Поколению D:
Это была установка в то время, когда эта проблема наблюдалась: secast-1.0.1.0-x86_64-ub12 на Ubuntu 12.04.4 Server LTS с Asterisk 11.10.2.
Следующие события были зафиксированы и наблюдались в / var / log / secast после выхода из запущенного seacast (сборка secast-1.0.1.0-x86_64-ub12):
Sun Jun 22 14:22:45 2014, 00001403, D, Asterisk, IP '' added to watch list
Sun Jun 22 14:22:45 2014, 00000510, I, Asterisk, Detected potential intrustion attempt by username '%40102' at IP '' using protocol 'SIP' through security log '/var/log/asterisk/messages'
Sun Jun 22 14:23:05 2014, 00001402, D, Asterisk, IP '' on IP watch list with 2 potential intrusion attempts
Sun Jun 22 14:23:05 2014, 00000510, I, Asterisk, Detected potential intrustion attempt by username '%40102' at IP '' using protocol 'SIP' through security log '/var/log/asterisk/messages'
Sun Jun 22 14:23:07 2014, 00001402, D, Asterisk, IP '' on IP watch list with 3 potential intrusion attempts
Sun Jun 22 14:23:07 2014, 00000510, I, Asterisk, Detected potential intrustion attempt by username '%40' at IP '' using protocol 'SIP' through security log '/var/log/asterisk/messages'
Sun Jun 22 14:23:27 2014, 00001402, D, Asterisk, IP '' on IP watch list with 4 potential intrusion attempts
Sun Jun 22 14:23:27 2014, 00000510, S, Asterisk, Detected excessive intrustion attempts by username '%40' at IP '' using protocol 'SIP' through security log '/var/log/asterisk/messages'. Requesting ban.
Sun Jun 22 14:23:27 2014, 00000902, D, ThreatInfo, Adding IP address to banned IP list
Sun Jun 22 14:23:27 2014, 00000608, S, EventQueue, Banning detected IP as managed
Sun Jun 22 14:23:27 2014, 00000710, E, SystemCommand, Failed to add rule to iptables chain. Run result 0; exitcode 2
:
:
Sun Jun 22 14:24:08 2014, 00001402, D, Asterisk, IP '' on IP watch list with 5 potential intrusion attempts
Sun Jun 22 14:24:08 2014, 00000510, S, Asterisk, Detected excessive intrustion attempts by username '%40' at IP '' using protocol 'SIP' through security log '/var/log/asterisk/messages'. Requesting ban.
Sun Jun 22 14:24:08 2014, 00000900, D, ThreatInfo, Ignoring attempt to add duplicate IP to banned IP list
Sun Jun 22 14:25:28 2014, 00001402, D, Asterisk, IP '' on IP watch list with 6 potential intrusion attempts
Sun Jun 22 14:25:28 2014, 00000510, S, Asterisk, Detected excessive intrustion attempts by username '%40' at IP '' using protocol 'SIP' through security log '/var/log/asterisk/messages'. Requesting ban.
Sun Jun 22 14:25:28 2014, 00000900, D, ThreatInfo, Ignoring attempt to add duplicate IP to banned IP list
Sun Jun 22 14:35:36 2014, 00001405, D, Asterisk, IP '' removed from IP watch list due to expiration
Обратите внимание, что ссылка на IP '', где не отображается фактический IP-адрес. Кажется, что эта пустая IP-ссылка вызывает сбой при попытке добавить правило в цепочку iptables. Кроме того, попытки добавить это в базу данных кажутся неудачными (строки опущены выше).
Возможно, это указывает на то, что случай IP '' должен быть обнаружен, чтобы избежать недопустимых попыток обращения к iptables и базе данных.
Ниже приведены строки из / var / log / asterisk / messages (с нашим IP-адресом, замененным на IP_REMOVED), которые соответствуют событиям выше:
[Jun 22 14:22:45] NOTICE[7420] chan_sip.c: Registration from '<sip:%40102@IP_REMOVED>' failed for '176.58.69.112:14398' - Wrong password
[Jun 22 14:22:48] NOTICE[7420][C-0000005a] chan_sip.c: Failed to authenticate device <sip:%40102@IP_REMOVED>;tag=17280b03
[Jun 22 14:22:55] NOTICE[7420][C-0000005b] chan_sip.c: Failed to authenticate device <sip:%40102@IP_REMOVED>;tag=394a4856
[Jun 22 14:23:01] NOTICE[7420][C-0000005c] chan_sip.c: Failed to authenticate device <sip:%40102@IP_REMOVED>;tag=022a0438
[Jun 22 14:23:05] NOTICE[7420] chan_sip.c: Registration from '<sip:%40102@IP_REMOVED>' failed for '176.58.69.112:14398' - Wrong password
[Jun 22 14:23:07] NOTICE[7420] chan_sip.c: Registration from '<sip:%40@IP_REMOVED>' failed for '176.58.69.112:14398' - Wrong password
[Jun 22 14:23:09] NOTICE[7420][C-0000005d] chan_sip.c: Failed to authenticate device <sip:%40@IP_REMOVED>;tag=93209c36
[Jun 22 14:23:12] NOTICE[7420][C-0000005e] chan_sip.c: Failed to authenticate device <sip:%40@IP_REMOVED>;tag=cf5b9246
[Jun 22 14:23:13] NOTICE[7420][C-0000005f] chan_sip.c: Failed to authenticate device <sip:%40@IP_REMOVED>;tag=ae0ff835
[Jun 22 14:23:27] NOTICE[7420] chan_sip.c: Registration from '<sip:%40@IP_REMOVED>' failed for '176.58.69.112:14398' - Wrong password
[Jun 22 14:24:08] NOTICE[7420] chan_sip.c: Registration from '<sip:%40@IP_REMOVED>' failed for '176.58.69.112:14398' - Wrong password
[Jun 22 14:24:21] NOTICE[7420][C-00000060] chan_sip.c: Failed to authenticate device 201<sip:201@IP_REMOVED>;tag=ba38c3c8
[Jun 22 14:25:28] NOTICE[7420] chan_sip.c: Registration from '<sip:%40@IP_REMOVED>' failed for '176.58.69.112:14398' - Wrong password
Учитывая то, что я прочитал из этого, я ожидал, что IP 176.58.69.112 будет забанен.
Почему возникнет случай IP и какие шаги можно исправить?
**** Обновить ****
Сегодня в / var / log / secast были обнаружены следующие сообщения:
2014-06-27T09:43:23, 00001403, D, Asterisk, IP '5.11.41.130' added to watch list
2014-06-27T09:43:23, 00000510, I, Asterisk, Detected potential intrustion attempt by username '1000' at IP '5.11.41.130' using protocol 'SIP' through security log '/var/log/asterisk/messages'
2014-06-27T09:43:43, 00001402, D, Asterisk, IP '5.11.41.130' on IP watch list with 2 potential intrusion attempts
2014-06-27T09:43:43, 00000510, I, Asterisk, Detected potential intrustion attempt by username '1000' at IP '5.11.41.130' using protocol 'SIP' through security log '/var/log/asterisk/messages'
2014-06-27T09:53:52, 00001405, D, Asterisk, IP '5.11.41.130' removed from IP watch list due to expiration
Это произошло из следующих строк в / var / log / asterisk / messages:
[Jun 27 09:43:23] NOTICE[1309] chan_sip.c: Registration from '<sip:1000@69.165.131.4>' failed for '5.11.41.130:12736' - Wrong password
[Jun 27 09:43:43] NOTICE[1309] chan_sip.c: Registration from '<sip:1000@69.165.131.4>' failed for '5.11.41.130:12736' - Wrong password
Несмотря на то, что было недостаточно попыток вызвать блокировку, похоже, что IP-адрес 5.11.41.130 был получен должным образом. Если бы попыток было больше, я бы предположил, что на этот раз попытка бана увенчалась успехом.
Обратите внимание, что на этот раз имя пользователя было просто «1000»; тогда как раньше имя пользователя было: "% 40102" и "% 40"
Возможно ли, что символ% мешал синтаксическому анализу secast строки сообщений Asterisk, что приводило к сбою извлечения IP-адреса?
Я продолжу следить за журналами на предмет фактического запрета и сообщать об этом.
Злоумышленник по адресу 176.58.69.112 откладывает попытки подключения, чтобы избежать обнаружения. Убедитесь, что вы установили значение maxintrusioninterval достаточно высоким, чтобы увидеть несколько попыток, а maxintrusions - достаточно низким, чтобы запускать обнаружение в этом интервале. Можете ли вы опубликовать свои настройки из раздела [учетные данные] secast.conf? (или отправьте весь файл конфигурации по электронной почте support@generationd.com)
Мы видим, что все больше хакеров VoIP откладывают свои атаки, чтобы избежать обнаружения - некоторые даже ждут день или больше между попытками. (Для решения этой проблемы мы уже увеличили максимальное значение интервала обнаружения с 1 часа до 1 недели).
Сообщения, относящиеся к IP, являются предупреждением о том, что SecAst обнаружил в файле сообщений звездочки что-то, что не может интерпретировать. (Мы когда-нибудь добавим более интеллектуальное сообщение). Мы получили ваш файл журнала, пропустим его через наш синтаксический анализатор и добавим надлежащее обнаружение для этой проблемной строки. (Компания Digium регулярно вносит небольшие изменения в форматы журналов, и мы всегда проверяем самые последние сборки Asterisk на соответствие нашим тестовым сценариям, чтобы отловить их).
** Обновление: Начиная с версии 1.0.6 SecAst эти сообщения добавляются в базу данных сигнатур.
Вы обнаружите, что хакеры / сканеры также сокращают свои попытки грубой силы до одной попытки каждый день (опять же, чтобы избежать обнаружения). Если вы хотите усилить безопасность, вы можете уменьшить максимальное количество вторжений до 1 и увеличить интервал до 2 дней или более. (Вот почему атака, показанная в ваших журналах, скорее всего, прекратится после двух попыток).
Основываясь на системах, которые мы отслеживаем с помощью контрактов на поддержку, мы видим, что хакеры из Палестины и Африки часто этим занимаются. Они пытаются оставаться вне поля зрения систем обнаружения вторжений.
Альтернативным (и более активным способом их блокировки) является использование ограждения Geo IP, встроенного в SecAst, и блокирование всей страны / континента, откуда исходят эти атаки. Проверять, выписываться этот вопрос serverfault для получения дополнительной информации.