Esto es un ataque?

mnemosine

Joined
Apr 23, 2007
Messages
27
Likes
0
Points
0
#1
Solo para probar puse un Elastix en internet asi sin FW sin nada delante de el y despues de unos dias encuento esto. Alguien me puede decir si esto es un ataque o que estan haciendo y como poder evitar esto desde el mismo Elastix.
n new stack
-- Executing [90454621574875@from-sip-external:2] Set("SIP/64.79.73.210-b2e5b358", "DID=90454621574875") in new stack
-- Executing [90454621574875@from-sip-external:3] Goto("SIP/64.79.73.210-b2e5b358", "s|1") in new stack
-- Goto (from-sip-external,s,1)
-- Executing [s@from-sip-external:1] GotoIf("SIP/64.79.73.210-b2e5b358", "0?from-trunk|90454621574875|1") in new stack
-- Executing [s@from-sip-external:2] Set("SIP/64.79.73.210-b2e5b358", "TIMEOUT(absolute)=15") in new stack
-- Channel will hangup at 2010-02-19 23:21:37 UTC.
-- Executing [s@from-sip-external:3] Answer("SIP/64.79.73.210-b2e5b358", "") in new stack
-- Executing [s@from-sip-external:4] Wait("SIP/64.79.73.210-b2e5b358", "2") in new stack
== Spawn extension (from-sip-external, s, 7) exited non-zero on 'SIP/64.79.73.210-b476f898'
-- Executing [h@from-sip-external:1] NoOp("SIP/64.79.73.210-b476f898", "Hangup") in new stack
-- Executing [h@from-sip-external:2] Set("SIP/64.79.73.210-b476f898", "DID=s") in new stack
-- Executing [h@from-sip-external:3] Goto("SIP/64.79.73.210-b476f898", "s|1") in new stack
-- Goto (from-sip-external,s,1)
-- Executing [s@from-sip-external:1] GotoIf("SIP/64.79.73.210-b476f898", "0?from-trunk|s|1") in new stack
-- Executing [s@from-sip-external:2] Set("SIP/64.79.73.210-b476f898", "TIMEOUT(absolute)=15") in new stack
-- Channel will hangup at 2010-02-19 23:21:38 UTC.
-- Executing [s@from-sip-external:3] Answer("SIP/64.79.73.210-b476f898", "") in new stack
== Spawn extension (from-sip-external, s, 3) exited non-zero on 'SIP/64.79.73.210-b476f898'
-- Executing [s@from-sip-external:5] Playback("SIP/64.79.73.210-b35422b0", "ss-noservice") in new stack
-- <SIP/64.79.73.210-b35422b0> Playing 'ss-noservice' (language 'en')
-- Executing [s@from-sip-external:5] Playback("SIP/64.79.73.210-b46802d0", "ss-noservice") in new stack
-- <SIP/64.79.73.210-b46802d0> Playing 'ss-noservice' (language 'en')
-- Executing [s@from-sip-external:5] Playback("SIP/64.79.73.210-b2e5b358", "ss-noservice") in new stack
-- <SIP/64.79.73.210-b2e5b358> Playing 'ss-noservice' (language 'en')
== Spawn extension (from-sip-external, s, 7) exited non-zero on 'SIP/64.79.73.210-b477a038'
-- Executing [h@from-sip-external:1] NoOp("SIP/64.79.73.210-b477a038", "Hangup") in new stack
-- Executing [h@from-sip-external:2] Set("SIP/64.79.73.210-b477a038", "DID=s") in new stack
-- Executing [h@from-sip-external:3] Goto("SIP/64.79.73.210-b477a038", "s|1") in new stack
-- Goto (from-sip-external,s,1)
-- Executing [s@from-sip-external:1] GotoIf("SIP/64.79.73.210-b477a038", "0?from-trunk|s|1") in new stack
-- Executing [s@from-sip-external:2] Set("SIP/64.79.73.210-b477a038", "TIMEOUT(absolute)=15") in new stack
-- Channel will hangup at 2010-02-19 23:21:39 UTC.
-- Executing [s@from-sip-external:3] Answer("SIP/64.79.73.210-b477a038", "") in new stack
== Spawn extension (from-sip-external, s, 3) exited non-zero on 'SIP/64.79.73.210-b477a038'
-- Executing [s@from-sip-external:6] PlayTones("SIP/64.79.73.210-b4774b30", "congestion") in new stack
-- Executing [s@from-sip-external:7] Congestion("SIP/64.79.73.210-b4774b30", "5") in new stack
== Spawn extension (from-sip-external, s, 7) exited non-zero on 'SIP/64.79.73.210-b4774b30'
-- Executing [h@from-sip-external:1] NoOp("SIP/64.79.73.210-b4774b30", "Hangup") in new stack
-- Executing [h@from-sip-external:2] Set("SIP/64.79.73.210-b4774b30", "DID=s") in new stack
-- Executing [h@from-sip-external:3] Goto("SIP/64.79.73.210-b4774b30", "s|1") in new stack
-- Goto (from-sip-external,s,1)
-- Executing [s@from-sip-external:1] GotoIf("SIP/64.79.73.210-b4774b30", "0?from-trunk|s|1") in new stack
-- Executing [s@from-sip-external:2] Set("SIP/64.79.73.210-b4774b30", "TIMEOUT(absolute)=15") in new stack
-- Channel will hangup at 2010-02-19 23:21:39 UTC.


Saludos
 

zeoneo

Joined
Sep 24, 2009
Messages
549
Likes
0
Points
0
#2
estan forzando la entrada a la central, pero a la vez parece que quisieran tomar una linea...

bueno la seguridad siempre es algo fundamental...

Elastix tiene muy buenos firewalls, pero tambien nunca esta de mas una firewall por hardware, (nunca son mala idea los que viene con los Router por defecto)

Nos vemos
 

jcastellanos

Joined
Feb 10, 2009
Messages
2,404
Likes
0
Points
0
#3
mmm aun asi para salir tienes que abrir puertos, ahi se termina la seguridad, amenos que uses IAX, una duda tienes habilitado lo de llamadas sip anonimas?
 

tylerd

Joined
Jul 14, 2007
Messages
33
Likes
0
Points
0
#4
La unica manera de que pase eso es que tenga habilitado el permiso para llamadas sip anonimas. Prueba con un mapeo diferente de puertos en tu enrutador, si estás haciendo nat (aparte de deshabilitar la funcion de llamadas sip anonimas desde PBX/configuracion general. Lo del mapeo seria una cadena de dst-nat , algo asi como: dst-addres: ip-publica-elastix, protocolo=udp dst-port:cualquiera-diferente-al-5060, action= dst-nat to address=ip-privada-elastix, to-ports=5060 (Aqui si lo colocamos pero no es accesible desde afuera) Solo los que tu quieres que tengan acceso sip a tu maquina sabran el puerto donde tocar y que es redirigido al real donde escucha sip.

Saludos,

P.D. Utiliza un buen firewall. Estoy de acuerdo con zeoneo en lo de los appliance, porque son mas avanzados en este tipo de manejo, pero son software a pesar de todo. Yo uso mikrotik. Lo más practico y robusto que he encontrado hasta ahora-.

Saludos,
 

fmvillares

Joined
Sep 8, 2007
Messages
1,785
Likes
0
Points
0
#5
en lo particular yo soy mas de cisco que con sus asa o pix son lo mejor de lo mejor junto a fortinet y watchguard pero si queres 1ero saber si tenes una falla de seguridad
andate a www.sinologic.net y hacete un escaneo con la mini herramienta que hizo elio rojano de testeo

saludos
 

tylerd

Joined
Jul 14, 2007
Messages
33
Likes
0
Points
0
#6
Conoces MikroTik, mi querido amigo? lo has visto en producción? Te asombrarías de lo que hace y de lo que te podrías ahorrar sin sacrificar perfomance y versatilidad. Despúes de eso, verías a Cisco con otros ojos.

Saludos cordiales, Viejo man..:)

BTW: Excelente la herramienta de Elio..
 

fmvillares

Joined
Sep 8, 2007
Messages
1,785
Likes
0
Points
0
#7
conozco mikrotyk y sigo prefiriendo cisco...fortinet o watchguard...de la misma forma que no uso openvox o clones...solo sangoma ibm o sun ..eso es lo bueno de tener fondos disponibles...
saludos
 

zeoneo

Joined
Sep 24, 2009
Messages
549
Likes
0
Points
0
#8
CISCO RULES!!!!!! FULL POWER!!!!!!

lo dejo mas que claro....

Nos vemos
 

fmvillares

Joined
Sep 8, 2007
Messages
1,785
Likes
0
Points
0
#9
cisco y algunos mas jejej aguante el asa!!!!
 

mnemosine

Joined
Apr 23, 2007
Messages
27
Likes
0
Points
0
#10
Ok confirmado, es un servidor en EU dentro de un hosting, seguro es de alguna empresa que da tarjetas de prepago en EU.

Si este equipo no fuera de prueba ya me hubieran metido un gol de miles de llamadas.

Los del Hosting no dan respuesta aun cuando tienen una direccion para reportar abusos.

Cuidado nunca pongan un servidor directo a Internet.

Yo en lo particular para seguridad utilizo Untangle y hasta ahora me va muy bien con el.

Les dejo un documento que me encontre en la red sobre seguridad SIP.

Saludos
 

mnemosine

Joined
Apr 23, 2007
Messages
27
Likes
0
Points
0
#11
No paso el file de seguridad para el que lo quiera pidanlo a fgarciamtz en gmail

saludos
 

fmvillares

Joined
Sep 8, 2007
Messages
1,785
Likes
0
Points
0
#12
por eso la seguridad empieza por casa....
 

jcastellanos

Joined
Feb 10, 2009
Messages
2,404
Likes
0
Points
0
#13
en efecto , nunca es recomendable usar asi la caja, a mi me funcina bien con mi fortigate
 

kadepi

Joined
Dec 18, 2011
Messages
2
Likes
0
Points
0
#14
Re: Re:Esto es un ataque?

tylerd escribió:
La unica manera de que pase eso es que tenga habilitado el permiso para llamadas sip anonimas. Prueba con un mapeo diferente de puertos en tu enrutador, si estás haciendo nat (aparte de deshabilitar la funcion de llamadas sip anonimas desde PBX/configuracion general. Lo del mapeo seria una cadena de dst-nat , algo asi como: dst-addres: ip-publica-elastix, protocolo=udp dst-port:cualquiera-diferente-al-5060, action= dst-nat to address=ip-privada-elastix, to-ports=5060 (Aqui si lo colocamos pero no es accesible desde afuera) Solo los que tu quieres que tengan acceso sip a tu maquina sabran el puerto donde tocar y que es redirigido al real donde escucha sip.

Saludos,

P.D. Utiliza un buen firewall. Estoy de acuerdo con zeoneo en lo de los appliance, porque son mas avanzados en este tipo de manejo, pero son software a pesar de todo. Yo uso mikrotik. Lo más practico y robusto que he encontrado hasta ahora-.

Saludos,

Saludos, ya que usas mikrotik para voip como abre los puertos para rtp en el firewall los 10000-20000 ,tengo una ip publica no quiero redirecionar sino abrir esos puertos como haces?
 

Members online

No members online now.

Latest posts

Forum statistics

Threads
30,900
Messages
130,884
Members
17,561
Latest member
marouen
Top