Asterisk Honeypot

Posted on por
-3

Aprovechando la facilidad con la que puedo crear máquinas virtuales en Proxmox, estos días he montado un segundo Asterisk para capturar ataques. Esto es lo que se llama Honeypot, un servicio o máquina montada como si fuera real, pero que tiene como objetivo obtener información de vectores de ataque y atacantes potenciales.

Los requisitos planteados son los siguientes:

  • Asterisk con configuración SIP segura (allowguest=no y alwaysauthreject=yes)
  • Puerto SIP por defecto para maximizar el número de escaneos (5060/UDP)
  • Un usuario/extensión con contraseña
  • Por supuesto sin proveedores configurados ni posibilidad de hacer llamadas reales
  • Fail2ban para monitorizar los ataques y crujir atacantes

De momento lleva 24h funcionando, y en este tiempo sólo he recibido 25 ataques de 2 atacantes diferentes:

root@asterisktest:~# fail2ban-client status asterisk
Status for the jail: asterisk
|- filter
|  |- File list:        /var/log/asterisk/security
|  |- Currently failed: 0
|  `- Total failed:     25
`- action
   |- Currently banned: 2
   |  `- IP list:       (borrado por privacidad)
   `- Total banned:     2

 Lo cierto es que esperaba mucho mayor volumen de atacantes, ya que un servidor SIP vulnerable con posibilidad de enrutar llamadas reales es un objetivo muy goloso. Por ejemplo, por SSH, la cantidad de gente realizando escaneos es inmensa.

Estoy incluso planteándome dejar esta máquina activa de forma permanente, ya que al estar en el puerto SIP por defecto distrae la atención frente al verdadero servidor SIP.

Seguiremos informando de los resultados en esta misma entrada.

Un comentario en «Asterisk Honeypot»

  1. estimado, segui todos sus consejaos para la configuracion de fail2ban, pero no me bloquea las ip, que constantemente se estan tratando de registrar.
    Te dejo un ejemplo de los ataques, espero me puedas ayudar.

    Gracias.
    [2014-12-17 15:22:14] WARNING[2666]: chan_sip.c:4081 retrans_pkt: Timeout on e09b5e5513821388edd34e7d09a73701 on non-critical invite transaction.
    [2014-12-17 15:24:51] NOTICE[2666][C-00000093]: chan_sip.c:25560 handle_request_invite: Failed to authenticate device 2000;tag=f971c476
    [2014-12-17 15:25:36] ERROR[2666]: netsock2.c:269 ast_sockaddr_resolve: getaddrinfo(«voipserver.txi.cl», «(null)», …): Name or service not known
    [2014-12-17 15:25:36] WARNING[2666]: acl.c:833 resolve_first: Unable to lookup ‘voipserver.txi.cl’
    [2014-12-17 15:28:49] WARNING[2666]: chan_sip.c:4081 retrans_pkt: Timeout on 64da811d9c3fbb4cb220e81cef88a6fc on non-critical invite transaction.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *