Сообщения без ответов | Активные темы Текущее время: 29 мар 2024, 12:18



Ответить на тему  [ Сообщений: 18 ] 
Помогите с ACL. Терроризируют извне 
Автор Сообщение

Зарегистрирован: 30 сен 2013, 02:47
Сообщения: 51
Всем здравствуйте.

С пока еще одного внешнего IP кто-то терроризирует SIP-сервер. Адрес "террориста" 216.244.81.242. Он просто подключается к серверу под произвольным SIP-аккаунтом (которого нет в базе) и начинает обзванивать массово внутренние номера.

Вот как это происходит:

Пока не включу NAT, всё ок. Как только включу, через пару минут начинается массовый обзвон.

WIRESHARK на SIP-сервере (172.16.100.15) показывает
Изображение

Это происходит именно тогда, когда я применяю ACL с именем SIP. При этом в ACL SIP я разрешил отправлять запрос SIP-серверу только на заданный адрес SIP-провайдера.

Вот кусок конфига с ACL:

Код:
ip nat inside source list BLACK_LIST interface FastEthernet0 overload
ip nat inside source list SIP interface FastEthernet0 overload
ip nat inside source static tcp 172.16.100.40 480 interface FastEthernet0 480
ip nat inside source static tcp 172.16.100.14 25 interface FastEthernet0 25
ip nat inside source static tcp 172.16.100.40 3389 interface FastEthernet0 3999
ip route 0.0.0.0 0.0.0.0 31.xx.xx.201



ip access-list extended BLACK_LIST
 deny   ip 216.244.0.0 0.0.255.255 any

ip access-list extended SIP
 permit ip host 172.16.100.15 host 85.95.128.5
 deny   ip any any


Прошу подсказать, почему, когда я включаю правило SIP командой ip nat inside source list SIP interface FastEthernet0 overload, то сразу начинается террор с 216.244.81.242.

Почему не срабатывает правило BLACK_LIST?

Как же будет правильно настроить, чтобы SIP-серверу было разрешен только трафик до SIP-провайдера, а все, что извне явно не указанное отбрасывалось?

Прошу извинить, что в ACL прохо разбираюсь.


06 ноя 2018, 09:04
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 1834
Сделай и забудь
ip route 216.244.81.242 255.255.255.255 Null0


06 ноя 2018, 09:36
Профиль

Зарегистрирован: 30 сен 2013, 02:47
Сообщения: 51
Lomax писал(а):
Сделай и забудь
ip route 216.244.81.242 255.255.255.255 Null0


Сделал, не прошло и минуты сразу куча обзвона (


06 ноя 2018, 10:06
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
самый простой способ разрешить трафик на СИП к которому вы совершаете коннект, а всё остальное запретить

Должно примерно выглядить так

object-group network VoIP-Access
description VoIPdiscount.com Access
77.72.168.0 255.255.255.0
77.72.169.0 255.255.255.0
80.239.235.0 255.255.255.0
62.41.83.0 255.255.255.0
195.219.64.0 255.255.255.0
87.98.148.0 255.255.255.0
!
ip access-list extended SIP_Grp_Access
permit tcp object-group VoIP-Access any eq 5060
permit udp object-group VoIP-Access any eq 5060
deny tcp any any eq 5060 log-input
deny udp any any eq 5060 log-input
permit ip any any
!
interface GigabitEthernet0/0
ip access-group SIP_Grp_Access in


06 ноя 2018, 11:31
Профиль

Зарегистрирован: 30 сен 2013, 02:47
Сообщения: 51
root99 писал(а):
самый простой способ разрешить трафик на СИП к которому вы совершаете коннект, а всё остальное запретить

Должно примерно выглядить так

object-group network VoIP-Access
description VoIPdiscount.com Access
77.72.168.0 255.255.255.0
77.72.169.0 255.255.255.0
80.239.235.0 255.255.255.0
62.41.83.0 255.255.255.0
195.219.64.0 255.255.255.0
87.98.148.0 255.255.255.0
!
ip access-list extended SIP_Grp_Access
permit tcp object-group VoIP-Access any eq 5060
permit udp object-group VoIP-Access any eq 5060
deny tcp any any eq 5060 log-input
deny udp any any eq 5060 log-input
permit ip any any
!
interface GigabitEthernet0/0
ip access-group SIP_Grp_Access in



Сделал вот как:
Код:
object-group network VoIP-Access
description VoIP Access
85.95.128.5 255.255.255.0
!
ip access-list extended SIP_Grp_Access
permit tcp object-group VoIP-Access any eq 5060
permit udp object-group VoIP-Access any eq 5060
deny tcp any any eq 5060 log-input
deny udp any any eq 5060 log-input
permit ip any any
!

interface FastEthernet0

 ip address 31.xx.xx.202 255.255.255.248
 ip access-group SIP_Grp_Access in
 no ip redirects
 ip nat outside
 ip virtual-reassembly
 duplex auto
 speed auto

interface Vlan1
 ip address 172.16.100.10 255.255.255.0
 ip nat inside
 no ip virtual-reassembly



По какой-то причине SIP_Grp_Access блокирует трафик
*Nov 6 09:27:34.731: %SEC-6-IPACCESSLOGP: list SIP_Grp_Access denied udp 172.16.100.15(5063) (Vlan1 0022.64cb.b6ce) -> 85.95.128.5(5060), 3 packets


06 ноя 2018, 12:16
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
в вашем случ. для одного хоста нужно выставить правильную маску

85.95.128.5 255.255.255.255


06 ноя 2018, 13:23
Профиль

Зарегистрирован: 30 сен 2013, 02:47
Сообщения: 51
Огромное спасибо за помощь - всё работает теперь )


06 ноя 2018, 15:03
Профиль

Зарегистрирован: 30 сен 2013, 02:47
Сообщения: 51
Проблему не решил ( Ночью 3 внешних IP подключились и начали обзванивать все, что можно.

Вот такие коннекты на SIP-сервер:
2018/11/07 22:58:01.098 25:53:46.015 Opal Listener:248 sipep.cxx(353) SIP Waiting for PDU on udp$188.161.115.186:27093<if=udp$172.16.100.15:5063>
2018/11/07 22:58:01.099 25:53:46.015 Opal Listener:248 sippdu.cxx(2047) SIP PDU received: rem=udp$188.161.115.186:27093,local=udp$172.16.100.15:5063,if=172.16.100.15
INVITE sip:0810442036271584@31.xx.xx.202:5063 SIP/2.0
CSeq: 1 INVITE
Via: SIP/2.0/UDP 10.10.250.233:27093;branch=z9hG4bK-bb7f9872d3c5ab81782c39b35f411224;rport
User-Agent: sipcli/v1.8
From: 1004<sip:1004@31.xx.xx.202>;tag=57ce4699
Call-ID: bb7f9872d3c5ab81782c39b35f411224
To: 0810442036271584<sip:0810442036271584@31.xx.xx.202>
Contact: <sip:1004@10.10.250.233:27093>

Я не могу понять, как они проходят, если порты закрыты?

Зашел на https://hidemyna.me/ru/ports/, указал порты 5060, 5061, 5062, 5063, 5064, 5065, 5066, 5067, 5068. Результат: All 9 scanned ports on (31.xx.xx.202) are closed (8) or filtered (1)
Nmap done: 1 IP address (1 host up) scanned in 0.41 seconds.

То, что FILTERED - это 5060.

Сейчас такой конфиг:
object-group network VoIP-Access
description VoIP Providers
host 85.95.128.5
host 188.113.128.42
host 91.189.232.24
host 213.170.92.166
host 109.69.176.249
host 81.88.86.11
host 212.122.2.180

interface FastEthernet0
ip address 31.xx.xx.202 255.255.255.248
ip access-group SIP_Grp_Access in
no ip redirects
ip nat outside
ip virtual-reassembly
duplex auto
speed auto

interface Vlan1
ip address 172.16.100.10 255.255.255.0
ip nat inside
no ip virtual-reassembly

ip nat inside source list OP interface FastEthernet0 overload
ip nat inside source list BUHGALTERIA interface FastEthernet0 overload
ip nat inside source list DOSTAVKA interface FastEthernet0 overload
ip nat inside source list YA interface FastEthernet0 overload
ip nat inside source list NAT interface FastEthernet0 overload
ip nat inside source static tcp 172.16.100.40 480 interface FastEthernet0 480
ip nat inside source static tcp 172.16.100.14 25 interface FastEthernet0 25
ip nat inside source static tcp 172.16.100.40 3389 interface FastEthernet0 3999
ip nat inside source list SIP interface FastEthernet0 overload
ip route 0.0.0.0 0.0.0.0 31.xx.xx.201
!
ip access-list extended OP
permit tcp host 172.16.100.113 any eq 443
permit tcp host 172.16.100.113 any eq www

ip access-list extended BUHGALTERIA
permit tcp host 172.16.100.145 any eq 443
permit tcp host 172.16.100.145 any eq www

ip access-list extended DOSTAVKA
permit tcp host 172.16.100.160 any eq www
permit tcp host 172.16.100.160 any eq 443

ip access-list extended YA
permit tcp host 172.16.100.101 any eq www
permit tcp host 172.16.100.101 any eq 443

ip access-list extended NAT
permit ip host 172.16.100.102 any
permit ip host 172.16.100.114 any
permit ip host 172.16.100.40 any
permit ip host 172.16.100.11 any
permit ip host 172.16.100.14 any
permit ip host 172.16.100.24 any
permit ip host 172.16.100.41 any

ip access-list extended SIP #Это SIP-сервер
permit ip host 172.16.100.15 host 85.95.128.5
permit ip host 172.16.100.15 host 188.113.128.42
permit ip host 172.16.100.15 host 91.189.232.24
permit ip host 172.16.100.15 host 213.170.92.166
permit ip host 172.16.100.15 host 109.69.176.249
permit ip host 172.16.100.15 host 81.88.86.11
permit ip host 172.16.100.15 host 212.122.2.180

ip access-list extended SIP_Grp_Access
permit tcp object-group VoIP-Access any eq 5060 log-input
deny tcp any any eq 5060 log-input
deny udp any any eq 5060 log-input
permit ip any any


08 ноя 2018, 04:19
Профиль

Зарегистрирован: 11 окт 2017, 11:43
Сообщения: 21
ip access-list extended SIP_Grp_Access
permit tcp object-group VoIP-Access any eq 5060 log-input
deny tcp any any eq 5060 log-input
deny udp any any eq 5060 log-input
permit ip any any[/quote]


Может я и ошибаюсь но судя по логу и строчки permit ip any any в ip access-list extended SIP_Grp_Access вас логично что ломают


08 ноя 2018, 09:02
Профиль

Зарегистрирован: 30 сен 2013, 02:47
Сообщения: 51
[code][/code]
Vitaliy216 писал(а):
ip access-list extended SIP_Grp_Access
permit tcp object-group VoIP-Access any eq 5060 log-input
deny tcp any any eq 5060 log-input
deny udp any any eq 5060 log-input
permit ip any any



Может я и ошибаюсь но судя по логу и строчки permit ip any any в ip access-list extended SIP_Grp_Access вас логично что ломают[/quote]

permit ip any any сделал по рекомендации root99


08 ноя 2018, 09:05
Профиль

Зарегистрирован: 11 окт 2017, 11:43
Сообщения: 21
MaxRAF писал(а):
[code][/code]
Vitaliy216 писал(а):
ip access-list extended SIP_Grp_Access
permit tcp object-group VoIP-Access any eq 5060 log-input
deny tcp any any eq 5060 log-input
deny udp any any eq 5060 log-input
permit ip any any



Может я и ошибаюсь но судя по логу и строчки permit ip any any в ip access-list extended SIP_Grp_Access вас логично что ломают


permit ip any any сделал по рекомендации root99[/quote]


В логах светит порт 5063 по которому к вам проникают и данная сточка это разрешает. Вы запрещаете только 5060...


08 ноя 2018, 09:08
Профиль

Зарегистрирован: 30 сен 2013, 02:47
Сообщения: 51
Vitaliy216 писал(а):
MaxRAF писал(а):
[code][/code]
Vitaliy216 писал(а):
ip access-list extended SIP_Grp_Access
permit tcp object-group VoIP-Access any eq 5060 log-input
deny tcp any any eq 5060 log-input
deny udp any any eq 5060 log-input
permit ip any any



Может я и ошибаюсь но судя по логу и строчки permit ip any any в ip access-list extended SIP_Grp_Access вас логично что ломают


permit ip any any сделал по рекомендации root99



В логах светит порт 5063 по которому к вам проникают и данная сточка это разрешает. Вы запрещаете только 5060...[/quote]



Вот я тоже так подумал. Но почему тогда эти порты при сканировании извне числятся закрытыми?


08 ноя 2018, 09:14
Профиль

Зарегистрирован: 11 окт 2017, 11:43
Сообщения: 21
В логах светит порт 5063 по которому к вам проникают и данная сточка это разрешает. Вы запрещаете только 5060...[/quote]


Вот я тоже так подумал. Но почему тогда эти порты при сканировании извне числятся закрытыми?[/quote]



1. Я у себя дела через реверсивные ALC, на настройку ZBF не хватает времени.
При проверке светятся только мной открытые порты, остальное все блочу нафиг во входящем ACL.

2. Вроде мелькала инфа что у CISCO был какой то баг с object-group в ACL в какой то версии IOS.

3. Попробуйте добавить там строчки с блоком 5063 порта на подобии 5060 и посмотрите логи... если полезут по другому порту то однозначно проблема в этом


08 ноя 2018, 09:30
Профиль

Зарегистрирован: 30 сен 2013, 02:47
Сообщения: 51
Сделал так (эти порты использует SIP-сервер):

ip access-list extended SIP_Grp_Access
permit tcp object-group VoIP-Access any range 5060 5097 log-input
permit udp object-group VoIP-Access any range 5060 5097 log-input
permit tcp object-group VoIP-Access any eq 60000 log-input
permit udp object-group VoIP-Access any eq 60000 log-input
deny tcp any any range 5060 5097 log-input
deny udp any any range 5060 5097 log-input
deny tcp any any eq 60000 log-input
deny udp any any eq 60000 log-input
permit ip any any

Понаблюдаю.


08 ноя 2018, 09:48
Профиль

Зарегистрирован: 11 окт 2017, 11:43
Сообщения: 21
MaxRAF писал(а):
Сделал так (эти порты использует SIP-сервер):

ip access-list extended SIP_Grp_Access
permit tcp object-group VoIP-Access any range 5060 5097 log-input
permit udp object-group VoIP-Access any range 5060 5097 log-input
permit tcp object-group VoIP-Access any eq 60000 log-input
permit udp object-group VoIP-Access any eq 60000 log-input
deny tcp any any range 5060 5097 log-input
deny udp any any range 5060 5097 log-input
deny tcp any any eq 60000 log-input
deny udp any any eq 60000 log-input
permit ip any any

Понаблюдаю.




ОК. Но все же по моему понятию строчка permit ip any any в ACL на входящем интерфейсе это зло...


08 ноя 2018, 10:07
Профиль

Зарегистрирован: 30 сен 2013, 02:47
Сообщения: 51
Ну вот, что-то начинает работать:

*Nov 8 07:20:44.092: %SEC-6-IPACCESSLOGP: list SIP_Grp_Access denied udp 37.49.231.159(5013) (FastEthernet0 c464.1325.51c1) -> 31.xx.xx.202(5062), 1 packet
*Nov 8 07:20:47.424: %SEC-6-IPACCESSLOGP: list SIP_Grp_Access denied udp 62.210.142.52(5558) (FastEthernet0 c464.1325.51c1) -> 31.xx.xx.202(5060), 1 packet


08 ноя 2018, 10:10
Профиль

Зарегистрирован: 30 сен 2013, 02:47
Сообщения: 51
Vitaliy216 писал(а):



ОК. Но все же по моему понятию строчка permit ip any any в ACL на входящем интерфейсе это зло...


Выставил deny ip any any и вообще все и везде заблокировал )) Я понял, что прежде чем выставить deny ip any any надо всё, что требуется - разрешить. К сожалению руководство настаивает вернуть в строй MS Forefront 2010 (RAID полетел) :cry: , а Cisco это как временное решение.


08 ноя 2018, 10:12
Профиль

Зарегистрирован: 11 окт 2017, 11:43
Сообщения: 21
MaxRAF писал(а):
Vitaliy216 писал(а):



ОК. Но все же по моему понятию строчка permit ip any any в ACL на входящем интерфейсе это зло...


Выставил deny ip any any и вообще все и везде заблокировал )) Я понял, что прежде чем выставить deny ip any any надо всё, что требуется - разрешить. К сожалению руководство настаивает вернуть в строй MS Forefront 2010 (RAID полетел) :cry: , а Cisco это как временное решение.



ну конечно же... поэтому я и упомянул о реверсивных ALC. их принцип можно в инете найти и примеры настроек.


08 ноя 2018, 10:17
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 18 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 99


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB