[AsteriskBrasil] RES: AJUDA INVASÂO

Rafael Tavares | Ibinetwork Info Rafael Tavares | Ibinetwork Info
Segunda Julho 15 11:20:05 BRT 2013


Outra opção gente que acho que ajuda bastante, libera apenas a faixa de IP Brasileiro, já vai diminuir 95% das tentativas de invasão, pq mesmo sendo brasileiro tentando invadir acaba usando VPS baratos que tem no exterior, e não vão conseguir acesso nenhum vindo de fora.

Se pesquisar na lista tem um script pronto para fazer, se eu achar posto na lista...

Atenciosamente,

Rafael Tavares
Ibinetwork Informática
I +55 (11) 3042-1234
( +55 (11) 99236-0037
+ rafael em ibinetwork.com.br
r  www.ibinetwork.com.br

  
 Tecnologia da Informação | Infraestrutura | Telefonia IP

  ** Antes de imprimir, pense em sua responsabilidade e compromisso com o MEIO AMBIENTE **

-----Mensagem original-----
De: asteriskbrasil-bounces em listas.asteriskbrasil.org [mailto:asteriskbrasil-bounces em listas.asteriskbrasil.org] Em nome de Caio Pato
Enviada em: segunda-feira, 15 de julho de 2013 11:01
Para: asteriskbrasil em listas.asteriskbrasil.org
Assunto: Re: [AsteriskBrasil] AJUDA INVASÂO

On Sun, Jul 14, 2013 at 10:47 PM, asteriskdebian asterisk <asteriskdebian2013 em gmail.com> wrote:
> uso FAIL2BAN como firewall!!

fail2ban não está mais sendo "eficiente" porque esses pulhas estão fazendo um "slow scan" (na realidade, "slow attempt") nas redes,.
Antigamente eles despejavam 120 chamadas por vez. Testavam todos os códigos possíveis (0021, 0015, 0031, 00031, 90031, 900031...) de uma vez só. Agora, já mais "espertos", eles fazem apenas CINCO tentativas por HORA, quando não fazem apenas quatro por hora, ao longo das 24 horas do dia. Eles tem todo o tempo da vida, porque quando conseguirem descobrir um buraco no seu dialplan, vão entupir de chamadas para países árabes e da África.

Assim, não dá mais para confiar APENAS no fail2ban - é um método ultrapassado de proteção.

Não sei qual é a sua utilização do servidor (provedor? usuário?
corporativo?) mas a dica básica é: NÃO DEIXE FUROS no seu dialplan.

A ligação teste é *SEMPRE* feita para alguns telefones: um celular em Tel Aviv (Israel) ou um telefone virtual em Londres (Inglaterra).

NÃO ADIANTA FICAR BLOQUEANDO IP POR IP. Eles mudam de ip a cada dia - geralmente usando máquinas VPS, cujo IP não é dele MUITO menos do servidor que efetivamente enviará as chamadas. Aqui (por ser corporativo hospedado em datacenter) eu decidi bloquear geralmente o
/8 do IP de origem. Resolve, mas eles sempre acham algum outro bloco livre.

Assim, resta apenas a solução de TER CERTEZA QUE NÃO TEM BURACOS no dialplan e... monitorar a rede.

Procure uma mensagem aqui na lista com o mesmo problema há alguns meses. Um colega da lista foi "invadido" por esses pulhas e quem detectou foi a área de segurança da empresa de telefonia - mas só no dia seguinte da invasão... Ai o estrago já era grande demais.


Conclusão:
1) NÃO ADIANTA BLOQUEAR IP POR IP - perda de tempo. Ou você bloqueia logo o bloco (/16 ou /8) ou relaxa...
2) Veja seu dialplan: não permita códigos mágicos, nem cadeados a partir da rede externa;
3) Olhe seu log com frequência - procure por chamadas para um celular em Israel (9725) ou Palestina (970);
4) Crie um script para enviar todas as madrugadas o logo de todas as chamadas. Vai ajudar a achar eventuais tentativas de invasão - mesmo que tardias, mas ajuda.
_______________________________________________
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com.
_______________________________________________
ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
_______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org



Mais detalhes sobre a lista de discussão AsteriskBrasil