[AsteriskBrasil] ataque

Rodrigo Vian listas em porttaltecnologia.com.br
Segunda Janeiro 17 09:20:51 BRST 2011 

Bom dia Sanchez,

crie o arquivo "/etc/sysconfig/iptables" com o conteúdo abaixo...

======================= FIREWALL IPTABLES
=================================
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state INVALID -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,RST FIN,RST -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,ACK FIN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags PSH,ACK PSH -j DROP
-A INPUT -p tcp -m tcp --tcp-flags ACK,URG URG -j DROP

# Libera interface local
-A INPUT -i lo -j ACCEPT
# Permite tudo o que está relacionado e estabelecido
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

#Proteção contra Ping da Morte
-A INPUT -p ICMP --icmp-type echo-request -m limit --limit 1/s -m state
--state NEW -j ACCEPT

# SSH - Acesso em porta alta
-A INPUT -p tcp -m tcp -m state --dport 2222 --state NEW -j ACCEPT

-A INPUT -p tcp -j REJECT --reject-with tcp-reset
-A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p igmp -j REJECT --reject-with icmp-port-unreachable

-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j
DROP
-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags FIN,RST FIN,RST -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags FIN,ACK FIN -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags PSH,ACK PSH -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags ACK,URG URG -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

-A OUTPUT -m state --state INVALID -j DROP
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
COMMIT
*nat
:PREROUTING ACCEPT [5:763]
:POSTROUTING ACCEPT [5:404]
:OUTPUT ACCEPT [5:404]
COMMIT
*mangle
:PREROUTING ACCEPT [364:28291]
:INPUT ACCEPT [364:28291]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [274:41880]
:POSTROUTING ACCEPT [272:41040]
COMMIT

======================= FIREWALL IPTABLES
=================================

depois disso: chkconfig iptables on

remove seu script do /etc/rc.local

Este script funciona, porém a questão de ataque você pode resolver com o
fail2ban... Se o ataque for constante da mesma classe de ip, bloqueie o
ip..

exemplo: 
-A INPUT -s 188.161.0.0/16 -j DROP 

Coloque esta regra antes de: -A INPUT -i lo -j ACCEPT

Um comentário... Esta faixa de ip do exemplo pertence à Israel e eu
recebia ataques constantes dele... O Brasil está sendo alvo de ataques
constantes em servidores VoIP.


No site abaixo tem a lista de ip's pertencentes ao Brasil. Com isso
saberás se o ip atacante pertence ao Brasil...
http://lacnic.net/cgi-bin/lacnic/whois?lg=PT&query=BR-CGIN-LACNIC


Se quiser comparar suas regras de firewall com as minhas faça o
seguinte:

iptables-save > /meu/diretorio/minhas_regras


Espero ter ajudado...

Abs


-------- Mensagem original --------
De: jose <jasanchez em terra.com.br>
Responder a: asteriskbrasil em listas.asteriskbrasil.org
Para: asteriskbrasil em listas.asteriskbrasil.org
Assunto: Re: [AsteriskBrasil] ataque
Data: Mon, 17 Jan 2011 08:48:11 -0200

Valeu Greco vou configurar 
abçs


From: Carlos Alberto Greco 
Sent: Saturday, January 15, 2011 3:04 AM
To: asteriskbrasil em listas.asteriskbrasil.org 
Subject: Re: [AsteriskBrasil] ataque


use o fail2ban, que bloquei postei no dia 27 como configurar
cuidado, estou com uma conta de mil pilas por deixar um ramal sem senha

Greco

----- Mensagem original -----
De: "jose" <jasanchez em terra.com.br>
Para: "asterisk" <asteriskbrasil em listas.asteriskbrasil.org>
Enviadas: Sexta-feira, 14 de Janeiro de 2011 19:26:43 (GMT-0300)
Auto-Detected
Assunto: [AsteriskBrasil] ataque



Pessoal preciso de um auxilio
 
tenho um firewall com iptables mas o que acontece é que o individuo
consegue de alguma forma ficar tentanto a invasao pois no full aparece
 

[Jan 14 14:24:28] NOTICE[2730] chan_sip.c: Registration from '"215"
<sip:215 em 189.129.138.13>' failed for '211.139.121.85' - Wrong password

meu iptables esta com o drop , se eu pingar o ip nem vai e alem do mais
tentei me conectar via softphone e nao bate o meu ip no full, o que
posso fazer para barrar isso pois o bicho tem uma banda alta e o meu
servidor começa a pingar com 800 , 1000 m/s
#!/bin/bash

#

# Script Firewall para o servidor ASTERISK

#

# Variaveis

IPT="/sbin/iptables"

IFLAN=eth0

IFWAN=eth2

ALL=0/0

IPIFLAN=192.168.2.10

IPIFWAN=exemplo.no-ip.biz

REDE=192.168.9.0/24

LOCALHOST=127.0.0.1

# Limpar Tabela

echo "#"

echo "# Limpando Tabelas..."

$IPT -F INPUT

echo "# OK INPUT"

$IPT -F OUTPUT

echo "# OK OUTPUT"

$IPT -F FORWARD

echo "# OK FORWARD"

echo "#"

echo "#### TABELA INPUT ####"

echo "## POLICY ##"

echo "#"

# ESTABLISHED,RELATED ACCEPT

$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPT -A INPUT -p tcp -s $ALL -d $LOCALHOST -j ACCEPT

echo "# ATIVADO ESTABLISHED,RELATED ACCEPT"

# INPUT DENY

$IPT -P INPUT DROP

echo "# ATIVADO INPUT DROP"

 

# Bloqueia SSH na interface externa e libera na interna

$IPT -A INPUT -i $IFLAN -p tcp --dport 22 -m limit --limit 1/s -j ACCEPT

$IPT -A INPUT -i $IFWAN -p tcp --dport 22 -m limit --limit 1/s -j ACCEPT

 

#### BLOQUEAR PORTA QUE VEM DE FORA ####

 $IPT -A INPUT -i $IFWAN -p udp -s $ALL -j DROP



_______________________________________________ KHOMP: qualidade em
placas de E1, GSM, FXS e FXO para Asterisk. - Hardware com alta
disponibilidade de recursos e qualidade KHOMP - Suporte técnico local
qualificado e gratuito Conheça a linha completa de produtos KHOMP em
www.khomp.com.br _______________________________________________
Headsets Plantronics com o melhor preço do Brasil. Acesse agora
www.voipmania.com.br VOIPMANIA STORE ________ Lista de discussões
AsteriskBrasil.org AsteriskBrasil em listas.asteriskbrasil.org
http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
______________________________________________ Para remover seu email
desta lista, basta enviar um email em branco para
asteriskbrasil-unsubscribe em listas.asteriskbrasil.org

-- 
atenciosamente,




Carlos - Comercial Greco Internet - 11 3040 1001

_______________________________________
http://mailflex.com.br/wp-content/themes/twentyten/images/logo.gif







________________________________________________________________________

_______________________________________________
KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. 
- Hardware com alta disponibilidade de recursos e qualidade KHOMP
- Suporte técnico local qualificado e gratuito 
Conheça a linha completa de produtos KHOMP em www.khomp.com.br
_______________________________________________
Headsets Plantronics com o melhor preço do Brasil.
Acesse agora www.voipmania.com.br
VOIPMANIA STORE
________
Lista de discussões AsteriskBrasil.org
AsteriskBrasil em listas.asteriskbrasil.org
http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para
asteriskbrasil-unsubscribe em listas.asteriskbrasil.org 

_______________________________________________
KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. 
- Hardware com alta disponibilidade de recursos e qualidade KHOMP
- Suporte técnico local qualificado e gratuito 
Conheça a linha completa de produtos KHOMP em www.khomp.com.br
_______________________________________________
Headsets Plantronics com o melhor preço do Brasil.
Acesse agora www.voipmania.com.br
VOIPMANIA STORE
________
Lista de discussões AsteriskBrasil.org
AsteriskBrasil em listas.asteriskbrasil.org
http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20110117/704d64d7/attachment-0001.htm

Mais detalhes sobre a lista de discussão AsteriskBrasil