[AsteriskBrasil] Ajuda com brute force

[Leandro Alves]

Assunto "infinito"!

Em 30 de maio de 2011 08:13, João Marcelo Queiroz <jmbq em bol.com.br>escreveu:

> Tinha o mesmo tipo de problema em um cliente. Todos os ataques vinham de
> fora do país, implementei o fail2ban e bloqueei todos os IPs de fora do país
> no IPtables e o problema foi resolvido.
>
> Boa sorte,
>
> João Marcelo
>
>
> Em 30/05/2011, Ã s 03:12, alessandro (listas) escreveu:
>
>    Pelo que eu pude detectar, analisando algumas tentativas de invasões:
>    1) Os ataques sempre partem de IPs de fora do país. Acredito que pelo
> custo e facilidade de se locar algo fora. Existem também o menor risco do
> responsável ser identificado e punido.
>    2) Todas as tentativas de ataque se dão com ramais de logins numéricos.
> Eles começam testando 0000 e vão até 9999. Se você usar login de ramal
> alfanumérico, quebra as pernas deles.
>    3) As combinações de senhas são ridiculamente fáceis. Se o ramal usar
> uma senha de 8 dígitos, alfanumérico, dificilmente será hackeado.
>    4) Os ataques são feitos em 2 etapas: primeiro testa-se usuário e senha,
> sem mandar chamadas. Depois, de posse de usuário e senha válidos, manda-se a
> chamada. Assim, fica menos evidente as falhas no CDR.
>    5) Quanto aos dispositivos, alguém sugeriu bloquear por inválidos.
> Porém, pelo menos aqui na minha análise, são a minoria. Boa parte deles vem
> identificado como softphone Eyebeam.
>    Como já foi amplamente discutido, o fail2ban é uma alternativa barata e
> viável. Meu receio é que, como ele analisa os logs do Asterisk, pode causar
> perda de performance pro servidor em questão.
>
> 2011/4/20 Jose Eduardo Constantino Mazolini <jose.mazolini em fnis.com.br>
>
>> Eu falei sobre isso com conexão TCP olhando syn.
>>
>> E analisando string do pacote udp, mas estava usando mikrotik que adiciona
>> o ip em uma tabela.
>>
>> Acho que o que a mikrotik faz o iptables faz, mas não sei exatamente como.
>>
>> Também modifiquei a resposta do asterisk para ser senha invalida para
>> devices inexistentes.
>>
>>
>> *From:* asteriskbrasil-bounces em listas.asteriskbrasil.org [mailto:
>> asteriskbrasil-bounces em listas.asteriskbrasil.org] *On Behalf Of *Thiago
>> Bruni Tawil
>> *Sent:* terça-feira, 19 de abril de 2011 18:51
>>
>> *To:* asteriskbrasil em listas.asteriskbrasil.org
>> *Subject:* Re: [AsteriskBrasil] Ajuda com brute force
>>
>>
>>
>> O fail2ban possuí esse recurso, mas ele não analisa pacotes e sim o
>> arquivo de log do asterisk. Voce pode inclusive determinar quanto tempo vai
>> durar o DROP...
>> Abraços
>>
>> No dia 19 de Abr de 2011 15:29, "Alexandre Ricardo Souza Silva" <
>> alexandre em componentizar.com.br> escreveu:
>> > Thiago,
>> >
>> > tem uma outra maneira de fazer este bloqueo com Iptables e um analisador
>> de pacotes, onde se vc tiver um x numero de tentativas em segundos vc
>> bloqueia o Ip de origem, eu vi alguma coisa parecida aqui no forum, nao me
>> lembro muito bem a ferramenta usada, se eu lembrar informo aqui a todos.
>> >
>> >
>> >
>> > Abraço
>> >
>> >
>> > Alexandre
>> > ----- Original Message -----
>> > From: Thiago Bruni Tawil
>> > To: asteriskbrasil em listas.asteriskbrasil.org
>> > Sent: Tuesday, April 19, 2011 7:59 AM
>> > Subject: Re: [AsteriskBrasil] Ajuda com brute force
>> >
>> >
>> > Cara, a melhor alternativa que eu encontrei ate hj é o fail2ban.... não
>> eh tão complicado de entender e funciona muito bem... abraços...
>> >
>> > Em 18/04/2011 19:34, "Renan Nóbrega" <renandesouz4 em gmail.com> escreveu:
>> > > Creio que a essa altura do campeonato o problema tenha sido resolvido.
>> Uma
>> > > boa opção momentânea é bloquear o IP invasor no firewall via iptables.
>> Taca
>> > > um DROP nele que para na hora.
>> > >
>> > > 2011/4/18 Wesley MAX WIFI TELECOM <xcyberlan em hotmail.com>
>> > >
>> > >> não percebi que tinha feito isso tem com apagar da lista não
>> > >>
>> > >> ------------------------------
>> > >> From: jmbq em bol.com.br
>> > >> Date: Mon, 18 Apr 2011 08:49:33 -0300
>> > >>
>> > >> To: asteriskbrasil em listas.asteriskbrasil.org
>> > >> Subject: Re: [AsteriskBrasil] Ajuda com brute force
>> > >>
>> > >>
>> > >> Como falado anteriormente, utilize o fail2ban.
>> > >> E mais uma dica, da próxima vez que postar o log não poste o IP do
>> > >> servidor.
>> > >>
>> > >> Boa sorte,
>> > >>
>> > >> João Marcelo
>> > >>
>> > >>
>> > >> Em 17/04/2011, Ã s 19:25, Wesley MAX WIFI TELECOM escreveu:
>> > >>
>> > >> Ajuda com brute force estão tentando logar. em conta sip em meu
>> servidor
>> > >> ate agora ele não deram conta, pois sempre ativo host = meu ip fixo
>> mais meu
>> > >> log já esta muito grande de tantas tentativas que eles estão fazendo
>> e quero
>> > >> bloquear eles será que tem alguma ferramenta para que eu possa
>> bloquear
>> > >> essas tentativa e deixar meu asterisk mais seguro
>> > >>
>> > >>
>> > >>
>> > >>
>> > >> Tentativas no LOG
>> > >>
>> > >>
>> > >>
>> > >>
>> > >> '"30" <sip:30 em 187.28.52.10>' failed for '112.107.3.152' - Peer is
>> not
>> > >> supposed to register
>> > >> [Apr 17 18:19:44] ERROR[3228] chan_sip.c: Peer '100' is trying to
>> register,
>> > >> but not configured as host=dynamic
>> > >> [Apr 17 18:19:44] NOTICE[3228] chan_sip.c: Registration from '"100" <
>> > >> sip:100 em 187.28.52.10>' failed for '65.111.166.219' - Peer is not
>> supposed
>> > >> to register
>> > >> [Apr 17 18:19:44] ERROR[3228] chan_sip.c: Peer '100' is trying to
>> register,
>> > >> but not configured as host=dynamic
>> > >> [Apr 17 18:19:44] NOTICE[3228] chan_sip.c: Registration from '"100" <
>> > >> sip:100 em 187.28.52.10>' failed for '65.111.166.219' - Peer is not
>> supposed
>> > >> to register
>> > >> [Apr 17 18:19:44] ERROR[3228] chan_sip.c: Peer '100' is trying to
>> register,
>> > >> but not configured as host=dynamic
>> > >> [Apr 17 18:19:44] NOTICE[3228] chan_sip.c: Registration from '"100" <
>> > >> sip:100 em 187.28.52.10>' failed for '65.111.166.219' - Peer is not
>> supposed
>> > >> to register
>> > >> [Apr 17 18:19:44] ERROR[3228] chan_sip.c: Peer '30' is trying to
>> register,
>> > >> but not configured as host=dynamic
>> > >> [Apr 17 18:19:44] NOTICE[3228] chan_sip.c: Registration from '"30" <
>> > >> sip:30 em 187.28.52.10>' failed for '112.107.3.152' - Peer is not
>> supposed to
>> > >> register
>> > >> [Apr 17 18:19:44] ERROR[3228] chan_sip.c: Peer '30' is trying
>> > >> _______________________________________________
>> > >> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
>> > >> - Hardware com alta disponibilidade de recursos e qualidade KHOMP
>> > >> - Suporte técnico local qualificado e gratuito
>> > >> Conheça a linha completa de produtos KHOMP em www.khomp.com.br
>> > >> _______________________________________________
>> > >> DIGIVOICE: Lider no mercado de placas para Asterisk
>> > >> Único fabricante com Centro de Treinamento especializado.
>> > >> LANÇAMENTO: Channel Bank TDMoE, até 64 canais FXS / FXO.
>> > >> www.digivoice.com.br ou (11)3016-5200.
>> > >> ________
>> > >> Lista de discussões AsteriskBrasil.org
>> > >> AsteriskBrasil em listas.asteriskbrasil.org
>> > >> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
>> > >> ______________________________________________
>> > >> Para remover seu email desta lista, basta enviar um email em branco
>> para
>> > >> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>> > >>
>> > >>
>> > >>
>> > >> _______________________________________________ KHOMP: qualidade em
>> placas
>> > >> de E1, GSM, FXS e FXO para Asterisk. - Hardware com alta
>> disponibilidade de
>> > >> recursos e qualidade KHOMP - Suporte t�cnico local qualificado e
>> gratuito
>> > >> Conhe�a a linha completa de produtos KHOMP em
>> www.khomp.com.br_______________________________________________DIGIVOICE: Lider no mercado
>> > >> de placas para Asterisk �nico fabricante com Centro de Treinamento
>> > >> especializado. LAN�AMENTO: Channel Bank TDMoE, at� 64 canais FXS /
>> FXO.
>> > >> www.digivoice.com.br ou (11)3016-5200. ________ Lista de discuss�es
>> > >> AsteriskBrasil.org AsteriskBrasil em listas.asteriskbrasil.org
>> > >>
>> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil______________________________________________Para remover seu email desta
>> > >> lista, basta enviar um email em branco para
>> > >> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>> > >>
>> > >> _______________________________________________
>> > >> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
>> > >> - Hardware com alta disponibilidade de recursos e qualidade KHOMP
>> > >> - Suporte técnico local qualificado e gratuito
>> > >> Conheça a linha completa de produtos KHOMP em www.khomp.com.br
>> > >> _______________________________________________
>> > >> DIGIVOICE: Lider no mercado de placas para Asterisk
>> > >> Único fabricante com Centro de Treinamento especializado.
>> > >> LANÇAMENTO: Channel Bank TDMoE, até 64 canais FXS / FXO.
>> > >> www.digivoice.com.br ou (11)3016-5200.
>> > >> ________
>> > >> Lista de discussões AsteriskBrasil.org
>> > >> AsteriskBrasil em listas.asteriskbrasil.org
>> > >> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
>> > >> ______________________________________________
>> > >> Para remover seu email desta lista, basta enviar um email em branco
>> para
>> > >> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>> > >>
>> > >
>> > >
>> > >
>> > > --
>> > > Renan Nóbrega
>> > > +55 83 88177548 , +55 83 81498995
>> >
>> >
>> >
>> >
>> >
>> ------------------------------------------------------------------------------
>> >
>> >
>> > _______________________________________________
>> > KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
>> > - Hardware com alta disponibilidade de recursos e qualidade KHOMP
>> > - Suporte técnico local qualificado e gratuito
>> > Conheça a linha completa de produtos KHOMP em www.khomp.com.br
>> > _______________________________________________
>> > DIGIVOICE: Lider no mercado de placas para Asterisk
>> > Único fabricante com Centro de Treinamento especializado.
>> > LANÇAMENTO: Channel Bank TDMoE, até 64 canais FXS / FXO.
>> > www.digivoice.com.br ou (11)3016-5200.
>> > ________
>> > Lista de discussões AsteriskBrasil.org
>> > AsteriskBrasil em listas.asteriskbrasil.org
>> > http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
>> > ______________________________________________
>> > Para remover seu email desta lista, basta enviar um email em branco para
>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>
>>
>> A informação contida nesta mensagem é confidencial e de propriedade da
>> Fidelity Processadora e Serviços S/A. Se você recebeu este e-mail por
>> engano, por favor: (i) apague a mensagem e todas as suas cópias e anexos;
>> (ii) não revele, distribua ou utilize a mensagem ou seu conteúdo de qualquer
>> maneira; e (iii) notifique o remetente imediatamente. Adicionalmente, por
>> favor esteja informado de que qualquer mensagem endereçada ao domínio da
>> Fidelity está sujeita ao arquivamento e leitura por outros membros da
>> companhia, além do próprio destinatário da mensagem. A Fidelity agradece a
>> sua colaboração.
>>
>> The information contained in this message is proprietary and/or
>> confidential. If you are not the intended recipient, please: (i) delete the
>> message and all copies; (ii) do not disclose, distribute or use the message
>> in any manner; and (iii) notify the sender immediately. In addition, please
>> be aware that any message addressed to our domain is subject to archiving
>> and review by persons other than the intended recipient. Thank you.
>>
>> _______________________________________________
>> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
>> - Hardware com alta disponibilidade de recursos e qualidade KHOMP
>> - Suporte técnico local qualificado e gratuito
>> Conheça a linha completa de produtos KHOMP em www.khomp.com.br
>> _______________________________________________
>> DIGIVOICE: Lider no mercado de placas para Asterisk
>> Único fabricante com Centro de Treinamento especializado.
>> LANÇAMENTO: Channel Bank TDMoE, até 64 canais FXS / FXO.
>> www.digivoice.com.br ou (11)3016-5200.
>> ________
>> Lista de discussões AsteriskBrasil.org
>> AsteriskBrasil em listas.asteriskbrasil.org
>> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
>> ______________________________________________
>> Para remover seu email desta lista, basta enviar um email em branco para
>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>
>
> _______________________________________________
> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
> - Hardware com alta disponibilidade de recursos e qualidade KHOMP
> - Suporte técnico local qualificado e gratuito
> Conheça a linha completa de produtos KHOMP em www.khomp.com.br
> _______________________________________________
> DIGIVOICE: Lider no mercado de placas para Asterisk
> Único fabricante com Centro de Treinamento especializado.
> LANÇAMENTO: Channel Bank TDMoE, até 64 canais FXS / FXO.
> www.digivoice.com.br ou (11)3016-5200.
> ________
> Lista de discussões AsteriskBrasil.org
> AsteriskBrasil em listas.asteriskbrasil.org
> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
> ______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
>
>
> _______________________________________________
> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
> - Hardware com alta disponibilidade de recursos e qualidade KHOMP
> - Suporte técnico local qualificado e gratuito
> Conheça a linha completa de produtos KHOMP em www.khomp.com.br
> _______________________________________________
> DIGIVOICE: Lider no mercado de placas para Asterisk
> Único fabricante com Centro de Treinamento especializado.
> LANÇAMENTO: Channel Bank TDMoE, até 64 canais FXS / FXO.
> www.digivoice.com.br ou (11)3016-5200.
> ________
> Lista de discussões AsteriskBrasil.org
> AsteriskBrasil em listas.asteriskbrasil.org
> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
> ______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>



-- 
Att.,

Leandro Alves
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20110530/01c58bb6/attachment-0001.htm