[AsteriskBrasil] invasao
Mario Augusto Mania
mario.mania em gmail.com
Sexta Junho 11 20:07:12 BRT 2010
Gente, acho que eh a primeira vez que escrevo a lista. Mas, devido ao
assunto, nao posso me calar.
Vejam, o asterisk eh um aplicativo servidor, ou seja, ela nada mais
nada menos serve conexoes TCP e UDP para os aplicativo clientes (ATAS
e Softfone, etc..).
A pratica normal eh instalar o asterisk no linux (normalmente centos
ou debian), eu porem utilizo ele no freebsd, justamente por trabalhar
com administracao de servidores de rede (e nao soh asterisk) tanto em
windows, quanto em linux e freebsd. A escolha do FreeBSD eh justamente
seguranca.
O questao da invasao, eh muito mais provavel que o invasor tenha
conseguido acesso ao servidor e nao necessariamente ao asterisk, e,
uma vez dentro do servidor, ele pode ter subido para root atraves de
algum rootkit, ou entao, como muitas vezes acontece, mesmo com usuario
normal ele consegue ler o sip.conf ou iax.conf porque as permissoes
nao foram setadas corretamente.
A partir dai ele consegue usar o asterisk sem necessariamente ter
invadido o mesmo, e sim o servidor onde ele se encontra.
Eh muito comum bugs em php e apache (que muita gente usa nos
servidores devido ao fato de utilizar a interface web do asterisk ou o
FOP), ou entao de aplicativos servidores desktop como servicos de som,
descoberta de rede etc... etc.., servicos esses que nem deveriam estar
sendo utilizados em um servidor, mas, infelizmente, muita gente
configura um servidor linux e instala o ambiente grafico para
administracao, ou seja, mais softwares instalados, mais chance de
bugs, mais chances de invasao.
Particularmente, meus servidores nao tem nada de interface grafica
instalada, para terem uma ideia, um servidor freebsd com asterisk,
tudo compilado do source, ou seja, nada instalado binario, ocupa menos
de 700megas no HD, porque soh instalo o necessario.
Desculpem pelo e-mail longo, mas espero que seja uma pequena ajuda
para que possamos mehorar a utilizacao dos softwares livre que tanto
sao difamados pela midia.
Para finalizar, cito o PESSIMO exemplo do FENIX LINUX, pra quem nao
conhece eh um verdade frankstein, todo cheio de gambiarra, que vem
instalado nesses computadores baratos populares vendido nas casas
bahia e etc..
Isso eh um pessimo exemplo de uso de linux, pois mais atrapaha que ajuda.
Atenciosamente
Mario A. Mania
Em 11 de junho de 2010 18:58, Leandro Augusto
<leandro.augusto em gmail.com> escreveu:
> Provavelmente ele não deve estar utilizando o username para enviar a
> chamada. Abaixo está alguns procedimentos que o Asterisk segue ao receber
> uma conexão IAX, foi retirado do Voip Info. Verique se o iax.conf não possui
> nenhum usuário sem secret, e o principal, jamais utilize o contexto default,
> pois ali está a origem de muitos ataques.
>
> Incoming Connections
>
> When Asterisk receives an incoming IAX connection, the initial call
> information can include a username (in the IAX2 USERNAME field) or not. In
> addition, the incoming connection has a source IP address that Asterisk can
> use for authentication as well.
>
> If a username is supplied, Asterisk does the following:
>
> Search iax.conf for a "type=user" entry with a section name (eg [username])
> matching the supplied username; if no matching entry is found, refuse the
> connection.
> If the found entry has allow and/or deny settings, compare the IP address of
> the caller to these lists. If the connection is not allowed, refuse the
> connection.
> Perform the desired secret checking (plaintext, md5 or rsa); if it fails,
> refuse the connection.
> Accept the connection and send the caller to the context specified in the
> "context" setting for this iax.conf entry.
>
> If a username is not supplied, Asterisk does the following:
>
> Search for a "type=user" entry in iax.conf with no secret specified and also
> allow and/or deny restrictions that do not restrict the caller from
> connecting. If such an entry is found, accept the connection, and use the
> name of the found iax.conf entry as the connecting username.
> Search for a "type=user" entry in iax.conf with no secret specified and no
> allow and/or deny restrictions at all. If such an entry is found, accept the
> connection. and use the name of the found iax.conf entry as the connecting
> username.
> Search for a "type=user" entry in iax.conf with a secret (or RSA key)
> specified and also allow and/or deny restrictions that do not restrict the
> caller from connecting. If such an entry is found, attempt to authenticate
> the caller using the specified secret or key, and if that passes, accept the
> connection, and use the name of the found iax.conf entry as the connecting
> username.
> Search for a "type=user" entry in iax.conf with a secret (or RSA key)
> specified and no allow and/or deny restrictions at all. If such an entry is
> found, attempt to authenticate the caller using the specified secret or key,
> and if that passes, accept the connection, and use the name of the found
> iax.conf entry as the connecting username.
>
> Em 11 de junho de 2010 16:22, Wagner <wagner em beetelecom.com.br> escreveu:
>>
>> Concordo com as alternativas dos amigos, vc também pode utilizar as linhas
>> permit e deny para liberar especificamente o IP deste seu ramal 100, se o
>> peers estiver em local fixo fica o IP,
>> Poderia também utilizar nome ao inves de numero na criação do Peer e
>> definir o 100 no dialpan direto, não sei se em soluções baseadas em Free PBX
>> isso é possivel, no asterisk puro dá , me corrijam se estiver errado.
>>
>> Att
>> Wagner Penha
>> Bee Telecom
>>
>> ----- Original Message -----
>> From: Marcel - BrasilVox Telecom
>> To: asteriskbrasil em listas.asteriskbrasil.org
>> Sent: Friday, June 11, 2010 3:56 PM
>> Subject: Re: [AsteriskBrasil] invasao
>> Se o invasor está usando Brute Force em sua senha ** PS: "Mas acho
>> improvável para uma senha de 20 digitos" **
>> é fácil de localizar isto nos logs do asterisk, verifica em:
>> /var/log/asterisk/messages ou /var/log/asterisk/full ;; caso não os tenha
>> é necessário ativar os logs!
>>
>> Para ativar os logs:
>> /etc/asterisk/logger.conf
>> full => notice,warning,error,debug,verbose
>>
>> NOTICE[2708] chan_iax2.c: Host xxx.xxx.xxx.xxx failed MD5 authentication
>> for '100' ....
>>
>> terá muitas linhas com este dizer, se for sempre originado do mesmo IP ;
>> bloqueie o IP dele através de iptables:
>>
>> Marcel
>> BrasilVox Telecom
>> www.brasilvox.com.br / voip.brasilvox.com.br
>> 019 3323 0051
>>
>> Em 11/6/2010 15:38, Alex Tavares Faiotto escreveu:
>>
>> Eles podem estar usando um scan, que bate todos os digtos de senha a
>> descobrir a nova, a maneira e voce pearo ip de quem esta invadindo e
>> bloquear o mesmo.
>>
>> Em 1 de junho de 2010 15:34, jose <jasanchez em terra.com.br> escreveu:
>>>
>>>
>>> Boa tarde a todos
>>> Tive probelmas com invasao , entraram no meu asterisk e fizeram ligaçao
>>> para slovenia, egito, etc...., bom após ter descoberto, isso se deu em um
>>> ramal numero 100 , esse ramal é IAX2, bom o que eu fiz mudei a senha do
>>> ramal coloquei com 20 numeros e letras, e para minha surpresa
>>> invadiram novamente. com o mesmo numero de ramal. Nao posso fechar esse
>>> ramal , alugume sabe me dizer de que forma estao descobrindo a minha
>>> senha?o unico jeito que vejo é que essa pessoa descobriu a senha de root, ou
>>> tem outra maneira?
>>>
>>>
>>> _______________________________________________
>>> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
>>> - Hardware com alta disponibilidade de recursos e qualidade KHOMP
>>> - Suporte técnico local qualificado e gratuito
>>> Conheça a linha completa de produtos KHOMP em www.khomp.com.br
>>> _______________________________________________
>>> Participe do I Encontro VoIPCenter, 08 a 10 de junho – Rio de Janeiro.
>>> Área de exposição, palestras e cursos de VoIP, Asterisk e Convergência de
>>> Redes.
>>> http://www.encontrovoipcenter.com.br
>>> ______________________________________________
>>> Lista de discussões AsteriskBrasil.org
>>> AsteriskBrasil em listas.asteriskbrasil.org
>>> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
>>
>>
>> _______________________________________________
>> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
>> - Hardware com alta disponibilidade de recursos e qualidade KHOMP
>> - Suporte técnico local qualificado e gratuito
>> Conheça a linha completa de produtos KHOMP em www.khomp.com.br
>> _______________________________________________
>> Participe do I Encontro VoIPCenter, 08 a 10 de junho – Rio de Janeiro.
>> Área de exposição, palestras e cursos de VoIP, Asterisk e Convergência de
>> Redes.
>> http://www.encontrovoipcenter.com.br
>> ______________________________________________
>> Lista de discussões AsteriskBrasil.org
>> AsteriskBrasil em listas.asteriskbrasil.org
>> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
>>
>> ________________________________
>>
>> _______________________________________________
>> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
>> - Hardware com alta disponibilidade de recursos e qualidade KHOMP
>> - Suporte técnico local qualificado e gratuito
>> Conheça a linha completa de produtos KHOMP em www.khomp.com.br
>> _______________________________________________
>> Participe do I Encontro VoIPCenter, 08 a 10 de junho – Rio de Janeiro.
>> Área de exposição, palestras e cursos de VoIP, Asterisk e Convergência de
>> Redes.
>> http://www.encontrovoipcenter.com.br
>> ______________________________________________
>> Lista de discussões AsteriskBrasil.org
>> AsteriskBrasil em listas.asteriskbrasil.org
>> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
>>
>> ________________________________
>>
>> No virus found in this incoming message.
>> Checked by AVG - www.avg.com
>> Version: 8.5.437 / Virus Database: 271.1.1/2931 - Release Date: 06/11/10
>> 06:35:00
>>
>> ________________________________
>> Estou utilizando a versão gratuita de SPAMfighter para usuários privados.
>> Foi removido 1854 emails de spam até hoje.
>> Os usuários pagantes não têm esta mensagem nos seus emails.
>> Experimente SPAMfighter de graça agora!
>>
>> _______________________________________________
>> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
>> - Hardware com alta disponibilidade de recursos e qualidade KHOMP
>> - Suporte técnico local qualificado e gratuito
>> Conheça a linha completa de produtos KHOMP em www.khomp.com.br
>> _______________________________________________
>> Participe do I Encontro VoIPCenter, 08 a 10 de junho – Rio de Janeiro.
>> Área de exposição, palestras e cursos de VoIP, Asterisk e Convergência de
>> Redes.
>> http://www.encontrovoipcenter.com.br
>> ______________________________________________
>> Lista de discussões AsteriskBrasil.org
>> AsteriskBrasil em listas.asteriskbrasil.org
>> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
>
>
> _______________________________________________
> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
> - Hardware com alta disponibilidade de recursos e qualidade KHOMP
> - Suporte técnico local qualificado e gratuito
> Conheça a linha completa de produtos KHOMP em www.khomp.com.br
> _______________________________________________
> Participe do I Encontro VoIPCenter, 08 a 10 de junho – Rio de Janeiro.
> Área de exposição, palestras e cursos de VoIP, Asterisk e Convergência de
> Redes.
> http://www.encontrovoipcenter.com.br
> ______________________________________________
> Lista de discussões AsteriskBrasil.org
> AsteriskBrasil em listas.asteriskbrasil.org
> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
>
Mais detalhes sobre a lista de discussão AsteriskBrasil