Tweet
Saludos amigos espero que se encuentren bien, acudo a ver si alguien me pueda ayudar con este problema
Tengo una central asterisk con FreePbx estaba funcionando de forma local sin problemas, el dueño de la empresa tubo la necesidad de implementar extensiones remotas, para ello el ISP proporcionó una Ip pública y esta fue configurada en un router con los respectivos nateos, yo le sugerí que se coloque un servidor Linux antes de la central para que actue de firewall para proteger pero por falta de presupuesto el cliente no lo implemento y otra persona realizó la instalación de este router mostrando al mundo la central.
Para darle un poco de seguridad a la central instale y configuré fail2ban activando el baneo para accesos no registrados por ssh y registros sip en el puerto 5060, también coloque un par de scripts que leen los logs de asterisk y encuentra fallos de autenticación saca la ip y al banea por tiempo indefinido, a los dos dias después de realizar la instalación de la central con acceso al mundo pincharon esta central, busque en los logs y como tal no pincharon la central sino pincharon una extensión, esta extensión era local y no tenia acceso a realizar llamadas internacionales, es más el código de marcado para llamadas internacionales no esta creada en la central, lo que encontré es esto
[2016-06-10 05:48:46] VERBOSE[28087][C-00001c08] pbx.c: -- Executing [00970597802233@from-internal:1] Macro("SIP/310-0000153f", "user-callerid,LIMIT,EXTERNAL,") in new stack
Después de este hackeo se realizó la implementación del servidor Linux como firewall, he estado monitoreando la central y me encuentro con estos mensajes
[2016-06-11 11:47:40] NOTICE[2975][C-00000001]: chan_sip.c:25751 handle_request_invite: Failed to authenticate device 1299<sip:1299@XX.XX.XX.XX>;tag=70e28bff
[2016-06-11 11:47:52] NOTICE[2975][C-00000002]: chan_sip.c:25751 handle_request_invite: Failed to authenticate device 902<sip:902@XX.XX.XX.XX>;tag=6c0d5810
Donde XX.XX.XX.XX es la ip pública del servidor, es como que el mismo servidor esta haciendo auto ataques lo cuál me parece un poco ilógico.
Podrían por favor guiarme que es loq ue esta pasando la central esta hackeada o son intentos de hackeo.
Gracias a todos
Tengo una central asterisk con FreePbx estaba funcionando de forma local sin problemas, el dueño de la empresa tubo la necesidad de implementar extensiones remotas, para ello el ISP proporcionó una Ip pública y esta fue configurada en un router con los respectivos nateos, yo le sugerí que se coloque un servidor Linux antes de la central para que actue de firewall para proteger pero por falta de presupuesto el cliente no lo implemento y otra persona realizó la instalación de este router mostrando al mundo la central.
Para darle un poco de seguridad a la central instale y configuré fail2ban activando el baneo para accesos no registrados por ssh y registros sip en el puerto 5060, también coloque un par de scripts que leen los logs de asterisk y encuentra fallos de autenticación saca la ip y al banea por tiempo indefinido, a los dos dias después de realizar la instalación de la central con acceso al mundo pincharon esta central, busque en los logs y como tal no pincharon la central sino pincharon una extensión, esta extensión era local y no tenia acceso a realizar llamadas internacionales, es más el código de marcado para llamadas internacionales no esta creada en la central, lo que encontré es esto
[2016-06-10 05:48:46] VERBOSE[28087][C-00001c08] pbx.c: -- Executing [00970597802233@from-internal:1] Macro("SIP/310-0000153f", "user-callerid,LIMIT,EXTERNAL,") in new stack
Después de este hackeo se realizó la implementación del servidor Linux como firewall, he estado monitoreando la central y me encuentro con estos mensajes
[2016-06-11 11:47:40] NOTICE[2975][C-00000001]: chan_sip.c:25751 handle_request_invite: Failed to authenticate device 1299<sip:1299@XX.XX.XX.XX>;tag=70e28bff
[2016-06-11 11:47:52] NOTICE[2975][C-00000002]: chan_sip.c:25751 handle_request_invite: Failed to authenticate device 902<sip:902@XX.XX.XX.XX>;tag=6c0d5810
Donde XX.XX.XX.XX es la ip pública del servidor, es como que el mismo servidor esta haciendo auto ataques lo cuál me parece un poco ilógico.
Podrían por favor guiarme que es loq ue esta pasando la central esta hackeada o son intentos de hackeo.
Gracias a todos
Comentario