Asterisk auf vServer, Scans

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
sago

sago

Neuer User
Mitglied seit
5 Jan 2006
Beiträge
155
Punkte für Reaktionen
1
Punkte
18
Die letzte Scanwelle verursachte bei mir 10GB Datenverkehr in 7 Tagen.
Mit fail2ban lassen sich Maschinen mit eigenem Kernel sehr gut schützen.

Aus meiner Sicht scheiden daher alle vServer, die mit Linux-vServer oder ähnlichen Lösungen ohne eigenen Kernel virtualisiert sind für Asterisk aus.
Es gibt hier im Forum einen Thread zum Blocken mit fail2ban via /etc/hosts.deny, aber ich konnte noch keine asterisk mit libwrap-Unterstützung, also mit Auswertung von /etc/hosts.deny kompilieren.


Nun zu meiner Fragen:
* Was für kostenfünstige vServer verwendet ihr für eure Asterisk mit fail2ban-Support.
* Konntet ihr eine Asterisk mit libwrap Support kompilieren? Wie?


Grüße, Sago
 
Zuletzt bearbeitet:
Was spricht gegen iptables?
 
Iptables

Gegen iptables spricht, dass ich auf dem vserver keinen kernel habe. Es ist eher eine chroot-Umgebung mit eigener IP-Adresse.

Und ohne eignen Kernel des vserver-Gastsystems gibt es keine iptables.

Also, für gängige, billige vserver (topnetworks, star-hosting, servcity, ...) funktionieren iptables nicht
 
Asterisk nicht libwrap aware

Danke mh für deine Ausführungen.

Das ist genau der Knackpunkt. Ich habe genau das in dem Link beschriebenen Jail mit fail2ban verwendent.
Aber:
Es funktioniert nicht.
Das jail ist schon in Ordnung, ich bekomme von fail2ban dann Fehlermeldungen der Art "IP already banned", sprich er merkt, dass er die IP, von der er Verbindungen empängt, bereits in /etc/hosts.deny eingetragen hat.

Nachdem ich ein bisschen recherchiert habe kam ich zu folgender Einsicht:
/etc/hosts.deny wird nur von Programmen ausgewertet, die
* via inetd/xinetd mit tcpd gestartet werden wie telnet, ftp
* gegen libwrap (der Bibliothek zu tcpd) gebunden sind, wie sshd

Für asterisk gilt keiner der Punkte.

Dazu kommt, dass Registerrequsts der Asterisk sehr schnell beantwortet werden, dadurch kann der Angreifer je nach Machine und Verbindung 20 bis 100 Anfragen pro Sekunde! durchbekommen. Ich hatte auf einer anderen Maschne ein Log mit 300.000 Scans pro Stunde. Da entsteht auch gehöriger Traffic.

Und für dieses Problem suche ich eine Lösung. Eine Möglichkeit wäre ein vServer, der iptables unterstützt, also einen eignen Kernel hat.

Gruß, Sago
 
Ebenfalls danke für eine Infos. Deine Erkenntnisse sind ganz interessant und gut zusammengefasst!
Mit günstigen OpenVZ oder XEN Virtualisierungen wird das nichts. Parallels Virtuozzo arbeitet anders, allerdings müssen die Hoster für die Lizenzen bezahlen und die vServer werden entsprechend teurer. Ich will keine Werbung für den Platzhirschen machen, aber S4Y bietet diese Form der Virtualisierung an. Da ich dort ebenfalls einen vServer habe, kann ich dir vorab bestätigen dass iptables problemlos funktioniert.
 
Schau dir mal Proplay an. Auf den recht günstigen Vsevern läuft iptables von Hause aus. Jedenfalls bei mir.
 
Bei den vServern von server4you laufen iptables auch ohne Probleme.
Selbst im Einsatz und darüber meine Firewall realisiert.

Gruß schirrmie
 
Liste von vServern mit iptables

Vielleicht kommen wir hier zu einer Liste von vServern mit iptables, wie sie zum Betrieb einer asterisk notwendig sind:

ein Kommentar von mir:
In jedem Xen-Gaest läuft ein eigener Kernel und damit auch iptables.
Ich habe bei tldhost.de nachgefragt, die konnten mir das für ihre Server bestätigen:

Jetzt haben wir ja schon einen Auswahl, vielleicht wächst sie noch, dann könnte der Thread für andere als Referenz dienen.

Liste von vServern mit iptables:
  • S4Y
  • tldhost.de
  • proplay.de
 
Schon etwas älter. Wer Netcup in's Auge fasst, den könnte dieser Link hier interessieren.
Wenn andere Provider ebenfalls eine webbasierte Firewall anbieten, könnte man die sync.sh entsprechend anpassen ...
 
Tja, das hab ich natürlich nur geschrieben, damit du nach all den Jahren endlich deinen ersten Beitrag verfasst! Der Plan hat funktioniert. ;-)
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 836 (Mitglieder: 28, Gäste: 808)

Neueste Beiträge

Statistik des Forums

Themen
244,868
Beiträge
2,219,779
Mitglieder
371,585
Neuestes Mitglied
PauSchmitz
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück