オープンソースPBX　Asteriskについて語ろう part 5

806 ：anonymouss：2015/05/22(金) 13:06:48.76 ID:GjvwGWKN.net

>>618,>>621
で書き込んだ、ログについてですが、あれってもしかして、「INVITEによるBrute force攻撃」なのかな？
http://www.voip-info.jp/index.php/SIP-Fail2ban#INVITE.E3.81.AB.E3.82.88.E3.82.8BBrute_force.E6.94.BB.E6.92.83.E3.81.B8.E3.81.AE.E5.AF.BE.E7.AD.96
に書いているログは、
Failed to authenticate user "Anonymous" <sip:anonymous@192.168.1.2>;tag=as105e401c
というログが残ると書いているけど。
うちのは、Asterisk13だから、ログの形式が違うのかも？
こういう風に出てる。
SecurityEvent="ChallengeSent",EventTV="2015-05-22T12:17:18.420+0900",Severity="Informational",Service="SIP",
EventVersion="1",AccountID="sip:3200@myServerIPaddress",SessionID="0x7fbbcc03b298",LocalAddress="IPV4/UDP/myServerIPaddress/5060",
RemoteAddress="IPV4/UDP/23.239.65.10/5100",Challenge="1f1a28d￥c"
発信元はログに残る。
faildとか、そういうログは残らない。
自分がアクセスしたときは、その次に
SecurityEvent="SuccessfulAuth"
が出ている。

前に相談したときは、確かに日本だけとか、自分が使うネットワークだけのホワイトリストで制限を書ければいいけど。

正常なアクセスは、AccountID="sip:内線番号"
不正なアクセスは、AccountID="sip:3200@myServerIPaddress"
という風に、内線番号だけか、IPアドレスも入っているかの、違いが見受けられた。
どうせなら、存在しない内線番号なら、BANをしたいところだけど、やり方がわからない。