[AsteriskBrasil] RES: RES: Ataque

Roberto Fonseca robertodafonseca em terra.com.br
Segunda Dezembro 13 09:22:10 BRST 2010 

Dica facil e rapida, não requer prática, tampouco habilidade:

Altera a porta do sip de 5060 para qualquer outro número alto, tipo
55060....

 

99% dos ataques só se dirigem a 5060....é muito cara, dispendioso de
recursos ficar fazendo portscan...

 

 

Roberto Fonseca

 

 

 

De: asteriskbrasil-bounces em listas.asteriskbrasil.org
[mailto:asteriskbrasil-bounces em listas.asteriskbrasil.org] Em nome de Eduardo
Pereira
Enviada em: sábado, 11 de dezembro de 2010 12:44
Para: asteriskbrasil em listas.asteriskbrasil.org
Assunto: Re: [AsteriskBrasil] RES: Ataque

 

Wagner

o resultado das regras:

-A RH-Firewall-1-INPUT -p udp --dport 5060 -i eth0 -m state --state NEW -m
recent --set
-A RH-Firewall-1-INPUT -p udp --dport 5060 -i eth0 -m state --state NEW -m
recent --update --seconds 60 --hitcount 4 -j DROP
-A RH-Firewall-1-INPUT -p tcp --dport 5060 -i eth0 -m state --state NEW -m
recent --set
-A RH-Firewall-1-INPUT -p tcp --dport 5060 -i eth0 -m state --state NEW -m
recent --update --seconds 60 --hitcount 4 -j DROP
-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 5060 -j
ACCEPT

    0     0                   udp  --  eth0   *       0.0.0.0/0
0.0.0.0/0           udp dpt:5060 state NEW recent: SET name: DEFAULT side:
source 
    0     0 DROP       udp  --  eth0   *       0.0.0.0/0
0.0.0.0/0           udp dpt:5060 state NEW recent: UPDATE seconds: 60
hit_count: 4 name: DEFAULT side: source 
    0     0                    tcp  --  eth0   *       0.0.0.0/0
0.0.0.0/0           tcp dpt:5060 state NEW recent: SET name: DEFAULT side:
source 
    0     0 DROP       tcp  --  eth0   *       0.0.0.0/0
0.0.0.0/0           tcp dpt:5060 state NEW recent: UPDATE seconds: 60
hit_count: 4 name: DEFAULT side: source 
    0     0 ACCEPT  udp  --  *      *       0.0.0.0/0            0.0.0.0/0
state NEW udp dpt:5060 

Observe que a ultima llinha libera a 5060, devo remover?

Em 11-12-2010 12:34, Wagner Popov dos Santos escreveu: 

Eduardo,
 
Parece que esse arquivo está correto para o UDP. Para TCP está faltando
algo.
 
Testei os dois comandos abaixo na minha própria máquina para o serviço
de SSH e funcionou bem. Para o sip basta alterar as portas o protocolo.
 
Se você pedir para o iptables listar as regras com um verbose ("iptables
-t filter -nvL") vc consegue ver se houve algum drop na regra e
consequentemente se ela está funcionando.
 
Utilizei:
 
iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
 
iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent
--update --seconds 60 --hitcount 1 -j DROP
 
 
 
 
Em Sáb, 2010-12-11 às 11:59 -0200, Eduardo Pereira escreveu:

Wagner
 
utilizando o arquivo do proprio centos seria assim?
 
# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p xxx -j ACCEPT
-A RH-Firewall-1-INPUT -p xxx -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport xxxx -d xxxxxxxxx -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport xxxx -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport xxxx -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5060 -i eth0 -m state --state NEW 
-m recent --set
-A RH-Firewall-1-INPUT -p tcp --dport 5060 -i eth0 -m state --state NEW 
-m recent --update --seconds 60 --hitcount 4 -j DROP
#-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 5060 
-j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 4569 
-j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 5036 
-j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 
10000:20000 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport xxxxxx 
-j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport xxxxx 
-j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport xxxxx 
-j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport xxxxx 
-j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport xxxxx 
-j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport xxxxx 
-j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport xxxxx 
-j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport xxxxx 
-j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
 
Att
 
Eduardo
 
Em 11-12-2010 10:34, Wagner Popov dos Santos escreveu:

Eduardo,
 
Segue um pequeno texto sobre previnir DoS utilizando o iptables. Você
pode limitar o número de conexões de uma mesma fonte durante um
determinado período. Você pode ainda proteger outros serviços...
 
ps: não cheguei a testar!
 
<<  Prevent DoS attack in Linux using IPTABLES>>
 
A major problem facing by mail server admin is DOS (Deniel Of Service)
attack. Hackers will try to mess up with the most popular ports of a
UNIX/LINUX machines. We can prevent this my writing an IPTABLE rule in
the server. The working is ,if some one is trying make connection
continuously through a specified port the rule will block the IPADDRESS
permanently. Here I am stating the securing of PORT 25 (SMTP) here you
can use your own
 
iptables -I INPUT -p tcp --dport 25 -i eth0 -m state --state NEW -m
recent --set
 
iptables -I INPUT -p tcp --dport 25 -i eth0 -m state --state NEW -m
recent --update --seconds 60 --hitcount 4 -j DROP
 
This will Block all the IP ADDRESS which will make connection to port 25
continuously within ie 4 SMTP connection within 60 seconds. You can
change PORT,INTERVALs here.
 
 
 
 
 
 
 
 
 
Em Sáb, 2010-12-11 às 10:10 -0200, Rodrigo Lang escreveu:

         Em 11/12/2010, às 10:54, Fernando Meira Lins escreveu:
 
         >  Também fui atacado por este IP e o fail2ban, demorou 132
         tentativas
         >  para bloquear. Muito estranho... Assim que recebi o alerta,
         de
         >  imediato bloqueei pelo IPTABLES, mas de fato o que intriga,
         é porque
         >  o fail2ban deixou passar tantas tentativas além do
         estipulado?
         >
 
 
 
Pelo que eu saiba (posso estar errado) o fail2ban bloqueia após 3
tentativas no mesmo ramal.
 
 
 
At,
-- 
Rodrigo Lang
Opening your mind - Just another Open Source site
 
_______________________________________________
KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
- Hardware com alta disponibilidade de recursos e qualidade KHOMP
- Suporte técnico local qualificado e gratuito
Conheça a linha completa de produtos KHOMP em www.khomp.com.br
_______________________________________________
Headsets Plantronics com o melhor preço do Brasil.
Acesse agora www.voipmania.com.br
VOIPMANIA STORE
________
Lista de discussões AsteriskBrasil.org
AsteriskBrasil em listas.asteriskbrasil.org
http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para
asteriskbrasil-unsubscribe em listas.asteriskbrasil.org

 
_______________________________________________
KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
- Hardware com alta disponibilidade de recursos e qualidade KHOMP
- Suporte técnico local qualificado e gratuito
Conheça a linha completa de produtos KHOMP em www.khomp.com.br
_______________________________________________
Headsets Plantronics com o melhor preço do Brasil.
Acesse agora www.voipmania.com.br
VOIPMANIA STORE
________
Lista de discussões AsteriskBrasil.org
AsteriskBrasil em listas.asteriskbrasil.org
http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para
asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
 

 
_______________________________________________
KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. 
- Hardware com alta disponibilidade de recursos e qualidade KHOMP
- Suporte técnico local qualificado e gratuito 
Conheça a linha completa de produtos KHOMP em www.khomp.com.br
_______________________________________________
Headsets Plantronics com o melhor preço do Brasil.
Acesse agora www.voipmania.com.br
VOIPMANIA STORE
________
Lista de discussões AsteriskBrasil.org
AsteriskBrasil em listas.asteriskbrasil.org
http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para
asteriskbrasil-unsubscribe em listas.asteriskbrasil.org

 
 
_______________________________________________
KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. 
- Hardware com alta disponibilidade de recursos e qualidade KHOMP
- Suporte técnico local qualificado e gratuito 
Conheça a linha completa de produtos KHOMP em www.khomp.com.br
_______________________________________________
Headsets Plantronics com o melhor preço do Brasil.
Acesse agora www.voipmania.com.br
VOIPMANIA STORE
________
Lista de discussões AsteriskBrasil.org
AsteriskBrasil em listas.asteriskbrasil.org
http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para
asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
 

 

-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20101213/d60e96cd/attachment-0001.htm

Mais detalhes sobre a lista de discussão AsteriskBrasil