[AsteriskBrasil] RES: Intruso no Asterisk
Gustavo Cordeiro
gustavo em advent.com.br
Quarta Novembro 25 15:31:51 BRST 2009
Olá pessoal,
Pra quem se interessar...
Asterisk Security Webinar
http://www.asterisk.org/security/webinar
Sds,
Gustavo Cordeiro
Advent Tecnologia Ltda.
Telefone: 48 3024-9350
Celular: 48 8809-0764
www.advent.com.br
2009/11/25 Kim Delevati <kim.delevati em gmail.com>:
> O allowguest é por default yes (mesmo quando não há o campo), recomendo
> colocar no. Já tive problemas com isso.
>
> 2009/11/24 Alexandre Ricardo Souza Silva <alexandre em componentizar.com.br>
>>
>> Rodrigo tudo bem,
>>
>> a minha arquitetura é , tenho iptables , esta maquina sai
>> para internet para fazer ligacoes via voip, e alem disso tenho pessoas que
>> acessa os ramais externo tanto sip como Iax para fala na empresa.
>> no meu sip.conf nao tem essa opcao ( allowguest=no )
>>
>> Desculpe- pela demora, mas agora estou livre para tirar as
>> duvidas.
>>
>>
>> Abraço
>> Alexandre
>>
>> ----- Original Message -----
>> From: Rodrigo Lang
>> To: asteriskbrasil em listas.asteriskbrasil.org
>> Sent: Tuesday, November 24, 2009 12:26 PM
>> Subject: Re: [AsteriskBrasil] RES: Intruso no Asterisk
>> Alexandre, descreva a sua arquitetura... Tem Firewall? O Asterisk
>> necessita de saída para a rede? Que nem o nosso amigo Felipe disse, se não
>> tiver, sete allowguest=no no sip.conf, provavelmente você não necessita
>> dele...
>>
>>
>>
>> Ats,
>> Rodrigo Lang.
>>
>> 2009/11/24 Julio Arruda <jarruda-asterisk em jarruda.com>
>>>
>>> Rafael Alves Machado wrote:
>>> > Não existe um patch de atualização para Este problema? Pois passei pelo
>>> > mesmo problema e o prejuízo foi alto.
>>> >
>>>
>>> Humm...nao sei se voce entendeu, mas isto nao e' um bug. O ponto e', se
>>> voce permite um SIP UA qualquer falar com o seu * sem estar registrado,
>>> e mandar chamadas, e' configuracao....
>>> Existe uma quantidade grande de brute-force tambem, onde tentam achar
>>> combinacoes usuario/senha que podem mandar chamadas via seu asterisk....
>>>
>>> >
>>> > Rafael
>>> >
>>> > -----Mensagem original-----
>>> > De: asteriskbrasil-bounces em listas.asteriskbrasil.org
>>> > [mailto:asteriskbrasil-bounces em listas.asteriskbrasil.org] Em nome de
>>> > Felipe
>>> > R. Pasa
>>> > Enviada em: segunda-feira, 23 de novembro de 2009 22:04
>>> > Para: asteriskbrasil em listas.asteriskbrasil.org
>>> > Assunto: Re: [AsteriskBrasil] Intruso no Asterisk
>>> >
>>> > Alexandre,
>>> >
>>> > no seu sip.conf, voce pode habilitar o parametro allowguest=yes e na
>>> > conta do [guest] coloca um contexto que alcance somente os seus ramais
>>> > internos,ou algum que nao exista, neste caso o seu invasor no máximo
>>> > liga para o seu ramal e inclusive voce pode até trocar umas
>>> > palavrinhas com o intruso! :)
>>> >
>>> > At.!
>>> >
>>> > 2009/11/23 Alexandre Ricardo Souza Silva
>>> > <alexandre em componentizar.com.br>:
>>> >> Salve Galera!
>>> >>
>>> >>
>>> >> Preciso de help de todos, estava verificando o log do
>>> >> meu
>>> >> asterisk e notei que tenho uns 48 registro assim ( Sip/113.105.152.56
>>> >> asterisk asterisk) , pelo que verifiquei na Net isso é tentativa de
>>> > intruso,
>>> >> só que esse ip tentou ligar para alguns lugares , mas sem sucesso pelo
>>> >> que
>>> >> vi , todas as tentativas não passou de 16 segundos, essas 48
>>> >> tentativas
>>> > sao
>>> >> desde mes 08 , hoje por exemplo não tive este ataque, eles estao
>>> >> tentando
>>> > a
>>> >> cada 4 dias...
>>> >>
>>> >> Qual o patch q tenho que aplicar no * para manter mais
>>> >> seguro?
>>> >>
>>> >> ***Log
>>> >> Nov 14 01:22:19] VERBOSE[21171] logger.c: -- Executing
>>> >> [011441616604001 em from-sip-external:1]
>>> >> NoOp("SIP/113.105.152.56-b2e04818",
>>> >> "Received incoming SIP connection from unknown peer to
>>> >> 011441616604001")
>>> > in
>>> >> new stack
>>> >> [Nov 14 01:22:19] VERBOSE[21171] logger.c: -- Executing
>>> >> [011441616604001 em from-sip-external:2]
>>> >> Set("SIP/113.105.152.56-b2e04818",
>>> >> "DID=011441616604001") in new stack
>>> >> [Nov 14 01:22:19] VERBOSE[21171] logger.c: -- Executing
>>> >> [011441616604001 em from-sip-external:3]
>>> >> Goto("SIP/113.105.152.56-b2e04818",
>>> >> "s|1") in new stack
>>> >> [Nov 14 01:22:19] VERBOSE[21171] logger.c: -- Executing
>>> >> [s em from-sip-external:1] GotoIf("SIP/113.105.152.56-b2e04818",
>>> >> "0?from-trunk|011441616604001|1") in new stack
>>> >> [Nov 14 01:22:19] VERBOSE[21171] logger.c: -- Executing
>>> >> [s em from-sip-external:2] Set("SIP/113.105.152.56-b2e04818",
>>> >> "TIMEOUT(absolute)=15") in new stack
>>> >> [Nov 14 01:22:19] VERBOSE[21171] logger.c: -- Executing
>>> >> [s em from-sip-external:3] Answer("SIP/113.105.152.56-b2e04818", "") in
>>> >> new
>>> >> stack
>>> >> [Nov 14 01:22:19] VERBOSE[21171] logger.c: -- Executing
>>> >> [s em from-sip-external:4] Wait("SIP/113.105.152.56-b2e04818", "2") in
>>> >> new
>>> >> stack
>>> >> [Nov 14 01:22:21] VERBOSE[21170] logger.c: -- Executing
>>> >> [s em from-sip-external:5] Playback("SIP/113.105.152.56-b2e08a38",
>>> >> "ss-noservice") in new stack
>>> >> [Nov 14 01:22:21] VERBOSE[21171] logger.c: -- Executing
>>> >> [s em from-sip-external:5] Playback("SIP/113.105.152.56-b2e04818",
>>> >> "ss-noservice") in new stack
>>> >> [Nov 14 01:22:21] VERBOSE[21170] logger.c: --
>>> >> <SIP/113.105.152.56-b2e08a38> Playing 'ss-noservice' (language 'en')
>>> >> [Nov 14 01:22:21] VERBOSE[21171] logger.c: --
>>> >> <SIP/113.105.152.56-b2e04818> Playing 'ss-noservice' (language 'en')
>>> >> [Nov 14 01:22:28] VERBOSE[21170] logger.c: -- Executing
>>> >> [s em from-sip-external:6] PlayTones("SIP/113.105.152.56-b2e08a38",
>>> >> "congestion") in new stack
>>> >> [Nov 14 01:22:28] VERBOSE[21170] logger.c: -- Executing
>>> >> [s em from-sip-external:7] Congestion("SIP/113.105.152.56-b2e08a38", "5")
>>> >> in
>>> >> new stack
>>> >> [Nov 14 01:22:28] VERBOSE[21171] logger.c: -- Executing
>>> >> [s em from-sip-external:6] PlayTones("SIP/113.105.152.56-b2e04818",
>>> >> "congestion") in new stack
>>> >> [Nov 14 01:22:28] VERBOSE[21171] logger.c: -- Executing
>>> >> [s em from-sip-external:7] Congestion("SIP/113.105.152.56-b2e04818", "5")
>>> >> in
>>> >> new stack
>>> >> [Nov 14 01:22:34] VERBOSE[21170] logger.c: == Spawn extension
>>> >> (from-sip-external, s, 7) exited non-zero on
>>> >> 'SIP/113.105.152.56-b2e08a38'
>>> >> [Nov 14 01:22:34] VERBOSE[21170] logger.c: -- Executing
>>> >> [T em from-sip-external:1] NoOp("SIP/113.105.152.56-b2e08a38", "Received
>>> >> incoming SIP connection from unknown peer to T") in new stack
>>> >> [Nov 14 01:22:34] VERBOSE[21170] logger.c: -- Executing
>>> >> [T em from-sip-external:2] Set("SIP/113.105.152.56-b2e08a38", "DID=s") in
>>> >> new
>>> >> stack
>>> >> [Nov 14 01:22:34] VERBOSE[21170] logger.c: -- Executing
>>> >> [T em from-sip-external:3] Goto("SIP/113.105.152.56-b2e08a38", "s|1") in
>>> >> new
>>> >> stack
>>> >> [Nov 14 01:22:34] VERBOSE[21170] logger.c: -- Executing
>>> >> [s em from-sip-external:1] GotoIf("SIP/113.105.152.56-b2e08a38",
>>> >> "0?from-trunk|s|1") in new stack
>>> >> [Nov 14 01:22:34] VERBOSE[21170] logger.c: -- Executing
>>> >> [s em from-sip-external:2] Set("SIP/113.105.152.56-b2e08a38",
>>> >> "TIMEOUT(absolute)=15") in new stack
>>> >> [Nov 14 01:22:34] VERBOSE[21170] logger.c: -- Executing
>>> >> [s em from-sip-external:3] Answer("SIP/113.105.152.56-b2e08a38", "") in
>>> >> new
>>> >> stack
>>> >> [Nov 14 01:22:34] VERBOSE[21170] logger.c: -- Executing
>>> >> [s em from-sip-external:4] Wait("SIP/113.105.152.56-b2e08a38", "2") in
>>> >> new
>>> >> stack
>>> >> [Nov 14 01:22:34] VERBOSE[21171] logger.c: == Spawn extension
>>> >> (from-sip-external, s, 7) exited non-zero on
>>> >> 'SIP/113.105.152.56-b2e04818'
>>> >> [Nov 14 01:22:34] VERBOSE[21171] logger.c: -- Executing
>>> >> [T em from-sip-external:1] NoOp("SIP/113.105.152.56-b2e04818", "Received
>>> >> incoming SIP connection from unknown peer to T") in new stack
>>> >> [Nov 14 01:22:34] VERBOSE[21171] logger.c: -- Executing
>>> >> [T em from-sip-external:2] Set("SIP/113.105.152.56-b2e04818", "DID=s") in
>>> >> new
>>> >> stack
>>> >> [Nov 20 15:23:17] VERBOSE[6506] logger.c: -- Executing
>>> >> [s em from-sip-external:1] GotoIf("SIP/113.105.152.56-b3702a48",
>>> >> "0?from-trunk|s|1") in new stack
>>> >> [Nov 20 15:23:17] VERBOSE[6506] logger.c: -- Executing
>>> >> [s em from-sip-external:2] Set("SIP/113.105.152.56-b3702a48",
>>> >> "TIMEOUT(absolute)=15") in new stack
>>> >> [Nov 20 15:23:17] VERBOSE[6506] logger.c: -- Executing
>>> >> [s em from-sip-external:3] Answer("SIP/113.105.152.56-b3702a48", "") in
>>> >> new
>>> >> stack
>>> >> [Nov 20 15:23:17] VERBOSE[6506] logger.c: == Spawn extension
>>> >> (from-sip-external, s, 3) exited non-zero on
>>> >> 'SIP/113.105.152.56-b3702a48'
>>> >> [Nov 20 17:05:38] VERBOSE[25061] logger.c: -- Executing
>>> >> [00#441616604001 em from-sip-external:1]
>>> >> NoOp("SIP/113.105.152.56-b37009f8",
>>> >> "Received incoming SIP connection from unknown peer to
>>> >> 00#441616604001")
>>> > in
>>> >> new stack
>>> >> [Nov 20 17:05:38] VERBOSE[25061] logger.c: -- Executing
>>> >> [00#441616604001 em from-sip-external:2]
>>> >> Set("SIP/113.105.152.56-b37009f8",
>>> >> "DID=00#441616604001") in new stack
>>> >> [Nov 20 17:05:38] VERBOSE[25061] logger.c: -- Executing
>>> >> [00#441616604001 em from-sip-external:3]
>>> >> Goto("SIP/113.105.152.56-b37009f8",
>>> >> "s|1") in new stack
>>> >> [Nov 20 17:05:38] VERBOSE[25061] logger.c: -- Executing
>>> >> [s em from-sip-external:1] GotoIf("SIP/113.105.152.56-b37009f8",
>>> >> "0?from-trunk|00#441616604001|1") in new stack
>>> >> [Nov 20 17:05:38] VERBOSE[25061] logger.c: -- Executing
>>> >> [s em from-sip-external:2] Set("SIP/113.105.152.56-b37009f8",
>>> >> "TIMEOUT(absolute)=15") in new stack
>>> >> [Nov 20 17:05:38] VERBOSE[25061] logger.c: -- Executing
>>> >> [s em from-sip-external:3] Answer("SIP/113.105.152.56-b37009f8", "") in
>>> >> new
>>> >> stack
>>> >> [Nov 20 17:05:38] VERBOSE[25061] logger.c: -- Executing
>>> >> [s em from-sip-external:4] Wait("SIP/113.105.152.56-b37009f8", "2") in
>>> >> new
>>> >> stack
>>> >> [Nov 20 17:05:40] VERBOSE[25061] logger.c: -- Executing
>>> >> [s em from-sip-external:5] Playback("SIP/113.105.152.56-b37009f8",
>>> >> "ss-noservice") in new stack
>>> >> [Nov 20 17:05:40] VERBOSE[25061] logger.c: --
>>> >> <SIP/113.105.152.56-b37009f8> Playing 'ss-noservice' (language 'en')
>>> >> [Nov 20 17:05:47] VERBOSE[25061] logger.c: -- Executing
>>> >> [s em from-sip-external:6] PlayTones("SIP/113.105.152.56-b37009f8",
>>> >> "congestion") in new stack
>>> >> [Nov 20 17:05:47] VERBOSE[25061] logger.c: -- Executing
>>> >> [s em from-sip-external:7] Congestion("SIP/113.105.152.56-b37009f8", "5")
>>> >> in
>>> >> new stack
>>> >> [Nov 20 17:05:52] VERBOSE[25061] logger.c: == Spawn extension
>>> >> (from-sip-external, s, 7) exited non-zero on
>>> >> 'SIP/113.105.152.56-b37009f8'
>>> >> [Nov 20 17:05:52] VERBOSE[25061] logger.c: -- Executing
>>> >> [h em from-sip-external:1] NoOp("SIP/113.105.152.56-b37009f8", "Hangup")
>>> >> in
>>> > new
>>> >> stack
>>> >> [Nov 20 17:05:52] VERBOSE[25061] logger.c: -- Executing
>>> >> [h em from-sip-external:2] Set("SIP/113.105.152.56-b37009f8", "DID=s") in
>>> >> new
>>> >> stack
>>> >> [Nov 20 17:05:52] VERBOSE[25061] logger.c: -- Executing
>>> >> [h em from-sip-external:3] Goto("SIP/113.105.152.56-b37009f8", "s|1") in
>>> >> new
>>> >> stack
>>> >> [Nov 20 17:05:52] VERBOSE[25061] logger.c: -- Executing
>>> >> [s em from-sip-external:1] GotoIf("SIP/113.105.152.56-b37009f8",
>>> >> "0?from-trunk|s|1") in new stack
>>> >> [Nov 20 17:05:52] VERBOSE[25061] logger.c: -- Executing
>>> >> [s em from-sip-external:2] Set("SIP/113.105.152.56-b37009f8",
>>> >> "TIMEOUT(absolute)=15") in new stack
>>> >> [Nov 20 17:05:52] VERBOSE[25061] logger.c: -- Executing
>>> >> [s em from-sip-external:3] Answer("SIP/113.105.152.56-b37009f8", "") in
>>> >> new
>>> >> stack
>>> >> [Nov 20 17:05:52] VERBOSE[25061] logger.c: == Spawn extension
>>> >> (from-sip-external, s, 3) exited non-zero on
>>> >> 'SIP/113.105.152.56-b37009f8'
>>> >>
>>> >> **
>>> >>
>>> >> Fico no aguardo
>>> >>
>>> >> Abraço
>>> >>
>>> >>
>>> >> Alexandre
>>> >> _______________________________________________
>>> >> A Redfone é líder no fornecimento de bridges TDMoE <-> E1
>>> >> - Valor similar ao de placas E1 PCI;
>>> >> - Não há problemas de compatibilidade com barramento PCI;
>>> >> - Possibilitam a construção de soluções de alta disponibilidade(dois
>>> >> servidores compartilham o mesmo E1)
>>> >> Conheça mais sobre este produto em www.red-fone.com
>>> >> _______________________________________________
>>> >> Lista de discussões AsteriskBrasil.org
>>> >> AsteriskBrasil em listas.asteriskbrasil.org
>>> >> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
>>> >>
>>> >
>>> >
>>> >
>>>
>>> _______________________________________________
>>> A Redfone é líder no fornecimento de bridges TDMoE <-> E1
>>> - Valor similar ao de placas E1 PCI;
>>> - Não há problemas de compatibilidade com barramento PCI;
>>> - Possibilitam a construção de soluções de alta disponibilidade(dois
>>> servidores compartilham o mesmo E1)
>>> Conheça mais sobre este produto em www.red-fone.com
>>> _______________________________________________
>>> Lista de discussões AsteriskBrasil.org
>>> AsteriskBrasil em listas.asteriskbrasil.org
>>> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
>>
>>
>>
>> --
>> Rodrigo F. Lang
>> Amd. de Redes em Telecom
>>
>> ________________________________
>>
>> _______________________________________________
>> A Redfone é líder no fornecimento de bridges TDMoE <-> E1
>> - Valor similar ao de placas E1 PCI;
>> - Não há problemas de compatibilidade com barramento PCI;
>> - Possibilitam a construção de soluções de alta disponibilidade(dois
>> servidores compartilham o mesmo E1)
>> Conheça mais sobre este produto em www.red-fone.com
>> _______________________________________________
>> Lista de discussões AsteriskBrasil.org
>> AsteriskBrasil em listas.asteriskbrasil.org
>> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
>>
>> _______________________________________________
>> A Redfone é líder no fornecimento de bridges TDMoE <-> E1
>> - Valor similar ao de placas E1 PCI;
>> - Não há problemas de compatibilidade com barramento PCI;
>> - Possibilitam a construção de soluções de alta disponibilidade(dois
>> servidores compartilham o mesmo E1)
>> Conheça mais sobre este produto em www.red-fone.com
>> _______________________________________________
>> Lista de discussões AsteriskBrasil.org
>> AsteriskBrasil em listas.asteriskbrasil.org
>> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
>
>
> _______________________________________________
> A Redfone é líder no fornecimento de bridges TDMoE <-> E1
> - Valor similar ao de placas E1 PCI;
> - Não há problemas de compatibilidade com barramento PCI;
> - Possibilitam a construção de soluções de alta disponibilidade(dois
> servidores compartilham o mesmo E1)
> Conheça mais sobre este produto em www.red-fone.com
> _______________________________________________
> Lista de discussões AsteriskBrasil.org
> AsteriskBrasil em listas.asteriskbrasil.org
> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
>
Mais detalhes sobre a lista de discussão AsteriskBrasil