forum.opennet.ru

Составление сообщения

Исходное сообщение

"NAT + Asterisk безбожно хакают"
Отправлено Nvbulashev, 15-Мрт-15 12:57

Всем добрый день!
Началась данная история с установки вот этой сборки
http://downloads.asterisk.org/pub/telephony/asterisk-now/Ast...
в отступлении скажу, что обычно пользовался эластиксом, но эластикс не хотел звонить на этой конфигурации ната, было принято решение заменить этой сборкой. Проблема со звонками успешно решилась.
О текущей схеме подключения:
-Астериск находится в локальной сети с серым адресом
-Маршрутизатор = CISCO 877 сконфигурирован на нат роутемапом и разрешающим аксес листом.
-Астериску разрешено ходить только на хост провайдера
После установки данной сборки было замечено следующее - МЕНЯ ХАКАЮТ!
Как это выражается:
    -- Executing [29700972592377849@from-sip-external:1] NoOp("SIP/XX.XX.XX.XX-00000182", "Received incoming SIP connection from unknown peer to 29700972592377849") in new stack
    -- Executing [29700972592377849@from-sip-external:2] Set("SIP/XX.XX.XX.XX-00000182", "DID=29700972592377849") in new stack
    -- Executing [29700972592377849@from-sip-external:3] Goto("SIP/XX.XX.XX.XX-00000182", "s,1") in new stack
    -- Goto (from-sip-external,s,1)
    -- Executing [s@from-sip-external:1] GotoIf("SIP/XX.XX.XX.XX-00000182", "0?checklang:noanonymous") in new stack
    -- Goto (from-sip-external,s,5)
    -- Executing [s@from-sip-external:5] Set("SIP/XX.XX.XX.XX-00000182", "TIMEOUT(absolute)=15") in new stack
    -- Channel will hangup at 2015-03-15 00:57:11.396 YEKT.
    -- Executing [s@from-sip-external:6] Log("SIP/XX.XX.XX.XX-00000182", "WARNING,"Rejecting unknown SIP connection from 23.239.65.10"") in new stack
[2015-03-15 00:56:56] WARNING[11279][C-00000184]: Ext. s:6 @ from-sip-external: "Rejecting unknown SIP connection from 23.239.65.10"
    -- Executing [s@from-sip-external:7] Answer("SIP/XX.XX.XX.XX-00000182", "") in new stack
    -- Executing [s@from-sip-external:8] Wait("SIP/XX.XX.XX.XX-00000182", "2") in new stack
    -- Executing [s@from-sip-external:9] Playback("SIP/XX.XX.XX.XX-00000182", "ss-noservice") in new stack
    -- <SIP/XX.XX.XX.XX-00000182> Playing 'ss-noservice.ulaw' (language 'en')
    -- Executing [s@from-sip-external:10] PlayTones("SIP/XX.XX.XX.XX-00000182", "congestion") in new stack
    -- Executing [s@from-sip-external:11] Congestion("SIP/XX.XX.XX.XX-00000182", "5") in new stack
  == Spawn extension (from-sip-external, s, 11) exited non-zero on 'SIP/XX.XX.XX.XX-00000182'
    -- Executing [h@from-sip-external:1] Hangup("SIP/XX.XX.XX.XX-00000182", "") in new stack
  == Spawn extension (from-sip-external, h, 1) exited non-zero on 'SIP/XX.XX.XX.XX-00000182'

Что удалось выяснить:
каким то неведомым мне образом появляются нат трансляции на циске. Не смотря на то что в акле астеру разрешено ходить лишь на провайдера воипа.
Адрес реальный. Я сначала подумал что с локалки пакеты валят с машины, а внутри сип пакета подменены адреса, например, чтобы злоумышленник у себя мог приземлить трафик. Но нет! tcpdump показал наличие пакетов именно с этого адреса. Заблочил адрес злоумышленника, атаки возобновились с нового адреса.
Конфига аксес листа
access-list 102 deny   ip any host 80.150.183.34
access-list 102 permit ip host XX.XX.XX.110 any
access-list 102 permit ip host XX.XX.XX.120 any
access-list 102 permit tcp any any eq 993
access-list 102 permit udp any any eq 993
access-list 102 permit tcp any any eq 465
access-list 102 permit udp any any eq 465
access-list 102 permit tcp host XX.XX.XX.240 any eq domain
access-list 102 permit udp host XX.XX.XX.240 any eq domain
access-list 102 permit ip host XX.XX.XX.240 host 62.148.237.159
access-list 102 permit ip host XX.XX.XX.5 any
access-list 102 permit ip host XX.XX.XX.6 any
access-list 102 permit ip host XX.XX.XX.4 any
access-list 102 permit ip host XX.XX.XX.2 any
access-list 102 permit ip host XX.XX.XX.7 any
access-list 102 permit ip host XX.XX.XX.8 any
access-list 102 permit ip host XX.XX.XX.11 any
access-list 102 permit ip host XX.XX.XX.131 any
access-list 102 permit ip host XX.XX.XX.132 any
access-list 102 permit ip host XX.XX.XX.133 any
access-list 102 permit ip host XX.XX.XX.134 any
access-list 102 permit ip host XX.XX.XX.135 any
access-list 102 deny   ip any any
240 = хост астериска
Помогите разобраться что происходит, где дыра?

Исходное сообщение
"NAT + Asterisk безбожно хакают" Отправлено Nvbulashev, 15-Мрт-15 12:57
Всем добрый день! Началась данная история с установки вот этой сборки http://downloads.asterisk.org/pub/telephony/asterisk-now/Ast... в отступлении скажу, что обычно пользовался эластиксом, но эластикс не хотел звонить на этой конфигурации ната, было принято решение заменить этой сборкой. Проблема со звонками успешно решилась. О текущей схеме подключения: -Астериск находится в локальной сети с серым адресом -Маршрутизатор = CISCO 877 сконфигурирован на нат роутемапом и разрешающим аксес листом. -Астериску разрешено ходить только на хост провайдера После установки данной сборки было замечено следующее - МЕНЯ ХАКАЮТ! Как это выражается: -- Executing [29700972592377849@from-sip-external:1] NoOp("SIP/XX.XX.XX.XX-00000182", "Received incoming SIP connection from unknown peer to 29700972592377849") in new stack -- Executing [29700972592377849@from-sip-external:2] Set("SIP/XX.XX.XX.XX-00000182", "DID=29700972592377849") in new stack -- Executing [29700972592377849@from-sip-external:3] Goto("SIP/XX.XX.XX.XX-00000182", "s,1") in new stack -- Goto (from-sip-external,s,1) -- Executing [s@from-sip-external:1] GotoIf("SIP/XX.XX.XX.XX-00000182", "0?checklang:noanonymous") in new stack -- Goto (from-sip-external,s,5) -- Executing [s@from-sip-external:5] Set("SIP/XX.XX.XX.XX-00000182", "TIMEOUT(absolute)=15") in new stack -- Channel will hangup at 2015-03-15 00:57:11.396 YEKT. -- Executing [s@from-sip-external:6] Log("SIP/XX.XX.XX.XX-00000182", "WARNING,"Rejecting unknown SIP connection from 23.239.65.10"") in new stack [2015-03-15 00:56:56] WARNING[11279][C-00000184]: Ext. s:6 @ from-sip-external: "Rejecting unknown SIP connection from 23.239.65.10" -- Executing [s@from-sip-external:7] Answer("SIP/XX.XX.XX.XX-00000182", "") in new stack -- Executing [s@from-sip-external:8] Wait("SIP/XX.XX.XX.XX-00000182", "2") in new stack -- Executing [s@from-sip-external:9] Playback("SIP/XX.XX.XX.XX-00000182", "ss-noservice") in new stack -- <SIP/XX.XX.XX.XX-00000182> Playing 'ss-noservice.ulaw' (language 'en') -- Executing [s@from-sip-external:10] PlayTones("SIP/XX.XX.XX.XX-00000182", "congestion") in new stack -- Executing [s@from-sip-external:11] Congestion("SIP/XX.XX.XX.XX-00000182", "5") in new stack == Spawn extension (from-sip-external, s, 11) exited non-zero on 'SIP/XX.XX.XX.XX-00000182' -- Executing [h@from-sip-external:1] Hangup("SIP/XX.XX.XX.XX-00000182", "") in new stack == Spawn extension (from-sip-external, h, 1) exited non-zero on 'SIP/XX.XX.XX.XX-00000182' Что удалось выяснить: каким то неведомым мне образом появляются нат трансляции на циске. Не смотря на то что в акле астеру разрешено ходить лишь на провайдера воипа. Адрес реальный. Я сначала подумал что с локалки пакеты валят с машины, а внутри сип пакета подменены адреса, например, чтобы злоумышленник у себя мог приземлить трафик. Но нет! tcpdump показал наличие пакетов именно с этого адреса. Заблочил адрес злоумышленника, атаки возобновились с нового адреса. Конфига аксес листа access-list 102 deny ip any host 80.150.183.34 access-list 102 permit ip host XX.XX.XX.110 any access-list 102 permit ip host XX.XX.XX.120 any access-list 102 permit tcp any any eq 993 access-list 102 permit udp any any eq 993 access-list 102 permit tcp any any eq 465 access-list 102 permit udp any any eq 465 access-list 102 permit tcp host XX.XX.XX.240 any eq domain access-list 102 permit udp host XX.XX.XX.240 any eq domain access-list 102 permit ip host XX.XX.XX.240 host 62.148.237.159 access-list 102 permit ip host XX.XX.XX.5 any access-list 102 permit ip host XX.XX.XX.6 any access-list 102 permit ip host XX.XX.XX.4 any access-list 102 permit ip host XX.XX.XX.2 any access-list 102 permit ip host XX.XX.XX.7 any access-list 102 permit ip host XX.XX.XX.8 any access-list 102 permit ip host XX.XX.XX.11 any access-list 102 permit ip host XX.XX.XX.131 any access-list 102 permit ip host XX.XX.XX.132 any access-list 102 permit ip host XX.XX.XX.133 any access-list 102 permit ip host XX.XX.XX.134 any access-list 102 permit ip host XX.XX.XX.135 any access-list 102 deny ip any any 240 = хост астериска Помогите разобраться что происходит, где дыра?

Ваше сообщение
Имя*:
EMail:	Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, [email protected] (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	> Всем добрый день! > Началась данная история с установки вот этой сборки > http://downloads.asterisk.org/pub/telephony/asterisk-now/AsteriskNOW-612-current-64.iso > в отступлении скажу, что обычно пользовался эластиксом, но эластикс не хотел звонить > на этой конфигурации ната, было принято решение заменить этой сборкой. Проблема > со звонками успешно решилась. > О текущей схеме подключения: > -Астериск находится в локальной сети с серым адресом > -Маршрутизатор = CISCO 877 сконфигурирован на нат роутемапом и разрешающим аксес листом. > -Астериску разрешено ходить только на хост провайдера > После установки данной сборки было замечено следующее - МЕНЯ ХАКАЮТ! > Как это выражается: > -- Executing [29700972592377849@from-sip-external:1] NoOp("SIP/XX.XX.XX.XX-00000182", > "Received incoming SIP connection from unknown peer to 29700972592377849") in new > stack > -- Executing [29700972592377849@from-sip-external:2] Set("SIP/XX.XX.XX.XX-00000182", > "DID=29700972592377849") in new stack > -- Executing [29700972592377849@from-sip-external:3] Goto("SIP/XX.XX.XX.XX-00000182", > "s,1") in new stack > -- Goto (from-sip-external,s,1) > -- Executing [s@from-sip-external:1] GotoIf("SIP/XX.XX.XX.XX-00000182", "0?checklang:noanonymous") > in new stack > -- Goto (from-sip-external,s,5) > -- Executing [s@from-sip-external:5] Set("SIP/XX.XX.XX.XX-00000182", "TIMEOUT(absolute)=15") > in new stack > -- Channel will hangup at 2015-03-15 00:57:11.396 YEKT. > -- Executing [s@from-sip-external:6] Log("SIP/XX.XX.XX.XX-00000182", "WARNING,"Rejecting > unknown SIP connection from 23.239.65.10"") in new stack > [2015-03-15 00:56:56] WARNING[11279][C-00000184]: Ext. s:6 @ from-sip-external: "Rejecting > unknown SIP connection from 23.239.65.10" > -- Executing [s@from-sip-external:7] Answer("SIP/XX.XX.XX.XX-00000182", "") in new > stack > -- Executing [s@from-sip-external:8] Wait("SIP/XX.XX.XX.XX-00000182", "2") in new stack > -- Executing [s@from-sip-external:9] Playback("SIP/XX.XX.XX.XX-00000182", "ss-noservice") > in new stack > -- <SIP/XX.XX.XX.XX-00000182> Playing 'ss-noservice.ulaw' (language 'en') > -- Executing [s@from-sip-external:10] PlayTones("SIP/XX.XX.XX.XX-00000182", "congestion") > in new stack > -- Executing [s@from-sip-external:11] Congestion("SIP/XX.XX.XX.XX-00000182", "5") > in new stack > == Spawn extension (from-sip-external, s, 11) exited non-zero on 'SIP/XX.XX.XX.XX-00000182' > -- Executing [h@from-sip-external:1] Hangup("SIP/XX.XX.XX.XX-00000182", "") in new > stack > == Spawn extension (from-sip-external, h, 1) exited non-zero on 'SIP/XX.XX.XX.XX-00000182' > Что удалось выяснить: > каким то неведомым мне образом появляются нат трансляции на циске. Не смотря > на то что в акле астеру разрешено ходить лишь на провайдера > воипа. > Адрес реальный. Я сначала подумал что с локалки пакеты валят с машины, > а внутри сип пакета подменены адреса, например, чтобы злоумышленник у себя > мог приземлить трафик. Но нет! tcpdump показал наличие пакетов именно с > этого адреса. Заблочил адрес злоумышленника, атаки возобновились с нового адреса. > Конфига аксес листа > access-list 102 deny ip any host 80.150.183.34 > access-list 102 permit ip host XX.XX.XX.110 any > access-list 102 permit ip host XX.XX.XX.120 any > access-list 102 permit tcp any any eq 993 > access-list 102 permit udp any any eq 993 > access-list 102 permit tcp any any eq 465 > access-list 102 permit udp any any eq 465 > access-list 102 permit tcp host XX.XX.XX.240 any eq domain > access-list 102 permit udp host XX.XX.XX.240 any eq domain > access-list 102 permit ip host XX.XX.XX.240 host 62.148.237.159 > access-list 102 permit ip host XX.XX.XX.5 any > access-list 102 permit ip host XX.XX.XX.6 any > access-list 102 permit ip host XX.XX.XX.4 any > access-list 102 permit ip host XX.XX.XX.2 any > access-list 102 permit ip host XX.XX.XX.7 any > access-list 102 permit ip host XX.XX.XX.8 any > access-list 102 permit ip host XX.XX.XX.11 any > access-list 102 permit ip host XX.XX.XX.131 any > access-list 102 permit ip host XX.XX.XX.132 any > access-list 102 permit ip host XX.XX.XX.133 any > access-list 102 permit ip host XX.XX.XX.134 any > access-list 102 permit ip host XX.XX.XX.135 any > access-list 102 deny ip any any > 240 = хост астериска > Помогите разобраться что происходит, где дыра?
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру