chan_sip Authentifizierung => Verschlüsselung abschalten

[martin_g]

Hallo,
wir haben ein Problem mit unserem 1.2er Asterisk:
Und zwar haben wir seit ca. 1 Woche eine enorme Anzahl WRONG PASSWORDS im Logfile. Allerdings von Benutzern, die einen SIP Account bei uns haben und die sicher keine Attacke fahren.
Mich würde jetzt interessieren, was das Problem mit deren Passwort ist - Wenn ich SIP DEBUG aktiviere, sehe ich ja den Traffic, allerdings ist das Passwort MD5/HTTP Digest verschlüsselt. Ich habe deren eigentliches Klartext Passwort, aber der Hash stimmt damit nicht überein. Kann ich das verschlüsselte Authentifizieren temporär irgendwo deaktivieren?
Viele Grüße
Martin

 

[rentier-s]

Allerdings von Benutzern, die einen SIP Account bei uns haben und die sicher keine Attacke fahren.

Bist Du Dir da absolut sicher, hast Du alwaysauthreject=yes gesetzt? Kommen die Fehlversuche verschiedener Benutzer von verschiedenen IP-Adressen, die ggf. geographisch halbwegs zu den Usern passen? Kannst Du mit den betroffenen Usern sprechen, ob sie Probleme bei der Registrierung oder beim Gesprächsaufbau bemerkt haben, und ob die Zeiten der Fehlversuche plausibel sind?

Wenn plötzlich mehrere Benutzer betroffen sind, ohne dass etwas an der Config verändert wurde, riecht das schon irgendwie verdächtig.

 

[martin_g]

Hi
Ja, ich bin sicher. Ich kann nachvollziehen, wer den jeweiligen Request absetzt und der Account passt immer exakt auf denjenigen. Die Fehlversuche kommen alle aus IP Netzen, die fest diesen Usern zugeordnet sind und es wird immer nur der passende Account angefragt. Die Rate ist mit 2 Versuchen pro Minute auch akzeptabel.
Es kann durchaus sein, dass sicher irgendwas am System geändert hat - Fehler in der DB oder ähnliches - aber um das nachzuvollziehen, müsste ich halt wissen, was ankommt.
Gruß Martin

 

[martin_g]

Die SIP Authentifizierung läuft über eine MySQL Tabelle. Ich habe jetzt Stichproben der Accounts gedumpt und den MD5 Hash gecrackt. Resultat ist: Die Passwörter, die ankommen sind andere, als die, die in der DB stehen.
Aber: Wir haben eine Kennwortkonvention, die exakt eingehalten wird und jeder Account schickt immer das gleiche Kennwort.
Also haben sich aus irgendeinem Grundscheinbar teilweise PWs in der DB geändert (möglicherweise haben die plötzlich wieder einen sehr alten Stand). Leider ist unser ältestes Backup drei Tage alt (nicht gut, ich weiß) und wir können nicht nachvollziehen, ob die Daten vor ner Woche anders ausgesehen haben.

Naja, da muss ich mir jetzt was überlegen. Wenn jemand zu meiner Ursprungsfrage eine Antwort hat, wäre mir trotzdem sehr geholfen.

Viele Grüße
Martin

Edit: Ach ja, die Passwörter, die vom User kommen sind auch tatsächlich die richtigen. Teilweise hatten wir die an anderer Stelle noch abgelegt. Und soweit vorhanden, stimmen die mit der Doku immer überein. Die Änderung betrifft definitv die Asterisk DB.