[AsteriskBrasil] Números (Number) IPs - ATTACKS BRUTE-FORCING -

[Sylvio Jollenbeck]

Olá, Pessoal.

   Existem algumas possibilidades de falha no Fail2Ban!
   O Fail2Ban é incapaz de bloquear ataques de grande escala e pode levar o
servidor ao travamento. Para entender como isso é possível, primeiro é
necessário entender como o Fail2Ban funciona, então vamos lá.

   O funcionamento do Fail2Ban é bem simples, seu algoritmo lê os arquivos
de LOG que são gerados pelas diversas aplicações, após a leitura e
contabilização dos erros faz ou não o bloqueio do "invasor" através do
"iptables". Bingo!!!

   Um ataque em massa e de larga escala gera volumes infernais de logs no
servidor, a combinação de ataques a diferentes serviços faz com que o
Fail2Ban congele o servidor durante a execução dos seus algoritmos. Desta
forma, permite ao "invasor" mais tempo para encontrar vulnerabilidades  e
consequentemente sua entrada.

   Bom, diante dessa situação o Fail2Ban é insuficiente para deter um
ataque. Segue algumas recomendações:

1. Serviços Sistemicos:
Desinstalar todos os serviços, aplicações, softwares, sistemas, etc, que
não for útil para o funcionamento do seu PBX;

2. Serviços Banners:
Para os serviços ativos, troque o banner da aplicação, a finalidade é
evitar que o invasor saiba qual é o sistema e principalmente a sua versão.
Desta forma, diminuirá as chances de ataque por exploit.

3. Serviços Portas de Acesso:
Novamente, para os serviços ativos, troque as portas de acesso. As
principais invasões ocorrem, normalmente, pelos caminhos mais obvios, AMI,
MySQL, Apache, PHP, SIP e por ai vai....

4. SIP - Senhas:
É comum configurar a senha da mesma forma que esta configurado o default
user, username, name...... fica muito fácil...! Não cometam esse erro
quando se expõe o servidor à internet. Use senhas fortes, senhas
criptografadas, não tenham medo!

5. SIP (Permit/Deny):
Outro erro bastante comum é criação de ramais com a combinação (
type=friend, host=dynamic ), não sou contra essa combinação desde que haja
a utilização dos paramentos deny = 0.0.0.0/0.0.0.0 e permit =
192.168.0.0/255.255.255.0 (meramente exemplo). Este recurso é execelente
para delimitar o registro do ramal sem limitar seu acesso por qualquer host
da rede interna.

6. Dialplan (Contextos):
Restringir uma extensão SIP a um contexto também diminue a chance de
sucesso do invasor, mas para os invasores expert isso não é um impede nada,
existem formas de fazer bypass nos contextos..... Mas vale a pena colocar
cada macaco em seu galho, ou seja, cada ramal deve ser alocado em contextos
restritivos, qto menos liberdade para o ramal mais seguro seu ambiente
esta. Não permita chamadas internacionais, não permita que ramais tenha
acesso irrestrito a qualquer plano de númeração....

7. Firewall
Ativem seus firewalls, bloqueiem tudo sem medo e sem dó..... Deixe o
Fail2Ban trabalhar apenas na exceção........

8. Fail2Ban
Deve trabalhar levemente e sem causar danos ao sistema, para isso, ele deve
ser bem configurado, bem stressado, bem homologado e principalmente
trabalhar apenas nas exceções.

Bom, existem inumeras dicas e howto de como proteger seus servidores, o
recado aqui é que se deixar tudo por conta do Fail2Ban vocês, com certeza,
terão surpresas...

Abs,






Em 9 de abril de 2013 20:39, A.B.Delphini (Dell)â„¢
<angelo em delphini.com.br>escreveu:

> Desconheço... Antes de responder realizei uma pesquisa... Os especialistas
> relatam que as verdadeira falhas é o Fail2Ban mal administrado...
>
> Sorry!!
>
> Att.
>
> --
> Angelo Delphini | Asterisk Libre | Telecommunications Analyst Senior
> Telf: 55 (21) 4062 7539 | Móvel: 55 (21) 9541 4757 | www.asterisklibre.org
> E-mail: angelo em delphini.com.br | Gtalk: angelo em delphini.com.br
> Linux User #472499 | Ubuntu User #22452 | ICQ User #861197719
>    _
>   °v°         CentOS
>  /(_)\  http://centosbr.org/
>   ^ ^
>  Seja livre, use GNU/Linux!
>  --------------------------
>  Open Source \o/\o/ - Milhares de mentes abertas não podem estar enganadas!
> **
> *
>
> Pense bem antes de imprimir
>  Você esta preservando a natureza, as árvores agradecem!
>  *
>
> “A Vontade de Deus nunca irá levá-lo aonde a Graça dEle não possa protegê-lo"
>
>  *************** ATENÇÃO ***************
>
> Ao re-encaminhar esta mensagem, por favor:
>
> 1. Apague o meu e-mail e o meu nome.
>
> 2. Apague também os endereços dos amigos antes de reenviar.
>
> 3. Encaminhe como cópia oculta (Cco ou Bcc) aos SEUS destinatários.
>
> Agindo sempre assim dificultaremos a disseminação de vírus, spams e
> banners, e quem não quiser receber tantos e-mals avise-me não quero ser
> inconveniente.
>
> Muito Obrigado
> Suporte Delphini Systemâ„¢
>
>
>
>
> Em 9 de abril de 2013 10:33, Hudson Cardoso <hudsoncardoso em hotmail.com>escreveu:
>
>>    Olá Del...
>>    Existe alguma brecha de segurança no fail2ban ? voce conhece ?
>>
>>
>> Hudson
>> (048) 8413-7000
>> Para quem nao cre, nenhuma prova converte,Para aquele que cre, nenhuma prova precisa.
>>
>>
>>
>> ------------------------------
>> Date: Tue, 9 Apr 2013 10:24:10 -0300
>> From: adelphini em camtecnologia.com.br
>> To: asterisk-users-request em lists.digium.com;
>> asteriskbrasil em listas.asteriskbrasil.org
>> Subject: [AsteriskBrasil] Números (Number) IPs - ATTACKS BRUTE-FORCING -
>>
>>
>>
>> http://portal.rnp.br/web/servicos/forum/-/message_boards/message/999045;jsessionid=EA644523529370972789025ABAF734F7.inst2
>>
>> Esta disponível no link acima uma black list de IPs que realizam ataques
>> de força bruta.
>>
>> This is available on the above link a blacklist of IPs that perform brute
>> force attacks.
>>
>> Att.
>> =======================================
>> Angelo Delphini
>> Telecommunications Analyst
>> "Desempenho e Segurança através de Soluções em Dados, Voz e Vídeo"
>> E-mail: adelphini em camtecnologia.com.br
>> Gtalk: adelphini em camtecnologia.com.br
>> Skype: angelo.delphini
>> T: 55 21 2260-0324
>> T: 55 11 4063-0986
>> T: 55 21 9541-4757
>> Telefone VoIP: 55 21 1701-3000
>> CAM Tecnologia Ltda
>> www.camtecnologia.com.br
>>
>> *PT-BR: AVISO! A informação transmitida nesta mensagem é dedicada
>> somente para o uso da pessoa endereçada e pode conter material confidencial
>> e/ou privilegiado. Qualquer revisão, retransmissão, disseminação ou outro
>> uso, ou a tomada de qualquer ação baseada nessas informações por pessoas
>> não autorizadas é estritamente proibida. Se você recebeu esta mensagem por
>> engano, por favor informe o remetente e imediatamente destrua todo o
>> material e suas cópias. Obrigado.*
>>
>> *
>> *
>>
>> EN-US: WARNING! The information transmitted is intended only for use by
>> the addressee and may contain confidential and/or privileged material. Any
>> review, re-transmission, dissemination or other use of it, or the taking of
>> any action in reliance upon this information by persons and/or entities
>> other than the intended recipient is prohibited. If you received this in
>> error, please inform the sender and/or addressee immediately and delete the
>> material.*Thank you.*
>>
>> _______________________________________________ KHOMP: completa linha de
>> placas externas FXO, FXS, GSM e E1; Media Gateways de 1 a 64 E1s para SIP
>> com R2, ISDN e SS7; Intercomunicadores para acesso remoto via rede IP.
>> Conhe�a em www.Khomp.com.
>> _______________________________________________ DIGIVOICE Fabricante de
>> Placas de Voz e Channel Bank 20 anos de experi�ncia com E1(R2/ISDN), FXS,
>> FXO e GSM Centro Treinamento - Curso de PABX IP - Asterisk - Site
>> www.digivoice.com.br _______________________________________________
>> ALIGERA � Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Channel Bank �
>> Appliance Asterisk - Acesse www.aligera.com.br.
>> _______________________________________________ Para remover seu email
>> desta lista, basta enviar um email em branco para
>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>
>> _______________________________________________
>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>> Intercomunicadores para acesso remoto via rede IP. Conheça em
>> www.Khomp.com.
>>
>> _______________________________________________
>> DIGIVOICE  Fabricante de Placas de Voz e Channel Bank
>> 20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM
>>
>> Centro Treinamento - Curso de PABX IP -  Asterisk  - Site
>> www.digivoice.com.br
>> _______________________________________________
>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
>> _______________________________________________
>> Para remover seu email desta lista, basta enviar um email em branco para
>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>
>
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em
> www.Khomp.com.
> _______________________________________________
> DIGIVOICE  Fabricante de Placas de Voz e Channel Bank
> 20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM
> Centro Treinamento - Curso de PABX IP -  Asterisk  - Site
> www.digivoice.com.br
> _______________________________________________
> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>



-- 
Sylvio Jollenbeck
www.hosannatecnologia.com.br
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20130409/94edee98/attachment-0001.htm