Fremde Zugriffe erkennen

Alle weiteren Dienste, die nicht in die drei oberen Foren gehören.
Antworten
dmant
Beiträge: 171
Registriert: 09.10.2017 10:28:29

Fremde Zugriffe erkennen

Beitrag von dmant » 25.11.2017 12:39:51

Hallo,

Ich habe einen SIP Zugang bei Portunity. Eine Nutzung mit einer Fritz!Box funktioniert ohne Probleme. Nun habe ich mehrere Rufnummern und wollte Asterisk mit Hylafax nutzen.

Nun habe ich einen laufenden Asterisk mit Hylafax am laufen und dann Portunity sperrt mir die Gespräche nach "aussen". Angeblich stellt deren System häufige (tausende) Versuche ins Ausland zu telefonieren innerhalb von Minuten fest und sperrt zum Schutze des Kunden das Telefonieren nach aussen. Angerufen werden geht weiterhin.

In Asterisk habe ich keinerlei User konfiguriert (zum Test) und Hylafax ist nur mittels Passwort erreichbar.

Per SSH ist mein Debian Server auch nur mit einem SSH-Key zugänglich.

Wie/Wo kann ich sehen woher diese angeblichen versuchen zu telefonieren kommen?

Ich danke euch.

Auf dem Server läuft:

Debian Stretch stable
Hylafax
Asterisk
Apache2
Postfix
MySQL
Spamassassin
ClamAV

ann0see
Beiträge: 15
Registriert: 06.11.2017 20:03:42

Fremde Zugriffe erkennen

Beitrag von ann0see » 25.11.2017 17:38:05

Wahrscheinlich im Asterisk log. Schaue mal in /var/log nach.
Wie stark sind deine Passwörter an sich?
Gibt es eigentlich dort die Möglichkeit sich anonym anzumelden? Ich habe mal ganz kurz mit Asterisk gespielt, aber ich weiß es nicht mehr.

dmant
Beiträge: 171
Registriert: 09.10.2017 10:28:29

Re: Fremde Zugriffe erkennen

Beitrag von dmant » 26.11.2017 11:46:49

Ja das frage ich mich auch. Der Support von portunity meinte wenn man die ID hätte könnte man ohne Passwort zugreifen, um das zu verhindern habe ich

Code: Alles auswählen

match_auth_username = yes
wie vom Support empfohlen gesetzt. Zusätzlich habe ich noch

Code: Alles auswählen

alwaysauthreject=yes
allowguest = no
gesetzt. Es dürfte somit nicht mehr möglich sein iwie Zugriff zu bekommen ausser man hat die passenden Zugangsdaten.

Meine Passwörter sind 10 Zeichen lang und bestehen aus Groß-/Kleinbuchstaben und Zahlen.

ann0see
Beiträge: 15
Registriert: 06.11.2017 20:03:42

Fremde Zugriffe erkennen

Beitrag von ann0see » 28.11.2017 14:03:00

Dazu gehört leider auch das Passwort

User567890

Ändere mal die Passwörter und überprüfe mal ob du dich anonym anmelden kannst.
Hast du Debianfail2ban?
-> Brute Force Verhinderung obwohl das nicht nach bruteforce klingt.
Hast du den log schon gelesen, wenn es ihn gibt... (/etc/log/asterisk/)

https://www.ip-phone-forum.de/threads/h ... rn.221457/

dmant
Beiträge: 171
Registriert: 09.10.2017 10:28:29

Re: Fremde Zugriffe erkennen

Beitrag von dmant » 28.11.2017 16:14:58

Hallo,

nein fail2ban habe ich nicht am laufen. Der Support schrieb mir jedoch jetzt
der Account ist wieder entsperrt.
Bitte beachten Sie, dass SIP im Zweifel auch unauthentifiziert verarbeitet wird, wenn es entsprechende Regeln im Dialplan gibt und der Default-Kontext der sip.conf Einträge enthält, die ein Telefonieren ins Telefonnetz erlauben.
Dann reichen unauthentifizierte INVITE-Pakete vollkommen aus um einen Anruf zu routen.

Sie können dies im "messages"-Log der Asterisk sehen, wenn sie die Verbosity aufdrehen:
core set verbose 10

Für weitere Fragen stehen wir Ihnen gerne zur Verfügung,
Das könnte es sein...

ann0see
Beiträge: 15
Registriert: 06.11.2017 20:03:42

Re: Fremde Zugriffe erkennen

Beitrag von ann0see » 30.11.2017 13:16:13

Das könnte sein. Installiere trotzdem mal fail2ban. Das ist immer eine gute Tat um brute force zu erkennen und abzuwehren. Leider nur, wenn der Angreifer die IP nicht wechselt.

Antworten