[AsteriskBrasil] AJUDA INVASÂO
Rogger Faioli
rogger.faioli em gmail.com
Sexta Agosto 23 12:47:48 BRT 2013
Amigos,
O Post está muito grande e não li tudo. rs
Além do que foi sugerido inclua as ACLs do próprio asterisk e libere
somente os IPs ou range que realmente são conhecidos e autorizados isso vai
por um fim no seu problema e poderá dormir tranquilo.
deny=0.0.0.0/0.0.0.0
permit=ip autorizado ou range
contactdeny=0.0.0.0/0.0.0.0
contactpermit=ip autorizado ou range
Rogger
Em 23 de agosto de 2013 12:01, Patrick El Youssef
<wushumasters em gmail.com>escreveu:
> Apenas para informar o pessoal
>
> A Telefonia começou a usar essa faixa de ip (não sei se tem outra em uso)
>
> 179.99.0.0
>
> Mike com os arquivos relacionados abaixo esta baixa não esta presente e
> caso alguem tenha mais alguma informação e queira compartilhar
>
> Valeu
>
> Em 15-07-2013 15:59, Patrick El Youssef escreveu:
>
> Entendi.
>
> Vou dar uma estudada
>
> Valeu Mike
>
> Em 15-07-2013 15:47, Mike Tesliuk escreveu:
>
> sim, voce nao libera por exemplo faixas que sao da puc e da petrobras, nao
> que voce tenha negocios com eles neste ambiente, mas de qualquer forma,
> esta incompleto, mas enfim, possivel usar é, mas como eu disse, voce esta
> sumarizando os prefixos, eles possuem alocações diferentes, outra diferença
> entre você fazer pela lacnic ou por esta forma ai, é que voce pode
> monitorar os bytes que voce recebe, e automaticamente voce sabe que uma
> determinada faixa pertence a um AS e pode informar para o ABUSE
> responsavel, pois você tem exatamente a faixa alocado.
>
>
> Uma coisa é você fazer algo que funciona, outra coisa é você fazer algo
> pra funcionar da melhor maneira, nos dois casos funcionam, só muda a
> elegancia da solução.
>
>
> Existem outras formas de fazer isso por geo ip também, inclusive existe um
> modulo de geoip pro iptables
>
>
>
> Em 15/07/13 13:47, Patrick El Youssef escreveu:
>
> Entendi Mike,
>
> Estou dizendo isso pois percebi que a range de ips é enorme e muitos pela
> minha experiencia não cheguei a ver em uso (porém não sou expert nisso)
>
> Segue a lista que estou usando (como disse peguei do firewall do Silvio e
> ainda estou testando)
>
> 177.0.0.0/255.224.0.0
> 177.32.0.0/255.224.0.0
> 177.64.0.0/255.224.0.0
> 177.96.0.0/255.224.0.0
> 177.128.0.0/255.224.0.0
> 177.160.0.0/255.224.0.0
> 177.192.0.0/255.224.0.0
> 179.160.0.0/255.224.0.0
> 179.192.0.0/255.224.0.0
> 179.224.0.0/255.224.0.0
> 186.192.0.0/255.224.0.0
> 186.224.0.0/255.224.0.0
> 187.0.0.0/255.224.0.0
> 187.32.0.0/255.224.0.0
> 187.64.0.0/255.224.0.0
> 187.96.0.0/255.224.0.0
> 189.0.0.0/255.224.0.0
> 189.32.0.0/255.224.0.0
> 189.64.0.0/255.224.0.0
> 189.96.0.0/255.224.0.0
> 200.17.0.0/255.255.0.0
> 200.18.0.0/255.254.0.0
> 200.20.0.0/255.255.0.0
> 200.96.0.0/255.248.0.0
> 200.128.0.0/255.128.0.0
> 201.0.0.0/255.240.0.0
> 201.16.0.0/255.240.0.0
> 201.32.0.0/255.240.0.0
> 201.48.0.0/255.240.0.0
> 201.64.0.0/255.224.0.0
>
> Obrigado
>
> Em 15-07-2013 14:16, Mike Tesliuk escreveu:
>
> você poderia nos mostrar quais foram os blocos que você utilizou ? ai eu
> te digo se há ou não problema com sua regra , a questao é que você pode ter
> blocos no meio.
>
> Como exemplo, voce tem a faixa de ip 177 e 179 que sao BR (nao completas),
> e a faixa 178 que é usada na alemanha, e talvez algum outro lugar mais (nao
> verifiquei onde mais)
>
>
>
> Em 15/07/13 12:31, Patrick EL Youssef escreveu:
>
> Desculpe Mike,
>
> Mas não entendi qual o problema da lista menor até porque eu liberarei
> apenas estes ips bloqueando todo o resto
>
> Patrick
>
> Em 15-07-2013 13:26, Mike Tesliuk escreveu:
>
> Desculpe companheiro, mas sumarizar nao é a solução, esta é a lista
> oficial dos IPs, se você quer ter uma regra correta voce deve usar algo
> deste formato, e vai por mim, isso nao muda com tanta frequencia assim.
>
> O tempo que você diz que demora é o tempo pra montar a lista, mas voce nao
> precisa carregar isso cada vez que voce faz um reload no firewall, voce
> monta um arquivo e le o arquivo junto com seu firewall
>
> Em 15/07/13 11:19, Patrick EL Youssef escreveu:
>
> Eu fiz uns testes já com essa porem só pra carregar o firewall leva um bom
> tempo
>
> Um colega ai da lista o SIlvio Garbes postou um firewall com uma lista de
> ips do Brasil bem menor
>
> Estarei tentando ela para ver
>
> Obrigado Mike
> Em 15-07-2013 12:01, Mike Tesliuk escreveu:
>
>
> Este script pega a lista e gera um arquivo (ou ruleset do iptables) para
> você, ele baixa a lista da lacnic cada vez que executa, entao se houver
> alguma modificação voce atualiza
>
> Ex de uso: sh nome_do_script BR
>
> Ele vai perguntar a area, voce responde america latina, e o tipo que voce
> quer, se é a lista ou o ruleset
>
> , ele ta com um erro na expressao regular que ele nao ta deixando apenas o
> bloco, mas ai voce limpa facil com sed ou cut, se alguem quiser corrigir
> (nao to com tempo neste momento) manda a correção pra lista.
>
> PS: não sei quem é o autor, peguei uma vez na internet isso ai
>
> #!/bin/bash
>
> REV="$Revision: 4 $"
> VERSION="0.1"
> RELEASE=`echo ${REV} | awk '{ print $2}'`
>
> # Arg. check
> if [ "${1}" = "" ]; then
> echo `basename ${0}`," v.${VERSION}.${RELEASE}"
> echo "Usage Error: missing arguments"
> echo ""
> echo " Usage: ${0} <country code>"
> echo " Country codes available at http://www.maxmind.com/app/iso3166"
> echo ""
> exit
> else
> # too lazy to work on a script that will download from the right server
> regarding what has been passed at the prompt :p
> # http://en.wikipedia.org/wiki/RIPE_Network_Coordination_Centre
> echo "The country specified belongs to :"
> echo "1. Africa"
> echo "2. Asia/Pacific"
> echo "3. America"
> echo "4. Latin America/Caribbean"
> echo "5. Europe"
> echo ""
> echo -n "Your zone : "
> read ZONE
>
> echo ""
> echo "What kind of list do you want to generate ?"
> echo "1. A list of blocks : simple list, 1 block per line"
> echo "2. Iptables rulesets : you can set what comes before and after the
> blocks"
> echo ""
> echo -n "Please make your choice [1/2] : "
>
> read LISTRULE
>
> if [ "${LISTRULE}" = "2" ]; then
> echo "Please specify the prefix rule (e.g. : iptables -A INPUT -s)"
> read PRERULE
> echo "Specify the postfix rule (e.g. : -j DROP)"
> read POSTRULE
> fi
>
> # Afrinic (afrinic.net) :
> ftp://ftp.apnic.net/public/stats/afrinic/delegated-afrinic-latest
> # Apnic (apnic.net) :
> ftp://ftp.apnic.net/public/stats/apnic/assigned-apnic-latest
> # Arin (arin.net) :
> ftp://ftp.apnic.net/public/stats/arin/delegated-arin-latest
> # Lacnic (lacnic.net) :
> ftp://ftp.apnic.net/public/stats/lacnic/delegated-lacnic-latest
> # Ripe (ripe.net) :
> ftp://ftp.apnic.net/public/stats/ripe-ncc/delegated-ripencc-latest
>
> LINK="ftp://ftp.apnic.net/public/stats/"<ftp://ftp.apnic.net/public/stats/>
>
> if [ "${ZONE}" = "1" ]; then
> FILE="afrinic/delegated-afrinic-latest"
> elif [ "${ZONE}" = "2" ]; then
> FILE="apnic/assigned-apnic-latest"
> elif [ "${ZONE}" = "3" ]; then
> FILE="arin/delegated-arin-latest"
> elif [ "${ZONE}" = "4" ]; then
> FILE="lacnic/delegated-lacnic-latest"
> elif [ "${ZONE}" = "5" ]; then
> FILE="ripe-ncc/delegated-ripencc-latest"
> fi
>
> TMP="/tmp"
> COUNTRY=${1}
> OUT="${TMP}/blocks-${COUNTRY}"
>
> cd ${TMP}
> echo ""
> echo "Download :"
> /usr/bin/wget -v --progress=bar ${LINK}/${FILE} -O ${TMP}/db_${COUNTRY}
> echo ""
> rm -f ${OUT}
>
> for country in ${COUNTRY}
> do
> IPS=`cat ${TMP}/db_${COUNTRY} | grep "${country}" | egrep
> '[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}' | sed -re
> "s/(ripencc\||${country}|\|ipv(4|6)\||\|allocated|\|assigned|\|(199|200)[0-9]{5})//g;s/\|128/\/25/;s/\|256/\/24/;s/\|512/\/23/;s/\|1024/\/22/;s/\|2048/\/21/;s/\|4096/\/20/;s/\|8192/\/19/;s/\|16384/\/18/;s/\|32768/\/17/;s/\|65536/\/16/;s/\|131072/\/15/;s/\|262144/\/14/;s/\|524288/\/13/;s/\|1048576/\/12/;s/\|2097152/\/11/;s/\|4194304/\/10/;s/\|8388608/\/9/;s/\|16777216/\/8/"`
>
>
> for ips in ${IPS}
> do
> if [ "${LISTRULE}" = "2" ]; then
> echo "${PRERULE} ${ips} ${POSTRULE}" >> ${OUT}
> else
> echo "${ips}" >> ${OUT}
> fi
> done
> done
>
> echo "Block list saved as ${OUT}"
> echo ""
>
> rm -f ${FILE}
>
> fi
>
>
>
>
>
>
>
>
> Em 15/07/13 10:55, Mike Tesliuk escreveu:
>
> Aqui tem um exemplo pra bloquear um pais, é só inverter a logica e voce
> tem a liberação do pais e bloqueio do resto
>
> http://www.cyberciti.biz/faq/block-entier-country-using-iptables/
>
>
>
>
> Em 15/07/13 10:20, Patrick EL Youssef escreveu:
>
> Caio
>
> Pode postar a regra do firewall que usa pra bloquear esses ips?
>
> Valeu
>
> Em 15-07-2013 11:01, Caio Pato escreveu:
>
> On Sun, Jul 14, 2013 at 10:47 PM, asteriskdebian asterisk
> <asteriskdebian2013 em gmail.com> <asteriskdebian2013 em gmail.com> wrote:
>
> uso FAIL2BAN como firewall!!
>
> fail2ban não está mais sendo "eficiente" porque esses pulhas estão
> fazendo um "slow scan" (na realidade, "slow attempt") nas redes,.
> Antigamente eles despejavam 120 chamadas por vez. Testavam todos os
> códigos possíveis (0021, 0015, 0031, 00031, 90031, 900031...) de uma
> vez só. Agora, já mais "espertos", eles fazem apenas CINCO tentativas
> por HORA, quando não fazem apenas quatro por hora, ao longo das 24
> horas do dia. Eles tem todo o tempo da vida, porque quando conseguirem
> descobrir um buraco no seu dialplan, vão entupir de chamadas para
> países árabes e da África.
>
> Assim, não dá mais para confiar APENAS no fail2ban - é um método
> ultrapassado de proteção.
>
> Não sei qual é a sua utilização do servidor (provedor? usuário?
> corporativo?) mas a dica básica é: NÃO DEIXE FUROS no seu dialplan.
>
> A ligação teste é *SEMPRE* feita para alguns telefones: um celular em
> Tel Aviv (Israel) ou um telefone virtual em Londres (Inglaterra).
>
> NÃO ADIANTA FICAR BLOQUEANDO IP POR IP. Eles mudam de ip a cada dia -
> geralmente usando máquinas VPS, cujo IP não é dele MUITO menos do
> servidor que efetivamente enviará as chamadas. Aqui (por ser
> corporativo hospedado em datacenter) eu decidi bloquear geralmente o
> /8 do IP de origem. Resolve, mas eles sempre acham algum outro bloco
> livre.
>
> Assim, resta apenas a solução de TER CERTEZA QUE NÃO TEM BURACOS no
> dialplan e... monitorar a rede.
>
> Procure uma mensagem aqui na lista com o mesmo problema há alguns
> meses. Um colega da lista foi "invadido" por esses pulhas e quem
> detectou foi a área de segurança da empresa de telefonia - mas só no
> dia seguinte da invasão... Ai o estrago já era grande demais.
>
>
> Conclusão:
> 1) NÃO ADIANTA BLOQUEAR IP POR IP - perda de tempo. Ou você bloqueia
> logo o bloco (/16 ou /8) ou relaxa...
> 2) Veja seu dialplan: não permita códigos mágicos, nem cadeados a
> partir da rede externa;
> 3) Olhe seu log com frequência - procure por chamadas para um celular
> em Israel (9725) ou Palestina (970);
> 4) Crie um script para enviar todas as madrugadas o logo de todas as
> chamadas. Vai ajudar a achar eventuais tentativas de invasão - mesmo
> que tardias, mas ajuda.
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em
> www.Khomp.com.
> _______________________________________________
> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
>
>
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com.
> _______________________________________________
> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
>
>
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com.
> _______________________________________________
> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
>
>
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com.
> _______________________________________________
> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
>
>
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com.
> _______________________________________________
> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
>
>
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com.
> _______________________________________________
> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
>
>
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com.
> _______________________________________________
> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
>
>
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com.
> _______________________________________________
> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
>
>
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com.
> _______________________________________________
> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
>
>
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com.
> _______________________________________________
> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
>
>
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em
> www.Khomp.com.
> _______________________________________________
> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20130823/43e6bb53/attachment-0001.htm
Mais detalhes sobre a lista de discussão AsteriskBrasil