The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"перебор паролей на sip"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (Linux iptables, ipchains)
Изначальное сообщение [ Отслеживать ]

"перебор паролей на sip"  +/
Сообщение от varag email(ok) on 13-Авг-10, 15:40 
Повадились хацкеры подбирать пароли на sip сервере.
Написал пару правил на iptables v1.3.6
=================================================================
SIPPORTS="5060:5080"

$IPTABLES -N sip_check
$IPTABLES -A sip_check -m recent --rcheck --seconds 600 --hitcount 2 -j DROP
$IPTABLES -A sip_check -m recent --set -j ACCEPT
#$IPTABLES -A INPUT -i $INET_IFACE -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
#$IPTABLES -A INPUT -i $INET_IFACE -m conntrack --ctstate NEW -p udp -m multiport --dport $SIPPORTS -j sip_check
================================================================
Эта связка правил -- работает.Только одно но.SIP клиент логиниться на сервер,начинает говорить и попадает в набор этих правил.И iptables начинает лочить.Не подскажите, как отделить нормальный разговор от процесса подбора паролей?

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "перебор паролей на sip"  +/
Сообщение от jaybee email(ok) on 13-Авг-10, 16:59 
эмм а в сторону fail2ban не смотрели?!
или же, например, самописный скрипт, парсящий логи астериска на предмет перебора паролей и банящий эти ip iptables'ом

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "перебор паролей на sip"  +/
Сообщение от varag email(ok) on 13-Авг-10, 17:08 
Thank.Посмотрю, что за зверь.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "перебор паролей на sip"  +/
Сообщение от varag (??) on 14-Авг-10, 23:13 
Хотелось бы реализовать это чисто на iptables.


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "перебор паролей на sip"  +/
Сообщение от reader (ok) on 15-Авг-10, 12:46 
>Хотелось бы реализовать это чисто на iptables.

если по заголовкам пакета не видно разговор это или ввод пароля, то "чисто на iptables"
остается -m string, при условии что в пакете для ввода пароля всегда есть определенная последовательность кодов, но это может быть ресурсоемко

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "перебор паролей на sip"  +/
Сообщение от varag email(ok) on 16-Авг-10, 21:48 
Большое спасибо.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "перебор паролей на sip"  +/
Сообщение от Xaionaro (ok) on 19-Сен-10, 18:48 
>>Хотелось бы реализовать это чисто на iptables.
>
>если по заголовкам пакета не видно разговор это или ввод пароля, то
>"чисто на iptables"
> остается -m string, при условии что в пакете для ввода пароля
>всегда есть определенная последовательность кодов, но это может быть ресурсоемко

В дополнение могу сказать, что я буквально недавно видел готовую реализацию данных правил, прекрасно работает при поиске по "REGISTER" или "sipчто-тотамREGISTER". :)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру