• Gábor Kum

    Kum Gábor
    Specialist in use of Linux, free and open-source software at small and medium-sized enterprises, and in security of bank payment technologies. Also interested in today's privacy challenges, low-bitrate communications, and building a house as a hobby. Lives at the biggest lake of Central Europe, Lake Balaton.

  • Other projects

    HELLOTUX
    Promoting free software all over the world. Free software merchandise from Europe, in partnership with the leading Linux distributions and free software developers.
    www.hellotux.com
     

    Matek Oázis
    Hungary's number one maths e-learning site, with interactive videos, tests and games for children, students, adult learners, teachers and schools.
    www.matekoazis.hu

Hogyan (ne) törjék fel az Asteriskünket

Sokaknak bizonyára megéri azzal szórakozni, hogy Asterisk rendszereket törjenek fel brute force módszerrel, amivel elvileg ingyenes hívási lehetőséghez juthat.

Hogyan is történik mindez?
Egyszer csak ilyen bejegyzéseket találunk a logban:

[Jun 30 12:35:50] NOTICE[1473] chan_sip.c: Registration from '"123"' failed for '89.28.201.149' - No matching peer found
[Jun 30 12:35:50] NOTICE[1473] chan_sip.c: Registration from '"1234"' failed for '89.28.201.149' - No matching peer found
[Jun 30 12:35:50] NOTICE[1473] chan_sip.c: Registration from '"12345"' failed for '89.28.201.149' - No matching peer found
[Jun 30 12:35:50] NOTICE[1473] chan_sip.c: Registration from '"123456"' failed for '89.28.201.149' - No matching peer found

A kedves script kiddie egy programmal először megnézi, hogy milyen felhasználóneveink vannak az Asteriskünkön. Ha az éppen próbált felhasználónév nem létezik, No matching peer found hibaüzenetet kap. Ha létezik, a hibaüzenet Wrong password.
A mi esetünkben pár jellemző felhasználónév után a támadó megpróbálja végignézni a felhasználókat 1-től 10000-ig. Ebből nagy eséllyel megtudhatja a felhasználóneveinket.
Ezt követően megpróbál különböző jelszavakkal és a már megtalált felhasználónevekkel belépni, esetünkben sikertelenül. Öt megtalált felhasználó esetén egy ilyen támadás körülbelül 20 percig tart.


A megoldás
Több hagyományos és vicces megoldás is terítéken van az ilyen esetek leküzdésére.

1. Erős jelszó
Ne használjunk gyenge jelszavakat, egy 10-15 karakteres véletlenszerűen előállított jelszó biztosan jó lesz.

2. Állítsuk be rendesen a tűzfalat
Ezzel könnyen megakadályozhatjuk a hasonló, brute force támadásokat más szolgáltatások esetében is.

3. Tegyünk be egy egymásodperces késleltetést a jelszó ellenőrzésénél
Így a támadó nyugdíjas koráig is várhat, mire minden jelszóvariációt végigpróbál. Addig mi nyugodtan odasétálhatunk (pl. Kínába) és kitekerhetjük a nyakát.
IAX esetén a delayreject=yes paraméter segít nekünk ebben.

4. Ne mondjuk meg a támadónak, hogy milyen felhasználóink vannak
SIP esetén használjuk az alwaysauthreject=yes paramétert, és minden esetben Unauthorized hibaüzenetet kap, ha nem stimmel a felhasználónév-jelszó páros.

Nyilván szivathatjuk más módon is a támadót, ötletekben nincs hiány. A lényeg azonban minden esetben az erős jelszó.

 

Comments

KoviX
Fail2ban? :-)

Kum G.
Telefonálni szeretett volna szegényke

Kum G.
Fail2ban helyett jobbnak tartom, ha Asteriskben oldom meg közvetlenül a problémát.

Balázs István
Leírnád részletesen a megoldásokat? Köszi!

Gábor
A fenti bejegyzésben leírt dolgokat csináltam.

Balázs István
3. pont: SIP esetében mit javasolnál a késleltetéshez? Köszönöm!

Leave a comment!

Your name:

Your e-mail (kept private and will not be shown):

Comment:

Please type the word tasty here: