<html><head><meta http-equiv="Content-Type" content="text/html; charset=UTF-8"></head><body ><div>ufff... por defecto no :-( ... hay que tomar algunas precauciones antes de publicar algo SIP a la selva de internet.... no hay un remedio mágico, pero si una serie de medidas para paliar estos ataques.</div><div><br></div><div>estos días estoy liado con otro proyecto que se tiene que poner en marcha, pero a final de esta semana podría hacer un esquema o un planteamiento para evitar estas cosas o que sea más difícil entrar.</div><div><br></div><div>en este proyecto hay gente muy buena en sip / asterisk y entre todos podemos hacer un estándar de seguridad para las centralitas.</div><div><br></div><div><br></div><div><div style="font-size:100%">--------------------<br>Ángel Elena<br>craem@craem.net<br>@craem_<br>--------------------</div></div> <br><br><br>-------- Mensaje original --------<br>De: Dani <onzesetembre@sinuso.org> <br>Fecha: 18/02/2013 23:15 (GMT+01:00) <br>Para: pln@marsupi.org <br>Asunto: Re: [PLN] Nodo pln sinuso cerrado temporalmente. <br> <br><br><br><br><!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=windows-1252">
<META NAME="Generator" CONTENT="Zarafa HTML builder 1.0">
<TITLE></TITLE>
</HEAD>
<BODY>
<!-- Converted from text/plain format -->
<P><FONT STYLE="font-family: courier" SIZE=2>
El 18/02/13 22:30, Angel Elena escribió:<br>
> Dani, la versión de Asterisk no es el problema... a partir de la 1.4.xx (no recuerdo la versión exacta), había un bug que permitía enumerar las extensiones de la centralita, pero a partir de la 1.4.24.x se arregló.<br>
Migre a la 11 i aun así continuaban.<br>
><br>
> Creo que podríamos hacer un tutorial en la wiki para proteger nuestros asterisk.... aquí podría colaborar yo, si os parece.<br>
+100 o una distro pln bien preparada y donde solo tengas que añadir el <br>
nombre del nodo, la numeracion etc... :)<br>
><br>
> Es una lástima que por cosas de este tipo, cerremos nuestras centralitas. Tenías habilitado en el asterisk.conf el verbose a 99999 y el log a 99999 ???<br>
><br>
> ¿ cómo tenías el sip.conf y el default context ???<br>
<br>
Lo tenia todo por defecto tal y como queda después de compilar asterisk <br>
y con la config por defecto de la wiki con los datos que hay que modificar.<br>
Solo he echo configuraciones de dahdi que por cierto no me funciona por <br>
algún bug de truñuntu.<br>
<br>
en verbose de asterisk.conf solo veo esto<br>
<br>
[options]<br>
;verbose = 3<br>
<br>
><br>
> en el cdr-csv tampoco tienes info para por lo menos ver el user que ha hecho las llamadas ?<br>
<br>
Todas las ip's que he adjuntado en el mensaje anterior. Cada dia tenia <br>
que bloquear un mínimo de 3 ip's.<br>
No se ver quien ha accedido pero se ha saltado el denyhosts, el <br>
fail2ban, eliminado el directorio /var/log, desinstalado rhunter y <br>
alguna que otra aplicación más.<br>
><br>
><br>
><br>
> -----Mensaje original-----<br>
> De: Dani <onzesetembre@sinuso.org><br>
> Enviado: Lun 18-02-2013 22:18<br>
> Asunto: [PLN] Nodo pln sinuso cerrado temporalmente.<br>
> Para: pln@marsupi.org;<br>
>> A parte de los continuos ataques de intentos de llamadas a móviles,<br>
>> fijos, llamadas (de 1 a 20) a las 3 de la noche a extensiones... Esta<br>
>> tarde han conseguido entrar en el servidor y no han dejado ni un solo log.<br>
>> Migre a asterisk 11 y aun así no ha servido de nada, bueno, si... de ser<br>
>> mas tentador (quien buen cerrojo pone algo bueno esconde)<br>
>> Cuando lo vea mas seguro y no sea yo el único usuario del servidor, lo<br>
>> pondré en funcionamiento de nuevo.<br>
>><br>
>> PD: Paro el servidor no las ganas de que esto siga para delante :)<br>
>> _______________________________________________<br>
>> PLN mailing list<br>
>> PLN@marsupi.org<br>
>> https://lists.marsupi.org/listinfo/pln<br>
>><br>
<br>
_______________________________________________<br>
PLN mailing list<br>
PLN@marsupi.org<br>
https://lists.marsupi.org/listinfo/pln<br>
</FONT>
</P>
</BODY></HTML>