Esto es un ataque?

Discussion in 'Elastix 2.x' started by mnemosine, Feb 20, 2010.

  1. mnemosine

    Joined:
    Apr 23, 2007
    Messages:
    27
    Likes Received:
    0
    Solo para probar puse un Elastix en internet asi sin FW sin nada delante de el y despues de unos dias encuento esto. Alguien me puede decir si esto es un ataque o que estan haciendo y como poder evitar esto desde el mismo Elastix.
    n new stack
    -- Executing [90454621574875@from-sip-external:2] Set("SIP/64.79.73.210-b2e5b358", "DID=90454621574875") in new stack
    -- Executing [90454621574875@from-sip-external:3] Goto("SIP/64.79.73.210-b2e5b358", "s|1") in new stack
    -- Goto (from-sip-external,s,1)
    -- Executing [s@from-sip-external:1] GotoIf("SIP/64.79.73.210-b2e5b358", "0?from-trunk|90454621574875|1") in new stack
    -- Executing [s@from-sip-external:2] Set("SIP/64.79.73.210-b2e5b358", "TIMEOUT(absolute)=15") in new stack
    -- Channel will hangup at 2010-02-19 23:21:37 UTC.
    -- Executing [s@from-sip-external:3] Answer("SIP/64.79.73.210-b2e5b358", "") in new stack
    -- Executing [s@from-sip-external:4] Wait("SIP/64.79.73.210-b2e5b358", "2") in new stack
    == Spawn extension (from-sip-external, s, 7) exited non-zero on 'SIP/64.79.73.210-b476f898'
    -- Executing [h@from-sip-external:1] NoOp("SIP/64.79.73.210-b476f898", "Hangup") in new stack
    -- Executing [h@from-sip-external:2] Set("SIP/64.79.73.210-b476f898", "DID=s") in new stack
    -- Executing [h@from-sip-external:3] Goto("SIP/64.79.73.210-b476f898", "s|1") in new stack
    -- Goto (from-sip-external,s,1)
    -- Executing [s@from-sip-external:1] GotoIf("SIP/64.79.73.210-b476f898", "0?from-trunk|s|1") in new stack
    -- Executing [s@from-sip-external:2] Set("SIP/64.79.73.210-b476f898", "TIMEOUT(absolute)=15") in new stack
    -- Channel will hangup at 2010-02-19 23:21:38 UTC.
    -- Executing [s@from-sip-external:3] Answer("SIP/64.79.73.210-b476f898", "") in new stack
    == Spawn extension (from-sip-external, s, 3) exited non-zero on 'SIP/64.79.73.210-b476f898'
    -- Executing [s@from-sip-external:5] Playback("SIP/64.79.73.210-b35422b0", "ss-noservice") in new stack
    -- <SIP/64.79.73.210-b35422b0> Playing 'ss-noservice' (language 'en')
    -- Executing [s@from-sip-external:5] Playback("SIP/64.79.73.210-b46802d0", "ss-noservice") in new stack
    -- <SIP/64.79.73.210-b46802d0> Playing 'ss-noservice' (language 'en')
    -- Executing [s@from-sip-external:5] Playback("SIP/64.79.73.210-b2e5b358", "ss-noservice") in new stack
    -- <SIP/64.79.73.210-b2e5b358> Playing 'ss-noservice' (language 'en')
    == Spawn extension (from-sip-external, s, 7) exited non-zero on 'SIP/64.79.73.210-b477a038'
    -- Executing [h@from-sip-external:1] NoOp("SIP/64.79.73.210-b477a038", "Hangup") in new stack
    -- Executing [h@from-sip-external:2] Set("SIP/64.79.73.210-b477a038", "DID=s") in new stack
    -- Executing [h@from-sip-external:3] Goto("SIP/64.79.73.210-b477a038", "s|1") in new stack
    -- Goto (from-sip-external,s,1)
    -- Executing [s@from-sip-external:1] GotoIf("SIP/64.79.73.210-b477a038", "0?from-trunk|s|1") in new stack
    -- Executing [s@from-sip-external:2] Set("SIP/64.79.73.210-b477a038", "TIMEOUT(absolute)=15") in new stack
    -- Channel will hangup at 2010-02-19 23:21:39 UTC.
    -- Executing [s@from-sip-external:3] Answer("SIP/64.79.73.210-b477a038", "") in new stack
    == Spawn extension (from-sip-external, s, 3) exited non-zero on 'SIP/64.79.73.210-b477a038'
    -- Executing [s@from-sip-external:6] PlayTones("SIP/64.79.73.210-b4774b30", "congestion") in new stack
    -- Executing [s@from-sip-external:7] Congestion("SIP/64.79.73.210-b4774b30", "5") in new stack
    == Spawn extension (from-sip-external, s, 7) exited non-zero on 'SIP/64.79.73.210-b4774b30'
    -- Executing [h@from-sip-external:1] NoOp("SIP/64.79.73.210-b4774b30", "Hangup") in new stack
    -- Executing [h@from-sip-external:2] Set("SIP/64.79.73.210-b4774b30", "DID=s") in new stack
    -- Executing [h@from-sip-external:3] Goto("SIP/64.79.73.210-b4774b30", "s|1") in new stack
    -- Goto (from-sip-external,s,1)
    -- Executing [s@from-sip-external:1] GotoIf("SIP/64.79.73.210-b4774b30", "0?from-trunk|s|1") in new stack
    -- Executing [s@from-sip-external:2] Set("SIP/64.79.73.210-b4774b30", "TIMEOUT(absolute)=15") in new stack
    -- Channel will hangup at 2010-02-19 23:21:39 UTC.


    Saludos
     
  2. zeoneo

    Joined:
    Sep 24, 2009
    Messages:
    549
    Likes Received:
    0
    estan forzando la entrada a la central, pero a la vez parece que quisieran tomar una linea...

    bueno la seguridad siempre es algo fundamental...

    Elastix tiene muy buenos firewalls, pero tambien nunca esta de mas una firewall por hardware, (nunca son mala idea los que viene con los Router por defecto)

    Nos vemos
     
  3. jcastellanos

    Joined:
    Feb 10, 2009
    Messages:
    2,404
    Likes Received:
    0
    mmm aun asi para salir tienes que abrir puertos, ahi se termina la seguridad, amenos que uses IAX, una duda tienes habilitado lo de llamadas sip anonimas?
     
  4. tylerd

    Joined:
    Jul 14, 2007
    Messages:
    33
    Likes Received:
    0
    La unica manera de que pase eso es que tenga habilitado el permiso para llamadas sip anonimas. Prueba con un mapeo diferente de puertos en tu enrutador, si estás haciendo nat (aparte de deshabilitar la funcion de llamadas sip anonimas desde PBX/configuracion general. Lo del mapeo seria una cadena de dst-nat , algo asi como: dst-addres: ip-publica-elastix, protocolo=udp dst-port:cualquiera-diferente-al-5060, action= dst-nat to address=ip-privada-elastix, to-ports=5060 (Aqui si lo colocamos pero no es accesible desde afuera) Solo los que tu quieres que tengan acceso sip a tu maquina sabran el puerto donde tocar y que es redirigido al real donde escucha sip.

    Saludos,

    P.D. Utiliza un buen firewall. Estoy de acuerdo con zeoneo en lo de los appliance, porque son mas avanzados en este tipo de manejo, pero son software a pesar de todo. Yo uso mikrotik. Lo más practico y robusto que he encontrado hasta ahora-.

    Saludos,
     
  5. fmvillares

    Joined:
    Sep 8, 2007
    Messages:
    1,785
    Likes Received:
    0
    en lo particular yo soy mas de cisco que con sus asa o pix son lo mejor de lo mejor junto a fortinet y watchguard pero si queres 1ero saber si tenes una falla de seguridad
    andate a www.sinologic.net y hacete un escaneo con la mini herramienta que hizo elio rojano de testeo

    saludos
     
  6. tylerd

    Joined:
    Jul 14, 2007
    Messages:
    33
    Likes Received:
    0
    Conoces MikroTik, mi querido amigo? lo has visto en producción? Te asombrarías de lo que hace y de lo que te podrías ahorrar sin sacrificar perfomance y versatilidad. Despúes de eso, verías a Cisco con otros ojos.

    Saludos cordiales, Viejo man..:)

    BTW: Excelente la herramienta de Elio..
     
  7. fmvillares

    Joined:
    Sep 8, 2007
    Messages:
    1,785
    Likes Received:
    0
    conozco mikrotyk y sigo prefiriendo cisco...fortinet o watchguard...de la misma forma que no uso openvox o clones...solo sangoma ibm o sun ..eso es lo bueno de tener fondos disponibles...
    saludos
     
  8. zeoneo

    Joined:
    Sep 24, 2009
    Messages:
    549
    Likes Received:
    0
    CISCO RULES!!!!!! FULL POWER!!!!!!

    lo dejo mas que claro....

    Nos vemos
     
  9. fmvillares

    Joined:
    Sep 8, 2007
    Messages:
    1,785
    Likes Received:
    0
    cisco y algunos mas jejej aguante el asa!!!!
     
  10. mnemosine

    Joined:
    Apr 23, 2007
    Messages:
    27
    Likes Received:
    0
    Ok confirmado, es un servidor en EU dentro de un hosting, seguro es de alguna empresa que da tarjetas de prepago en EU.

    Si este equipo no fuera de prueba ya me hubieran metido un gol de miles de llamadas.

    Los del Hosting no dan respuesta aun cuando tienen una direccion para reportar abusos.

    Cuidado nunca pongan un servidor directo a Internet.

    Yo en lo particular para seguridad utilizo Untangle y hasta ahora me va muy bien con el.

    Les dejo un documento que me encontre en la red sobre seguridad SIP.

    Saludos
     
  11. mnemosine

    Joined:
    Apr 23, 2007
    Messages:
    27
    Likes Received:
    0
    No paso el file de seguridad para el que lo quiera pidanlo a fgarciamtz en gmail

    saludos
     
  12. fmvillares

    Joined:
    Sep 8, 2007
    Messages:
    1,785
    Likes Received:
    0
    por eso la seguridad empieza por casa....
     
  13. jcastellanos

    Joined:
    Feb 10, 2009
    Messages:
    2,404
    Likes Received:
    0
    en efecto , nunca es recomendable usar asi la caja, a mi me funcina bien con mi fortigate
     
  14. kadepi

    Joined:
    Dec 18, 2011
    Messages:
    2
    Likes Received:
    0
    Re: Re:Esto es un ataque?

    tylerd escribió:

    Saludos, ya que usas mikrotik para voip como abre los puertos para rtp en el firewall los 10000-20000 ,tengo una ip publica no quiero redirecionar sino abrir esos puertos como haces?
     

Share This Page