SIP Fraud verhindern - Umfrage und Tipps

ViennaAustria

Neuer User
Mitglied seit
11 Okt 2005
Beiträge
177
Punkte für Reaktionen
0
Punkte
0
Hallo!

Wir sind selbst SIP Provider und haben daher bald schon täglich mit SIP Fraud in irgendeiner Form zu tun. Ich möchte eine Diskussion beginnen, wie wir und andere damit umgehen und wie man es den Hackern möglichst schwer machen kann, ihren Beruf weiter auszuüben.

Beruf?

Ja, denn eine erfolgreich gehackte SIP Anlage eines nichtsahnenden Anwenders kann viele tausend Euro an einem Wochenende einspielen! Den Betrag darf dann der Geschädigte zahlen. Zur Info: bei uns war der bisherige Highscore eines Einzelfalls rund 7.000 Euro!

Wir arbeiten bei SIP faktisch nur mit Asterisk. Ich beziehe mich selbst also nur auf Asterisk - wenngleich viele Mechanismen wohl sehr einfach auf anderen Plattformen eingesetzt werden können.

Wir arbeiten auch nur mit "plain" Asterisk (also selbst downgeloadet und installiert und dann in den Config-Files herumeditiert) und nicht mit vorgefertigten Systemen, die auf Asterisk basieren. Das hauptsächlich deswegen, weil wir nur dann genau wissen, was wann passiert und was man machen kann. Die fertigen Systeme (TrixBox, Gemeinschaft, etc.) sind teilweise nichtmehr zu durchschauen, was sie wie machen - prompt wurden auch zwei Kunden von uns gehackt, die mit so einem Ding gearbeitet haben, weil [zumindest damals] die simpelsten Sicherheitsvorkehrungen gefehlt haben und sich jeder Hacker eine Kopie davon holen und die Schwachstellen darin ausstöbern kann.

Der typische Hack

...beginnt um die Zeit, wo ich das schreibe, also Freitag Nachmittag/Abend, wenn die Firmen den Laden dicht machen. Warum? Dann merkt hoffentlich bis Montag Früh keiner, dass eine Asterisk hijacked wurde und der Hacker kann ungestört Geld verdienen.

Wie verdient man damit Geld?

Auf zwei Arten: erstens kann man Mehrwertnummern anrufen und kommt damit zu Geld. Der Eigentümer der Mehrwertnummer ist zwar natürlich höchst verdächtig, aber solange man ihm nicht nachweisen kann, dass er hinter der Sache steht, bekommt er das Geld ausgezahlt und seilt sich ab. Meist sind die Typen schneller von der Bildfläche verschwunden, als man braucht, um bei der Telekom eine Auskunft zu erhalten, wer überhaupt hinter einer Nummer steht.

Die einfachere Variante ist aber, dass man die gehackten Telefonminuten verkauft. Es gibt eine "Telefonminutenbörse", bei der jeder etwas anbieten oder suchen kann. Jemand kann z.B. 50.000 Minuten nach Namibia zwischen Freitag 18 Uhr und Montag 8 Uhr für x Euro anbieten. Das ist nichts Unübliches! Das kaufen dann ganz renomierte Telcos (die Telekom, Skype, Sprint, MCI, ...) und schicken an dem Wochenende dann die Gespräche ihrer Kunden nach Namibia über diesen Anbieter.

Dieser Anbieter schickt die Calls (oft noch über einen Sub-Anbieter) aber über eine gehackte Aster9isk. Die telefoniert ganz brav per ISDN Karte oder SIP Provideruplink ins PSTN nach Namibia. Zahlen darf dass dann am Monatsende der Eigentümer der gehackten Asterisk. Der Hacker selbst streift die Kohle vom Verkauf der Telefonminuten ein und nach einigen Dutzend dieser Aktionen verschwindet er sicherheitshalber udn macht unter anderer Identität weiter.

Wir können das aus den Logfiles gut mitverfolgen, weil bei fast allen Hacks sämtliche Calls immer dieselbe Landesvorwahl hatten. Eben 50.000 Minuten nach Namibia...

Üblicherweise nehmen Hacker natürlich auch die teuersten Destinationen, weil damit das Meiste rauszuholen ist. Wie auch Geldfälscher wohl kaum 1-Cent-Stücke nachmachen würden, sondern eher Hunderter.


Wie läuft der Hack technisch ab?

Oft schon Wochen vorher sucht ein Scanner alles durch, was auf SIP reagiert (also 5060/udp). Dann versucht er, sich als regulärer Teilnehmer (Nebenstelle) anzumelden. Nachdem die meisten SIP Systeme keine eingebauten Massnahmen gegen Missbrauch haben, geht das sehr bequem für den Hacker per "Brute Force Attack", also indem der Scanner einfach wahllos und so schnell wie möglich Benutzer-Passwort-Kombinationen ausprobiert.

Bei Asterisk ist es üblich, den Usern als Benutzername die Durchwahlnummer zu geben, weil sich's dann sehr einfach programmiert. Dazu noch ein Passwort, dass sich der User gut merken kann und fertig ist die Misere.

Der Scanner probiert als Benutzername also mögliche Durchwahlen aus - Zahlen von 10 bis 99, dann von 100 bis 999, 1000 bis 9999 und manche sogar schon den fünfstelligen Breich, also 10000 bis 99999. Zu jeder Durchwahl gehen sie eine endlose Liste von Passworten durch, mit denen sie dann Anmeldeversuche durchführen. So ein Scan dauert Stunden oder oft sogar Tage!

Logins bei Betriebsystemen (Windows, Unix, Apple, ...) sind üblicherweise gegen Brute Force Verfahren gesichert, denn ab dem 3. falschen Login beginnen sie mit Konsequenzen: das Login wird künstlich verzögert, der User wird für einige Zeit gesperrt, die Verbindung wird getrennt, u.v.a.m. Asterisk kennt davon gar nichts. Man kann bei einer halbwegs schnellen Internetleitung durchaus 30 oder mehr Loginversuche pro Sekunde machen!

Klappt ein Login, wird der Server mit den Logindaten in die Liste der geknackten Systeme aufgenommen. Hier ist meines Ansicht nach Handarbeit fällig, denn nun muss ein Mensch herausfinden, ob der Account brauchbar ist: hat er Amtsberechtigung? Kann ich auch ins Ausland wählen? WIE kann ich rauswählen? Manche brauchen eine Amtsnull - in Amerika ist es meistens die 9 für eine outside line. In vielen Ländern wählt man 00 vor dem Landescode (0049=Deutschland), in Norwegen(?) und derTürkei ist es 99 (9949=Deutschland), in den USA ist es 011 oder 0011 (001149=Deuschland). Da kommen schon einige Kombinationen zusammen, die man durchtesten und sich anhören muss, was passiert. Ich bin ziemlich sicher, dass viele Hacker gar nicht wissen, in welchem Land die Asterisk mit der IP 1.2.3.4 überhaupt ist! Es wird ihnen auch egal sein...

Hat der Hacker alle nötigen Infos (IP, Login, Vorwahl), wird die Asterisk am nächsten Wochenende vergewaltigt und die Telefonminuten verkauft.

In den Logfiles findet man oft bereits Wochen vor dem eigentlichen SIP Fraud ein paar Testcalls, die vom Zeitverhalten her auf menschliche Bedienung schliessen lassen und nicht auf einen Robot. Auch vergehen oft viele Wochen zwischen dem Ausspionieren und dem Fraud. Entweder, weil die Hacker wissen wollen, wie aufmerksam die Systeme überwacht werden, oder, weil sie für die nächsten Wochenenden für die verkauften Telefonminuten eh schon genügend andere Server vorbereitet haben. Denn sobald ein Hack auffliegt und die Calls nichtmehr durchgehen, müssen sie ja gleich 'ne andere Maschine parat haben, um die verkauften 50.000 Minuten auch tatsächlich absetzen zu können! Sonst gibt's Beschwerden von den Endusern.


Was also kann man dagegen tun?

Ganz wichtig scheint mir, in der sip.conf bei den Usern richtige Passworte zu verwenden! Nachdem man die eh meist per Copy&Paste ins Webinterface des Endgeräts einträgt (oder per Mass-Deployment), können die ruhig kompliziert und un-merkbar sein. Ich empfehle unter Linux zumindest `pwgen -s 20´ oder besser `pwgen -sy 50´. Provider sollten es den User nicht ermöglichen, eigene Passworte für den SIP Account einzustellen. Ein Button [neues Zufallspasswort] ist aber nicht schlecht, denn es kann ja mal vorkommen, dass das bisherige Kennwort nichtmehr sicher ist.

Dann weise ich auf mögliche IP Restriktionen hin. Da braucht's gar keine komplizierten Firewallregeln, sondern ebenfalls in der sip.conf generell und/oder pro User:

deny = 0.0.0.0/0.0.0.0
permit = 192.168.0.0/255.255.0.0
permit = 212.236.252.0/255.255.252.0
permit = 212.236.160.224/255.255.255.224

Mit "deny" verbiete ich erstmal jegliche IP Adresse, mit den folgenden "permit" Anweisungen erlaube ich einzelne Netze oder IPs. Nur von dort dürfen sich Clients überhaupt anmelden! Eine der sichersten Sicherungen überhaupt!

Dafür ist es natürlich nötig, dass die Clients nicht an Leitungen mit dynamischer IP Adresse sitzen. Welche IP Adressen man auf einem DSL der Telekom bekommen kann, wissen die wohl selbst auch nicht. :)

Hat man Clients an dynamischen/unbekannten IPs (z.B. Kunden von Sipgate), muss man halt mit guten Passworten leben.

Ebenso sollte man sich überlegen, ob man den Usern wirklich, wie allgemein üblich, die blanke Durchwahl als Username gibt. Wir fügen gerne ein paar Buchstaben vorne oder hinten an. DW11 hat dann nicht den Usernamen "11", sondern "jdu11iwn", DW12 hat "jdu12iwn" usw. Im Dial Kommando an interne DWen gebe ich statt

Dial(SIP/${EXTEN});

einfach

Dial(SIP/jdu${EXTEN}iwn);

an. Das ist dann nicht wirklich komplizierter in der Programmierung, aber der reguläre Hackversuch mit Zahlen als Benutzername scheitert schon gleich kläglich!

Ebenso wichtig ist es, dass man in der [general] Section einen "context" angibt, der anders ist, als alle anderen und vor allem anders, als der, aus dem die braven User kommen. Bei viel zu vielen der gehackten Systeme gab es in [general] ein context=default und aus. Keine Erwähnung eines anderen Contexts!

Warum ist das Wahnsinn?

Weil über den generellen Context die anonymen Calls aus dem Internet kommen! Standardmässig ist bei Asterisk allowguest=yes, also nimmt die Asterisk alle SIP Calls von überall an. [Das ist ja auch ein Sinn von VoIP, dass es bald mal kein Festnetz mehr gibt, weil man eh jeden über ENUM direkt per IP erreichen kann.]

Kommen die anonymen Calls aus demselben Context, wie die von braven Usern, kann man meist schon mit einem Gespräch an die "Nebenstelle" sip:00491234567879@doof-programmierter-server ein Gespräch ins Festnetz auf Kosen des Anlagenbetreibers absezen - ganz ohne, dass man Benutzernamen und Passworte erraten müsste!

Also bitte unbedingt

[general]
context = von-absolut-nicht-vertrauenswuerdiger-quelle
...
[nebenstelle]
context = von-lokaler-nebenstelle

und in den ersten Context baut man entweder gar nix rein, oder man überlegt sich genau, was man erlaubt und was besser nicht! Amtsnullen oder Vorwahlen können recht trickreich in der SIP URL "versteckt" werden!

Weiters kann man SIP Accounts auch einen "Accountcode" zuweisen. Meist wählen wir die Nebenstelle als Accountode, weil dann haben wir alle Parameter im Programmfluss immer bei der Hand (User, Nebenstelle, CallerID). Wenn man allen Nebenstelleneinen Accountcode verpasst, kann man beim Rauswählen zum PSTN (Provider, ISDN, ...) dann eine Sicherheitsabfrage machen und Rauswählen nur erlauben, wenn ein Accountcode (also eine Verrechnungsbasis) vorliegt:

if ( "${CDR(accountcode)}" != "" ) {
Dial(...PSTN...);
}


Weiters möchte ich dringend raten:
  • verwendet AEL statt der alten Asterisk-Konfigsprache mit Zeilennummern. Das ist wesentlich übersichtlicher und damit weniger Fehleranfällig!
  • kommentiert Euren Dialplan! Nach Monaten oder Jahren weiss man oft nichtmehr, warum etwas so gemacht wurde. Ändert man dann etwas, öffnet man damit den Hacken ein Türchen.
  • verwendet Prototypen oder wie das heisst in der sip.conf. Dazu muss man nur an einer Stelle definieren, wie eine Nebenstelle allgemein auszusehen hat, und schreibt dann nur die Unerschiede dazu. Generelle Änderungen sind dann ein Klacks.
[nebenstelle](!)
type = friend
host = dynamic
qualify = yes
nat = no
canreinvite = no
disallow = all
allow = alaw
allow = g722
subscribecontext = subscribe
call-limit = 3
context = from-user
t38pt_udptl = no
callerid = 018899999
deny = 0.0.0.0/0.0.0.0
permit = 212.236.252.0/255.255.252.0
permit = 212.236.160.224/255.255.255.224

[hansi](nebenstelle)
accountcode = 123
secret = sldknjs
vmexten = *9123
mailbox = 123
callgroup = 1

[seppi](nebenstelle)
accountcode = 333
secret = sldknjs
callgroup = 2
permit = 192.168.x.y
callerid = 018899999333


Das waren mal die ganz einfachen Dinge, die jeder in seiner Asterisk Konfiguration beachten sollte, ohne weiter darüber nachzudenken.

Sobald ich wieder ein bissi Zeit finde, möchte ich die aufwändigeren Verfahren beschreiben, mit denen man Hackern die Suppe ganz schön versalzen kann.

tschüss,
Thomas
 
Hat in diesem Zusammenhang vielleicht jemand eine Liste von IP-Ranges bei denen es lohnt sie zu erden?
 
Ich denke nicht, dass sich IP Sperrlisten lohnen.

Im Gegensatz zu Mail Spam, der immer noch als Kavalliersdelikt angesehen wird, geht es bei SIP Fraud ja echt um Geld! D.h., bei jedem Schadensfall wird viel Aufwand gemacht, um einen möglichen Täter herauszufinden. Damit kommen die Angriffe nicht von IP Adressen, die unmittelbar etwas mit den Tätern zu tun haben, sondern von Maschinen, die durch irgendwelche Backdoors gehackt wurden. Ich denke, in den meisten Fällen sind die nur ein paar Tage aktiv, weil deren Provider dutzende Mails an die Abuse-Adresse bekommen mit Beschwerden.

Auch, wenn die Provider sonst nicht reagieren, aber zumindest an den Besitzer des (gehackten) Servers wird 'ne Info gehen, damit der was macht.

Wir haben schon lange beim Mail Spam alle Blacklists wieder rausgeworfen. Die sind einfach zu unaktuell. Bevor eine IP (Range) da draufkommt, ist der ganze Spuk schon längst vorbei. Und runter kommt man von den meisten Blacklists gar nicht mehr.

Ich würde bei SIP gar keine Blacklists einführen wollen.

Einer der heutigen SIP Scans bei uns kam aus Frankreich, drei aus den USA und einer aus China. Die "üblichen Schurkenstaten" waren gar nicht dabei.
 
Hallo Thomas,

viele gute Tipps schlägst du hier vor. Vielen Dank für den Antritt.
[OT] Da das Thema vermutlich auf größeres Interesse stoßen und bald umfangreich werden wird, wäre eine regelmäßige Zusammenfassung geeigneter Maßnahmen im ersten Beitrag wünschenswert. Es wäre nett, wenn du dies übernehmen könntest. Danke. [/OT]

Mein Beitrag zu dieser Diskussion:
Was spricht dagegen, den traditionellen SIP Port 5060 durch einen freien Port z.B. irgendwo zwischen 48620-49150 zu ersetzen? Geschätzte 99 % der Hacker scannen gezielt bekannte Ports.
 
Gute Idee, aber vermutlich ähnlich problematisch, wie das Ändern vom SMTP Port 25/tcp auf einen anderen. SIP tut nun mal mit 5060/udp. Jeder, der sich mit einem SIP System verbinden will, nimmt den Port an.

Ich bin sicher, dass zahlreiche Endgeräte entweder gar keine Möglichkeit bieten, den Port am SIP Server anzugeben, oder dass es nicht oder nur unzureichend funktioniert, wenn man stattdessen beispielsweise 50600 nimmt.

Bei ENUM weiss ich gar nicht, ob man auch einen Port in der SIP URL angeben darf. Unsere ENUM Algorithmen - und vermutlich auch die in vielen Geräten - würden wohl auf ein :50600 in der SIP URL nicht korrekt reagieren.

Nehme ich mal an. Getestet hab ich's nicht, geb' ich zu.

Wenn Du ein "Inselsystem" baust, wie z.B. eine normale ISDN Telefonanlage zu ersetzen, dann ist das sicher legitim. Hier geht's aber einfacher, weil die Apparate meist eh auf einem eigenen LAN hängen, das mit der Aussenwelt nicht kommunizieren kann. Firewallregeln oder deny/permit Regeln auf dieses LAN reichen aus, um es zu isolieren. Damit kann man sich jegliche Probleme mit anderen Ports als 5060 gleich sparen.

Und wenn Du mit der Aussenwelt kommunizieren willst, dann erwartet halt jeder eine Verbindung mit 5060.

Als Provider müssen wir mit der Aussenwelt kommunizieren. :)
 
Gute Idee, aber vermutlich ähnlich problematisch, wie das Ändern vom SMTP Port 25/tcp auf einen anderen. SIP tut nun mal mit 5060/udp. Jeder, der sich mit einem SIP System verbinden will, nimmt den Port an.

Sehe ich anders. Der SIP-Port ist frei wählbar und nicht notwendigerweise 5060. Wenn ein Anbieter davon abweicht, wäre das zwar ungewöhnlich, könnte dem Kunden aber zusammen mit den Zugangsdaten mitgeteilt werden.
Ich bin sicher, dass zahlreiche Endgeräte entweder gar keine Möglichkeit bieten, den Port am SIP Server anzugeben, oder dass es nicht oder nur unzureichend funktioniert, wenn man stattdessen beispielsweise 50600 nimmt.

Mir ist bisher kein Endgerät bekannt das mit einem Port ungleich 5060 Probleme gemacht hätte.

Und wenn Du mit der Aussenwelt kommunizieren willst, dann erwartet halt jeder eine Verbindung mit 5060.

Als Provider müssen wir mit der Aussenwelt kommunizieren. :)

Man könnte die Serverfarm auf der sich die Kunden registrieren durchaus auf einem anderen SIP Port laufen lassen.
Die Maschine mit der Verbindung zum Carrier/trunk kann ohne weiteres auf 5060 laufen. Da spricht nichts dagegen.
Vielleicht handelt man sich tatsächlich Probleme ein. Ein Test z.B. mit den eigenen Mitarbeitern über x Wochen wäre dennoch interessant.



Eine weitere Möglichkeit sind strenge(re) Firewall regeln. Z.B. lassen sich simultane client connection limits, maximale state entries pro host usw. einstellen. Damit sollten scan-Attacken ebenfalls ganz gut abgefangen werden können.
 
Also bitte unbedingt

[general]
context = von-absolut-nicht-vertrauenswuerdiger-quelle
...

Ich habe einen Kontext [default]

Da klingelt es ein paar mal. Dann kommt eine Ansage.

Das hilft mir, falls ein Kontext mal nicht ordentlich funktioniert. Die Ansage kenne ich.
Der Hacker freut sich über seinen Erfolg und darf sich die Ansage anhören, damit er weiss ob er was mit dem "Erfolg" anfangen kann.

Jeder Eingangskontext hat ein include "verboten", dass in seiner Muttersprache erfolgt.
Meine Nutzer wissen warum der Anruf nicht durchgeht und der Hacker hat wieder ein Erfolgserlebnis.

deny/permit ist bei mir fast unmöglich, da die Nutzer aus vielen Ländern stammen.
 
Thomas, Vielen Dank auch von mir für die detaillierte Darlegung der möglichen Probleme.
Hat jemand Erfahrungen in Bezug auf brute force - also ob es nur eine Frage der Zeit ist bis auch längere Zufalls-Passwörter geknackt werden wenn sonst keine Sicherungen bestehen?
 
Ein Passwort wie 43"sdQ583Usj}sd1UX04#1¤sd>s|54!?[ wird keiner in vernünftiger Zeit knacken können. Wenn die Internetverbindung schnell genug ist (viele GB/s) und die CPU einige GHz hat, dann könnte der Angreifer dieses Passwort innerhalb von paar Jahrzehnten vielleicht brutforc-en :)
 
...oder jetzt aus ihrem Wörterbuch ablesen. ;)
 
Die AccountCode-Sicherung haben wir in Verbindung mit einer Tag/Nacht-Schaltung umgesetzt. Nach 18:00 und am Wochenende ist für das "Rauswählen" der persönliche Code einzugeben.
 
Hat jemand Erfahrungen in Bezug auf brute force - also ob es nur eine Frage der Zeit ist bis auch längere Zufalls-Passwörter geknackt werden wenn sonst keine Sicherungen bestehen?

Wir haben auf allen SIP Servern bei Kunden ein SipWatch.pl Script laufen. Das wird mit der Asterisk im RC Script gleich mitgetstartet und liest im Asterisk Logfile mit. Wenn innerhalb von einer Minute +10 Anmeldefehler von einer IP kommen, wird sie mittels `iptables´ für 30 Tage gesperrt.

...sofern es keine IP eines lokalen Netzes ist (also 10/8, 127/8, 172.16/12 oder 192.168/16), um zu verhindern, dass ein falsch eingestelltes lokales SIP Telefon gesperrt wird.

Nachdem jede Sperre auch Infomails an uns auslöst, bekomme ich recht gut mit, was hier an Hackversuchen passiert. Ich bekomme um die 20 Hackversuch-Infomails pro Tag! Meist versuchen's dieselben IPs innerhalb weniger Minuten gleich auf mehreren Asterisken in unserem "Dunstkreis". Allerdings ist jede der IPs immer nur kurze Zeit aktiv. Ich vermute, dass es sich dabei um Rechner handelt, die mittels Malware ge-hijacked werden und deren Besitzer meist selbst von der Sache nichts mitbekommen.

Wir haben überlegt, die Liste der gesperrten IPs global zu verwalten. Also jede Sperre an eine zentrale Datenbank ("Blacklist") zu schicken und von dort an alle SIP Server zu verteilen. Das ist allerdings doch ein Aufwand und macht eigentlich wenig Sinn, denn jeder Hackversuch wird lokal von dem Script sowieso binnen weniger Sekunden erkannt und geblockt.

Wenn es interessant ist, kann ich unser SipWatch.pl mal veröffentlichen.
 
Mehrwertnummern international

Vorerst mal vielen Dank an Thomas für seine ausführlichen Erklärungen.

Wir haben sehr gute Erfahrungen mit fail2ban gemacht um Hackversuche zu erkennen und die IPs zu sperren. Täglich werden bis zu 20 IPs geblockt.

Sicherheitshalber kann man auch alle bekannten internationalen Mehrwertrufnummern gleich mal auf ein Tonband schicken. Da diese Nummern nur zum Zweck des Mehrwertnummernbetrugs eingerichtet wurden, wird das keinen "normale" User stören.

Übersichten über derartige Nummern veröffentlichen die Betreiber ohnehin auf ihren eigenen Websites, z.B.:
http://www.premium-rates.com
http://www.mediatel.com
http://www.premiumtlc.com/
http://maxtis.com/
 
Wir haben sehr gute Erfahrungen mit fail2ban gemacht um Hackversuche zu erkennen und die IPs zu sperren.

fail2ban klingt sehr gut - und ist natürlich weitaus mächtiger, als unser Selbstbau-Tool, das nur SSH und Asterisk überwacht!

Auf welche Patterns im Asterisk Logfile hast Du fail2ban denn bei Dir scharf gemacht? Ich habe bei uns mal nur
Registration from <account> failed for <ip> - No matching peer found
und
Registration from <account> failed for <ip> - Peer is not supposed to register
Gibt's da noch andere sinnvolle Suchmuster?
 
Für fail2ban gibt es auch eine asterisk-Regel.

Funzt hier bei uns sehr gut.


Grüße
Fux
 
Gibt's da noch andere sinnvolle Suchmuster?

Nach langer Beobachtung bin ich derzeit bei folgenden Regeln (mir ist dabei übrigens klar das die dritte Zeile einige andere hinfällig macht, die stammt noch von Tests):

Code:
failregex = NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Wrong password
            NOTICE.* .*: Registration from '.*' failed for '<HOST>' - No matching peer found
            NOTICE.* .*: Registration from '.*' failed for '<HOST>' - .*
            NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Username/auth name mismatch
            NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Device does not match ACL
            NOTICE.* .*: Registration from '.*" .* failed for '<HOST>' - Peer is not supposed to register
            NOTICE.* <HOST> failed to authenticate as '.*'$
            NOTICE.* .*: No registration for peer '.*' \(from <HOST>\)
            NOTICE.* .*: Host <HOST> failed MD5 authentication for '.*' (.*)
            NOTICE.* .*: Failed to authenticate user .*@<HOST>.*
 
Code:
NOTICE.* .*: Registration from '.*" .* failed for '<HOST>' - Peer is not supposed to register

Hallo IEEE, bis auf diese Zeile entspricht das imho dem normalen asterisk-filter von fail2ban. Rein interessehalber, was bzw. welcher Umstand führt dazu, dass Asterisk "Peer is not supposed to register" sagt? Vielen Dank.


Gruß
R.
 
was bzw. welcher Umstand führt dazu, dass Asterisk "Peer is not supposed to register" sagt?

Wenn Du einen "Trunk" zwischen zwei Asterisken definierst - also type=peer - dann muss sich die Gegenstelle nicht mit User/Pass registrieren. Sie wird aufgrund der IP Adresse authorisiert.

Wenn Sie's aber doch macht - üblicherweise nur bei einem Hackversuch - kommt diese Meldung.


...wobei es wahrscheinlich weniger auf den Typ der Gegenstelle ankommt (peer/friend), sondern wohl eher darauf, dass man statt name/secret einen host angibt.
 
Zuletzt bearbeitet:
Richtig, sobald ein host= in der sip.conf angegeben wird, wird jeder Registrierungsversuch als dubios angesehen und es kommt so eine Meldung.
 

Zurzeit aktive Besucher

Statistik des Forums

Themen
246,183
Beiträge
2,247,564
Mitglieder
373,729
Neuestes Mitglied
ChTh
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.