+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

PAYPAL CASH REWARD!! Фильтр для блокировки злонамеренной SIP-регистрации

PAYPAL CASH REWARD!! Фильтр для блокировки злонамеренной SIP-регистрации, RouterOS

mrwes88

Guest

18.10.2010 17:08:00

Привет всем, В последнее время (почти каждый день) я замечаю попытки регистрации SIP на наших серверах Asterisk. Вот сообщения из логов Asterisk. 17 октября 23:52:29 УВЕДОМЛЕНИЕ[4570] chan_sip.c: Регистрация от ‘“9973”<sip: 9973@XX.99.71.ZZ >’ не удалась для ‘203.86.167.220’ - несоответствие имени пользователя/имени для аутентификации 17 октября 23:52:29 УВЕДОМЛЕНИЕ[4570] chan_sip.c: Регистрация от ‘“9975”<sip: 9975@XX.99.71.ZZ >’ не удалась для ‘203.86.167.220’ - несоответствие имени пользователя/имени для аутентификации 17 октября 23:52:29 УВЕДОМЛЕНИЕ[4570] chan_sip.c: Регистрация от ‘“9979”<sip: 9979@XX.99.71.ZZ >’ не удалась для ‘203.86.167.220’ - несоответствие имени пользователя/имени для аутентификации 17 октября 23:52:29 УВЕДОМЛЕНИЕ[4570] chan_sip.c: Регистрация от ‘“9980”<sip: 9980@XX.99.71.ZZ >’ не удалась для ‘203.86.167.220’ - несоответствие имени пользователя/имени для аутентификации 17 октября 23:52:29 УВЕДОМЛЕНИЕ[4570] chan_sip.c: Регистрация от ‘“9983”<sip: 9983@XX.99.71.ZZ >’ не удалась для ‘203.86.167.220’ - несоответствие имени пользователя/имени для аутентификации 17 октября 23:52:29 УВЕДОМЛЕНИЕ[4570] chan_sip.c: Регистрация от ‘“9984”<sip: 9984@XX.99.71.ZZ >’ не удалась для ‘203.86.167.220’ - несоответствие имени пользователя/имени для аутентификации 17 октября 23:52:29 УВЕДОМЛЕНИЕ[4570] chan_sip.c: Регистрация от ‘“9985”<sip: 9985@XX.99.71.ZZ >’ не удалась для ‘203.86.167.220’ - несоответствие имени пользователя/имени для аутентификации 17 октября 23:52:29 УВЕДОМЛЕНИЕ[4570] chan_sip.c: Регистрация от ‘“9986”<sip: 9986@XX.99.71.ZZ >’ не удалась для ‘203.86.167.220’ - несоответствие имени пользователя/имени для аутентификации 17 октября 23:52:29 УВЕДОМЛЕНИЕ[4570] chan_sip.c: Регистрация от ‘“9987”<sip: 9987@XX.99.71.ZZ >’ не удалась для ‘203.86.167.220’ - несоответствие имени пользователя/имени для аутентификации 17 октября 23:52:29 УВЕДОМЛЕНИЕ[4570] chan_sip.c: Регистрация от ‘“9988”<sip: 9988@XX.99.71.ZZ >’ не удалась для ‘203.86.167.220’ - несоответствие имени пользователя/имени для аутентификации 17 октября 23:52:29 УВЕДОМЛЕНИЕ[4570] chan_sip.c: Регистрация от ‘“9989”<sip: 9989@XX.99.71.ZZ >’ не удалась для ‘203.86.167.220’ - несоответствие имени пользователя/имени для аутентификации 17 октября 23:52:29 УВЕДОМЛЕНИЕ[4570] chan_sip.c: Регистрация от ‘“9990”<sip: 9990@XX.99.71.ZZ >’ не удалась для ‘203.86.167.220’ - несоответствие имени пользователя/имени для аутентификации 17 октября 23:52:29 УВЕДОМЛЕНИЕ[4570] chan_sip.c: Регистрация от ‘“9991”<sip: 9991@XX.99.71.ZZ >’ не удалась для ‘203.86.167.220’ - несоответствие имени пользователя/имени для аутентификации 17 октября 23:52:29 УВЕДОМЛЕНИЕ[4570] chan_sip.c: Регистрация от ‘“9992”<sip: 9992@XX.99.71.ZZ >’ не удалась для ‘203.86.167.220’ - несоответствие имени пользователя/имени для аутентификации 17 октября 23:52:29 УВЕДОМЛЕНИЕ[4570] chan_sip.c: Регистрация от ‘“9993”<sip: 9993@XX.99.71.ZZ >’ не удалась для ‘203.86.167.220’ - несоответствие имени пользователя/имени для аутентификации 17 октября 23:52:29 УВЕДОМЛЕНИЕ[4570] chan_sip.c: Регистрация от ‘“9994”<sip: 9994@XX.99.71.ZZ >’ не удалась для ‘203.86.167.220’ - несоответствие имени пользователя/имени для аутентификации 17 октября 23:52:29 УВЕДОМЛЕНИЕ[4570] chan_sip.c: Регистрация от ‘“9995”<sip: 9995@XX.99.71.ZZ >’ не удалась для ‘203.86.167.220’ - несоответствие имени пользователя/имени для аутентификации 17 октября 23:52:29 УВЕДОМЛЕНИЕ[4570] chan_sip.c: Регистрация от ‘“9996”<sip: 9996@XX.99.71.ZZ >’ не удалась для ‘203.86.167.220’ - несоответствие имени пользователя/имени для аутентификации 17 октября 23:52:29 УВЕДОМЛЕНИЕ[4570] chan_sip.c: Регистрация от ‘“9999”<sip: 9999@XX.99.71.ZZ >’ не удалась для ‘203.86.167.220’ - несоответствие имени пользователя/имени для аутентификации 17 октября 23:52:29 УВЕДОМЛЕНИЕ[4570] chan_sip.c: Регистрация от ‘“10000”<sip: 10000@XX.99.71.ZZ >’ не удалась для ‘203.86.167.220’ - несоответствие имени пользователя/имени для аутентификации Этот хакер просто использует скрипты, чтобы пытаться зарегистрировать SIP-аккаунты с 1 по 10000, и это вызывает перегрузку Asterisk, который пытается ответить на поток из сотен попыток за секунду. Фильтр #8 был установлен, чтобы блокировать попытки с sip_blacklist. Фильтр #9 пытается блокировать любые UDP-пакеты, направленные на порты с 5060 по 5099, с лимитом в 25 попыток за 1 секунду по адресу назначения. Последний фильтр #10 добавит злоумышленника в sip_blacklist. Обратите внимание, что я намерен использовать фильтры, чтобы блокировать SIP-регистрацию на всех серверах Asterisk за маршрутизатором Mikrotik. Я что-то напутал, используя цепочки INPUT и OUTPUT, так как правила 8-10 не работают. 8 ;;; Блокировать брутфорс регистрации SIP chain=input action=drop protocol=udp src-address-list=sip_blacklist dst-port=5060-5099 9 chain=output action=accept protocol=udp dst-port=5060-5099 dst-limit=1,25,dst-address/1m 10 chain=output action=add-dst-to-address-list protocol=udp address-list=sip_blacklist address-list-timeout=4w2d dst-port=5060-5099 Я был бы очень признателен, если бы вы могли прокомментировать и указать мне правильный синтаксис для реализации защиты от попыток взлома SIP-регистрации. Большое спасибо и хорошего дня всем!

poxx Guest	#2 0 16.12.2010 22:29:00 Прочитай это: http://www.sunshinenetworks.com.au/how-to/91-secure-your-voip-server-with-the-sunshinenetworks-knock.html Это решит твою проблему. Удачи!

changeip Guest	#3 0 17.12.2010 00:07:00 Это хорошая идея. Если вы знаете клиентов, которые регистрируются, и не против помочь им вручную настроиться в первый раз, это будет отлично.

pbel88 Guest	#4 0 07.09.2011 15:09:00 Добавление этой строки "alwaysauthreject=yes" в sip.conf очень помогло.

Giepie

Guest

23.02.2014 23:03:00

Привет, ребята! Знаю, что это старая тема, но надеюсь, кто-то сможет помочь. У меня нет проблем с "поимкой" хакеров SIP (UDP:5060), но есть проблема с их блокировкой. Что я имею в виду: если я создаю одно правило фильтрации с IP хакера в качестве источника, счетчики взлетают, и я рад, что весь трафик с этого IP будет "пойман". Но когда пытаюсь использовать Drop или Reject (со всеми его подопциями), мой внешний интерфейс все равно передает данные на полную катушку (максимально заполняя мою исходящую пропускную способность). Я понимаю, что у вас не так много контроля над трафиком между вашим роутером и Интернетом (ваш файрволл применим только к трафику, достигающему "внутренней" части вашего роутера), но, должно быть, есть способ заставить хакера "сдаться"? Например: 2 chain=forward action=reject reject-with=icmp-network-unreachable src-address=188.0.0.0/8 in-interface=pppoe-out1 Я перезагрузил соединение PPPoE (чтобы сбросить все установленные соединения), но через несколько секунд хакер снова возвращается за добавкой. В итоге я создал очередь, чтобы ограничить этот IP до 1bps вверх/вниз. Это был долгий день, и я действительно устал, возможно, я упускаю очевидное, любая помощь (даже если просто толкните меня под дых) будет крайне приветствоваться! Огромное спасибо, ребята!

miahac Guest	#6 0 02.06.2014 23:14:00 Я думаю, что оригинальное решение более эффективно, так как оно просто отслеживает общее количество соединений в секунду, а не проводит глубокий анализ. Оно также заблокирует новую SIP-атаку, при которой входящий звонок выполняется в рамках сканирования, и любое другое анонимное трафик на 5060. Но если это не повлияет, я попробую это.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры