[AsteriskBrasil] Ajuda com brute force

[alessandro (listas)]

   Pelo que eu pude detectar, analisando algumas tentativas de invasões:
   1) Os ataques sempre partem de IPs de fora do país. Acredito que pelo
custo e facilidade de se locar algo fora. Existem também o menor risco do
responsável ser identificado e punido.
   2) Todas as tentativas de ataque se dão com ramais de logins numéricos.
Eles começam testando 0000 e vão até 9999. Se você usar login de ramal
alfanumérico, quebra as pernas deles.
   3) As combinações de senhas são ridiculamente fáceis. Se o ramal usar uma
senha de 8 dígitos, alfanumérico, dificilmente será hackeado.
   4) Os ataques são feitos em 2 etapas: primeiro testa-se usuário e senha,
sem mandar chamadas. Depois, de posse de usuário e senha válidos, manda-se a
chamada. Assim, fica menos evidente as falhas no CDR.
   5) Quanto aos dispositivos, alguém sugeriu bloquear por inválidos. Porém,
pelo menos aqui na minha análise, são a minoria. Boa parte deles vem
identificado como softphone Eyebeam.
   Como já foi amplamente discutido, o fail2ban é uma alternativa barata e
viável. Meu receio é que, como ele analisa os logs do Asterisk, pode causar
perda de performance pro servidor em questão.

2011/4/20 Jose Eduardo Constantino Mazolini <jose.mazolini em fnis.com.br>

> Eu falei sobre isso com conexão TCP olhando syn.
>
> E analisando string do pacote udp, mas estava usando mikrotik que adiciona
> o ip em uma tabela.
>
> Acho que o que a mikrotik faz o iptables faz, mas não sei exatamente como.
>
> Também modifiquei a resposta do asterisk para ser senha invalida para
> devices inexistentes.
>
>
>
> *From:* asteriskbrasil-bounces em listas.asteriskbrasil.org [mailto:
> asteriskbrasil-bounces em listas.asteriskbrasil.org] *On Behalf Of *Thiago
> Bruni Tawil
> *Sent:* terça-feira, 19 de abril de 2011 18:51
>
> *To:* asteriskbrasil em listas.asteriskbrasil.org
> *Subject:* Re: [AsteriskBrasil] Ajuda com brute force
>
>
>
> O fail2ban possuí esse recurso, mas ele não analisa pacotes e sim o arquivo
> de log do asterisk. Voce pode inclusive determinar quanto tempo vai durar o
> DROP...
> Abraços
>
> No dia 19 de Abr de 2011 15:29, "Alexandre Ricardo Souza Silva" <
> alexandre em componentizar.com.br> escreveu:
> > Thiago,
> >
> > tem uma outra maneira de fazer este bloqueo com Iptables e um analisador
> de pacotes, onde se vc tiver um x numero de tentativas em segundos vc
> bloqueia o Ip de origem, eu vi alguma coisa parecida aqui no forum, nao me
> lembro muito bem a ferramenta usada, se eu lembrar informo aqui a todos.
> >
> >
> >
> > Abraço
> >
> >
> > Alexandre
> > ----- Original Message -----
> > From: Thiago Bruni Tawil
> > To: asteriskbrasil em listas.asteriskbrasil.org
> > Sent: Tuesday, April 19, 2011 7:59 AM
> > Subject: Re: [AsteriskBrasil] Ajuda com brute force
> >
> >
> > Cara, a melhor alternativa que eu encontrei ate hj é o fail2ban.... não
> eh tão complicado de entender e funciona muito bem... abraços...
> >
> > Em 18/04/2011 19:34, "Renan Nóbrega" <renandesouz4 em gmail.com> escreveu:
> > > Creio que a essa altura do campeonato o problema tenha sido resolvido.
> Uma
> > > boa opção momentânea é bloquear o IP invasor no firewall via iptables.
> Taca
> > > um DROP nele que para na hora.
> > >
> > > 2011/4/18 Wesley MAX WIFI TELECOM <xcyberlan em hotmail.com>
> > >
> > >> não percebi que tinha feito isso tem com apagar da lista não
> > >>
> > >> ------------------------------
> > >> From: jmbq em bol.com.br
> > >> Date: Mon, 18 Apr 2011 08:49:33 -0300
> > >>
> > >> To: asteriskbrasil em listas.asteriskbrasil.org
> > >> Subject: Re: [AsteriskBrasil] Ajuda com brute force
> > >>
> > >>
> > >> Como falado anteriormente, utilize o fail2ban.
> > >> E mais uma dica, da próxima vez que postar o log não poste o IP do
> > >> servidor.
> > >>
> > >> Boa sorte,
> > >>
> > >> João Marcelo
> > >>
> > >>
> > >> Em 17/04/2011, Ã s 19:25, Wesley MAX WIFI TELECOM escreveu:
> > >>
> > >> Ajuda com brute force estão tentando logar. em conta sip em meu
> servidor
> > >> ate agora ele não deram conta, pois sempre ativo host = meu ip fixo
> mais meu
> > >> log já esta muito grande de tantas tentativas que eles estão fazendo e
> quero
> > >> bloquear eles será que tem alguma ferramenta para que eu possa
> bloquear
> > >> essas tentativa e deixar meu asterisk mais seguro
> > >>
> > >>
> > >>
> > >>
> > >> Tentativas no LOG
> > >>
> > >>
> > >>
> > >>
> > >> '"30" <sip:30 em 187.28.52.10>' failed for '112.107.3.152' - Peer is not
> > >> supposed to register
> > >> [Apr 17 18:19:44] ERROR[3228] chan_sip.c: Peer '100' is trying to
> register,
> > >> but not configured as host=dynamic
> > >> [Apr 17 18:19:44] NOTICE[3228] chan_sip.c: Registration from '"100" <
> > >> sip:100 em 187.28.52.10>' failed for '65.111.166.219' - Peer is not
> supposed
> > >> to register
> > >> [Apr 17 18:19:44] ERROR[3228] chan_sip.c: Peer '100' is trying to
> register,
> > >> but not configured as host=dynamic
> > >> [Apr 17 18:19:44] NOTICE[3228] chan_sip.c: Registration from '"100" <
> > >> sip:100 em 187.28.52.10>' failed for '65.111.166.219' - Peer is not
> supposed
> > >> to register
> > >> [Apr 17 18:19:44] ERROR[3228] chan_sip.c: Peer '100' is trying to
> register,
> > >> but not configured as host=dynamic
> > >> [Apr 17 18:19:44] NOTICE[3228] chan_sip.c: Registration from '"100" <
> > >> sip:100 em 187.28.52.10>' failed for '65.111.166.219' - Peer is not
> supposed
> > >> to register
> > >> [Apr 17 18:19:44] ERROR[3228] chan_sip.c: Peer '30' is trying to
> register,
> > >> but not configured as host=dynamic
> > >> [Apr 17 18:19:44] NOTICE[3228] chan_sip.c: Registration from '"30" <
> > >> sip:30 em 187.28.52.10>' failed for '112.107.3.152' - Peer is not
> supposed to
> > >> register
> > >> [Apr 17 18:19:44] ERROR[3228] chan_sip.c: Peer '30' is trying
> > >> _______________________________________________
> > >> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
> > >> - Hardware com alta disponibilidade de recursos e qualidade KHOMP
> > >> - Suporte técnico local qualificado e gratuito
> > >> Conheça a linha completa de produtos KHOMP em www.khomp.com.br
> > >> _______________________________________________
> > >> DIGIVOICE: Lider no mercado de placas para Asterisk
> > >> Único fabricante com Centro de Treinamento especializado.
> > >> LANÇAMENTO: Channel Bank TDMoE, até 64 canais FXS / FXO.
> > >> www.digivoice.com.br ou (11)3016-5200.
> > >> ________
> > >> Lista de discussões AsteriskBrasil.org
> > >> AsteriskBrasil em listas.asteriskbrasil.org
> > >> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
> > >> ______________________________________________
> > >> Para remover seu email desta lista, basta enviar um email em branco
> para
> > >> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
> > >>
> > >>
> > >>
> > >> _______________________________________________ KHOMP: qualidade em
> placas
> > >> de E1, GSM, FXS e FXO para Asterisk. - Hardware com alta
> disponibilidade de
> > >> recursos e qualidade KHOMP - Suporte t�cnico local qualificado e
> gratuito
> > >> Conhe�a a linha completa de produtos KHOMP em
> www.khomp.com.br_______________________________________________ DIGIVOICE:
> Lider no mercado
> > >> de placas para Asterisk �nico fabricante com Centro de Treinamento
> > >> especializado. LAN�AMENTO: Channel Bank TDMoE, at� 64 canais FXS /
> FXO.
> > >> www.digivoice.com.br ou (11)3016-5200. ________ Lista de discuss�es
> > >> AsteriskBrasil.org AsteriskBrasil em listas.asteriskbrasil.org
> > >>
> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil______________________________________________Para remover seu email desta
> > >> lista, basta enviar um email em branco para
> > >> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
> > >>
> > >> _______________________________________________
> > >> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
> > >> - Hardware com alta disponibilidade de recursos e qualidade KHOMP
> > >> - Suporte técnico local qualificado e gratuito
> > >> Conheça a linha completa de produtos KHOMP em www.khomp.com.br
> > >> _______________________________________________
> > >> DIGIVOICE: Lider no mercado de placas para Asterisk
> > >> Único fabricante com Centro de Treinamento especializado.
> > >> LANÇAMENTO: Channel Bank TDMoE, até 64 canais FXS / FXO.
> > >> www.digivoice.com.br ou (11)3016-5200.
> > >> ________
> > >> Lista de discussões AsteriskBrasil.org
> > >> AsteriskBrasil em listas.asteriskbrasil.org
> > >> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
> > >> ______________________________________________
> > >> Para remover seu email desta lista, basta enviar um email em branco
> para
> > >> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
> > >>
> > >
> > >
> > >
> > > --
> > > Renan Nóbrega
> > > +55 83 88177548 , +55 83 81498995
> >
> >
> >
> >
> >
> ------------------------------------------------------------------------------
> >
> >
> > _______________________________________________
> > KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
> > - Hardware com alta disponibilidade de recursos e qualidade KHOMP
> > - Suporte técnico local qualificado e gratuito
> > Conheça a linha completa de produtos KHOMP em www.khomp.com.br
> > _______________________________________________
> > DIGIVOICE: Lider no mercado de placas para Asterisk
> > Único fabricante com Centro de Treinamento especializado.
> > LANÇAMENTO: Channel Bank TDMoE, até 64 canais FXS / FXO.
> > www.digivoice.com.br ou (11)3016-5200.
> > ________
> > Lista de discussões AsteriskBrasil.org
> > AsteriskBrasil em listas.asteriskbrasil.org
> > http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
> > ______________________________________________
> > Para remover seu email desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
>
>
> A informação contida nesta mensagem é confidencial e de propriedade da
> Fidelity Processadora e Serviços S/A. Se você recebeu este e-mail por
> engano, por favor: (i) apague a mensagem e todas as suas cópias e anexos;
> (ii) não revele, distribua ou utilize a mensagem ou seu conteúdo de qualquer
> maneira; e (iii) notifique o remetente imediatamente. Adicionalmente, por
> favor esteja informado de que qualquer mensagem endereçada ao domínio da
> Fidelity está sujeita ao arquivamento e leitura por outros membros da
> companhia, além do próprio destinatário da mensagem. A Fidelity agradece a
> sua colaboração.
>
> The information contained in this message is proprietary and/or
> confidential. If you are not the intended recipient, please: (i) delete the
> message and all copies; (ii) do not disclose, distribute or use the message
> in any manner; and (iii) notify the sender immediately. In addition, please
> be aware that any message addressed to our domain is subject to archiving
> and review by persons other than the intended recipient. Thank you.
>
> _______________________________________________
> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
> - Hardware com alta disponibilidade de recursos e qualidade KHOMP
> - Suporte técnico local qualificado e gratuito
> Conheça a linha completa de produtos KHOMP em www.khomp.com.br
> _______________________________________________
> DIGIVOICE: Lider no mercado de placas para Asterisk
> Único fabricante com Centro de Treinamento especializado.
> LANÇAMENTO: Channel Bank TDMoE, até 64 canais FXS / FXO.
> www.digivoice.com.br ou (11)3016-5200.
> ________
> Lista de discussões AsteriskBrasil.org
> AsteriskBrasil em listas.asteriskbrasil.org
> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
> ______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20110530/b4cbf4e0/attachment-0001.htm