Angriff auf unsere Starface

  • Wir hatten letzte Nacht einen Angriff auf unsere Starface.
    Es waren 2 identische Brute-Force-Attacken á 13.000 Angriffe. Das ganze hat rund 18 min gedauert. Für jeden Angriff findet sich eine folgendermaßen aussende Zeile im Log:


    Zitat

    NOTICE[2896] chan_sip.c: Registration from '"9974"<sip:9974@xxx.yyy.zzz.vvv>' failed for 'aaa.bbb.ccc.ddd' - No matching peer found


    Die IP-Adresse des Angreifers stammt von einem Web-Hoster in Holland.


    Etwas ähnliches ist auch hier beschrieben:
    http://idefix.net/~koos/irregu…ack-on-an-asterisk-server


    Allerdings war es in diesem Bericht 'Username/auth name mismatch'. Bei uns war es 'No matching peer found'.


    Da tun sich Fragen auf:
    - Kommt so etwas häufig vor?
    - Wie kommt einer auf unseren Starface Server-Namen, der sehr kryptisch ist?
    - Oder: Wie kommt einer an unsere IP-Adresse, die dynamisch ist; allerdings schon quasi-statisch, solange der Router nicht abgeschaltet ist.


    Was kann man am besten tun, um sich zu wehren? Wir nutzen die Starface nur intern, keiner braucht sich von außen anzumelden. Wir haben DynDns konfiguriert. Die Frage wäre, ob wir das überhaupt brauchen? Ohne den DynDns-Namen müsste es sicherer sein.
    Die Kernfrage bleibt, wie einer an unseren Server-Namen oder die IP Adresse kommt.

  • Hi epg789,
    sobald deine STARFACE über das Internet angesprochen werden kann, können Angreifer versuchen einen SIP-Peer zu knacken. Sich also mit einem Endgeräte-Profil bei dir anmelden und dann Gespräche führen.
    Genau das ist bei dir passiert. Aus dem Log-Auszug ist zu sehen das er sich veruscht mit dem Telefonnamen 9974 anzumelden. Diesen gibt es in der STARFACE nicht weshalb die Meldung "no matching peer found" geworfen wird.


    Wenn du keine externen Teilnehmer an der STARFACE anbinden musst, würde ich dir empfehlen die STARFACE durch entsprechende Firewall-Regeln von außen abzuschotten.
    Am wichtigsten ist jedoch, das auf keinen Fall deine Endgeräte-Profile nur aus Nummern bestehen. Ebenfalls sollten deine Passwörter immer von der STARFACE generiert sein. Das verhindert zwar keine Angriffe sehr wohl aber den Erfolg dieser Angriffe.


    Du kannst du Sicherheit deiner Telefonprofile automatisiert über das Modul "SIP Passwort Sicherheitscheck" prüfen lassen.


    An die externe IP der STARFACE kommen solche Angreifer recht einfach durch ein port scanning. Sobald ein Angreifer eine Antwort auf Port 5060 bekommt beginnt der Angriff. Erfahrungsgemäß fängt es an mit Registrierungen für das Endgerät 0 dann 1,2,3 usw.



    In der kommenden STARFACE 5 wird es hier übrigens eine automatisierte Black und White-List für solche Registrierungen geben. Diese Liste blockiert nach x nicht erfolgreichen Registrierungen die entsprechende Quell IP und unterbindet dadurch auch direkt eine Brute-Force attacke.

    2 Mal editiert, zuletzt von Torsten ()

  • Vielen Dank, Torsten, für die prompte und ausführliche Antwort auf dieses wichtige Thema. Euro Starface ist schon super konfiguriert. Der Einbrecher ist ja auch nicht rein gekommen. Gut zu hören, dass es in der nächsten Starface Version eine noch weiter erhöhte Sicherheit gibt.


    Würde es Sinn machen, den Zugriff auf das lokale Netz einschränken. Ok, an der der sip.conf, wo das geschehen müsste, kann/sollten man nichts ändern. Wie ich mich erinnere gibt es aber doch so eine sip custom conf (wie immer die auch heisst). Die kann man doch ergänzen, oder?


    Wir haben intern ein 192.168.1.0/24 Netz. Würde es Sinn machen, folgende Zeilen ergänzen?


    deny=0.0.0.0/0.0.0.0
    permit=192.168.1.0/255.255.255.0

  • Hallo zusammen,


    Nili1968: die 5er läuft momentan noch in der internen Testphase. Wenn hier keine größeren Probleme ersichtlich werden sollte es Ende Oktober bzw. Anfang November soweit sein.


    epg789: In den Config-Dateien Dinge anzupassen würde ich dir nicht raten. Diese sind nicht immer update sicher und sind i.d.R. auch kein Bestandteil der BackUps (die Änderungen). Die Datei die du ansprichst ist die sip_custom.conf . Diese wird per default in der normalen sip.conf included. Du kannst also auf eigene Gefahr dort Anpassungen vornehmen bzw. testen.

  • Wäre es sinnvoll, die Brute Force Abwehr folgendermassen vorzunehmen:


    Mit 'hosts.deny' alles blocken
    Mit 'hosts.allow' den SIP Trunking Provider und unser internes Netz zulassen
    Anmerkung: Es bucht sich niemand von außen in die Starface ein. Es gibt keine IP Calls, nur SIP Trunking über den Provider. Eine vernünftige Firewall haben wir leider noch nicht.


    Dann müsste so eine Konfiguration die Starface doch absichern, oder habe ich einen Denkfehler?

  • Zitat

    Es bucht sich niemand von außen in die Starface ein


    Wie meinst Du das, es sieht hier doch aus als ob jemand versucht ein SIP Client an der Starface zu registrieren, also die Starface im Internet erreichbar ist?

    Zitat

    NOTICE[2896] chan_sip.c: Registration from '"9974"<sip:9974@xxx.yyy.zzz.vvv>' failed for 'aaa.bbb.ccc.ddd' - No matching peer found

  • Zitat

    Es bucht sich niemand von außen in die Starface ein


    Sicher, da hast du Recht, Slu, ein Missverständnis. Bei jedem Angriff versucht sich jemand einzubuchen, bislang erfolglos.


    Ich hätte es folgendermaßen formulieren müssen:
    Es ist nicht nötig, dass sich von unseren Starface-Benutzern jemand von aussen einbuchen kann.


    Deshalb die Überlegung, ob man es mit 'hosts.deny' und 'hosts.allow' dicht machen kann. Spricht was dagegen?

  • Zitat

    Es ist nicht nötig, dass sich von unseren Starface-Benutzern jemand von aussen einbuchen kann.


    Deshalb die Überlegung, ob man es mit 'hosts.deny' und 'hosts.allow' dicht machen kann. Spricht was dagegen?


    Es ist halt nur ein schlechter workaround, warum stellst Du die Starface nicht hinter eine Firewall?
    Hängt deine Starface direkt am Internet?

  • Die Starface hängt hinter einem normalen ADSL NAT Router. Hast du auf die schnelle einen Tipp, was man denn sinnvollerweise als Firewall dazwischenhängt (ideal wäre eine simple Black-Box, leicht zu konfigurieren)? Würde sich das mit dem NAT Router vertragen? Ich bin bisher davon ausgegangen: Dann muss der Router auch ein Profigerät sein, am besten Router und Firewall als ein Projekt. Dann kommt die nächste Frage: Reicht dann der Standard ADSL Anschluss noch? Geht da ein Profi-Router ran? Wir sind nicht in Deutschland, und die Nationale Telefongesellschaft hier scheint alles sehr, sehr proprietär zu haben. Auf Anfrage sagten Sie nur, dass wir dann einen Firmen SDSL-Anschluss brauchen, der monatlich mehr als das 8-fache kosten würde.
    Der Bedarf wäre nur für die Starface da, weil unseren anderen Server sind ganz bewusst gehostet (managed), damit wir von diesem Thema befreit sind.

  • Zitat

    Die Starface hängt hinter einem normalen ADSL NAT Router


    Was ist den das für ein Router (Modell/Typ?)

    Zitat

    Hast du auf die schnelle einen Tipp, was man denn sinnvollerweise als Firewall dazwischenhängt (ideal wäre eine simple Black-Box, leicht zu konfigurieren)?


    Mein Favorit ist die PFsense (pfsense.org), wenn Du ein alten Rechner hast mit zwei Netzwerkkarten kannst Du es darauf installieren.

    Zitat

    Dann kommt die nächste Frage: Reicht dann der Standard ADSL Anschluss noch? Geht da ein Profi-Router ran?


    Das ist dem Router eigentlich ziemlich egal, ist ja eine normale Netzwerkverbindung.

    Zitat

    Auf Anfrage sagten Sie nur, dass wir dann einen Firmen SDSL-Anschluss brauchen, der monatlich mehr als das 8-fache kosten würde.


    Das kann ich mir nicht vorstellen, zumindest die PFsense kannst Du ggf. problemlos hinter den Router basteln. Alternativ kann die Pfsense (sofern ein Modem vorhanden) auch direkt die PPPoE Verbindung herstellen wenn Zugangsdaten vorhanden sind.


    Wenn Du Fragen hast melde dich via PN, gehört eigentlich nicht mehr ins Starface Forum.

  • Danke dir, slu, für die Hilfe. PFsense habe ich mir angeschaut, das klingt sehr interessant.


    Direkt an die PPPoE Verbindung ranzugehen wäre der Weg geradeaus. Man müsste dazu nur mal ein reines Modem besorgen und testen. Vermutlich müsste da was gehen. Meine Vermutung ist, dass alle Kunden gleiche Login-Daten haben, zumindest läuft jeder x-beliebige Router des ADSL Anbieters (von verschiedenen OEM-Herstellern, mit anbietereigener Firmware) ohne irgend eine Kennung/passwort einzugeben. Vermutlich sagt der ADSL Anbieter nur andere Lösungen gehen nicht um sich Support vom Hals zu halten, und das SDSL zu verkaufen.
    Auf die schnelle werden wir aus Zeitgründen nichts machen können, aber auf Sicht müssen wir das Thema angehen.

  • Zitat

    Meine Vermutung ist, dass alle Kunden gleiche Login-Daten haben, zumindest läuft jeder x-beliebige Router des ADSL Anbieters (von verschiedenen OEM-Herstellern, mit anbietereigener Firmware) ohne irgend eine Kennung/passwort einzugeben.


    Dann gehe am besten hinter den Router mit der Pfsense (oder was auch immer), dahinter macht Du dann dein Privates kontrolliertes LAN in dem auch die Starface hängt. Wenn Du kein VPN brauchst kannst Du auch eine kleine Pfsense Hardware (mit 5W verbraucht) nehmen. Natürlich musst Du keine Pfsense nehmen, kann auch ein einfacher Router mit Firewallfunktion sein, allerdings kannst Du mit der Pfsense viel mehr machen wenns mal wächst.

    Zitat

    Auf die schnelle werden wir aus Zeitgründen nichts machen können, aber auf Sicht müssen wir das Thema angehen.


    Unterschätze das Thema nicht, mir wäre nicht wohl wenn meine Starface ohne Firewall direkt im WAN hängen würde. Denn ich muss im Falle eines Falles erklären warum kritische Geschäftsdaten abhanden gekommen sind...

  • Ich sehe, wir müssen das Thema priorisieren. Vielen Dank nochmals für die Tipps.


    Ich hatte wegen Problemen bei Sipgate-Anmeldungen die Port 5060 und 5004 frei geschaltet, zu testzwecken. Nun ist es so gewesen, das heute ab 11:32 Verbindungen sowohl nach Slovenien als auch Ägypten aufgebaut wurden. Ich selbst wurde erst gegen 13.00 Uhr darauf aufmerksam, da wir nicht mehr raus telefonieren konnten.


    Bei mir wurden vor allem folgende Nummern gewählt:
    0038970056787
    00201003330616
    00263770035248
    00381605145738


    wobei die erste diejenige war, welche am meisten angerufen wurden. Insgesamt sind es zwar nur 6771 Sekunden (also nicht ganz 50 Euro Schaden) die telefoniert wurde, aber dennoch ist es mehr als Ärgerlich.


    Wann ist mit der Freigabe der 5er zu rechnen? Diese Problematik kann ganz schön ins Geld gehen...........


    Krockett:(

  • Krockett: Port 5004 - Was soll der denn bringen?


    Eine STARFACE ist grundsätzlich nur so sicher wie die genutzten SIP Passwörter. In allen aktuellen v4.6.x Versionen können per SIP Passwort Sicherheitscheck Modul die SIP-Passwörter gecheckt werden.


    Diese Funktion wurde in SF5.0 aus dem Modul heraus in die Software direkt übernommen. Zusätzlich erkennt SF5.0 SIP Angriffe, wenn diese eine gewisse Anzahl an Fehlversuchen (Registrierung oder Rufaufbau) verursachen. Werden im System aber so dumme Passwörter und Usernames genutzt, dass man in weniger als 60 Versuchen ein Match hinbekommt, hilft auch v5.0 nicht weiter...


    Die SF5.0 ist seit letzter Woche als Betaupdate verfügbar.

  • Krockett: Es ist wirklich erstaunlich, welche Passwörter UND Benutzernamen du verwendet haben musst, dass man überhaupt ein Login bekam. Bei den Angriffen bei uns sind sie nicht einmal auf die Benutzernamen gekommen. Die Meldung war immer:

    Zitat

    No matching peer found


    Erst wenn sie den Namen eines existierenden (!) Peers haben, dürfen sie mal versuchen mit Brute Force hinter das Passwort zu kommen. Viel Spaß.


    mkoenig: Gut zu hören, dass die Starface ständig weiterentwickelt wird, gerade auch im Hinblick auf Sicherheit. Ich bin mal gespannt, was es sonst noch neues in der 5er geben wird. Kann man schon irgendwo eine Feature Liste sehen?

  • Die Version 5 bringt hier wirklich Vorteile. Einstellungen wie sicher die Passwörter sein müssen und Blacklist sind schon eine Hilfe.
    Generell sollte man auf die Passwörter und die Nutzernamen besonders achten.....


    nj

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!