[AsteriskBrasil] Ajuda com brute force

[João Marcelo Queiroz]

Tinha o mesmo tipo de problema em um cliente. Todos os ataques vinham de fora do país, implementei o fail2ban e bloqueei todos os IPs de fora do país no IPtables e o problema foi resolvido.

Boa sorte,

João Marcelo


Em 30/05/2011, Ã s 03:12, alessandro (listas) escreveu:

>    Pelo que eu pude detectar, analisando algumas tentativas de invasões:
>    1) Os ataques sempre partem de IPs de fora do país. Acredito que pelo custo e facilidade de se locar algo fora. Existem também o menor risco do responsável ser identificado e punido.
>    2) Todas as tentativas de ataque se dão com ramais de logins numéricos. Eles começam testando 0000 e vão até 9999. Se você usar login de ramal alfanumérico, quebra as pernas deles.
>    3) As combinações de senhas são ridiculamente fáceis. Se o ramal usar uma senha de 8 dígitos, alfanumérico, dificilmente será hackeado.
>    4) Os ataques são feitos em 2 etapas: primeiro testa-se usuário e senha, sem mandar chamadas. Depois, de posse de usuário e senha válidos, manda-se a chamada. Assim, fica menos evidente as falhas no CDR.
>    5) Quanto aos dispositivos, alguém sugeriu bloquear por inválidos. Porém, pelo menos aqui na minha análise, são a minoria. Boa parte deles vem identificado como softphone Eyebeam.
>    Como já foi amplamente discutido, o fail2ban é uma alternativa barata e viável. Meu receio é que, como ele analisa os logs do Asterisk, pode causar perda de performance pro servidor em questão.
> 
> 2011/4/20 Jose Eduardo Constantino Mazolini <jose.mazolini em fnis.com.br>
> Eu falei sobre isso com conexão TCP olhando syn.
> 
> E analisando string do pacote udp, mas estava usando mikrotik que adiciona o ip em uma tabela.
> 
> Acho que o que a mikrotik faz o iptables faz, mas não sei exatamente como.
> 
> Também modifiquei a resposta do asterisk para ser senha invalida para devices inexistentes.
> 
>  
> From: asteriskbrasil-bounces em listas.asteriskbrasil.org [mailto:asteriskbrasil-bounces em listas.asteriskbrasil.org] On Behalf Of Thiago Bruni Tawil
> Sent: terça-feira, 19 de abril de 2011 18:51
> 
> 
> To: asteriskbrasil em listas.asteriskbrasil.org
> Subject: Re: [AsteriskBrasil] Ajuda com brute force
> 
>  
> O fail2ban possuí esse recurso, mas ele não analisa pacotes e sim o arquivo de log do asterisk. Voce pode inclusive determinar quanto tempo vai durar o DROP...
> Abraços
> 
> No dia 19 de Abr de 2011 15:29, "Alexandre Ricardo Souza Silva" <alexandre em componentizar.com.br> escreveu:
> > Thiago,
> > 
> > tem uma outra maneira de fazer este bloqueo com Iptables e um analisador de pacotes, onde se vc tiver um x numero de tentativas em segundos vc bloqueia o Ip de origem, eu vi alguma coisa parecida aqui no forum, nao me lembro muito bem a ferramenta usada, se eu lembrar informo aqui a todos.
> > 
> > 
> > 
> > Abraço
> > 
> > 
> > Alexandre
> > ----- Original Message ----- 
> > From: Thiago Bruni Tawil 
> > To: asteriskbrasil em listas.asteriskbrasil.org 
> > Sent: Tuesday, April 19, 2011 7:59 AM
> > Subject: Re: [AsteriskBrasil] Ajuda com brute force
> > 
> > 
> > Cara, a melhor alternativa que eu encontrei ate hj é o fail2ban.... não eh tão complicado de entender e funciona muito bem... abraços...
> > 
> > Em 18/04/2011 19:34, "Renan Nóbrega" <renandesouz4 em gmail.com> escreveu:
> > > Creio que a essa altura do campeonato o problema tenha sido resolvido. Uma
> > > boa opção momentânea é bloquear o IP invasor no firewall via iptables. Taca
> > > um DROP nele que para na hora.
> > > 
> > > 2011/4/18 Wesley MAX WIFI TELECOM <xcyberlan em hotmail.com>
> > > 
> > >> não percebi que tinha feito isso tem com apagar da lista não
> > >>
> > >> ------------------------------
> > >> From: jmbq em bol.com.br
> > >> Date: Mon, 18 Apr 2011 08:49:33 -0300
> > >>
> > >> To: asteriskbrasil em listas.asteriskbrasil.org
> > >> Subject: Re: [AsteriskBrasil] Ajuda com brute force
> > >>
> > >>
> > >> Como falado anteriormente, utilize o fail2ban.
> > >> E mais uma dica, da próxima vez que postar o log não poste o IP do
> > >> servidor.
> > >>
> > >> Boa sorte,
> > >>
> > >> João Marcelo
> > >>
> > >>
> > >> Em 17/04/2011, Ã s 19:25, Wesley MAX WIFI TELECOM escreveu:
> > >>
> > >> Ajuda com brute force estão tentando logar. em conta sip em meu servidor
> > >> ate agora ele não deram conta, pois sempre ativo host = meu ip fixo mais meu
> > >> log já esta muito grande de tantas tentativas que eles estão fazendo e quero
> > >> bloquear eles será que tem alguma ferramenta para que eu possa bloquear
> > >> essas tentativa e deixar meu asterisk mais seguro
> > >>
> > >>
> > >>
> > >>
> > >> Tentativas no LOG
> > >>
> > >>
> > >>
> > >>
> > >> '"30" <sip:30 em 187.28.52.10>' failed for '112.107.3.152' - Peer is not
> > >> supposed to register
> > >> [Apr 17 18:19:44] ERROR[3228] chan_sip.c: Peer '100' is trying to register,
> > >> but not configured as host=dynamic
> > >> [Apr 17 18:19:44] NOTICE[3228] chan_sip.c: Registration from '"100" <
> > >> sip:100 em 187.28.52.10>' failed for '65.111.166.219' - Peer is not supposed
> > >> to register
> > >> [Apr 17 18:19:44] ERROR[3228] chan_sip.c: Peer '100' is trying to register,
> > >> but not configured as host=dynamic
> > >> [Apr 17 18:19:44] NOTICE[3228] chan_sip.c: Registration from '"100" <
> > >> sip:100 em 187.28.52.10>' failed for '65.111.166.219' - Peer is not supposed
> > >> to register
> > >> [Apr 17 18:19:44] ERROR[3228] chan_sip.c: Peer '100' is trying to register,
> > >> but not configured as host=dynamic
> > >> [Apr 17 18:19:44] NOTICE[3228] chan_sip.c: Registration from '"100" <
> > >> sip:100 em 187.28.52.10>' failed for '65.111.166.219' - Peer is not supposed
> > >> to register
> > >> [Apr 17 18:19:44] ERROR[3228] chan_sip.c: Peer '30' is trying to register,
> > >> but not configured as host=dynamic
> > >> [Apr 17 18:19:44] NOTICE[3228] chan_sip.c: Registration from '"30" <
> > >> sip:30 em 187.28.52.10>' failed for '112.107.3.152' - Peer is not supposed to
> > >> register
> > >> [Apr 17 18:19:44] ERROR[3228] chan_sip.c: Peer '30' is trying
> > >> _______________________________________________
> > >> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
> > >> - Hardware com alta disponibilidade de recursos e qualidade KHOMP
> > >> - Suporte técnico local qualificado e gratuito
> > >> Conheça a linha completa de produtos KHOMP em www.khomp.com.br
> > >> _______________________________________________
> > >> DIGIVOICE: Lider no mercado de placas para Asterisk
> > >> Único fabricante com Centro de Treinamento especializado.
> > >> LANÇAMENTO: Channel Bank TDMoE, até 64 canais FXS / FXO.
> > >> www.digivoice.com.br ou (11)3016-5200.
> > >> ________
> > >> Lista de discussões AsteriskBrasil.org
> > >> AsteriskBrasil em listas.asteriskbrasil.org
> > >> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
> > >> ______________________________________________
> > >> Para remover seu email desta lista, basta enviar um email em branco para
> > >> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
> > >>
> > >>
> > >>
> > >> _______________________________________________ KHOMP: qualidade em placas
> > >> de E1, GSM, FXS e FXO para Asterisk. - Hardware com alta disponibilidade de
> > >> recursos e qualidade KHOMP - Suporte t�cnico local qualificado e gratuito
> > >> Conhe�a a linha completa de produtos KHOMP em www.khomp.com.br_______________________________________________ DIGIVOICE: Lider no mercado
> > >> de placas para Asterisk �nico fabricante com Centro de Treinamento
> > >> especializado. LAN�AMENTO: Channel Bank TDMoE, at� 64 canais FXS / FXO.
> > >> www.digivoice.com.br ou (11)3016-5200. ________ Lista de discuss�es
> > >> AsteriskBrasil.org AsteriskBrasil em listas.asteriskbrasil.org
> > >> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil______________________________________________ Para remover seu email desta
> > >> lista, basta enviar um email em branco para
> > >> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
> > >>
> > >> _______________________________________________
> > >> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
> > >> - Hardware com alta disponibilidade de recursos e qualidade KHOMP
> > >> - Suporte técnico local qualificado e gratuito
> > >> Conheça a linha completa de produtos KHOMP em www.khomp.com.br
> > >> _______________________________________________
> > >> DIGIVOICE: Lider no mercado de placas para Asterisk
> > >> Único fabricante com Centro de Treinamento especializado.
> > >> LANÇAMENTO: Channel Bank TDMoE, até 64 canais FXS / FXO.
> > >> www.digivoice.com.br ou (11)3016-5200.
> > >> ________
> > >> Lista de discussões AsteriskBrasil.org
> > >> AsteriskBrasil em listas.asteriskbrasil.org
> > >> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
> > >> ______________________________________________
> > >> Para remover seu email desta lista, basta enviar um email em branco para
> > >> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
> > >>
> > > 
> > > 
> > > 
> > > -- 
> > > Renan Nóbrega
> > > +55 83 88177548 , +55 83 81498995
> > 
> > 
> > 
> > 
> > ------------------------------------------------------------------------------
> > 
> > 
> > _______________________________________________
> > KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. 
> > - Hardware com alta disponibilidade de recursos e qualidade KHOMP
> > - Suporte técnico local qualificado e gratuito 
> > Conheça a linha completa de produtos KHOMP em www.khomp.com.br
> > _______________________________________________
> > DIGIVOICE: Lider no mercado de placas para Asterisk
> > Único fabricante com Centro de Treinamento especializado.
> > LANÇAMENTO: Channel Bank TDMoE, até 64 canais FXS / FXO. 
> > www.digivoice.com.br ou (11)3016-5200.
> > ________
> > Lista de discussões AsteriskBrasil.org
> > AsteriskBrasil em listas.asteriskbrasil.org
> > http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
> > ______________________________________________
> > Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
> 
>  
> 
> A informação contida nesta mensagem é confidencial e de propriedade da Fidelity Processadora e Serviços S/A. Se você recebeu este e-mail por engano, por favor: (i) apague a mensagem e todas as suas cópias e anexos; (ii) não revele, distribua ou utilize a mensagem ou seu conteúdo de qualquer maneira; e (iii) notifique o remetente imediatamente. Adicionalmente, por favor esteja informado de que qualquer mensagem endereçada ao domínio da Fidelity está sujeita ao arquivamento e leitura por outros membros da companhia, além do próprio destinatário da mensagem. A Fidelity agradece a sua colaboração.
> 
> The information contained in this message is proprietary and/or confidential. If you are not the intended recipient, please: (i) delete the message and all copies; (ii) do not disclose, distribute or use the message in any manner; and (iii) notify the sender immediately. In addition, please be aware that any message addressed to our domain is subject to archiving and review by persons other than the intended recipient. Thank you.
> 
> _______________________________________________
> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
> - Hardware com alta disponibilidade de recursos e qualidade KHOMP
> - Suporte técnico local qualificado e gratuito
> Conheça a linha completa de produtos KHOMP em www.khomp.com.br
> _______________________________________________
> DIGIVOICE: Lider no mercado de placas para Asterisk
> Único fabricante com Centro de Treinamento especializado.
> LANÇAMENTO: Channel Bank TDMoE, até 64 canais FXS / FXO.
> www.digivoice.com.br ou (11)3016-5200.
> ________
> Lista de discussões AsteriskBrasil.org
> AsteriskBrasil em listas.asteriskbrasil.org
> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
> ______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
> 
> _______________________________________________
> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. 
> - Hardware com alta disponibilidade de recursos e qualidade KHOMP
> - Suporte técnico local qualificado e gratuito 
> Conheça a linha completa de produtos KHOMP em www.khomp.com.br
> _______________________________________________
> DIGIVOICE: Lider no mercado de placas para Asterisk
> Único fabricante com Centro de Treinamento especializado.
> LANÇAMENTO: Channel Bank TDMoE, até 64 canais FXS / FXO. 
> www.digivoice.com.br ou (11)3016-5200.
> ________
> Lista de discussões AsteriskBrasil.org
> AsteriskBrasil em listas.asteriskbrasil.org
> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
> ______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org

-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20110530/b66dee8d/attachment-0001.htm