[AsteriskBrasil] AJUDA INVASÂO
Patrick EL Youssef
wushumasters em gmail.com
Segunda Julho 15 11:20:29 BRT 2013
Caio
Pode postar a regra do firewall que usa pra bloquear esses ips?
Valeu
Em 15-07-2013 11:01, Caio Pato escreveu:
> On Sun, Jul 14, 2013 at 10:47 PM, asteriskdebian asterisk
> <asteriskdebian2013 em gmail.com> wrote:
>> uso FAIL2BAN como firewall!!
> fail2ban não está mais sendo "eficiente" porque esses pulhas estão
> fazendo um "slow scan" (na realidade, "slow attempt") nas redes,.
> Antigamente eles despejavam 120 chamadas por vez. Testavam todos os
> códigos possíveis (0021, 0015, 0031, 00031, 90031, 900031...) de uma
> vez só. Agora, já mais "espertos", eles fazem apenas CINCO tentativas
> por HORA, quando não fazem apenas quatro por hora, ao longo das 24
> horas do dia. Eles tem todo o tempo da vida, porque quando conseguirem
> descobrir um buraco no seu dialplan, vão entupir de chamadas para
> países árabes e da África.
>
> Assim, não dá mais para confiar APENAS no fail2ban - é um método
> ultrapassado de proteção.
>
> Não sei qual é a sua utilização do servidor (provedor? usuário?
> corporativo?) mas a dica básica é: NÃO DEIXE FUROS no seu dialplan.
>
> A ligação teste é *SEMPRE* feita para alguns telefones: um celular em
> Tel Aviv (Israel) ou um telefone virtual em Londres (Inglaterra).
>
> NÃO ADIANTA FICAR BLOQUEANDO IP POR IP. Eles mudam de ip a cada dia -
> geralmente usando máquinas VPS, cujo IP não é dele MUITO menos do
> servidor que efetivamente enviará as chamadas. Aqui (por ser
> corporativo hospedado em datacenter) eu decidi bloquear geralmente o
> /8 do IP de origem. Resolve, mas eles sempre acham algum outro bloco
> livre.
>
> Assim, resta apenas a solução de TER CERTEZA QUE NÃO TEM BURACOS no
> dialplan e... monitorar a rede.
>
> Procure uma mensagem aqui na lista com o mesmo problema há alguns
> meses. Um colega da lista foi "invadido" por esses pulhas e quem
> detectou foi a área de segurança da empresa de telefonia - mas só no
> dia seguinte da invasão... Ai o estrago já era grande demais.
>
>
> Conclusão:
> 1) NÃO ADIANTA BLOQUEAR IP POR IP - perda de tempo. Ou você bloqueia
> logo o bloco (/16 ou /8) ou relaxa...
> 2) Veja seu dialplan: não permita códigos mágicos, nem cadeados a
> partir da rede externa;
> 3) Olhe seu log com frequência - procure por chamadas para um celular
> em Israel (9725) ou Palestina (970);
> 4) Crie um script para enviar todas as madrugadas o logo de todas as
> chamadas. Vai ajudar a achar eventuais tentativas de invasão - mesmo
> que tardias, mas ajuda.
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com.
> _______________________________________________
> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
Mais detalhes sobre a lista de discussão AsteriskBrasil