お外でひかり電話第11章　 “BANG the GANG in BANK”　侵入の動機と防御の徹底

パターン１　日本からタダで国際電話をかけようとしている。

asteriskへの不正アクセスのログファイルは以下のようになる。

[2015-11-04 04:17:23] NOTICE[1249][C-0000004e]: chan_sip.c:25660 handle_request_invite: Call from ” (23.92.XXX.XXX:5083) to extension ‘01097259YYYXXXX’ rejected because extension not found in context ‘default’.
== Using SIP RTP CoS mark 5
[2015-11-04 04:19:39] NOTICE[1249][C-0000004f]: chan_sip.c:25660 handle_request_invite: Call from ” (23.92.XXX.XXX:5070) to extension ‘001097259YYYXXXX’ rejected because extension not found in context ‘default’.
== Using SIP RTP CoS mark 5
[2015-11-04 04:21:56] NOTICE[1249][C-00000050]: chan_sip.c:25660 handle_request_invite: Call from ” (23.92.XXX.XXX:5081) to extension ‘01097259YYYXXXX’ rejected because extension not found in context ‘default’.
== Using SIP RTP CoS mark 5
[2015-11-04 04:24:13] NOTICE[1249][C-00000051]: chan_sip.c:25660 handle_request_invite: Call from ” (23.92.XXX.XXX:5076) to extension ‘001097259YYYXXXX’ rejected because extension not found in context ‘default’.
== Using SIP RTP CoS mark 5
[2015-11-04 04:26:28] NOTICE[1249][C-00000052]: chan_sip.c:25660 handle_request_invite: Call from ” (23.92.XXX.XXX:5080) to extension ‘01097259YYYXXXX’ rejected because extension not found in context ‘default’.
== Using SIP RTP CoS mark 5

IPアドレスが相手のもの。
ただしこれは攻撃のために乗っ取られている可能性もあるので、発見しても正義感をむき出しにして攻撃しちゃダメだよ。
存在しない内線番号にアクセスしようとして、失敗している事例。
２～３分おきにチャレンジしているところが、いやらしいぞっ！！

このログの意味するところは、
IPアドレス　23.92.XXX.XXX　の人が、
国際電話01097259YYYXXXX(YYYとXXXXの所は実在する電話番号だろうから伏せてるよ)をかけようと試みている。
国際電話の分解。
010+972(イスラエルの国番号)+0+59（携帯の意味）+YYY-XXXX（電話番号）
だから、イスラエルの友人？に工作員？が連絡をとろうとしているのかな？
そんなことがこのログから想像できちゃう。

パターン2　存在しそうな内線番号を当てずっぽうで指定し、ログインを試みる人。

[2015-11-05 20:48:12] NOTICE[1345] chan_sip.c: Registration from ‘”1535″
<sip:1535@YYY.YYY.YYY.YYY:5060>’ failed for ‘195.154.XXX.XXX:5081’ – Wrong password
[2015-11-05 20:48:29] NOTICE[1345] chan_sip.c: Registration from ‘”2035″ <sip:2035@YYY.YYY.YYY.YYY:5060>’ failed for ‘195.154.XXX.XXX:5074’ – Wrong password
[2015-11-05 20:48:32] NOTICE[1345] chan_sip.c: Registration from ‘”2035″ <sip:2035@YYY.YYY.YYY.YYY:5060>’ failed for ‘195.154.XXX.XXX:5064’ – Wrong password

YYY.YYY.YYY.YYYは、僕に割り当てられたグローバルIPアドレス。
195.154.XXX.XXXは、相手のIPアドレス。
:5081や:5074は、相手のポート番号。
“1535”や”2035″は相手が予想してきた内線番号。
これは数秒おきにアタックしてきている。
内線番号が4桁くらいじゃ、突破されるのも時間の問題、ということ。
ましてやパスワードが単純だったら論外。

上記２つは、「fail2ban」をインストールして、各種設定をすませてサービスを有効にしていたら防げる攻撃なんだ。
問題は、次。

パターン3　匿名IPからの強引なる連続攻撃(Brute Force Attack)。

この、もっともいやらしいパターンのログは、以下のようになる。

[2015-11-05 20:48:41] NOTICE[1345][C-0000001d] chan_sip.c: Failed to authenticate device 101<sip:101@YYY.YYY.YYY.YYY>;tag=c72c6c6c
[2015-11-05 20:50:49] NOTICE[1345][C-0000001e] chan_sip.c: Failed to authenticate device 101<sip:101@YYY.YYY.YYY.YYY>;tag=56982f6e
[2015-11-05 20:51:46] NOTICE[1345][C-0000001f] chan_sip.c: Failed to authenticate device 800<sip:800@YYY.YYY.YYY.YYY>;tag=2cfa1395
[2015-11-05 20:51:48] NOTICE[1345][C-00000020] chan_sip.c: Failed to authenticate device 800<sip:800@YYY.YYY.YYY.YYY>;tag=df8f03a3

上記同様、YYY.YYY.YYY.YYYは、僕に割り当てられたグローバルIPアドレス。
このログからは、内線101に対して2回、内線800番に2回ログインを試みている様子がわかる。
ここで問題なのは、この攻撃をされると、相手のIPアドレスがログに残らないことなのだ。
ただ、「tag=なんとか」というものが記されているだけ。
fai2banは、相手のIPアドレスがわかってはじめて動作するので、これでは不正アクセスを防ぐことができない。
なんで？
仕様なの？
そう。仕様なのです。