@ru_freeswitch
The30.08.2017
11:33:43
11:33:43
Привет,у меня есть банхаммер pbx сканеров, это примитивный скрипт написан на python 27 он работает в паре c fail2ban
В последние время он перестал работать, я так понял сигнатуры устарели
У меня к вам вопрос как можно улучшить защиту?
auth-call=true
firewal'ом закрыть всё не могу,так на сервер ходят из интернета.
сам скрипт https://pastebin.com/wY1wcfLY
чёт я глянул - похоже только на половину скрипта, который анализирует логи FS
agic30.08.2017
11:33:52
11:33:52
если у вас ограниченный круг подключенний c разных точек
я бы расмотрел все таки впн
ну или в крайнем случае сертификаты
Google
kino30.08.2017
11:36:19
11:36:19
чёт я глянул - похоже только на половину скрипта, который анализирует логи FS
скрипт весь,файл читает fail2banThe30.08.2017
11:37:50
11:37:50
ясно. видимо вот это - fuck_friendly_scanners.log
т.е. вас устраивало как было - просто сломался кастомизированный обработчик по юзерагентам?
где то в этом канале или соседнем проскальзывало решение через iptables по useragent сканеров.
и ещё бы я заглянул в fuck_friendly_scanners.log - туда не парсятся логи вовсе или не всё попадает, что нужно, например.
kino30.08.2017
11:41:22
11:41:22
и ещё бы я заглянул в fuck_friendly_scanners.log - туда не парсятся логи вовсе или не всё попадает, что нужно, например.
туда попадают не всё у меня устарел список
Konstantin30.08.2017
11:43:16
11:43:16
А обновление пакета не помогает?
Konstantin30.08.2017
11:44:24
11:44:24
Не из системного пакета служба установлена? Руками?
kino30.08.2017
11:45:17
11:45:17
Konstantin30.08.2017
11:46:38
11:46:38
Создать репозиторий на github и раздать всем скрипт.
GoogleKonstantin30.08.2017
11:47:00
11:47:00
Регулярно обновлять и обновляться.
The30.08.2017
11:49:10
11:49:10
гдебы брать список злодев
http://blog.kolmisoft.com/sip-attack-friendly-scanner/
вот тут почти такой же. в крайнем случае можно проанализировать логи за какой то период и посмотреть на вариативность юзерагентов - невалидных добавить в скриптawk | sort -n | uniq вот это всё
kino30.08.2017
11:53:52
11:53:52
если люди согласны будут сделаем просто наверняка тут мало людёй держат freeswitch в интернет + надо решить проблему троллей
Konstantin30.08.2017
12:07:28
12:07:28
Авторизованные коммиты решат.
Borik30.08.2017
12:10:02
12:10:02
а что делает пустой awk ?
agic30.08.2017
12:10:29
12:10:29
если люди согласны будут сделаем просто наверняка тут мало людёй держат freeswitch в интернет + надо решить проблему троллей
ну есть такие люди которые такое держатKonstantin30.08.2017
12:11:38
12:11:38
Давно пора dnsbl вводить, как когда-то для почты сделали.
Konstantin30.08.2017
12:13:42
12:13:42
Нужно открыть в Мир.
agic30.08.2017
12:14:11
12:14:11
я стесняюсь
Konstantin30.08.2017
12:14:43
12:14:43
Можно "ловушек" поставить - просто скриптов на sipp, которые всегда отвечают и заносят в список.
agic30.08.2017
12:15:02
12:15:02
а зачем ?
Konstantin30.08.2017
12:15:20
12:15:20
Резать кул хацкеров.
agic30.08.2017
12:15:28
12:15:28
у меня на камме
Alexey30.08.2017
12:15:48
12:15:48
www.badips.com и много других
agic30.08.2017
12:15:59
12:15:59
камма отдает на внешний анализ скрипту он решает по своей логике пропустить этот трафик или нет
Konstantin30.08.2017
12:16:00
12:16:00
Они распрелелённые атаки, а мы распределённой защитой их задавим.
Alexey30.08.2017
12:16:18
12:16:18
можно резать запросы без доменного имени
Googleagic30.08.2017
12:16:36
12:16:36
я режу ненужные мне страны
режу совсем тупых хакеров где в инвайте название сканера
режу сразу если пытаюся подбирать пароль или пытаются наборы делать странные
Konstantin30.08.2017
12:17:44
12:17:44
Правда есть го..нотелефоны, которые не умеют доменное имя и есть те, кто всё ещё вепит, что такой аппарат за 1.5 т.р.(метафора) будет работать и покупают и используют.
Alexey30.08.2017
12:17:54
12:17:54
можно ставть на крайние адреса сетки ловушки и банить все запросы на это адреса
Даже не нужно ни каких серверов. только простой tshark :)
Konstantin30.08.2017
12:18:14
12:18:14
Да. Тоже вариант.
agic30.08.2017
12:18:35
12:18:35
http://blog.snort.org/2011/09/snort-291-sip-preprocessor.html
Konstantin30.08.2017
12:18:36
12:18:36
Сервиса нет - кто стучит - конечно кул хацкер.
agic30.08.2017
12:18:43
12:18:43
я просто оставлю это здесь
https://www.snort.org/faq/readme-sip
тоже решит часть ваших проблем
Victor30.08.2017
12:38:34
12:38:34
На роутерах cisco с IOS с голосоыми функциями, даже, если и ен настроены диалпиры, registar и всё остальное, по-умолчанию слушается sip и h323, мне неоднократно всякие кулхацкеры заваливали запросами роутеры так, что у него был проц в полку.
Надо обязательно делать
sip-ua
no transport udp
no transport tcp
Konstantin30.08.2017
12:40:18
12:40:18
И ACL
Victor30.08.2017
12:40:54
12:40:54
или ACL
Но, ИМХО, ACL на входном интерфейсе - хуже, чем просто не слушать порты :)
Konstantin30.08.2017
12:42:05
12:42:05
Если SIP не используется совсем наружу, то твой способ лучше.
Victor30.08.2017
12:42:39
12:42:39
да, я же гворою, достаточно IOS с голосовыми функциями и по-умолчанию всё включается... хз зачем так
а так - да, только ACL, собственно, как у меня и сделано
смотрю на конфиг кошки, который делал ещё в 2008 году... ничего ен помню уже )
Konstantin30.08.2017
12:45:44
12:45:44
E1
GoogleVictor30.08.2017
12:45:49
12:45:49
да
The30.08.2017
12:55:59
12:55:59
Https://GetBTC.org/30.08.2017
14:36:35
14:36:35
Всем привет
Парни, подскажите, сделать атс с zrtp + аккаунтинг через апи ( баланс и тп спрашивает по https на каком то сервере)
Сколько будет стоить?
И что можно использовать кроме csipsimple на андроид( глючит виснет и т.п. постоянно )
Borik30.08.2017
14:40:49
14:40:49
АТС с ZRTP - это по адресу, а аккаунтинг через api - это что? Вы хотите что б АТС по API туда данные отдавала, или что б у АТС по https эти данные по факту спрашивать можно было?
попробуйте zoiper
Https://GetBTC.org/30.08.2017
14:41:46
14:41:46
По апи, всмысле чтот бы куда то обращалась атс за инфлй сколько у юзера денег, какой кли ему подставить
? Stan30.08.2017
14:42:20
14:42:20
АТС деньгами не оперирует. В лучшем случае лимитом времени
Https://GetBTC.org/30.08.2017
14:42:22
14:42:22
Т.е. кабинет мы сделаем, а вот саму атс как то непонятно нам как правильно настроить
Верно, а т.к. пользователи платят покв баксами
Borik30.08.2017
14:43:00
14:43:00
RADIUS для этого есть
Https://GetBTC.org/30.08.2017
14:43:01
14:43:01
Нужно спрашивать сколько максимум пользователь может говорить
Konstantin30.08.2017
14:43:12
14:43:12
Т.е. нужно, чтобы атс в биллинг ходила за балансом?
Https://GetBTC.org/30.08.2017
14:43:19
14:43:19
Да, верно
Konstantin30.08.2017
14:43:28
14:43:28
И за лимитом по времени?
Borik30.08.2017
14:43:45
14:43:45
Самое простое - радиус, там все практически из коробки работает.
Konstantin30.08.2017
14:43:51
14:43:51
+1
GoogleBorik30.08.2017
14:44:06
14:44:06
А вы со своей стороны в него все отдавайте
Konstantin30.08.2017
14:44:13
14:44:13
И Kam, там внятные модули есть для этого.
Https://GetBTC.org/30.08.2017
14:44:17
14:44:17
А как с панелькой состыковать на пхп + mysql ?
Borik30.08.2017
14:45:18
14:45:18
вообще, довольно просто :) freeradius, к примеру, умеет спрашивать у mysql нужные ему данные
вы в пхп данные сформируйте и в mysql положите
Konstantin30.08.2017
14:46:00
14:46:00
И АТС и ваша панелька просто с БД работать будут.
Каждое через свои средства.
Https://GetBTC.org/30.08.2017
14:46:29
14:46:29
Так а насколько мне известно, фрисвич и ьез радиуса умеет с мускуль общаться?
Konstantin30.08.2017
14:47:13
14:47:13
Можно, но radius более "промышленный" способ.
Borik30.08.2017
14:47:27
14:47:27
фрисвич умеет с мусклем работать напрямую, и без радиуса. Вот только Вам оно надо самостоятельно писать все хуки, если можно взять готовое решение с радиусом?
+1
Https://GetBTC.org/30.08.2017
14:47:43
14:47:43
Хуки?
Borik30.08.2017
14:47:48
14:47:48
hooks
Konstantin30.08.2017
14:47:58
14:47:58
И к тому же, radius это унифицированное АТСнезависимое средство.
Borik30.08.2017
14:47:58
14:47:58
термин, определяющей действие в ответ на определенное событие
Открыть в Telegram