Re: Защита сервера CGP от брутфорса.

Здравствуйте,

On 2013-01-21 15:44, Шкроб Виктор Николаевич wrote:
> Добрый день!

> Вот дождался очередного брута, отвечаю... > Кусок лога в атаче.

А в WebAdmin -> Settings -> Network -> Blacklisted IPs -> Temporarily Blocked IP Addresses -> Block after XXX failed logins / protocol errors у вас точно включено?

Лог у вас показан, когда очередь событий в SIPS ужепереполнена. Вопрос - чем?

WebAdmin -> Settings -> Router -> Test Address [Access/Signal] что даёт для 3/11/60@178.136.252.28 ?

> Во время атаки с сервером работать невозможно.
> Помогает только бан с помощью файрвола.
> Подскажите, как с этим бороться?
> CGPro умеет создавать файл с банлистом? Чтобы я мог его прикрутить к IPFW на роутере.
>
>
> Best Regards,
> Victor Shkrob,
>
> -----Original Message-----
> From: CommuniGate Pro Russian Discussions [mailto:CGatePro@mx.ru]
> Sent: Friday, January 4, 2013 8:25 PM
> To: CommuniGate Pro Russian Discussions
> Subject: Re: [CGP] Защита сервера CGP от брутфорса.
>
> Здравствуйте,
>
> On 2013-01-04 22:19, Шкроб Виктор Николаевич wrote:
>> Версия Сервера: 5.4.8
>
> Если на короткое время увеличить детализацию логов SIP Transport - видно ли в логах, что за клиент (friendly-scanner?) и сцерарий атаки? Просто запросы REGISTER, на которые сервер отвечает 401?
> Можно кусочек лога на support@communigate.com ?
>
>> -----Original Message-----
>> From: CommuniGate Pro Russian Discussions [mailto:CGatePro@mx.ru]
>> Sent: Friday, January 04, 2013 8:17 PM
>> To: CommuniGate Pro Russian Discussions
>> Subject: Re: [CGP] Защита сервера CGP от брутфорса.
>>
>> здравствуйте,
>>
>> On 2013-01-04 20:22, Шкроб Виктор Николаевич wrote:
>>>
>>> Выражается в том, что все сип-аккаунты в этот момент никому не могут дозвониться, т.е. они подключены, но при наборе номера тишина.
>>> В наблюдении -> Real-Time -> SIP -> Прием
>>> 81176 	31 сек 	ожидание (1sec) 		completed 	udp[хх.хх.хх.хх]:8570 	SIGNAL-264970 	REGISTER sip:yy.yy.yy.yy
>>> Таких записей на несколько страниц, помогает только бан через ipfw.
>>
>> А версия CGpro у вас какая?
>>
>>> -----Original Message-----
>>> From: CommuniGate Pro Russian Discussions [mailto:CGatePro@mx.ru]
>>> Sent: Friday, January 04, 2013 4:59 PM
>>> To: CommuniGate Pro Russian Discussions
>>> Subject: Re: [CGP] Защита сервера CGP от брутфорса.
>>>
>>> Здравствуйте,
>>>
>>> On 2013-01-04 18:36, Шкроб Виктор Николаевич wrote:
>>>> Это всё хорошо, только пока не закроешь доступ атакующему с помощью файрвола, работать по SIP с CGP невозможно.
>>>
>>> В чём это выражается? Какие проблемы, например, в логах наблюдаются при этом?
>>>
>>>> Я так понял, что брут занимает все сокеты.
>>>
>>> С UDP? Там для работы один сокет нужен...
>>>
>>>> Отсюда вопрос, где лежит список временно блокируемых адресов?
>>>> Хочу этот список использовать для закрытия доступа на уровне файрвола.
>>>
>>> CLI: GetTemBlacklistedIPs
>>> <http://www.communigate.com/CommuniGatePro/CLI.html#Misc>
>>>
>>>> -----Original Message-----
>>>> From: CommuniGate Pro Russian Discussions [mailto:CGatePro@mx.ru]
>>>> Sent: Friday, November 02, 2012 2:20 PM
>>>> To: CommuniGate Pro Russian Discussions
>>>> Subject: Re: [CGP] Защита сервера CGP от брутфорса.
>>>>
>>>> Здравствуйте,
>>>>
>>>> в WebAdmin на странице Settings->Network->Blacklisted IPs есть
>>>> настройка "Temporarily Blocked IP Addresses" она работает и для SIP.
>>>> (если у Вас кластер, то она будет только во вкладке Cluster-wide)
>>>>
>>>> On 02.11.2012 10:40, Шкроб Виктор Николаевич wrote:
>>>>> Всем добрый день,
>>>>> Сегодня ночью наш CGP забрутили по SIP с IP 85.195.82.185.
>>>>> Пока я спал, сервис SIP не работал.
>>>>> Господа, посоветуйте пожалуйста, защиту от подобных атак.
>>>>> Может скрипт, который автоматически банил бы IP после 10-ти неудачных попыток авторизации, на час например.
>>>>> CGP стоит на FreeBSD 8.2
>>>>>
>>>>> Best Regards,
>>>>> Victor Shkrob,
>>>>> IT Engineer

-- 
Best regards,
Dmitry Akindinov