Dass Script-Kiddies aus der ganzen Welt versuchen, kostenlos über unseren Asterisk zu telefonieren - daran haben wir uns schon fast gewöhnt. Nur weil wir einen Gast-Account betreiben und deshalb auch per SIP und ENUM direkt erreichbar sind, heisst das natürlich noch lange nicht, dass unser Telefonserver unsicher ist. Im Gegenteil, wir sehen uns die Logs schon recht genau an.

Umso interessanter war folgender Hinweis:

May 31 23:00:03 quito HylaFAX[1674]: checkHostIdentity("173-212-206-2.static.hostnoc.net")
May 31 23:00:04 quito HylaFAX[1674]: <--- 130 Warning, client address "173.212.206.2" is not listed for host name "173-212-206-2.static.hostnoc.net".

Versucht da jemand, unser Fax zu missbrauchen? - Wie kann das sein… laut einem Kollegen ergibt ein Portscan kein Resultat:

# nmap quito.line5.net

Starting Nmap 5.00 ( http://nmap.org ) at 2014-05-31 23:15 CEST
Note: Host seems down. If it is really up, but blocking our ping probes, try -PN
Nmap done: 1 IP address (0 hosts up) scanned in 0.37 seconds

Offensichtlich ist aber doch ein Port geöffnet. Versuchen wir es also mit einem richtigen Portscan:

# nmap -sT -PN quito.line5.net -p 1-65535

Starting Nmap 5.00 ( http://nmap.org ) at 2014-05-31 23:22 CEST
Interesting ports on quito.line5.net (176.9.199.5):
Not shown: 65525 closed ports
PORT      STATE    SERVICE
22/tcp    filtered ssh
25/tcp    filtered smtp
80/tcp    open     http
2000/tcp  filtered callbook
4559/tcp  open     hylafax
4949/tcp  open     unknown
5038/tcp  filtered unknown
5061/tcp  open     sip-tls
5666/tcp  filtered nrpe

Das sieht schon besser aus. Nicht nur Hylafax (Port 4559), sondern auch Munin (Port 4949) sind von außen erreichbar. Nachdem wir das wissen, können wir die beiden Ports per IPTables sperren - und nach einem erneuten Check …

# nmap -sT -PN quito.line5.net -p 1-65535

Starting Nmap 5.00 ( http://nmap.org ) at 2014-05-31 23:23 CEST
Interesting ports on quito.line5.net (176.9.199.5):
Not shown: 65525 closed ports
PORT      STATE    SERVICE
22/tcp    filtered ssh
25/tcp    filtered smtp
80/tcp    open     http
2000/tcp  filtered callbook
4559/tcp  filtered hylafax
4949/tcp  filtered unknown
5038/tcp  filtered unknown
5061/tcp  open     sip-tls
5666/tcp  filtered nrpe

Nmap done: 1 IP address (1 host up) scanned in 2.85 seconds

… sieht das alles schon ganz anders aus. Viel besser, und das System ist wieder mal etwas sicherer geworden! Der SIP Port darf natürlich offen sein.