[AsteriskBrasil] RES: RES: Ataque
Wagner Souza
wagnerspbh em gmail.com
Terça Dezembro 21 23:39:50 BRST 2010
Estes Fail2ban estão configurados errados. Estude o fail2ban, esta continua
sendo a melhor opção de segurança.
Em 14 de dezembro de 2010 04:22, Marcus Queiroz
<queiroz.marcus em gmail.com>escreveu:
> troca a porta do registro e resolve o caso.
>
>
> Marcus A. Queiroz
>
>
>
> Em 13 de dezembro de 2010 08:22, Roberto Fonseca <
> robertodafonseca em terra.com.br> escreveu:
>
> Dica facil e rapida, não requer prática, tampouco habilidade:
>>
>> Altera a porta do sip de 5060 para qualquer outro número alto, tipo
>> 55060....
>>
>>
>>
>> 99% dos ataques só se dirigem a 5060....é muito cara, dispendioso de
>> recursos ficar fazendo portscan...
>>
>>
>>
>>
>>
>> Roberto Fonseca
>>
>>
>>
>>
>>
>>
>>
>> *De:* asteriskbrasil-bounces em listas.asteriskbrasil.org [mailto:
>> asteriskbrasil-bounces em listas.asteriskbrasil.org] *Em nome de *Eduardo
>> Pereira
>> *Enviada em:* sábado, 11 de dezembro de 2010 12:44
>>
>> *Para:* asteriskbrasil em listas.asteriskbrasil.org
>> *Assunto:* Re: [AsteriskBrasil] RES: Ataque
>>
>>
>>
>> Wagner
>>
>> o resultado das regras:
>>
>> -A RH-Firewall-1-INPUT -p udp --dport 5060 -i eth0 -m state --state NEW -m
>> recent --set
>> -A RH-Firewall-1-INPUT -p udp --dport 5060 -i eth0 -m state --state NEW -m
>> recent --update --seconds 60 --hitcount 4 -j DROP
>> -A RH-Firewall-1-INPUT -p tcp --dport 5060 -i eth0 -m state --state NEW -m
>> recent --set
>> -A RH-Firewall-1-INPUT -p tcp --dport 5060 -i eth0 -m state --state NEW -m
>> recent --update --seconds 60 --hitcount 4 -j DROP
>> -A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 5060 -j
>> ACCEPT
>>
>> 0 0 udp -- eth0 * 0.0.0.0/0
>> 0.0.0.0/0 udp dpt:5060 state NEW recent: SET name: DEFAULT
>> side: source
>> 0 0 DROP udp -- eth0 * 0.0.0.0/0
>> 0.0.0.0/0 udp dpt:5060 state NEW recent: UPDATE seconds: 60
>> hit_count: 4 name: DEFAULT side: source
>> 0 0 tcp -- eth0 * 0.0.0.0/0
>> 0.0.0.0/0 tcp dpt:5060 state NEW recent: SET name: DEFAULT
>> side: source
>> 0 0 DROP tcp -- eth0 * 0.0.0.0/0
>> 0.0.0.0/0 tcp dpt:5060 state NEW recent: UPDATE seconds: 60
>> hit_count: 4 name: DEFAULT side: source
>> 0 0 ACCEPT udp -- * * 0.0.0.0/0
>> 0.0.0.0/0 state NEW udp dpt:5060
>>
>> Observe que a ultima llinha libera a 5060, devo remover?
>>
>> Em 11-12-2010 12:34, Wagner Popov dos Santos escreveu:
>>
>> Eduardo,
>>
>>
>>
>> Parece que esse arquivo está correto para o UDP. Para TCP está faltando
>>
>> algo.
>>
>>
>>
>> Testei os dois comandos abaixo na minha própria máquina para o serviço
>>
>> de SSH e funcionou bem. Para o sip basta alterar as portas o protocolo.
>>
>>
>>
>> Se você pedir para o iptables listar as regras com um verbose ("iptables
>>
>> -t filter -nvL") vc consegue ver se houve algum drop na regra e
>>
>> consequentemente se ela está funcionando.
>>
>>
>>
>> Utilizei:
>>
>>
>>
>> iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
>>
>>
>>
>> iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent
>>
>> --update --seconds 60 --hitcount 1 -j DROP
>>
>>
>>
>>
>>
>>
>>
>>
>>
>> Em Sáb, 2010-12-11 às 11:59 -0200, Eduardo Pereira escreveu:
>>
>> Wagner
>>
>>
>>
>> utilizando o arquivo do proprio centos seria assim?
>>
>>
>>
>> # Firewall configuration written by system-config-securitylevel
>>
>> # Manual customization of this file is not recommended.
>>
>> *filter
>>
>> :INPUT ACCEPT [0:0]
>>
>> :FORWARD ACCEPT [0:0]
>>
>> :OUTPUT ACCEPT [0:0]
>>
>> :RH-Firewall-1-INPUT - [0:0]
>>
>> -A INPUT -j RH-Firewall-1-INPUT
>>
>> -A FORWARD -j RH-Firewall-1-INPUT
>>
>> -A RH-Firewall-1-INPUT -i lo -j ACCEPT
>>
>> -A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
>>
>> -A RH-Firewall-1-INPUT -p xxx -j ACCEPT
>>
>> -A RH-Firewall-1-INPUT -p xxx -j ACCEPT
>>
>> -A RH-Firewall-1-INPUT -p udp --dport xxxx -d xxxxxxxxx -j ACCEPT
>>
>> -A RH-Firewall-1-INPUT -p udp -m udp --dport xxxx -j ACCEPT
>>
>> -A RH-Firewall-1-INPUT -p tcp -m tcp --dport xxxx -j ACCEPT
>>
>> -A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>>
>> -A RH-Firewall-1-INPUT -p udp --dport 5060 -i eth0 -m state --state NEW
>>
>> -m recent --set
>>
>> -A RH-Firewall-1-INPUT -p tcp --dport 5060 -i eth0 -m state --state NEW
>>
>> -m recent --update --seconds 60 --hitcount 4 -j DROP
>>
>> #-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 5060
>>
>> -j ACCEPT
>>
>> -A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 4569
>>
>> -j ACCEPT
>>
>> -A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 5036
>>
>> -j ACCEPT
>>
>> -A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport
>>
>> 10000:20000 -j ACCEPT
>>
>> -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport xxxxxx
>>
>> -j ACCEPT
>>
>> -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport xxxxx
>>
>> -j ACCEPT
>>
>> -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport xxxxx
>>
>> -j ACCEPT
>>
>> -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport xxxxx
>>
>> -j ACCEPT
>>
>> -A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport xxxxx
>>
>> -j ACCEPT
>>
>> -A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport xxxxx
>>
>> -j ACCEPT
>>
>> -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport xxxxx
>>
>> -j ACCEPT
>>
>> -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport xxxxx
>>
>> -j ACCEPT
>>
>> -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
>>
>> COMMIT
>>
>>
>>
>> Att
>>
>>
>>
>> Eduardo
>>
>>
>>
>> Em 11-12-2010 10:34, Wagner Popov dos Santos escreveu:
>>
>> Eduardo,
>>
>>
>>
>> Segue um pequeno texto sobre previnir DoS utilizando o iptables. Você
>>
>> pode limitar o número de conexões de uma mesma fonte durante um
>>
>> determinado período. Você pode ainda proteger outros serviços...
>>
>>
>>
>> ps: não cheguei a testar!
>>
>>
>>
>> << Prevent DoS attack in Linux using IPTABLES>>
>>
>>
>>
>> A major problem facing by mail server admin is DOS (Deniel Of Service)
>>
>> attack. Hackers will try to mess up with the most popular ports of a
>>
>> UNIX/LINUX machines. We can prevent this my writing an IPTABLE rule in
>>
>> the server. The working is ,if some one is trying make connection
>>
>> continuously through a specified port the rule will block the IPADDRESS
>>
>> permanently. Here I am stating the securing of PORT 25 (SMTP) here you
>>
>> can use your own
>>
>>
>>
>> iptables -I INPUT -p tcp --dport 25 -i eth0 -m state --state NEW -m
>>
>> recent --set
>>
>>
>>
>> iptables -I INPUT -p tcp --dport 25 -i eth0 -m state --state NEW -m
>>
>> recent --update --seconds 60 --hitcount 4 -j DROP
>>
>>
>>
>> This will Block all the IP ADDRESS which will make connection to port 25
>>
>> continuously within ie 4 SMTP connection within 60 seconds. You can
>>
>> change PORT,INTERVALs here.
>>
>>
>>
>>
>>
>>
>>
>>
>>
>>
>>
>>
>>
>>
>>
>>
>>
>>
>>
>> Em Sáb, 2010-12-11 às 10:10 -0200, Rodrigo Lang escreveu:
>>
>> Em 11/12/2010, às 10:54, Fernando Meira Lins escreveu:
>>
>>
>>
>> > Também fui atacado por este IP e o fail2ban, demorou 132
>>
>> tentativas
>>
>> > para bloquear. Muito estranho... Assim que recebi o alerta,
>>
>> de
>>
>> > imediato bloqueei pelo IPTABLES, mas de fato o que intriga,
>>
>> é porque
>>
>> > o fail2ban deixou passar tantas tentativas além do
>>
>> estipulado?
>>
>> >
>>
>>
>>
>>
>>
>>
>>
>> Pelo que eu saiba (posso estar errado) o fail2ban bloqueia após 3
>>
>> tentativas no mesmo ramal.
>>
>>
>>
>>
>>
>>
>>
>> At,
>>
>> --
>>
>> Rodrigo Lang
>>
>> Opening your mind - Just another Open Source site
>>
>>
>>
>> _______________________________________________
>>
>> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
>>
>> - Hardware com alta disponibilidade de recursos e qualidade KHOMP
>>
>> - Suporte técnico local qualificado e gratuito
>>
>> Conheça a linha completa de produtos KHOMP em www.khomp.com.br
>>
>> _______________________________________________
>>
>> Headsets Plantronics com o melhor preço do Brasil.
>>
>> Acesse agora www.voipmania.com.br
>>
>> VOIPMANIA STORE
>>
>> ________
>>
>> Lista de discussões AsteriskBrasil.org
>>
>> AsteriskBrasil em listas.asteriskbrasil.org
>>
>> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
>>
>> ______________________________________________
>>
>> Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>
>>
>>
>> _______________________________________________
>>
>> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
>>
>> - Hardware com alta disponibilidade de recursos e qualidade KHOMP
>>
>> - Suporte técnico local qualificado e gratuito
>>
>> Conheça a linha completa de produtos KHOMP em www.khomp.com.br
>>
>> _______________________________________________
>>
>> Headsets Plantronics com o melhor preço do Brasil.
>>
>> Acesse agora www.voipmania.com.br
>>
>> VOIPMANIA STORE
>>
>> ________
>>
>> Lista de discussões AsteriskBrasil.org
>>
>> AsteriskBrasil em listas.asteriskbrasil.org
>>
>> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
>>
>> ______________________________________________
>>
>> Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>
>>
>>
>>
>>
>> _______________________________________________
>>
>> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
>>
>> - Hardware com alta disponibilidade de recursos e qualidade KHOMP
>>
>> - Suporte técnico local qualificado e gratuito
>>
>> Conheça a linha completa de produtos KHOMP em www.khomp.com.br
>>
>> _______________________________________________
>>
>> Headsets Plantronics com o melhor preço do Brasil.
>>
>> Acesse agora www.voipmania.com.br
>>
>> VOIPMANIA STORE
>>
>> ________
>>
>> Lista de discussões AsteriskBrasil.org
>>
>> AsteriskBrasil em listas.asteriskbrasil.org
>>
>> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
>>
>> ______________________________________________
>>
>> Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>
>>
>>
>>
>>
>> _______________________________________________
>>
>> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
>>
>> - Hardware com alta disponibilidade de recursos e qualidade KHOMP
>>
>> - Suporte técnico local qualificado e gratuito
>>
>> Conheça a linha completa de produtos KHOMP em www.khomp.com.br
>>
>> _______________________________________________
>>
>> Headsets Plantronics com o melhor preço do Brasil.
>>
>> Acesse agora www.voipmania.com.br
>>
>> VOIPMANIA STORE
>>
>> ________
>>
>> Lista de discussões AsteriskBrasil.org
>>
>> AsteriskBrasil em listas.asteriskbrasil.org
>>
>> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
>>
>> ______________________________________________
>>
>> Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>
>>
>>
>>
>>
>> _______________________________________________
>> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
>> - Hardware com alta disponibilidade de recursos e qualidade KHOMP
>> - Suporte técnico local qualificado e gratuito
>> Conheça a linha completa de produtos KHOMP em www.khomp.com.br
>> _______________________________________________
>> Headsets Plantronics com o melhor preço do Brasil.
>> Acesse agora www.voipmania.com.br
>> VOIPMANIA STORE
>> ________
>> Lista de discussões AsteriskBrasil.org
>> AsteriskBrasil em listas.asteriskbrasil.org
>> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
>> ______________________________________________
>> Para remover seu email desta lista, basta enviar um email em branco para
>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>
>
>
> _______________________________________________
> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
> - Hardware com alta disponibilidade de recursos e qualidade KHOMP
> - Suporte técnico local qualificado e gratuito
> Conheça a linha completa de produtos KHOMP em www.khomp.com.br
> _______________________________________________
> Headsets Plantronics com o melhor preço do Brasil.
> Acesse agora www.voipmania.com.br
> VOIPMANIA STORE
> ________
> Lista de discussões AsteriskBrasil.org
> AsteriskBrasil em listas.asteriskbrasil.org
> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
> ______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20101221/85cab84d/attachment-0001.htm
Mais detalhes sobre a lista de discussão AsteriskBrasil