Wo ist die Lücke?

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
M

mase

Guest
Hallo!
Ich hab heut von der Telekom die Mitteilung bekommen, dass vermehrt Auslandsgespräche
geführt wurden. Meine Logs reichen nicht mehr weit genug zurück. Ich kann mir nicht erklären,
wo die Lücke ist.
Hier meine sip.conf:
Code: 
[general]
allowguest=no
udpbindaddr=0.0.0.0
tcpbindaddr=0.0.0.0
transport=udp
srvlookup=yes
maxexpiry=3600
minexpiry=240
defaultexpiry=3600
disallow=all
allow=alaw
allow=ulaw
allow=gsm
allow=h261
allow=h263
allow=h263p
allow=h264
allow=mpeg4
autoframing=yes
language=de
videosupport=yes
textsupport=yes
alwaysauthreject=yes
nat=yes



register => account1
register => account2



[external-standard](!)
trustrpid=no
context=sip-in
type=peer
insecure=port,invite
disallow=all
allow = alaw
allow = ulaw
allow = gsm
directmedia=no



[DTAG-IP](external-standard)
defaultuser=secret
authuser=secret
secret=secret
host=tel.t-online.de
fromdomain=tel.t-online.de
qualify=yes

[DTAG-IP_IN1](external-standard)
host=217.0.16.26

[DTAG-IP_IN2](external-standard)
host=217.0.16.90

[DTAG-IP_IN3](external-standard)
host=217.0.16.106

[DTAG-IP_IN4](external-standard)
host=217.0.16.154

[DTAG-IP_IN5](external-standard)
host=217.0.16.170

[DTAG-IP_IN6](external-standard)
host=217.0.16.230

[DTAG-IP_IN101](external-standard)
host=217.0.17.26

[DTAG-IP_IN102](external-standard)
host=217.0.17.90

[DTAG-IP_IN103](external-standard)
host=217.0.17.106

[DTAG-IP_IN104](external-standard)
host=217.0.17.154

[DTAG-IP_IN105](external-standard)
host=217.0.17.170

[DTAG-IP_IN106](external-standard)
host=217.0.17.230



[11]
type=friend
context=username
callerid="username" <11>
defaultuser=username
secret=secret
host=dynamic
mailbox=11
qualify=yes
directmedia=no
und meine extensions.conf:
Code: 
[general]



[default]



[username]
include => internal
include => sip-in
include => sip-out
include => voicemail
include => clock
include => echotest
include => parkedcalls



[internal]
exten => _[1-3]X,1,Dial(SIP/${EXTEN}&DAHDI/g1/${EXTEN},20)
exten => _[1-3]X,n,VoiceMail(${EXTEN})

exten => 101,1,Playback(conf-thereare)
exten => 101,n,MeetMeCount(101)
exten => 101,n,Playback(conf-peopleinconf)
exten => 101,n,MeetMe(101)

exten => 102,1,Playback(conf-thereare)
exten => 102,n,MeetMeCount(102)
exten => 102,n,Playback(conf-peopleinconf)
exten => 102,n,MeetMe(102)



[sip-in]
exten => <meinenummer1>,1,GotoIf(${BLACKLIST()}?black,1)
exten => <meinenummer1>,n,Dial(SIP/11&SIP/12&SIP/13&SIP/21&SIP/22&SIP/23&DAHDI/g1/10,30)
exten => <meinenummer1>,n,Voicemail(11&21)

exten => <meinenummer2>,1,GotoIf(${BLACKLIST()}?black,1)
exten => <meinenummer2>,n,VoiceMailMain

exten => black,1,Playback(tt-monkeys)
exten => black,n,Hangup()



[sip-out]
exten => _0.,1,Set(CALLERID(name)=<meinenummer1>)
exten => _0.,n,Set(CALLERID(num)=<meinenummer1>)
exten => _0.,n,Dial(SIP/${EXTEN}@DTAG-IP,30,tr)

exten => _+.,1,Set(CALLERID(name)=<meinenummer1>)
exten => _+.,n,Set(CALLERID(num)=<meinenummer1>)
exten => _+.,n,Dial(SIP/${EXTEN}@DTAG-IP,30,tr)


[voicemail]
exten => 88,1,VoiceMailMain(${CALLERID(num)},s)
exten => 80,1,VoiceMailMain



[echotest]
exten => 82,1,answer
exten => 82,n,wait,1
exten => 82,n,playback,demo-echotest
exten => 82,n,echo
exten => 82,n,playback,demo-echodone
exten => 82,n,hangup



[clock]
exten => 81,1,Answer
exten => 81,n,Wait(2)
exten => 81,n,SayUnixTime( | | k)
exten => 81,n,SayUnixTime( | | M)
exten => 81,n,Hangup
Wo könnte das Problem liegen?
fail2ban ist auch eingerichtet.
 
Das potenzielle Problem ist - sofern die entsprechenden Gespräche nicht absichtlich (von einem Berechtigten) geführt wurden - der interne SIP-Account (11).
Du läßt grundsätzlich zu, dass der SIP-Account nicht nur aus dem internen Netz (das auch nicht definiert ist, Stichwort: localnet, externhost und externrefresh bzw. externip), sondern auch aus dem Internet benutzt werden kann.
Dies kann dazu genutzt werden, den Account (11) zu "kapern", indem per BruteForce das Passwort erraten wird. Da kann zwar fail2ban helfen, das hängt aber wieder von den dortigen Einstellungen ab.

Einfachste und schnellste Besserungsmethode:
Passwort für Account direkt ändern (natürlich auch am Client) auf einen eher zufälligen Wert (z.B. mit pwgen -s 20).
Zusätzlich - so der Clientzugang nur im Intranet gebraucht wird - noch den IP-Bereich der zulässigen Anmeldungen für 11 einschränken mit
Code: 
contactdeny=0.0.0.0/0.0.0.0
contactpermit=192.168.1.0/255.255.255.0

(im Beispiel unterstellen wir ein Lokalnet mit IP 192.168.1.0 und Netmask 255.255.255.0, das musst Du naturgemäß an Deine Umgebung anpassen.

Dies sollte direkt helfen.
 
Also liegt das Problem nur in einer Bruteforce Attacke?
Die fail2ban Einstellungen sind Debian Standard, nur dass
die Asterisk Einstellungen aktiviert wurden.
Ist default_perm=permit unter general in der cli_permissions.conf ok?
Das ist die Standardeinstellung in Debian.
 
Zuletzt bearbeitet von einem Moderator:
Im fail2ban ist entscheidend, wie viele "Fehlversuche" je IP erlaubt sind. Darüber hinaus kommt es darauf an, welche Asterisk-Version Du genau verwendets: Es gab einige Zeit einen Bug in Asterisk, der bei BruteForce-Attacken immer die eigene IP lieferte, so dass Fail2Ban nichts gesperrt hat. In aktuellen Asterisk-Versionen ist dies behoben.
Allerdings kannst Du tatsächlich über Nutzung von contactdeny/contactpermit (bei Intranet-Nebenstellen oder solchen mit fester IP) sehr wirksam solche Szenarien bekämpfen.
cli_permissons sind hier unkritisch, der kritische Pfad sind die Callrechte der SIP-Nebenstellen (die dürfen ja alles) und demnach die Absicherung dieser Nebenstellen durch Einschränkung der IP-Ranges sofern möglich und entsprechender Passwörter (die man ggf. auch mal wechselt).
 
Hallo

ich habe gerade deinen Beitrag gefunden.

abw1oim hat dir ja schon eine Menge Tipps gegeben. Vielen Dank von meiner Seite dafür! Hoffentlich findest du schnell das Haar in der Suppe und kannst wieder sicher sein, dass du selbst telefoniert hast.

Viele Grüße
Natalie von Telekom hilft
 
Werte Natalie,

ziemlich sinnfreies Posting. Ist die Werbestrategie der Telekom in jedem Thread mit Telekominhalt irgendwie präsent zu sein?
Ansonsten setzen wir jetzt auch alle in jedem Thread unser Dankeschön?

Viele Grüsse von

Chilango aus Mexiko hilft

oder auch nicht ;)
 
Zuletzt bearbeitet:
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 485 (Mitglieder: 9, Gäste: 476)

Neueste Beiträge

Statistik des Forums

Themen
246,273
Beiträge
2,249,292
Mitglieder
373,862
Neuestes Mitglied
904lte
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück