- See doc/sip-retransmit.txt.
[Jun  8 08:09:56] NOTICE[17509] chan_sip.c: Call from '' to extension '900900448708757743' rejected because extension not found.
[Jun  8 08:10:16] WARNING[17509] chan_sip.c: Maximum retries exceeded on transmission e838a8fd6891e0564bce1004b6562c97 for seqno 1 (Critical Response) -- See doc/sip-retransmit.txt.
[Jun  8 08:40:53] NOTICE[17509] chan_sip.c: Call from '' to extension '990000448708757743' rejected because extension not found.
[Jun  8 08:41:13] WARNING[17509] chan_sip.c: Maximum retries exceeded on transmission 15c16d0b3cab331b70b8ab29568feec2 for seqno 1 (Critical Response) -- See doc/sip-retransmit.txt.
[Jun  8 09:11:50] NOTICE[17509] chan_sip.c: Call from '' to extension '999000448708757743' rejected because extension not found.
[Jun  8 09:12:10] WARNING[17509] chan_sip.c: Maximum retries exceeded on transmission 7d34c6904ede14f75f12587b2e6e9117 for seqno 1 (Critical Response) -- See doc/sip-retransmit.txt.
[Jun  8 09:42:42] NOTICE[17509] chan_sip.c: Call from '' to extension '990900448708757743' rejected because extension not found.
[Jun  8 09:43:02] WARNING[17509] chan_sip.c: Maximum retries exceeded on transmission c9f5b528dada6256bbc6e581f44c7cb5 for seqno 1 (Critical Response) -- See doc/sip-retransmit.txt.
[Jun  8 10:13:34] NOTICE[17509] chan_sip.c: Call from '' to extension '909900448708757743' rejected because extension not found.
[Jun  8 10:13:54] WARNING[17509] chan_sip.c: Maximum retries exceeded on transmission 751b4d3d1fd6faf9dcc70cf00947af73 for seqno 1 (Critical Response) -- See doc/sip-retransmit.txt.
[Jun  8 10:44:28] NOTICE[17509] chan_sip.c: Call from '' to extension '9099900448708757743' rejected because extension not found.
[Jun  8 10:44:48] WARNING[17509] chan_sip.c: Maximum retries exceeded on transmission 05cac480c1b3aa77bf230c2e81c00645 for seqno 1 (Critical Response) -- See doc/sip-retransmit.txt.
[Jun  8 11:15:26] NOTICE[17509] chan_sip.c: Call from '' to extension '9990900448708757743' rejected because extension not found.
[Jun  8 11:15:46] WARNING[17509] chan_sip.c: Maximum retries exceeded on transmission 0ca4536ac22b6ee1994f181702275d64 for seqno 1 (Critical Response) -- See doc/sip-retransmit.txt.

Die IP ist hier nicht sichtbar. Um zu sehen was da abläuft habe ich zur erwarteten Zeit den Debugger eingeschaltet. Dieser lieferte dann folgendes:

[Jun  8 11:46:32] VERBOSE[17509] logger.c: 
<--- SIP read from IP_US_Provider:5070 --->
INVITE sip:99990900448708757743@IP_mein_Asterisk SIP/2.0
To: 99990900448708757743<sip:99990900448708757743@IP_mein_Asterisk>
From: 1000<sip:1000@IP_mein_Asterisk>;tag=2e02b895
Via: SIP/2.0/UDP IP_US_Provider:5070;branch=z9hG4bK-c9a96c173a65a1c6c7b55e830117c83c;rport
Call-ID: c9a96c173a65a1c6c7b55e830117c83c
CSeq: 1 INVITE
Contact: <sip:1000@IP_US_Provider:5070>
Max-Forwards: 70
Allow: INVITE, ACK, CANCEL, BYE
User-Agent: sipcli/v1.8
Content-Type: application/sdp
Content-Length: 281

v=0
o=sipcli-Session 2061128232 1612946516 IN IP4 IP_US_Provider
s=sipcli
c=IN IP4 IP_US_Provider
t=0 0
m=audio 5075 RTP/AVP 18 0 8 101
a=fmtp:101 0-15
a=rtpmap:18 G729/8000
a=rtpmap:0 PCMU/8000
a=rtpmap:8 PCMA/8000
a=rtpmap:101 telephone-event/8000
a=ptime:20
a=sendrecv

<------------->
[Jun  8 11:46:32] VERBOSE[17509] logger.c: --- (12 headers 13 lines) ---
[Jun  8 11:46:32] VERBOSE[17509] logger.c: Sending to IP_US_Provider : 5070 (no NAT)
[Jun  8 11:46:32] VERBOSE[17509] logger.c: Using INVITE request as basis request - c9a96c173a65a1c6c7b55e830117c83c
[Jun  8 11:46:32] VERBOSE[17509] logger.c: Found no matching peer or user for 'IP_US_Provider:5070'
[Jun  8 11:46:32] VERBOSE[17509] logger.c: Found RTP audio format 18
[Jun  8 11:46:32] VERBOSE[17509] logger.c: Found RTP audio format 0
[Jun  8 11:46:32] VERBOSE[17509] logger.c: Found RTP audio format 8
[Jun  8 11:46:32] VERBOSE[17509] logger.c: Found RTP audio format 101
[Jun  8 11:46:32] VERBOSE[17509] logger.c: Found audio description format G729 for ID 18
[Jun  8 11:46:32] VERBOSE[17509] logger.c: Found audio description format PCMU for ID 0
[Jun  8 11:46:32] VERBOSE[17509] logger.c: Found audio description format PCMA for ID 8
[Jun  8 11:46:32] VERBOSE[17509] logger.c: Found audio description format telephone-event for ID 101
[Jun  8 11:46:32] VERBOSE[17509] logger.c: Capabilities: us - 0xe0e (gsm|ulaw|alaw|g726|speex|ilbc), peer - audio=0x10c (ulaw|alaw|g729)/video=0x0 (nothing), combined - 0xc (ulaw|alaw)
[Jun  8 11:46:32] VERBOSE[17509] logger.c: Non-codec capabilities (dtmf): us - 0x1 (telephone-event), peer - 0x1 (telephone-event), combined - 0x1 (telephone-event)
[Jun  8 11:46:32] DEBUG[17509] chan_sip.c: Our T38 capability = (0), peer T38 capability (0), joint T38 capability (0)
[Jun  8 11:46:32] VERBOSE[17509] logger.c: Peer audio RTP is at port IP_US_Provider:5075
[Jun  8 11:46:32] VERBOSE[17509] logger.c: Looking for 99990900448708757743 in default (domain IP_mein_Asterisk)
[Jun  8 11:46:32] VERBOSE[17509] logger.c: 
<--- Reliably Transmitting (NAT) to IP_US_Provider:5070 --->
SIP/2.0 404 Not Found
Via: SIP/2.0/UDP IP_US_Provider:5070;branch=z9hG4bK-c9a96c173a65a1c6c7b55e830117c83c;received=IP_US_Provider;rport=5070
From: 1000<sip:1000@IP_mein_Asterisk>;tag=2e02b895
To: 99990900448708757743<sip:99990900448708757743@IP_mein_Asterisk>;tag=as736933bd
Call-ID: c9a96c173a65a1c6c7b55e830117c83c
CSeq: 1 INVITE
User-Agent: MyDevice
Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO
Supported: replaces
Content-Length: 0

Die IP ist aus den USA. Ich kann mir vorstellen, dass diese Versuche vom Teilnehmer der 870er UK-Nummer selbst kommen. Wenn es bei ihm klingelt, weiss er, dass er eine Möglichkeit gefunden hat auf Kosten anderer zu telefonieren. Die Asterisk-Profis unter Euch können hier vielleicht noch mehr erkennen.

 

[xrated]

Poste niemals nicht öffentlich SIP Logs!

 

[MET]

Weshalb? Was enthält es noch Brauchbares nach dem die wichtigen Infos anonym gemacht wurden?

 

[xrated]

Nicht konkret in deinem Fal.
Es gibt bestimmte Zeilen die es ermöglichen, dass SIP Passwort rückzuentschlüsseln via Bruteforce.
Weiß aber kaum einer.

 

[MET]

Nicht konkret in deinem Fal.

Habe jetzt sicherheitshalber doch noch auch die IP des US-Providers anonym gemacht.

 

[unrealzocker]

Nicht konkret in deinem Fal.
Es gibt bestimmte Zeilen die es ermöglichen, dass SIP Passwort rückzuentschlüsseln via Bruteforce.
Weiß aber kaum einer.

Dann erleuchte uns welche Zeilen das sein sollen.

 

[PeterPawn]

Dann erleuchte uns welche Zeilen das sein sollen.

SIP setzt bei der Authentifizierung auf ein Challenge-Response-Verfahren, bei dem - neben dem eigentlichen Benutzernamen und dem Kennwort - noch ein Nonce-Wert (vom Server gesendet mit der Aufforderung zur Authentifizierung) in den endgültigen "Authorization"-Header eingeht.

Da dieses Konglomerat anschließend mit MD5 ge"hashed" wird, steht und fällt die Sicherheit der Authentifizierung mit der Sicherheit des MD5-Verfahrens. Allerdings reicht hier - anders als z.B. bei der Prüfung von Zertifikaten - eine einfache Kollision nicht aus, wenn man wirklich das originale Kennwort finden will.

Trotzdem wird MD5 heute allgemein als unzureichend angesehen und man sollte es vermeiden, komplette Authentifizierungsdialoge (also Request, Ablehnung mit Aufforderung zur Authentifizierung (da steht der Nonce-Wert drin) und dann den erfolgreichen Request mit korrektem "Authorization"-Header) zu veröffentlichen. Mindestens der gültige Benutzername (ja auch ein beliebtes Ratespiel bei SIP-Attacken) ließe sich so gleich im Klartext ablesen ...

Ansonsten ist eine Brute-Force-Attacke auf (aktuell stattfindende) SIP-Kommunikation bei ordentlicher Nonce-Länge und -Entropie (das ist das "Salz", das die Nutzung von Rainbow-Tables kompliziert macht) - kombiniert mit einer ordentlichen Kennwort-Länge - glücklicherweise immer noch nicht ganz in der Realität angekommen.

Aber wie es bei irgendwelchen Geheimdiensten mit der Sicherheit von MD5 aussieht und ob dort nicht doch effektivere Verfahren (Hard- und/oder Software) zur Berechnung von MD5-Hashes (und damit zum ausreichend schnellen Durchprobieren - das ist ja "brute force" - der möglichen Kombinationen) existieren, wissen wir alle nicht sicher.

Wenn es aber in absehbarer Zukunft auch anderen möglich sein sollte, MD5-Hashes direkt zu "brechen", steht ein einmal veröffentlichter SIP-Authenticate-Dialog sicherlich immer noch im Internet (wenn es dann noch so genannt wird ;-)) und wenn man dann immer noch dasselbe 32-Zeichen-Zufall-Kennwort verwendet (ich kenne Fälle, da sind Kennwörter seit 15 Jahren nicht geändert), wird es irgendwann mal eng ... und man wundert sich dann, woher die bei dem Angriff das richtige Kennwort hatten.:blonk:

 

[leseratte10]

Sorry fürs "ausbuddeln" dieses alten Threads, aber ich hab ne Frage zu Angriffen auf den Asterisk:

Seit einigen Tagen versucht irgendwer, über meinen Asterisk nach Israel bzw. in die Schweiz zu telefonieren. Er wählt dazu "nummer@meineip" und landet damit im default-Kontext, wo es nur ein "Answer(); Wait(1); Hangup()" zu hören gibt.

Aber wie zum Teufel bekomme ich jetzt die IP des "Angreifers" raus? Muss ich jetzt echt mal einen Tag lang mir die Festplatte "vollmüllen" mit "sip set debug on"?

Gibts n Befehl den ich in den Wählplan einbaue, der das einschaltet? Ein "System(asterisk -rx "sip set debug on")" bringt ja nix, denn dann ist der Anruf ja schon vorbei.

Wenn ich in die Master.csv schau, seh ich da nur meine eigene IP 37.201.xxx.xx (die, die angerufen wurde):

"","2101","99300972598126823","guest","""2101"" <2101>","SIP/37.201.xxx.xx-00000030","","Hangup","","2015-05-16 04:37:12","2015-05-16 04:37:12","2015-05-16 04:37:20",8,8,"ANSWERED","DOCUMENTATION","1431751032.50",""

Was muss ich loggen, um an die IP des Anrufers zu kommen?

 

[aaa007]

wie man sieht, ist der Thread vielleicht alt, aber immer noch aktuell.

gilt für Linux Debian
schau mal unter cat /var/log/auth.log | grep asterisk

nachdem ich den Zugriff auf den Server mit /etc/hosts.allow + hosts.deny massiv eingeschränkt habe, ist Ruhe.
für den Internet Zugriff habe ich in hosts.allow z.B. "asterisk: *.vodafone.de" stehen, um per smartphone / tablet ranzukommen.

die IP Adressen helfen nicht weiter, nachdem ich eine Stecke aus dem Gaza-Streifen gesperrt hatte, wechselte alles
über USA oder andere proxy server.

viele Grüße