[AsteriskBrasil] AJUDA INVASÂO

Caio Pato caiopato em gmail.com
Segunda Julho 15 11:01:13 BRT 2013 

On Sun, Jul 14, 2013 at 10:47 PM, asteriskdebian asterisk
<asteriskdebian2013 em gmail.com> wrote:
> uso FAIL2BAN como firewall!!

fail2ban não está mais sendo "eficiente" porque esses pulhas estão
fazendo um "slow scan" (na realidade, "slow attempt") nas redes,.
Antigamente eles despejavam 120 chamadas por vez. Testavam todos os
códigos possíveis (0021, 0015, 0031, 00031, 90031, 900031...) de uma
vez só. Agora, já mais "espertos", eles fazem apenas CINCO tentativas
por HORA, quando não fazem apenas quatro por hora, ao longo das 24
horas do dia. Eles tem todo o tempo da vida, porque quando conseguirem
descobrir um buraco no seu dialplan, vão entupir de chamadas para
países árabes e da África.

Assim, não dá mais para confiar APENAS no fail2ban - é um método
ultrapassado de proteção.

Não sei qual é a sua utilização do servidor (provedor? usuário?
corporativo?) mas a dica básica é: NÃO DEIXE FUROS no seu dialplan.

A ligação teste é *SEMPRE* feita para alguns telefones: um celular em
Tel Aviv (Israel) ou um telefone virtual em Londres (Inglaterra).

NÃO ADIANTA FICAR BLOQUEANDO IP POR IP. Eles mudam de ip a cada dia -
geralmente usando máquinas VPS, cujo IP não é dele MUITO menos do
servidor que efetivamente enviará as chamadas. Aqui (por ser
corporativo hospedado em datacenter) eu decidi bloquear geralmente o
/8 do IP de origem. Resolve, mas eles sempre acham algum outro bloco
livre.

Assim, resta apenas a solução de TER CERTEZA QUE NÃO TEM BURACOS no
dialplan e... monitorar a rede.

Procure uma mensagem aqui na lista com o mesmo problema há alguns
meses. Um colega da lista foi "invadido" por esses pulhas e quem
detectou foi a área de segurança da empresa de telefonia - mas só no
dia seguinte da invasão... Ai o estrago já era grande demais.


Conclusão:
1) NÃO ADIANTA BLOQUEAR IP POR IP - perda de tempo. Ou você bloqueia
logo o bloco (/16 ou /8) ou relaxa...
2) Veja seu dialplan: não permita códigos mágicos, nem cadeados a
partir da rede externa;
3) Olhe seu log com frequência - procure por chamadas para um celular
em Israel (9725) ou Palestina (970);
4) Crie um script para enviar todas as madrugadas o logo de todas as
chamadas. Vai ajudar a achar eventuais tentativas de invasão - mesmo
que tardias, mas ajuda.

Mais detalhes sobre a lista de discussão AsteriskBrasil