[AsteriskBrasil] Ligações internacionais indevidas

Roger Pitigliani rogerwinter em gmail.com
Quarta Janeiro 9 14:01:42 BRST 2013 

Agregando ao que os colegas já falaram, se você utiliza interface Web para
configuração e deixou aberta com senha fraca ou padrão,
o individuo pode entrar tranquilamente e ver/alterar senha e usar ramais
sem acessar seu linux.
No Elastix, por exemplo, tinham vulnerabilidades até a versão 1.6.
O ideal é fechar as portas web, 80 e 443 defaults e utilizar senhas fortes.

Se for o caso, de uma olhada nos logs do apache em "/var/log/httpd/".

Abraço.

Em 9 de janeiro de 2013 13:19, Caio Pato <caiopato em gmail.com> escreveu:

> 2013/1/9 Airton Antunes - Brasil Sul Informática <
> airton em brasilsulinfo.com.br>:
> > Temos um E1 da GVT conectado a central Asterisk. O serviço de proteção e
> > segurança da GVT entrou em contato com a empresa informando de várias
> > ligações internacionais realizadas nesta madrugada.
>
> Ferrou... :-(
> Se vocês não fazem ligações internacionais, não há a possibilidade de
> pedir o bloqueio na GVT?
>
> > Verifiquei os LOG e arquivos de Gravações e realmente aconteceram
> ligações
> > internacionais.
>
> Você pode passar os telefones chamados? Quais países? Aqui sou sempre
> vítima de chamadas para a faixa de Gaza, Sudão e Inglaterra.
>
> > Minha pergunta, é possível invadirem o Asterisk sem acessar o Linux?
>
> Das duas uma:
> 1) Senha fraca em algum ramal;
> 2) Algum contexto vazando autorização.
>
> Há um GRANDE fluxo de chamadas com origem e destino internacional. Na
> última reunião do GTS (Grupo de Trabalho em Segurança de Redes, do
> CGI.Br), a equipe do CERT.br apresentou o trabalho "Anatomia de
> ataques a servidores SIP". Um trabalho muito bem feito pelo Klaus
> Steding-Jessen e Joao Ceron. Demonstrou com dados verdadeiros o modus
> operandi das quadrilhas internacionais que sequestram servidores SIP
> para trafegar ilegalmente as chamadas.
>
> Meu último ataque identificado foi de um IP no Sudão (41.95.107.83 -
> ZAIN-SD INTERNET POOL), com chamada-teste para um celular também no
> Sudão (00-249-126170176). Nem perdi meu tempo reclamando...
>
> Minha observação mostra que as chamadas são feitas com ip spoofing
> para um número de teste, quando o ladrão confirmará que o seu servidor
> é "abertão". O motivo do spoof é evitar que você descubra (facilmente)
> a origem da chamada..
>
> Recomendações:
> 1) SENHAS FORTES ou usar um username diferente do ramal (username
> hexadecimal, por exemplo);
> 2) Criar um contexto "pega trouxa". Não sei qual a versão do seu
> asterisk, mas existe a possibilidade de criar um contexto "default"
> para qualquer usuário não autenticado fazer as chamadas. Só que...
> todas as chamadas são rejeitadas. Você deixa a chamada ser feita mas
> não roteada (um ring falso, um wait... enrola, loga e derruba);
> 3) Se possível, bloquear todo e qualquer IP não reconhecido - eu estou
> bloqueando toda a África (exceto África do Sul), todo o oriente médio
> e oeste da Ásia. Sem contar que bloqueio também provedores de VPS.
> Depois de sofrer centenas de ataques por dia, hoje eu estou
> tranquilo... :D
>
> Existe um serviço COMERCIAL (e pago) que oferece regras dinâmicas para
> seu roteador/firewall/IPS/IDS (Cisco, Juniper, Netscreen, CheckPoint,
> Vyatta). Hoje a lista específica para VoIP conta com 887 IPs únicos
> bloqueados. É pouco... mas é um começo.
>
> Não sei o tamanho da sua estrutura mas é coisa para se pensar. E, SE
> NÃO TIVER CLIENTES NO EXTERIOR, bloqueio de IPs de blocos fora do
> Brasil resolve 99% do seu problema de tráfego indevido.
>
> Caio
> _______________________________________________
> EBS MODULAR: 3 slots para combinação entre E1, GSM, FXS ou FXO;
> Linha de PORTEIROS IP, abrem até 2 dispositivos com acesso IP remoto;
> Conheça esses e outros LANÇAMENTOS KHOMP em www.Khomp.com
> _______________________________________________
> DIGIVOICE  Fabricante de Placas de Voz e Channel Bank
> 20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM
> Centro Treinamento - Curso de PABX IP -  Asterisk  - Site
> www.digivoice.com.br
> _______________________________________________
> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>



-- 
--
Roger Pitigliani
rogerwinter em gmail.com
Skype: roger.pitigliani
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20130109/5fc7bf80/attachment.htm

Mais detalhes sobre a lista de discussão AsteriskBrasil