[AsteriskBrasil] RES: Segurança em servidores Asterisk

Asterisk asterisk em teknisa.com
Quarta Agosto 4 10:33:21 BRT 2010 

Já tinha visto esse artigo no blog do http://wnunes.com/category/seguranca/

 

Recomendo a todos a leitura, fiz alguns testes e vi que realmente esta com
esta falha.

 

Não vou entrar muito em detalhes pois o blog do wnunes da uma visão bacana
das possibilidades.

 

 

De: asteriskbrasil-bounces em listas.asteriskbrasil.org
[mailto:asteriskbrasil-bounces em listas.asteriskbrasil.org] Em nome de leandro
alves
Enviada em: terça-feira, 3 de agosto de 2010 23:49
Para: asteriskbrasil em listas.asteriskbrasil.org
Assunto: [AsteriskBrasil] Segurança em servidores Asterisk

 

Galera,

 

Houveram relatos de vários ataques phreak em diversos servidores com
plantaforma Asterisk, como também em Atas, utilizados em operadoras Voip
pelo mundo todo. Mas notei que há muitos ataques concentrados no Brasil.

 

Portanto, segue um complemento, de tudo que já existe postado em outros
lugares(mas pouco se utiliza), como também parâmetros que "deveriam" ser
utilizados por operadoras Voip, onde nos testes de meus clientes, descobri
que a maioria delas são inseguras, disponibilizam seus clientes às várias
ferramentas de ataques na rede. Seguem indicações para melhorar a segurança
de nossas redes, ou pelo menos "tentar":

 

 

Baseado nos recentes ataques sofridos na ultima semana, seria interessante
atentarmos não só à segurança da rede dos nossos clientes, mas também no
asterisk, que "nós" compilamos, segue abaixo algumas coisas que acho que
deveríamos conhecer:

 

Ferramenta de ataque(toda e qualquer informação disponibilizada, é somente
para consulta e proteção de servidores voip, não deverá ser utilizado para
ataques):

Sipvicious(provavelmente o que foi utilizado no ataque à um dos clientes):

São 3 scripts em python, scanners em plantaformas voip, baseados em sip:

svmap.py – Sip scanner, que lista dispositivos sip(Asterisk, ou
switch's(hardware) voip) de um endereço ou range de ips.

svwar.py – Lista ramais/usuários de contas sip(com ou sem segurança) em uma
plataforma voip(ex.: servidor Asterisk).

svcrack.py – Utilizado para quebrar senhas de ramais sip(quando não há
senha, também exibe status do ramal).

 

Erros mais frequentes de segurança:

* Ramais onde a senha é o numero do ramal.

* Ramais com senhas fracas, que podem ser facilmente encontradas em
wordlists.
* Ramais sem senha(qualquer um pode utilizar, colocando qualquer senha ou
nem colocando uma).
* Firewall(parado ou sem regras seguras).
* Sem regras de permit/deny no sip.conf(quando não há necessidade de se
utilizar com ip's dinamicos).
* Ramais tem permissão para ligarem para qualquer lugar(DDI, quase nunca
necessário).



Rastreamento para encontrar plataformas SIP em uma rede(você estabelece um
range de rede com o script feito em pyton), algumas operadoras Voip, que
neste artigo não citarei o nome, são totalmente escancaradas, e listam seus
clientes:

./svmap.py IPDOSERVIDORVOIP

| SIP Device        | User Agent   | Fingerprint |

--------------------------------------------------

| 187.xxx.xxx.xxx:5060 | Asterisk PBX | disabled    |

 

 


* Ok, o IP: 187.xxx.xxx.xxx é um alvo(IPBX Asterisk).

* Agora, roda-se o outro script para verificar quais ramais disponíveis
neste servidor Asterisk:

 ./svwar.py 187.xxx.xxx.xxx 

- Mostrar texto das mensagens anteriores -

- Mostrar texto das mensagens anteriores -

     sendmail-whois[name=ASTERISK,
dest=seuemail em seudomino,sender=asterisk em dominio]



logpath  = /var/log/asterisk/full

maxretry = 3
bantime = 259200

###Finalizado a configuração do arquivo.

- Maxretry determina a quantidade de erros que o fail2ban vai aceitar de um
determinado host antes de bloqueá-lo.

- "bantime", em segundos, portanto neste caso qualquer tentativa de ataque
ao asterisk será banida por 72 horas.


* Editar o /etc/asterisk/logger.conf e definir o "dateformat"(por padrão no
nosso asterisk esta comentado) da seguinte forma.

 [general]
dateformat=%F %T

- Em [logfiles], insira a linha:

syslog.local0 => notice

* Reload no "logger" do asterisk


Estas soluções, não garantem total segurança para nossos clientes, pois isto
é impossível


-- 
Leandro,

-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20100804/8f98c780/attachment.htm

Mais detalhes sobre a lista de discussão AsteriskBrasil