[AsteriskBrasil] AJUDA INVASÂO

Mike Tesliuk mike em tesliuk.com
Segunda Julho 15 11:55:43 BRT 2013


Aqui tem um exemplo pra bloquear um pais, é só inverter a logica e voce 
tem a liberação do pais e bloqueio do resto

http://www.cyberciti.biz/faq/block-entier-country-using-iptables/




Em 15/07/13 10:20, Patrick EL Youssef escreveu:
> Caio
>
> Pode postar a regra do firewall que usa pra bloquear esses ips?
>
> Valeu
>
> Em 15-07-2013 11:01, Caio Pato escreveu:
>> On Sun, Jul 14, 2013 at 10:47 PM, asteriskdebian asterisk
>> <asteriskdebian2013 em gmail.com> wrote:
>>> uso FAIL2BAN como firewall!!
>> fail2ban não está mais sendo "eficiente" porque esses pulhas estão
>> fazendo um "slow scan" (na realidade, "slow attempt") nas redes,.
>> Antigamente eles despejavam 120 chamadas por vez. Testavam todos os
>> códigos possíveis (0021, 0015, 0031, 00031, 90031, 900031...) de uma
>> vez só. Agora, já mais "espertos", eles fazem apenas CINCO tentativas
>> por HORA, quando não fazem apenas quatro por hora, ao longo das 24
>> horas do dia. Eles tem todo o tempo da vida, porque quando conseguirem
>> descobrir um buraco no seu dialplan, vão entupir de chamadas para
>> países árabes e da África.
>>
>> Assim, não dá mais para confiar APENAS no fail2ban - é um método
>> ultrapassado de proteção.
>>
>> Não sei qual é a sua utilização do servidor (provedor? usuário?
>> corporativo?) mas a dica básica é: NÃO DEIXE FUROS no seu dialplan.
>>
>> A ligação teste é *SEMPRE* feita para alguns telefones: um celular em
>> Tel Aviv (Israel) ou um telefone virtual em Londres (Inglaterra).
>>
>> NÃO ADIANTA FICAR BLOQUEANDO IP POR IP. Eles mudam de ip a cada dia -
>> geralmente usando máquinas VPS, cujo IP não é dele MUITO menos do
>> servidor que efetivamente enviará as chamadas. Aqui (por ser
>> corporativo hospedado em datacenter) eu decidi bloquear geralmente o
>> /8 do IP de origem. Resolve, mas eles sempre acham algum outro bloco
>> livre.
>>
>> Assim, resta apenas a solução de TER CERTEZA QUE NÃO TEM BURACOS no
>> dialplan e... monitorar a rede.
>>
>> Procure uma mensagem aqui na lista com o mesmo problema há alguns
>> meses. Um colega da lista foi "invadido" por esses pulhas e quem
>> detectou foi a área de segurança da empresa de telefonia - mas só no
>> dia seguinte da invasão... Ai o estrago já era grande demais.
>>
>>
>> Conclusão:
>> 1) NÃO ADIANTA BLOQUEAR IP POR IP - perda de tempo. Ou você bloqueia
>> logo o bloco (/16 ou /8) ou relaxa...
>> 2) Veja seu dialplan: não permita códigos mágicos, nem cadeados a
>> partir da rede externa;
>> 3) Olhe seu log com frequência - procure por chamadas para um celular
>> em Israel (9725) ou Palestina (970);
>> 4) Crie um script para enviar todas as madrugadas o logo de todas as
>> chamadas. Vai ajudar a achar eventuais tentativas de invasão - mesmo
>> que tardias, mas ajuda.
>> _______________________________________________
>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>> Intercomunicadores para acesso remoto via rede IP. Conheça em 
>> www.Khomp.com.
>> _______________________________________________
>> ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>> Channel Bank -- Appliance Asterisk - Acesse www.aligera.com.br.
>> _______________________________________________
>> Para remover seu email desta lista, basta enviar um email em branco 
>> para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
>
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com.
> _______________________________________________
> ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank -- Appliance Asterisk - Acesse www.aligera.com.br.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org

-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20130715/03ce4961/attachment.htm 


Mais detalhes sobre a lista de discussão AsteriskBrasil