Re: Защита сервера CGP от брутфорса.

От: maxim.gorbushin <CGatePro_at_mx_ru>
Дата: Sat 05 Jan 2013 - 11:25:36 MSK

Мы вот с такой фигнёй боремся шуткой
встроенной в IOS нашего бордера,
называется CISCO IPS.   -----Original Message-----
From: "Dmitry Akindinov" <CGatePro@mx.ru> To: "CommuniGate Pro Russian Discussions" <CGatePro@mx.ru> Date: Fri, 04 Jan 2013 22:25:03 +0400
Subject: Re: [CGP] Защита сервера CGP от брутфорса.

Здравствуйте,

On 2013-01-04 22:19, Шкроб Виктор Николаевич wrote:
> Версия Сервера: 5.4.8

Если на короткое время увеличить
детализацию логов SIP Transport - видно
ли в логах, что за клиент (friendly-scanner?) и сцерарий атаки? Просто
запросы REGISTER, на которые сервер отвечает 401?
Можно кусочек лога на support@communigate.com ? 

> -----Original Message-----
> From: CommuniGate Pro Russian Discussions [mailto:CGatePro@mx.ru]
> Sent: Friday, January 04, 2013 8:17 PM
> To: CommuniGate Pro Russian Discussions
> Subject: Re: [CGP] Защита сервера CGP от
брутфорса. 
>
> здравствуйте,
>
> On 2013-01-04 20:22, Шкроб Виктор Николаевич wrote:
>>
>> Выражается в том, что все сип-аккаунты в
этот момент никому не могут дозвониться, т.е. они подключены, но при наборе номера тишина.
>> В наблюдении -> Real-Time -> SIP -> Прием >> 81176 31 сек ожидание (1sec) completed udp[хх.хх.хх.хх]:8570 SIGNAL-264970 REGISTER sip:yy.yy.yy.yy >> Таких записей на несколько страниц,
помогает только бан через ipfw. 
>
> А версия CGpro у вас какая?
>
>> -----Original Message-----
>> From: CommuniGate Pro Russian Discussions [mailto:CGatePro@mx.ru]
>> Sent: Friday, January 04, 2013 4:59 PM
>> To: CommuniGate Pro Russian Discussions
>> Subject: Re: [CGP] Защита сервера CGP от
брутфорса. 
>>
>> Здравствуйте,
>>
>> On 2013-01-04 18:36, Шкроб Виктор Николаевич wrote:
>>> Это всё хорошо, только пока не закроешь
доступ атакующему с помощью файрвола,
работать по SIP с CGP невозможно.
>>
>> В чём это выражается? Какие проблемы, например, в логах наблюдаются при этом?
>>
>>> Я так понял, что брут занимает все
сокеты. 
>>
>> С UDP? Там для работы один сокет нужен...
>>
>>> Отсюда вопрос, где лежит список

временно блокируемых адресов?
>>> Хочу этот список использовать для
закрытия доступа на уровне файрвола. 
>>
>> CLI: GetTemBlacklistedIPs
>> <http://www.communigate.com/CommuniGatePro/CLI.html#Misc>
>>
>>> -----Original Message-----
>>> From: CommuniGate Pro Russian Discussions [mailto:CGatePro@mx.ru]
>>> Sent: Friday, November 02, 2012 2:20 PM
>>> To: CommuniGate Pro Russian Discussions
>>> Subject: Re: [CGP] Защита сервера CGP от
брутфорса. 
>>>
>>> Здравствуйте,
>>>
>>> в WebAdmin на странице Settings->Network->Blacklisted IPs
есть
>>> настройка "Temporarily Blocked IP Addresses" она работает и для SIP.
>>> (если у Вас кластер, то она будет только во вкладке Cluster-wide) 
>>>
>>> On 02.11.2012 10:40, Шкроб Виктор Николаевич wrote:
>>>> Всем добрый день,
>>>> Сегодня ночью наш CGP забрутили по SIP с IP
85.195.82.185.
>>>> Пока я спал, сервис SIP не работал. >>>> Господа, посоветуйте пожалуйста,
защиту от подобных атак.
>>>> Может скрипт, который автоматически банил бы IP после 10-ти неудачных попыток авторизации, на час например. 
>>>> CGP стоит на FreeBSD 8.2
>>>>
>>>> Best Regards,
>>>> Victor Shkrob,
>>>> IT Engineer
>>
>>
>> --
>> Best regards,
>> Dmitry Akindinov
>>
>>
>>
>> ##################################################################
>> Вы получили это сообщение потому, что 
подписаны на список рассылки
>>     <CGatePro@mx.ru>.

>>
>> Чтобы отписаться, отправьте сообщение на адрес <CGatePro-off@mx.ru>
>> Чтобы переключиться в режим дайджеста - mailto:<CGatePro-digest@mx.ru>
>> Чтобы переключиться в индексный режим - mailto:<CGatePro-index@mx.ru>
>> Для административных запросов адрес
<CGatePro-request@mx.ru> Архив 
>> списка: http://mx.demos.su/lists/cgp-russian/
>>
>>
>>
>>
>>
>>
>>
>> ##################################################################
>> Вы получили это сообщение потому, что 
подписаны на список рассылки
>>     <CGatePro@mx.ru>.

>>
>> Чтобы отписаться, отправьте сообщение на адрес <CGatePro-off@mx.ru>
>> Чтобы переключиться в режим дайджеста - mailto:<CGatePro-digest@mx.ru>
>> Чтобы переключиться в индексный режим - mailto:<CGatePro-index@mx.ru>
>> Для административных запросов адрес
<CGatePro-request@mx.ru> Архив 
>> списка: http://mx.demos.su/lists/cgp-russian/
>>
>>
>>
>
> --
> Best regards,
> Dmitry Akindinov
>
>
>
> ##################################################################
> Вы получили это сообщение потому, что
подписаны на список рассылки 
>    <CGatePro@mx.ru>.
>
> Чтобы отписаться, отправьте сообщение
на адрес <CGatePro-off@mx.ru>
> Чтобы переключиться в режим дайджеста - mailto:<CGatePro-digest@mx.ru>
> Чтобы переключиться в индексный режим - mailto:<CGatePro-index@mx.ru>
> Для административных запросов адрес
<CGatePro-request@mx.ru> 
> Архив списка: http://mx.demos.su/lists/cgp-russian/
>
>
>
>
>
>
>
> ##################################################################
> Вы получили это сообщение потому, что
подписаны на список рассылки 
>    <CGatePro@mx.ru>.
>
> Чтобы отписаться, отправьте сообщение
на адрес <CGatePro-off@mx.ru>
> Чтобы переключиться в режим дайджеста - mailto:<CGatePro-digest@mx.ru>
> Чтобы переключиться в индексный режим - mailto:<CGatePro-index@mx.ru>
> Для административных запросов адрес
<CGatePro-request@mx.ru> 
> Архив списка: http://mx.demos.su/lists/cgp-russian/
>
>
>


--
Best regards,
Dmitry Akindinov



##################################################################
Вы получили это сообщение потому, что 
подписаны на список рассылки
  <CGatePro@mx.ru>.

Чтобы отписаться, отправьте сообщение на 
адрес <CGatePro-off@mx.ru>
Чтобы переключиться в режим дайджеста - 
mailto:<CGatePro-digest@mx.ru>
Чтобы переключиться в индексный режим - 
mailto:<CGatePro-index@mx.ru>
Для административных запросов адрес 
<CGatePro-request@mx.ru>
Архив списка: http://mx.demos.su/lists/cgp-russian/
Получено Sat Jan 05 07:26:49 2013

Этот архив был сгенерирован hypermail 2.1.8 : Fri 24 Apr 2015 - 16:17:29 MSK