После установки Asterisk и вывода шлюза в интернет, сразу же начинаются атаки с попытками подключится и совершить звонки. Чтобы облегчить работу другим системным администраторам, выкладываю черный список сетей.

После того как была внесена последняя сеть, с которой была атака, уже месяц тишины. Конечно со временем злоумышленники будут использовать новые сети, но самостоятельно добавлять в дальнейшем в этот список новые, проблем не будет. Для тех, кто не знает где этот список храниться (у меня web интерфейс на FreePBX 14.0.11):

  1. заходим в web интерфейс
  2. Подключение->Firewall
  3. Services->Blacklist

Если в этом списке есть используемая вами сеть — просто уберите ее. В дальнейшем добавьте в черный список только тот адрес с которого будут атаки. информации по настройке фаера в астериске в интернете полно.

Собственно вот и список:

185.53.88.0/24
185.40.4.0/24
102.165.49.0/24
198.23.156.0/24
77.247.109.0/24
87.98.159.0/24
51.68.93.0/24
185.53.89.0/24
77.247.108.0/24
51.15.163.0/24
102.165.52.0/24
207.148.17.0/24
54.39.180.0/24
212.60.5.0/24
102.165.35.0/24
163.172.224.0/24
111.53.44.0/24
212.83.129.0/24
77.234.46.0/24
46.17.47.0/24
46.166.151.0/24
35.243.143.0/24
5.196.206.0/24
89.187.178.0/24
102.165.33.0/24
151.80.19.0/24
51.83.15.0/24
195.154.85.0/24
69.162.102.0/24
209.126.68.0/24
195.154.31.0/24
195.154.27.0/24
5.62.41.0/24
102.165.48.0/24
195.154.87.0/24
163.172.61.0/24
78.46.58.0/24
195.154.26.0/24
102.165.39.0/24
62.173.154.0/24
163.172.202.0/24
62.210.91.0/24
212.83.139.0/24
102.165.36.0/24
158.69.52.0/24
102.165.53.0/24
102.165.37.0/24
212.83.153.0/24
46.166.139.0/24
23.92.72.0/24
212.83.163.0/24
46.166.165.0/24
209.126.67.0/24
88.212.196.0/24
141.138.116.0/24

Комментарии (12)


  1. Mobile1
    07.05.2019 19:09

    Что-то какой-то маленький список.
    Даже ни одной сети из моего черного списка не обнаружил у вас.
    Можно кстати все IP адреса Палестины сразу заносить в список.


    1. OLDest Автор
      07.05.2019 20:38

      можете и своим поделиться, я буду только рад :-)


    1. Lpndn
      08.05.2019 18:47

      О, да, Палестина это самое оно :-) Плюс ещё Албания и Хорватия.

      Мы, ради безопасности, в дефолтных параметрах только Россию или Россию+СНГ включаем.


  1. arheops
    07.05.2019 22:03

    Ерунда это. Даже с белым списком(все что не в списке — закрыто) ломают периодически.

    Просто закрывайте все, если нужно открыть мобильный доступ пользователю — добавляйте сети его провайдера.

    Ну и failban нужно настраивать.


    1. OLDest Автор
      07.05.2019 23:18

      ну у меня такой вариант не прокатит, т.к. нужны коннекты из-за рубежа регулярно.


      1. arheops
        07.05.2019 23:25

        Ну коннекты из-за рубежа делать через vpn или с помощью девайсов-помощников(такая маленькая коробочка, которая в любой сети с автоконфигурацией создаете впн и выдает серый адрес типа внутри).

        Просто практика показывает, что рано или позно вы наткнетесь на реальный распределенный DDoS и это все будет до лампочки.


        1. OLDest Автор
          07.05.2019 23:29

          vpn «в коробоче» было бы хорошо, НО руководитель его с собой возить не будет в командировки :-)
          ну а от DDoS атаки у меня стоит железячный фаер на входе. тоже такая хорошая коробочка )


          1. arheops
            07.05.2019 23:59
            +1

            На телефон ему поставьте или на компьютер.
            Можно настроить так, что туда будет идти только траффик к вашему серверу.
            Обосновать можно «ну вы же не хотите, чтоб вас прослушивали».


  1. MagicGTS
    07.05.2019 22:36

    У меня рецепт чуть другой, но вполне эффективен. Порт 5060 (и любой без шифрования SIP) открыт только с ip провайдеров. Это спасает от совсем тупой долбежки, но и создаёт трудности тоже. Не шифрованный SIP разрешён только во внутренней сети (соответственно за VPN тоже). Для тех, кому не нужен VPN, а VOIP нужен, те работают только через SIP TLS, который прикрыт fail2ban. В таком режиме активность на брут учеток практически нет (жалкие два адреса за месяц).


  1. NortH21
    07.05.2019 23:16

    Есть же frod.subnets.ru, можно автоматизировать выгрузку через api.


    1. OLDest Автор
      07.05.2019 23:16

      этот сервис номера проверяет, а не ip


  1. antirek
    08.05.2019 08:54

    на гитхаб выложите, всегда будут точка откуда качнуть список ;)