Delší heslo k VOIP účtu

[Netolish]

Dnes jsem z výpisů pokusů o registraci zjistil, že někdo z static-84-9-96-244.vodafonexdsl.co.uk
usilovně bruteforcuje některé mé VOIP účty (linky 419194, 696600, 701458). Mám sice povolené
registrace jen z ČR ip adres, ale to nemusí stačit. Chtěl jsem si nastavit delší heslo, ale generátor
usilovně generuje jen 8 zanků dlouhé. 8 znaků je myslím už dnes poněkud málo.
Je nějaká možnost jak si nastavit vlastní, delší heslo pro VOIP linku?

[pe.havel]

Přidávám se k této prosbě o možnost nastavené delšího hesla. V administraci by k volbě vygenerování hesla mohlo přibýt pole s volbou délky minimálně na 8 znaků (input type=number min=8). Občas se hodí krátké heslo (na testy atd.), ale pro běžné použití není důvod, aby tam nebylo heslo dlouhé třeba 16 znaků nebo i delší - většinou se stejně kopíruje. V GUI FreePBX je výchozí délka hesla 32 znaků

[jadu]

Tam, kde to jde, pod 15 znaků nejdu, také bych uvítal možnost zadat delší.

[Pitomec]

Dnes jsem z výpisů pokusů o registraci zjistil, že někdo z static-84-9-96-244.vodafonexdsl.co.uk
usilovně bruteforcuje některé mé VOIP účty (linky 419194, 696600, 701458). Mám sice povolené
registrace jen z ČR ip adres, ale to nemusí stačit. Chtěl jsem si nastavit delší heslo, ale generátor
usilovně generuje jen 8 zanků dlouhé. 8 znaků je myslím už dnes poněkud málo.
Je nějaká možnost jak si nastavit vlastní, delší heslo pro VOIP linku?

Nepomohla by změna čísel linek? Bez znalosti čísla linky se přece přihlásit nelze. A samozřejmě číslo linky pak nikde veřejně nesdělovat.

[pe.havel]

Nepomohla by změna čísel linek? Bez znalosti čísla linky se přece přihlásit nelze. A samozřejmě číslo linky pak nikde veřejně nesdělovat.

Krátkodobě možná, ale dlouhodobě to podle mě vůbec nic neřeší - je to řada čísel, dá se jednoduše postupně strojově zkoušet, zda číslo existuje (zahlásí chybu hesla).
Na místě je podle mě kromě pořádného hesla také nějaký lepší/chytrý firewall. Nevím, jak tohle má Odorik vyřešené. Např. blokace IP při násilném (častém) chybném přihlašování na jednu linku atd.

[pe.havel]

Náhodně jsem kouknul taky do logu přihlašování a mám to tam taky od static-84-9-137-139.vodafonexdsl.co.uk . To není vůbec pěkné.

Další věc, co mě napadla, kdyby šlo na lince definovat, na jaký port můžou přicházet SIP požadavky, tedy možnost vyřadit standardních 5060/5061 a nechat jen 6688 (6689 atd.). To by mohlo taky docela pomoct.

[xsouku04]

Proti brute force hádání hesel by měla být naše proxy chráněná. Takže uhádnout heslo není jen tak a je to méně pravděpodobné, než vyhrát první cenu ve sportce. Zkontroluji, že naše ochrana funguje dobře.

Útočník se snaží hádat hesla zároveň třeba u 1000 linek, takže u jedné linky to dělá jen občas, takže nepřekročí dovolený počet pokusů.
Přidáme ochranu na blokaci napříč linkami.

[Pitomec]

Co se dívám do protokolu o přihlášení, tak tam ten sajrajt mám taky, dneska celý den po cca hodině, níže jenom ukázka (podotýkám, že žádné CISCO zařízení nemám a IP adresu mám fixní a úplně jinou, než ze které se nějaký robot snaží přihlásit).

Dne 02.10.2023 v 18:47:08 hodin vaše zařízení cisco poslalo z IP adresy 84.9.137.139:51150 na IP adresu 81.31.45.51:5060 protokolem UDP následující registraci:
REGISTER sip:sip.odorik.cz:5060 SIP/2.0
To: <sip:410xxx@sip.odorik.cz>
From: <sip:410xxx@sip.odorik.cz>;tag=e5f4a73492753161903EBC
Via: SIP/2.0/UDP 192.168.1.11:49742;branch=z9hG4bK-d87543-75902431619044-1--d87543-;rport
Call-ID: e5f4a7349276433161902e4f7a
CSeq: 2 REGISTER
Contact: <sip:410xxx@192.168.1.11:49742>
Expires: 3600
Max-Forwards: 69
Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, NOTIFY, MESSAGE, SUBSCRIBE, INFO
User-Agent: cisco
Authorization: Digest username="410xxx@sip.odorik.cz",realm="sip.odorik.cz",nonce="ZRr1OGUa9Awm3WXF6dVlzX/BhlChtV5R",uri="sip:sip.odorik.cz:5060",response="3eb1a3320679cb2c0e0760cea93501df",algorithm=MD5
Content-Length: 0

Náš server vyhodnotil zprávu jako: BAD PASSWORD

[5uch]

Také tam něco divného mám... zařízení CISCO, několik pokusů (necelých 20) během dne. IP adresy se mění (ale ne při každém pokusu).
Přidat ochranu proti brute force napříč linkami je rozumné opatření.

Nevím, jestli historicky může mít někdo slabé heslo typu 1234.
U Vodafone s tím byl před pár lety problém - spousta uživatelů si nastavila jako heslo do samoobsluhy právě 1234 a útočník se nesnažil uhodnout heslo na konkrétním čísle, ale naopak číslo, na kterém je takové heslo nastaveno. A párkrát se mu to povedlo. Získal druhou SIM (dvojsimka) a začal na účtech napadených lidí parazitovat (nějaké platby třetím stranám - sázení...).

https://www.lupa.cz/aktuality/heslo-123 ... ng-reorder

[xsouku04]

Všechny hesla na sip.odorik.cz jsou vygenerovaná. Útočník nemá šanci to uhádnout, když to zkusí třeba desetkrát za den. On prostě doufá v to, že někdo bude mít ono heslo 1234 nebo něco podobného, co vyhodnotil jako nejčastější heslo.
Ale je fakt, že to zbytečně zatěžuje systém a zapleveluje logy. A je prostě lepší, když to ani zkoušet nebude. Dnes v noci bychom měli nasadit nějakou ochranu napříč účty, aby to IP adresy, které to prostě zkusí neúspěšně mockrát třeba na 24 hodin, zablokovalo. Ono ho to pak nebude tolik bavit, když bude nucen každých několik minut měnit IP adresu. Předpokládám, že podobnou taktikou se snaží napadat více VoIP operátorů nebo SIP ústředen. Vždy tedy jednou za dvě hodiny změní IP adresy a pustí své skripty třeba na 30 ústředen nebo operátorů. Pak změní IP a postup opakuje s jinou množinou hesel.