[AsteriskBrasil] RES: RES: Ataque

Carlos Alberto Greco carlos em greco.com.br
Segunda Dezembro 27 01:29:06 BRST 2010 

Segue a minha configuracao 

/etc/fail2ban/jail.conf 
[asterisk-iptables] 
enabled = true 
filter = asterisk 
action = iptables-allports[name=ASTERISK, protocol=all] 
sendmail-whois[name=ASTERISK, dest=carlos em dominio.com.br, sender=pabx em dominio.com.br] 
logpath = /var/log/asterisk/full 
maxretry = 3 
bantime = 259200 
# bantime de 259200s = 72h 
# 

sempre que vc rodar o seu firewall vc deve iniciar o fail2ban 

veja as entradas no firewall 
iptables -L -n |more 

Chain INPUT (policy DROP) 
target prot opt source destination 
fail2ban-ASTERISK 0 -- 0.0.0.0/0 0.0.0.0/0 
... 
... 
Chain fail2ban-ASTERISK (1 references) 
target prot opt source destination 
RETURN 0 -- 0.0.0.0/0 0.0.0.0/0 


Veja se o fail esta rodando 
ps -auwx |grep fail2ban 

Greco 



----- Mensagem original ----- 
De: "Wagner Souza" <wagnerspbh em gmail.com> 
Para: asteriskbrasil em listas.asteriskbrasil.org 
Enviadas: Terça-feira, 21 de Dezembro de 2010 23:39:50 (GMT-0300) Auto-Detected 
Assunto: Re: [AsteriskBrasil] RES: RES: Ataque 

Estes Fail2ban estão configurados errados. Estude o fail2ban, esta continua sendo a melhor opção de segurança. 


Em 14 de dezembro de 2010 04:22, Marcus Queiroz < queiroz.marcus em gmail.com > escreveu: 


troca a porta do registro e resolve o caso. 



Marcus A. Queiroz 




Em 13 de dezembro de 2010 08:22, Roberto Fonseca < robertodafonseca em terra.com.br > escreveu: 









Dica facil e rapida, não requer prática, tampouco habilidade: 

Altera a porta do sip de 5060 para qualquer outro número alto, tipo 55060.... 



99% dos ataques só se dirigem a 5060....é muito cara, dispendioso de recursos ficar fazendo portscan... 





Roberto Fonseca 









De: asteriskbrasil-bounces em listas.asteriskbrasil.org [mailto: asteriskbrasil-bounces em listas.asteriskbrasil.org ] Em nome de Eduardo Pereira 
Enviada em: sábado, 11 de dezembro de 2010 12:44 

Para: asteriskbrasil em listas.asteriskbrasil.org 
Assunto: Re: [AsteriskBrasil] RES: Ataque 








Wagner 

o resultado das regras: 

-A RH-Firewall-1-INPUT -p udp --dport 5060 -i eth0 -m state --state NEW -m recent --set 
-A RH-Firewall-1-INPUT -p udp --dport 5060 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP 
-A RH-Firewall-1-INPUT -p tcp --dport 5060 -i eth0 -m state --state NEW -m recent --set 
-A RH-Firewall-1-INPUT -p tcp --dport 5060 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP 
-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 5060 -j ACCEPT 

0 0 udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:5060 state NEW recent: SET name: DEFAULT side: source 
0 0 DROP udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:5060 state NEW recent: UPDATE seconds: 60 hit_count: 4 name: DEFAULT side: source 
0 0 tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5060 state NEW recent: SET name: DEFAULT side: source 
0 0 DROP tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5060 state NEW recent: UPDATE seconds: 60 hit_count: 4 name: DEFAULT side: source 
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:5060 

Observe que a ultima llinha libera a 5060, devo remover? 

Em 11-12-2010 12:34, Wagner Popov dos Santos escreveu: Eduardo, Parece que esse arquivo está correto para o UDP. Para TCP está faltando algo. Testei os dois comandos abaixo na minha própria máquina para o serviço de SSH e funcionou bem. Para o sip basta alterar as portas o protocolo. Se você pedir para o iptables listar as regras com um verbose ("iptables -t filter -nvL") vc consegue ver se houve algum drop na regra e consequentemente se ela está funcionando. Utilizei: iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 1 -j DROP Em Sáb, 2010-12-11 às 11:59 -0200, Eduardo Pereira escreveu: 

Wagner utilizando o arquivo do proprio centos seria assim? # Firewall configuration written by system-config-securitylevel # Manual customization of this file is not recommended. *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :RH-Firewall-1-INPUT - [0:0] -A INPUT -j RH-Firewall-1-INPUT -A FORWARD -j RH-Firewall-1-INPUT -A RH-Firewall-1-INPUT -i lo -j ACCEPT -A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT -A RH-Firewall-1-INPUT -p xxx -j ACCEPT -A RH-Firewall-1-INPUT -p xxx -j ACCEPT -A RH-Firewall-1-INPUT -p udp --dport xxxx -d xxxxxxxxx -j ACCEPT -A RH-Firewall-1-INPUT -p udp -m udp --dport xxxx -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m tcp --dport xxxx -j ACCEPT -A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A RH-Firewall-1-INPUT -p udp --dport 5060 -i eth0 -m state --state NEW -m recent --set -A RH-Firewall-1-INPUT -p tcp --dport 5060 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP #-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 5060 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 4569 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 5036 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 10000:20000 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport xxxxxx -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport xxxxx -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport xxxxx -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport xxxxx -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport xxxxx -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport xxxxx -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport xxxxx -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport xxxxx -j ACCEPT -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited COMMIT Att Eduardo Em 11-12-2010 10:34, Wagner Popov dos Santos escreveu: 

Eduardo, Segue um pequeno texto sobre previnir DoS utilizando o iptables. Você pode limitar o número de conexões de uma mesma fonte durante um determinado período. Você pode ainda proteger outros serviços... ps: não cheguei a testar! <<  Prevent DoS attack in Linux using IPTABLES>> A major problem facing by mail server admin is DOS (Deniel Of Service) attack. Hackers will try to mess up with the most popular ports of a UNIX/LINUX machines. We can prevent this my writing an IPTABLE rule in the server. The working is ,if some one is trying make connection continuously through a specified port the rule will block the IPADDRESS permanently. Here I am stating the securing of PORT 25 (SMTP) here you can use your own iptables -I INPUT -p tcp --dport 25 -i eth0 -m state --state NEW -m recent --set iptables -I INPUT -p tcp --dport 25 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP This will Block all the IP ADDRESS which will make connection to port 25 continuously within ie 4 SMTP connection within 60 seconds. You can change PORT,INTERVALs here. Em Sáb, 2010-12-11 às 10:10 -0200, Rodrigo Lang escreveu: 

Em 11/12/2010, às 10:54, Fernando Meira Lins escreveu: >  Também fui atacado por este IP e o fail2ban, demorou 132 tentativas >  para bloquear. Muito estranho... Assim que recebi o alerta, de >  imediato bloqueei pelo IPTABLES, mas de fato o que intriga, é porque >  o fail2ban deixou passar tantas tentativas além do estipulado? > Pelo que eu saiba (posso estar errado) o fail2ban bloqueia após 3 tentativas no mesmo ramal. At, -- Rodrigo Lang Opening your mind - Just another Open Source site _______________________________________________ KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. - Hardware com alta disponibilidade de recursos e qualidade KHOMP - Suporte técnico local qualificado e gratuito Conheça a linha completa de produtos KHOMP em www.khomp.com.br _______________________________________________ Headsets Plantronics com o melhor preço do Brasil. Acesse agora www.voipmania.com.br VOIPMANIA STORE ________ Lista de discussões AsteriskBrasil.org AsteriskBrasil em listas.asteriskbrasil.org http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil ______________________________________________ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org _______________________________________________ KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. - Hardware com alta disponibilidade de recursos e qualidade KHOMP - Suporte técnico local qualificado e gratuito Conheça a linha completa de produtos KHOMP em www.khomp.com.br _______________________________________________ Headsets Plantronics com o melhor preço do Brasil. Acesse agora www.voipmania.com.br VOIPMANIA STORE ________ Lista de discussões AsteriskBrasil.org AsteriskBrasil em listas.asteriskbrasil.org http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil ______________________________________________ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org _______________________________________________ KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. - Hardware com alta disponibilidade de recursos e qualidade KHOMP - Suporte técnico local qualificado e gratuito Conheça a linha completa de produtos KHOMP em www.khomp.com.br _______________________________________________ Headsets Plantronics com o melhor preço do Brasil. Acesse agora www.voipmania.com.br VOIPMANIA STORE ________ Lista de discussões AsteriskBrasil.org AsteriskBrasil em listas.asteriskbrasil.org http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil ______________________________________________ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org _______________________________________________ KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. - Hardware com alta disponibilidade de recursos e qualidade KHOMP - Suporte técnico local qualificado e gratuito Conheça a linha completa de produtos KHOMP em www.khomp.com.br _______________________________________________ Headsets Plantronics com o melhor preço do Brasil. Acesse agora www.voipmania.com.br VOIPMANIA STORE ________ Lista de discussões AsteriskBrasil.org AsteriskBrasil em listas.asteriskbrasil.org http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil ______________________________________________ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org 


_______________________________________________ 
KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. 
- Hardware com alta disponibilidade de recursos e qualidade KHOMP 
- Suporte técnico local qualificado e gratuito 
Conheça a linha completa de produtos KHOMP em www.khomp.com.br 
_______________________________________________ 
Headsets Plantronics com o melhor preço do Brasil. 
Acesse agora www.voipmania.com.br 
VOIPMANIA STORE 
________ 
Lista de discussões AsteriskBrasil.org 
AsteriskBrasil em listas.asteriskbrasil.org 
http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil 
______________________________________________ 
Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org 


_______________________________________________ 
KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. 
- Hardware com alta disponibilidade de recursos e qualidade KHOMP 
- Suporte técnico local qualificado e gratuito 
Conheça a linha completa de produtos KHOMP em www.khomp.com.br 
_______________________________________________ 
Headsets Plantronics com o melhor preço do Brasil. 
Acesse agora www.voipmania.com.br 
VOIPMANIA STORE 
________ 
Lista de discussões AsteriskBrasil.org 
AsteriskBrasil em listas.asteriskbrasil.org 
http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil 
______________________________________________ 
Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org 


_______________________________________________ KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. - Hardware com alta disponibilidade de recursos e qualidade KHOMP - Suporte técnico local qualificado e gratuito Conheça a linha completa de produtos KHOMP em www.khomp.com.br _______________________________________________ Headsets Plantronics com o melhor preço do Brasil. Acesse agora www.voipmania.com.br VOIPMANIA STORE ________ Lista de discussões AsteriskBrasil.org AsteriskBrasil em listas.asteriskbrasil.org http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil ______________________________________________ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20101227/57a39c7f/attachment-0001.htm

Mais detalhes sobre a lista de discussão AsteriskBrasil