Защита от подбора пароля

[ded]

1) можно ли ограничить по юзерагенту? я-то знаю свой парк сипфонов и железяк... учитывая что * пишет юзерагент в лог, думаю fail2ban может мониторить появление левых юзерагентов и блочить айпи сходу. подумаю в этом направлении.

fail2ban мониторит попытки регистрации, и только. Если принять условие, что ваш кулхацкер знает каким-то образом пароль от экстеншна 101 (уловно), то зарегистрирован ли настоящий 101, или не зарегистрирован - это абсолютно не важно для исходящего звонка с этими данными откуда угодно.

2) можно ли ограничить исходящие звонки не на пире, а по номеру назначения? скажем если на конкретный номер вышло 10 звонков подряд менее чем за минуту - блокировать до дальнейших разбирательств.

Можно ограничить и на пире, и по destination, это всё кастомные допилы. Помнится мы делали для заказчика введение суточного лимита на исходящий международ (в минутах) на каждый внутренний номер.

[chaky]

1) Ну насчёт только попыток регистрации не совсем верно... fail2ban мониторит частоту появлений строк вида:
{*} failed to register - user unknown ну и так далее

Строку-то эту можно подредактировать. Да и не упираться в fail2ban в конце-то концов, я же только для примера сказал. Любой софт, мониторящий лог через скажем File::Tail и видящий при регистрации юзерагенты, отличающиеся от LinskSys, Draytek Vigor или других разрешенных - банил IP адрес. Просто как дополнительная защита.

2) Да, насчёт таймстампа и SELECT COUNT за последние 5 минут - это хорошая идея, нужно завтра написать попробовать

[chaky]

upd

ded до меня дошёл смысл сказанного 8)

дело в том что у меня всегда регистрация предшествует попытке звонка, так что в моём случае я могу в логах это отловить.
может конечно в будущем кулхацкер поменяет тактику, но на пока это было бы неплохое решение если бы я смог это реализовать.

[ded]

дело в том что у меня всегда регистрация предшествует попытке звонка, так что в моём случае я могу в логах это отловить.

Нет. Не сможешь.
Несколько наших клиентов слились таким же образом. Думали что так. А вышло эдак.
Должны быть
а) абсолютные методы
б) набор защит, а не какая-то одна тактика.

[chaky]

Нет. Не сможешь.

Можно объяснить почему именно?
Я исхожу из 2 фактов:
1) Всегда в моих случаях юзер регистрировался перед звонками
2) При регистрации в лог * падает строка с юзерагентом

То что это не защита на 100% а лишь одно из направлений - я сказал сразу.

[ded]

Всегда в моих случаях юзер регистрировался перед звонками

Следущий случай прибежит допустим без регистрации, и что нам даст анализ этой регистрации тогда?
Я тоже сказад сразу, что должны быть
а) абсолютные методы
б) набор защит, а не какая-то одна тактика.

[chaky]

вобщем я понял.
всё сводится к защите конечных устройств и ограничению количества международного трафика за единицу времени.

спасибо всем высказвшимся

[ded]

сделать из этого трояна прокси, который
- Будет искать на компе установленные программы, такие как xlite, bria, kapanga, zoiper и тп, находить пароли, пусть даже хэшированные, ну и настройки.

Очень реально

- Отправлять на сервер злоумышленника найденное и инициировать TCP канал
- Сервер будет по какому-то своему протоколу по TCP передавать трафик в трояна
- Троян будет звонить через сервер как будто это прога, установленная на компе юзера.

а это на сегодня черезчур, полно более лёгкого хлеба. А завтра - очень и очень вероятно. Ботнеты то строят!