[AsteriskBrasil] invasao

Leandro Augusto leandro.augusto em gmail.com
Sexta Junho 11 18:58:25 BRT 2010 

Provavelmente ele não deve estar utilizando o username para enviar a
chamada. Abaixo está alguns procedimentos que o Asterisk segue ao receber
uma conexão IAX, foi retirado do Voip Info. Verique se o iax.conf não possui
nenhum usuário sem secret, e o principal, jamais utilize o contexto default,
pois ali está a origem de muitos ataques.

Incoming Connections When Asterisk receives an incoming IAX connection, the
initial call information can include a username (in the IAX2 USERNAME field)
or not. In addition, the incoming connection has a source IP address that
Asterisk can use for authentication as well.

If a username is supplied, Asterisk does the following:

   - Search iax.conf for a "type=user" entry with a section name (eg
   [username]) matching the supplied username; if no matching entry is found,
   refuse the connection.
   - If the found entry has allow and/or deny settings, compare the IP
   address of the caller to these lists. If the connection is not allowed,
   refuse the connection.
   - Perform the desired secret checking (plaintext, md5 or rsa); if it
   fails, refuse the connection.
   - Accept the connection and send the caller to the context specified in
   the "context" setting for this iax.conf entry.

If a username is *not* supplied, Asterisk does the following:

   - Search for a "type=user" entry in iax.conf with no secret specified and
   also allow and/or deny restrictions that do not restrict the caller from
   connecting. If such an entry is found, accept the connection, and use the
   name of the found iax.conf entry as the connecting username.
   - Search for a "type=user" entry in iax.conf with no secret specified and
   no allow and/or deny restrictions at all. If such an entry is found, accept
   the connection. and use the name of the found iax.conf entry as the
   connecting username.
   - Search for a "type=user" entry in iax.conf with a secret (or RSA key)
   specified and also allow and/or deny restrictions that do not restrict the
   caller from connecting. If such an entry is found, attempt to authenticate
   the caller using the specified secret or key, and if that passes, accept the
   connection, and use the name of the found iax.conf entry as the connecting
   username.
   - Search for a "type=user" entry in iax.conf with a secret (or RSA key)
   specified and no allow and/or deny restrictions at all. If such an entry is
   found, attempt to authenticate the caller using the specified secret or key,
   and if that passes, accept the connection, and use the name of the found
   iax.conf entry as the connecting username.



Em 11 de junho de 2010 16:22, Wagner <wagner em beetelecom.com.br> escreveu:

>  Concordo com as alternativas dos amigos, vc também pode utilizar as
> linhas
> permit e deny para liberar especificamente o IP deste seu ramal 100, se o
> peers estiver em local fixo fica o IP,
> Poderia também utilizar nome ao inves de numero na criação do Peer e
> definir o 100 no dialpan direto, não sei se em soluções baseadas em Free PBX
> isso é possivel, no asterisk puro dá , me corrijam se estiver errado.
>
> Att
> Wagner Penha
> Bee Telecom
>
> ----- Original Message -----
> *From:* Marcel - BrasilVox Telecom <marcel em brasilvox.com.br>
> *To:* asteriskbrasil em listas.asteriskbrasil.org
> *Sent:* Friday, June 11, 2010 3:56 PM
> *Subject:* Re: [AsteriskBrasil] invasao
>
> Se o invasor está usando Brute Force em sua senha ** PS: "Mas acho
> improvável para uma senha de 20 digitos" **
> é fácil de localizar isto nos logs do asterisk, verifica em:
> /var/log/asterisk/messages ou /var/log/asterisk/full ;; caso não os tenha é
> necessário ativar os logs!
>
> Para ativar os logs:
> /etc/asterisk/logger.conf
> full => notice,warning,error,debug,verbose
>
> NOTICE[2708] chan_iax2.c: Host xxx.xxx.xxx.xxx failed MD5 authentication
> for '100' ....
>
> terá muitas linhas com este dizer, se for sempre originado do mesmo IP ;
> bloqueie o IP dele através de iptables:
>
> Marcel
> BrasilVox Telecom
> www.brasilvox.com.br / voip.brasilvox.com.br
> 019 3323 0051
>
> Em 11/6/2010 15:38, Alex Tavares Faiotto escreveu:
>
> Eles podem estar usando um scan, que bate todos os digtos de senha a
> descobrir a nova, a maneira e voce pearo ip de quem esta invadindo e
> bloquear o mesmo.
>
> Em 1 de junho de 2010 15:34, jose <jasanchez em terra.com.br> escreveu:
>
>>
>>  Boa tarde a todos
>>  Tive probelmas com invasao , entraram no meu asterisk e fizeram ligaçao
>> para slovenia, egito, etc...., bom após ter descoberto, isso se deu em um
>> ramal numero 100 , esse ramal é IAX2, bom o que eu fiz mudei a senha do
>> ramal coloquei com 20 numeros e letras, e para minha surpresa
>> invadiram novamente. com o mesmo numero de ramal. Nao posso fechar esse
>> ramal  , alugume sabe me dizer de que forma estao descobrindo a minha
>> senha?o unico jeito que vejo é que essa pessoa descobriu a senha de root, ou
>> tem outra maneira?
>> *
>> *
>>
>> _______________________________________________
>> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
>> - Hardware com alta disponibilidade de recursos e qualidade KHOMP
>> - Suporte técnico local qualificado e gratuito
>> Conheça a linha completa de produtos KHOMP em www.khomp.com.br
>> _______________________________________________
>> Participe do I Encontro VoIPCenter, 08 a 10 de junho – Rio de Janeiro.
>> Área de exposição, palestras e cursos de VoIP, Asterisk e Convergência de
>> Redes.
>> http://www.encontrovoipcenter.com.br
>> ______________________________________________
>> Lista de discussões AsteriskBrasil.org
>> AsteriskBrasil em listas.asteriskbrasil.org
>> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
>>
>
>
> _______________________________________________
> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
> - Hardware com alta disponibilidade de recursos e qualidade KHOMP
> - Suporte técnico local qualificado e gratuito
> Conheça a linha completa de produtos KHOMP em www.khomp.com.br
> _______________________________________________
> Participe do I Encontro VoIPCenter, 08 a 10 de junho – Rio de Janeiro.
> Área de exposição, palestras e cursos de VoIP, Asterisk e Convergência de Redes.http://www.encontrovoipcenter.com.br
> ______________________________________________
> Lista de discussões AsteriskBrasil.orgAsteriskBrasil em listas.asteriskbrasil.orghttp://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
>
>  ------------------------------
>
> _______________________________________________
> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
> - Hardware com alta disponibilidade de recursos e qualidade KHOMP
> - Suporte técnico local qualificado e gratuito
> Conheça a linha completa de produtos KHOMP em www.khomp.com.br
> _______________________________________________
> Participe do I Encontro VoIPCenter, 08 a 10 de junho – Rio de Janeiro.
> Área de exposição, palestras e cursos de VoIP, Asterisk e Convergência de
> Redes.
> http://www.encontrovoipcenter.com.br
> ______________________________________________
> Lista de discussões AsteriskBrasil.org
> AsteriskBrasil em listas.asteriskbrasil.org
> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
>
> ------------------------------
>
>
> No virus found in this incoming message.
> Checked by AVG - www.avg.com
> Version: 8.5.437 / Virus Database: 271.1.1/2931 - Release Date: 06/11/10
> 06:35:00
>
>
> ------------------------------
> Estou utilizando a versão gratuita de SPAMfighter para usuários privados.
> Foi removido 1854 emails de spam até hoje.
> Os usuários pagantes não têm esta mensagem nos seus emails.
> Experimente SPAMfighter <http://www.spamfighter.com/lpt> de graça agora!
>
> _______________________________________________
> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
> - Hardware com alta disponibilidade de recursos e qualidade KHOMP
> - Suporte técnico local qualificado e gratuito
> Conheça a linha completa de produtos KHOMP em www.khomp.com.br
> _______________________________________________
> Participe do I Encontro VoIPCenter, 08 a 10 de junho – Rio de Janeiro.
> Área de exposição, palestras e cursos de VoIP, Asterisk e Convergência de
> Redes.
> http://www.encontrovoipcenter.com.br
> ______________________________________________
> Lista de discussões AsteriskBrasil.org
> AsteriskBrasil em listas.asteriskbrasil.org
> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
>
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20100611/1a2f4f4c/attachment-0001.htm

Mais detalhes sobre a lista de discussão AsteriskBrasil