istike
Goto Top

VoIP-Server gegen Hacken sichern

Hallo,

ich mieten einen kleineren CentOS 5.0 Server auf dem ich FreeSwitch - als VoIP-Server- habe...

Vor einigen Tagen, da ich - dooferweise - mein default Admin-Kennwort nicht geändert habe, wurde einige Euro von Fremden "abtelefoniert".

Dies hat meine Aufmerksamkeit ein bißchen erweckt.

Der Admin hat jetzt Fail2Ban installiert und wir haben halt generell stärkere Kennworter eingerichtet (bzw. Anzeige gegen Unbekannten erstattet face-smile)

Was kann man noch machen?

Mit FW kommen wir nicht zu weit, da meine Users zum Teil auch von zu Hause aus telefonieren und die IP-Adressen sich daher stets ändern.

Was könnt ihr noch - als allgmeine Sicherheitsmassnahme - vorschlagen?

Danke für die Tipps.


Gr. I.


PS: wenn ich die IP-Adresse richtig geprüft habe, kommen die Täter aus dem Gaza-Streifen... Gibt es eine gewisse Hoffnung, dass sie erwischt werden?

Ich stufe die Chance gegen Null ein...

Content-ID: 156239

Url: https://administrator.de/forum/voip-server-gegen-hacken-sichern-156239.html

Ausgedruckt am: 21.12.2024 um 15:12 Uhr

aqui
aqui 02.12.2010 um 18:27:52 Uhr
Goto Top
Klar da gibt es einen sehr gut funktionierenden Polizei Apparat und eine hervorragende Justiz. Die werden sicher in max. 2 Tagen dingfest gemacht und nach D ausgeliefert !
Vielleicht waren es aber auch Chinesen die über einen VPN Tunnel und NAT dahingekommen sind...oder Kollegen aus Timbuktu...oder...
Keine Sorge die deutsche Justiz nimmt den schon den Hacken weg !
danielfr
danielfr 02.12.2010 um 19:09:29 Uhr
Goto Top
Schon ganz lustig, die Vorstellung.
Aber Spaß beiseite. Was auf jeden Fall eine gute Idee ist, "unseriöse" IP Bereiche, von denen sowieso nicht auf den Server zugegriffen wird, auszusperren.
Gruß Daniel
Istike
Istike 02.12.2010 um 19:38:37 Uhr
Goto Top
Wie definierst du "unseriöse" Bereiche?

Ich brauche USA, Frankreich, Deutschland und Ungarn und vielleicht noch die Schweiz...

Alles andere auszuschließen würde etlichen Tausende Rules bedeuten (meinte der Admin...)
danielfr
danielfr 02.12.2010 um 19:46:52 Uhr
Goto Top
z.B. http://jumping-frog.org/files/badhosts.txt
Ansonsten auch alles, was sich lt. logs so versucht einzuloggen, sofern es eben nicht zu einem Bereich gehört den man braucht.
fail2ban sollte aber auch schon einen Großteil der Attacken ausschliessen.
knut4linux
knut4linux 02.12.2010 um 20:35:04 Uhr
Goto Top
Mahlzeit,

Alles andere auszuschließen würde etlichen Tausende Rules bedeuten (meinte der Admin...)

Es gibt da mehrere Internetseiten, (http://www.dnsstuff.com/where-are-my-results/) wo die IP-Ranges der einzelnen Kontinente, Länder aufgelistet sind, man bräuchte also nur Ranges definieren. Bringt aber leider gaaaaaaaaar nichts, denn wie Aqui schon erwähnte, könnte...usw. Außerdem ist es für solche "Bösewichte" auch kein Thema irgendeinen Trojanerverseuchten ComputerBild-Admin-PC als Proxy zu nutzen und so in dein Netz zu gelangen. Ist also alles vorm Arsch.

Die sicherste Variante aus meiner Sicht, ist die Authentifizierung mittels e-token fertig -> siehe Aladin oder einfach diese schöne Zeitung abbonieren und nichts verpassen:

http://www.it-administrator.de/themen/sicherheit/fachartikel/51583.html <- E-Token, Fachartikel der IT-Administraor


Gruß, Knut
danielfr
danielfr 02.12.2010 um 20:48:36 Uhr
Goto Top
Sorry Knut, dem muss ich wiedersprechen. Das bringt schon was, und zwar, das die Attacken auf Server tatsächlich weniger werden. Weniger Attacken = weniger Chancen, das der Server gehackt wird. Und viele der Attacken kommen einfach real aus diesen IP Bereichen, mit nix was dazwischen.
Das man den Server trotzdem hacken kann ist ja wohl klar.
Wie Integriert sich das E-Token Teil denn mit dem Free Switch und SIP?
So, jetzt kauf ich mir ne Hacke... bei der Kälte wird das lustig face-wink.
Grüssle Daniel
knut4linux
knut4linux 02.12.2010 um 21:13:24 Uhr
Goto Top
LOL, aber gehe bitte in einen ordentlichen Baumarkt. *g

Wie Integriert sich das E-Token Teil denn mit dem Free Switch und SIP?

Diese Frage kann ich dir leider nicht beantworten, da ich damit noch 0 Anwendungserfahrung habe. Deine Frage lautete lediglich, was wir für Ideen haben, deshalb habe ich mich auch mit eingeklingt.


EDIT:

Das bringt schon was, und zwar, das die Attacken auf Server tatsächlich weniger werden

Dann kannst du dir auch einen Script basteln, welches per crontab die source-ip's von fehlgeschlagenen logins grept und und via drop chain's blockt. Nachteil bei dieser Geschichte auch wenn diese ehr unwahrscheinlich ist, dass einer deiner USER zufällig von seinem Provider ne IP bekommt, die dieser Script gedropt hat.

So, Gun8 @ll
danielfr
danielfr 02.12.2010 um 21:18:36 Uhr
Goto Top
Mache ich. Oder ich hack das Dings einfach selbst zusammen...
Aber ich habe die Frage gar nicht gestellt, das war Istike...
knut4linux
knut4linux 02.12.2010 um 21:21:23 Uhr
Goto Top
Ja Sorry, mich plagte eine laaaaaaange Nacht...