اطلاعیه

بستن
No announcement yet.

راهنمایی امنیت استریسک

بستن
X
 
  • فیلتر کردن
  • زمان
  • نمایش
Clear All
پست های جدید

    راهنمایی امنیت استریسک

    دوستان چند وقتی هست که وقتی توی کنسول استریسک sip set debug on میزنم کلی لاگ هایی رو نشون میده که روی SIP دارن با username های مختلف سعی میک نند که وارد سیستم بشن یا یه همچین چیزایی....!!!

    داخلی هایی که من روی سرور دارم دو تا هستند و با 5000 شروع میشن.

    توی iptables دسترسی به همه IP ها بغیر از 10.10.1.0/24 را بستم که از روی اینترنت کشس نتونه دسترسی داشته باشه ولی بازم این لاگ ها میاد

    کد:
    <------------>Scheduling destruction of SIP dialog '1404101240840501253-0@10.10.1.39' in 32000 ms (Method: REGISTER)Scheduling destruction of SIP dialog '1404101240840501253-0@10.10.1.39' in 32000 ms (Method: REGISTER)
    <--- SIP read from UDP:10.10.1.39:5060 --->REGISTER sip:10.10.1.43 SIP/2.0Via: SIP/2.0/UDP 10.10.1.39:5060;branch=z9hG4bK-1684278151404101300158818To: <sip:8047@10.10.1.43>From: <sip:8047@10.10.1.43>;tag=1404101240158675-1Call-ID: 1404101240840501253-0@10.10.1.39CSeq: 2202 REGISTERMax-Forwards: 70Expires: 600Contact: <sip:8047@10.10.1.39:5060>Authorization: Digest algorithm=MD5,nonce="305f50ba",realm="asterisk",response="522bbe4c11008fe12e0b497b22c2b974",uri="sip:10.10.1.43",username="8047"User-Agent: NewRockTech-MX120-v1.9.82.323/UA 2.0Content-Length: 0
    <------------->--- (12 headers 0 lines) ---Sending to 10.10.1.39:5060 (NAT)
    <--- Transmitting (NAT) to 10.10.1.39:5060 --->SIP/2.0 403 Forbidden (Bad auth)Via: SIP/2.0/UDP 10.10.1.39:5060;branch=z9hG4bK-1684278151404101300158818;received=10.10.1.39;rport=5060From: <sip:8047@10.10.1.43>;tag=1404101240158675-1To: <sip:8047@10.10.1.43>;tag=as57edb0faCall-ID: 1404101240840501253-0@10.10.1.39CSeq: 2202 REGISTERServer: FPBX-2.8.1(1.8.20.0)Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO, PUBLISHSupported: replaces, timerContent-Length: 0
    این لاگی هست که وقتی sip set debug رو فعال میکنم میاد.
    سرور من پشت مییکروتیک هست که روی میکروتیک IPValid و اینترنت هست.
    ip سرور 10.10.1.43 و IP میکروتیک 10.10.1.39 هست.
    مکنه راهنمایی کنید چجوری میشه جلوی این ها رو گرفت.

    خیلی ممنون

    #2
    سلام
    پسورد داخلی ها رو بیش تر ا ز 12 رقم بزار و پسورد قوی هم بزار . پورت ssh رو هم عوض کن .
    اگه دیگه میخوای محکم کاری 00 رو از مخابرات ببند .

    کامنت


      #3
      پسورد داخلی ها 12 رقم ترکیبی از اعداد و کاراکتر و حروف هست
      00 هم از مخابرات بسته شده
      پورت sshعوض شده و فقط دسترسی از کنسول داریم

      ولی نمی دونم چرا بازم به سرور حمله میشه و هی شماره 8007 و 8043 و کلی شماره دیگه هی روی سرور رجیستر میشه یا می خوان رجیستر کنن...!!!!

      راهی نداره که کاری کرد دسترسی اینا به سرور قطع بشه؟

      کامنت


        #4
        سلام سرور ویپ تون ip public داره ؟ یا اینکه این حملات از داخل شبکه خودتون انجام میشه ؟

        من قلبی بزرگ با رویاهایی بزرگ دارم. دانسته هایمان را با هم به اشتراک بگذاریم.

        کامنت


          #5
          سرور الستیکس IP Local دارد که همون 10.10.1.0/24 رنج Local شرکت ماست.
          همچنین سرور پشت میکروتیک هست که روی میکروتیک IP Valid داره و پورت های 5060-5070 و. همچنین 10000-20000 به سمت IP الستیکس از روی میکروتیک فوروارد شده.

          این حملات از داخل شبکه لوکالی مانیست از روی اینترنت هستش چون وقتی اینترنت را قطع میکنیم دیگه هیچ لاگی روی استریسک مبنی بر سعی برای رجیستر شده نمیاد

          لطفا راهنمایی کنند اساتید بدجوری زیر فشارم

          خدا خیرتون بده

          کامنت


            #6
            سلام از چه ورژنی از الستیکس استفاده میکنید؟ روی لاگها ip هایی که به سرور شما اتک میزنن رو پیدا کنید و اون IP ها رو از طریق فایروال مسدود کنید . اگه مقدوره لاگ هاتون رو بزارین تا بررسی کنیم

            کامنت


              #7
              استریسک 1.8
              چون سرور پشت میکروتیک هست همه IP هایی که توی Log میاد IP میکروتیک هست 10.10.1.39

              من این رول ها رو توی iptables نوشتم ولی بازم نشد

              iptables -a input -s 10.10.1.0/24 -j accept
              iptables -a input -s 0.0.0.0/0 -j drop
              آخرین ویرایش توسط a.fathi; در تاریخ/ساعت 06-30-2014, 12:40 PM.

              کامنت

              درباره انجمن منطقه لینوکسی ها

              انجمن منطقه لینوکسی ها با هدف ارتقاء سطح علمی کاربران در سطح جهانی و همچنین کمک به بالا بردن سطح علمی عمومی در زمینه های تخصصی فوق پایه گذاری شده است. انجمن منطقه لینوکسی ها از طریق کارشناسان و متخصصان پاسخگوی سوالات گوناگون کاربران مبتدی یا پیشرفته میباشد تا حد امکان تلاش شده که محیطی متنوع و کاربر پسند و به دور از هرگونه حاشیه جهت فعالیت کاربران در این انجمن ایجاد شود. لذا ما به صورت مستمر برای پیشرفت کمی و کیفی محتوی و اطلاعات انجمنمان میکوشیم که این برای ما ارزشمند و حائز اهمیت است. کلیه حقوق،اطلاعات و مقالات در این انجمن متعلق به سایت منطقه لینوکسی ها میباشد، و هرگونه نسخه برداری بدون ذکر منبع مورد پیگرد قانونی خواهد شد.

              شبکه های اجتماعی

              ایمیل مدیریت

              Habili@linux-zone.org

              در حال انجام ...
              X