[AsteriskBrasil] Ligações internacionais indevidas

Caio Pato caiopato em gmail.com
Quarta Janeiro 9 13:19:26 BRST 2013 

2013/1/9 Airton Antunes - Brasil Sul Informática <airton em brasilsulinfo.com.br>:
> Temos um E1 da GVT conectado a central Asterisk. O serviço de proteção e
> segurança da GVT entrou em contato com a empresa informando de várias
> ligações internacionais realizadas nesta madrugada.

Ferrou... :-(
Se vocês não fazem ligações internacionais, não há a possibilidade de
pedir o bloqueio na GVT?

> Verifiquei os LOG e arquivos de Gravações e realmente aconteceram ligações
> internacionais.

Você pode passar os telefones chamados? Quais países? Aqui sou sempre
vítima de chamadas para a faixa de Gaza, Sudão e Inglaterra.

> Minha pergunta, é possível invadirem o Asterisk sem acessar o Linux?

Das duas uma:
1) Senha fraca em algum ramal;
2) Algum contexto vazando autorização.

Há um GRANDE fluxo de chamadas com origem e destino internacional. Na
última reunião do GTS (Grupo de Trabalho em Segurança de Redes, do
CGI.Br), a equipe do CERT.br apresentou o trabalho "Anatomia de
ataques a servidores SIP". Um trabalho muito bem feito pelo Klaus
Steding-Jessen e Joao Ceron. Demonstrou com dados verdadeiros o modus
operandi das quadrilhas internacionais que sequestram servidores SIP
para trafegar ilegalmente as chamadas.

Meu último ataque identificado foi de um IP no Sudão (41.95.107.83 -
ZAIN-SD INTERNET POOL), com chamada-teste para um celular também no
Sudão (00-249-126170176). Nem perdi meu tempo reclamando...

Minha observação mostra que as chamadas são feitas com ip spoofing
para um número de teste, quando o ladrão confirmará que o seu servidor
é "abertão". O motivo do spoof é evitar que você descubra (facilmente)
a origem da chamada..

Recomendações:
1) SENHAS FORTES ou usar um username diferente do ramal (username
hexadecimal, por exemplo);
2) Criar um contexto "pega trouxa". Não sei qual a versão do seu
asterisk, mas existe a possibilidade de criar um contexto "default"
para qualquer usuário não autenticado fazer as chamadas. Só que...
todas as chamadas são rejeitadas. Você deixa a chamada ser feita mas
não roteada (um ring falso, um wait... enrola, loga e derruba);
3) Se possível, bloquear todo e qualquer IP não reconhecido - eu estou
bloqueando toda a África (exceto África do Sul), todo o oriente médio
e oeste da Ásia. Sem contar que bloqueio também provedores de VPS.
Depois de sofrer centenas de ataques por dia, hoje eu estou
tranquilo... :D

Existe um serviço COMERCIAL (e pago) que oferece regras dinâmicas para
seu roteador/firewall/IPS/IDS (Cisco, Juniper, Netscreen, CheckPoint,
Vyatta). Hoje a lista específica para VoIP conta com 887 IPs únicos
bloqueados. É pouco... mas é um começo.

Não sei o tamanho da sua estrutura mas é coisa para se pensar. E, SE
NÃO TIVER CLIENTES NO EXTERIOR, bloqueio de IPs de blocos fora do
Brasil resolve 99% do seu problema de tráfego indevido.

Caio

Mais detalhes sobre a lista de discussão AsteriskBrasil