[AsteriskBrasil] Segurança, Iptable, ip valido no servidor, servidor na dmz...

Rodrigo Graeff delphusbsd em gmail.com
Quinta Outubro 8 16:00:57 BRT 2009


On Thu, 2009-10-08 at 15:47 -0300, Eliel Oliveira wrote:
> precisa ter culhao mesmo.
> soh dei uma olhada no report..
> nem vou perder meu tempo olhando brechas entre outras coisas...
> tenho mais o que fazer.. to loco de coisa aqui hasuHUHASUhAHS
> mas em todo caso, nao eh nada agradavel/indicado fazer uma macarronada
> de serviços assim
> o ideal eh separar os serviços... 
> 1 lugar soh com servidor de email
> outro com http e pode ser BD tb
> essas coisas assim..
> senao a brecha de um atrapalha o outro
> mas isso jah eh assunto pra segurança (e viabilidade) =D

Sim eu faria isso se fosse um server profissional, de uma empresa ou
algo parecido, porém é da minha empresa, e meu server particular. Pago
105 dolares por mês, então preciso concentrar recurosos pois não estou
com essa grana toda.

> 
> veja a possibilidade de usar um firewall sim.
> o que com certeza teria reduzido a quantidade de pessoas usando as
> diversas ferramentas que vc falou ai.
> afinal.. com um firewall bem estruturados, ele olha primeiro o header,
> se ai já for proibido, ele descarta sem abrir.
> e depois tem as questoes de camadas, e vc ve quais precisam ser
> monitoradas.

Não tive necessidade de por firewall ainda, O que está disponível é pra
ser usado, o que não está aberto não é pra ser usado hehe. Eu manjo de
pf no bsd mas nunca tive a necessidade de fazer uso. Conheço snort e
outras ferramentas, mas não estou afim de perder esse tempo pois este
servidor é meu.

> 
> Alguns proxys e firewalls que eu deixo no ar, possuem verificação até
> a camada de aplicação, pra verificar se ela nao eh um serviço
> indevido.
> come mais processamento que o normal, mas gera uma segurança maior..
> (apesar de nada ser 100% seguro)

Justo, não estou afim de gerar overhead extra para ter esta "segurança".
Não tenho necessidade disso.

> 
> mesmo assim.. eh bom prestar atenção nesse ponto.. e se esse servidor
> tambem tem asterisk.. eh pior ainda =p
> pq o asterisk tb precisa de processamento, disco, entre outras.
> mas de asterisk nao entendo muito hUASHuAHs
> entao nao dou pitaco..
> to aqui pra aprender =D

Meu asterisk concentra ligações diárias da minha empresa. Nada muito
volumoso, e mesmo fazendo monitoração das chamadas o uso do cpu é
insignificante. 

 3:51PM  up 486 days,  1:05, 1 user, load averages: 0.04, 0.03, 0.00

Saliento, eu uso os serviços que confio, gosto do FreeBSD mas conheço
suas limitações com placas tdm, infelizmente. Enfim...

Valeu !
> 
> 
> On Thu, Oct 8, 2009 at 3:34 PM, Rodrigo Graeff <delphusbsd em gmail.com>
> wrote:
>         Obrigado pelo relatório Eliel.
>         
>         A macarronada de serviços salvam a minha pele, pois são os
>         serviços,
>         versões e softwares que confio, justamente para deixar sem
>         firewall.
>         
>         Este servidor é meu em particular e abriga alem de tudo, meu
>         asterisk
>         pessoal.
>         
>         O servico na porta 6669 é um Unreal IRCd porém quer conexções
>         SSL, quem
>         quiser entrar e bater um papo estou no canal #asterisk
>         
>         Tem que ter culhão pra deixar o IP hein ? E como o itamar
>         falou,
>         iptables é pra boiola.
>         
>         
>         
>         
>         On Thu, 2009-10-08 at 15:00 -0300, Eliel Oliveira wrote:
>         > Report de 72.55.148.11
>         >
>         > Porta 6669
>         > Reported by NVT "Trojan
>         horses" (1.3.6.1.4.1.25623.1.0.11157):
>         >
>         > An unknown service runs on this port.
>         > It is sometimes opened by this/these Trojan horse(s):
>         >  Host Control
>         >  Vampire
>         >
>         > Unless you know for sure what is behind it, you'd better
>         > check your system
>         >
>         > *** Anyway, don't panic, Nessus only found an open port. It
>         may
>         > *** have been dynamically allocated to some service (RPC...)
>         >
>         > Solution: if a trojan horse is running, run a good antivirus
>         scanner
>         > Risk factor : Low
>         >
>         > Porta 111
>         > The RPC portmapper is running on this port.
>         >
>         > An attacker may use it to enumerate your list
>         > of RPC services. We recommend you filter traffic
>         > going to this port.
>         >
>         > Risk factor : Low
>         > CVE : CAN-1999-0632, CVE-1999-0189
>         > BID : 205
>         >
>         > Porta 22
>         > Reported by NVT "SSH Server type and
>         > version" (1.3.6.1.4.1.25623.1.0.10267):
>         >
>         > Remote SSH version : SSH-2.0-OpenSSH_4.5p1 FreeBSD-20061110
>         >
>         >
>         >
>         ====================================================================
>         > Reported by NVT "Services" (1.3.6.1.4.1.25623.1.0.10330):
>         >
>         > An ssh server is running on this port
>         >
>         > porta 25
>         > smtpscan was not able to reliably identify this server. It
>         might be:
>         > Qmail 1.0.3
>         > The fingerprint differs from these known signatures on 1
>         point(s)
>         >
>         > If you known precisely what it is, please send this
>         fingerprint
>         > to smtp-signatures em nessus.org :
>         > :250:250:250:250:250:553:553:214:252:502:502:502:502:250:250
>         >
>         >
>         ====================================================================
>         > Reported by NVT "SMTP Server type and
>         > version" (1.3.6.1.4.1.25623.1.0.10263):
>         >
>         > Remote SMTP server banner :
>         > 220 mail.thewebsilo.com ESMTP SPF1
>         >
>         >
>         >
>         > This is probably: Qmail
>         >
>         >
>         ====================================================================
>         > Reported by NVT "Services" (1.3.6.1.4.1.25623.1.0.10330):
>         >
>         > An SMTP server is running on this port
>         > Here is its banner :
>         > 220 mail.thewebsilo.com ESMTP SPF1
>         >
>         >
>         ====================================================================
>         > Reported by NVT "Identifies services like FTP, SMTP,
>         > NNTP..." (1.3.6.1.4.1.25623.1.0.14773):
>         >
>         > A SMTP server is running on this port
>         >
>         > porta 995
>         > A pop3 server is running on this port
>         >
>         >
>         ====================================================================
>         > Reported by NVT "Services" (1.3.6.1.4.1.25623.1.0.10330):
>         >
>         > A TLSv1 server answered on this port
>         >
>         > Porta 6667
>         > An unknown service runs on this port.
>         > It is sometimes opened by this/these Trojan horse(s):
>         >  Dark FTP
>         >  EGO
>         >  Maniac rootkit
>         >  Moses
>         >  ScheduleAgent
>         >  SubSeven
>         >  Subseven 2.1.4 DefCon 8
>         >  The Thing (modified)
>         >  Trinity
>         >  WinSatan
>         >
>         > Here is the service banner:
>         > :irc.thewebsilo.com NOTICE AUTH :*** Looking up your
>         hostname...
>         >
>         >
>         > Unless you know for sure what is behind it, you'd better
>         > check your system
>         >
>         > *** Anyway, don't panic, Nessus only found an open port. It
>         may
>         > *** have been dynamically allocated to some service (RPC...)
>         >
>         > Solution: if a trojan horse is running, run a good antivirus
>         scanner
>         > Risk factor : Low
>         >
>         >
>         ====================================================================
>         > Reported by NVT "Unknown services
>         > banners" (1.3.6.1.4.1.25623.1.0.11154):
>         >
>         > An unknown server is running on this port.
>         >
>         > Porta 6668
>         > An unknown server is running on this port.
>         > If you know what it is, please send this banner to the
>         Nessus team:
>         > 0x00:  3A 69 72 63 2E 74 68 65 77 65 62 73 69 6C 6F
>         > 2E    :irc.thewebsilo.
>         > 0x10:  63 6F 6D 20 4E 4F 54 49 43 45 20 41 55 54 48 20
>          com NOTICE
>         > AUTH
>         > 0x20:  3A 2A 2A 2A 20 4C 6F 6F 6B 69 6E 67 20 75 70 20
>          :*** Looking
>         > up
>         > 0x30:  79 6F 75 72 20 68 6F 73 74 6E 61 6D 65 2E 2E 2E
>          your
>         > hostname...
>         > 0x40:  0D
>         > 0A                                              ..
>         >
>         > Porta 9993
>         > The remote imap server banner is :
>         > * OK [CAPABILITY IMAP4rev1 UIDPLUS CHILDREN NAMESPACE
>         > THREAD=ORDEREDSUBJECT THREAD=REFERENCES SORT QUOTA IDLE
>         AUTH=PLAIN ACL
>         > ACL2=UNION] Courier-IMAP ready. Copyright 1998-2008 Double
>         Precision,
>         > Inc.  See COPYING for distribution information.
>         > Versions and types should be omitted where possible.
>         > Change the imap banner to something generic.
>         >
>         >
>         ====================================================================
>         > Reported by NVT "Services" (1.3.6.1.4.1.25623.1.0.10330):
>         >
>         > An IMAP server is running on this port through SSL
>         >
>         >
>         ====================================================================
>         > Reported by NVT "Services" (1.3.6.1.4.1.25623.1.0.10330):
>         >
>         > A TLSv1 server answered on this port
>         >
>         > Porta 143
>         > The remote imap server banner is :
>         > * OK [CAPABILITY IMAP4rev1 UIDPLUS CHILDREN NAMESPACE
>         > THREAD=ORDEREDSUBJECT THREAD=REFERENCES SORT QUOTA IDLE ACL
>         > ACL2=UNION] Courier-IMAP ready. Copyright 1998-2008 Double
>         Precision,
>         > Inc.  See COPYING for distribution information.
>         > Versions and types should be omitted where possible.
>         > Change the imap banner to something generic.
>         >
>         >
>         ====================================================================
>         > Reported by NVT "Services" (1.3.6.1.4.1.25623.1.0.10330):
>         >
>         > An IMAP server is running on this port
>         >
>         > porta 113
>         > Reported by NVT "Services" (1.3.6.1.4.1.25623.1.0.10330):
>         >
>         > An identd server is running on this port
>         >
>         >
>         > General UDP
>         > Reported by NVT "Traceroute" (1.3.6.1.4.1.25623.1.0.10287):
>         >
>         > For your information, here is the traceroute to
>         72.55.148.11 :
>         > 192.168.1.128
>         > 192.168.1.1
>         > 201.21.160.1
>         > 189.4.0.98
>         > 201.64.76.1
>         > 200.244.168.150
>         > 200.230.251.70
>         > 200.230.251.78
>         > 4.71.230.5
>         > 4.68.16.62
>         > 4.69.134.113
>         > 4.69.141.5
>         > 4.59.176.10
>         >
>         > porta 21
>         > Remote FTP server banner :
>         > 220---------- Welcome to Pure-FTPd [privsep] [TLS]
>         ----------
>         >
>         >
>         ====================================================================
>         > Reported by NVT "Services" (1.3.6.1.4.1.25623.1.0.10330):
>         >
>         > An FTP server is running on this port.
>         > Here is its banner :
>         > 220---------- Welcome to Pure-FTPd [privsep] [TLS]
>         ----------
>         >
>         >
>         ====================================================================
>         > Reported by NVT "Identifies services like FTP, SMTP,
>         > NNTP..." (1.3.6.1.4.1.25623.1.0.14773):
>         >
>         > A SMTP server is running on this port
>         >
>         > porta 53
>         > Reported by NVT "DNS Server
>         Detection" (1.3.6.1.4.1.25623.1.0.11002):
>         >
>         >
>         > A DNS server is running on this port. If you do not use it,
>         disable
>         > it.
>         >
>         > Risk factor : Low
>         >
>         >
>         >
>         > QUE MACARRONADA DE SERVIÇOS
>         >
>         >
>         > =p
>         >
>         
>         
>         > _______________________________________________
>         > http://www.voipmania.com.br
>         > Telefone IP sem fio Gigaset A580IP por 6 x R$59,90.
>         > Promoção por tempo limitado!
>         > Acesse agora http://promo.voipmania.com.br
>         >
>         > _______________________________________________
>         > Lista de discussões AsteriskBrasil.org
>         > AsteriskBrasil em listas.asteriskbrasil.org
>         >
>         http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
>         --
>         --
>         
>         Rodrigo Graeff
>         ICQ: 9636816
>         http://www.delphus.org
>         
>         
>         _______________________________________________
>         http://www.voipmania.com.br
>         Telefone IP sem fio Gigaset A580IP por 6 x R$59,90.
>         Promoção por tempo limitado!
>         Acesse agora http://promo.voipmania.com.br
>         
>         _______________________________________________
>         Lista de discussões AsteriskBrasil.org
>         AsteriskBrasil em listas.asteriskbrasil.org
>         http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
>         
> 
> _______________________________________________
> http://www.voipmania.com.br
> Telefone IP sem fio Gigaset A580IP por 6 x R$59,90. 
> Promoção por tempo limitado!
> Acesse agora http://promo.voipmania.com.br
> 
> _______________________________________________
> Lista de discussões AsteriskBrasil.org
> AsteriskBrasil em listas.asteriskbrasil.org
> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
-- 
--

Rodrigo Graeff
ICQ: 9636816
http://www.delphus.org



Mais detalhes sobre a lista de discussão AsteriskBrasil