Beiträge von Gerhard Fuchs

Zitat von haraldmaiss

kleiner Tip zu Asterisk: auch auf SIP-Ports sind Brute-Force-Angriffe extrem häufig. Daher sollte man für die SIP-Ports im Firewall die zulässigen IP-Adressen white-listen.

Danke für den Tip und Deinen Hinweis mit den Brute-Force-Angriffen. Das wird spannend …

Die SIP-Ports generell zu white-listen ist für meine Anwendung schwierig. Bei den SIP-Register-Nachrichten kann ich das vielleicht – ich weiß welche Geräte sich auf dem Server registrieren dürfen. Bei den SIP-Invide-Nachrichten geht das denke ich nicht. Ich will ja von extern angerufen werden können. Ich weiß noch nicht, ob man die Register- / Invide-Nachrichten über getrennte Ports schicken kann.

Ich finde das Konzept von fail2ban prinzipiell überzeugend. Die Idee, nur IP-Adressen zu sperren von denen Attacken ausgehen, leuchtet mir ein.

Zitat von KB19

Ich würde generell empfehlen, das in die apt.conf einzutragen: https://askubuntu.com/a/179089/294302

Das kann jeder vernünftige Mailserver. Postfix kann man z.B. "local only" genau so konfigurieren, sogar bequem über dpkg-reconfigure.

Danke, da muss ich mich noch genauer einlesen.

Vielen Dank für Eure hilfreichen Antworten.

Zitat von Andi22

sudo apt install --no-install-recommends fail2ban

Die Option kannte ich noch nicht. Gut zu wissen, danke.

logwatch z.B. benötigt aber leider den default-mta.

Zitat von Olivetti

falls du tatsächlich keinen »richtigen« MTA benötigst, könntest du ssmtp verwenden (quasi ein mailkurier, umgekehrt wie fetchmail).

mails wirst du aber irgendwie immer mal rauslassen müssen, deshalb verwende ich für solche szenarien maschinen-eigene mailkonten, wie z.b. bei gmail o.ä., die dann entsprechend zu mir weiterleiten.

Für E-Mails habe ich ein Webhosting-Paket bei netcup – also einen "richtigen" MTA habe ich.

ssmtp werde ich mir ansehen, danke!

Ich habe mir auch mal den DragonFly Mail Agent angesehen. Habt Ihr damit Erfahrung?

Eigentlich sind diese beiden Programme, für meine Zwecke aber auch noch überdimensioniert. Ich möchte den Asterisk-Server so einfach wie möglich halten. Das SMTP-Protokoll, also das Senden von Mails über ein Netzwerk, muss er nicht können. Mir würde eine Möglichkeit reichen, bei der die Mails lokal z.B. in /var/spool/mail/user abgelegt werden.

Kennt Ihr da was?

Zitat von DaSch22

Was mir zusätzlich zu fail2ban und nftable als Monitoring dient ist Logwatch https://sourceforge.net/projects/logwatch/ (ist in vielen Linux Distros Repos enthalten).

Danke!

Das Monitoring der Logs stellt mich vor eine Herausforderung. Was mir bei Debian 11 aufgefallen ist, ist dass z.B. fail2ban oder logwatch einen Mail Transfare Agent (MTA) vorschlagen, bzw. sogar fordern.

Einen MTA wie z.B. exim4 empfinde ich aber übertrieben. Ich bin nicht begeistert, wenn ich deswegen Zugangsdaten eines Mail-Accounts auf dem Asterisk-Server ablegen müsste, damit dessen Monitoring-Werkzeuge autonom Mails versenden können.

Macht Ihr das so, oder gibt es bessere Alternativen?

Zitat von H6G

Die Fail2Ban Konfiguration.

Ah, OK.

Vielen Dank Euch allen für die nützlichen Hinweise!

andreas.

Danke für den Tipp. Ein VPN-Tunnel ist eine interessante Idee; mein Telefon beherrscht OpenVPN.

Mein Ziel ist es, unter der URI

sips://user@meinedomain.tld

erreichbar zu sein. Also die INVIDE-Nachrichten müssen über das Internet kommen.

Aber die REGISTER - Nachrichten (über die ich angegriffen werde) könnten über ein VPN laufen. Muss mal schauen, ob Asterisk das kann.

Danke für Eure Antworten.

Da bin ich ja beruhigt, dass das "normal" ist.

Fail2Ban und Cloudflare werde ich mir ansehen. Ob ich den SIP-Port verschiebe, muss ich mir noch überlegen. Letzten Endes will ich einen SRV-Eintrag bei meiner Domain setzten, dann ist der eh bekannt.

H6G:

Was meinst Du damit?

Zitat

Jails für SSH und Asterisk / SIP aktivieren.

Hallo zusammen,

ich habe seit Neustem einen VPS 200 G10s gemietet und bin dabei, einen Asterisk-Sever aufzusetzen. Bisher habe ich das nur in abgesicherten privaten Netzen gemacht.

Ich sehe mich jetzt erstmals damit konfrontiert, dass von einer mir unbekannten IP aus bis zu 3 Mal pro Sekunde versucht wird, sich auf dem Server mit Benutzernamen + Passwort zu registrieren.

Ist das normal, dass die Server, sobald sie im Internet sind, angegriffen werden?

Was ist nach Eurer Erfahrung eine angemessene Reaktion?

Der Zugriff der IP-Adresse per Firewall zu unterbinden – Sache erledigt? Oder sollte man da noch mehr machen (sichere Passwörter sind selbstverständlich)?

Viele Grüße

Gerhard

Danke für Eure Antworten; ich muss mich da weiter schlau machen.

So wie ich die DSGVO verstehe -- das muss aber jeder für sich selbst hinterfragen, ich bin Informatiker und kein Jurist -- ist das ein allgemeines Problem.

Deswegen habe ich gehofft, dass es eine entsprechende Dokumentation dieser technischen Aspekte gibt. Nach dem Prinzip beim diesem Paket werden diese Arten von Daten geloggt.

Bei der Speicherdauer hat das netcup ja schon super im Wiki beschrieben.

Hallo zusammen,

ich habe ein Webosting 1000 SE a1 - Paket.

Zweck DSGVO habe ich technische Fragen zu den Log-Dateien.

Im netcup-wiki (link) habe ich gefunden wie lange die Daten gespeichert werden, aber nicht welche.

Welche Daten (z.B. IP-Adresse, aufgerufene Seite, ...) werden in den Server-Logdateien gespeichert?

Mit welchen Konfigurationseinstellungen läuft der Webserver?

Kann ich, außer der Rotationsdauer daran was verändern?

Eine verbindliche Antwort von netcup würde mir weiterhelfen.

Viele Grüße

Gerhard