[PLN] Nodo pln sinuso cerrado temporalmente.

Lun Feb 18 23:46:34 CET 2013

ufff... por defecto no :-(  ... hay que tomar algunas precauciones antes de publicar algo SIP a la selva de internet.... no hay un remedio mágico, pero si una serie de medidas para paliar estos ataques.

estos días estoy liado con otro proyecto que se tiene que poner en marcha, pero a final de esta semana podría hacer un esquema o un planteamiento para evitar estas cosas o que sea más difícil entrar.

en este proyecto hay gente muy buena en sip / asterisk y entre todos podemos hacer un estándar de seguridad para las centralitas.

--------------------
Ángel Elena
craem en craem.net
@craem_
--------------------

-------- Mensaje original --------
De: Dani <onzesetembre en sinuso.org> 
Fecha: 18/02/2013 23:15 (GMT+01:00) 
Para: pln en marsupi.org 
Asunto: Re: [PLN] Nodo pln sinuso cerrado temporalmente. 

El 18/02/13 22:30, Angel Elena escribió:
> Dani, la versión de Asterisk no es el problema... a partir de la 1.4.xx (no recuerdo la versión exacta), había un bug que permitía enumerar las extensiones de la centralita, pero a partir de la 1.4.24.x se arregló.
Migre a la 11 i aun así continuaban.
>
> Creo que podríamos hacer un tutorial en la wiki para proteger nuestros asterisk.... aquí podría colaborar yo, si os parece.
+100 o una distro pln bien preparada y donde solo tengas que añadir el 
nombre del nodo, la numeracion etc... :)
>
> Es una lástima que por cosas de este tipo, cerremos nuestras centralitas. Tenías habilitado en el asterisk.conf el verbose a 99999 y el log a 99999 ???
>
> ¿ cómo tenías el sip.conf  y el default context ???

Lo tenia todo por defecto tal y como queda después de compilar asterisk 
y con la config por defecto de la wiki con los datos que hay que modificar.
Solo he echo configuraciones de dahdi que por cierto no me funciona por 
algún bug de truñuntu.

en verbose de asterisk.conf solo veo esto

[options]
;verbose = 3

>
> en el cdr-csv tampoco tienes info para por lo menos ver el user que ha hecho las llamadas ?

Todas las ip's que he adjuntado en el mensaje anterior. Cada dia tenia 
que bloquear un mínimo de 3 ip's.
No se ver quien ha accedido pero se ha saltado el denyhosts, el 
fail2ban, eliminado el directorio /var/log, desinstalado rhunter y 
alguna que otra aplicación más.
>
>
>
> -----Mensaje original-----
> De:    Dani <onzesetembre en sinuso.org>
> Enviado:    Lun 18-02-2013 22:18
> Asunto:    [PLN] Nodo pln sinuso cerrado temporalmente.
> Para:    pln en marsupi.org;
>> A parte de los continuos ataques de intentos de llamadas a móviles,
>> fijos, llamadas (de 1 a 20) a las 3 de la noche a extensiones... Esta
>> tarde han conseguido entrar en el servidor y no han dejado ni un solo log.
>> Migre a asterisk 11 y aun así no ha servido de nada, bueno, si... de ser
>> mas tentador (quien buen cerrojo pone algo bueno esconde)
>> Cuando lo vea mas seguro y no sea yo el único usuario del servidor, lo
>> pondré en funcionamiento de nuevo.
>>
>> PD: Paro el servidor no las ganas de que esto siga para delante :)
>> _______________________________________________
>> PLN mailing list
>> PLN en marsupi.org
>> https://lists.marsupi.org/listinfo/pln
>>

_______________________________________________
PLN mailing list
PLN en marsupi.org
https://lists.marsupi.org/listinfo/pln

------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://lists.marsupi.org/pipermail/pln/attachments/20130218/932e8055/attachment.htm>